Documente Academic
Documente Profesional
Documente Cultură
- unitate deintoare de informaii clasificate sau unitate - autoritate sau instituie public,
agent economic cu capital integral sau parial de stat ori o alt persoan juridic de drept public
sau privat care, potrivit legii, are dreptul de a deine informaii clasificate;
- verificare de securitate - totalitatea msurilor ntreprinse de autoritile desemnate de
securitate, conform competenelor, pentru stabilirea onestitii i profesionalismului persoanelor,
n scopul avizrii eliberrii certificatului de securitate sau autorizaiei de acces la informaii
clasificate;
- zon de securitate - perimetru delimitat i special amenajat unde sunt gestionate
informaii clasificate.
CAPITOLUL II: CLASIFICAREA I DECLASIFICAREA INFORMAIILOR.
MSURI MINIME DE PROTECIE SPECIFICE CLASELOR I NIVELURILOR DE
SECRETIZARE
SECIUNEA 1: Clasificarea informaiilor
Art. 4
(1) Potrivit legii, informaiile sunt clasificate secrete de stat sau secrete de serviciu, n
raport de importana pe care o au pentru securitatea naional i de consecinele ce s-ar produce
ca urmare a dezvluirii sau diseminrii lor neautorizate.
(2) Informaiile secrete de stat sunt informaiile a cror divulgare poate prejudicia
sigurana naional i aprarea rii i care, n funcie de importana valorilor protejate, se includ
n urmtoarele niveluri de secretizare prevzute de lege:
a) strict secret de importan deosebit;
b) strict secret;
c) secret.
(3) Informaiile a cror divulgare este de natur s determine prejudicii unei persoane
juridice de drept public sau privat se clasific secrete de serviciu.
Art. 5
(1) Autoritile publice care elaboreaz ori lucreaz cu informaii secrete de stat au
obligaia s ntocmeasc un ghid pe baza cruia se va realiza clasificarea corect i uniform a
acestora.
(2) Ghidul prevzut la alin. (1) se aprob personal i n scris de ctre mputerniciii sau,
dup caz, funcionarii superiori abilitai s atribuie nivelurile de secretizare, conform legii.
Art. 6
Autoritile i instituiile publice ntocmesc liste proprii cuprinznd categoriile de
informaii secrete de stat n domeniile lor de activitate, care se aprob i se actualizeaz prin
hotrre a Guvernului.
Art. 7
Listele cu informaii secrete de serviciu se stabilesc de conductorii unitilor deintoare
de astfel de informaii.
Art. 8
n listele cu informaii secrete de serviciu vor fi incluse informaiile care se refer la
activitatea unitii i care, fr a constitui, n nelesul legii, secrete de stat, nu trebuie cunoscute
dect de persoanele crora le sunt necesare pentru ndeplinirea atribuiilor de serviciu,
divulgarea lor putnd prejudicia interesul unitii
Art. 9
Unitile care gestioneaz informaii clasificate au obligaia s analizeze ori de cte ori
este necesar listele informaiilor secrete de stat i, dup caz, s prezinte Guvernului spre aprobare
diseminarea lor neautorizat ar putea prejudicia sigurana naional, aprarea rii, ordinea
public sau interesele persoanelor juridice de drept public sau privat.
(2) Supraevaluarea sau subevaluarea nivelului de secretizare a informaiilor i a duratei
pentru care au fost clasificate se pot contesta de ctre orice persoan fizic sau juridic romn,
n contencios administrativ.
Art. 18
(1) n termen de 12 luni de la intrarea n vigoare a prezentei hotrri, deintorii de
informaii secrete de stat i secrete de serviciu, stabilite astfel potrivit H.C.M. nr. 19 din 14
ianuarie 1972, vor prezenta persoanelor sau autoritilor publice mputernicite s atribuie niveluri
de secretizare propuneri privind ncadrarea acestor informaii n noi clase i niveluri de
secretizare, dup caz.
(2) Pn la stabilirea noilor niveluri de secretizare, informaiile secrete de stat i secrete
de serviciu menionate la alin. (1) i pstreaz nivelul i termenul de secrelizare i vor fi
protejate potrivit prezentelor standarde.
SECIUNEA 2: Declasificarea i trecerea informaiilor clasificate la un nivel
inferior de secretizare
Art. 19
Informaiile secrete de stat pot fi declasificate prin hotrre a Guvernului, la solicitarea
motivat a emitentului.
Art. 20
(1) Informaiile se declasific dac:
a) termenul de clasificare a expirat;
b) dezvluirea informaiilor nu mai poate prejudicia sigurana naional, aprarea rii,
ordinea public, ori interesele persoanelor de drept public sau privat deintoare;
c) a fost atribuit de o persoan nemputernicit prin lege.
(2) Declasificarea sau trecerea la un alt nivel de secretizare a informaiilor secrete de stat
se realizeaz de mputerniciii i funcionarii superiori abilitai prin lege s atribuie niveluri de
secretizare, cu avizul prealabil al instituiilor care coordoneaz activitatea i controlul msurilor
privitoare la protecia informaiilor clasificate, potrivit competenelor materiale.
(3) Emitenii documentelor secrete de stat vor evalua periodic necesitatea meninerii n
nivelurile de secretizare acordate anterior i vor prezenta mputerniciilor i funcionarilor
superiori abilitai prin lege s atribuie niveluri de secretizare, propuneri n consecin.
Art. 21
Ori de cte ori este posibil, emitentul unui document clasificat trebuie s precizeze dac
acesta poate fi declasificat ori trecut la un nivel inferior de secretizare, la o anumit dat sau la
producerea unui anumit eveniment.
Art. 22
(1) La schimbarea clasei sau nivelului de secretizare atribuit iniial unei informaii,
emitentul este obligat s ncunotineze structura/funcionarul de securitate, care va face
meniunile necesare n registrele de eviden.
(2) Data i noua clas sau nivel de secretizare vor fi marcate pe document deasupra sau
sub vechea inscripie, care va fi anulat prin trasarea unei linii oblice.
(3) Emitentul informaiilor declasificate ori trecute n alt nivel de clasificare se va asigura
c gestionarii acestora sunt anunai la timp, n scris, despre acest lucru.
Art. 23
(1) Informaiile clasificate despre care s-a stabilit cu certitudine c sunt compromise sau
iremediabil pierdute vor fi declasificate.
(2) Declasificarea se face numai n baza cercetrii prin care s-a stabilit compromiterea
sau pierderea informaiilor respective ori a suportului material al acestora, cu acordul scris al
emitentului.
Art. 24
Informaiile secrete de serviciu se declasific de conductorii unitilor care le-au emis,
prin scoaterea de pe listele prevzute la art. 8, care vor fi reanalizate ori de cte ori este necesar.
SECIUNEA 3: Msuri minime de protecie a informaiilor clasificate
Art. 25
Msurile de protecie a informaiilor clasificate vor fi stabilite n raport cu:
a) clasele i nivelurile de secretizare a informaiilor;
b) volumul i suportul informaiilor;
c) calitatea, funcia i numrul persoanelor care au sau pot avea acces la informaii,
potrivit certificatului de securitate i autorizaiei de acces i cu respectarea principiului necesitii
de a cunoate;
d) ameninrile, riscurile i vulnerabilitile ce pot avea consecine asupra informaiilor
clasificate.
Art. 26
Transmiterea informaiilor clasificate ctre ali utilizatori se va efectua numai dac acetia
dein certificate de securitate sau autorizaii de acces corespunztor nivelului de secretizare.
Art. 27
Certificatele de securitate aparinnd persoanelor al cror comportament, atitudini sau
manifestri pot crea premise de insecuritate pentru informaiile secrete de stat vor fi imediat
retrase, cu ncunotinarea instituiilor investite cu atribuii de coordonare a activitii i de
control al msurilor privitoare la protecia informaiilor clasificate, potrivit competenelor.
Art. 28
Conductorii unitilor i persoanele care gestioneaz informaii clasificate au obligaia
de a aduce la cunotina instituiilor cu atribuii de coordonare i control n domeniu orice indicii
din care pot rezulta premise de insecuritate pentru astfel de informaii.
SECIUNEA 4: Structura/funcionarul de securitate
Art. 29
(1) Pentru implementarea msurilor de protecie a informaiilor clasificate, n unitile
deintoare de astfel de informaii se nfiineaz, n condiiile legii, structuri de securitate cu
atribuii specifice.
(2) n situaia n care unitatea deine un volum redus de informaii clasificate, atribuiile
structurii de securitate vor fi ndeplinite de funcionarul de securitate.
(3) Structura de securitate se organizeaz i se ncadreaz potrivit legii.
(4) eful structurii de securitate, respectiv funcionarul de securitate, este un adjunct al
conductorului persoanei juridice sau un membru al consiliului de administraie al unitii.
Art. 30
eful structurii de securitate, respectiv funcionarul de securitate, deine certificat de
securitate corespunztor celui mai nalt nivel de clasificare a informaiilor secrete de stat
gestionate de unitate.
Art. 31
Art. 35
(1) Persoanele crora le-au fost eliberate certificate de securitate sau autorizaii de acces
vor fi instruite, att la acordarea acestora, ct i periodic, cu privire la coninutul reglementrilor
privind protecia informaiilor clasificate.
(2) Activitile de instruire vor fi consemnate de structura/funcionarul de securitate, sub
semntur, n fia de pregtire individual, prezentat la anexa nr. 2.
(3) Persoanele prevzute la alin. (1) vor semna angajamentul de confidenialitate prevzut
la anexa nr. 3.
Art. 36
(1) n cazuri excepionale, determinate de situaii de criz, calamiti sau evenimente
imprevizibile, conductorul unitii poate acorda acces temporar la informaii clasificate
anumitor persoane care nu dein certificat de securitate sau autorizaie de acces, cu condiia
asigurrii unui sistem corespunztor de eviden.
(2) Persoanele care primesc dreptul de acces temporar la informaii secrete de stat vor
semna angajamentul de confidenialitate i vor fi comunicate la ORNISS, n cel mai scurt timp
posibil, pentru efectuarea verificrilor de securitate, potrivit procedurilor.
Art. 37
n cazul informaiilor strict secrete de importan deosebit, accesul temporar va fi
acordat, pe ct posibil, persoanelor care dein deja certificate de securitate pentru acces la
informaii strict secrete sau secrete.
Art. 38
(1) Transmiterea informaiilor clasificate ntre uniti se va efectua cu aprobarea
emitentului i cu respectarea principiului necesitii de a cunoate.
(2) Predarea-primirea informaiilor clasificate ntre unitatea deintoare i unitatea
primitoare se face cu respectarea msurilor de protecie prevzute n prezentele standarde.
Art. 39
Structura/funcionarul de securitate al unitii deintoare se va asigura c reprezentantul
unitii primitoare deine certificatul de securitate sau autorizaia de acces corespunztoare
nivelului de secretizare a informaiilor clasificate ce fac obiectul predrii-primirii.
CAPITOLUL III: REGULI GENERALE PRIVIND EVIDENA, NTOCMIREA,
PSTRAREA, PROCESAREA, MULTIPLICAREA, MANIPULAREA, TRANSPORTUL,
TRANSMITEREA I DISTRUGEREA INFORMAIILOR CLASIFICATE
Art. 40
(1) n unitile deintoare de informaii clasificate se organizeaz compartimente speciale
pentru evidena, ntocmirea, pstrarea, procesarea, multiplicarea, manipularea, transportul,
transmiterea i distrugerea acestora n condiii de siguran.
(2) Activitatea compartimentelor speciale prevzute la alin. (1) este coordonat de
structura/funcionarul de securitate.
Art. 41
La redactarea documentelor ce conin informaii clasificate se vor respecta urmtoarele
reguli:
a) menionarea, n antet, a unitii emitente, a numrului i datei nregistrrii, a clasei sau
nivelului de secretizare, a numrului de exemplare i, dup caz, a destinatarului;
b) numerele de nregistrare se nscriu pe toate exemplarele documentului i pe anexele acestora,
fiind precedate de un zero (0) pentru documentele secrete, de dou zerouri (00) pentru cele strict
secrete, de trei zerouri (000) pentru cele strict secrete de importan deosebit i de litera "S"
Art. 47
Poriunile clar identificabile din documentele clasificate complexe, cum sunt seciunile,
anexele, paragrafele, titlurile, care au niveluri diferite de secretizare sau care nu sunt clasificate,
trebuie marcate corespunztor nivelului de clasificare i secretizare.
Art. 48
Marcajul de clasificare va fi aplicat separat de celelalte marcaje, cu caractere i/sau culori
diferite.
Art. 49
(1) Toate documentele clasificate aflate n lucru sau n stadiu de proiect vor avea nscrise
meniunile "Document n lucru" sau "Proiect" i vor fi marcate potrivit clasei sau nivelului de
secretizare a informaiilor ce le conin.
(2) Gestionarea documentelor clasificate aflate n lucru sau n stadiu de proiect se face n
aceleai condiii ca i a celor n form definitiv.
Art. 50
Documentele sau materialele care conin informaii clasificate i sunt destinate unei
persoane strict determinate vor fi inscripionate, sub destinatar, cu meniunea Personal".
Art. 51
(1) Fotografiile, filmele, microfilmele i negativele lor, rolele, bobinele sau containerele
de pstrare a acestora se marcheaz vizibil cu o etichet care indic numrul i data nregistrrii,
precum i clasa sau nivelul de secretizare.
(2) Microfilmele trebuie s aib afiat la cele dou capete clasa sau nivelul de secretizare,
iar la nceputul rolei, lista elementelor de coninut.
Art. 52
(1) Clasa sau nivelul de secretizare a informaiilor nregistrate pe benzi audio se imprim
verbal, att la nceputul nregistrrii, ct i la sfritul acesteia.
(2) Marcarea clasei sau a nivelului de secretizare pe benzi video trebuie s asigure
afiarea pe ecran a clasei sau a nivelului de secretizare. n cazul n care nu se poate stabili cu
exactitate clasa sau nivelul de secretizare, nainte de nregistrarea benzilor, marcajul se aplic
prin inserarea unui segment de band la nceputul i la sfritul benzii video.
(3) Benzile audio i video care conin informaii clasificate pstreaz clasa sau nivelul de
secretizare cel mai nalt atribuit pn n momentul:
a) distrugerii printr-un procedeu autorizat;
b) atribuirii unui nivel superior prin adugarea unei nregistrri cu nivel superior de
secretizare.
Art. 53
Proieciile de imagini trebuie s afieze, la nceputul i sfritul acestora, numrul i data
nregistrrii, precum i clasa sau nivelul de secretizare.
Art. 54
(1) Rolele, bobinele sau containerele de pstrare a benzilor magnetice, inclusiv cele
video, pe care au fost imprimate informaii secrete de stat, vor avea nscris, la loc vizibil, clasa
sau nivelul de secretizare cel mai nalt atribuit acestora, care va rmne aplicat pn la
distrugerea sau demagnetizarea lor.
(2) La efectuarea unei nregistrri pe band magnetic, att la nceputul, ct i la sfritul
fiecrui pasaj, se va meniona clasa sau nivelul de secretizare.
(3) n cazul detarii de pe suportul fizic, fiecare capt al benzii va fi marcat, la loc
vizibil, cu clasa sau nivelul de secretizare.
Art. 55
n toate cazurile, ambalajele sau suporii n care se pstreaz documente sau materiale ce
conin informaii clasificate vor avea inscripionat clasa sau nivelul de secretizare, numrul i
data nregistrrii n evidene i li se va ataa o list cu denumirea acestora.
Art. 56
(1) Atunci cnd se utilizeaz documente clasificate ca surse pentru ntocmirea unui alt
document, marcajele documentelor surs le vor determina pe cele ale documentului rezultat.
(2) Pe documentul rezultat se vor preciza documentele surs care au stat la baza
ntocmirii lui.
Art. 57
Numrul i dala iniial a nregistrrii documentului clasificat trebuie pstrate, chiar dac
i se aduc amendamente, pn cnd documentul respectiv va face obiectul reevalurii clasei sau a
nivelului de secretizare.
Art. 58
Conductorii unitilor vor asigura msurile necesare de eviden i control al
informaiilor clasificate, astfel nct s se poat stabili, n orice moment, locul n care se afl
aceste informaii.
Art. 59
(1) Evidena materialelor i documentelor care conin informaii clasificate se ine n
registre speciale, ntocmite potrivit modelelor prevzute n anexele nr. 4, 5 i 6.
(2) Fiecare document sau material va fi inscripionat cu numrul de nregistrare i data
cnd este nscris n registrele de eviden.
(3) Numerele de nregistrare sunt precedate de numrul de zerouri corespunztor
nivelului de secretizare atribuit sau de litera "S" pentru secrete de serviciu.
(4) toate registrele, condicile i borderourile se nregistreaz n registrul unic de eviden
a registrelor, condicilor, borderourilor i a caietelor pentru nsemnri clasificate, conform
modelului din anexa nr. 7.
(5) Fac excepie actele de gestiune, imprimatele nseriate i alte documente sau materiale
cuprinse n forme de eviden specifice.
Art. 60
(1) Documentele sau materialele care conin informaii clasificate nregistrate n registrele
prevzute n art. 59 nu vor fi nregistrate n alte forme de eviden.
(2) Emitenii i deintorii de informaii clasificate sunt obligai s nregistreze i s in
evidena tuturor documentelor i materialelor primite, expediate sau a celor ntocmite de
unitatea proprie, potrivit legii.
(3) n registrele pentru evidena informaiilor clasificate vor fi menionate numele i
prenumele persoanei care a primit documentul, iar aceasta va semna de primire pe condica
prevzut n anexa nr. 8.
Art. 61
(1) Atribuirea numerelor de nregistrare n registrele pentru eviden se face consecutiv,
pe parcursul unui an calendaristic.
(2) Numerele de nregistrare se nscriu obligatoriu pe toate exemplarele documentelor sau
materialelor care conin informaii clasificate, precum i pe documentele anexate.
(3) Anual, documentele se claseaz n dosare, potrivit problematicii i termenelor de
pstrare stabilite n nomenclatoare arhivistice, potrivit legii.
(4) Clasarea documentelor sau materialelor care conin informaii clasificate se face
(4) Clasa sau nivelul de secretizare atribuit unui document original se aplic, n mod
identic, reproducerilor sau traducerilor.
Art. 70
(1) Dac emitentul dorete s aib control exclusiv asupra reproducerii, documentul va
conine o indicaie vizibil cu urmtorul coninut: "Reproducerea acestui document, total sau
parial, este interzis".
(2) Informaiile clasificate nscrise pe documente cu regim restrictiv de reproducere care
au meniunea Reproducerea interzis" nu se multiplic.
Art. 71
n cazul copierii unui document care conine informaii clasificate se procedeaz astfel:
a) se stabilete numrul de exemplare n care va fi multiplicat;
b) se completeaz i se aprob cererea pentru multiplicare, potrivit art. 69 alin. (1), dup
care aceasta se nregistreaz n registrul de eviden - anexa nr. 4 sau anexa nr. 5, dup caz;
c) documentul original se pred operatorului pe baz de semntur;
d) dup verificarea exemplarelor rezultate, beneficiarul semneaz n registrul de eviden
a informaiilor clasificate multiplicate, conform modelului din anexa nr. 9;
e) repartiia n vederea difuzrii exemplarelor copiate se consemneaz de ctre
structura/funcionarul de securitate pe spatele cererii pentru copiere;
f) cererea pentru copiere mpreun cu exemplarele copiate se predau pe baz de
semntur structurii/funcionarului de securitate n vederea difuzrii sau expedierii.
Art. 72
(1) Cnd se dactilografiaz, se proceseaz la calculator sau se copiaz documente care
conin informaii clasificate, n mai mult de dou exemplare, pe spatele exemplarului original sau
al cererii pentru copiere se nscriu destinatarii documentelor i numrul exemplarelor.
(2) Atunci cnd numrul destinatarilor este mare se ntocmete un tabel de difuzare, care
se nregistreaz ca document anexat la original.
(3) Numerotarea exemplarelor copiate se va face consecutiv pentru fiecare copie,
indiferent de data executrii, avndu-se n vedere i numrul de exemplare rezultat n urma
dactilografierii sau procesrii la calculator
Art. 73
Documentele clasificate pot fi microfilmate sau stocate pe discuri optice ori pe supori
magnetici n urmtoarele condiii:
a) procesul de microfilmare sau stocare s fie realizat cu aprobarea emitentului, de
personal autorizat pentru clasa sau nivelul de secretizare a informaiilor respective.
b) microfilmelor, discurilor optice sau suporilor magnetici de stocare s li se asigure
aceeai protecie ca a documentului original;
c) toate microfilmele, discurile optice sau suporii magnetici de stocare s fie nregistrate
ntr-o eviden specific i supuse, ca i documentele originale, verificrii anuale.
Art. 74
(1) Difuzarea informaiilor clasificate multiplicate se face obligatoriu cu avizul structurii/
funcionarului de securitate.
(2) Informaiile clasificate pot fi redifuzate de ctre destinatarul iniial la ali destinatari,
cu respectarea normelor din prezentele standarde.
(3) Emitentul este obligat s indice clar toate restriciile care trebuie respectate pentru
difuzarea unei informaii clasificate. Cnd se impun astfel de restricii, destinatarii pot proceda la
o redifuzare numai cu aprobarea scris a emitentului.
Art.75
n cazul n care un document secret de stat este studiat de o persoan abilitat, pentru care
s-a stabilit necesitatea de a accesa astfel de documente n vederea ndeplinirii sarcinilor de
serviciu, aceast activitate trebuie consemnat n fia de consultare, conform modelului din
anexa nr. l.
Art. 76
(1) Informaiile clasificate ieite din termenul de clasificare se arhiveaz sau se distrug.
(2) Arhivarea sau distrugerea unui document clasificat se menioneaz n registrul de
eviden principal, prin consemnarea cotei arhivistice de regsire sau, dup caz, a numrului de
nregistrare a procesului-verbal de distrugere.
(3) Distrugerea informaiilor clasificate nlocuite sau perimate se face numai cu avizul
emitentului.
(4) Distrugerea documentelor clasificate sau a ciornelor care conin informaii cu acest
caracter se face astfel nct s nu mai poat fi reconstituite.
Art. 77
(1) Documentele de lucru, ciornele sau materialele acumulate sau create n procesul de
elaborare a unui document, care conin informaii clasificate, de regul, se distrug.
(2) n cazul n care se pstreaz, acestea vor fi datate, marcate cu clasa sau nivelul de
secretizare cel mai nalt al informaiilor coninute, arhivate i protejate corespunztor clasei sau
nivelului de secretizare a documentului final.
Art. 78
(1) Informaiile strict secrete de importan deosebit destinate distrugerii vor fi napoiate
unitii emitente cu adres de restituire.
(2) Fiecare asemenea informaie va fi trecut pe un proces-verbal de distrugere, care va fi
aprobat de conducerea unitii i semnat de eful structurii/funcionarul de securitate i de
persoana care asist la distrugere, autorizat s aib acces la informaii strict secrete de
importan deosebit.
(3) n situaii de urgen, protecia, inclusiv prin distrugere, a materialelor i
documentelor strict secrete de importan deosebit va avea ntotdeauna prioritate fa de alte
documente sau materiale.
(4) Procesele-verbale de distrugere i documentele de eviden ale acestora vor fi arhivate
i pstrate cel puin 10 ani.
Art. 79
(1) Distrugerea informaiilor strict secrete, secrete i secrete de serviciu va fi evideniat
ntr-un proces-verbal semnat de dou persoane asistente autorizate s aib acces la informaii de
acest nivel, avizat de structura/funcionarul de securitate i aprobat de conductorul unitii.
(2) Procesele-verbale de distrugere i documentele de eviden a informaiilor strict
secrete, secrete i secrete de serviciu vor fi pstrate de compartimentul care a executat
distrugerea, o perioad de cel puin trei ani, dup care vor fi arhivate i pstrate cel puin 10 ani.
Art. 80
(1) Distrugerea ciornelor documentelor secrete de stat se realizeaz de ctre persoanele
care le-au elaborat.
(2) Procesul-verbal de distrugere a ciornelor se ntocmete n situaia n care acestea au
fost nregistrate ntr-o form de eviden.
Art. 81
Art. 117
Persoanele care solicit angajri, audiene, ori care prezint reclamaii i sesizri vor fi
primite n afara zonelor administrative sau n locuri special amenajate, cu aprobarea
conductorului unitii.
Art. 118
n afara orelor de program i n zilele nelucrtoare, se vor organiza patrulri pe perimetrul
unitii, la intervale care vor fi stabilite prin instruciuni elaborate pe baza planului de paz i
aprare al obiectivului.
Art. 119
(1) Sistemele de paz, supraveghere i control-acces trebuie s asigure prevenirea
ptrunderii neautorizate n obiectivele, sectoarele i locurile unde sunt gestionate informaii
clasificate.
(2) Timpul de reacie a personalului de paz i aprare va fi testat periodic pentru a
garanta intervenia operativ n situaii de urgen.
Art. 120
(1) Unitile care gestioneaz informaii secrete de stat vor ntocmi planul de paz i
aprare a obiectivelor, sectoarelor i locurilor care prezint importan deosebit pentru protecia
informaiilor clasificate.
(2) Planul de paz i aprare menionat la alin. (1) va fi nregistrat potrivit celui mai nalt
nivel de secretizare a informaiilor protejate i va cuprinde totalitatea msurilor de securitate
luate pentru prevenirea accesului neautorizat la acestea.
(3) Planul de paz i aprare va fi anexat programului de prevenire a scurgerii de
informaii clasificate i va cuprinde:
a) date privind delimitarea i marcarea zonelor de securitate, dispunerea posturilor de
paz i msurile de supraveghere a perimetrului protejat;
b) sistemul de control al accesului n zonele de securitate;
c) msurile de avertizare i alarmare pentru situaii de urgent;
d) planul de evacuare a documentelor i modul de aciune n caz de urgen;
e) procedura de raportare, cercetare i eviden a incidentelor de securitate.
Art. 121
Informaiile secrete de stat se pstreaz n containere speciale, astfel:
a) containere clasa A, autorizate la nivel naional pentru pstrarea informaiilor strict
secrete de importan deosebit n zona de securitate clasa I;
b) containere clasa B, autorizate la nivel naional pentru pstrarea informaiilor strict
secrete i secrete n zone de securitate clasa I sau clasa a II-a.
Art. 122
(1) Containerele din clasele A i B vor fi construite astfel nct s asigure protecia
mpotriva ptrunderii clandestine i deteriorrii sub orice form a informaiilor.
(2) Standardele n care trebuie s se ncadreze containerele din clasele A i B se stabilesc
de ORNISS.
Art. 123
(1) ncperile de securitate sunt ncperile special amenajate n zone de securitate clasa I
sau clasa a Il-a, n care informaiile secrete de stat pot fi pstrate pe rafturi deschise sau pot fi
expuse pe hri, plane ori diagrame.
(2) Pereii, podelele, plafoanele, uile i ncuietorile ncperilor de securitate vor asigura
(2) Orice defeciune sau intervenie neautorizat asupra sistemelor de alarm sau de
supraveghere destinate proteciei informaiilor secrete de stat trebuie s avertizeze personalul
care le monitorizeaz.
(3) Dispozitivele de alarmare trebuie s intre n funciune n cazul penetrrii pereilor,
podelelor, tavanelor i deschizturilor, sau la micri n interiorul ncperilor de securitate.
Art. 134
Copiatoarele i dispozitivele telefax se vor instala n ncperi special destinate i se vor
folosi numai de ctre persoanele autorizate, potrivit nivelului de secretizare a informaiilor la
care au acces.
Art. 135
Unitile deintoare de informaii secrete de stat au obligaia de a asigura protecia
acestora mpotriva ascultrilor neautorizate, pasive sau active.
Art. 136
(1) Protecia mpotriva ascultrii pasive a discuiilor confideniale se realizeaz prin
izolarea fonic a ncperilor.
(2) Protecia mpotriva ascultrilor active, prin microfoane, radio-emitori i alte
dispozitive implantate, se realizeaz pe baza inspeciilor de securitate a ncperilor, accesoriilor,
instalaiilor, sistemelor de comunicaii, echipamentelor i mobilierului de birou, realizate de
unitile specializate, potrivit competenelor legale.
Art. 137
(1) Accesul n ncperile protejate mpotriva ascultrilor se va controla n mod special.
(2) Periodic, personalul specializat n depistarea dispozitivelor de ascultare va efectua
inspecii fizice i tehnice.
(3) Inspeciile fizice i tehnice vor fi organizate, n mod obligatoriu, n urma oricrei
intrri neautorizate sau suspiciuni privind accesul persoanelor neautorizate i dup executarea
lucrrilor de reparaii, ntreinere, zugrvire sau redecorare.
(4) Nici un obiect nu va fi introdus n ncperile protejate mpotriva ascultrii, fr a fi
verificat n prealabil de ctre personalul specializat n depistarea dispozitivelor de ascultare.
Art. 138
(1) n zonele n care se poart discuii confideniale i care sunt asigurate din punct de
vedere tehnic, nu se vor instala telefoane, iar dac instalarea acestora este absolut necesar,
trebuie prevzute cu un dispozitiv de deconectare pasiv.
(2) Inspeciile de securitate tehnic n zonele prevzute n alin.(l) trebuie efectuate, n
mod obligatoriu, naintea nceperii convorbirilor, pentru identificarea fizic a dispozitivelor de
ascultare i verificarea sistemelor telefonice, electrice sau de alt natur, care ar putea fi utilizate
ca mediu de atac.
Art. 139
(1) Echipamentele de comunicaii i dotrile din birouri, n principal cele electrice i
electronice, trebuie verificate de specialiti ai autoritilor desemnate de securitate competente,
nainte de a fi folosite n zonele n care se lucreaz ori se discut despre informaii strict secrete
sau strict secrete de importan deosebit, pentru a preveni transmiterea sau interceptarea, n
afara cadrului legal, a unor informaii inteligibile.
(2) Pentru zonele menionate la alin. (1) se va organiza o eviden a tipului i numerelor
de inventar ale echipamentului i mobilei mutate n/din interiorul ncperilor, care va fi
gestionat ca material secret de stat.
n cauz.
(2) Cnd persoanele urmeaz s ndeplineasc funcii care le pot facilita accesul la
informaii secrete de stat doar n anumite circumstane - paznici, curieri, personal de ntreinere se va acorda atenie primei verificri de securitate.
Art. 145
Unitile care gestioneaz informaii clasificate sunt obligate s in un registru de eviden a
certificatelor de securitate i autorizaiilor de acces la informaii clasificate - anexa nr. 18.
Art. 146
(1) Ori de cte ori apar indicii c deintorul certificatului de securitate sau autorizaiei de
acces nu mai ndeplinete criteriile de compatibilitate privind accesul la informaiile secrete de
stat, verificrile de securitate se reiau la solicitarea conductorului unitii adresat ORNISS.
(2) ORNISS poate solicita reluarea verificrilor, la sesizarea autoritilor competente, n
situaia n care sunt semnalate incompatibiliti privind accesul la informaii secrete de stat
Art. 147
Procedura de verificare n vederea acordrii accesului la informaii secrete de stat are
drept scop identificarea riscurilor de securitate, aferente gestionrii informaiilor secrete de stat.
Art. 148
(1) Structura/funcionarul de securitate are obligaia s pun la dispoziia persoanei
selecionate formularele tip corespunztoare nivelului de acces pentru care se solicit eliberarea
certificatului de securitate/autorizaiei de acces i s acorde asisten n vederea completrii
acestora.
(2) n funcie de nivelul de secretizare a informaiilor pentru care se solicit avizul de
securitate, termenele de prezentare a rspunsului de ctre instituiile abilitate s efectueze
verificrile de securitate sunt:
a) pentru acces la informaii strict secrete de importan deosebit - 90 de zile lucrtoare;
b) pentru acces la informaii strict secrete - 60 de zile lucrtoare;
c) pentru acces la informaii secrete - 30 de zile lucrtoare.
Art. 149
ORNISS are obligaia ca, n termen de 7 zile lucrtoare de la primirea solicitrii, s
transmit ADS competente cererea tip de ncepere a procedurii de verificare - anexa nr. 19, la
care va anexa plicul sigilat cu formularele tip completate
Art. 150
(1) Dup primirea formularelor, instituia abilitat va efectua verificrile n termenele
prevzute la art. 148 i va comunica, n scris - anexa nr. 20, la ORNISS, avizul privind acordarea
certificatului de securitate sau autorizaiei de acces la informaii clasificate.
(2) n cazul n care sunt identificate riscuri de securitate, ADS va evalua dac acestea
constituie un impediment pentru acordarea avizului de securitate.
(3) n situaia n care sunt semnalate elemente relevante din punct de vedere al proteciei
informaiilor secrete de stat, n luarea deciziei de acordare a avizului de securitate vor avea
prioritate interesele de securitate.
Art. 151
(1) n termen de 7 zile lucrtoare de la primirea rspunsului de la autoritatea desemnat
de securitate, ORNISS va decide asupra acordm certificatului de securitate/autorizaiei de acces
la informaii secrete de stat i va comunica unitii solicitante - anexa nr. 21.
(2) Adresa de comunicare a deciziei ORNISS se realizeaz n trei exemplare, din care
unul se transmite unitii solicitante, iar al doilea instituiei care a efectuat verificrile.
(3) Dac avizul este pozitiv, conductorul unitii solicitante va elibera certificatul de
securitate sau autorizaia de acces persoanei n cauz, dup notificarea prealabil la ORNTSS anexa nr. 22
Art. 152
(1) Verificarea n vederea avizrii pentru accesul la informaii secrete de stat se
efectueaz cu respectarea legislaiei n vigoare privind responsabilitile n domeniul proteciei
unor asemenea informaii, de ctre urmtoarele instituii:
a) Serviciul Romn de Informaii, pentru:
- personalul din cadrul Parchetului Naional Anticorupie
- personalul propriu;
- personalul autoritilor i instituiilor publice din zona de competen, potrivit legii;
- personalul agenilor economici cu capital integral sau parial de stat i al persoanelor
juridice de drept public sau privat, altele dect cele date n competena instituiilor menionate la
lit. b), c) i d);
b) Ministerul Aprrii Naionale, pentru:
- personalul militar i civil propriu;
- personalul Oficiului Central de Stat pentru Probleme Speciale, Administraiei Naionale
a Rezervelor de Stat i altor persoane juridice stabilite prin lege i personalul militar care i
desfoar activitatea n strintate;
c) Serviciul de Informaii Externe, pentru:
- personalul militar sau civil propriu;
- personalul romn al reprezentanelor diplomatice, misiunilor permanente, consulare,
centrelor culturale, organismelor internaionale i altor reprezentane ale statului romn n
strintate;
- cetenii romni aflai n strintate n cadrul unor contracte, stagii de perfecionare,
programe de cercetare sau n calitate de angajai la firme;
d) Ministerul Administraiei i Internelor, Serviciul de Protecie i Paz i Serviciul de
Telecomunicaii Speciale, pentru personalul propriu i al persoanelor juridice a cror activitate
o coordoneaz.
e) Ministerul Justiiei, pentru personalul propriu i al persoanelor juridice a cror
activitate o coordoneaz, altul dect cel pentru care verificarea este de competena Serviciului
Romn de Informaii.
(2) Instituiile menionate la alin. (1) sunt abilitate s solicite i s primeasc informaii de
la persoane juridice i fizice, n vederea acordrii avizului de acces la informaii clasificate.
Art. 153
Instituiile competente n realizarea verificrilor de securitate coopereaz, pe baz de
protocoale, n ndeplinirea sarcinilor i obiectivelor propuse.
Art. 154
Certificatul de securitate/autorizaia de acces se emite n dou exemplare originale, unul
fiind pstrat de structura/funcionarul de securitate, iar cellalt se trimite la ORNISS, care va
informa instituia competent care a efectuat verificrile.
Art. 155
Valabilitatea certificatului de securitate/autorizaiei de acces eliberate unei persoane este
de pn la patru ani, n aceast perioad verificrile putnd fi reluate oricnd sunt ndeplinite
condiiile prevzute la art.167.
Art. 156
d) consum n mod excesiv buturi alcoolice ori este dependent de alcool, droguri sau de
alte substane interzise prin lege care produc dependen;
e) are sau a avut comportamente imorale sau deviaii de comportament care pot genera
riscul ca persoana s fie vulnerabil la antaj sau presiuni;
f) a demonstrat lips de loialitate, necinste, incorectitudine sau indiscreie;
g) a nclcat reglementrile privind protecia informaiilor clasificate;
h) sufer sau a suferit de boli fizice sau psihice care i pot cauza deficiene de
discernmnt confirmate prin investigaie medical efectuat cu acordul persoanei solicitante;
i) poate fi supus la presiuni din partea rudelor sau persoanelor apropiate care ar putea
genera vulnerabiliti exploatabile de ctre serviciile de informaii ale cror interese sunt ostile
Romniei i aliailor si.
Art. 161
(1) Solicitrile pentru efectuarea verificrilor de securitate n vederea avizrii eliberrii
certificatelor de securitate/autorizaiilor de acces la informaii secrete vor avea n vedere
persoanele care:
a) n exercitarea atribuiilor profesionale lucreaz cu date i informaii de nivel secret; b)
fac parte din personalul de execuie sau administrativ i, n virtutea acestui fapt, pot intra n
contact cu date i informaii de acest nivel;
c) este de presupus c vor lucra cu date i informaii de nivel secret, datorit funciei pe
care o dein;
d) se presupune c nu pot avansa profesional n funcie, dac nu au acces la astfel de
informaii.
(2) Avizarea pentru acces la informaii secrete de stat, de nivel secret se va baza pe: a)
verificarea corectitudinii datelor menionate n formularul de baz, anexa nr. 15; b) referine de la
locurile de munc i din mediile frecventate, de la cel puin trei persoane.
(3) n situaia n care este necesar clarificarea anumitor aspecte sau la solicitarea
persoanei verificate, reprezentantul instituiei abilitate s efectueze verificrile de securitate
poate avea o ntrevedere cu aceasta.
Art. 162
(1) Pentru eliberarea certificatelor de securitate/autorizaiilor de acces la informaii strict
secrete se efectueaz verificri asupra persoanelor care:
a) n exercitarea atribuiilor profesionale lucreaz cu date i informaii de nivel strict
secret;
b) fac parte din personalul de execuie sau administrativ i, n virtutea acestui fapt, pot
intra n contact cu date i informaii de acest nivel;
c) este de presupus c vor lucra cu date i informaii de nivel strict secret, datorit funciei
pe care o dein;
d) se presupune c nu pot avansa profesional n funcie, dac nu au acces la astfel de
informaii.
(2) Avizarea pentru acces la informaii strict secrete se va baza pe:
a) verificarea corectitudinii datelor personale menionate n formularul de baz i n
formularul suplimentar, anexele nr. 15 i 16;
b) referine minime de la locurile de munc i din mediile frecventate de la cel puin trei
persoane;
c) verificarea datelor prezentate n formular, despre membrii de familie;
d) investigaii la locul de munc i la domiciliu, care s acopere o perioad de zece ani
indicatoare de interdicie n acest sens, care vor fi instalate prin grija instituiilor crora le
aparin, cu avizul de specialitate al organelor administraiei publice locale.
Art. 189
(1) Emiterea, deinerea sau folosirea de date i documente geodezice, topofotogrammetrice i cartografice, ce constituie secrete de stat, urmeaz, n privina clasificrii,
marcrii, inscripionrii, procesrii, manipulrii, evidenei, ntocmirii, multiplicrii, transmiterii,
pstrrii, transportului i distrugerii acestora, regimul prevzut de reglementrile n vigoare
privitoare la protecia informaiilor clasificate n Romnia.
(2) Ministerele i celelalte organe ale administraiei publice centrale i locale, care
ntocmesc documente geodezice, topo-fotogrammetrice i cartografice cu caracter secret de stat,
le vor nominaliza n listele proprii de informaii clasificate, potrivit dispoziiilor legale n
vigoare.
Art. 190
(1) Activitatea de aerofotografiere cu camere fotogrammetrice digitale sau analogice a
teritoriului Romniei, la o scar de zbor mai mare de 1:20.000, se efectueaz pe baza autorizaiei
speciale eliberate de ORNISS i n prezena reprezentantului Ministerului Aprrii Naionale.
(2) n vederea eliberrii autorizaiei menionate la alin. (1), cererea adresat ORNISS trebuie s
conin, pe lng datele prevzute la art. 186 alin. (1), i scara de zbor la care vor fi efectuate
activitile de aerofotografiere.
(3) Activitile de developare a materialului fotografic i scanarea negativelor, dup caz, se pot
realiza, n prezena reprezentantului Ministerului Aprrii Naionale, de ctre persoane juridice
care ndeplinesc condiiile legale privind protecia informaiilor clasificate.
(4) Materialele obinute din activitile de aerofotografiere prevzute la alin. (1) se predau
persoanelor juridice autorizate, pe baz de documente justificative, n prezena reprezentantului
Ministerului Aprrii Naionale.
(5) ORNISS ine evidena autorizaiilor speciale i dispune retragerea acestora, la propunerea
motivat a organelor de control abilitate.
(6) Developarea materialului fotografic i scanarea negativelor de ctre persoanele juridice
autorizate se realizeaz exclusiv pe teritoriul naional.
(7) Materialele rezultate n urma procesului de developare i scanare, precum i cele rezultate n
urma activitilor de aerofotografiere cu camere fotogrammetrice digitale sunt declasificate, cu
avizul Autoritilor Desemnate de Securitate (ADS), de ctre Ministerul Aprrii Naionale, n
termen de 30 de zile lucrtoare de la primirea acestora.
(8) n termenul prevzut la alin. (7) produsele finale rezultate n urma declasificrii se vor preda
la ORNISS, prin grija reprezentantului Ministerului Aprrii Naionale, pentru a fi puse la
dispoziie beneficiarului.
(9) Se excepteaz de la obligaia ndeplinirii procedurii prevzute la alin. (1) - (8) activitile de
aerofotografiere efectuate pe teritoriul Romniei la o scar de zbor mai mic sau egal cu 1 :
20.000."
Art. 220
(1) Un obiectiv industrial nu corespunde din punct de vedere al proteciei informaiilor
clasificate dac se constat c prezint riscuri de securitate. (2) Sunt considerate riscuri de
securitate
a) derularea unor activiti ce contravin intereselor de siguran naional sau
angajamentelor pe care Romnia i le-a asumat n cadrul acordurilor bilaterale sau
multinaionale; b) relaiile cu persoane fizice sau juridice strine ce ar putea aduce prejudicii
intereselor statului romn;
c) asociaiile, persoane fizice i juridice, care pot reprezenta factori de risc pentru
interesele de stat ale Romniei.
Art. 221
(1) Pentru eliberarea autorizaiei sau certificatului de securitate industrial, solicitantul va
adresa proteciei informaiilor secrete de stat, care vor fi ncredinate acelui obiectiv industrial.
Art. 227
n ndeplinirea sarcinilor i obiectivelor ce le revin, pe linia proteciei informaiilor
clasificate, ADS competente coopereaz pe baza protocoalelor ce vor fi ncheiate ntre ele cu
avizul ORNISS.
Art. 228
n vederea desfurrii procedurilor de avizare, obiectivul industrial are obligaia de a
permite accesul reprezentanilor ADS n sediile, la echipamentele, operaiunile i la alte
activiti, respectiv de a prezenta documentele necesare i de a furniza, la cerere, alte date i
informaii.
Art. 229
(1) Dac n urma verificrii de securitate se constat c sunt ndeplinite cerinele de
securitate necesare asigurrii proteciei la nivelul de clasificare corespunztor informaiilor
vehiculate n cadrul contractului clasificat, ORNISS elibereaz i transmite obiectivului
industrial autorizaia sau certificatul de securitate industrial.
(2) Dac se constat c obiectivul industrial nu ndeplinete condiiile de securitate
necesare, ORNISS nu elibereaz autorizaia sau certificatul de securitate industrial i
informeaz obiectivul industrial n acest sens. ORNISS nu este obligat s prezinte motivele
refuzului.
Refuzul eliberrii autorizaiei sau certificatului de securitate industrial va fi comunicat i
la ADS care a efectuat verificrile de securitate.
(3) Cnd sunt semnalate elemente care nu constituie riscuri, dar sunt relevante din punct
de vedere al securitii, n luarea deciziei de eliberare a autorizaiei sau certificatului de securitate
industrial vor avea prioritate interesele de securitate.
Art. 230
n termen de 7 zile lucrtoare de la primirea avizului de securitate din partea autoritilor
desemnate de securitate, ORNISS va elibera autorizaia sau certificatul de securitate industrial
ori, dup caz, va comunica obiectivului industrial refuzul eliberrii acestora.
Art. 231
Obiectivul industrial are obligaia de a comunica ORNISS toate modificrile survenite
privind datele de securitate incluse n chestionarul completat, pe ntreaga durat de valabilitate a
autorizaiei sau certificatului de securitate industrial.
Art. 232
Termenele pentru eliberarea autorizaiei sau certificatului de securitate industrial sunt: a)
pentru autorizaia de securitate industrial - 60 de zile lucrtoare;
b) pentru certificat de securitate industrial de nivel secret - 90 de zile lucrtoare; c)
pentru certificat de securitate industrial de nivel strict secret - 120 de zile lucrtoare; d) pentru
certificat de securitate industrial de nivel strict secret de importan deosebit 180 de zile
lucrtoare.
Art. 233
(1) Autorizaia de securitate are valabilitate pn la ncheierea contractului sau pn la
retragerea de la negocieri.
(2) Dac n perioada menionat la alin. (1) contractul clasificat care a fcut obiectul
negocierilor este adjudecat, contractantul este obligat s solicite la ORNISS eliberarea
certificatului de securitate industrial.
(3) Termenul de valabilitate al certificatului de securitate industrial este determinat de
perioada derulrii contractului clasificat, dar nu mai mult de 3 ani, dup care contractantul este
obligat s solicite revalidarea acestuia.
Art. 234
n situaia n care ORNISS decide retragerea autorizaiei sau certificatului de securitate
industrial va ntiina contractantul, contractorul i autoritatea desemnat de securitate
competent.
Art. 235
Autorizaia sau certificatul de securitate industrial se retrage de ORNISS n urmtoarele
cazuri: a) la solicitarea obiectivului industrial;
b) la propunerea motivat a autoritii desemnate de securitate competente;
c) la expirarea termenului de valabilitate,
d) la ncetarea contractului;
e) la schimbarea nivelului de certificare acordat iniial.
CAPITOLUL VIII: PROTECIA SURSELOR GENERATOARE DE
INFORMAII INFOSEC
SECIUNEA 1: Dispoziii generale
Art. 236
Modalitile i msurile de protecie a informaiilor clasificate care se prezint n format
electronic sunt similare celor pe suport de hrtie.
Art. 237
Termenii specifici, folosii n prezentul capitol, cu aplicabilitate n domeniul INFOSEC,
se definesc dup cum urmeaz:
- INFOSEC - ansamblul msurilor i structurilor de protecie a informaiilor clasificate
care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaii
i al altor sisteme electronice, mpotriva ameninrilor i a oricror aciuni care pot aduce
atingere confidenialitii, integritii, disponibilitii autenticitii i nerepudierii informaiilor
clasificate precum i afectarea funcionrii sistemelor informatice, indiferent dac acestea apar
accidental sau intenionat. Msurile INFOSEC acoper securitatea calculatoarelor, a
transmisiilor, a emisiilor, securitatea criptografic, precum i depistarea i prevenirea
ameninrilor la care sunt expuse informaiile i sistemele;
- informaiile n format electronic - texte, date, imagini, sunete, nregistrate pe dispozitive
de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub form de cureni,
tensiuni sau cmp electromagnetic, n eter sau n reele de comunicaii;
- sistemul de prelucrare automat a datelor - SPAD - ansamblul de elemente
interdependente n care se includ: echipamentele de calcul, produsele software de baz i
aplicative, metodele, procedeele i, dac este cazul, personalul, organizate astfel nct s asigure
ndeplinirea funciilor de stocare, prelucrare automat i transmitere a informaiilor n format
electronic, i 46care se afl sub coordonarea i controlul unei singure autoriti. Un SPAD poate
s cuprind subsisteme, iar unele dintre acestea pot fi ele nsele SPAD;
- componentele specifice de securitate ale unui SPAD, necesare asigurrii unui nivel
corespunztor de protecie pentru informaiile clasificate care urmeaz a fi stocate sau procesate
ntr-un SPAD, sunt:
- funcii i caracteristici hardware/firmware/software;
- proceduri de operare i moduri de operare;
- proceduri de eviden;
- controlul accesului;
- definirea zonei de operare a SPAD;
- definirea zonei de operare a posturilor de lucru/a terminalelor la distan;
- restricii impuse de politica de management,
- structuri fizice i dispozitive;
- mijloace de control pentru personal i comunicaii;
- reele de transmisii de date - RTD - ansamblul de elemente interdependente n care se
includ: echipamente, programe i dispozitive de comunicaie, tehnic de calcul hardware i
software, metode i proceduri pentru transmisie i recepie de date i controlul reelei, precum i,
dac este cazul, personalul aferent. Toate acestea sunt organizate astfel nct s asigure
ndeplinirea funciilor de transmisie a informaiilor n format electronic ntre dou sau mai multe
SPAD sau s permit interconectarea cu alte RTD-uri. O RTD poate utiliza serviciile unuia sau
mai multor sisteme de comunicaii; mai multe RTD pot utiliza serviciile unuia i aceluiai sistem
de comunicaii.
Caracteristicile de securitate ale unei RTD cuprind: caracteristicile de securitate ale
sistemelor SPAD individuale conectate, mpreun cu toate componentele i facilitile asociate
reelei - faciliti de comunicaii ale reelei, mecanisme i proceduri de identificare i etichetare,
controlul accesului, programe i proceduri de control i revizie - necesare pentru a asigura un
nivel corespunztor de protecie pentru informaiile clasificate, care sunt transmise prin
intermediul RTD;
- RTD local - reea de transmisii de date care interconecteaz mai multe computere sau
echipamente de reea, situate n acelai perimetru;
- sistemul informatic i de comunicaii - SIC ansamblu informatic prin intermediul cruia
se stocheaz, se proceseaz i se transmit informaii n format electronic, alctuit din cel puin un
SPAD, izolat sau conectat la o RTD. Poate avea o configuraie complex, format din mai multe
SPAD-uri i/sau RTD-uri interconectate,
- securitatea SPAD, RTD i SIC - aplicarea msurilor de securitate la SPAD i RTD - SIC
cu scopul de a preveni sau mpiedica extragerea sau modificarea informaiilor clasificate stocate,
procesate, transmise prin intermediul acestora - prin interceptare, alterare, distrugere, accesare
neautorizat cu mijloace electronice, precum i invalidarea de servicii sau funcii, prin mijloace
specifice,
- confidenialitatea - asigurarea accesului la informaii clasificate numai pe baza
certificatului de securitate al persoanei, n acord cu nivelul de secretizare a informaiei accesate
i a permisiunii rezultate din aplicarea principiului nevoii de a cunoate;
- integritatea - interdicia modificrii - prin tergere sau adugare - ori a distrugerii n mod
neautorizat a informaiilor clasificate;
- disponibilitatea - asigurarea condiiilor necesare regsirii i folosirii cu uurin, ori de
cte ori este nevoie, cu respectarea strict a condiiilor de confidenialitate i integritate a
informaiilor clasificate;
- autenticitatea - asigurarea posibilitii de verificare a identitii pe care un utilizator de
SPAD sau RTD pretinde c o are;
- nerepudierea - msur prin care se asigur faptul c, dup emiterea/recepionarea unei
informaii ntr-un sistem de comunicaii securizat, expeditorul/destinatarul nu poate nega, n mod
fals, c a expediat/primit informaii;
- risc de securitate - probabilitatea ca o ameninare sau o vulnerabilitate ale SPAD sau
RTD - SIC s se materializeze n mod efectiv;
format electronic;
b) exploatarea operaional a SPAD i RTD - SIC n condiii de securitate;
c) coordonarea cooperrii dintre unitatea deintoare a SPAD sau RTD - SIC i autoritatea
care asigur acreditarea;
d) implementarea msurilor de securitate i protecia criptografic ale SPAD sau RTD SIC.
(4) CSTIC reprezint punctul de contact al ageniilor competente cu unitile care dein n
administrare SPAD sau RTD-SIC i, dup caz, poate fi nvestit, temporar, de ctre aceste
agenii, cu unele dintre atribuiile lor.
(5) Propunerile pe linie de securitate avansate de ctre CSTIC devin operaionale numai
dup ce au fost aprobate de ctre conducerea unitii care deine n administrare respectivul
SPAD sau RTD - SIC.
Art. 245
CSTIC se instituie la nivelul fiecrei SPAD i RTD - SIC i reprezint persoana sau
compartimentul cu responsabilitatea delegat de ctre agenia de securitate pentru informatic
i comunicaii de a implementa metodele, mijloacele i msurile de securitate i de a exploata
SPAD i RTD - SIC n condiii de securitate.
Art. 246
CSTIC este condus de ctre funcionarul de securitate TIC i are n compunere
administratorii de securitate i, dup caz, i ali specialiti din SPAD sau RTD - SIC. Toat
structura CSTIC face parte din personalul unitii care administreaz SPAD sau RTD - SIC.
Art. 247
Exercitarea atribuiilor CSTIC trebuie s cuprind ntregul ciclu de via al SPAD sau
RTD -SIC, ncepnd cu proiectarea, continund cu elaborarea specificaiilor, testarea instalrii,
acreditarea, testarea periodic n vederea reacreditrii, exploatarea operaional, modificarea i
ncheind cu scoaterea din uz. n anumite situaii, rolul CSTIC poate fi preluat de ctre alte
componente ale unitii, n decursul ciclului de via.
Art. 248
CSTIC mijlocete cooperarea dintre conducerea unitii creia i aparine SPAD sau RTD
- SIC i agenia pentru acreditare de securitate, atunci cnd unitatea:
a ) planific dezvoltarea sau achiziia de SPAD sau RTD;
b) propune schimbri ale unei configuraii de sistem exis
c) propune conectarea unui SPAD sau a unei RTD - SIC cu un alt SPAD sau RTD - SIC;
d) propune schimbri ale modului de operare de securitate ale SPAD sau RTD - SIC;
e) propune schimbri n programele existente sau utilizarea de noi programe, pentru
optimizarea securitii SPAD sau RTD - SIC;
f) iniiaz proceduri de modificare a nivelului de clasificare a SPAD i RTD - SIC care au
fost deja acreditate;
g) planific sau propune ntreprinderea oricrei alte activiti referitoare la mbuntirea
securitii SPAD sau RTD - SIC deja acreditate.
Art. 249
CSTIC, cu aprobarea autoritii de acreditare de securitate, stabilete standardele i
procedurile de securitate care trebuie respectate de ctre furnizorii de echipamente, pe parcursul
dezvoltrii, instalrii i testrii SPAD i RTD - SIC i rspunde pentru justificarea, selecia,
implementarea i controlul componentelor de securitate, care constituie parte a SPAD i RTD SIC.
Art. 250
CSTIC stabilete, pentru structurile de securitate i management ale SPAD i RTD - SIC,
nc de la nfiinare, responsabilitile pe care le vor exercita pe tot ciclul de via al SPAD i
RTD - SIC respective.
Art. 251
Activitatea INFOSEC din SPAD i RTD - SIC, desfurat de ctre CSTIC, trebuie
condus i coordonat de persoane care dein certificat de securitate corespunztor, cu pregtire
de specialitate n domeniul sistemelor TIC precum i al securitii acestora, obinut n instituii
de nvmnt acreditate INFOSEC, sau care au lucrat n domeniu cel puin 5 ani.
Art. 252
Protecia SPAD i RTD - SIC din compunerea sistemelor de armament i de detecie va fi
definit n contextul general al sistemelor din care acestea fac parte i va fi realizat prin
aplicarea prevederilor prezentelor standarde.
SECIUNEA 2: Structuri organizatorice cu atribuii specifice n domeniul
INFOSEC
A. Agenia de acreditare de securitate
Art. 253
Agenia de acreditare de securitate este subordonat instituiei desemnate la nivel naional
pentru protecia informaiilor clasificate, are reprezentani delegai din cadrul ADS implicate, n
funcie de SPAD i RTD -SIC care trebuie acreditate, i ndeplinete urmtoarele atribuii
principale:
a) asigur, la nivel naional, acreditarea de securitate i reacreditarea SPAD i RTD - SIC
care stocheaz, proceseaz sau transmit informaii clasificate, n funcie de nivelul de clasificare
a acestora;
b) asigur evaluarea i certificarea sistemelor SPAD i RTD - SIC sau a unor elemente
componente ale acestora;
c) stabilete criteriile de acreditare de securitate pentru SPAD i RTD - SIC.
Art. 254
Agenia de acreditare de securitate i exercit atribuiile n domeniul INFOSEC n
numele instituiei desemnate la nivel naional pentru protecia informaiilor clasificate i are
responsabilitatea de a impune standarde de securitate n acest domeniu.
B. Agenia de securitate pentru informatic i comunicaii
Art. 255
Agenia de securitate pentru informatic i comunicaii este structura subordonat
instituiei desemnate la nivel naional pentru protecia informaiilor electronice clasificate, avnd
reprezentani delegai din cadrul ADS implicate care acioneaz la nivel naional.
Art. 256
Agenia este responsabil de conceperea i implementarea mijloacelor, metodelor i
msurilor de protecie a informaiilor clasificate care sunt stocate, procesate sau transmise prin
intermediul SPAD i RTD -SIC i are, n principal, urmtoarele atribuii:
a) coordoneaz activitile de protecie a informaiilor clasificate care sunt stocate,
procesate sau transmise prin intermediul SPAD i RTD - SIC;
b) elaboreaz i promoveaz reglementri i standarde specifice;
c) analizeaz cauzele incidentelor de securitate i gestioneaz baza de date privind
ameninrile i vulnerabilitile din sistemele de comunicaie i informatice, necesare pentru
elaborarea managementul de risc;
ndeplineasc
principiul necesitii de a cunoate, n situaia n care accesul unui vizitator fr
autorizare de securitate este considerat necesar, vor fi luate msuri de securitate suplimentare
pentru ca acesta s nu poat avea acces la informaiile clasificate.
SECIUNEA 4: Componentele EVFOSEC
A. Securitatea personalului
Art. 274
(1) Utilizatorii SPAD i RTD - SIC sunt autorizai i li se permite accesul la informaii
clasificate pe baza principiului necesitii de a cunoate i n funcie de nivelul de clasificare a
informaiilor stocate, procesate sau transmise prin aceste sisteme.
(2) Unitile deintoare de informaii clasificate n format electronic au obligaia de a
institui msuri speciale pentru instruirea i supravegherea personalului, inclusiv a personalului de
proiectare de sistem care are acces la SPAD i RTD, n vederea prevenirii i nlturrii
vulnerabilitilor fa de accesarea neautorizat.
Art. 275
n proiectarea SPAD i RTD - SIC trebuie s se aib n vedere ca atribuirea sarcinilor i
rspunderilor personalului s se fac n aa fel nct s nu existe o persoan care s aib
cunotin sau acces la toate programele i cheile de securitate - parole, mijloace de
identificare personal.
Art. 276
Procedurile de lucru ale personalului din SPAD i RTD - SIC trebuie s asigure separarea
ntre operaiunile de programare i cele de exploatare a sistemului sau reelei. Este interzis, cu
excepia unor situaii speciale, ca personalul s fac att programarea, ct i operarea sistemelor
sau reelelor i trebuie instituite proceduri speciale pentru depistarea acestor situaii.
Art. 277
Pentru orice fel de modificare aplicat unui sistem SPAD sau RTD - SIC este obligatorie
colaborarea a cel puin dou persoane - regula celor doi. Procedurile de securitate vor meniona
explicit situaiile n care regula celor doi trebuie aplicat.
Art. 278
Pentru a asigura implementarea corect a msurilor de securitate, personalul SPAD i
RTD -SIC i personalul care rspunde de securitatea acestora trebuie s fie instruit i informat
astfel nct s i cunoasc reciproc atribuiile.
B. Securitatea fizic
Art. 279
Zonele n care sunt amplasate SPAD i/sau RTD - SIC i cele cu terminale la distant, n
care sunt prezentate, stocate, procesate sau transmise informaii clasificate ori n care este posibil
accesul potenial la astfel de informaii, se declar zone de securitate clasa I sau clasa II ale
obiectivului i se supun msurilor de protecie fizic stabilite prin prezentele standarde.
Art. 280
n zonele n care sunt amplasate sisteme SPAD i terminale la distan - staii de lucru,
unde se proceseaz i/sau pot fi accesate informaii clasificate, se aplic urmtoarele msuri
generale de securitate:
a) intrarea personalului i a materialelor, precum i plecarea n/din aceste zone sunt
controlate prin mijloace bine stabilite;
b) zonele i locurile n care securitatea SPAD sau RTD - SIC sau a terminalelor la
distan poate fi modificat nu trebuie s fie niciodat ocupate de un singur angajat autorizat;
c) persoanelor care solicit acces temporar sau cu intermitene n aceste zone trebuie s li se
autorizeze accesul, ca vizitatori, de ctre responsabilul pe probleme de securitate al zonei,
desemnat de ctre administratorul de securitate al obiectivului SIC. Vizitatorii vor fi nsoii
permanent, pentru a avea garania c nu pot avea acces la informaii clasificate i nici la
echipamentele utilizate.
Art. 281
n funcie de riscul de securitate i de nivelul de secretizare al informaiilor stocate,
procesate i transmise, se impune cerina de aplicare a regulii de lucru cu dou persoane i n alte
zone, ce vor fi stabilite n stadiul iniial al proiectului i prezentate n cadrul CSS.
Art. 282
Cnd un SPAD este exploatat n mod autonom, deconectat n mod permanent de alte
SPAD, innd cont de condiiile specifice, de alte msuri de securitate, tehnice sau procedurale i
de rolul pe care l are respectivul SPAD n funcionarea de ansamblu a sistemului, agenia de
acreditare de securitate trebuie s stabileasc msuri specifice de protecie, adaptate la structura
acestui SPAD, conform nivelului de clasificare a informaiilor gestionate.
C. Controlul accesului la SPAD i/sau la RTD -SIC
Art. 283
Toate informaiile i materialele care privesc accesul la un SPAD sau RTD - SIC sunt
controlate i protejate prin reglementri corespunztoare nivelului de clasificare cel mai nalt i
specificului informaiilor la care respectivul SPAD sau RTD - SIC permite accesul.
Art. 284
Cnd nu mai sunt utilizate, informaiile i materialele de control specificate la articolul
precedent trebuie s fie distruse conform prevederilor prezentelor standarde.
D. Securitatea informaiilor clasificate n format electronic
Art. 285
Informaiile clasificate n format electronic trebuie s fie controlate conform regulilor
INFOSEC, nainte de a fi transmise din zonele SPAD i RTD - SIC sau din cele cu terminale la
distan.
Art. 286
Modul n care este prezentat informaia n clar, chiar dac se utilizeaz codul prescurtat
de transmisie sau reprezentarea binar ori alte forme de transmitere la distan, nu trebuie s
influeneze nivelul de clasificare acordat informaiilor respective.
Art. 287
Cnd informaiile sunt transferate ntre diverse SPAD sau RTD - SIC, ele trebuie s fie
protejate att n timpul transferului, ct i la nivelul sistemelor informatice ale beneficiarului,
corespunztor cu nivelul de clasificare al informaiilor transmise.
Art. 288
Toate mediile de stocare a informaiilor se pstreaz ntr-o modalitate care s corespund
celui mai nalt nivel de clasificare a informaiilor stocate sau suporilor, fiind protejate
permanent.
Art. 289
Copierea informaiilor clasificate situate pe medii de stocare specifice TIC se execut n
conformitate cu prevederile din procedurile operaionale de securitate.
Art. 290
Sistemele SPAD i RTD-SIC care stocheaz, proceseaz sau transmit informaii secrete
de stat vor fi protejate corespunztor fa de vulnerabilitile de securitate cauzate de radiaiile
compromitoare -TEMPEST. "
C. Securitatea n timpul procesrii informaiilor clasificate
Art. 304
Procesarea informaiilor se realizeaz n conformitate cu procedurile operaionale de
securitate, prevzute n prezentele standarde.
Art. 305
Transmiterea informaiilor secrete de stat ctre instalaii automate - a cror funcionare nu
necesit prezena unui operator uman - este interzis, cu excepia cazului cnd se aplic
reglementri speciale aprobate de ctre autoritatea de acreditare de securitate, iar acestea
au fost specificate n procedurile operaionale de securitate.
Art. 306
n SPAD sau RTD-SIC care au utilizatori - existeni sau poteniali - fr certificate de
securitate emise conform prezentelor standarde nu se pot stoca, procesa sau transmite informaii
strict secrete de importan deosebit.
D. Procedurile operaionale de securitate
Art. 307
Procedurile operaionale de securitate reprezint descrierea implementrii strategiei de
securitate ce urmeaz s fie adoptat, a procedurilor operaionale de urmat i a responsabilitilor
personalului.
Art. 308
Procedurile operaionale de securitate sunt elaborate de ctre agenia de concepere i
implementare a metodelor, mijloacelor i msurilor de securitate, n colaborare cu CSTIC,
precum i cu agenia de acreditare de securitate, care are atribuii de coordonare, i alte autoriti
cu atribuii n domeniu. Agenia de acreditare de securitate va aproba procedurile de operare
nainte de a autoriza stocarea, procesarea sau transmiterea informaiilor secrete de stat prin SPAD
- RTD - SIC.
E. Protecia produselor software i managementul configuraiei
Art. 309
CSTIC are obligaia s efectueze controale periodice, prin care s stabileasc dac toate
produsele software originale - sisteme de operare generale, subsisteme i pachete soft - aflate n
folosin, sunt protejate n condiii conforme cu nivelul de clasificare al informaiilor pe care
acestea trebuie s le proceseze. Protecia programelor - software de aplicaie se stabilete pe baza
evalurii nivelului de secretizare a acestora, innd cont de nivelul de clasificare a informaiilor
pe care urmeaz s le proceseze.
Art. 310
(1) Este interzis utilizarea de software neautorizat de ctre agenia de acreditare de
securitate.
(2) Conservarea exemplarelor originale, a copiilor - backup sau off-site, precum i
salvrile periodice ale datelor obinute din procesare vor fi executate n conformitate cu
prevederile procedurilor operaionale de securitate.
Art. 311
(1) Versiunile software care sunt n uz trebuie s fie verificate la intervale regulate, pentru
a garanta integritatea i funcionarea lor corect.
(2) Versiunile noi sau modificate ale software-ului nu vor fi folosite pentru procesarea
informaiilor secrete de stat, pn cnd procedurile de securitate ale acestora nu sunt testate i
aprobate conform CSS.
(3) Un software care mbuntete posibilitile sistemului i care nu are nici o procedur
de securitate nu poate fi folosit nainte de a fi verificat de ctre CSTIC.
F. Verificri pentru depistarea viruilor de calculator i a software-ului nociv
Art. 312
Verificarea prezenei viruilor i software-ului nociv se face n conformitate cu cerinele
impuse de ctre agenia de acreditare de securitate.
Art. 313
(1) Versiunile de software noi sau modificate - sisteme de operare, subsisteme, pachete de
software i software de aplicaie - stocate pe diferite medii care se introduc ntr-o unitate, trebuie
verificate obligatoriu pe sisteme de calcul izolate, n vederea depistrii software-ului nociv sau a
viruilor de calculator, nainte de a fi folosite n SPAD sau RTD - SIC. Periodic se va proceda la
verificarea software-ului instalat.
(2) Verificrile trebuie fcute mai frecvent dac SPAD sau RTD - SIC sunt conectate la
alt SPAD sau RTD -SIC sau la o reea public de comunicaii.
G. ntreinerea tehnic a SPAD sau RTD - SIC
Art. 314
(1) n contractele de ntreinere a SPAD i RTD - SIC care stocheaz, proceseaz sau
transmit informaii secrete de stat, se vor specifica cerinele care trebuie ndeplinite pentru ca
personalul de ntreinere i aparatura specific a acestuia s poat fi introduse n zona de operare
a sistemelor respective.
(2) Personalul de ntreinere trebuie s dein certificate de securitate de nivel
corespunztor nivelului de secretizare a informaiilor la care au acces.
Art. 315
Scoaterea echipamentelor sau a componentelor hardware din zona SPAD sau RTD - SIC
se execut n conformitate cu prevederile procedurilor operaionale de securitate.
Art. 316
Cerinele menionate la art. 314 trebuie stipulate n CSS, iar procedurile de desfurare a
activitii respective trebuie stabilite n procedurile operaionale de securitate. Nu se accept
tipurile de ntreinere care constau n aplicarea unor proceduri de diagnosticare ce implic
accesul de la distan la sistem, dect dac activitatea respectiv se desfoar sub control strict
i numai cu aprobarea ageniei de acreditare de securitate.
H. Achiziii
Art. 317
Sistemele SPAD sau RTD - SIC, precum i componentele lor hardware i software sunt
achiziionate de la furnizori interni sau externi selectai dintre cei agreai de ctre agenia de
acreditare de securitate.
Art. 318
Componentele sistemelor de securitate implementate n SPAD sau RTD - SIC trebuie
acreditate pe baza unei documentaii tehnice amnunite privind proiectarea, realizarea i modul
de distribuire al acestora.
Art. 319
SPAD sau RTD - SIC care stocheaz, proceseaz sau transmit informaii secrete de stat
sau componentele lor de baz - sisteme de operare de scop general, produse de limitare a
funcionrii pentru realizarea securitii i produse pentru comunicare n reea - se pot achiziiona
numai dac au fost evaluate i certificate de ctre agenia de acreditare de securitate.
Art. 320
Pentru SPAD i RTD - SIC care stocheaz, proceseaz sau transmit informaii secrete de
serviciu, sistemele i componentele lor de baz vor respecta, pe ct posibil, criteriile prevzute de
prezentele standarde.
Art. 321
La nchirierea unor componente hardware sau software, n special a unor medii de
stocare, se va ine cont c astfel de echipamente, odat utilizate n SPAD sau RTD - SIC ce
proceseaz, stocheaz sau transmit informaii clasificate, vor fi supuse msurilor de protecie
reglementate prin prezentele standarde. O dat clasificate, componentele respective nu vor putea
fi scoase din zonele SPAD sau RTD - SIC dect dup declasificare.
I. Acreditarea SPAD i RTD - SIC
Art. 322
(1) Toate SPAD i RTD - SIC, nainte de a fi utilizate pentru stocarea, procesarea sau
transmiterea informaiilor clasificate, trebuie acreditate de ctre agenia de acreditare de
securitate, pe baza datelor furnizate de ctre CSS, procedurilor operaionale de securitate i altor
documentaii relevante.
(2) Subsistemele SPAD i RTD - SIC i staiile de lucru cu acces la distan sau
terminalele vor fi acreditate ca parte integrant a sistemelor SPAD i RTD - SIC la care sunt
conectate, n cazul n care un sistem SPAD sau RTD - SIC deservete att NATO, ct i
organizaiile/structurile interne ale rii, acreditarea se va face de ctre autoritatea naional de
securitate, cu consultarea ADS i a ageniilor INFOSEC, potrivit competenelor.
J. Evaluarea i certificarea
Art. 323
n situaiile ce privesc modul de operare de securitate multi-nivel, nainte de acreditarea
propriu-zis a SPAD sau RTD - SIC, hardware-ul, firmware-ul i software-ul vor fi evaluate i
certificate de ctre agenia de acreditare de securitate, n acest sens, instituia desemnat la nivel
naional pentru protecia informaiilor clasificate va stabili criterii difereniate pentru fiecare
nivel de secretizare a informaiilor vehiculate de SPAD sau RTD - SIC.
Art. 324
Cerinele de evaluare i certificare se includ n planificarea sistemului SPAD i RTD SIC i sunt stipulate explicit n CSS, imediat dup ce modul de operare de securitate a fost
stabilit.
Art. 325
Urmtoarele situaii impun evaluarea i certificarea de securitate n modul de operare de
securitate multi-nivel:
a) pentru SPAD sau RTD - SIC care stocheaz, proceseaz sau transmite informaii
clasificate strict secret de importan deosebit;
b) pentru SPAD sau RTD - SIC care stocheaz, proceseaz sau transmite informaii
clasificate strict secret, n cazurile n care:
- SPAD sau RTD - SIC este interconectat cu un alt SPAD sau RTD - SIC - de exemplu,
aparinnd altui CSTIC;
- SPAD sau RTD - SIC are un numr de utilizatori posibili care nu poate fi definit exact.
Art. 326
Procesele de evaluare i certificare trebuie s se desfoare, conform principiilor i
50.000.000 lei.
(3) Persoanele sau autoritile care constat contraveniile pot aplica, dup caz, i
sanciunea complementar, constnd n confiscarea, n condiiile legii, a bunurilor destinate,
folosite sau rezultate din contravenii.
(4) Dispoziiile reglementrilor generale referitoare la regimul juridic al contraveniilor se
aplic
n mod corespunztor.
Art. 339
(1) Contraveniile i sanciunile prevzute la art. 338 se constat i se aplic, n limitele
competenelor ce le revin, de ctre persoane anume desemnate din Serviciul Romn de
Informaii, Ministerul Aprrii Naionale, Ministerul de Interne, Ministerul Justiiei, Serviciul de
Informaii Externe, Serviciul de Protecie i Paz i Serviciul de Telecomunicaii Speciale.
(2) Pot s constate contraveniile i s aplice sanciunile prevzute la art. 338, n limitele
competenelor stabilite:
a) persoane anume desemnate din ORNISS;
b) conductorii autoritilor sau instituiilor publice, agenilor economici cu capital parial
sau integral de stat i ai altor persoane juridice de drept public;
c) autoritile sau persoanele prevzute de reglementrile generale referitoare la regimul
juridic al contraveniilor.
(3) Plngerile mpotriva proceselor-verbale de constatare a contraveniilor i de aplicare a
sanciunilor se soluioneaz potrivit reglementrilor generale privind regimul juridic al
contraveniilor.
CAPITOLUL X: DISPOZIII FINALE
Art. 340
Nomenclatura funciilor, condiiile de studii i vechime, precum i salarizarea
personalului cu atribuii privind evidena, ntocmirea, pstrarea, procesarea, multiplicarea,
manipularea, transportul, transmiterea i distrugerea informaiilor clasificate se stabilesc potrivit
actelor normative n vigoare.
Art. 341
Conductorii unitilor care gestioneaz informaii clasificate vor lua msuri ca
dispoziiile prezentelor standarde s fie aduse la cunotina tuturor salariailor i vor ntreprinde
msuri pentru:
a) crearea structurilor interne specializate cu atribuii n aplicarea prezentelor standarde;
b) nominalizarea personalului cu atribuii i funcii privind gestionarea informaiilor clasificate;
c) iniierea demersurilor prevzute de lege i de prezentele standarde, pentru obinerea abilitrilor
privind accesul la informaii clasificate.
Art. 342
La solicitarea persoanelor juridice din sfera de competen a Serviciului Romn de
Informaii, R.A. Rasirom va evalua conformitatea i va prezenta ORNISS propuneri de eliberare
a certificatelor de acreditare a calitii pentru sistemele i echipamentele de protecie fizic a
informaiilor clasificate.
Art. 343
(1) Prezentele standarde se interpreteaz i se aplic n concordan cu Normele privind
protecia informaiilor clasificate ale Organizaiei Tratatului Atlanticului de Nord n Romnia,
aprobate prin Hotrrea Guvernului nr. 353 din 15 aprilie 2002.
(2) n eventualitatea unor neconcordane ntre cele dou reglementri menionate la alin
(1), au prioritate Normele privind protecia informaiilor clasificate ale Organizaiei Tratatului
Atlanticului de Nord n Romnia, aprobate prin Hotrrea Guvernului nr. 353 din 15 aprilie
2002.
Art. 344
Dispoziiile prezentelor standarde referitoare la contraveniile i sanciunile la normele
privind protecia informaiilor clasificate se aplic dup 60 de zile de la publicarea prezentei
hotrri.
Art. 345
Anexele nr. 1-32 fac parte integrant din prezentele standarde naionale de protecie a
informaiilor clasificate.
2. OBIECTIVE
Vor fi prezentate obiectivele urmrite prin msurile prezentate n program.
Vor fi vizate urmtoarele obiective minimale:
- aprarea informaiilor clasificate mpotriva aciunilor de compromitere, sabotaj,
sustragere, distrugere neautorizat sau alterare;
- prevenirea accesului neautorizat la astfel de informaii, a cunoaterii i diseminrii lor
ilegale;
- nlturarea riscurilor i vulnerabilitilor ce pot pune n pericol protecia informaiilor
clasificate;
- asigurarea cadrului procedural necesar proteciei informaiilor clasificate.
3. PRINCIPII
Se precizeaz principiile care stau la baza msurilor de prevenire a scurgerii de
informaii.
Msurile de prevenire a scurgerii de informaii se bazeaz pe:
- autorizarea accesului la informaiile clasificate absolut necesare ndeplinirii atribuiilor
de serviciu (principiul "nevoii de a cunoate ");
- asigurarea aplicrii msurilor de protecie, n mod difereniat, pe zone de securitate i n
funcie de nivelurile de acces la informaii clasificate;
- accesul la informaii clasificate este permis numai n baza verificrilor i abilitrilor
legale;
- aplicarea, n mod obligatoriu i unitar, a msurilor de protecie att n locurile n care se
INFORMAIILOR,
DOCUMENTELOR ORI A ACTIVITILOR CLASIFICATE
Vor fi prezentate:
- reguli de eviden, procesare, manipulare, accesare, multiplicare, transmitere, pstrare i
stocare a datelor, informaiilor i documentelor clasificate indiferent de suport (aprobate de
conducerea instituiei/agentului economic);
- reguli de acces pentru personalul propriu;
- reguli de acces pentru personalul/persoanele din afara instituiei/agentului economic,
inclusiv pentru strini sau reprezentani mass-media.
CAPITOLUL VI: PREZENTAREA SISTEMULUI/SUBSISTEMULUI
INFORMATIC I DE
TELECOMUNICAII DESTINATE PRELURII, PRELUCRRII, STOCRII
I TRANSMITERII DE DATE I INFORMAII CLASIFICATE
Vor fi prezentate echipamentele de comunicaii i birotic (telefoane, fax, telex,
copiatoare) prin care vor fi transmise/prelucrate informaii clasificate.
Vor fi. prezentate, de asemenea, echipamentul informatic existent, calculatoarele
conectate la Tnternet, sistemele de protecie utilizate i firma prestatoare de servicii pentru
ntreinerea sau instalarea programelor (conform anexei nr./ O/C).
n situaia n care unele dintre aceste echipamente nu sunt protejate corespunztor, se va
face precizarea c folosirea acestora pentru prelucrarea informaiilor clasificate este interzis.
CAPITOLUL VII: MSURI DE PROTECIE MPOTRIVA. OBSERVRII I
ASCULTRII *
_____
* Zonele n care se elaboreaz i/sau se discut informaii clasificate secret de stat trebuie
protejate mpotriva observrii i ascultrii pasive i/sau active. Responsabilitatea nlturrii
riscurilor privind observarea i ascultarea revine instituiei/agentului economic, care elaboreaz
sau, dup caz, gestioneaz informaii clasificate (conform anexei nr. 10/D).
CAPITOLUL VIII
1. CONTROALE, ACTIVITI DE ANALIZ I EVALUARE A MODULUI N
CARE SE
RESPECT PREVEDERILE LEGALE REFERITOARE LA PROTECIA
INFORMAIILOR
CLASIFICATE
Vor fi prezentate tematica i periodicitatea controalelor (inopinate, periodice), cine le
execut, documentele ce se ntocmesc i sanciunile ce se vor aplica n cazurile de nclcare a
reglementrilor privind protecia informaiilor clasificate.
Se va. ntocmi planificarea, activitilor de evaluare i analiz a strii de protecie a
informaiilor clasificate i se va prevedea ca anual, dup ncheierea operaiunii de inventariere a
suporilor de informaii clasificate s se analizeze i s se evalueze modul n care au fost
respectate prevederile programului, prevzndu-se i msurile care se impun i termenele de
remediere a unor nereguli constatate.
2. SOLUIONAREA CAZURILOR DE NCLCARE A REGLEMENTRILOR
PRIVIND
PROTECIA INFORMAIILOR CLASIFICATE (CONFORM ANEXEI Nr. 10/E)
Se vor face referiri la:
- msurile ce vor fi luate n cazul constatrii nclcrii reglementrilor privind protecia
informaiilor clasificate;
- evidena nclcrilor reglementrilor de securitate;
- comunicarea compromiterilor;
- scoaterea din eviden a documentelor clasificate pierdute sau distruse.
CAPITOLUL IX: MSURI DE INSTRUIRE I EDUCAIE PROTECTIV A
PERSOANELOR
CARE AU ATRIBUII PE LINIA PROTECIEI INFORMAIILOR
CLASIFICATE I A CELOR
CARE AU ACCES LA ASTFEL DE INFORMAII (CONFORM ANEXEI Nr. 10/F)
*
Se vor preciza:
- situaii care impun asemenea msuri;
- responsabiliti;
- mijloace i metode de instruire i pregtire contrainformativ.
_____
* Planul specific de pregtire a personalului este elaborat la nceputul fiecrui an. n
coninutul acestuia vor fi menionate responsabilitile, termenele, mijloacele i metodele de
instruire i educaie protectiv. Funcionarul sau structura de securitate va ine evidena
instruirilor/activitilor de educaie protectiv i va asigura pregtirea tuturor persoanelor avizate
pentru acces la informaii clasificate, care nu au participat la instruirile organizate.
ntocmit
(numele, prenumele i semntura funcionarului de securitate)
Rspunderea pentru ntocmirea, avizarea i aplicarea programului de prevenire a
scurgerii de informaii clasificate revine conductorului unitii deintoare.
Programul de prevenire a scurgerii de informaii clasificate se actualizeaz, anual sau ori
de cte ori se impune (identificarea unor noi riscuri i vulnerabiliti, apariia unor noi situaii sau
acte normative), modificrile efectuate aducndu-se de fiecare dat la cunotin instituiei
abilitate, unde se transmite sub form de completare pentru a fi avizat.
Se ntocmete n 2 exemplare (un exemplar la beneficiar i unul la instituia abilitat).
ANEXA Nr. 10/A
LOCURI UNDE SE CONCENTREAZ, DE REGUL ORI TEMPORAR, DATE,
INFORMAII I
DOCUMENTE CLASIFICATE SAU SE DESFOAR ASTFEL DE
ACTIVITI
De la caz la caz, pentru fiecare zon administrativ, zon de securitate sau incint n care
se desfoar activiti, se lucreaz cu/se gestioneaz informaii clasificate vor fi menionate
msurile de securitate protectiv existente i garaniile pe care le prezint n protecia
informaiilor i activitilor clasificate. De asemenea, se vor meniona sarcinile i atribuiile ce
trebuie ndeplinite conform Regulamentului de organizare i funcionare intern.
Msurile de protecie fizic a ncperilor i locurilor unde se pstreaz sau se
manipuleaz
informaii clasificate sau se desfoar astfel de activiti se vor organiza i implementa
n funcie de zonele de securitate. Accesul n zonele de securitate i ncperile n care se
deruleaz
activiti ori se lucreaz cu informaii clasificate va fi permis exclusiv persoanelor
abilitate, potrivit nivelurilor de clasificare, cu respectarea principiului "nevoii de a cunoate".
Zonele n care sunt manipulate sau stocate informaii clasificate trebuie organizate i
administrate n aa fel nct s corespund uneia dintre urmtoarele categorii: a) Zona de
securitate clasa I, care presupune c orice persoan aflat n interiorul acesteia are acces la
informaii secrete de stat, de nivelul "strict secret" i "strict secret de importan
deosebit". O asemenea zon. necesit:
- un perimetru clar definit i protejat, n care toate intrrile i ieirile sunt supravegheate;
- controlul sistemului de intrare, care s permit numai accesul persoanelor verificate
corespunztor i autorizate n mod special;
- indicarea clasei i nivelului de securitate a informaiilor existente n zon; b) Zona de
securitate clasa a II-a, care presupune c gestionarea informaiilor de nivel secret se realizeaz
prin aplicarea unor msuri specifice de protecie mpotriva accesului persoanelor neautorizate.
O asemenea zon necesit:
- perimetru clar definit i protejat, n care toate intrrile i ieirile sunt supravegheate;
- controlul sistemului de intrare, pentru a permite accesul nensoit numai persoanelor
verificate i autorizate s ptrund n aceast zon. Pentru toate celelalte persoane trebuie s
existe reguli de nsoire, supraveghere i prevenire a accesului neautorizat la informaii
clasificate sau n sectoare n care sunt manipulate i stocate astfel de informaii.
Incintele n care nu se lucreaz zilnic 24 de ore vor fi inspectate dup orele de program,
pentru a verifica dac informaiile clasificate sunt asigurate n mod corespunztor.
c) Zona administrativ
n jurul zonelor de securitate clasa I sau clasa a II-a poate fi stabilit o zon
administrativ cu perimetru vizibil definit, n interiorul creia s existe posibilitatea de control al
personalului i vehiculelor, n zona administrativ sunt permise manipularea i pstrarea numai a
informaiilor secrete de serviciu.
ANEXA Nr. 10/B
MSURI DE PROTECIE FIZIC A CLDIRILOR, SPAIILOR/LOCURILOR
UNDE SE
PSTREAZ SAU SE CONCENTREAZ DATE, INFORMAII I
DOCUMENTE CLASIFICATE
ORI SE DESFOAR ASTFEL DE ACTIVITI
Securitatea cldirilor
Cldirile, spaiile/locurile n care se afl informaii clasificate trebuie protejate mpotriva
accesului neautorizat.
Msurile de protecie (grilaje la ferestre, ncuietori la ui, paz la intrri, sisteme automate
pentru controlul accesului, controale i patrule de securitate, sisteme de alarm sau pentru
detectarea intruilor etc.) vor fi dimensionate n raport cu:
a) clasa de securitate a informaiilor, suportul, volumul i modul de depozitare a acestora
n cldire;
b) calitatea containerelor n care sunt depozitate informaiile clasificate; c) locul de
dispunere a spaiilor/locurilor unde se pstreaz sau se concentreaz date, informaii i
documente clasificate ori se desfoar astfel de activiti;
d) caracteristicile cldirii.
Controlul intrrilor i ieirilor
Intrrile n zonele de securitate clasa I i clasa a II-a vor fi controlate prin permis de
intrare sau printr-un sistem special de recunoatere personal aplicat personalului permanent, n
mod obligatoriu se va institui un sistem de control al vizitatorilor pentru prevenirea accesului
persoanele abilitate.
Pentru cazurile de urgen, un rnd de chei suplimentare (o eviden scris a fiecrei
combinaii) vor fi pstrate n plicuri mate sigilate ntr-un compartiment stabilit de conducerea
instituiei/agentului economic, sub control corespunztor, n containere separate. Evidena
fiecrei combinaii trebuie pstrat n plic separat. Cheilor i plicurilor trebuie s li se asigure
protecie la nivelul de securitate a informaiilor clasificate la care acestea permit accesul.
Cunoaterea combinaiilor ncuietorilor de la containerele de securitate va fi restrns la
un numr minim de persoane. Cheile i combinaiile vor fi schimbate:
a) ori de cte ori are loc o schimbare de personal;
b) de fiecare dat cnd se constat c a avut loc un compromis de natur s le fac
vulnerabile;
c) la intervale regulate, de preferin o dat la ase luni (fr a se depi 12 luni).
Dispozitive de detectare a intruilor
Cnd se folosesc sisteme de alarm, televiziune cu circuit nchis sau alte dispozitive
destinate supravegherii zonelor de securitate sau proteciei informaiilor clasificate, sursa de
alimentare trebuie s aib att conectare permanent, ct i de rezerv (eventual, o baterie
rencrcabil).
Orice defectare sau intervenie neautorizat asupra acestor sisteme trebuie s declaneze
o 79
alarm sau un alt sistem de avertizare pentru personalul care monitorizeaz instalaia
respectiv.
Protecia fizic a copiatoarelor i dispozitivelor telefax
Copiatoarele i dispozitivele telefax trebuie protejate fizic, n msura n care este necesar
s se garanteze folosirea lor numai de ctre persoanele autorizate.
Planuri de urgen
Fiecare autoritate i instituie/agent economic vor pregti planuri pentru protejarea
informaiilor clasificate n cazuri de urgen, care s prevad inclusiv evacuarea i distrugerea
acestora atunci cnd este cazul.
Protecia, evacuarea i/sau distrugerea materialelor strict secrete i secrete, n cazuri de
urgen, nu trebuie s afecteze protecia, evacuarea i/sau distrugerea materialelor strict secrete
de importan deosebit, sau a materialelor codificate, care vor avea totdeauna prioritate fa de
alte documente clasificate.
ANEXA Nr. 10/C
PROTECIA SISTEMELOR/SUBSISTEMELOR INFORMATICE DESTINATE
PRELURII, PRELUCRRII, STOCRII I TRANSMITERII DE DATE I
INFORMAII CLASIFICATE I A NCPERILOR N CARE ACESTEA SE AFL
AMPLASATE
- Administratorul i utilizatorii sistemului destinat prelurii, prelucrrii, stocrii i
transmisiei de date i informaii clasificate sunt numii de eful instituiei/agentului economic
- Administratorul, utilizatorii i persoanele care au acces la date i informaii cu caracter
secret de stat, procesate prin sisteme de prelucrare automat a datelor sunt supuse procedurilor de
selecionare, verificare i avizare, potrivit nivelurilor de acces.
- ncperile unde sunt amplasate sisteme/subsisteme informatice destinate prelurii,
prelucrrii, stocrii i transmisiei de date i informaii cu caracter secret de stat vor fi asigurate cu
- dac persoanele neautorizate care au avut, sau ar fi putut avea acces la informaii
clasificate, prezint suficient ncredere i loialitate, astfel nct rezultatul compromiterii s nu
creeze prejudicii;
- msurile de remediere, corective sau disciplinare (inclusiv juridice), care sunt
recomandate.
n situaia n care persoanele care au luat cunotin de coninutul informaiilor clasificate
prezint ncredere, vor fi instruite n mod corespunztor pentru a preveni diseminarea, n caz
contrar se va proceda la evaluarea prejudiciului rezultat i vor fi ntreprinse msurile necesare
diminurii acestuia.
Evidena nclcrilor reglementrilor de securitate
n cadrul autoritilor i instituiilor publice, agenilor economici cu capital integral sau
parial de stat i altor persoane juridice de drept public sau privat, deintoare de informaii
clasificate, se va organiza evidena cazurilor de nclcare a reglementrilor de securitate, a
rapoartelor de investigaii i msurilor corective ntreprinse, n consecin. Aceste evidene vor fi
pstrate timp de trei ani de ctre structura/funcionarul de securitate i vor fi puse la dispoziie n
timpul controalelor efectuate de reprezentanii autorizai ai instituiilor abilitate.
Comunicarea compromiterilor
Informaiile clasificate sunt compromise cnd coninutul acestora (total sau parial) este
cunoscut de persoane neautorizate (care nu au autorizare valabil de acces la acestea) ori cnd au
fost supuse riscului acestei cunoateri neautorizate (informaiile clasificate pierdute, chiar i
temporar, n afara unei zone de securitate sunt considerate a fi compromise).
Instituiile abilitate vor fi ncunotinate prin cel mai operativ sistem de comunicare
asupra circumstanelor compromiterii unor astfel de informaii.
Scopul principal al comunicrii compromiterii este de a da posibilitatea recuperrii
informaiilor, evalurii prejudiciilor i ntreprinderii aciunilor necesare sau aplicabile pentru
minimalizarea consecinelor.
Informarea preliminar trebuie s conin:
a) o descriere a informaiilor respective (clasificare i marcare, numrul de nregistrare,
numrul de exemplare, coninutul, data, emitentul);
b) o scurt prezentare a mprejurrilor n care a avut loc compromiterea, inclusiv data
constatrii, perioada n care informaiile au fost expuse compromiterii i, dac se cunoate,
persoanele neautorizate care au avut sau ar fi putut avea acces la acestea;
c) precizri cu privire la eventuala informare a emitentului.
La solicitarea instituiilor abilitate, informrile preliminare vor fi completate pe msura
derulrii cercetrilor.
Evalurile proprii ale instituiilor/agenilor economici, referitoare la prejudiciile i
aciunile ce urmeaz a fi ntreprinse pentru nlturarea sau diminuarea acestora, vor fi prezentate
n cel mai scurt timp instituiilor abilitate.
Scoaterea din eviden a documentelor clasificate pierdute sau distruse
Cnd exist indicii certe, confirmate n scris de instituiile abilitate cu atribuii de control
i investigare a compromiterii informaiilor clasificate, c documentul dat n rspundere este
iremediabil pierdut (i nu rtcit), acesta va fi scos din evidena compartimentului care l-a
gestionat, numai dup finalizarea cercetrilor, cu avizul instituiilor abilitate.
ANEXA Nr. 10/F
MSURI DE INSTRUIRE I EDUCAIE PROTECTIV A PERSOANELOR
CARE AU