Protectia Inf Cls Ghid

ROMNIA SERVICIUL ROMN DE INFORMAII
PROTECIA INFORMAIILOR CLASIFICATE

- ghid practic -
CUPRINS
CAPITOLUL I Informaia clasificat. Informaia nedestinat publicitii i informaia de interes public. Liberul acces la informaii versus necesitatea de a cunoate .................................................................................................................................. 2 CAPITOLUL II Protecia personalului ........................................................................................................ 12 CAPITOLUL III Pregtirea specific a persoanelelor care au acces la informaii clasificate ................................................................................................................................. 25 CAPITOLUL IV Regulile generale privind evidena, ntocmirea, pstrarea, procesarea, multiplicarea, transportul, transmiterea i distrugerea informaiilor clasificate ................................................................................................................................. 34 CAPITOLUL V Protecia fizic........................................................................................................................ 38 CAPITOLUL VI Securitatea industrial ...................................................................................................... CAPITOLUL VII Securitatea informaiilor clasificate n format electronic .................................. CAPITOLUL VIII Controlul msurilor privitoare la protecia informaiilor clasificate ............ 40 57 68
Serviciul Romn de Informaii
Protecia informaiilor clasificate - Ghid practic
CAPITOLUL I
INFORMAIA CLASIFICAT. INFORMAIA NEDESTINAT PUBLICITII I INFORMAIA DE INTERES PUBLIC. LIBERUL ACCES LA INFORMAII VERSUS "NECESITATEA DE A CUNOATE"
Potrivit Declaraiei Universale a Drepturilor Omului, orice persoan are dreptul la libertatea opiniei i expresiei; acest drept include libertatea de a susine opinii fr nici o interferen i de a cuta, primi i rspndi informaii i idei prin orice mijloace, indiferent de frontiere. Pornind de la conceptul global mai sus prezentat, Legea fundamental a Romniei consfinete, prin enunul prevzut la art. 31 alin. (1), principiul potrivit cruia dreptul persoanei de a avea acces la orice informaie de interes public nu poate fi ngrdit. n spiritul acestui principiu, autoritile statului, potrivit competenelor ce le revin, sunt obligate s asigure informarea corect a cetenilor asupra activitilor publice i a problemelor de interes personal ale acestora fr a se aduce, ns, atingere vieii intime, familiale i private, valori ocrotite, n egal msur, de art. 26 din Legea fundamental. Prevznd posibilitatea n care exercitarea dreptului la liber informare ar putea s implice i unele aciuni mai puin legitime, ce ar putea s aib ca efect vtmarea unor valori universal recunoscute i protejate, legiuitorul a stabilit, prin alineatul (3) al aceluiai articol, o excepie de la regula consacrat de alineatul (1).
2
Astfel, potrivit Constituiei, dreptul la informaie nu trebuie s prejudicieze msurile de protecie a tinerilor sau securitatea naional. n continuarea acestor prevederi, Legea fundamental, prin articolul 53, reglementeaz posibilitatea i condiiile generice n care poate avea loc restrngerea unor drepturi sau liberti constituionale, enumernd, limitativ, motivele pentru care exerciiul unui drept poate fi ngrdit: aprarea siguranei naionale, a ordinii, a sntii ori moralei publice, a drepturilor cetenilor, desfurarea instruciei penale etc. n mod justificat, n Romnia, att legiuitorul ct i societatea civil au fost preocupai, pentru nceput, de elaborarea unui act normativ referitor la exercitarea dreptului constituional al persoanei referitor la liberul acces la informaiile de interes public. Astfel, a fost adoptat Legea nr. 544/2001 privind liberul acces la informaiile de interes public care definete, ntr-o manier general, informaia de interes public, ca fiind orice informaie care privete activitile sau rezult din activitile unei autoriti sau instituii publice, indiferent de suportul ori de forma sau modul de exprimare. n scopul facilitrii cunoaterii de ctre public a informaiilor mai sus definite, actul normativ stabilete, pentru autoriti i instituii publice, dezmembrminte sau structuri aflate sub autoritatea acestora, regii autonome, companii naionale etc., obligaia de a comunica, din oficiu, anumite categorii de informaii, stabilite prin art. 5 alin. (1) din lege. n acest sens, potrivit legii, entitilor respective le revine sarcina de a publica i actualiza buletine informative cuprinznd categorii de informaii care pot fi accesate de public sau de a prezenta publicitii rapoarte periodice referitoare la activitatea pe care o desfoar.
3
n plus fa de informaiile care se comunic din oficiu publicului, orice persoan are dreptul s solicite i s obin de la autoriti i instituii publice informaii de interes public, acestea fiind obligate s asigure accesul la datele solicitate n scris sau verbal. Cu toate acestea, prevederile aceleiai legi limiteaz aria liberului acces la informaie, instituind apte excepii, dintre care primele dou vizeaz domeniul informaiilor clasificate, astfel: informaiile din domeniul aprrii nationale, siguranei i ordinii publice, dac fac parte din categoriile informaiilor clasificate, potrivit legii; informaiile privind deliberrile autoritilor, precum i cele care privesc interesele economice i politice ale Romniei, dac fac parte din categoria informaiilor clasificate, potrivit legii; informaiile privind activitile comerciale sau financiare, dac publicitatea acestora aduce atingere principiului concurenei loiale, potrivit legii; informaiile cu privire la datele personale, potrivit legii; informaiile privind procedura n timpul anchetei penale sau disciplinare, dac se pericliteaz rezultatul anchetei, se dezvluie surse confideniale ori se pun n pericol viaa, integritatea corporal, sntatea unei persoane, n urma anchetei efectuate sau n curs de desfurare; informaiile privind procedurile judiciare, dac publicitatea acestora aduce atingere asigurrii unui proces echitabil ori interesului legitim al oricreia dintre prile implicate n proces; informaiile a cror publicare prejudiciaz masurile de protecie a tinerilor.
4
n scopul eliminrii oricrui dubiu referitor la posibilitatea ascunderii unor abuzuri ale organelor de stat prin clasificarea unor informaii, Legea nr. 544/2001 prevede fr echivoc, la art. 13, faptul c nu pot fi incluse n categoria informaiilor clasificate i c, prin urmare, sunt informaii de interes public, toate informaiile care favorizeaz sau ascund nclcarea legii de ctre o autoritate sau o instituie public. n ce privete informaiile care, dei nu sunt clasificate, nu pot fi puse la dispoziia publicului, trebuie menionat c, att legislaia n vigoare ct i practica unor autoriti i instituii publice, au stabilit excepii referitoare la liberul acces la informaii de interes public. n continuare, v vom prezenta, concret, cteva dintre aceste situaii, identificate n diferite domenii de activitate. 1. n domeniul circumscris activitii magistrailor, trebuie menionat c nu sunt supuse publicitii discuiile purtate ntre membrii completelor de judecat n procedura de deliberare, ci doar rezultatul lor, materializat n hotrrea judectoreasc. De asemenea, nu se aduc la cunotina publicului: informaiile referitoare la condamnarea unor minori; informaiile referitoare la identitatea martorilor sau alte date despre acetia, dac prin divulgarea lor s-ar pune n pericol viaa, sntatea sau integritatea corporal a acestora; informaiile rezultate din exercitarea prerogativelor instanelor de judecat, care ar aduce atingere dreptului la intimitate al persoanei. n acest context, subliniem c att datele cu caracter personal puse la dispoziia Serviciului Romn de Informaii n vederea derulrii procedurilor prealabile acordrii avizului necesar eliberrii certificatelor sau autorizaiilor de acces ct i
5
datele obinute ca urmare a derulrii procedurii de vetting sunt protejate, n egal msur, sub aspectul regulilor de securitate impuse de nivelul de secretizare atribuit acestora, ct i n respect pentru dreptul la intimitate al persoanei, drept garantat de Constituia Romniei. 2. n materia elaborrii proiectelor de acte normative, reglementrile n vigoare interzic personalului autoritilor publice iniiatoare i avizatoare furnizarea n afara instituiilor respective a unor date sau informaii cu privire la respectivele proiecte de acte normative, pe ntreg parcursul procedurii de elaborare. 3. Ajungnd la domeniul statisticii oficiale, potrivit art. 19 din Ordonana Guvernului nr. 9/1992 privind organizarea acestei activiti, datele i informaiile statistice reprezint un bun naional, accesibil Parlamentului, Preedintelui Romniei, Guvernului, instituiilor administraiei publice centrale i locale, partidelor politice, sindicatelor, organizaiilor patronale, organizaiilor neguvernamentale, mijloacelor de informare n mas etc., cu respectarea principiului confidenialitii datelor. Cu toate acestea, serviciilor de statistic oficial i personalului statistic le revine obligaia de a adopta i asigura, pe parcursul ntregii perioade a cercetrii statistice, de la nregistrare pn la publicare, msuri de asigurare a confidenialitii datelor care se refer la subieci statistici individuali - persoane fizice sau juridice - obinute direct prin cercetri statistice sau indirect, din surse administrative ori din alte surse. 4. Legea nr. 677/2001 stabilete msuri i proceduri referitoare la gestionarea datelor cu caracter personal, n vederea garantrii i protejrii drepturilor i libertilor fundamentale ale persoanelor fizice, n special a dreptului la viaa intim, familial i privat, n raport cu acest tip de date.
6
n acest sens, interzice prelucrarea, fr acordul persoanei vizate, a datelor cu caracter personal legate de origine rasial sau etnic, de convingeri politice, religioase, filozofice, de apartenen sindical etc. n aplicarea acestei legi a fost emis Ordinul Avocatului Poporului nr. 75/2002 privind stabilirea unor msuri i proceduri specifice care s asigure un nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul prelucrrilor. Msurile i procedurile au ca scop asigurarea unui nivel corespunztor de protecie a datelor, de ctre membrii entitilor de drept public sau privat), prin stabilirea modalitilor de exercitare a drepturilor i obligaiilor care le revin n domeniul proteciei persoanelor. Potrivit Ordinului, nivelul de protecie i de securitate adecvat al prelucrrilor de date cu caracter personal reprezint nivelul de securitate proporional riscului pe care l comport lucrarea fa de datele cu caracter personal n cauz, fa de drepturile i libertile persoanelor i conform cerinelor minime de securitate stabilite de autoritatea de supraveghere competent. 5. La 14 mai a.c. a fost adoptat Legea privind arhivarea documentelor n form electronic (nr. 135) prin care se stabilete regimul juridic aplicabil gestionrii documentelor n form electronic sau care urmeaz a fi arhivate ntr-o arhiv digital. De asemenea, sunt reglementate reguli referitoare la constituirea arhivelor de acest tip i, n egal msur, sanciuni de natur contravenional sau penal care devin aplicabile n cazul divulgrii, accesrii, copierii, modificrii ori distrugerii neautorizate a arhivelor. Revenind la practica asigurrii unui regim de protecie a informaiilor neclasificate, din prisma limitrii accesului
7
publicului la acestea, menionm c aceasta se regsete att la nivelul structurilor administrative ale Uniunii Europene ct i n cadrul Organizaiei Tratatului Atlanticului de Nord, ambele organizaii stabilind categorii de informaii care, dei nu sunt clasificate, au un caracter sensibil i sunt destinate doar personalului autorizat (LIMIT, pentru UE i UNCLASSIFIED, pentru NATO). n legtur cu dezbaterile pe marginea liberului acces la informaiile publice, este de remarcat c, n anul 1996, un grup de experi de diferite naionaliti a redactat un set de principii referitoare la securitatea naional, accesul la informaii i libertatea de exprimare, cunoscute ndeobte ca "Principiile de la Johanesburg". n esen, acestea urmresc instituirea unei protecii substaniale pentru accesul la informaie i libertatea de exprimare, concomitent cu limitarea posibilitilor autoritilor de a restrnge exercitarea acestora, pe diferite considerente legate de interese de securitate. Dou dintre aceste principii, relevante n context, ar fi:
Principiul 12: "Un stat nu poate refuza categoric accesul la toate informaiile privind securitatea naional i trebuie s stabileasc prin lege categorii limitate i particulare de informaii care trebuie inute secrete pentru a proteja interese legitime de securitate naional."
Principiul 13: "n toate legile i deciziile privind dreptul de a obine informaii, va prima interesul public n cunoaterea informaiilor."
Principiile de la Johanesburg nu constituie norme obligatorii, ns, oficiali ai Organizaiei Naiunilor Unite, ai Curii Europene a Drepturilor Omului, precum i ai altor organisme jurisdicionale internaionale, se raporteaz tot mai frecvent la acestea, considernd oportun transformarea lor n standarde. n Europa, din punctul de vedere al tradiiei reglementrii dreptului de acces la informaii publice, Suedia este unul dintre primele state care a introdus n Constituia sa, nc din 1766, prevederi dedicate accesului la informaii publice. Totodat, Suedia este prima ar din lume al crei parlament a adoptat o lege a accesului la informaia de interes public (Legea libertii presei, 1766), care prevedea c documentele oficiale trebuie "la cerere, puse la dispoziia oricrei persoane", fr perceperea vreunei taxe. Deciziile autoritilor de a refuza accesul la documente oficiale pot fi atacate la tribunalele administrative generale i, n ultim instan, la Curtea Suprem Administrativ.
n Romnia, dup intrarea n vigoare a Legii nr. 544, avnd ca suport esenial att principiile fundamentale definite de Constituie, ct i nevoia de compatibilizare a legislaiei naionale de securitate cu standardele euro-atlantice i cu exigenele general valabile n toate statele cu tradiie democratic n materia securitii, Parlamentul Romniei a adoptat Legea privind protecia informaiilor clasificate (nr. 182/2002) prin care au fost a nlocuite vechile reglementri referitoare la aprarea secretului, utilizate nc din anii '70. Prin intrarea n vigoare a legii sus-menionate au fost instituite limitele dreptului persoanei la informaii, prin definirea informaiilor clasificate i stabilirea condiiilor speciale n care acestea pot fi accesate.
9
Respectnd principiul de baz potrivit cruia atunci cnd o informaie trebuie clasificat, acesteia i se va atribui un nivel de secretizare ce va evidenia importana relativ n sistemul naional de securitate, actul normativ reglementeaz o ierarhie a ceea ce este cunoscut deja sub numele de informaii clasificate, stabilind dup cum cunoatei deja, dou clase i patru niveluri de importan a informaiilor. n lexiconul Organizaiei Tratatului Atlanticului de Nord, clasificare nseamn etichetri cresctoare ale documentelor sau informaiilor, de la cel mai jos nivel, unde se situeaz informaiile deschise (open) sau neclasificate (unclassified), la cele confideniale, urcnd spre informaii secrete i strict secrete (top secret). Iniial, la nivelul Organizaiei s-a pornit de la idea c informaiile care, prin compromitere, pot costa viei umane sunt marcate "secret", n timp ce informaiile a cror compromitere cost pierderea multor viei umane sunt definite strict secrete (top secret). n alte ri, evoluia problematicii din domeniile specializate precum i a ierarhiilor i considerentelor de clasificare a informaiilor a avut ca efect, pe lng atribuirea unor niveluri de secretizare care s reflecte importana informaiilor n raport cu interesele de securitate, i stabilirea de criterii noi n sensul mpririi informaiilor clasificate, dup domeniile sau interesele de securitate avute n vedere, i n strns legtur cu principiul necesitii de a cunoate. Spre exemplu, structura neierarhizat a informaiilor secrete, utilizat n sistemele altor state, conine categorii de informaii clasificate compartimentate, stabilite astfel n scopul identificrii anumitor domenii de activitate n care sunt utilizate (CRIPTA - criptare, SECOM - securitatea comunicaiei, COMSEC comunicaii secrete .a.) sau informaii clasificate cu obiecii care
10
privesc ndeosebi naionalitatea potenialilor cititori (ex: n SUA informaiile pot fi marcate cu diverse tipuri de disclaimer cum ar fi NOFOR - nu sunt accesibile strinilor; n Marea Britanie unele categorii de informaii poart marcajul UK EYES ONLY - se pot vedea numai de ctre ceteni englezi). Spre deosebire de accesarea informaiilor de interes public, care pot fi cunoscute de ctre ceteni n virtutea drepturilor stabilite prin Constituie, cu respectarea condiiilor impuse de dispoziiile Legii nr. 544/2001, accesul la informaiile clasificate nu este posibil fr ndeplinirea, cumulativ, a dou condiii eseniale, stabilite prin lege, respectiv existena necesitii de a cunoate i a certificatului de securitate / autorizaiei de acces, emis n condiiile legii. n ce privete principiul necesitii de a cunoate, legea romn definete aceast sintagm ca fiind principiul conform cruia accesul la informaii clasificate se acord, n mod individual, numai persoanelor care, pentru ndeplinirea ndatoririlor de serviciu, trebuie s lucreze cu astfel de informaii sau s aib acces la acestea. n ncheierea acestui prim capitol introductiv, fa de cele de mai sus se poate afirma c, n timp ce pentru cunoaterea informaiilor de interes public, temeiul accesrii acestora este reprezentat de drepturile constituionale ale ceteanului, exercitate n scopul satisfacerii unor interese de natur personal, accesul la informaiile clasificate, n condiiile legii, este permis doar din necesitatea exercitrii corecte a prerogativelor i atribuiilor profesionale ale persoanei / autorizate n acest sens.
11
C A P I T O L U L II
PROTECIA PERSONALULUI
Potrivit Standardelor naionale de protecie a informaiilor clasificate n Romnia, aprobate prin HG nr. 585/2002, cu modificrile i completrile ulterioare, protecia personalului se realizeaz prin: selecionarea, verificarea, avizarea (revalidarea) i autorizarea accesului utilizatorilor informaiilor clasificate, neacordarea avizului de securitate, retragerea certificatului de securitate sau autorizaiei de acces, activiti de instruire.
Selecionarea persoanelor care urmeaz s ocupe funcii ce presupun accesul la informaii clasificate se deruleaz integral i exclusiv n cadrul fiecrei instituii deintoare de informaii clasificate. Conform Standardelor naionale, conductorii autoritilor, instituiilor publice, agenilor economici cu capital integral sau parial de stat i celorlalte persoane juridice de drept public sau privat aprob Listele funciilor care presupun accesul la informaii clasificate (este necesar evaluarea atribuiilor specifice fiecrei funcii din statul de organizare al instituiei, pentru a stabili dac necesit acces la informaii clasificate i nivelul de secretizare aferent). La dimensionarea listei funciilor care presupun acces la informaii clasificate se au n vedere:
12
includerea tuturor funciilor care presupun accesul la informaii clasificate, chiar dac unele dintre acestea sunt vacante; realizarea concordanei ntre nivelul de acces solicitat i nivelul de secretizare a informaiilor. Lista funciilor se actualizeaz ori de cte ori este necesar i se comunic autoritii desemnate de securitate competent. Procedura de verificare se efectueaz de autoritile desemnate de securitate i are drept scop identificarea vulnerabilitilor de securitate - caracteristici de personalitate sau circumstane care: a) pun n pericol securitatea informaiilor clasificate, b) pot fi exploatate pentru a se influena persoana s se implice n acte de diseminare neautorizat de informaii clasificate i ameninrilor de securitate - persoane care sprijin obiectivele unor entiti (ex - structuri informative, grupuri de interese) de a avea acces neautorizat la informaii clasificate, pentru a se preveni apariia riscului de securitate accesul la informaii clasificate va avea drept consecin compromiterea sau/i diseminarea acestora ctre persoane neautorizate. Verificarea n vederea avizrii pentru acces la informaii secrete de stat se efectueaz de ctre: a) Serviciul Romn de Informaii, pentru: personalul propriu; personalul autoritilor i instituiilor publice din zona de competen, potrivit legii; personalul agenilor economici cu capital integral sau parial de stat i al persoanelor juridice de drept public sau privat, altele dect cele din competena Ministerului Aprrii, Serviciului de Informaii Externe, Ministerului Administraiei i Internelor, Ministerului Justiiei,
13
Serviciului de Protecie i Paz i Serviciului de Telecomunicaii Speciale. b) Ministerul Aprrii, pentru personalul militar i civil propriu, inclusiv personalul militar care i desfoar activitatea n strintate. c) Ministerul Administraiei i Internelor, pentru: personalul propriu i al persoanelor juridice a cror activitate o coordoneaz; personalul Oficiului Central de Stat pentru Probleme Speciale, Administraiei Naionale a Rezervelor de Stat i al altor persoane juridice stabilite prin lege. d) Serviciul de Informaii Externe, pentru: personalul militar sau civil propriu; personalul romn al reprezentanelor diplomatice, misiunilor permanente, consulare, centrelor culturale, organismelor internaionale i altor reprezentane ale statului romn n strintate; cetenii romni aflai n strintate n cadrul unor contracte, stagii de perfecionare, programe de cercetare sau n calitate de angajai ai unor firme. e) Ministerul Justiiei, Serviciul de Protecie i Paz i Serviciul de Telecomunicaii Speciale, pentru personalul propriu i al persoanelor juridice a cror activitate o coordoneaz. ntruct verificrile se efectueaz pe baza datelor completate n formularele de securitate, respectiv n unele situaii e necesar s se realizeze i interviul de securitate, urmtoarele aspecte sunt relevante n ceea ce privete emiterea unui aviz de securitate: refuzul de a completa rubrici din formularul de securitate, omisiunile voluntare, ascunderea i falsificarea unor aspecte, refuzul clarifica situaii relevante n cadrul interviului de securitate - consecina negativ const n
14
faptul c verificarea de securitate nu se realizeaz n condiii de suficien a datelor. n acest caz, persoanei i se va preciza necesitatea unei cooperri pentru furnizarea datelor i / sau clarificarea aspectelor rezultate din verificri, respectiv c un refuz respectiv devine o baz legitim pentru returnarea formularelor de securitate/sistarea verificrilor de securitate.
COMPLETAREA FORMULARELOR DE SECURITATE n vederea asigurrii operativitii n ceea ce privete emiterea avizului de securitate, facem urmtoarele recomandri n ceea ce privete completarea formularelor tip: RECOMANDRI GENERALE Rezervai timp suficient pentru citirea cu atenie a rubricilor/ntrebrilor! Asigurai-v c ai completat toate rubricile, respectiv ai rspuns la toate ntrebrile (i, unde era cazul, ai precizat detaliile)! Asigurai-v c ai semnat Declaraia (nu modificai coninutul)! Lipsa/insuficiena datelor sau nesemnarea/modificarea Declaraiei poate avea drept consecin returnarea formularelor tip. La ntrebri bifai rspunsurile de tip DA/NU (anulai cellalt rspuns)! Exemplu 1. unde sunt prevzute casete DA Suntei n relaii permanente de natur profesional sau personal cu ceteni strini? NU 2. unde nu sunt prevzute casete, consemnai dvs. DA/NU. Ai consumat sau consumai substane care creeaz dependen sau droguri? Dac rspunsul este afirmativ, detaliai: NU
15
n cadrul verificrilor de securitate, absena unui rspuns de tip DA la ntrebri unde nu exist casete cu rspunsuri determinate, se interpreteaz automat ca fiind un rspuns negativ, iar n cazul n care se constat c au existat situaii care trebuiau consemnate se poate lua decizia emiterii unui aviz negativ pe baza elementului de incompatibilitate a minit n completarea formularelor tip. Dac ai bifat NU, dar totui exist o situaie sensibil n legtur cu care nu suntei sigur c se ncadreaz la cerine, este recomandabil s o consemnai i s detaliai (este de preferat s existe meniuni suplimentare dect s se interpreteze ca o omisiune deliberat a unor date). Dac ai bifat DA, pe lng situaia cert care se ncadreaz la cerine, menionai i situaia sensibil. Un rspuns negativ consemnat din neatenie i care nu corespunde realitii poate avea drept consecin emiterea unui aviz negativ n baza elementului de incompatibilitate a minit n completarea formularelor tip. Totodat, lipsa unui rspuns/un rspuns pozitiv consemnat din neatenie va impune contactarea persoanei/realizarea unui interviu de securitate pentru clarificarea/detalierea situaiei. - Detaliai denumirile! (ex: Direcia General de Export, nu DGE) - ncercai s completai cu majuscule, pentru a se evita ca scrisul s fie ilizibil! - Evitai s facei meniuni n formularul tip - cum ar fi faptul c datele solicitate se regsesc n alte documente - i s nu completai rubricile; cel mult, facei copii dup respectivele documente, pe care le putei anexa la formularele tip, iar la rubrici menionai conform copiilor anexate. - Dac este nevoie s detaliai n scris anumite situaii, putei anexa respectivele file la formularele tip (precizai numele/prenumele pe fiecare fil i semnai).
16
S-ar putea invoca faptul c dac nu s-a rspuns cu DA, atunci rspunsul implicit este NU, dar s-a constatat c au fost persoane care au fost implicate n astfel de contexte i au motivat lipsa rspunsului DA prin faptul c a fost o singur dat, n adolescen (nn. dei ntrebarea nu face diferenieri), dar c apreciaz c nu au minit, pentru c nu au consemnat NU, respectiv nu au tiut dac s consemneze sau nu.
- Dac apreciai c este necesar, pentru clarificarea anumitor situaii, putei anexa la formularele tip i copii dup documente (precizai numele/prenumele pe fiecare fil i semnai).
V recomandm s pstrai datele referitoare la rude (i alte date pentru care demersurile de obinere sunt dificile), ntruct n cadrul procedurii de revalidare se va solicita recompletarea integral a formularelor tip. RECOMANDRI SPECIFICE (completarea unor rubrici din formulare)
Datele de identitate conform buletinului/crii de identitate (dac exist diferene fa de certificatul de natere, precizai i datele din acest document, cu meniunea conform certificatului de natere) Domiciliul permanent conform buletinului/crii de identitate Domiciliul flotant precizai i domiciliul unde locuii efectiv (chiar dac nu suntei nregistrat cu acesta n evidenele oficiale)
Not dac apreciai, putei preciza perioadele pentru fiecare adres, respectiv, n cazul nchirierii, proprietarii locuinelor (pentru identificarea conformitii adresei cu evidenele oficiale)
Situaia familial consemnai i persoana cu care avei o relaie apropiat i care poate fi inclus n categoria partener de via (chiar dac nu locuii mpreun) Locurile de munc menionai toate locurile de munc pe care le-ai avut (cu titulatura complet i corect), respectiv precizai, n cazul n care nu exist continuitate ntre perioadele de angajare, care este motivul (omaj, studii n strintate etc) Funcia conform cu Lista funciilor care necesit acces la informaii secrete de stat, emis de ctre instituie (consultai funcionarul de securitate) Referine evitai s consemnai rude (s fie persoane cu care ai pstrat o legtur constant n ultimii cinci ani) Suntei interesat, dvs. sau partenerul de via n colaborarea cu anumite societi comerciale nregistrate n ar? Menionai firmele la care dvs. sau partenerul de via: a) suntei nregistra cenzor, membru n Consiliul de administraie etc i/sau b) avei calitatea de contracte de colaborare, se presteaz o activitate voluntar etc.
17
Avei relaii, dvs. sau partenerul de via cu firme nregistrate n str Dac ai renunat recent la calitatea de administrator, asociat etc, consemnai societile i facei precizarea respectiv (dup caz, anexai i copii dup documente care demonstreaz acest lucru). Referitor la formularele tip, dac se apreciaz c ar fi inoportun ca funcionarul de securitate s cunoasc involuntar unele date, se poate proceda astfel: 1. Se pun la dispoziia solicitantului formularele tip (n funcie de nivelul de acces) i i se aduc la cunotin recomandrile susmenionate (se pot xeroxa pentru fiecare persoan) 2. Solicitantul completeaz datele de identitate pe prima pagin a fiecrui formular tip, funcia (conform cu Lista funciilor care necesit acces la informaii secrete de stat), i semneaz/dateaz Declaraiile din fiecare formular tip. 3. Funcionarul de securitate verific corectitudinea datelor de pe prima pagin a fiecrui formular tip, a titulaturii funciei i dac s-au semnat/datat Declaraiile; ulterior, contrasemneaz Declaraiile. 4. Solicitantul completeaz datele i solicit ca n prezena sa funcionarul de securitate s le nregistreze; acest demers presupune c funcionarul are acces numai la prima pagin a formularului de securitate solicitantul introduce formularele ntr-un plic pe care l sigileaz (se scriu datele de identitate pe plic). La completarea formularelor de securitate, este posibil ca solicitantul s nu menioneze unele rspunsuri pentru c nu a neles cerinele / ntrebarea, a fost superficial/neatent sau nu i s-au prezentat instruciunile specifice de aceea, funcionarul de securitate trebuie s explice necesitatea completrii datelor i a furnizrii de date suplimentare n cazul unor eventuale neclariti (respectiv s creeze condiiile pentru a completa respectivele date).
18
Principalele criterii de evaluare a compatibilitii n acordarea avizului pentru eliberarea certificatului de securitate sau autorizaiei de acces vizeaz att trsturile de caracter, ct i situaiile sau mprejurrile din care pot rezulta ameninri i vulnerabiliti de securitate. Sunt relevante i se iau n considerare la acordarea avizului de securitate caracterul, conduita profesional sau social, concepiile i mediul de via al soului / soiei sau concubinului / concubinei persoanei solicitante. Decizia privind avizarea eliberrii certificatului de securitate sau autorizaiilor de acces se ia pe baza tuturor informaiilor disponibile i are n vedere: loialitatea indiscutabil a persoanei; caracterul, obiceiurile, relaiile i discreia persoanei, care s ofere garanii asupra corectitudinii n gestionarea informaiilor secrete de stat, oportunitii accesului nensoit n compartimente, obiective, zone i locuri de securitate n care se afl informaii secrete de stat i respectrii reglementrilor privind protecia informaiilor secrete de stat din domeniul su de activitate. Reprezint elemente de incompatibilitate pentru acces la informaii secrete de stat urmtoarele situaii imputabile att solicitantului, ct i soului / soiei sau concubinului / concubinei acestuia: dac a comis sau a intenionat s comit, a fost complice, a complotat sau a instigat la comiterea de acte de spionaj, terorism, trdare ori alte infraciuni contra siguranei statului; dac a ncercat, a susinut, a participat, a cooperat sau a sprijinit aciuni de spionaj, terorism ori persoane suspectate de a se ncadra n aceast categorie sau de a
19
fi membre ale unor organizaii ori puteri strine inamice ordinii de drept din ara noastr; dac este sau a fost membru al unei organizaii care a ncercat, ncearc sau susine rsturnarea ordinii constituionale prin mijloace violente, subversive sau alte forme ilegale; dac este sau a fost un susintor al vreunei organizaii prevzute la punctul anterior, este sau a fost n relaii apropiate cu membrii unor astfel de organizaii ntr-o form de natur s ridice suspiciuni temeinice cu privire la ncrederea i loialitatea persoanei. Constituie elemente de incompatibilitate pentru accesul solicitantului la informaii secrete de stat, oricare din urmtoarele situaii: dac n mod deliberat a ascuns, a interpretat eronat sau a falsificat informaii cu relevan n planul siguranei naionale ori a minit n completarea formularelor tip sau n cursul interviului de securitate; are antecedente penale sau a fost sancionat contravenional pentru fapte care indic tendine infracionale; are dificulti financiare serioase sau exist o discordan semnificativ ntre nivelul su de trai i veniturile declarate; consum n mod excesiv buturi alcoolice ori este dependent de alcool, droguri sau alte substane interzise prin lege, care produc dependen; are sau a avut comportamente imorale sau deviaii de comportament care pot genera riscul ca persoana s fie vulnerabil la antaj sau presiuni; a demonstrat lips de loialitate, necinste, incorectitudine sau indiscreie;
20
a nclcat reglementrile privind protecia informaiilor clasificate; sufer sau a suferit de boli fizice sau psihice care i pot cauza deficiene de discernmnt confirmate prin investigaie medical efectuat cu acordul persoanei solicitante; poate fi supus la presiuni din partea rudelor sau persoanelor apropiate care ar putea genera vulnerabiliti exploatabile de ctre serviciile de informaii ale cror interese sunt ostile Romniei i aliailor si. Accesul la informaii secrete de stat este permis numai persoanelor care dein certificat de securitate sau autorizaie de acces de nivel corespunztor nivelului de secretizare al informaiilor necesare ndeplinirii atribuiilor de serviciu, n condiiile respectrii principiului "necesitii de a cunoate"( accesul se acord n mod individual numai persoanelor care, pentru ndeplinirea ndatoririlor de serviciu, trebuie s aib acces la acestea; astfel, accesul la diferite categorii de informaii nu va fi permis numai pe baza funciei, poziiei sau a deinerii autorizaiei de acces).
Dac, ulterior solicitrii avizului la ORNISS, persoana n cauz nceteaz raporturile de munc sau este transferat pe o funcie ce nu presupune accesul la informaii secrete de stat, se solicit n scris, prin ORNISS, sistarea verificrilor.
n cazul n care o persoan deine certificat de securitate / autorizaie de acces la informaii naionale clasificate, acesteia i se poate elibera i certificat de securitate pentru acces la informaii NATO clasificate valabil pentru acelai nivel de secretizare sau pentru un nivel inferior.
ORNISS poate solicita reluarea verificrilor la sesizarea autoritilor competente, n situaia n care sunt semnalate incompatibiliti privind accesul la informaii secrete de stat.
21
n situaia n care se solicit revalidarea, nu se elibereaz un nou certificat de securitate/autorizaie de acces n urmtoarele situaii: dac se constat neconcordane ntre datele declarate n formularele tip i cele reale; dac, pe parcursul perioadei de valabilitate a certificatului de securitate/autorizaiei de acces s-au evideniat riscuri de securitate; n cazul n care ORNISS solicit acest lucru, n mod expres.
Revalidarea avizului privind accesul la informaii clasificate presupune reverificarea persoanei deintoare a unui certificat de securitate / autorizaie de acces n vederea meninerii sau retragerii acesteia. Revalidarea poate avea loc la solicitarea unitii n care persoana i desfoar activitatea sau a ORNISS, n oricare din urmtoarele situaii: atunci cnd pentru ndeplinirea sarcinilor de serviciu ale persoanei deintoare este necesar accesul la informaii de nivel superior; la expirarea perioadei de valabilitate a certificatului de securitate /autorizaiei de acces deinute anterior; dac apar modificri n datele de identificare ale persoanei; la apariia unor riscuri de securitate din punct de vedere al compatibilitii accesului la informaii clasificate.
Persoanelor crora li se elibereaz certificate de securitate sau autorizaii de acces li se asigur instruirea cu privire la protecia informaiilor clasificate, naintea nceperii activitii i ori de cte ori este nevoie.
22
Studiu de caz n anul 2004, POPESCU POP, funcionar de stat, a fost avizat pentru acces la informaii clasificate, nivel strict secret. n anul 2005, au rezultat informaii c persoana n cauz, sub pretextul c avea lucrri profesionale urgente de realizat, pleca la domiciliu cu laptop-ul pe care redacta la serviciu documente cu caracter clasificat, respectiv l conecta la locul de munc la Internet, motivnd c era necesar n interes de serviciu. n acest context, s-a efectuat un control la nceperea programului de lucru la punctul de acces n sediul instituiei, constatndu-se c POPESCU POP avea asupra sa laptop-ul, respectiv c pe acesta se aflau documente clasificate; de altfel, prin auditarea informatic a rezultat i c acesta fusese contectat la reeaua Internet. De asemenea, a rezultat c n normele interne ale instituiei referitoare la protecia informaiilor clasificate, era stipulat explicit c este interzis s fie scoase din sediu calculatoare pe care se gestionau informaii clasificate, respectiv ca acestea s fie conectat la Internet.
23
Pregtirea personalului urmrete nsuirea corect a standardelor de securitate i a modului de implementare eficient a msurilor de protecie a informaiilor clasificate. Organizarea i coordonarea activitii de pregtire a structurilor / funcionarilor de securitate sunt asigurate de ORNISS i de autoritile desemnate de securitate. Planificarea i organizarea activitii de pregtire a personalului care n exercitarea atribuiilor de serviciu lucreaz cu informaii clasificate se realizeaz de ctre funcionarul de securitate. Anual, autoritile desemnate de securitate controleaz, potrivit competenelor, modul de realizare a activitii de pregtire a personalului care acceseaz informaii secrete de stat.
Astfel, avndu-se n vedere c la art. 236 din Standardele naionale de protecie a informaiilor clasificate n Romnia, aprobate prin HG nr. 585/2002 se precizeaz c modalitile i msurile de protecie a informaiilor clasificate care se prezint n format electronic sunt similare celor pe suport hrtie, ntruct nu s-au respectat cerinele art. 121 informaiile secrete de stat se pstreaz n containere speciale, astfelcontainer clasa B, autorizate la nivel naional pentru pstrarea informaiilor strict secrete i secrete n zone de securitate clasa I sau clasa a II-a i art. 81 documentele i materialele ce conin informaii clasificate se transport, pe teritoriul Romniei, prin intermediul unitii specializate a SRI, potrivit normelor stabilite prin hotrre a Guvernului, respectiv nu s-au respectat normele interne ale instituiei, situaia s-a raportat la elementul de incompatibilitate de la art. 160 lit. g) din Standarde - a nclcat reglementrile privind protecia informaiilor clasificate, i s-a retras avizul de securitate.
24
C A P I T O L U L III
PREGTIREA SPECIFIC A PERSOANELOR CARE AU ACCES LA INFORMAII CLASIFICATE
n aplicarea cadrului normativ general n domeniul proteciei informaiilor clasificate i a normelor interne elaborate la nivelul unitilor care gestioneaz astfel de informaii, segmentul cel mai vulnerabil n funcionarea sistemului de protecie se dovedete a fi componenta uman. n aceste condiii, protecia personalului - definit de Legea nr. 182 din 12.04.2002 privind protecia informaiilor clasificate, ca reprezentnd ansamblul verificrilor i msurilor destinate persoanelor cu atribuii de serviciu n legtur cu informaiile clasificate, spre a preveni i nltura riscurile de securitate pentru protecia informaiilor clasificate (art.15 lit.j) dobndete o dimensiune aparte, conferit de incertitudinea i imprevizibilitatea factorului uman. Prin urmare, n managementul resurselor umane, este necesar s se aib n vedere: ecuaia personal unic a individului (temperament, trsturi de caracter, inteligen, aptitudini, adaptabilitate etc.); motivaia personal n exercitarea atribuiilor profesionale; necesitatea formrii continue; standardele de competen.
25
Protecia personalului se realizeaz prin parcurgerea unui ansamblu de etape ce reprezint, n esen, tot attea msuri de protecie a informaiilor clasificate: selecionarea, verificarea, avizarea i autorizarea accesului la informaiile secrete de stat, revalidarea, controlul i instruirea personalului, retragerea certificatului de securitate sau autorizaiei de acces. Aa cum am menionat i anterior, accesul la informaii clasificate este permis numai persoanelor care dein certificat de securitate/autorizaie de acces de nivel corespunztor, cu respectarea principiului necesitii de a cunoate i doar n urma unei pregtiri prealabile. Ca msur specific de securitate, formarea personalului se subsumeaz scopurilor msurilor protecie a personalului: s previn accesul persoanelor neautorizate la informaii secrete de stat; s garanteze c informaiile secrete de stat sunt distribuite deintorilor de certificate de securitate / autorizaii de acces, cu respectarea principiului necesitii de a cunoate; s permit identificarea persoanelor care, prin aciunile sau inaciunile lor, pot pune n pericol securitatea informaiilor secrete de stat i s previn accesul acestora la astfel de informaii. Mai mult, ea constituie singura msur de protecie care vizeaz optimizarea funcionrii sistemului de protecie a personalului, la nivelul de baz, cel al individului care acceseaz informaiile clasificate. n ndeplinirea atribuiilor generale ce i revin potrivit Standardele aprobate prin H.G. nr. 585/2002, structura sau funcionarul de securitate, planific i organizeaz activiti de pregtire specific a persoanelor cu acces la informaii clasificate.
26
Funcionarul de securitate ori, dup caz, membrii structurii de securitate desemnai cu atribuii pe linia pregtirii personalului care acceseaz informaii secrete de stat, vor avea stipulate aceste atribuii n fia postului. Exercitarea, atribuiilor legale n domeniul pregtirii personalului care acceseaz informaii clasificate, implic i capacitatea de a oferi consiliere, n acest domeniu, conductorului unitii. Standardele naionale fixeaz finalitile de ordin strategic - scopurile - organizrii activitilor de pregtire specific a persoanelor care au acces la informaii clasificate. Acestea sunt prevenirea, contracararea i eliminarea riscurilor i ameninrilor la adresa informaiilor clasificate. De asemenea, precizeaz obiectivele generale ale pregtirii personalului n domeniul proteciei informaiilor clasificate sunt: nsuirea corect a standardelor de securitate; nsuirea corect a modului de implementare eficient a msurilor de protecie a informaiilor clasificate. Din punct de vedere conceptual, termenul nsuire presupune dou aspecte complementare, cel informativ i cel formativ. Abordarea celor dou aspecte n pregtirea personalului n domeniul proteciei informaiilor clasificate trebuie realizat etapizat: formarea iniial naintea numirii n funcie i acordrii accesului la informaii clasificate; formarea continu periodic, la intervale prestabilite i ori de cte ori este nevoie, astfel nct informaiile clasificate s fie protejate n mod corespunztor. Etapa de pregtire iniial a personalului implic n prim faz nsuirea unui set de cunotine teoretice de baz privind protecia informaiilor clasificate i reprezint o condiie necesar acordrii accesului la astfel de informaii.
27
achiziii cognitive cunoaterea reglementrilor privind protecia informaiilor clasificate; cunoaterea procedurilor interne de aplicare a msurilor de securitate specifice. Acestea vor fi detaliate i particularizate n funcie de achiziiile preconizate i de domeniul specific de activitate, astfel nct s acopere toate componentele sistemului de protecie a informaiilor clasificate. n continuare, pe parcursul pregtirii continue, trebuie avut n vedere articularea laturii informative cu cea formativ. n acest sens, pot fi punctate o serie de achiziii necesare culturii organizaionale de securitate i lucrului n domenii ce presupun acces la informaii clasificate:
Astfel, potrivit Standardelor, la sfritul activitii de pregtire iniial, cursanii trebuie s fac dovada urmtoarelor:
atitudini respectarea legislaiei i a normelor interne n materia informaiilor clasificate; respectarea deontologiei profesionale i a partenerilor socio-profesionali; responsabilitatea fa de valorile care necesit protecie (informaiile clasificate);
deprinderi atenia distributiv orientat spre sesizarea circumstanelor, elementelor ori fenomenelor care constituie ori pot degenera n factori de insecuritate; autocontrolul reaciilor n condiii de stres ori situaiilimit.
28
competene aplicarea unor modele acionale prestabilite (proceduri de urgen, informarea funcionarului / efului structurii de securitate, sesizarea autoritii desemnate de securitate); evaluarea situaiilor-problem (delimitarea problemei, identificarea elementului problematic, analiza implicaiilor, pertinena modului de aciune, obiectivitatea aprecierilor); identificarea de soluii la probleme atipice i asumarea deciziei rapide n situaii-limit. Transmiterea valorilor de securitate n materia proteciei informaiilor clasificate, face obiectul unui demers anticipativ, prin programele de pregtire a personalului. Responsabilitatea elaborrii acestora revine structurii / funcionarului de securitate, care le supune aprobrii conductorului unitii. Acestea vor conine tematici de pregtire, pe baza crora structura de securitate organizeaz activitile de pregtire. Avnd n vedere c activitatea de formare implic specializare att n domeniul proteciei informaiilor clasificate, ct i n domeniul tiinelor educaiei, instituiile care se confrunt cu necesiti de formare a personalului sunt puse n situaia de a opta pentru una dintre urmtoarele variante: specializarea personalului prin participarea la cursuri i stagii de formare, organizate de ctre autoriti ori instituii acreditate pentru activiti de formare n domeniul proteciei informaiilor clasificate; formarea unor formatori interni specializai n domeniul proteciei informaiilor clasificate; angajarea de formatori acreditai, pentru necesitile de formare crora instituia nu le poate face fa prin resurse proprii;
29
pregtirea individual la locul de munc, sub ndrumarea unor experi proprii n domeniu, abilitai i pentru activiti de formare; autoinstruire i autodezvoltare asistat a capacitilor profesionale la locul de munc. Pregtirea iniial i continu a personalului se realizeaz prin diferite tehnici de formare, alese funcie de tipul obiectivelor urmrite: pentru nsuirea legislaiei, a normelor i procedurilor interne se utilizeaz tehnici cu dominant informativ lecii, informri, prelegeri, simpozioane; pentru formarea atitudinilor, deprinderilor i competenelor privind lucrul cu informaii clasificate, tehnici cu dominant formativ - schimb de experien, seminarii, edine cu caracter aplicativ. Evaluarea rezultatelor activitilor de instruire se realizeaz prin verificri finale, nsoite de certificarea nivelului de cunotine. Acestea pot fi precedate de verificri pariale, pe domenii sau etape de pregtire. n pregtirea personalului se aplic principiul diferenierii n funcie de nivelul de secretizare a informaiilor la care persoana este autorizat ori certificat s aib acces. Mai mult, tematicile de pregtire iniial i continu trebuie individualizate n acord cu atribuiile profesionale. Astfel, coninuturile i tehnicile de formare trebuie adaptate necesitilor de pregtire a: experilor din cadrul structurilor de securitate; formatorilor n domeniul proteciei informaiilor clasificate; altor categorii de personal cu acces la informaii clasificate.
30
Participarea la fiecare activitate de pregtire se consemneaz n fia individual de pregtire care se pstreaz de structura/funcionarul de securitate. Dup fiecare astfel de activitate de pregtire, persoana care deine certificat de securitate sau autorizaie de acces va semna c a luat act de coninutul reglementrilor privind protecia informaiilor secrete de stat. Feed-back-ul realizat pe perioada activitilor de instruire permite formatorului i, implicit, funcionarului/structurii de securitate identificarea riscurilor i vulnerablitilor existente n sistemul de protecie a informaiilor clasificate, datorate unei pregtiri necorespunztoare a personalului care acceseaz astfel de informaii. Prin informarea conductorului unitii i propunerea de msuri n consecin, pot fi eliminate premisele producerii unor incidente de securitate. Domeniul culturii de securitate clasificate este n plin dezvoltare. Din acest motiv, i n domeniul particular al proteciei informaiilor clasificate, conceperea programelor i tematicilor de pregtire va trebui abordat ntr-o manier prospectiv i s rspund unor exigene pedagogice: obiectivele s fie stabilite corect n relaie cu necesitile de formare ale momentului i cu direciile de evoluie a problematicii n materia securitii informaiilor clasificate; coninutul tiinific s fie dimensionat astfel nct s acopere integral i echilibrat obiectivele proiectate i, de asemenea, s permit actualizarea facil; strategia de formare s fie conceput n manier interactiv i flexibil, adaptat corect obiectivelor, coninutului curricular i resurselor umane implicate;
31
realizarea unui raport optim ntre dimensiunea informativ (transmiterea de cunotine) i cea formativ (cultivarea de atitudini, deprinderi i competene); diferenierea formrii iniiale i continue, n relaie cu natura atribuiilor profesionale i cu dinamica necesitilor de pregtire n domeniul proteciei informaiilor clasificate; formarea continu a formatorilor n acord cu evoluiile legislaiei n materia informaiilor clasificate i n domeniul tiinelor educaiei; dezvoltarea i ntreinerea motivaiei principalilor actori (formatorii i cursanii) pentru problematica abordat; alocarea i gestionarea corect a resurselor materiale, financiare, de timp i umane; evaluarea periodic (semestrial, anual etc) a programului n vederea actualizrii i optimizrii. La nivelul sistemului naional de protecie a informaiilor clasificate, n conformitate cu atribuiile legale privind coordonarea general a activitii i exercitarea controlului asupra msurilor privitoare la protecia informaiilor clasificate, n sfera sa de competen, Serviciul Romn de Informaii organizeaz i coordoneaz activitatea de pregtire a structurilor de securitate, prin programe permanente de pregtire. De asemenea, desfoar activiti de pregtire a personalului cu atribuii pe linia proteciei informaiilor clasificate, vehiculate n cadrul activitilor industriale. Importana pregtirii personalului care acceseaz informaii clasificate este evideniat de obligaia ce revine autoritilor desemnate de securitate printre care i SRI
32
privind exercitarea controlul asupra modului de realizare a acestei activiti. Instruirea corespunztoare a personalului reprezint una dintre condiiile eliminrii riscurilor i evitrii producerii evenimentelor de securitate. Avndu-se n vedere daunele pe care pregtirea deficitar a personalului le poate provoca securitii naionale prin compromiterea informaiilor secrete de stat, Standardele naionale stabilesc sanciuni pentru faptele de natur contravenional privind nendeplinirea obligaiilor i nerespectarea normelor n domeniul pregtirii personalului care acceseaz informaii secrete de stat.
33
C A P I T O L U L IV
REGULILE GENERALE PRIVIND EVIDENA, NTOCMIREA, PSTRAREA, PROCESAREA, MULTIPLICAREA, MANIPULAREA, TRANSPORTUL, TRANSMITEREA I DISTRUGEREA INFORMAIILOR CLASIFICATE
Corespunztor prevederilor Capitolului III din Standardele naionale de protecie a informaiilor clasificate, aprobate prin HG nr. 585/2002, diagrama de proces aferent activitilor circumscrise gestionrii documentelor clasificate este urmtoarea:
Activitile de eviden, ntocmire, pstrare, procesare, manipulare i multiplicare a documentelor clasificate, se realizeaz n cadrul compartimentelor speciale, subordonate conductorului unitii ce gestioneaz de astfel de informaii.
34
DATE DE INTRARE
DIAGRAMA DE FLUX
DATE DE IEIRE
INFORMAII NCADRATE N CLASE I NIVELURI DE SECRETIZARE Informaiile se clasific secrete de stat sau secrete de serviciu n raport cu importana pe care o au pentru securitatea naional i consecinele pe care le-ar putea produce dezvluirea sau diseminarea lor neautorizat. Includerea informaiilor n clase i niveluri de secretizare se realizeaz prin consultarea ghidului de ncadrare corect i uniform a informaiilor n clase i niveluri de secretizare, a listelor cu informaii secrete de stat sau a listelor cu informaii secrete de serviciu. Emitenii informaiilor secrete de stat au obligaia de a evalua periodic necesitatea meninerii lor n nivelurile de secretizare i de a prezenta propuneri n consecin mputerniciilor i funcionarilor superiori abilitai prin lege s atribuie niveluri de secretizare.
ncadrarea informaiei create intern, n clase i niveluri de secretizare
CLASIFICARE
NTOCMIRE
Informaiile secrete de stat se declasific prin hotrre a Guvernului, la solicitarea motivat a emitentului, n situaiile n care termenul de clasificare stabilit a expirat sau dezvluirea informaiilor nu mai poate prejudicia sigurana naional, aprarea rii, ordinea public ori interesele deintorilor sau atunci cnd clasa i nivelul de secretizare au fost atribuite de o persoan nemputernicit prin lege. Informaiile secrete de serviciu se declasific prin scoaterea lor de pe listele stabilite i aprobate de ctre unitile emitente.
35
2)nregistrarea documentelor:
elaborate intern i clasificate primite de la emiteni externi 3) Pentru documentele nregistrate se poate avea n vedere: a. pstrare b. multiplicare n vederea pstrrii / transmiterii c. transmitere d. distrugere distrugere
NREGISTRARE
DOCUMENTE LUATE N EVIDEN nregistrarea documentelor clasificate n registrele de eviden se face succesiv, pe parcursul unui an calendaristic; numrul alocat se nscrie pe exemplarele materialelor care conin informaii clasificate i pe anexe. DOCUMENTE DESTINATE VALORIFICRII N ACTIVITATEA SPECIFIC DOCUMENTE MULTIPLICATE Multiplicarea informaiilor clasificate se realizeaz exclusiv de ctre persoane autorizate, n baza aprobrii conductorului unitii deintoare, cu avizul structurii / funcionarului de securitate. Evidenierea operaiunii de multiplicare se face prin marcare pe original (n partea dreapt jos a ultimei pagini), i pe copiile rezultate (sub numrul de nregistrare al documentului). DOCUMENTE DESTINATE TRANSMITERII Transmiterea informaiilor clasificate se realizeaz cu aprobarea emitentului i cu respectarea principiului "necesitii de a cunoate". Ctre destinatar extern: numai dac reprezentantul destinatarului este autorizat corespunztor pentru accesul la informaii clasificate DOCUMENTE DESTINATE DISTRUGERII Distrugerea documentelor clasificate se realizeaz de emiteni, n funcie de clasa / nivelul de secretizare. Documentele, ciornele sau materialele acumulate ori create n procesul de elaborare a informaiei clasificate se distrug pe baz de proces-verbal. n situaia n care se pstreaz, acestea vor fi datate, marcate cu clasa sau nivelul de secretizare cel mai nalt al informaiilor coninute, arhivate i protejate corespunztor clasei sau nivelului de secretizare al documentului final. Distrugerea se menioneaz n registrul de eviden, prin consemnarea numrului de nregistrare al procesului-verbal de distrugere.
p strare
multiplicare
transmitere
36
5) Operaiuni de descrcare a evidenei pentru documentele:

transmise distruse destinate arhivrii
4) Pregtirea arhivrii documentelor
ARHIVARE
n conformitate cu prevederile Legii nr. 16 / 1996 a Arhivelor Naionale
DOCUMENTE ARHIVATE
Inventarierea anual a documentelor
OPERAIUNI DESCRCARE EVIDEN
niveluri de securitate, registre de listare, condici etc. )
DOCUMENTE DE EVIDEN (registre de eviden pe clase i
6) Pregtirea transportului documentelor
TRANSPORT
CORESPONDEN CLASIFICAT Transportul, pe teritoriul Romniei, a documentelor i materialele ce conin informaii clasificate se realizeaz de unitatea specializat a Serviciului Romn de Informaii, potrivit normelor stabilite prin HG nr. 1349/2003. Conductorii unitilor deintoare de informaii clasificate au obligaia s desemneze cel puin un delegat mputernicit pentru transportul i executarea operaiunilor de predare-primire a corespondenei clasificate, ntre acestea i unitatea specializat a Serviciului Romn de Informaii. Transportul n strintate al documentelor i materialelor care conin informaii clasificate se realizeaz prin valiza diplomatic, de ctre curieri diplomatici selecionai i pregtii de Serviciul de Informaii Externe.
37
CAPITOLUL V
PROTECIA FIZIC
Msurile de protecie fizic - gratii la ferestre, ncuietori la ui, paz la intrri, sisteme automate pentru supraveghere, control, acces, patrule de securitate, dispozitive de alarm, mijloace pentru detectarea observrii, ascultrii sau interceptrii - se dimensioneaz n raport cu:
nivelul de secretizare a informaiilor, volumul i

localizarea acestora, tipul containerelor n care sunt depozitate informaiile; caracteristicile cldirii i zonei de amplasare.
Spaiile unde sunt manipulate sau stocate informaiilor clasificate se organizeaz i administreaz ca zone de securitate (clasa I i clasa a II - a) constituite n perimetre clar delimitate i protejate, n care accesul este controlat prin sisteme de recunoatere individual. n zonele de securitate clasa I se gestioneaz informaii secrete de stat, nivel "strict secret de importan deosebit" i "strict secret", iar n zonele de securitate clasa II - a, informaii secrete de stat, nivel "secret". n jurul zonelor de securitate poate fi stabilit o zon administrativ, cu perimetru vizibil delimitat, n interiorul creia s existe posibilitatea de control al personalului i al vehiculelor.
38
Unitile deintoare de informaii secrete de stat stabilesc reguli cu privire la circulaia i ordinea interioar n zonele de securitate i un sistem propriu de control al vizitatorilor, astfel nct accesul s fie permis exclusiv posesorilor de certificate de securitate i autorizaii de acces, cu respectarea principiului "necesitii de a cunoate". Informaiile clasificate se pstreaz n containere speciale (clasa A-pentru pstrarea informaiilor "strict secrete de importan deosebit" i clasa B - pentru pstrarea informaiilor "strict secrete" i "secrete"), ale cror cerine de securitate i standarde constructive sunt stabilite de ORNISS. Cheile containerelor i ncperilor de securitate nu se scot din zonele de securitate n care se afl documentele clasificate, iar combinaiile ncuietorilor containerelor de securitate sunt cunoscute numai de persoanele abilitate. Pentru cazuri de urgen, un rnd de chei suplimentare (o eviden scris a fiecrei combinaii) se pstreaz n plicuri mate sigilate, ntr-un compartiment stabilit de conducerea instituiei, sub control corespunztor. Evidena fiecrei combinaii se pstreaz n plic separat. Cheilor i plicurilor trebuie s li se asigure acelai nivel de protecie ca i informaiilor clasificate la care permit accesul. Copiatoarele i dispozitivele telefax se instaleaz n ncperi special destinate i se folosesc numai de ctre persoanele autorizate, potrivit nivelului de secretizare al informaiilor la care au acces. Echipamentele de comunicaii i dotrile din birouri, n principal cele electrice i electronice, se verific de specialiti ai autoritilor desemnate de securitate competente, nainte de a fi folosite n zonele n care se lucreaz ori se discut despre informaii clasificate strict secret sau strict secret de importan deosebit, pentru a preveni transmiterea sau interceptarea, n afara cadrului legal, a oricror informaii inteligibile. Pentru zonele menionate se organizeaz o eviden a tipului i numerelor de inventar ale echipamentului i a mobilierului mutat n/din interiorul ncperilor.
39
C A P I T O L U L VI
SECURITATEA INDUSTRIAL
n domeniul securitii industriale, Serviciul Romn de Informaii are ca atribuii principale verificarea i avizarea persoanelor juridice care particip la negocierea sau derularea de contracte clasificate secret de stat, precum i avizarea Programelor de prevenire a scurgerii de informaii clasificate ntocmite de autoriti i instituii publice, ageni economici cu capital integral sau parial de stat i celelalte persoane juridice de drept public sau privat. Importana acestor activiti este deosebit, deoarece marea majoritate a contractelor ncheiate pn n prezent sunt realizate cu autoritile i instituiile din domeniul aprrii i siguranei naionale. Activitile circumscrise asigurrii proteciei informaiilor clasificate n domeniul industrial se desfoar pe dou coordonate principale: 1. Acordarea avizului necesar eliberrii autorizaiei sau certificatului de securitate industrial
Toate persoanele juridice de drept public sau privat care desfoar ori solicit s deruleze activiti contractuale ce presupun accesul la informaii clasificate secret de stat trebuie s se conformeze prevederilor capitolului VII - Securitate industrial din Standardele aprobate prin HG nr. 585/2002.
40
Persoanele juridice care intenioneaz s participe la negocierea unui contract clasificat trebuie s dein autorizaie de securitate industrial eliberat de Oficiul Registrului Naional al Informaiilor Secrete de Stat, n baza avizului de securitate acordat de Serviciul Romn de Informaii. Dup adjudecarea contractului clasificat, contractantul este obligat s solicite la Oficiul Registrului Naional al Informaiilor Secrete de Stat eliberarea certificatului de securitate industrial. Pentru eliberarea autorizaiei de securitate industrial necesar participrii la procedura de atribuire/negocierea contractelor clasificate i a certificatului de securitate industrial pentru derularea unui contract n care se gestioneaz informaii clasificate secret de stat, societatea comercial se va adresa, n scris, Oficiului Registrului Naional al Informaiilor Secrete de Stat, cruia, conform procedurii, i va trimite chestionarul de securitate(avnd toate rubricile completate), n plic sigilat. Adresa trebuie nsoit de un document care s ateste participarea la negocierea sau derularea contractului clasificat, iar n cazul derulrii unui contract clasificat, va fi prezentat i anexa de securitate. ORNISS va trimite la SRI o adres, nsoit de plicul sigilat i, anexa de securitate, prin care va solicita declanarea procedurii de verificare a societii comerciale. Iniierea verificrilor privind eliberarea autorizaiei / certificatului de securitate industrial n vederea negocierii / derulrii contractelor clasificate se realizeaz de Oficiului pentru Supravegherea Secretelor de Stat. Solicitarea ORNISS va nsoi plicul nchis care conine chestionarele de securitate stabilite potrivit Anexelor 25, 26 i 27 la Standarde. Termenele de verificare, n funcie de nivelul de secretizare al informaiilor clasificate la care se solicit acces, sunt cele prevzute Standardele aprobate prin n HG nr. 585/2002, respectiv:
41
Potrivit art. 225 din Standarde, n cadrul verificrii de securitate se deruleaz urmtoarele activiti:
60 de zile lucrtoare pentru verificarea de nivel I autorizaie de securitate; 90 de zile lucrtoare pentru verificarea de nivel II certificat de securitate de nivel secret; 120 de zile lucrtoare pentru verificarea de nivel III certificat de securitate de nivel strict secret; 180 de zile lucrtoare pentru verificarea de nivel IV certificat de securitate de nivel strict secret de importan deosebit.
Pentru verificrile de securitate de nivel I: verificarea corectitudinii datelor consemnate n chestionarul de securitate industrial; verificarea modului de aplicare a prevederilor programului de prevenire a scurgerii de informaii clasificate; evaluarea statutului de securitate a fiecrei persoane cu putere de decizie - asociai/acionari, administratori, persoanele din comitetul director i structura de securitate - ori executiv implicat n negocierea contractului clasificat; verificarea datelor minime referitoare la bonitatea i stabilitatea economic a obiectivului industrial domeniu i obiect de activitate, statut juridic, acionari, garanii bancare. Pentru verificarea de securitate de nivel II: verificarea corectitudinii datelor consemnate n chestionarul de securitate industrial; evaluarea statutului de securitate a fiecrei persoane cu putere de decizie - asociai/acionari, administratori,
42
persoanele din comitetul director i structura de securitate - ori executiv implicat n derularea contractului clasificat; verificarea unor date minime referitoare la bonitatea i stabilitatea economic a obiectivului industrial domeniu i obiect de activitate, statut juridic, acionari, garanii bancare; verificarea modului de implementare i de aplicare a normelor i msurilor de securitate fizic, de securitate a personalului i a documentelor, prevzute pentru nivelul secret. Pentru verificarea de securitate de nivel III: verificarea corectitudinii datelor consemnate n chestionarul de securitate industrial; evaluarea statutului de securitate a fiecrei persoane cu putere de decizie - asociai/acionari, administratori, persoanele din comitetul director i structura de securitate - ori executiv implicat n derularea contractului clasificat, precum i a celor desemnate s participe la activitile de negociere a acestuia; verificarea datelor referitoare la bonitatea i stabilitatea economic a agentului economic - domeniu i obiect de activitate, statut juridic, acionari, garanii bancare - incluznd i aspecte referitoare la sucursale, filiale, firme la care este asociat, date financiare; verificarea existenei autorizrii sistemului informatic i de comunicaii propriu, pentru nivelul strict secret; verificarea modului de implementare i de aplicare a normelor i msurilor de securitate fizic, de securitate a personalului i a documentelor, prevzute pentru nivelul strict secret;
43
discuii cu proprietarii, membrii consiliului director, funcionarii de securitate, angajaii, n vederea clarificrii datelor rezultate din chestionar, dup caz. Pentru verificarea de securitate de nivel IV: verificarea corectitudinii datelor consemnate n chestionarul de securitate industrial; evaluarea statutului de securitate a fiecrei persoane cu putere de decizie - asociai/acionari, administratori, persoanele din comitetul director i structura de securitate - ori executiv implicat n derularea contractului clasificat; verificarea informaiilor detaliate referitoare la bonitatea i stabilitatea economic a agentului economic - domeniu i obiect de activitate, statut juridic, acionari, garanii bancare - incluznd i aspecte referitoare la sucursale, filiale, firme la care este asociat, date financiare; verificarea existenei autorizrii sistemului informatic i de comunicaii propriu, pentru nivel strict secret de importan deosebit; verificarea modului de implementare i de aplicare a normelor i msurilor de securitate fizic, de securitate a personalului i a documentelor, prevzute pentru nivelul strict secret de importan deosebit; discuii cu proprietarii, membrii consiliului director, funcionarii de securitate, angajaii, n vederea clarificrii datelor rezultate din chestionar, dup caz. Oportunitatea acordrii avizului pentru eliberarea autorizaiei sau a certificatului de securitate industrial se evalueaz pe baza tuturor datelor i informaiilor obinute, n raport cu criteriile de incompatibilitate stipulate de art. 218 din Standardele naionale de protecie a informaiilor clasificate n Romnia aprobate prin HG nr. 585/2002.
44
n eventualitatea n care constat c societatea comercial nu ntrunete condiiile de securitate necesare, Autoritatea Desemnat de Securitate competent acord aviz negativ, iar ORNISS nu elibereaz autorizaia/certificatul de securitate industrial i informeaz despre acest lucru agentul economic solicitant i Serviciul Romn de Informaii. Procedura de verificare de securitate, pentru eliberarea unei noi autorizaii de securitate industrial sau a unui nou certificat de securitate industrial se realizeaz pe baza unor noi chestionare de securitate industrial cu respectarea prevederilor legale. Retragerea autorizaiei sau a certificatului de securitate industrial se realizeaz conform prevederilor art. 235 din Standardele naionale de protecie a informaiilor clasificate n Romnia aprobate prin HG nr. 585/2002: a) la solicitarea obiectivului industrial; b) la propunerea motivat a autoritii desemnate de securitate competente; c) la expirarea termenului de valabilitate; d) la ncetarea contractului; e) la schimbarea nivelului de certificarea acordat iniial. Aspecte rezultate din practica acordrii avizelor de securitate industrial
Cu toate c se constat o cretere a interesului pentru autorizarea negocierii/derulrii contractelor clasificate ce presupun accesarea de informaii secrete de stat, au fost nregistrate situaii n care unele societi comerciale au solicitat eliberarea autorizaiilor de securitate industrial ulterior participrii la licitaiile organizate de instituiile de stat sau, mai mult, dup adjudecarea ori chiar derularea contractului clasificat secret de stat.
45
Astfel, pot s apar premisele accesrii/diseminrii neautorizate a informaiilor secrete de stat ce fac obiectul activitilor contractuale datorit faptului c, n cele mai multe situaii (ex.: solicitanii nu aveau personal autorizat pentru accesul la informaii clasificate i programul de prevenire a scurgerii de informaii clasificate avizat de instituia noastr, sau au transmis chestionare de securitate industrial incomplete sau pentru alt nivel de secretizare dect cel specificat n adresa ORNISS i, mai ales trebuie precizat c funcionarii de securitate nu cunosc prevederile legale aferente obinerii avizului de securitate industrial). n ceea ce privete solicitrile privind obinerea certificatelor de securitate industrial necesare derulrii contractelor clasificate secrete de stat, s-au nregistrat situaii n care societile comerciale nu respect prevederile stipulate de standarde n vigoare (ex.: firme care nu dispun de pregtirea i logistica necesar; contractantul cedeaz unui subcontractant realizarea unei pri a contractului clasificat, fr s ntiineze contractorul i s se asigure c subcontractantul deine certificat de securitate industrial; anexele de securitate nu prevd clauze i proceduri de protecie a informaiilor clasificate ce vor fi diseminate pe perioada derulrii contractului secret de stat potrivit reglementrilor legale n materie). Cu foarte puine excepii, msurile INFOSEC aferente sistemelor informatice i de comunicaii pe care sunt vehiculate datele secret de stat, nivel strict secret nu asigur integritatea informaiilor clasificate ce fac obiectul contractelor clasificate. De regul, activitile de instalare i ntreinere a echipamentelor informatice i de comunicaii, precum i instruirea utilizatorilor acestora sunt realizate de firme private sau de persoane fizice neautorizate iar, n foarte multe situaii, mediile de stocare a informaiilor clasificate n format electronic sunt gestionate cu nerespectarea reglementrilor n vigoare.
46
Vulnerabilitile pe aceast component se datoreaz cu precdere necunoaterii de ctre societile comerciale solicitante de certificate de securitate industrial, nivel strict secret a obligativitii deinerii acreditrii INFOSEC i lipsei de expertiz a persoanelor cu atribuii specifice n cadrul structurilor de securitate proprii, privind implementarea/ operaionalizarea reglementrilor specifice elaborate de ORNISS. n contextul evalurii bonitii i stabilitii economice a societilor comerciale care solicit eliberarea autorizaiei / certificatului de securitate industrial au existat situaii n care agenii economici nu au transmis instituiei noastre documente fiscale solicitate ntruct figurau cu datorii mari la bugetul de stat - aspect ce a fundamentat acordarea avizului negativ(art. 218 (1) lit. b). 2. Avizarea Programelor de prevenire a scurgerii de informaii clasificate
Pentru asigurarea msurilor protective i prevenirea situaiilor de natur a crea condiiile accesrii, diseminrii, multiplicrii i distrugerii neautorizate a informaiilor clasificate emise sau gestionate de autoritile i instituiile publice, structurile de securitate constituite la nivelul acestora au obligaia s elaboreze i s prezinte spre aprobare, conductorilor acestora, norme interne de lucru i de ordine interioar, destinate implementrii msurilor de protecie a acestor informaii. Programul de prevenire a scurgerii de informaii clasificate constituie componenta de baz destinat implementrii complexului de msuri privind protecia fizic i procedural a informaiilor clasificate.
47
Conform prevederilor art. 86 alin. (1) lit. h) din Standarde, conductorii unitilor deintoare de informaii clasificate au obligaia de a supune avizrii instituiilor abilitate Programul propriu de prevenire a scurgerii de informaii clasificate i s asigure aplicarea acestuia. Pn la momentul elaborrii Programului de prevenire a scurgerii de informaii clasificate, conductorii unitilor gestionare de informaii clasificate trebuie s asigure realizarea urmtoarelor categorii de activiti: S numeasc, prin ordin intern, persoanele care vor face parte din structura de securitate i s stabileasc atribuiile acestora, n paralel cu constituirea i operaionalizarea compartimentelor speciale pentru gestionarea informaiilor clasificate, n condiiile legii. S stabileasc categoriile de informaii clasificate gestionate, n vederea iniierii de msuri pentru constituirea listei cu informaii clasificate secrete de stat, pe niveluri de secretizare, n vederea aprobrii acesteia prin hotrre de guvern. nainte de a supune aprobrii hotrrea de guvern respectiv, lista cu informaii clasificate va fi transmis, spre avizare, autoritii desemnate de securitate competente. n cazul n care unitatea deintoare de informaii clasificate este n subordinea, sub autoritatea sau n coordonarea unei instituii tutelare, constituirea listei proprii cu informaiile clasificate se va realiza prin raportarea la hotrrea de guvern care se stabilesc categoriile de informaii clasificate, corespunztoare domeniului respectiv de activitate. S stabileasc obiectivele, sectoarele i locurile din zona de competen care prezint importan deosebit pentru protecia informaiilor secrete de stat i s le comunice Serviciului Romn de Informaii, pentru a fi
48
supuse spre aprobare Guvernului. n acest sens, unitile deintoare de informaii clasificate pot solicita asisten de specialitate Serviciului Romn de Informaii. n funcie de locurile unde sunt gestionate informaii clasificate se stabilesc zonele de securitate clasa I i, respectiv, a II-a, precum i zonele administrative. S aprobe lista funciilor ce implic acces la informaii clasificate, pe niveluri de secretizare, respectndu-se principiul nevoii de a cunoate. S aprobe listele cu personalul care are sau urmeaz s aib acces la informaii clasificate i s le comunice la Oficiul Registrului Naional al Informaiilor Secrete de Stat i la instituiile abilitate s coordoneze activitatea i controlul msurilor privitoare la protecia informaiilor clasificate, potrivit legii. Este obligatoriu ca numrul persoanelor autorizate s acceseze informaii clasificate s nu depeasc numrul funciilor care implic accesul la astfel de informaii. Programul se ntocmete de ctre structura de securitate, potrivit prevederilor Anexei nr. 10 la Standardele naionale de protecie a informaiilor clasificate n Romnia aprobate prin HG nr. 585/2002, raportate la condiiile generale i specifice ale instituiei. Acesta va respecta pe form prevederile Anexei nr. 10 din Standardele naionale de protecie a informaiilor clasificate din Romnia, aprobate prin HG nr. 585/2002, astfel: s fie transmis spre avizare n dou exemplare; clasificarea s fie nscris n funcie de nivelul maxim de clasificare a informaiilor pe care acesta le cuprinde; paginile s fie marcate i numerotate corect (numrul curent, urmat de numrul total al acestora).
49
Documentul trebuie s fie structurat pe nou capitole i s cuprind elemente referitoare la: informaii clasificate deinute de unitatea n cauz i baza legal a deinerii lor; locurile n care se concentreaz informaii clasificate; componena structurii de securitate; lista funciilor i lista persoanelor care urmeaz s aib acces la informaii clasificate; msurile pentru protecia fizic a cldirilor, spaiilor i locurilor unde se lucreaz cu informaii clasificate; modaliti de protecie a activitilor i a informaiilor clasificate, n funcie de suportul acestora (electronic, audio, video, hrtie etc.); msurile de protecie mpotriva observrii i ascultrii; activitile de control, analiz i evaluare a modului n care se respect prevederile legale, procedurile de raportare, investigare i eviden a incidentelor de securitate; modul de instruire protectiv a persoanelor care au acces la informaii clasificate. Autoritile i instituiile publice centrale, precum i agenii economici i societile comerciale de interes public sau privat, cu sediul n municipiul Bucureti sau n judeul Ilfov, vor transmite SRI Programul de prevenire a scurgerii de informaii clasificate. Unitile teritoriale din subordinea, coordonarea sau sub autoritatea instituiilor centrale vor ntocmi Programe proprii de prevenire a scurgerii de informaii clasificate i le vor trimite spre avizare structurilor teritoriale competente ale Serviciului. Se verific conformitatea Programului cu prevederile Anexei nr. 10 la Standardele aprobate prin HG nr. 585/2002, urmrindu-se respectarea elementelor de form i coninut, n raport cu realitile din teren, capitol cu capitol, astfel:
50
Capitolul I Consemnarea bazei legale (Legea nr. 182/2002 privind protecia informaiilor clasificate; HG nr. 585/2002 pentru aprobarea Standardelor naionale de protecie a informaiilor clasificate n Romnia; HG nr. 781/2002 privind informaiile secrete de serviciu; HG. nr. 1349/27.11.2002 privind colectarea, transportul, distribuirea i protecia, pe teritoriul Romniei, a corespondenei clasificate). n cadrul capitolului se consemneaz baza legal a deinerii informaiilor clasificate, precum i deciziile conductorului instituiei privind constituirea structurii de securitate i aprobarea listei funciilor ce implic accesul la informaii clasificate. Capitolul II Se vor prezenta, pe scurt, aspectele legate de obiectul de activitate al instituiei. Totodat, vor fi prezentate obiectivele i principiile care stau la baza msurilor de prevenire a scurgerii de informaii clasificate. Capitolul III - prezentarea elementelor generale privind informaiile clasificate gestionate; - lista informaiilor secrete de stat, pe clase i niveluri de secretizare, aprobat prin Hotrre de Guvern (dup caz, extras din aceast list, care poate fi anexat la Program); - prezentarea locurilor unde se gestioneaz informaii secrete de stat (conform Anexei nr. 10/A); Capitolul IV lista funciilor care necesit acces la informaii clasificate, pe niveluri de secretizare; prezentarea persoanelor din cadrul structurii de securitate, a listei cu persoanele care urmeaz s aib acces la informaii clasificate i a listei cu persoanele
51
crora li se acord acces temporar la informaii clasificate; Capitolul V msurile de protecie fizic a cldirilor, spaiilor / ocurilor unde se pstreaz sau se concentreaz datele, informaiile si documentele clasificate ori se desfoar astfel de activiti (conform Anexei nr. 10/B); msurile procedurale de protecie a datelor, informaiilor, documentelor i a activitilor clasificate; planurile n situaii de urgen, n care sunt detaliate activitile ce trebuie desfurate n astfel de cazuri;
Capitolul VI prezentarea sistemului de protecie a surselor generatoare de informaii clasificate (se va urmri s corespund prevederilor Anexei nr. 10/C); vor fi prezentate echipamentele de telecomunicaii i birotic prin care vor fi transmise/prelucrate informaii clasificate; Capitolul VII msurile de protecie mpotriva observrii i ascultrii (conform Anexei nr. 10/D); n funcie de nivelul informaiilor care vor fi accesate se vor lua msuri mpotriva ascultrii i observrii pasive; Capitolul VIII planificarea i modul de realizare a controalelor, activitilor de analiz i evaluare a respectrii reglementrilor legale n domeniul proteciei informaiilor clasificate i, respectiv, a soluionrii cazurilor de nclcare a acestora;
52
modul de soluionare a cazurilor de nclcare a reglementrilor privind protecia informaiilor clasificate (Anexa nr. 10/E la Standarde); Capitolul IX msurile de instruire i educaie protectiv a persoanelor desemnate s ndeplineasc atribuii pe linia proteciei informaiilor clasificate (Anexa nr. 10/F); reguli privind accesul cetenilor strini, cetenilor romni care au i cetenia altui stat, precum i apatrizilor, la informaiile clasificate i n locurile n care se desfoar activiti, se expun obiecte sau se execut lucrri din aceast categorie. Totodat, se verific dac la Program este anexat Planul de paz i aprare, ntocmit n conformitate cu prevederile art. 120 din Standardele naionale de protecie a informaiilor clasificate n Romnia aprobate prin HG nr. 585/2002, care trebuie s cuprind: date privind delimitarea i marcarea zonelor de securitate, dispunerea posturilor de paz i msurile de supraveghere a perimetrului protejat; sistemul de control al accesului n zonele de securitate; msurile de avertizare i alarmare pentru situaii de urgen; planul de evacuare a documentelor i modul de aciune n caz de urgen; procedura de raportare, cercetare i eviden a incidentelor de securitate. Trebuie precizat faptul c Planul de paz i aprare va fi nregistrat potrivit celui mai nalt nivel de secretizare a informaiilor protejate i va cuprinde totalitatea msurilor de securitate luate pentru prevenirea accesului neautorizat la acestea.
53
Dac se constat c modul de elaborare a Programului i a Planului de paz nu respect prevederile cuprinse n Anexa nr. 10 i, respectiv, n art. 120 din Standarde, se va realiza o discuie cu funcionarul de securitate n vederea clarificrii neconformitilor de form i de coninut. Ulterior, exemplarul nr. 1 al Programului de prevenire a scurgerii de informaii clasificate va fi restituit instituiei n cauz n vederea reevalurii i completrii. Dup refacerea acestuia, Programul reevaluat i completat va fi transmis SRI prin Pota Secret. Dac n urma analizei rezult c Programul respect prevederile Anexei nr. 10, se efectueaz o evaluare, la sediul instituiei solicitante, a pertinenei msurilor prevzute n cadrul acestuia. n urma evalurii, n situaia n care rezult c sunt respectate toate msurile prevzute n Program i nu au fost evideniate neconcordane sau situaii de natur a crea riscuri sau vulnerabiliti n planul proteciei informaiilor clasificate, Oficiul pentru Supravegherea Secretelor de Stat sau, dup caz secia judeean de informaii, va transmite oficial, prin adres, instituiei solicitante, exemplarul nr. 1 al Programului de prevenire a scurgerii de informaii clasificate, avizat pozitiv. n cazul n care sunt semnalate riscuri i vulnerabiliti referitoare la protecia informaiilor clasificate ori sunt primite reclamaii sau sesizri cu privire la nclcri ale msurilor instituite prin Programele de prevenire a scurgerii de informaii clasificate, Serviciul realizeaz evalurile necesare i, de la caz la caz, propune revizuirea acestora. Programul de prevenire a scurgerii de informaii clasificate se actualizeaz anual sau ori de cte ori se impune (cnd sunt identificate riscuri i vulnerabiliti etc.), modificrile efectuate aducndu-se la cunotina SRI, prin transmiterea unor documente de completare, n vederea avizrii.
54
Aspecte practice rezultate din activitatea de avizare a programului de prevenire a scurgerii de informaii clasificate
Din analiza documentelor primite spre avizare, n unele situaii au fost constatate neajunsuri de natur procedural i aspecte de neconformitate, cum ar fi: au fost transmise spre avizare fr adres de nsoire, ntocmite ntr-un singur exemplar, clasificate greit, cu pagini sau anexe lips, fr a fii marcate i/sau nregistrate; baza legal a deinerii documentelor clasificate, fiind menionat numai la cadrul normativ care reglementeaz protecia informaiilor clasificate; omiterea includerii n programul de prevenire a elementelor privind accesul la informaii secret de serviciu (Liste categorii informaii, funcii i persoane ntocmirea incomplet a listelor de funcii care necesit acces la informaii clasificate (n care sunt prezentate numai funciile propriu-zise fr a se preciza i numrul de posturi aferente fiecrei funcii) i listelor de persoane care au sau urmeaz s aib acces la informaii clasificate (omiterea unor date de identificare); neconcordan ntre listele cu funcii i persoane, fiind prezentat un numr mai mare de persoane pentru accesul la informaii clasificate dect funciile care necesit acces la astfel de informaii; msurile de protecie fizic fie erau prezentate lapidar (fiind omise prevederile referitoare la controlul cheilor i combinaiilor ncperilor i zonelor de securitate i planurile de urgen) fie erau supra/subdimensionate n conformitate cu nivelul maxim de clasificare i volumul informaiilor gestionate;
55
nu era prezentat sistemul informatic folosit pentru elaborarea documentelor clasificate sau chiar se fceau precizri cum c instituia nu deine un sistem informatic dedicat pentru astfel de activiti; diferene majore ntre msurile de protecie fizic stipulate n program i cele existente la sediul solicitantului, n sensul c acestea nu erau implementate n totalitate; referitor la modalitatea n care se realizeaz controlul cheilor s-a constatat c n cel puin 50% din cazuri condica de predare-primire a cheilor nu era instituit sau nu era completat la zi; lipsa marcajului zonelor de securitate sau a nsemnelor ce din care s rezulte interzicerea accesului personalului ce nu este autorizat pentru accesul la informaii clasificate; nu erau aprobate norme proprii n aplicarea H.G. nr. 585/2002; staii de lucru conectate la intranet sau la internet, (dei funcionarul de securitate prezenta sistemele informatice ca fiind neconectate la aceste reele) sau neasigurate corespunztor (accesul nu se efectua prin alocarea unor conturi individuale protejate prin parole sau coduri); lipsa documentelor de planificare aprobate de conducerea organizaiei pentru efectuarea controalelor interne i pregtirii personalului pe componenta proteciei informaiilor clasificate; necompletarea fielor de pregtire a personalului cu atribuii pe linia proteciei informaiilor clasificate.
56
C A P I T O L U L VII
SECURITATEA INFORMAIILOR CLASIFICATE N FORMAT ELECTRONIC
Informaia n format electronic reprezint texte, date, imagini, sunete, nregistrate pe dispozitive electronice de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub form de cureni, tensiuni sau cmp electromagnetic, n eter sau n reele de comunicaii. Informaie n format electronic ntlnim n sistemele de calcul, n reelele de transmisii date, n telefonia fix sau mobil, n transmisiile radio, etc. Informaia clasificat n format electronic reprezint orice informaie n format electronic de interes pentru securitatea naional, care, datorit nivelurilor de importan i consecinelor care s-ar produce ca urmare a dezvluirii i diseminrii neautorizate, trebuie s fie protejat. Nu se poate vorbi despre informaie clasificat n format electronic dect n strns legtur cu sistemele informatice si de comunicaie (SIC) care le proceseaz, stocheaz sau transmit ntre diverse componente prin diverse medii de transmitere (fir, aer, mediu de stocare). Securitatea informaiei n format electronic stare de siguran n care se afl informaia se realizeaz prin msuri de protecie asupra sistemelor informatice i de comunicaii, a cror implementare duce la nlturarea riscului de securitate (probabilitatea ca o ameninare la adresa securitii unui sistem
57
informatic i de comunicaii s exploateze o vulnerabilitate a acestuia, efectul fiind compromiterea obiectivelor de securitate, respectiv: confidenialitatea, integritatea, disponibilitatea, autenticitatea i nerepudierea informaiilor clasificate vehiculate prin acel sistem informatic). Potrivit Standardelor naionale de protecie a informaiilor clasificate n Romnia securitatea informaiilor clasificate n format electronic acoper securitatea calculatoarelor, a mediilor de stocare, a comunicaiilor, precum i depistarea i prevenirea ameninrilor la care sunt expuse informaiile i sistemele informatice. Exist legislaie n domeniu, ncepnd cu Legea nr.182, Standardele de protecie a informaiilor clasificate, Ordinele Directorului ORNISS n care sunt prezentate n amnunt msurile de protecie ce trebuie luate pentru protecia informaiei clasificate n format electronic. Sunt msuri i proceduri care trebuie urmate ncepnd de la achiziie, operaionalizare, acreditare i scoatere din uz a sistemelor informatice. Totui, pn a ajunge la implementarea n detaliu a tuturor acestor msuri i proceduri de securitate sunt necesare i posibile demersuri care ne stau la ndemn i a cror implementare duce la scderea considerabil a riscului de securitate. O parte din acestea sunt cele valabile i la gestionarea n condiii de securitate a documentelor pe suport de hrtie, sau sunt faciliti ale sistemelor informatice oferite de fabricant (hard sau soft) sau se refer la protecia personalului. Standardele naionale de protecie a informaiilor clasificate opereaz cu urmtoarele componente INFOSEC: Securitatea personalului; Securitatea fizic; Controlul accesului la SIC;
58
Dintre aceste componente, ne-am propus s supunem ateniei componenta de securitate a informaiei clasificate n format electronic iar n aceast perspectiv s discutm despre securitatea calculatoarelor a sistemelor informatice, securitatea mediilor de stocare i securitatea comunicaiilor. n continuare v supun ateniei cteva din aceste msuri de protecie pentru a cror implementare nu este necesar intervenia cuiva din afar ci poate fi fcut de structura de securitate administratorii bazelor de date i ai reelelor de calculatoare. A. Securitatea calculatoarelor
Securitatea informaiilor clasificate n format electronic; Controlul i evidena informaiilor n format electronic; Manipularea i controlul mediilor de stocare a informaiilor clasificate n format electronic; Declasificarea i distrugerea mediilor de stocare a informaiilor n format electronic.
Securitatea calculatoarelor COMPUSEC - aplicarea la nivelul fiecrui calculator a facilitilor de securitate hardware, firmware i software, pentru a preveni divulgarea, manevrarea, modificarea sau tergerea neautorizat a informaiilor clasificate ori invalidarea neautorizat a unor funcii Mecanismele de securitate hardware, firmware i software pot contribui individual i n combinaie la securitatea calculatoarelor. Securitatea hardware i firmware utilizeaz caracteristicile de securitate asigurate de ctre fabricant prin componentele fizice ale calculatoarelor i se refer la urmtoarele aspecte:
59
a) proceduri i documentaie de securitate pentru pornirea/oprirea echipamentelor de calcul; b) instruciuni i proceduri de securitate referitoare la conectarea/ deconectarea echipamentelor n/de la reea; d) proceduri pentru efectuarea unor verificri regulate ale sigiliilor de pe echipamente i asigurarea c modulele hardware sunt pstrate ncuiate, n mod normal, n carcasa echipamentului; e) configuraia calculatorului trebuie s i asigure acestuia posibilitatea de a putea funciona n condiii variate ( de exemplu trebuie precizat ce terminale / staii de lucru sau periferice pot fi conectate sau deconectate ntr-o situaie specific de exploatare); f) proceduri de securizare a configuraiei calculatorului pregtit pentru ntreinere i reparare; g) proceduri care trebuie urmate n caz de cedare hardware, cu descrierea aciunilor care trebuie ntreprinse i de ctre cine, n vederea securizrii calculatorului la deconectare i ce date trebuie pstrate referitoare la astfel de incidente hardware; h) proceduri pentru reconectarea terminalelor / staiilor de lucru de la distan care au fost deconectate din motive de securitate. Securitatea software are n vedere utilizarea i controlul oricror faciliti de protecie furnizate prin software: sistem de operare, programe utilitare, programe de aplicaie: a) metode de identificare a utilizatorilor, proceduri de stabilire a conturilor utilizatorilor, a grupurilor de utilizatori i de alocare a identificatorilor utilizatorilor, proceduri de tergere a conturilor utilizatorilor n cazul plecrii personalului de la post sau atunci cnd a fost detectat o compromitere a contului respectiv;
60
b) metode de autentificare, inclusiv protecia informaiilor de autentificare (de exemplu, parole de acces), proceduri de control i schimbare a mecanismelor de autentificare; c) mecanisme de control al accesului i proceduri de implementare a controlului accesului utilizatorilor pentru utilizarea serviciilor i resurselor sistemelor informatice; d) evidena software-lui, a versiunilor sistemelor de operare i a programelor utilitare, inclusiv cele care vor fi folosite n situaii deosebite; e) controlul asupra facilitilor de copiere sau de modificare a: datelor, sistemului de operare, programelor utilitare i a programelor de aplicaie; f) msuri de precauie ce trebuie luate nainte i dup procesare sau n timpul pregtirii diferitelor tipuri de activiti clasificate, incluznd rutine de tergere a memoriei principale, reguli de declasificare sau de suprascriere a versiunilor anterioare i proceduri care s asigure c bufferele sunt curate i c toate datele din fiierele jurnalelor de audit i de eviden a deschiderii sesiunilor de lucru ale utilizatorilor sistemului au fost listate i suprascrise. B. Securitatea mediilor de stocare a informaiilor ntr-un sistem informatic i de comunicaii, volumul i densitatea informaiilor stocate sau procesate, accesibilitatea lor, uurina i viteza de copiere a informaiilor, uneori i de la staii aflate la distan, subliniaz nevoia lurii unor msuri de securitate a informaiilor a mediilor de stocare a acestora. Aceste msuri vizeaz urmtoarele aspecte: a) proceduri corespunztoare pentru clasificarea mediilor de stocare; b) responsabiliti i proceduri pentru nregistrarea, controlul i evidena mediilor de stocare;
61
Toate mediile de stocare secrete de stat se identific i se controleaz n mod corespunztor nivelului de secretizare. Pentru informaiile neclasificate sau secrete de serviciu se aplic regulamente de securitate interne. Identificarea evidena i controlul mediilor de stocare trebuie s respecte urmtoarele cerine: mijloc de identificare numrul, seria i marcajul nivelului de clasificare - pentru fiecare astfel de mediu, n mod separat; proceduri bine definite pentru emiterea, primirea, retragerea, distrugerea sau pstrarea mediilor de stocare; s existe evidene manuale sau tiprite la imprimant, indicnd coninutul i nivelul de secretizare a informaiilor nregistrate pe mediile de stocare. Pentru nivelul strict secret i strict secret de importan deosebit, informaiile detaliate asupra mediului de stocare, incluznd coninutul i nivelul de clasificare, se in ntr-un registru adecvat. c) proceduri pentru achiziia, pstrarea, evidena i controlul mediilor de stocare pentru calculatoare; d) proceduri pentru primirea, schimbul i diseminarea documentelor electronice, inclusiv proceduri de verificare privind existena viruilor de calculatoare i a software-ului nociv, aplicate tuturor mediilor de stocare care provin din afara sistemului informatic; e) responsabiliti i proceduri pentru declasificarea /distrugerea documentelor electronice i a mediilor de stocare. Cnd un mediu de stocare urmeaz s ias din uz, trebuie s fie declasificat suprimndu-se orice marcaje de clasificare, ulterior putnd fi utilizat ca mediu de stocare nesecret.
62
Informaiile clasificate nregistrate pe medii de stocare refolosibile se terg doar n conformitate cu procedurile operaionale de securitate. Dac mediul de stocare nu poate fi declasificat, atunci trebuie distrus printr-o procedur aprobat. Sunt interzise declasificarea i refolosirea mediilor de stocare care conin informaii strict secrete de importan deosebit, acestea putnd fi numai distruse, n conformitate cu procedurile operaionale de securitate. Informaiile clasificate n format electronic stocate pe un mediu de unic folosin - cartele, benzi perforate - trebuie distruse conform prevederilor procedurilor operaionale de securitate. C. Securitatea comunicaiilor Securitatea comunicaiilor aplicarea msurilor de securitate n telecomunicaii, cu scopul de a proteja mesajele dintr-un sistem de telecomunicaii, care ar putea fi interceptate, studiate, analizate i, prin reconstituire, pot conduce la dezvluiri de informaii clasificate. Securitatea comunicaiilor reprezint un ansamblu de proceduri, incluznd : - msuri de securitate a transmisiilor; - msuri de securitate mpotriva radiaiilor - TEMPEST; - msuri de securitate criptografic.
Securitatea transmisiilor. Toate mijloacele folosite pentru transmiterea informaiilor clasificate prin emisii radio se supun instruciunilor de securitate a comunicaiilor emise de ctre instituia desemnat la nivel naional pentru protecia informaiilor clasificate.
63
Mecanismele de securitate a transmisiilor concur la asigurarea disponibilitii i confidenialitii informaiilor. Totodat, ca o consecin a mbuntirii disponibilitii, prin intermediul mecanismelor utilizate pentru a contracara ncercrile de a bruia sau de a intercepta transmisia propriuzis, integritatea datelor este asigurat. Sunt necesare msuri pentru contracararea unor ameninri cum ar fi: - interceptarea neautorizat; - bruiajul; - interferenele; - inducerea n eroare; - analiza traficului. Concret pentru un sistem informatic aceste probleme apar la reelele wireless atunci cnd schimbul de date ntre server i celelalte componente ale reelei se face prin echipamente radio nu prin fire. Securitatea emisiilor are n vedere ansamblul msurilor de testare i de realizare a securitii mpotriva scurgerii de informaii, prin intermediul emisiilor electromagnetice parazite - TEMPEST. Sistemele informatice care stocheaz, proceseaz sau transmit informaii secrete de stat, vor fi protejate corespunztor fa de vulnerabilitile de securitate cauzate de radiaiile compromitoare. Emisiile parazite apar n jurul echipamentelor informatice dar i a cablurilor prin care circul informaia. La o distan suficient (de ordinul metrilor) de aceste cabluri i n funcie i de intensitatea curentului electric care circul prin cabluri, cu aparatur special aceste cmpuri electromagnetice pot fi captate iar informaia poate fi refcut. Aceast situaie este valabil pentru reelele de cabluri care nu sunt suficient protejate, fac legtura ntre corpuri de cladiri, etc.
64
Considernd cazul monitoarelor calculatoarelor trebuie avut n vedere faptul c ele fac parte din categoria perifericelor proiectate i destinate realizrii unui scop precis: aducerea informaiei din sistemul de calcul la o form convenabil utilizatorului uman, respectiv percepiei optice. n acest caz, cantitatea total de lumin a ecranului este dat de media ponderat a luminiscenei ultimilor cteva mii de pixeli iluminai de fascicolul de electroni. Aa c, un observator care poate capta, cu ajutorul unui telescop, de exemplu, lumina difuz, reflectat de perei, mobil sau alte asemenea obiecte aflate n apropierea ecranului i poate transforma fluxul luminos n semnal electric, poate obine, dup aplicarea unei filtrri corespunztoare, semnalul video care a produs-o. Specificaiile standardizate de testare a proteciei Tempest n cazul emisiei energetice de natur electromagnetic, sunt acelea ale limitei spaiului controlat. Acesta se definete ca distana fa de surs la care atacatorul poate avea acces i unde raportul semnal/zgomot trebuie s fie de valoare suficient de mic pentru a mpiedica separarea radiaiei compromitoare de zgomotul de fond i decodificarea acesteia. Instalarea iniial a sistemului informatic i de comunicaii sau orice modificare major adus acestuia vor fi executate de persoane autorizate, n condiiile de securitate prezentate n standarde. Lucrrile vor fi permanent supravegheate de personal tehnic calificat, care are acces la informaii de cel mai nalt nivel de clasificare pe care respectivul sistem informatic le va stoca, procesa sau transmite. Securitatea criptografic. Sistemul ori subsistemul informatic destinat prelurii, prelucrrii, stocrii i transmisiei de date i informaii secrete de stat trebuie s fie prevzut cu sistem de secretizare prin metode, mijloace i echipamente pentru asigurarea integritii, confidenialitii i disponibilitii acestora.
65
Modul n care este prezentat informaia n clar, chiar dac se utilizeaz codul prescurtat de transmisie sau reprezentarea binar ori alte forme de transmitere la distan, nu trebuie s influeneze nivelul de clasificare acordat informaiilor respective. D. Securitatea fizic Msurile de securitate fizic sunt necesare pentru a asigura prevenirea accesului neautorizat la informaii clasificate, efecturii de operaiuni neautorizate, blocrii resurselor i serviciilor calculatoarelor i pentru protejarea echipamentelor de calcul (furturi, distrugeri, etc). Securitatea fizic a sistemelor de calcul i comunicaie ca o component INFOSEC are n vedere mediul n care acestea funcioneaz (ncperile n care sunt amplasate, alimentarea cu energie alectric, condiiile de mediu, protecia mpotriva incendiilor a inundaiilor, funcionarea n situaii de urgen), dar i accesul personalului n zonele n care sunt amplasate. Orice persoan capabil s intre ntr-un loc care conine echipament de calcul poate fi n situaia de a interaciona sau de a avaria echipamentul i poate avea acces la informaiile clasificate prelucrate de acesta. Ameninrile la adresa securitii calculatoarelor pot veni din partea oricrei persoane care are pregtirea profesional i cunotine corespunztoare despre sistemele de calcul i posibilitatea de acces la acestea. Astfel, n zonele n care sunt amplasate sisteme informatice care proceseaz informaii clasificate, este necesar s se aplice msuri generale de securitate, cum ar fi: a) intrarea personalului i a materialelor, precum i plecarea n/din aceste zone s fie controlate prin mijloace bine stabilite;
66
Protecia antivirus ca o component a proteciei sistemelor informatice, a informaiei n format electronic, trebuie s conin proceduri i mecanisme de protecie antivirus att manuale ct i automate i include urmtoarele msuri de securitate: a) verificarea sistemelor de operare instalate, a pachetelor software i a programelor utilitare, privind prezena viruilor sau a altui software nociv, cu proceduri pentru tergerea acestora n cazul detectrii lor; b) verificarea n permanen a fiierelor-datelor stocate n sistemele de calcul verificare antivirus n timpul procesrii, accesrii, la introducerea/extragerea datelor n/din sistemele de calcul sau la intervale de timp bine stabilite; c) verificarea coninutului mediilor de stocare (informaii i software) primite din surse externe, cu proceduri pentru dezinfectarea lor; d) actualizarea n permanen a versiunilor de programe antivirus i utilizarea mai multor produse antivirus (bineneles liceniate) att pe server-e ct i pe staiile de lucru; e) raportarea incidentelor cauzate de virui, att ctre expeditorul mediului de stocare infestat, ct i ctre structura de securitate.
67
b) zonele i locurile n care securitatea sistemelor informatice poate fi afectat, nu trebuie s fie niciodat ocupate de un singur angajat autorizat (regula celor doi); Persoanelor care solicit acces temporar sau cu intermitene n aceste zone trebuie s li se autorizeze accesul, ca vizitatori, fiind nsoii permanent, pentru a avea garania c nu pot avea acces la informaii clasificate i nici la echipamentele utilizate.
C A P I T O L U L VIII
CONTROLUL MSURILOR PRIVITOARE LA PROTECIA INFORMAIILOR CLASIFICATE
Implementarea msurilor de protecie a informaiilor clasificate destinate asigurrii securitii documentelor secrete de stat i/sau secrete de serviciu, reprezint o obligaie a tuturor autoritilor i instituiilor publice, agenilor economici cu capital integral sau parial de stat ori persoanelor juridice de drept public sau privat care gestioneaz astfel de informaii. n exercitarea competenelor ce i revin n temeiul Legii nr. 182/2002, Serviciul Romn de Informaii, prin unitatea sa specializat Oficiul pentru Supravegherea Secretelor de Stat, asigur coordonarea general a activitii i controlul msurilor privitoare la protecia informaiilor clasificate la deintorii de date i documente secrete de stat i secrete de serviciu, din sfera sa de competen. Domeniul de activitate i responsabilitate al celorlalte autoriti desemnate de securitate - Ministerul Aprrii Naionale, Ministerul Administraiei i Internelor, Ministerul Justiiei, Serviciul de Informaii Externe, Serviciul de Protecie i Paz i Serviciul de Telecomunicaii Speciale - este strict delimitat de cadrul legislativ n domeniu.
68
Dintre principalele atribuii ale Serviciului menionm: verificarea modului n care sunt respectate i aplicate normele legale n materie, constatarea nerespectrii acestora, aplicarea sanciunilor contravenionale i sesizarea organelor de urmrire penal, n situaia n care faptele constatate ntrunesc elementele constitutive ale unor infraciuni. Controlul msurilor privitoare la protecia informaiilor clasificate se realizeaz de ctre ageni constatatori din cadrul Oficiului pentru Supravegherea Secretelor de Stat i const n verificarea concret a modului n care documentele secrete de stat i secrete de serviciu sunt gestionate de ctre entitile deintoare, raportat la prevederile Legii nr. 182/2002 privind protecia informaiilor clasificate, HG nr. 585/2002 pentru aprobarea Standardelor de protecie a informaiilor clasificate n Romnia, HG nr. 781/2002 privind protecia informaiilor secrete de serviciu i HG nr. 1349/2002 privind colectarea, transportul, distribuirea i protecia, pe teritoriul Romniei, a corespondenei clasificate. Potrivit legii, reprezentanii instituiilor cu atribuii de coordonare i control pe linia proteciei informaiilor clasificate au acces, pe baza delegaiilor speciale i legitimaiilor de serviciu, n toate locaiile unde sunt gestionate documente secrete de stat i secrete de serviciu, conductorii unitilor controlate avnd obligaia de a le pune la dispoziie toate datele solicitate privind modul de aplicare a msurilor protective n materie. Nerespectarea acestor dispoziii constituie contravenii la normele privind protecia informaiilor clasificate i se sancioneaz, conform prevederilor legale. La prezentarea ntr-o unitate ce urmeaz a fi controlat, agenii constatatori prezint obiectivele activitii conductorului entitii n cauz sau, n lipsa acestuia, nlocuitorului su legal, controalele desfurndu-se, de regul, n prezena persoanelor cu atribuii nemijlocite n domeniul
69
proteciei informaiilor clasificate (ex: funcionarul de securitate, membrii structurii), printre atribuiile crora se numr i relaionarea cu Autoritatea Desemnat de Securitate.
n funcie de obiectivele urmrite, controalele pot fi de fond, tematice i n situaii de urgen, iar dup modul n care sunt stabilite i organizate planificate, inopinate i determinate de situaii de urgen. Controalele de fond urmresc verificarea ntregului sistem organizatoric, structural i funcional de protecie a informaiilor clasificate, cele tematice vizeaz anumite domenii ale activitii de protecie a informaiilor clasificate, iar cele n situaii de urgen - verificarea unor aspecte punctuale, stabilite ca urmare a identificrii unui risc de securitate. * Pe parcursul controalelor se verific modul n care, la nivelul unitilor ce gestioneaz informaii clasificate, se aplic i se respect prevederile actelor normative n vigoare referitoare protecia juridic, protecia prin msuri procedurale, protecia fizic, protecia personalului i protecia surselor generatoare de informaii, acionndu-se pentru stabilirea demersurilor ntreprinse n vederea protejrii acestora i prevenirii producerii unor incidente de securitate de natur a determina compromiterea informaiilor. n scopul implementrii msurilor protective conform actualei legislaii n materie, n cadrul fiecrei entiti deintoare de documente secrete de stat i secrete de serviciu, se numete, printr-un act administrativ al conductorului acesteia, structura de securitate ori, dup caz, funcionarul de securitate.
70
Conform legii, eful structurii de securitate, respectiv funcionarul de securitate, trebuie s aib calitatea de adjunct al conductorului persoanei juridice sau membru al consiliului de administraie al unitii. Pe componentele proteciei juridice i prin msuri procedurale, agenii constatatori verific dac au fost elaborate, actualizate sau completate raportat la situaia existent la nivelul fiecrei uniti, documentele procedurale prevzute de lege (ex: Programul de prevenire a scurgerii de informaii clasificate, Planul de paz i aprare a obiectivelor, sectoarelor i locurilor care prezint importan deosebit pentru protecia informaiilor clasificate, Normele interne de protecie a informaiilor clasificate, Ghidul pe baza cruia se realizeaz ncadrarea corect i uniform n nivelurile de secretizare a informaiilor secrete de stat, Lista cuprinznd categoriile de informaii secrete de stat etc). ntocmirea documentelor procedurale nu trebuie s aib un caracter pur formal, n coninutul acestora impunndu-se a se reflecta cu exactitate starea de fapt din cadrul fiecrei entiti gestionare de documente clasificate. n contextul activitilor de control la deintorii de documente clasificate stabilite astfel potrivit HCM nr. 19/1972, se acord o atenie deosebit finalizrii activitii de ncadrare a acestora n noi clase/niveluri de secretizare, ntruct pentru prezentarea de propuneri n acest sens ctre persoanele sau autoritile publice mputernicite legiuitorul a stabilit un termen de 12 luni de la data intrrii n vigoare a HG nr. 585/2002, iar nendeplinirea acestei msuri constituie contravenie la regimul proteciei informaiilor clasificate. Verificarea modului n care sunt gestionate informaiile clasificate nu se realizeaz exclusiv de ctre Autoritatea Desemenat de Securitate, ci i de conductorii unitilor deintoare de astfel de documente i de persoanele cu atribuii
71
nemijlocite n domeniu desemnate la nivelul fiecrei entiti. Activitile de control intern se efectueaz periodic i pot fi att planificate, ct i inopinate. De asemenea, n vederea aplicrii corecte i unitare a msurilor de protecie a informaiilor clasificate, persoanele juridice de drept public sau privat ce au n subordine alte uniti deintoare de documente secrete de stat i/sau secrete de serviciu au obligaia de a coordona activitatea acestora n domeniu, ceea ce presupune inclusiv evaluarea i analizarea periodic pe acest segment a modului n care se gestioneaz informaiile clasificate. n acest sens, anual se ntocmete Planul de control intern, aprobat de conductorul unitii, care cuprinde, printre altele, tematica activitilor, perioada n care vor fi realizate, departamentele/entitatile ce vor fi controlate, cine execut aceste activiti etc. Concluziile activitilor de control intern se consemneaz n procese verbale, alturi de msurile dispuse pentru nlturarea eventualelor deficiene constatate, ulterior urmnd a se verifica dac acestea au fost duse la ndeplinire. Nerespectarea normelor legale n domeniu, nclcarea reglementrilor de securitate sau ndeplinirea defectuoas a obligaiilor legale n materia proteciei informaiilor clasificate pot determina compromiterea acestora, n funcie de clasa documentelor fiind aduse prejudicii siguranei naionale (n cazul informaiilor secrete de stat) sau persoanelor juridice de drept public sau privat (n cazul informaiilor secrete de serviciu). n situaia n care, la nivelul unitilor deintoare de informaii clasificate, sunt identificate premisele producerii unor incidente de securitate (ex: lipsa din gestiune a unor documente secrete de stat i/sau secrete de serviciu; transmiterea acestora ctre alte entiti fr respectarea prevederilor legale; distribuirea unor materiale clasificate ctre
72
persoane neautorizate corespunztor s le acceseze etc.), se va ntiina, de ndat, instituia cu atribuii de coordonare i control n domeniu (nendeplinirea msurii de a aduce la cunotina Autoritii Desemnate de Securitate indiciile din care pot rezulta premise de insecuritate pentru documente clasificate constituie contravenie la normele legale n materie) i se va desemna o comisie de cercetare administrativ care s acioneze pentru stabilirea condiiilor n care s-a produs incidentul i s propun msurile ce se impun. Totodat, dac se constat svrirea de infraciuni la protecia secretului de stat, conductorului unitii deintoare i revine obligaia de a sesiza organele de urmrire penal i de a le pune la dispoziie materialele necesare probrii faptelor. Avnd n vedere modificrile structural organizatorice survenite mai ales la nivelul autoritilor i instituiilor publice, fluctuaiile de personal (att din funcii de conducere, ct i cu atribuii n domeniul proteciei informaiilor clasificate) genereaz instabilitate i pot determina premise de apariie a vulnerabilitilor la adresa securitii informaiilor clasificate, sens n care echipele de control acord o atenie deosebit msurilor ntreprinse pe componenta proteciei personalului (ex: autorizarea, n condiiile legii, a tuturor persoanelor ce ncadreaz funciile nominalizate pentru acces la informaii secrete de stat i secrete de serviciu; organizarea evidenei certificatelor de securitate/autorizaiilor de acces la documente clasificate .a.). Pentru diminuarea riscurilor de securitate la adresa documentelor secrete de stat i secrete de serviciu, prevenirea diseminrii neautorizate i gestionrii defectuoase a acestora, se impune organizarea riguroas i constant, n baza unui Plan ntocmit anual, a activitilor de instruire protectiv cu personalul care, n ndeplinirea atribuiilor de serviciu, acceseaz informaii clasificate. Activitile se consemneaz, sub
73
semntura titularilor, n fiele de pregtire individual care se pstreaz de ctre structura/funcionarul de securitate. Respectarea regulilor generale privind evidena, ntocmirea, pstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea i distrugerea informaiilor clasificate i asigurarea msurilor necesare de eviden a acestora, asigur stabilirea, n orice moment, a locului n care se afl documentele secrete de stat i secrete de serviciu din gestiune, identificarea persoanelor crora le-au fost repartizate i gestionarea lor n conformitate cu prevederile legale. Cu prilejul controalelor se verific i dac au fost instituite i completate corespunztor registrele i condicile prevzute de actualul cadru legislativ n materie, precum i dac operaiunile de multiplicare, arhivare i distrugere sunt efectuate conform legii. Clasa/nivelul de secretizare a documentelor se atribuie numai n baza listelor cuprinznd categoriile de informaii secrete de stat i/sau secrete de serviciu, respectiv Ghidului de ncadrare corect i uniform a informaiilor, acestea urmnd a fi marcate i protejate corespunztor. Prin consultarea borderourilor de expediie (ce se pstreaz de ctre persoanele delegate pentru predareaprimirea corespondenei clasificate) i a registrelor de eviden se va stabili dac documentele secrete de stat i secrete de serviciu se transport cu respectarea strict a HG nr. 1349/2002, respectiv prin unitatea specializat a Serviciului Romn de Informaii. La nivelul deintorilor de informaii secrete de stat i/sau secrete de serviciu care gestioneaz astfel de documente i prin prisma participrii la negocierea/derularea unor contracte clasificate se impune respectarea cu strictee a prevederilor legale n materia securitii industriale, aceste aspecte fiind verificate de agenii constatatori pe parcursul controalelor. n scopul desfurrii de activiti contractuale ce presupun acces
74
la informaii clasificate, reprezentanii persoanelor juridice trebuie s asigure cadrul organizatoric i procedural pentru implementarea tuturor msurilor protective i pentru gestionarea corect a documentelor primite/elaborate n acest context. n ceea ce privete msurile de protecie fizic, acestea trebuie dimensionate n raport de clasa/nivelul de secretizare a informaiilor, volumul i localizarea acestora (ex: gratii la ferestre, ncuietori la ui, paz la intrri, siteme automate pentru supraveghere, control, acces). Totodat, ncperile unde sunt pstrate documentele clasificate vor fi marcate ca zone de securitate sau zone administrative, dup caz i se vor stabili reguli cu privire la circulaia n aceste incinte, astfel nct s fie permis accesul exclusiv al posesorilor de certificate de securitate/autorizaii de acces. Pe fondul nregistrrii, din ce n ce mai frecvent, a unor incidente de securitate generate de diseminarea neautorizat a informaiilor clasificate n format electronic, finalizarea procedurilor de acreditare a sistemelor informatice i de comunicaii aparinnd unitilor deintoare de informaii secrete de stat i protejarea corespunztoare a staiilor de lucru pe care se prelucreaz i stocheaz informaii secrete de serviciu trebuie s devin un obiectiv prioritar al acestora. Concluziile activitii de control i msurile dispuse pentru remedierea disfunciilor, cuprinse n documentul de constatare, sunt prezentate conductorului unitii /nlocuitorului su legal i persoanelor n prezena crora s-a desfurat controlul (de regul, funcionarului de securitate sau efului structurii de securitate/membrilor structurii de securitate), care semneaz de luare la cunotin. Precizm faptul c msurile i termenele stabilite de echipa de control pentru nlturarea deficienelor existente pe linia proteciei informaiilor clasificate nu reprezint
75
simple recomandri, ci au caracter obligatoriu, venind n sprijinul deintorilor de documente clasificate la nivelul crora exist lacune n sistemul protectiv, care pot genera vulnerabiliti ale acestuia. n situaia n care, pe timpul activitii se constat cazuri de nclcare/nerespectare a prevederilor legale n materie ce constituie contravenii la normele privind protecia informaiilor clasificate, agenii constatatori ncheie Procesul verbal de constatare a contraveniilor i de aplicare a sanciunilor. Un exemplar al documentului de constatare i, atunci cnd se impune, al procesului verbal sunt predate reprezentantului legal al persoanei juridice controlate (cu excepia situaiei n care contravenientul este altul dect persoana juridic ce a fcut obiectul controlului sau conductorul unitii, n acest caz actul sancionator fiind nmnat persoanei n cauz). Activitatea de control va fi consemnat i n Registrul Unic de Control prevzut de Legea nr. 252/2003, dac un astfel de document a fost instituit la nivelul entitii controlate. Respectarea msurilor de protecie a informaiilor clasificate trebuie s reprezinte o preocupare constant a deintorilor de astfel de date, formalismul i interpretarea personal a dispoziiilor legale n materie favoriznd apariia premiselor producerii unor incidente de securitate, cu consecine negative i prejudicii att n planul siguranei naionale, ct i n activitatea persoanelor juridice de drept public sau privat.
I. Msuri protective adoptate ulterior reorganizrii autoritilor i instituiilor publice n ultimii ani, comasarea, divizarea unor ministere i preluarea atribuiilor unor agenii guvernamentale n cadrul acestora, schimbarea raporturilor de subordonare i coordonare etc, au generat influene inclusiv n domeniul
76
proteciei informaiilor clasificate, implementarea msurilor protective avnd de suferit din punctul de vedere al continuitii acestor demersuri i al caracterului lor unitar. Documentele procedurale elaborate n aplicarea prevederilor legislaiei n materia proteciei informaiilor clasificate, anterior modificrilor structural-organizatorice, iau ncetat aplicabilitatea, impunndu-se s fie stabilite, practic dup fiecare reorganizare, aceleai msuri incipiente (ex: organizarea structurii de securitate i a compartimentului special pentru gestionarea documentelor clasificate; elaborarea listelor cuprinznd categoriile de informaii clasificate din domeniul de activitate, cu consultarea obligatorie a tuturor entitilor aflate n subordinea, coordonarea sau sub autoritatea instituiilor centrale; ntocmirea listelor cu obiectivele, sectoarele i locurile care prezint importan deosebit pentru protecia informaiilor clasificate, n baza consultrilor cu unitile teritoriale subordonate; stabilirea funciilor i persoanelor care, n ndeplinirea atribuiilor de serviciu, necesit acces la documente secrete de stat i secrete de serviciu; reconfigurarea Programului de prevenire a scurgerii de informaii clasificate i a Planului de paz i aprare a obiectivelor, sectoarelor i locurilor care prezint importan deosebit pentru protecia informaiilor clasificate prevzut la art. 120 din Standardele naionale etc). Ulterior intrrii n vigoare a noilor actelor normative ce reglementeaz organizarea i funcionarea entitilor deintoare de informaii clasificate este esenial s se stabileasc, n primul rnd, dac au intervenit modificri n ceea ce privete clasa/nivelul maxim de secretizare a informaiilor gestionate. n situaia divizrii unor uniti, se va aciona pentru identificarea tuturor locaiilor n care sunt gestionate informaii i materialele clasificate, inventarierea acestora i ncheierea de
77
protocoale de predare-primire, inclusiv n ceea ce privete actele de cercetare administrativ a incidentelor de securitate ctre structura de securitate a noii entiti competente din punctul de vedere al domeniului de activitate, n vederea definitivrii cercetrilor i soluionrii incidentelor conform legii. Complementar obligaiilor ce le revin autoritilor i instituiilor publice centrale, de a-i implementa msurile protective raportat la schimbrile determinate de reorganizrile structural-organizatorice, acestea trebuie s se implice n coordonarea pe linia proteciei informaiilor clasificate a unitilor din subordine/ sub autoritatea/din coordonare i pentru a verifica modul n care la nivelul acestora se respect i se aplic prevederile legale n materie. De cele mai multe ori, odat cu reorganizarea au fost abrogate i hotrrile de Guvern prin care fuseser aprobate listele cuprinznd categoriile de informaii secrete de stat aparinnd instituiilor n cauz, fiind supuse aprobrii Guvernului noi astfel de liste, raportat la situaia existent. n acest context, comunicarea tuturor documentelor actualizate care au aplicabilitate i la nivelul unitilor subordonate (ex: Ghidul pe baza cruia se realizeaz clasificarea corect i uniform a informaiilor, Normele interne privind protecia informaiilor clasificate etc.) este imperios necesar, n vederea aplicrii unitare a prevederilor legale n materie. n practic, au fost ntlnite situaii n care uniti subordonate unor instituii i autoriti publice deineau extrase din vechile liste cuprinznd categoriile de informaii clasificate, astfel nct, ulterior reorganizrii, la nivel local clasificarea informaiilor se realiza n absena unei baze legale, iar pe fondul lipsei coordonrii i controlului intern, instituiile centrale nu avea cunotin despre aceste aspecte. n alte cazuri, documentele nu se clasificau corespunztor noilor liste, dei
78
acestea cuprindeau categorii de astfel de documente specifice activitii entitilor teritoriale. Este absolut necesar ca documentele procedurale s aib un caracter practic-aplicativ, n coninutul acestora trebuind nfiat modul concret de gestionare a documentelor clasificate (ex: stabilirea, prin Normele interne, a fluxului documentelor clasificate n instituie). Absena detaliilor referitoare la modul de gestionare a informaiilor (eviden, ntocmire, pstrare, procesare, multiplicare, manipulare, transport, transmitere, distrugere) sau prezentarea lacunar a acestora au determinat, nu n puine cazuri, producerea unor incidente de securitate. De asemenea, nerespectarea regulilor privind redactarea documentelor clasificate (ex: nscrierea, pe fiecare pagin, a clasei sau nivelului de secretizare atribuit acestuia; menionarea, n antet, a unitii emitente, numrului i datei nregistrrii i a numrului de exemplare; indicarea, dup caz, la sfritul textului documentului de baz, a numrului de nregistrare, numrului de file i clasei/nivelului de secretizare a anexelor) favorizeaz apariia riscurilor de securitate. Spre exemplu, un document clasificat care nu este marcat i nregistrat corespunztor, scos astfel de sub incidena prevederilor legale n materie, poate fi accesat de persoane neautorizate sau fr respectarea principiului necesitii de a cunoate, multiplicat/distrus/arhivat, fr respectarea prevederilor legale n domeniu sau transmis altor entiti, cu nclcarea prevederilor HG nr. 1349/2002 privind colectarea, transportul, distribuirea i protecia, pe teritoriu Romniei, a corespondenei clasificate (n aceast ultim situaie, materialul va fi gestionat i la nivelul destinatarilor fr a se cunoate caracterul su clasificat, nefiind protejat conform legii). n ceea ce privete programele de prevenire a scurgerii de informaii clasificate, actualizrile acestora trebuie efectuate cu operativitate, iar modificrile i completrile transmise
79
Serviciului Romn de Informaii ori de cte ori situaia o impune. Cu prilejul controalelor efectuate a reieit c, nu de puine lor, acestea au fost actualizate ulterior primirii notificrilor aciunilor de control. n practic, s-a constatat c, pe fondul modificrilor structural-organizatorice, fluctuaiile de personal (att cu funcii de conducere, ct i cu atribuii nemijlocite n domeniul proteciei informaiilor clasificate) pot genera riscuri i vulnerabiliti la adresa securitii informaiilor clasificate. La apariia acestora concur i cunoaterea deficitar a dispoziiilor legale n materie ori tratarea cu superficialitate a domeniului proteciei informaiilor clasificate de ctre unele persoane cu responsabiliti pe aceast linie. n vederea evitrii unor asemenea situaii, trebuie s se acorde o mai mare importan activitilor de control intern i de instruire protectiv, caracterul riguros i constant al acestora contribuind la prevenirea diseminrii neautorizate i gestionrii defectuoase a documentelor clasificate. Conform celor stabilite prin listele funciilor care necesit acces la informaii secrete de stat, conductorilor unitilor le revine obligaia de a solicita, n scris, ORNISS, autorizarea accesului la astfel de informaii pentru toate persoanele ce ocup funciile n cauz. Nerespectarea prevederilor legale n acest sens (inclusiv sub motivul c angajaii nominalizai tergiverseaz sau chiar refuz completarea chestionarelor de securitate) constituie contravenie la normele privind protecia informaiilor clasificate. O situaie aparte o reprezint avizarea negativ pentru acces la informaii secrete de stat, att a personalului care i desfoar activitatea la centru, ct i pentru cel ce ncadreaz unitile subordonate. Au existat cazuri concrete n care, dei ORNISS a comunicat structurilor centrale ale unor instituii publice astfel de avize pentru persoane a cror activitate se
80
desfura la nivel teritorial, acest aspect nu au fost aduse la cunotina persoanelor n cauz/structurilor teritoriale ale instituiei i nu au fost dispuse msuri pentru restricionarea accesului la informaii secrete de stat, n conformitate cu dispoziiile legale. Reorganizarea instituional poate produce schimbri inclusiv n sistemul de protecie fizic a informaiilor clasificate (spre exemplu schimbarea amplasamentului Compartimentului Documente Clasificate, reconfigurarea zonelor de securitate i administrative, nlocuirea societilor de paz etc.), toate acestea trebuind evideniate n planurile de paz i aprare prevzute de art. 120 din Standarde. n eventualitatea n care intervin modificri n ceea ce privete sediul noii entiti sau clasa/nivelul de secretizare a informaiilor gestionate, este obligatoriu ca msurile protective pe acest segment s fie reevaluate, dimensionate i implementate n raport cu noua situaie de fapt, urmnd a fi evideniate i n cuprinsul documentelor procedurale prevzute de legislaia n materie i aduse la cunotina autoritii desemnate de securitate. Nu n ultimul rnd, implementarea msurilor protective trebuie s vizeze i sursele generatoare de informaii, la nivelul multor autoriti publice i instituii centrale fiind constatate neconformiti privind aplicarea legislaiei n domeniul proteciei informaiilor clasificate vehiculate n format electronic. n acest sens, tuturor persoanelor juridice de drept public sau privat care gestioneaz informaii secrete de stat le revine obligaia de a relaiona cu ORNISS n vederea acreditrii sistemelor informatice i de comunicaii proprii.
81
Studiu de caz: Ulterior intrrii n vigoare a Legii nr. 329/2009 privind reorganizarea unor autoriti i instituii publice, raionalizarea cheltuielilor publice, susinerea mediului de afaceri i respectarea acordurilor-cadru cu Comisia European i Fondul Monetar Internaional, OSSS a realizat a activitate de control la o instituie nfiinat urmare comasrii prin fuziune a dou entiti care funcionau n localiti diferite i la nivelul crora se gestionau informaii secrete de stat i secrete de serviciu. Dup reorganizare, n cadrul noii entiti a fost organizat activitatea structurii de securitate i s-a procedat la preluarea documentelor clasificate gestionate de la instituia desfiinat, transformat n punct de lucru. n acest din urm sens, a fost ntocmit un proces verbal de predare-primire a informaiilor clasificate, tipizatelor de eviden, autorizaiilor de acces i a altor materiale conexe. Astfel, reprezentanii instituiei controlate considerau c la nivelul punctului de lucru nu se mai deineau documente clasificate i c nu se mai impunea instituirea msurilor protective legale. Cu prilejul controlului a reieit c, n fapt, la sediul respectivei entiti se mai transmiteau, periodic, informaii clasificate, dup consultare, acestea restituindu-se unitii centrale. O astfel de situaie reclam, de asemenea, implementarea tuturor msurilor stabilite de legislaia n materie, raportat la clasa/nivelul maxim de secretizare a informaiilor gestionate, chiar i pentru o perioad scurt de timp. Printre msurile prioritare stabilite n contextul controlului n sarcina structurii centrale s-au regsit: - inventarierea tuturor documentelor secrete de stat i secrete de serviciu gestionate de ctre entitatea nou nfiinat i ntiinarea SRI n legtur cu eventualele premise ale producerii unor incidente de securitate;
82
- reevaluarea i elaborarea tuturor documentelor procedurale prevzute de lege i naintarea SRI, spre avizare, a Programului de prevenire a scurgerii de informaii clasificate, avnd anexat Planul de paz i aprare a obiectivelor, sectoarelor i locurilor care prezint importan deosebit pentru protecia informaiilor clasificate; - iniierea procedurilor legale n vederea eliberrii documentelor de acces la informaii clasificate pentru salariaii instituiei (inclusiv pentru cei din cadrul punctului de lucru), conform listelor funciilor i persoanelor care necesit acces la astfel de informaii, stabilite de conducerea instituiei; - relaionarea cu ORNISS pentru acreditarea sistemelor informatice i de comunicaii. II. Informaiile clasificate gestionate de persoanele juridice aflate n procedura insolvenei Datorit lipsei personalului specializat, a fondurilor bneti i probabil a incertitudinii, unitile intrate n procedura insolvenei, reglementat de Legea nr. 85/2006, cu modificrile i completrile ulterioare, se afl ntr-o situaie special n ceea ce privete protecia informaiilor clasificate gestionate. Din acest punct de vedere, principala responsabilitate ce revine administratorilor/lichidatorilor judiciari const n clarificarea regimului juridic al documentelor clasificate deinute de societile n cauz, anterior finalizrii operaiunilor de lichidare a acestora. Prin clarificarea regimului juridic trebuie s se aib n vedere, n principal, ncadrarea n noi clase de secretizare a informaiilor clasificate potrivit Hotrrii Consiliului de Minitri nr. 19/1972, declasificarea, n condiiile legislaiei n domeniu, a informaiilor proprii, respectiv remiterea acestora ctre emiteni. Pn la finalizarea demersurilor menionate, trebuie asigurate msuri minime de
83
protecie a documentelor clasificate aflate n gestiunea agenilor economici, cum ar fi: autorizarea corespunztoare a persoanelor care le inventariaz i gestioneaz, pstrarea acestora n locaii ce vor fi marcate corespunztor clasei/nivelului de secretizare a informaiilor, remiterea ctre emiteni numai prin unitatea specializat a SRI .a.
Studiu de caz: Pe fondul preconizatei lichidri a unei societi comerciale, deintoare de informaii secrete de stat, nivel maxim de secretizare strict secret de importan deosebit, stabilite astfel conform HCM nr. 19/1972 i secrete de serviciu, clasificate potrivit Legii nr. 182/2002 i actelor normative subsecvente, a fost efectuat un control pe linia proteciei acestor informaii. Dei preluase ntreaga responsabilitate a conducerii activitii debitorului, n condiiile art. 25 lit. b) din Legea nr. 85/2006 cu modificrile i completrile ulterioare, lichidatorul judiciar nu procedase la inventarierea tuturor documentelor clasificate aflate n gestiunea agentului economic i nu se implementaser msurile protective prevzute de legislaia n domeniu. Agenii constatatori au stabilit ca, n regim de urgen, s fie dispus inventarierea tuturor documentelor clasificate din gestiunea societii i s fie prezentate, persoanelor/autoritilor publice competente s atribuie niveluri de secretizare, propuneri n vederea ncadrrii informaiilor clasificate potrivit HCM nr. 19/1972 n noi clase sau niveluri de secretizare, dup caz. Totodat, ntruct nicio persoan din cadrul unitii/firmei lichidatoare nu fusese autorizat s acceseze informaii secrete de stat, au fost iterate dispoziiile legale referitoare la avizarea accesului la astfel de informaii a persoanelor nominalizate s le acceseze inventarieze.
84
Avnd n vederea situaia de fapt din cadrul societii, s-a mai stabilit s fie contactai emitenii documentelor clasificate din gestiunea acesteia/succesorii acestora n drepturi/fostul minister de resort, n vederea clarificrii actualului regim juridic al informaiilor, i, dup caz, pentru obinerea acordului de remitere a documentelor clasificate emise de respectivele entiti, prin unitatea specializat a Serviciului Romn de Informaii n colectarea, transportul, distribuirea i protecia corespondenei clasificate, astfel nct, anterior radierii agentului economic din Registrul Comerului, informaiile clasificate s fie declasificate n condiiile legii/remise emitenilor. III. Protecia informaiilor clasificate la agenii economici avnd ca obiect de activitate inventarierea i arhivarea Sub motivaia lipsei personalului i volumului mare de documente din gestiune (mai ales circumscrise HCM nr. 19/1972), o parte a deintorilor de informaii clasificate au apelat la contractarea unor servicii de inventariere i arhivare, inclusiv a informaiilor clasificate, cu firme specializate. n cele mai multe cazuri, n contractele respective nu au fost inserate clauze referitoare la protecia informaiilor clasificate, n condiiile n care exista posibilitatea ca prestatorii de servicii, n executarea contractelor, s identifice astfel de informaii n arhivele unitilor. Totodat, conductorii unitilor deintoare de documente secrete de stat/secrete de serviciu nu s-au asigurat c angajaii firmelor contractante sunt autorizai, n condiiile legii, s acceseze informaii din clasa de secretizare supus inventarierii/arhivrii. n aplicarea prevederilor legislaiei n domeniu, pentru negocierea/executarea unor contracte ce presupun accesul la informaii secret de stat, este necesar s se ntreprind msurile
85
Studiu de caz: Cu ocazia unui control realizat la un agent economic a reieit c reprezentanii legali ai acestuia au ncheiat un contract de prestri servicii avnd ca obiect administrarea i depozitarea arhivei cu o firm specializat. Conform clauzelor contractuale, prestatorul de serviciu nu i asuma rspunderea pentru lipsa unor documentaii sau dosare din arhiva beneficiarului. Documentaiile, de nivel maxim de secretizare strict secret, au fost preluate de firma contractat i transportate prin mijloace proprii la sediul acesteia, cu nclcarea dispoziiilor art. 13 alin. (1) din HG nr. 1349/2002. Raportat la cele constatate, s-a dispus relaionarea dintre contractor i contractant n vederea reglementrii situaiei juridice i responsabilitilor ce revin celor dou pri pentru protecia eventualelor informaii clasificate preluate n baza contractului ncheiat, fiind stabilite i msuri n aplicarea prevederilor art. 88-90 din Standardele naionale.
ce se impun pe palierul securitii industriale (ncheierea anexelor de securitate la respectivele contracte, obinerea de ctre contractani a autorizaiilor de securitate industrial / certificatelor de securitate industrial etc). n cazul n care conductorii unitilor deintoare de documente clasificate (att n baza Legii nr. 182/2002 i actelor normative subsecvente, ct i potrivit HCM nr. 19/1972), decid externalizarea serviciilor care implic orice operaiune considerat gestionare, n sensul art. 3 din Standardele naionale, a acestor informaii, trebuie s contientizeze c acest fapt se poate realiza numai cu stricta respectare a cadrului normativ n materie, pentru prevenirea producerii unor incidente de securitate, svririi de contravenii la normele privind protecia informaiilor clasificate sau chiar de infraciuni la protecia secretului de stat.
86
Deoarece punerea la dispoziia societii de inventariere a documentelor secrete de stat ntrunea elementele constitutive ale infraciunii prevzute de art. 252 Cod penal Neglijena n pstrarea secretului de stat, potrivit cruia (neglijena care are drept urmare distrugerea, alterarea, pierderea sau sustragerea unui document ce constituie secret de stat, precum i neglijena care a dat prilej altei persoane s afle un asemenea secret, dac fapta este de natur s aduc atingere intereselor statului), au fost sesizate organele de urmrire penal competente. O situaie similar a fost identificat la nivelul unei instituii publice, care contractase cu o firm specializat pentru inventarierea documentelor din arhiva proprie. Dei se cunotea faptul c printre documentele depozitate n spaiul de arhiv se regseau inclusiv unele cu caracter clasificat, stabilite astfel potrivit HCM nr. 19/1972, reprezentanii unitii controlate au ignorat acest aspect i nu au ntreprins niciun demers de clasificare a contractului i de protejare a acestora. Mai mult, nici dup identificarea unor astfel de informaii de ctre angajaii agentului economic desemnai cu organizarea arhivei instituiei n cauz nu au fost declanate procedurile pe segmentul securitii industriale, sens n care au fost dispuse msuri pentru intrarea n legalitate. IV. Securitatea documentelor clasificate aparinnd statului romn, aflate n custodia unor persoane juridice de drept public sau privat Fiecare deintor de secrete are obligaia de a implementa, raportat la clasa/nivelul de secretizare a acestora, toate msurile protective prevzute de lege, inclusiv n situaia n care gestioneaz exclusiv informaii emise de alte entiti.
87
Respectarea normelor legale n materie i asigurarea proteciei permanente a documentelor secrete de stat i secrete de serviciu trebuie s reprezinte o preocupare constant a conductorilor unitilor care le gestioneaz, a structurilor / funcionarilor de securitate, precum i a tuturor persoanelor care, n exercitarea atribuiilor de serviciu, acceseaz astfel de informaii. O categorie aparte o reprezint datele i informaiile clasificate, indiferent de modalitatea de stocare, ce aparin statului romn i care se refer la proprietatea public, vehiculate, cu precdere, n contextul unor activiti contractuale. Legislaia n domeniu prevede, n mod expres, ca partea contractant deintoare de informaii clasificate ce vor fi utilizate n derularea unui contract s acioneze pentru clasificarea i definirea tuturor componentelor acestuia, urmnd a stipula ntr-o anex de securitate clauzele i procedurile de protecie. n situaia n care pe parcursul derulrii contractelor, iniial neclasificate, apare necesitatea protejrii unor date i informaii, contractorii (beneficiarii lucrrilor i serviciilor executate de unitile prestatoare) vor declana procedurile de clasificare a acestora. De asemenea, n ipoteza n care contractanii intenioneaz s cedeze unor subcontractani realizarea unor pri din contractele clasificate, obligaia ce le revine este de a se asigura c acetia din urm dein autorizaii sau certificate de securitate industrial, dup caz. Pe de alt parte, reprezentanii instituiilor care pun la dispoziia diverselor entiti informaii clasificate, cu att mai mult n cazurile n care acestea reprezint proprietate public a statului, au obligaia de a verifica modul n care custozii le asigur protecia. Avem n vedere att protecia fizic a
88
Studiu de caz: n contextul unei activiti de control la o instituie a statului, a rezultat c acesta ncheiase o serie de contracte neclasificate, cu toate c n cadrul crora se vehiculau date secrete de stat i secrete de serviciu aparinnd statului romn, cu mai muli ageni economici. n absena msurilor protective la nivelul agenilor economici n cauz, documentaiile erau gestionate cu nclcarea dispoziiilor legale n materie i expuse n permanen pericolului de a fi compromise (prin acces neautorizat, pierdere, distrugere etc.). Mai mult, documentaiile rezultate din activitile stabilite prin contracte, emise att de contractor ct i de contractant nu purtau marcajele corespunztoare coninutului lor, astfel c erau scoase de sub incidena prevederilor legii. Dei n cuprinsul contractelor se stipula obligativitatea realizrii de ctre instituia statului a unor controale privind modul de gestionare a informaiilor puse la dispoziie n contextul derulrii activitilor circumscrise contractului, acestea nu fuseser realizate i nu exista nicio eviden a documentelor clasificate transmise agenilor economici. Raportat la cele constatate, s-a dispus ca, n regim de urgen, s se acioneze pentru identificarea tuturor entitilor crora le-au fost puse la dispoziie documente secrete de stat i secrete de serviciu, stabilirea cu certitudine a clasei/nivelului de secretizare a documentelor n cauz, verificarea modului n care acestora li se asigur protecia, prin efectuarea de controale n cadrul agenilor economici i punerea n aplicare a dispoziiilor Standardelor naionale privind regulile de eviden, ntocmire,
respectivelor documente, a personalului desemnat s le acceseze, ct respectarea regulilor de eviden, ntocmire a materialelor subsecvente, pstrare, procesare, multiplicare, manipulare, transport, transmitere i distrugere.
89
pstrare, procesare, multiplicare, manipulare, transport, transmitere i distrugere a informaiilor clasificate. Totodat, raportat la nivelul de secretizare a documentaiilor,, s-a stabilit s fie ntreprinse demersurilor legale n domeniul securitii industriale, att de contractor (clasificarea contractelor i ncheierea anexelor de securitate), ct i de contractani (obinerea certificatelor de securitate industrial emise de Oficiul Registrului Naional al Informaiilor Secrete de Stat). Nu n ultimul rnd, pentru a evita excluderea de sub incidena reglementrilor protective n vigoare a unor informaii circumscrise secretului de stat, s-a stabilit ca unitatea controlat s analizeze categoriile de astfel de informaii specifice obiectului su de activitate i s reanalizeze lista cuprinznd aceste categorii, urmnd a o supune spre aprobare Guvernului. V. Protecia informaiilor clasificate potrivit HCM nr. 19/1972 pn la ncadrarea n noi clase/niveluri de secretizare Potrivit art. 18 alin. (1) din Standardele naionale de protecie a informaiilor clasificate n Romnia, aprobate prin HG nr. 585/2002, n termen de 12 luni de la intrarea n vigoare a acestui act normativ trebuia clarificat situaia juridic a informaiilor clasificate potrivit HCM nr. 19/1972, sens n care toate unitile deintoare de astfel de informaii trebuiau s prezinte, persoanelor sau autoritilor publice mputernicite ( evideniate la art. 19 din Legea nr. 182/2002), propuneri privind ncadrarea acestora n noi clase i niveluri de secretizare, dup caz. Conform alin. (2) al art. 18, pn la finalizarea acestor demersuri, informaiile secrete de stat i secrete de serviciu, circumscrise vechiului cadru legislativ n materie, i pstreaz clasa/nivelul de secretizare i sunt protejate corespunztor
90
actualei legislaii (Legea nr. 182/2002 privind protecia informaiilor clasificate, HG nr. 585/2002 pentru aprobarea Standardelor naionale de protecie a informaiilor clasificate n Romnia, HG nr. 781/2002 privind protecia informaiilor secrete de serviciu i HG nr. 1349/2002 privind colectarea, transportul, distribuirea i protecia, pe teritoriul Romniei, a corespondenei clasificate). Dei dispoziiile legale cu privire la reglementarea situaiei acestor documente sunt clare, iar termenul indicat de legiuitor este strict determinat, mai exist deintori de informaii clasificate n baza HCM nr. 19/1972 (autoriti i instituii publice centrale, uniti aflate n subordinea, coordonarea sau sub autoritatea acestora, precum i ageni economici) care nu au finalizat activitatea de ncadrare a acestora n noi clase/niveluri de secretizare. O parte dintre acetia au considerat, n mod eronat, c este suficient naintarea ctre persoanele sau autoritile publice mputernicite s atribuie niveluri de secretizare a unor propuneri cu caracter general, care s vizeze rencadrarea tuturor documentelor secrete de stat circumscrise HCM nr. 19/1972 din gestiune n clasa secret de serviciu, abordare contrar legislaiei n domeniu. Primul pas pentru clarificarea situaiei juridice a informaiilor din categoria celor despre care facem vorbire este inventarierea acestora i confruntarea documentelor identificate fizic n gestiune cu cele consemnate n formele de eviden (registre, condici, borderouri). Avnd n vedere c documentaiile n cauz au fost emise cu mult timp n urm, precum i faptul c la nivelul deintorilor, peste ani, au intervenit numeroase modificri (ex: schimbri de sedii; fluctuaii de personal etc.), n mai multe situaii au fost semnalate neconcordane ntre existentul n gestiune i consemnrile din registre. Pe de alt parte, s-a constatat c unele uniti nu mai regsesc registrele de
91
eviden, astfel c rezultatele inventarierii nu pot fi confruntate cu acestea i nu se poate stabili dac au fost identificate toate documentele clasificate ce au intrat n gestiunea entitii respective.n toate aceste situaii, se impune ntiinarea autoritii desemnate de securitate. Neregsirea unor documente clasificate constituie premisele producerii unui incident de securitate, sens n care, la nivelul deintorilor de documente clasificate, se va aciona n conformitate cu prevederile art. 88-90 din Standardele naionale (pentru informaiile secrete de stat), respectiv art. 11 din HG nr. 781/2002 (pentru informaiile secrete de serviciu). Astfel, conductorii unitilor au obligaia de a desemna, printr-un act intern, o comisie de cercetare administrativ care s stabileasc mprejurrile n care s-a produs incidentul de securitate, dac respectivele documente au fost compromise i s propun msuri de remediere. Aspectele rezultate n urma cercetrii administrative i msurile dispuse la finalizarea acesteia trebuie, de asemenea, comunicate autoritii desemnate de securitate. Propunerile de ncadrare n noi clase/niveluri de secretizare a documentelor clasificate stabilite astfel potrivit HCM nr. 19/1972 vor fi formulate numai dup evaluarea acestora, analizndu-se dac se impune sau nu pstrarea clasei/nivelului de secretizare. Pn la finalizarea activitilor sus menionate i stabilirea noii clase/nivelului de secretizare pentru toate documentele clasificate n baza vechiului cadru normativ, acestea vor fi protejate corespunztor actualei legislaii. Spre exemplu, persoanele desemnate cu inventarierea i evaluarea acestora trebuie s fie autorizate corespunztor, iar msurile de protecie fizic dimensionate n raport cu caracterul informaiilor (locaiile n care sunt pstrate vor fi marcate ca zone de securitate sau administrative i vor fi asigurate mpotriva accesului neautorizat
92
Studiu de caz: eful structurii de securitate a unei uniti deintoare de informaii clasificate potrivit HCM nr. 19/1972 a naintat conducerii entitii n cadrul creia i desfura activitatea, un referat prin care propunea distrugerea documentelor clasificate emise de unitatea n cauz, pe motiv c datele i informaiile coninute ar fi perimate i nu mai reprezentau interes. Pe fondul necunoaterii prevederilor legale n domeniu, referatul menionat a fost aprobat, iar documentaiile clasificate considerate perimate i lipsite de interes au fost distruse. Potrivit procesului verbal prezentat agenilor constatatori cu ocazia aciunii de control, au fost distruse, prin incinerare, documentaii secrete de stat i secrete de serviciu aparinnd att organizaiei controlate, ct i altor emiteni. Fapta descris - distrugerea ilegal a documentelor clasificate constituie incident de securitate i se circumscrie prevederilor art. 252 Cod penal neglijen n pstrarea secretului de stat, fiind susceptibil de a atrage rspunderea penal, att a efului structurii de securitate, ct i a conducerii persoanei juridice.
cu sisteme de control, antiefracie, antiincendiu, de supraveghere video etc.). Avnd n vedere c anumii emiteni solicit remiterea unor documente clasificate, reiterm obligativitatea restituirii acestora exclusiv prin intermediul unitii specializate a Serviciului Romn de Informaii, conform dispoziiilor HG nr. 1349/2002.
93

Protectia Inf Cls Ghid

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Protectia Inf Cls Ghid

Încărcat de

Drepturi de autor:

Formate disponibile

ROMNIA SERVICIUL ROMN DE INFORMAII

PROTECIA INFORMAIILOR CLASIFICATE

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic

Serviciul Romn de Informaii

Protecia informaiilor clasificate - Ghid practic