HOTRRE nr.

585 din 13 iunie 2002 pentru aprobarea Standardelor naionale de

protecie a informaiilor clasificate n Romnia

CAPITOLUL VIII: PROTECIA SURSELOR GENERATOARE DE

INFORMAII - INFOSEC
SECIUNEA 1: Dispoziii generale

Art. 236
Modalitile i msurile de protecie a informaiilor clasificate care se prezint n format
electronic sunt similare celor pe suport de hrtie.
Art. 237
Termenii specifici, folosii n prezentul capitol, cu aplicabilitate n domeniul INFOSEC,
se definesc dup cum urmeaz:
- INFOSEC - ansamblul msurilor i structurilor de protecie a informaiilor clasificate
care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de
comunicaii i al altor sisteme electronice, mpotriva ameninrilor i a oricror aciuni
care pot aduce atingere confidenialitii, integritii, disponibilitii autenticitii i
nerepudierii informaiilor clasificate precum i afectarea funcionrii sistemelor
informatice, indiferent dac acestea apar accidental sau intenionat. Msurile INFOSEC
acoper securitatea calculatoarelor, a transmisiilor, a emisiilor, securitatea criptografic,
precum i depistarea i prevenirea ameninrilor la care sunt expuse informaiile i
sistemele;
- informaiile n format electronic - texte, date, imagini, sunete, nregistrate pe dispozitive
de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub form de
cureni, tensiuni sau cmp electromagnetic, n eter sau n reele de comunicaii;
- sistemul de prelucrare automat a datelor - SPAD - ansamblul de elemente
interdependente n care se includ: echipamentele de calcul, produsele software de baz i
aplicative, metodele, procedeele i, dac este cazul, personalul, organizate astfel nct s
asigure ndeplinirea funciilor de stocare, prelucrare automat i transmitere a
informaiilor n format electronic, i care se afl sub coordonarea i controlul unei singure
autoriti. Un SPAD poate s cuprind subsisteme, iar unele dintre acestea pot fi ele
nsele SPAD;
- componentele specifice de securitate ale unui SPAD, necesare asigurrii unui nivel
corespunztor de protecie pentru informaiile clasificate care urmeaz a fi stocate sau
procesate ntr-un SPAD, sunt:
- funcii i caracteristici hardware/firmware/software;
- proceduri de operare i moduri de operare;
- proceduri de eviden;
- controlul accesului;
- definirea zonei de operare a SPAD;
- definirea zonei de operare a posturilor de lucru/a terminalelor la distan;
- restricii impuse de politica de management,
- structuri fizice i dispozitive;
- mijloace de control pentru personal i comunicaii;
- reele de transmisii de date - RTD - ansamblul de elemente interdependente n care se
includ: echipamente, programe i dispozitive de comunicaie, tehnic de calcul hardware
i software, metode i proceduri pentru transmisie i recepie de date i controlul reelei,
precum i, dac este cazul, personalul aferent. Toate acestea sunt organizate astfel nct s
asigure ndeplinirea funciilor de transmisie a informaiilor n format electronic ntre dou
sau mai multe SPAD sau s permit interconectarea cu alte RTD-uri. O RTD poate utiliza
serviciile unuia sau mai multor sisteme de comunicaii; mai multe RTD pot utiliza
serviciile unuia i aceluiai sistem de comunicaii.
Caracteristicile de securitate ale unei RTD cuprind: caracteristicile de securitate ale
sistemelor SPAD individuale conectate, mpreun cu toate componentele i facilitile
asociate reelei - faciliti de comunicaii ale reelei, mecanisme i proceduri de
identificare i etichetare, controlul accesului, programe i proceduri de control i revizie -
necesare pentru a asigura un nivel corespunztor de protecie pentru informaiile
clasificate, care sunt transmise prin intermediul RTD;
- RTD local - reea de transmisii de date care interconecteaz mai multe computere sau
echipamente de reea, situate n acelai perimetru;
- sistemul informatic i de comunicaii - SIC ansamblu informatic prin intermediul cruia
se stocheaz, se proceseaz i se transmit informaii n format electronic, alctuit din cel
puin un SPAD, izolat sau conectat la o RTD. Poate avea o configuraie complex,
format din mai multe SPAD-uri i/sau RTD-uri interconectate,
- securitatea SPAD, RTD i SIC - aplicarea msurilor de securitate la SPAD i RTD - SIC
cu scopul de a preveni sau mpiedica extragerea sau modificarea informaiilor clasificate
stocate, procesate, transmise prin intermediul acestora - prin interceptare, alterare,
distrugere, accesare neautorizat cu mijloace electronice, precum i invalidarea de
servicii sau funcii, prin mijloace specifice,
- confidenialitatea - asigurarea accesului la informaii clasificate numai pe baza
certificatului de securitate al persoanei, n acord cu nivelul de secretizare a informaiei
accesate i a permisiunii rezultate din aplicarea principiului nevoii de a cunoate;
- integritatea - interdicia modificrii - prin tergere sau adugare - ori a distrugerii n mod
neautorizat a informaiilor clasificate;
- disponibilitatea - asigurarea condiiilor necesare regsirii i folosirii cu uurin, ori de
cte ori este nevoie, cu respectarea strict a condiiilor de confidenialitate i integritate a
informaiilor clasificate;
- autenticitatea - asigurarea posibilitii de verificare a identitii pe care un utilizator de
SPAD sau RTD pretinde c o arc;
- nerepudierea - msur prin care se asigur faptul c, dup emiterea/recepionarea unei
informaii ntr-un sistem de comunicaii securizat, expeditorul/destinatarul nu poate nega,
n mod fals, c a expediat/primit informaii;
- risc de securitate - probabilitatea ca o ameninare sau o vulnerabilitate ale SPAD sau
RTD - SIC s se materializeze n mod efectiv;
- managementul de risc - are ca scop identificarea, controlul i minimizarea riscurilor de
securitate i este o activitate continu de stabilire i meninere a unui nivel de securitate
n domeniul tehnologiei informaiei i comunicaiilor - TIC - ntr-o unitate, n sensul c,
pornind de la analiza de risc, identific i evalueaz ameninrile i vulnerabilitile i
propune aplicarea msurilor adecvate de contracarare, proiectate la un pre de cost corelat
cu consecinele care ar decurge din divulgarea, modificarea sau tergerea informaiilor
care trebuie protejate,
- regula celor doi - obligativitatea colaborrii a dou persoane pentru ndeplinirea unei
activiti specifice;
- produs informatic de securitate - component de securitate care se ncorporeaz ntr-un
SPAD sau RTD - SIC i care servete la sporirea sau asigurarea confidenialitii,
integritii, disponibilitii, autenticitii i nerepudierii informaiilor stocate, procesate
sau transmise;
- securitatea calculatoarelor - COMPUSEC - aplicarea la nivelul fiecrui calculator a
facilitilor de securitate hardware, software i firmware, pentru a preveni divulgarea,
manevrarea, modificarea sau tergerea neautorizat a informaiilor clasificate ori
invalidarea neautorizat a unor funcii;
- securitatea comunicaiilor - COMSEC - aplicarea msurilor de securitate n
telecomunicaii, cu scopul de a proteja mesajele dintr-un sistem de telecomunicaii, care
ar putea fi interceptate, studiate, analizate i, prin reconstituire, pot conduce la dezvluiri
de informaii clasificate.
COMSEC reprezint ansamblul de proceduri, incluznd:
a) msuri de securitate a transmisiilor;
b) msuri de securitate mpotriva radiaiilor - TEMPEST;
c) msuri de acoperire criptologic;
d) msuri de securitate fizic, procedural, de personal i a documentelor;
e) msuri COMPUSEC;
- TEMPEST - ansamblul msurilor de testare i de realizare a securitii mpotriva
scurgerii de informaii, prin intermediul emisiilor electromagnetice parazite;
- evaluarea - examinarea detaliat, din punct de vedere tehnic i funcional, a aspectelor
de securitate ale SPAD i RTD - SIC sau a produselor de securitate, de ctre o autoritate
abilitat n acest sens.
Prin procesul de evaluare se verific:
a) prezena facilitilor/funciilor de securitate cerute;
b) absena efectelor secundare compromitoare care ar putea decurge din implementarea
facilitilor de securitate;
c) funcionalitatea global a sistemului de securitate;
d) satisfacerea cerinelor de securitate specifice pentru un SPAD i RTD - SIC,
e) stabilirea nivelului de ncredere al SPAD sau RTD - SIC ori al produselor informatice
de securitate implementate;
f) existena performanelor de securitate ale produselor informatice de securitate instalate
n SPAD sau RTD - SIC;
- certificarea - emiterea unui document de constatare, la care se ataeaz unul de analiz,
n care sunt prezentate modul n care a decurs evaluarea i rezultatele acesteia, n
documentul de constatare se menioneaz msurile n care SPAD i RTD - SIC satisfac
cerinele de securitate, precum i msura n care produsele informatice de securitate
rspund exigenelor referitoare la protecia informaiilor clasificate n format electronic;
- acreditarea - etapa de acordare a autorizrii i aprobrii unui SPAD sau RTD - SIC de a
prelucra informaii clasificate, n spaiul/mediul operaional propriu.
Etapa de acreditare trebuie s se desfoare dup ce s-au implementat toate procedurile
de securitate i dup ce s-a atins un nivel suficient de protecie a resurselor de sistem.
Acreditarea se face, n principal, pe baza CSS i include urmtoarele:
a) not justificativ despre obiectivul acreditrii sistemului, nivelul/nivelurile de
clasificare a informaiilor care urmeaz s fie procesate i vehiculate, modul/modurile de
operare protejat propuse;
b) not justificativ despre managementul riscurilor - modul de tratare, gestionare i
rezolvare a riscurilor - n care se specific pericolele i punctele vulnerabile, precum i
msurile adecvate de contracarare a acestora;
c) o descriere detaliat a facilitilor de securitate i a procedurilor propuse, destinate
SPAD sau RTD - SIC. Aceast descriere va reprezenta clementul esenial pentru
finalizarea procesului de acreditare;
d) planul de implementare i ntreinere a caracteristicilor de securitate;
e) planul de desfurare a etapelor de testare, evaluare i certificare a securitii SPAD
sau RTD - SIC;
f) certificatul i, acolo unde este necesar, elemente de acreditare suplimentare;
- zona SPAD - reprezint o zon de lucru n care se gsesc i opereaz unul sau mai multe
calculatoare, uniti periferice locale i de stocare, mijloace de control i echipament
specific de reea i de comunicaii. Zona SPAD nu include zona n care sunt amplasate
terminale, echipamente periferice sau staii de lucru la distan, chiar dac aceste
echipamente sunt conectate la echipamentul central de calcul din zona SPAD;
- zona terminal/staie de lucru la distan - reprezint o zon, separat de zona SPAD, n
care se gsesc:
a) elemente de tehnic de calcul;
b) echipamentele periferice locale, terminale sau staii de lucru la distan, conectate la
echipamentele din zona SPAD;
c) echipamente de comunicaii;
- ameninarea - posibilitatea de compromitere accidental sau deliberat a securitii
SPAD sau RTD -SIC, prin pierderea confidenialitii, a integritii sau disponibilitii
informaiilor n format electronic sau prin afectarea funciilor care asigur autenticitatea
i nerepudierea informaiilor;
- vulnerabilitatea - slbiciune sau lips de control care ar putea permite sau facilita o
manevr tehnic, procedural sau operaional, prin care se amenin o valoare sau int
specific.
Art. 238
Abrevierile utilizate n prezentul capitol semnific:
a) CSTIC- componenta de securitate pentru tehnologia informaiei i comunicaiilor
instituit n unitile deintoare de informaii clasificate;
b) TIC - tehnologia informaiei i comunicaiilor;
c) CSS - cerinele de securitate specifice.
Art. 239
(1) Informaiile care se prezint n format electronic pot fi:
a) stocate i procesate n cadrul SPAD sau transmise prin intermediul RTD;
b) stocate i transportate prin intermediul suporturilor de memorie, dispozitivelor
electronice - cipuri de memorie, hrtie perforat sau alte suporturi specifice.
(2) ncrcarea informaiilor pe mediile prevzute n alin.(l) lit.b, precum i interpretarea
lor pentru a deveni inteligibile, se face cu ajutorul echipamentelor electronice
specializate.
Art. 240
(1) Sistemele SPAD i RTD - SIC au dreptul s stocheze, s proceseze sau s transmit
informaii clasificate, numai dac sunt autorizate potrivit prezentei hotrri.
(2) n vederea autorizrii SPAD i RTD - SIC unitile vor ntocmi, cu aprobarea
organelor lor de conducere, strategia proprie de securitate, n baza creia vor implementa
sisteme proprii de securitate, care vor include utilizarea de produse specifice tehnologiei
informaiei i comunicaiilor, personal instruit i msuri de protecie a informaiei,
incluznd controlul accesului la sistemele i serviciile informatice i de comunicaii, pe
baza principiului necesitii de a cunoate i al nivelului de secretizare atribuit.
(3) SPAD i RTD - SIC vor fi supuse procesului de acreditare, urmat de evaluri
periodice, n vederea meninerii acreditrii.
Art. 241
(1) Aplicarea reglementrilor n vigoare referitoare la protecia informaiilor clasificate n
format electronic funcioneaz unitar la nivel naional. Sistemul de emitere i
implementare a msurilor de securitate adresate proteciei informaiilor clasificate care
sunt stocate, procesate sau transmise de SPAD sau RTD - SIC, precum i controlul
modului de implementare a msurilor de securitate se realizeaz de ctre o structur
funcional cu atribuii de reglementare, control i autorizare, care include:
a) o agenie pentru acordarea acreditrii de funcionare n regim de securitate;
b) o agenie care elaboreaz i implementeaz metode, mijloace i msuri de securitate;
c) o agenie responsabil cu protecia criptografic.
(2) Ageniile menionate la alin. (1) sunt subordonate instituiei desemnate la nivel
naional, pentru protecia informaiilor clasificate, ORNISS.
(3) Msurile de protecie a informaiilor clasificate n format electronic trebuie
reactualizate permanent, prin depistare, documentare i gestionare a ameninrilor i
vulnerabilitilor la adresa informaiilor clasificate i sistemelor care le prelucreaz,
stocheaz i transmit.
Art. 242
Msurile de securitate INFOSEC vor fi structurate dup nivelul de clasificare al
informaiilor pe care le protejeaz i n conformitate cu coninutul acestora.
Art. 243
Conductorul unitii deintoare de informaii clasificate rspunde de securitatea
propriilor informaii care sunt stocate, procesate sau transmise n SPAD sau RTD - SIC.
Art. 244
(1) n fiecare unitate care administreaz SPAD i RTD -SIC n care se stocheaz, se
proceseaz sau se transmit informaii clasificate, se va institui o component de securitate
pentru tehnologia informaiei i a comunicaiilor - CSTIC, n subordinea
structurii/funcionarului de securitate.
(2) n funcie de volumul de activitate i dac cerinele de securitate permit, atribuiile
CSTIC pot fi ndeplinite numai de ctre funcionarul de securitate TIC sau pot fi preluate,
n totalitate, de ctre structura/funcionarul de securitate din unitate.
(3) CSTIC ndeplinete atribuii privind:
a) implementarea metodelor, mijloacelor i msurilor necesare proteciei informaiilor n
format electronic;
b) exploatarea operaional a SPAD i RTD - SIC n condiii de securitate;
c) coordonarea cooperrii dintre unitatea deintoare a SPAD sau RTD - SIC i autoritatea
care asigur acreditarea;
d) implementarea msurilor de securitate i protecia criptografic ale SPAD sau RTD -
SIC.
(4) CSTIC reprezint punctul de contact al ageniilor competente cu unitile care dein n
administrare SPAD sau RTD-SIC i, dup caz, poate fi nvestit, temporar, de ctre aceste
agenii, cu unele dintre atribuiile lor.
(5) Propunerile pe linie de securitate avansate de ctre CSTIC devin operaionale numai
dup ce au fost aprobate de ctre conducerea unitii care deine n administrare
respectivul SPAD sau RTD - SIC.
Art. 245
CSTIC se instituie la nivelul fiecrei SPAD i RTD - SIC i reprezint persoana sau
compartimentul cu responsabilitatea delegat de ctre agenia de securitate pentru
informatic i comunicaii de a implementa metodele, mijloacele i msurile de securitate
i de a exploata SPAD i RTD - SIC n condiii de securitate.
Art. 246
CSTIC este condus de ctre funcionarul de securitate TIC i are n compunere
administratorii de securitate i, dup caz, i ali specialiti din SPAD sau RTD - SIC.
Toat structura CSTIC face parte din personalul unitii care administreaz SPAD sau
RTD - SIC.
Art. 247
Exercitarea atribuiilor CSTIC trebuie s cuprind ntregul ciclu de via al SPAD sau
RTD -SIC, ncepnd cu proiectarea, continund cu elaborarea specificaiilor, testarea
instalrii, acreditarea, testarea periodic n vederea reacreditrii, exploatarea operaional,
modificarea i ncheind cu scoaterea din uz. n anumite situaii, rolul CSTIC poate fi
preluat de ctre alte componente ale unitii, n decursul ciclului de via.
Art. 248
CSTIC mijlocete cooperarea dintre conducerea unitii creia i aparine SPAD sau RTD
- SIC i agenia pentru acreditare de securitate, atunci cnd unitatea:
a) planific dezvoltarea sau achiziia de SPAD sau RTD;
b) propune schimbri ale unei configuraii de sistem existente;
c) propune conectarea unui SPAD sau a unei RTD - SIC cu un alt SPAD sau RTD - SIC;
d) propune schimbri ale modului de operare de securitate ale SPAD sau RTD - SIC;
e) propune schimbri n programele existente sau utilizarea de noi programe, pentru
optimizarea securitii SPAD sau RTD - SIC;
f) iniiaz proceduri de modificare a nivelului de clasificare a SPAD i RTD - SIC care au
fost deja acreditate;
g) planific sau propune ntreprinderea oricrei alte activiti referitoare la mbuntirea
securitii SPAD sau RTD - SIC deja acreditate.
Art. 249
CSTIC, cu aprobarea autoritii de acreditare de securitate, stabilete standardele i
procedurile de securitate care trebuie respectate de ctre furnizorii de echipamente, pe
parcursul dezvoltrii, instalrii i testrii SPAD i RTD - SIC i rspunde pentru
justificarea, selecia, implementarea i controlul componentelor de securitate, care
constituie parte a SPAD i RTD - SIC.
Art. 250
CSTIC stabilete, pentru structurile de securitate i management ale SPAD i RTD - SIC,
nc de la nfiinare, responsabilitile pe care le vor exercita pe tot ciclul de via al
SPAD i RTD - SIC respective.
Art. 251
Activitatea INFOSEC din SPAD i RTD - SIC, desfurat de ctre CSTIC, trebuie
condus i coordonat de persoane care dein certificat de securitate corespunztor, cu
pregtire de specialitate n domeniul sistemelor TIC precum i al securitii acestora,
obinut n instituii de nvmnt acreditate INFOSEC, sau care au lucrat n domeniu cel
puin 5 ani.
Art. 252
Protecia SPAD i RTD - SIC din compunerea sistemelor de armament i de detecie va fi
definit n contextul general al sistemelor din care acestea fac parte i va fi realizat prin
aplicarea prevederilor prezentelor standarde.
SECIUNEA 2: Structuri organizatorice cu atribuii specifice n domeniul INFOSEC
A. Agenia de acreditare de securitate
Art. 253
Agenia de acreditare de securitate este subordonat instituiei desemnate la nivel naional
pentru protecia informaiilor clasificate, are reprezentani delegai din cadrul ADS
implicate, n funcie de SPAD i RTD -SIC care trebuie acreditate, i ndeplinete
urmtoarele atribuii principale:
a) asigur, la nivel naional, acreditarea de securitate i reacreditarea SPAD i RTD - SIC
care stocheaz, proceseaz sau transmit informaii clasificate, n funcie de nivelul de
clasificare a acestora;
b) asigur evaluarea i certificarea sistemelor SPAD i RTD - SIC sau a unor elemente
componente ale acestora;
c) stabilete criteriile de acreditare de securitate pentru SPAD i RTD - SIC.
Art. 254
Agenia de acreditare de securitate i exercit atribuiile n domeniul INFOSEC n
numele instituiei desemnate la nivel naional pentru protecia informaiilor clasificate i
are responsabilitatea de a impune standarde de securitate n acest domeniu.
B. Agenia de securitate pentru informatic i comunicaii
Art. 255
Agenia de securitate pentru informatic i comunicaii este structura subordonat
instituiei desemnate la nivel naional pentru protecia informaiilor electronice
clasificate, avnd reprezentani delegai din cadrul ADS implicate care acioneaz la nivel
naional.
Art. 256
Agenia este responsabil de conceperea i implementarea mijloacelor, metodelor i
msurilor de protecie a informaiilor clasificate care sunt stocate, procesate sau transmise
prin intermediul SPAD i RTD -SIC i are, n principal, urmtoarele atribuii:
a) coordoneaz activitile de protecie a informaiilor clasificate care sunt stocate,
procesate sau transmise prin intermediul SPAD i RTD - SIC;
b) elaboreaz i promoveaz reglementri i standarde specifice;
c) analizeaz cauzele incidentelor de securitate i gestioneaz baza de date privind
ameninrile i vulnerabilitile din sistemele de comunicaie i informatice, necesare
pentru elaborarea managementul de risc;
d) semnaleaz ageniei de acreditare de securitate incidentele de securitate n domeniu;
e) integreaz msurile privind protecia fizic, de personal, a documentelor
administrative, COMPUSEC, COMSEC, TEMPEST i criptografic,
f) execut inspecii periodice asupra SPAD i RTD - SIC n vederea reacreditrii;
g) supune certificrii i autorizrii sistemele de securitate specifice SPAD i RTD - SIC.
Art. 257
Pentru ndeplinirea atribuiilor sale, agenia de securitate pentru informatic i
comunicaii coopereaz cu agenia de acreditare de securitate, cu agenia de protecie
criptografic i cu alte structuri cu atribuii n domeniu.

C. Agenia de protecie criptografic

Art. 258
Agenia de protecie criptografic se organizeaz la nivel naional, este subordonat
instituiei desemnate la nivel naional pentru protecia informaiilor clasificate i are
urmtoarele atribuii principale:
a) asigur managementul materialelor i echipamentelor criptografice;
b) realizeaz distribuirea materialelor i echipamentelor criptografice;
c) raporteaz instituiei desemnate la nivel naional pentru protecia informaiilor
clasificate incidentele de securitate cu care s-a confruntat;
d) coopereaz cu agenia de acreditare de securitate, cu agenia de concepere i
implementare a metodelor, mijloacelor i msurilor de securitate i cu alte structuri cu
atribuii n domeniu.

SECIUNEA 3: Msuri, cerine i moduri de operare

A. Msuri i cerine specifice INFOSEC

Art. 259
(1) Msurile de protecie a informaiilor clasificate n format electronic se aplic
sistemelor SPAD i RTD - SIC care stocheaz, proceseaz sau transmit asemenea
informaii.
(2) Unitile deintoare de informaii clasificate au obligaia de a stabili i implementa
un ansamblu de msuri de securitate a sistemelor SPAD i RTD - SIC - fizice, de
personal, administrative, de tip TEMPEST i criptografic.
Art. 260
Msurile de securitate destinate proteciei SPAD i RTD - SIC trebuie s asigure controlul
accesului pentru prevenirea sau detectarea divulgrii neautorizate a informaiilor.
Procesul de certificare i acreditare va stabili dac aceste msuri sunt corespunztoare.
B. Cerine de securitate specifice SPAD i RTD - SIC
Art. 261
(1) Cerinele de securitate specifice - CSS se constituie ntr-un document ncheiat ntre
agenia de acreditare de securitate i CSTIC, ce va cuprinde principii i msuri de
securitate care trebuie s stea la baza procesului de certificare i acreditare a SPAD sau
RTD - SIC.
(2) CSS se elaboreaz pentru fiecare SPAD i RTD -SIC care stocheaz, proceseaz sau
transmite informaii clasificate, sunt stabilite de ctre CSTIC i aprobate de ctre agenia
de acreditare de securitate.
Art. 262
CSS vor fi formulate nc din faza de proiectare a SPAD sau RTD - SIC i vor fi
dezvoltate pe tot ciclul de via al sistemului.
Art. 263
CSS au la baz standardele naionale de protecie, parametrii eseniali ai mediului
operaional, nivelul minim de autorizare a personalului, nivelul de clasificare a
informaiilor gestionate i modul de operare a sistemului care urmeaz s fie acreditat.
C. Moduri de operare
Art. 264
SPAD i RTD - SIC care stocheaz, proceseaz sau transmit informaii clasificate vor fi
certificate i acreditate s opereze, pe anumite perioade de timp, n unul din urmtoarele
moduri de operare:
a) dedicat;
b) de nivel nalt;
c) multi-nivel.
Art. 265
(1) n modul de operare dedicat, toate persoanele cu drept de acces la SPAD sau la RTD
trebuie s aib certificat de securitate pentru cel mai nalt nivel de clasificare a
informaiilor stocate, procesate sau transmise prin aceste sisteme. Necesitatea de a
cunoate pentru aceste persoane se stabilete cu privire la toate informaiile stocate,
procesate sau transmise n cadrul SPAD sau RTD - SIC.
(2) n acest mod de operare, principiul necesitii de a cunoate nu impune o separare a
informaiilor n cadrul SPAD sau RTD, ca mijloc de securitate a SIC. Celelalte msuri de
protecie prevzute vor asigura ndeplinirea cerinelor impuse de cel mai nalt nivel de
clasificare a informaiilor gestionate i de toate categoriile de informaii cu destinaie
special stocate, procesate sau transmise n cadrul SPAD sau RTD.
Art. 266
(1) n modul de operare de nivel nalt, toate persoanele cu drept de acces la SPAD sau la
RTD SIC trebuie s aib certificat de securitate pentru cel mai nalt nivel de clasificare a
informaiilor stocate, procesate sau transmise n cadrul SPAD sau RTD - SIC, iar accesul
la informaii se va face difereniat, conform principiului necesitii de a cunoate.
(2) Pentru a asigura accesul difereniat la informaii, conform principiului necesitii de a
cunoate, se instituie faciliti de securitate care s asigure un acces selectiv la informaii
n cadrul SPAD sau RTD - SIC.
(3) Celelalte msuri de protecie vor satisface cerinele pentru cel mai nalt nivel de
clasificare i pentru toate categoriile de informaii cu destinaie special stocate,
procesate, transmise n cadrul SPAD sau RTD - SIC.
(4) Toate informaiile stocate, procesate sau vehiculate n cadrul unui SPAD sau RTD -
SIC n acest mod de operare vor fi protejate ca informaii cu destinaie special, avnd cel
mai nalt nivel de clasificare care a fost constatat n mulimea informaiilor stocate,
procesate sau vehiculate prin sistem.
Art. 267
(1) n modul de operare multi-nivel, accesul la informaiile clasificate se face difereniat,
potrivit principiului necesitii de a cunoate, conform urmtoarelor reguli:
a) nu toate persoanele cu drept de acces la SPAD sau RTD -SIC au certificat de securitate
pentru acces la informaii de cel mai nalt nivel de clasificare care sunt stocate, procesate
sau transmise prin aceste sisteme;
b) nu toate persoanele cu acces la SPAD sau RID - SIC au acces la toate informaiile
stocate, procesate sau transmise prin aceste sisteme.
(2) Aplicarea regulilor prevzute la alin. (1) impune instituirea, n compensaie, a unor
faciliti de securitate care s asigure un mod selectiv, individual, de acces la informaiile
clasificate din cadrul SPAD sau RTD -SIC.
D. Administratorii de securitate
Art. 268
(1) Securitatea SPAD a reelei i a obiectivului SIC se asigur prin funciile de
administrator de securitate.
(2) Administratorii de securitate sunt:
a) administratorul de securitate al SPAD;
b) administratorul de securitate al reelei;
c) administratorul de securitate al obiectivului SIC.
(3) Funciile de administratori de securitate trebuie s asigure ndeplinirea atribuiilor
CSTIC. Dac este cazul, aceste funcii pot fi cumulate de ctre un singur specialist.
Art. 269
(1) CSTIC desemneaz un administrator de securitate al SPAD responsabil cu
supervizarea dezvoltrii, implementrii i administrrii msurilor de securitate dintr-un
SPAD, inclusiv participarea la elaborarea procedurilor operaionale de securitate.
(2) La recomandarea autoritii de acreditare de securitate, CSTIC poate desemna
structuri de administrare ale SPAD care ndeplinesc aceleai atribuii.
Art. 270
Administratorul de securitate al reelei este desemnat de CSTIC pentru un SIC de mari
dimensiuni sau n cazul interconectrii mai multor SPAD i ndeplinete atribuii privind
managementul securitii comunicaiilor.
Art. 271
(1) Administratorul de securitate al obiectivului SIC este desemnat de CSTIC sau de
autoritatea de securitate competent i rspunde de asigurarea implementrii i
meninerea msurilor de securitate aplicabile obiectivului SIC respectiv.
(2) Responsabilitile unui administrator de securitate al obiectivului SIC pot fi
ndeplinite de ctre structura/funcionarul de securitate al unitii, ca parte a ndatoririlor
sale profesionale.
(3) Obiectivul SIC reprezint un amplasament specific sau un grup de amplasamente n
care funcioneaz un SPAD i/sau RTD. Responsabilitile i msurile de securitate
pentru fiecare zon de amplasare a unui terminal/staie de lucru care funcioneaz la
distan trebuie explicit determinate.
E. Utilizatorii i vizitatorii
Art. 272
(1) Toi utilizatorii de SPAD sau RTD - SIC poart responsabilitatea n ce privete
securitatea acestor sisteme - raportate, n principal, la drepturile acordate i sunt
ndrumai de ctre administratorii de securitate
(2) Utilizatorii vor fi autorizai pentru clasa i nivelul de secretizare a informaiilor
clasificate stocate, procesate sau transmise n SPAD sau RTD - SIC. La acordarea
accesului la informaii, individual, se va urmri respectarea principiului necesitii de a
cunoate.
(3) Informarea i contientizarea utilizatorilor asupra ndatoririlor lor de securitate trebuie
s asigure o eficacitate sporit a sistemului de securitate.
Art. 273
Vizitatorii trebuie s aib autorizare de securitate de nivel corespunztor i s
ndeplineasc principiul necesitii de a cunoate, n situaia n care accesul unui vizitator
fr autorizare de securitate este considerat necesar, vor fi luate msuri de securitate
suplimentare pentru ca acesta s nu poat avea acces la informaiile clasificate.

SECIUNEA 4: Componentele INFOSEC

A. Securitatea personalului

Art. 274
(1) Utilizatorii SPAD i RTD - SIC sunt autorizai i li se permite accesul la informaii
clasificate pe baza principiului necesitii de a cunoate i n funcie de nivelul de
clasificare a informaiilor stocate, procesate sau transmise prin aceste sisteme.
(2) Unitile deintoare de informaii clasificate n format electronic au obligaia de a
institui msuri speciale pentru instruirea i supravegherea personalului, inclusiv a
personalului de proiectare de sistem care are acces la SPAD i RTD, n vederea prevenirii
i nlturrii vulnerabilitilor fa de accesarea neautorizat.
Art. 275
n proiectarea SPAD i RTD - SIC trebuie s se aib n vedere ca atribuirea sarcinilor i
rspunderilor personalului s se fac n aa fel nct s nu existe o persoan care s aib
cunotin sau acces la toate programele i cheile de securitate - parole, mijloace de
identificare personal.
Art. 276
Procedurile de lucru ale personalului din SPAD i RTD - SIC trebuie s asigure separarea
ntre operaiunile de programare i cele de exploatare a sistemului sau reelei. Este
interzis, cu excepia unor situaii speciale, ca personalul s fac att programarea, ct i
operarea sistemelor sau reelelor i trebuie instituite proceduri speciale pentru depistarea
acestor situaii.
Art. 277
Pentru orice fel de modificare aplicat unui sistem SPAD sau RTD - SIC este obligatorie
colaborarea a cel puin dou persoane - regula celor doi. Procedurile de securitate vor
meniona explicit situaiile n care regula celor doi trebuie aplicat.
Art. 278
Pentru a asigura implementarea corect a msurilor de securitate, personalul SPAD i
RTD -SIC i personalul care rspunde de securitatea acestora trebuie s fie instruit i
informat astfel nct s i cunoasc reciproc atribuiile.

B. Securitatea fizic

Art. 279
Zonele n care sunt amplasate SPAD i/sau RTD - SIC i cele cu terminale la distant, n
care sunt prezentate, stocate, procesate sau transmise informaii clasificate ori n care este
posibil accesul potenial la astfel de informaii, se declar zone de securitate clasa I sau
clasa II ale obiectivului i se supun msurilor de protecie fizic stabilite prin prezentele
standarde.
Art. 280
n zonele n care sunt amplasate sisteme SPAD i terminale la distan - staii de lucru,
unde se proceseaz i/sau pot fi accesate informaii clasificate, se aplic urmtoarele
msuri generale de securitate:
a) intrarea personalului i a materialelor, precum i plecarea n/din aceste zone sunt
controlate prin mijloace bine stabilite;
b) zonele i locurile n care securitatea SPAD sau RTD - SIC sau a terminalelor la
distan poate fi modificat nu trebuie s fie niciodat ocupate de un singur angajat
autorizat;
c) persoanelor care solicit acces temporar sau cu intermitene n aceste zone trebuie s li
se autorizeze accesul, ca vizitatori, de ctre responsabilul pe probleme de securitate al
zonei, desemnat de ctre administratorul de securitate al obiectivului SIC. Vizitatorii vor
fi nsoii permanent, pentru a avea garania c nu pot avea acces la informaii clasificate
i nici la echipamentele utilizate.
Art. 281
n funcie de riscul de securitate i de nivelul de secretizare al informaiilor stocate,
procesate i transmise, se impune cerina de aplicare a regulii de lucru cu dou persoane
i n alte zone, ce vor fi stabilite n stadiul iniial al proiectului i prezentate n cadrul
CSS.
Art. 282
Cnd un SPAD este exploatat n mod autonom, deconectat n mod permanent de alte
SPAD, innd cont de condiiile specifice, de alte msuri de securitate, tehnice sau
procedurale i de rolul pe care l are respectivul SPAD n funcionarea de ansamblu a
sistemului, agenia de acreditare de securitate trebuie s stabileasc msuri specifice de
protecie, adaptate la structura acestui SPAD, conform nivelului de clasificare a
informaiilor gestionate.

C. Controlul accesului la SPAD i/sau la RTD -SIC

Art. 283
Toate informaiile i materialele care privesc accesul la un SPAD sau RTD - SIC sunt
controlate i protejate prin reglementri corespunztoare nivelului de clasificare cel mai
nalt i specificului informaiilor la care respectivul SPAD sau RTD - SIC permite
accesul.
Art. 284
Cnd nu mai sunt utilizate, informaiile i materialele de control specificate la articolul
precedent trebuie s fie distruse conform prevederilor prezentelor standarde.

D. Securitatea informaiilor clasificate n format electronic

Art. 285
Informaiile clasificate n format electronic trebuie s fie controlate conform regulilor
INFOSEC, nainte de a fi transmise din zonele SPAD i RTD - SIC sau din cele cu
terminale la distan.
Art. 286
Modul n care este prezentat informaia n clar, chiar dac se utilizeaz codul prescurtat
de transmisie sau reprezentarea binar ori alte forme de transmitere la distan, nu trebuie
s influeneze nivelul de clasificare acordat informaiilor respective.
Art. 287
Cnd informaiile sunt transferate ntre diverse SPAD sau RTD - SIC, ele trebuie s fie
protejate att n timpul transferului, ct i la nivelul sistemelor informatice ale
beneficiarului, corespunztor cu nivelul de clasificare al informaiilor transmise.
Art. 288
Toate mediile de stocare a informaiilor se pstreaz ntr-o modalitate care s corespund
celui mai nalt nivel de clasificare a informaiilor stocate sau suporilor, fiind protejate
permanent.
Art. 289
Copierea informaiilor clasificate situate pe medii de stocare specifice TIC se execut n
conformitate cu prevederile din procedurile operaionale de securitate.
Art. 290
Mediile refolosibile de stocare a informaiilor utilizate pentru nregistrarea informaiilor
clasificate i menin cea mai nalt clasificare pentru care au fost utilizate anterior, pn
cnd respectivelor informaii li se reduce nivelul de clasificare sau sunt declasificate,
moment n care mediile susmenionate se reclasific n mod corespunztor sau sunt
distruse n conformitate cu prevederile procedurilor operaionale de securitate.

E. Controlul i evidena informaiilor n format electronic

Art. 291
(1) Evidena automat a accesului la informaiile clasificate n format electronic se ine n
registrele de acces i trebuie realizat necondiionat prin software.
(2) Registrele de acces se pstreaz pe o perioad stabilit de comun acord ntre agenia
de acreditare de securitate i CSTIC.
(3) Perioada minim de pstrare a registrelor de acces la informaiile strict secrete de
importan deosebit este de 10 ani, iar a registrelor de acces la informaiile strict secrete
i secrete, de cel puin 3 ani.
Art. 292
(1) Mediile de stocare care conin informaii clasificate utilizate n interiorul unei zone
SPAD pot fi manipulate ca unic material clasificat, cu condiia ca materialul s fie
identificat, marcat cu nivelul su de clasificare i controlat n interiorul zonei SPAD, pn
n momentul n care este distrus, redus la o copie de arhiv sau pus ntr-un dosar
permanent.
(2) Evidenele acestora vor fi meninute n cadrul zonei SPAD pn cnd sunt supuse
controlului sau distruse, conform prezentelor standarde.
Art. 293
n cazul n care un mediu de stocare este generat ntr-un SPAD sau RTD - SIC, iar apoi
este transmis ntr-o zon cu terminal/staie de lucru la distan, se stabilesc proceduri
adecvate de securitate, aprobate de ctre agenia de acreditare de securitate. Procedurile
trebuie s cuprind i instruciuni specifice privind evidena informaiilor n format
electronic.

F. Manipularea i controlul mediilor de stocare a informaiilor clasificate n format

electronic
Art. 294
(1) Toate mediile de stocare secrete de stat se identific i se controleaz n mod
corespunztor nivelului de secretizare.
(2) Pentru informaiile neclasificate sau secrete de serviciu se aplic regulamente de
securitate interne.
(3) Identificarea i controalele trebuie s asigure urmtoarele cerine:
a) Pentru nivelul secret:
- un mijloc de identificare - numr de serie i marcajul nivelului de clasificare - pentru
fiecare astfel de mediu, n mod separat;
- proceduri bine definite pentru emiterea, primirea, retragerea, distrugerea sau pstrarea
mediilor de stocare;
- evidenele manuale sau tiprite la imprimant, indicnd coninutul i nivelul de
secretizare a informaiilor nregistrate pe mediile de stocare.
b) Pentru nivelul strict secret i strict secret de importan deosebit, informaiile detaliate
asupra mediului de stocare, incluznd coninutul i nivelul de clasificare, se in ntr-un
registru adecvat.
Art. 295
Controlul punctual i de ansamblu al mediilor de stocare, pentru a asigura
compatibilitatea cu procedurile de identificare i control n vigoare, trebuie s asigure
ndeplinirea urmtoarelor cerine:
a) pentru nivelul secret - controalele punctuale ale prezenei fizice i coninutului
mediilor de stocare se efectueaz periodic, verificndu-se dac acele medii de stocare nu
conin informaii cu un nivel de clasificare superior;
b) pentru nivelul strict secret - toate mediile de stocare se inventariaz periodic,
controlnd punctual prezena lor fizic i coninutul, pentru a verifica dac pe acele medii
nu sunt stocate informaii cu un nivel de clasificare superior;
c) pentru nivelul strict secret de importan deosebit, toate mediile se verific periodic,
cel puin anual i se controleaz punctual, n legtur cu prezena fizic i coninutul lor.

G. Declasificarea i distrugerea mediilor de stocare a informaiilor n format

electronic

Art. 296
Informaiile clasificate nregistrate pe medii de stocare refolosibile se terg doar n
conformitate cu procedurile operaionale de securitate.
Art. 297
(1) Cnd un mediu de stocare urmeaz s ias din uz, trebuie s fie declasificat
suprimndu-se orice marcaje de clasificare, ulterior putnd fi utilizat ca mediu de stocare
nesecret. Dac acesta nu poate fi declasificat, trebuie distrus printr-o procedur aprobat.
(2) Sunt interzise declasificarea i refolosirea mediilor de stocare care conin informaii
strict secrete de importan deosebit, acestea putnd fi numai distruse, n conformitate cu
procedurile operaionale de securitate.
Art. 298
Informaiile clasificate n format electronic stocate pe un mediu de unic folosin -
cartele, benzi perforate - trebuie distruse conform prevederilor procedurilor operaionale
de securitate.

SECIUNEA 5: Reguli generale de securitate TIC

A. Securitatea comunicaiilor

Art. 299
Toate mijloacele folosite pentru transmiterea electromagnetic a informaiilor clasificate
se supun instruciunilor de securitate a comunicaiilor emise de ctre instituia desemnat
la nivel naional pentru protecia informaiilor clasificate.
Art. 300
ntr-un SPAD - SIC trebuie s se dispun mijloace de interzicere a accesului la
informaiile clasificate de la toate terminalele/staiile de lucru la distan, atunci cnd se
solicit acest lucru, prin deconectare fizic sau prin proceduri software speciale, aprobate
de ctre autoritatea de acreditare de securitate.

B. Securitatea la instalare i fa de emisiile electromagnetice

Art. 301
Instalarea iniial a SPAD sau RTD - SIC sau orice modificare major adus acestora vor
fi executate de persoane autorizate, n condiiile prezentelor standarde. Lucrrile vor ti
permanent supravegheate de personal tehnic calificat, care are acces la informaii de cel
mai nalt nivel de clasificare pe care respectivul SPAD sau RTD - SIC le va stoca, procesa
sau transmite.
Art. 302
Toate echipamentele SPAD i RTD-SIC vor fi instalate n conformitate cu reglementrile
specifice n vigoare, emise de ctre instituia desemnat la nivel naional pentru protecia
informaiilor clasificate, cu directivele i standardele tehnice corespunztoare.
Art. 303
Sistemele SPAD i RTD-SIC care stocheaz, proceseaz sau transmit informaii secrete
de stat vor fi protejate corespunztor fa de vulnerabilitile de securitate cauzate de
radiaiile compromitoare -TEMPEST. "

C. Securitatea n timpul procesrii informaiilor clasificate

Art. 304
Procesarea informaiilor se realizeaz n conformitate cu procedurile operaionale de
securitate, prevzute n prezentele standarde.
Art. 305
Transmiterea informaiilor secrete de stat ctre instalaii automate - a cror funcionare nu
necesit prezena unui operator uman - este interzis, cu excepia cazului cnd se aplic
reglementri speciale aprobate de ctre autoritatea de acreditare de securitate, iar acestea
au fost specificate n procedurile operaionale de securitate.
Art. 306
n SPAD sau RTD-SIC care au utilizatori - existeni sau poteniali - fr certificate de
securitate emise conform prezentelor standarde nu se pot stoca, procesa sau transmite
informaii strict secrete de importan deosebit.
D. Procedurile operaionale de securitate

Art. 307
Procedurile operaionale de securitate reprezint descrierea implementrii strategiei de
securitate ce urmeaz s fie adoptat, a procedurilor operaionale de urmat i a
responsabilitilor personalului.
Art. 308
Procedurile operaionale de securitate sunt elaborate de ctre agenia de concepere i
implementare a metodelor, mijloacelor i msurilor de securitate, n colaborare cu
CSTIC, precum i cu agenia de acreditare de securitate, care are atribuii de coordonare,
i alte autoriti cu atribuii n domeniu. Agenia de acreditare de securitate va aproba
procedurile de operare nainte de a autoriza stocarea, procesarea sau transmiterea
informaiilor secrete de stat prin SPAD - RTD - SIC.

E. Protecia produselor software i managementul configuraiei

Art. 309
CSTIC are obligaia s efectueze controale periodice, prin care s stabileasc dac toate
produsele software originale - sisteme de operare generale, subsisteme i pachete soft -
aflate n folosin, sunt protejate n condiii conforme cu nivelul de clasificare al
informaiilor pe care acestea trebuie s le proceseze. Protecia programelor - software de
aplicaie se stabilete pe baza evalurii nivelului de secretizare a acestora, innd cont de
nivelul de clasificare a informaiilor pe care urmeaz s le proceseze.
Art. 310
(1) Este interzis utilizarea de software neautorizat de ctre agenia de acreditare de
securitate.
(2) Conservarea exemplarelor originale, a copiilor - backup sau off-site, precum i
salvrile periodice ale datelor obinute din procesare vor fi executate n conformitate cu
prevederile procedurilor operaionale de securitate.
Art. 311
(1) Versiunile software care sunt n uz trebuie s fie verificate la intervale regulate, pentru
a garanta integritatea i funcionarea lor corect.
(2) Versiunile noi sau modificate ale software-ului nu vor fi folosite pentru procesarea
informaiilor secrete de stat, pn cnd procedurile de securitate ale acestora nu sunt
testate i aprobate conform CSS.
(3) Un software care mbuntete posibilitile sistemului i care nu are nici o procedur
de securitate nu poate fi folosit nainte de a fi verificat de ctre CSTIC.

F. Verificri pentru depistarea viruilor de calculator i a software-ului nociv

Art. 312
Verificarea prezenei viruilor i software-ului nociv se face n conformitate cu cerinele
impuse de ctre agenia de acreditare de securitate.
Art. 313
(1) Versiunile de software noi sau modificate - sisteme de operare, subsisteme, pachete de
software i software de aplicaie - stocate pe diferite medii care se introduc ntr-o unitate,
trebuie verificate obligatoriu pe sisteme de calcul izolate, n vederea depistrii software-
ului nociv sau a viruilor de calculator, nainte de a fi folosite n SPAD sau RTD - SIC.
Periodic se va proceda la verificarea software-ului instalat.
(2) Verificrile trebuie fcute mai frecvent dac SPAD sau RTD - SIC sunt conectate la
alt SPAD sau RTD -SIC sau la o reea public de comunicaii.

G. ntreinerea tehnic a SPAD sau RTD - SIC

Art. 314
(1) n contractele de ntreinere a SPAD i RTD - SIC care stocheaz, proceseaz sau
transmit informaii secrete de stat, se vor specifica cerinele care trebuie ndeplinite
pentru ca personalul de ntreinere i aparatura specific a acestuia s poat fi introduse n
zona de operare a sistemelor respective.
(2) Personalul de ntreinere trebuie s dein certificate de securitate de nivel
corespunztor nivelului de secretizare a informaiilor la care au acces.
Art. 315
Scoaterea echipamentelor sau a componentelor hardware din zona SPAD sau RTD - SIC
se execut n conformitate cu prevederile procedurilor operaionale de securitate.
Art. 316
Cerinele menionate la art. 314 trebuie stipulate n CSS, iar procedurile de desfurare a
activitii respective trebuie stabilite n procedurile operaionale de securitate. Nu se
accept tipurile de ntreinere care constau n aplicarea unor proceduri de diagnosticare ce
implic accesul de la distan la sistem, dect dac activitatea respectiv se desfoar
sub control strict i numai cu aprobarea ageniei de acreditare de securitate.

H. Achiziii

Art. 317
Sistemele SPAD sau RTD - SIC, precum i componentele lor hardware i software sunt
achiziionate de la furnizori interni sau externi selectai dintre cei agreai de ctre agenia
de acreditare de securitate.
Art. 318
Componentele sistemelor de securitate implementate n SPAD sau RTD - SIC trebuie
acreditate pe baza unei documentaii tehnice amnunite privind proiectarea, realizarea i
modul de distribuire al acestora.
Art. 319
SPAD sau RTD - SIC care stocheaz, proceseaz sau transmit informaii secrete de stat
sau componentele lor de baz - sisteme de operare de scop general, produse de limitare a
funcionrii pentru realizarea securitii i produse pentru comunicare n reea - se pot
achiziiona numai dac au fost evaluate i certificate de ctre agenia de acreditare de
securitate.
Art. 320
Pentru SPAD i RTD - SIC care stocheaz, proceseaz sau transmit informaii secrete de
serviciu, sistemele i componentele lor de baz vor respecta, pe ct posibil, criteriile
prevzute de prezentele standarde.
Art. 321
La nchirierea unor componente hardware sau software, n special a unor medii de
stocare, se va ine cont c astfel de echipamente, odat utilizate n SPAD sau RTD - SIC
ce proceseaz, stocheaz sau transmit informaii clasificate, vor fi supuse msurilor de
protecie reglementate prin prezentele standarde. O dat clasificate, componentele
respective nu vor putea fi scoase din zonele SPAD sau RTD - SIC dect dup
declasificare.

I. Acreditarea SPAD i RTD - SIC

Art. 322
(1) Toate SPAD i RTD - SIC, nainte de a fi utilizate pentru stocarea, procesarea sau
transmiterea informaiilor clasificate, trebuie acreditate de ctre agenia de acreditare de
securitate, pe baza datelor furnizate de ctre CSS, procedurilor operaionale de securitate
i altor documentaii relevante.
(2) Subsistemele SPAD i RTD - SIC i staiile de lucru cu acces la distan sau
terminalele vor fi acreditate ca parte integrant a sistemelor SPAD i RTD - SIC la care
sunt conectate, n cazul n care un sistem SPAD sau RTD - SIC deservete att NATO, ct
i organizaiile/structurile interne ale rii, acreditarea se va face de ctre autoritatea
naional de securitate, cu consultarea ADS i a ageniilor INFOSEC, potrivit
competenelor.

J. Evaluarea i certificarea

Art. 323
n situaiile ce privesc modul de operare de securitate multi-nivel, nainte de acreditarea
propriu-zis a SPAD sau RTD - SIC, hardware-ul, firmware-ul i software-ul vor fi
evaluate i certificate de ctre agenia de acreditare de securitate, n acest sens, instituia
desemnat la nivel naional pentru protecia informaiilor clasificate va stabili criterii
difereniate pentru fiecare nivel de secretizare a informaiilor vehiculate de SPAD sau
RTD - SIC.
Art. 324
Cerinele de evaluare i certificare se includ n planificarea sistemului SPAD i RTD -
SIC i sunt stipulate explicit n CSS, imediat dup ce modul de operare de securitate a
fost stabilit.
Art. 325
Urmtoarele situaii impun evaluarea i certificarea de securitate n modul de operare de
securitate multi-nivel:
a) pentru SPAD sau RTD - SIC care stocheaz, proceseaz sau transmite informaii
clasificate strict secret de importan deosebit;
b) pentru SPAD sau RTD - SIC care stocheaz, proceseaz sau transmite informaii
clasificate strict secret, n cazurile n care:
- SPAD sau RTD - SIC este interconectat cu un alt SPAD sau RTD - SIC - de exemplu,
aparinnd altui CSTIC;
- SPAD sau RTD - SIC are un numr de utilizatori posibili care nu poate fi definit exact.
Art. 326
Procesele de evaluare i certificare trebuie s se desfoare, conform principiilor i
instruciunilor aprobate, de ctre echipe de expertizare cu pregtire tehnic adecvat i
autorizate corespunztor. Aceste echipe vor fi compuse din experi selecionai de ctre
agenia de acreditare de securitate.
Art. 327
(1) n procesele de evaluare i certificare se va stabili n ce msur un SPAD sau RTD -
SIC ndeplinete condiiile de securitate specificate prin CSS, avndu-se n vedere c,
dup ncheierea procesului de evaluare i certificare, anumite seciuni - paragrafe sau
capitole - din CSS trebuie s fie modificate sau actualizate.
(2) Procesele de evaluare i certificare trebuie s nceap din stadiul de definire a SPAD
sau RTD - SIC i continu pe parcursul fazelor de dezvoltare.

K. Verificri de rutin pentru meninerea acreditrii

Art. 328
Pentru toate SPAD i RTD - SIC care stocheaz, proceseaz sau transmit informaii
secrete de stat, CSTIC stabilete proceduri de control prin care s se poat stabili dac
schimbrile intervenite n SIC sunt de natur a le compromite securitatea.
Art. 329
(1) Modificrile care implic reacreditarea sau pentru care se solicit aprobarea anterioar
a ageniei de acreditare de securitate trebuie s fie identificate cu claritate i expuse n
CSS.
(2) Dup orice modificare, reparare sau eroare care ar fi putut afecta dispozitivele de
securitate ale SPAD sau RTD - SIC, CSTIC trebuie s efectueze o verificare privind
funcionarea corect a dispozitivelor de securitate.
(3) Meninerea acreditrii SPAD sau RTD - SIC trebuie s depind de satisfacerea
criteriilor de verificare.
Art. 330
(1) Toate SPAD i RTD - SIC care stocheaz, proceseaz sau transmit informaii secrete
de stat sunt inspectate i reexaminate periodic de ctre agenia de acreditare de securitate.
(2) Pentru SPAD sau RTD - SIC care stocheaz, proceseaz sau transmit informaii strict
secrete de importan deosebit, inspecia se va face cel puin o dat pe an.

L. Securitatea microcalculatoarelor sau a calculatoarelor personale

Art. 331
(1) Microcalculatorele sau calculatoarele personale care au discuri fixe sau alte medii
nevolatile de stocare a informaiei, ce opereaz autonom sau ca parte a unei reele,
precum i calculatoarele portabile cu discuri fixe sunt considerate medii de stocare a
informaiilor, n acelai sens ca i celelalte medii amovibile de stocare a informaiilor.
(2) n msura n care acestea stocheaz informaii clasificate trebuie supuse prezentelor
standarde.
Art. 332
Echipamentelor prevzute la art. 331 trebuie s li se acorde nivelul de protecie pentru
acces, manipulare, stocare i transport, corespunztor cu cel mai nalt nivel de clasificare
a informaiilor care au fost vreodat stocate sau procesate pe ele, pn la trecerea la un alt
nivel de clasificare sau declasificarea lor, n conformitate cu procedurile legale.
M. Utilizarea echipamentelor de calcul proprietate privat

Art. 333
(1) Este interzis utilizarea mediilor de stocare amovibile, a software-ului i a hardware-
ului, aflate n proprietate privat, pentru stocarea, procesarea i transmiterea informaiilor
secrete de stat.
(2) Pentru informaiile secrete de serviciu sau neclasificate, se aplic reglementrile
interne ale unitii.
Art. 334
Este interzis introducerea mediilor de stocare amovibile, a software-ului i hardware-
ului, aflate n proprietate privat, n zonele n care se stocheaz, se proceseaz sau se
transmit informaii clasificate, fr aprobarea conductorului unitii.

N. Utilizarea echipamentelor contractorilor sau a celor puse la dispoziie de alte

instituii

Art. 335
Utilizarea ntr-un obiectiv a echipamentelor i a software-ului contractanilor, pentru
stocarea, procesarea sau transmiterea informaiilor clasificate este permis numai cu
avizul CSTIC i aprobarea efului unitii.
Art. 336
Utilizarea ntr-un obiectiv a echipamentelor i software-ului puse la dispoziie de ctre
alte instituii poate fi permis, n acest caz echipamentele sunt evideniate n inventarul
unitii, n ambele situaii, trebuie obinut avizul CSTIC.

O. Marcarea informaiilor cu destinaie special

Art. 337
Marcarea informaiilor cu destinaie special se aplic, n mod obinuit, informaiilor
clasificate care necesit o distribuie limitat i manipulare special, suplimentar fa de
caracterul atribuit prin clasificarea de securitate.