Legislatie aplicabila

• Legea 333/2003 - privind paza obiectivelor,

bunurilor, valorilor şi protecţia persoanelor;
• H301/2012 – normele de aplicare a Legii
333/2003;
• Instructiunile Nr. 9/2013 – privind efectuarea
analizei de risc la securitatea fizica a unitatilor
ce fac obiectul Legii 333/2003
 I.9-2013

Art. 1 (3) În elaborarea analizelor de risc la securitatea fizică se ţine

cont şi de prevederile standardelor naţionale sau europene privind
managementul şi tehnicile de evaluare a riscului.
 Standarde si tehnici de evaluare a riscului

• SR EN 31000:2010 Managementul riscului.

• SR EN 31010:2010 Managementul riscului.
Tehnici de evaluare a riscurilor
• SR GHID ISO 73:2010 Managementul riscului.
Vocabular.
 SR ISO 31000:2010.
Managementul riscului
Organizatiile de toate tipurile si marimile se confrunta cu factori interni si externi si influente care
induc nesiguranta privind realizarea obiectivelor. Efectul acestei nesigurante asupra obiectivelor unei
organizatii este „riscul”.

Toate activitatile unei organizatii implica riscuri. Organizatiile gestioneaza riscul prin identificarea si
analizarea lui si apoi evalueaza daca riscul trebuie modificat prin tratarea riscului in vederea indeplinirii
criteriilor de risc. Pe parcursul acestui proces, organizatiile comunica si se consulta cu partile
interesate, si monitorizeaza si verifica riscul si mijloacele de control care modifica riscul pentru a se
asigura ca nu este necesara o tratare ulterioara a riscului. Acest standard international descrie detaliat
acest proces sistematic si logic.

Desi toate organizatiile gestioneaza riscul intr-o anumita masura, acest standard international
stabileste un numar de principii care trebuie respectate pentru un management eficace al riscului.
Acest standard international recomanda organizatiilor sa dezvolte, sa implementeze si sa
imbunatateasca continuu un cadru organizational al cairu scop este integrarea procesului de
management al riscului in procesele de conducere, de strategie si planificare, de management, de
raportare ca si in politicile, valorile si cultura intregii organizatii.

Managementul riscului poate fi aplicat intregii organizatii, in toate domeniile si la toate nivelurile sale,
in orice moment, precum si functiilor, proiectelor si activitatilor specifice.

ASRO
 SR EN 31010:2010
Managementul riscului. Tehnici de evaluare a riscurilor

Prezentul standard international vine in sprijinul standardului ISO 31000 si asigura indrumare privind
selectarea si aplicarea tehnicilor sistematice pentru evaluarea riscurilor.
Organizatiile de orice tip si marime trebuie sa faca fata unei game de riscuri care sunt susceptibile de
a avea un impact asupra obiectivelor acestora.
Evaluarea riscului este parte a managementul riscului care identifica modul in care pot fi afectate
obiectivele si analizeaza riscul in termeni de consecinte si probabilitatea lor inainte de a decide daca
este necesar un tratament viitor.

Evaluarea riscurilor incearca sa gaseasca raspuns la urmatoarele intrebari fundamentale:

•ce se poate intâmpla si de ce (prin identificarea riscurilor)?
•care sunt consecintele?
•care este probabilitatea aparitiei lor in viitor?
•exista factori care atenueaza consecinta aferenta riscului sau care reduc probabilitatea riscului?
•nivelul de risc este tolerabil sau acceptabil si necesita tratament ulterior?

Acest standard are ca scop sa reflecte bunele practici curente in selectarea si utilizarea tehnicilor de
evaluarea riscului si nu se refera la concepte noi sau in curs de dezvoltare care nu au atins un nivel
satisfacator de consens profesional.

asro
 SR GHID ISO 73:2010
Managementul riscului. Vocabular
Prezentul ghid ofera definitiile termenilor generici referitori la managementul riscului. Ghidul isi
propune sa incurajeze intelegerea reciproca si consecventa, abordarea coerenta a descrierii
activitatilor referitoare la managementul riscului, precum si utilizarea unei terminologii uniforme de
management al riscului in procesele si cadrul organizational care se ocupa de managementul riscului.
Prezentul ghid se refera la domeniul general al managementului riscului. Termenii sunt prezentati in
ordinea urmatoare:
•termeni referitori la risc;
•termeni referitori la managementul riscului;
•termeni referitori la procesul de management al riscului;
•termeni referitori la comunicare si consultare;
•termeni referitori la context;
•termeni referitori la estimarea riscului;
•termeni referitori la identificarea riscului;
•termeni referitori la analiza riscului;
•termeni referitori la evaluarea riscului;
•termeni referitori la tratarea riscului;
•termeni referitori la monitorizare si masurare.

asro
 General Security Risk Assessments 2003-1012
Abordarea evaluarii riscului in securitate este definita astfel:

Să înțeleagă organizarea și identificarea persoanelor și a bunurilor expuse riscului.

Activele includ oameni, toate tipurile de proprietate, afaceri de bază, IT și informațiile.

Oamenii sunt angajați, chiriași, vizitatori, furnizori, vizitatori, si alții direct sau indirect
legați sau implicați cu o întreprindere.

Proprietatea include activele corporale, cum ar fi bani și alte obiecte de valoare și

active necorporale cum ar fi proprietatea intelectuală și situații juridice care dau
dreptul de a da în judecată de a obține bani, bunuri sau executarea unui drept
împotriva altei părți.

Activitatea de bază include afacerile principale sau eforturi de intreprinde o afacere,

inclusiv reputația și bunul renume. IT includ toate sistemele, infrastructura,
echipamentele asociate cu date, telecomunicații și computere care prelucrează active.

ASIS
Informațiile includ diferite tipuri de date proprietar.
Procesul de management conform
SR EN 31000:2010
Inca din anul 2003 au fost stabilite tehnici si
criterii privind evaluarea riscurilor materializate
in instructiuni aplicabile si care au fost preluate
in standardul ISO 31000.
Exemple
General Security Risk Assessment. Indrumar.
(ASIS - American Society for Industrial Security -
2003 prima editie).
Risk assessment for personnel security. Ghid.
(CPNI – Centre for the protection of National
Infrastructure UK)
 Procesul de management conform
I.9-2013
Articolul 1. (2) Analiza de risc la securitatea fizică constituie fundamentul adoptării
măsurilor de securitate a obiectivelor, bunurilor şi valorilor prevăzute de lege, transpuse în planul
de pază şi proiectul sistemului de alarmare.
(3) În elaborarea analizelor de risc la securitatea fizică se ţine cont şi de prevederile standardelor
naţionale sau europene privind managementul şi tehnicile de evaluare a riscului.

Articolul 5. Efectuarea analizei de risc implică parcurgerea următoarelor etape: a)definirea

parametrilor interni şi externi care generează şi/sau modifică riscurile la securitatea fizică a
unităţii;
b)stabilirea metodei şi a instrumentelor de lucru;
c)identificarea tuturor riscurilor la securitatea fizică, a zonelor de impact, a evenimentelor şi
cauzelor riscului, precum şi a potenţialelor consecinţe;
d)analizarea riscurilor la securitatea fizică;
e)estimarea riscurilor unităţii beneficiare;
f)întocmirea Raportului de evaluare şi tratare a riscurilor la securitatea fizică.
 Tehnici de evaluare a riscurilor
conform SR EN 31010:2010
Prima clasificare arată modul în care se aplică
tehnici la fiecare pas al evaluării riscurilor

Procesul este după cum urmează:

• identificarea riscurilor;
• Analiza de risc - analiza consecințelor;
• Analiza de risc - estimarea calitativă, semi-
cantitativă probabilitate sau cantitative;
• Analiza de risc - evaluarea eficacității oricăror
controale existente;
• Analiza de risc - estimarea nivelului de risc;
• evaluarea riscului.
Datorita complexitatii evaluarii riscurilor asociate domeniului
nostru, a efortului material si de personal asociate evaluarii, a
faptului ca tehnica folosita trebuie sa se potriveasca cat mai bine
scopului urmarit, cea mai potrivita si cel mai des intalnita metoda
asociata domeniul nostru este tehnica matricei probabilitate-
impact.

Riscul comportă două aspecte fundamentale:

probabilitatea şi impactul.

Este recunoscut faptul ca in unele cazuri datele disponibile in ceea

ce priveste unul sau mai multe riscuri de securitate ar putea avea o
frecventa rara pentru a permite o evaluare aprofundata cantitativa.

Tocmai din acest motiv o abordare calitativa trebuie sa fie utilizata

si bazata pe modelul indicat.
Standardul SR EN 31010:2010, tabelul A.1, aplicabilitatea
instrumentelor utilizate pentru evaluarea riscurilor privind
tehnica consecinta/probabilitate, recomanda:

Procesul de evaluare a riscurilor

Identificarea Analiza riscurilor
riscurilor Consecinta Probabilitate Nivel de risc Estimare risc
F.A. F.A. F.A. F.A. A

F.A. = Foarte aplicabil

A = Aplicabil

In concluzie, aceasta metoda este simpla si ofera o precizie

mare.
 Matricea consecinte/probabilitate este o
modalitate de combinare a clasamentelor
calitative sau semi-cantitative a consecintelor si
a probabilitatilor pentru a obtine un clasament
al nivelului de risc sau al riscului.

Ce este riscul?
Consecintele x Probabilitate = RISC
Exemplu matrice
Consecinte
5. Aproape sigur 5 10 15 20 25
Probabilitate

4. Frecvent 4 8 12 16 20
3. Posibil 3 6 9 12 15
2. Improbabil 2 4 6 8 10
1. Rar 1 2 3 4 5
1 2 3 4 5
Neglijabil Minor Moderat Major Dezastru
Cod de culoare F. Mare
Mare
Mediu
Scazut

Pentru o indentificare cat mai buna a riscurilor sunt folosite matrice cu cinci randuri si cinci
coloane.
Exemplu de analiză a riscului.
Amenințare specifică: amenințare directă de atac terorist (ce), în parcarea de birouri la xx
(unde) prin mașină capacană (cum), în următoarele 3 luni (când). Cu informațiile disponibile
de la evaluare, impactul și probabilitatea sunt identificate;
Impact: evaluat ca MAJOR (în condițiile actuale, aceasta poate provoca perturbări grave la
activități, leziuni grave și pierderi semnificative de active)
Probabilitate: Identificată ca Posibil (probabilitate mica -20-39,99% -se produce odată la 100
de zile).
Ambele rezultate sunt incluse în tabelul de analiza de risc și rezultă nivelul de risc curent care
este identificat ca: Mare.
Intrarile pt. proces sunt scale personalizate
pentru consecinte si probabilitate si o matrice
care combina pe cele doua.

Iesirile sunt clase pentru fiecare risc sau un

clasament al riscurilor cu nivele de importanta
clar definite.

SR EN 31010
 Relatia consecinte/probabilitate/frecventa

Frecventa de producere a evenimentelor nedorite

trebuie tratata sub forma:
CONSECINTE PROBABILITATE FRECVENTA DE PRODUCERE
5. Aproape sigur 1. 80%-99,99% 1. zilnic
4. Frecvent 2. 60%-79,99% 2. odata la 10 zile
3. Posibil 3. 40%-59,99% 3. odata la 100 de zile
2. Improbabil 4. 20%-39,99% 4. odata la trei ani
1. Rar 5. 0,1%-19,99% 5. odata la 30 ani

Intodeauna orice forma adoptata trebuie sa exprime

consecintele, probabililtatea si frecventa pentru
acuratetea rezultatului.

ASIS General Security Risk Assessment

SCOR RISC ACTIUNE RAPORTARE
Riscurile scazute
identificate trebuie sa fie Raportari bilunare catre
1-3 SCAZUT gestionate prin masuri de conducatorul de proiect
control existente si
produse evaluari/revizii
periodice
Investigheaza pentru
determinarea cauzelor Raportari bilunare catre
care stau la baza. In cazul conducatorul de proiect
4-6 MEDIU unei revizuiri apropiate
se ia in considerare
eficacitatea controalelor.
Dezvoltati planuri de Raportari bilunare catre
8-12 MARE actiune, implementati si conducatorul de proiect
monitorizati.
Necesita o actiune
imediata pentru a elimina
sau a controla in mod Raportati imediat
15-25 F. MARE adecvat fie care risc , conducatorului unitatii
inainte de a intreprinde
orice alta activitate
suplimentara.
 Am identificat riscurile. Dar costurile implementarii
masurilor?
Implica o analiza de tip cost/nivel de securitate

Limitele acceptate privind costurile raportate riscurilor sunt:

Securitate minima ~ 10-15%
Securitate suficienta ~ 15-20%
Securitate acoperitoare ~ 30%
Securitate sigura ~ 35-40%
 Evaluatorul de risc
Poate fi:
Art. 8 .
(1) Analizele de risc se efectuează de experţi înscrişi în RNERSF.
(2) Expertul în evaluare trebuie să îndeplinească cumulativ următoarele condiţii:
a. este cetăţean român sau deţine cetăţenia unuia dintre statele membre ale Uniunii Europene ori ale Spaţiului Economic
European;
b. deţine competenţe profesionale atestate pentru ocupaţia de evaluator de risc la b. securitatea fizică;
c. nu are antecedente penale pentru infracţiuni săvârşite cu intenţie.
(3) Pentru înscrierea în RNERSF solicitantul trebuie să depună la I.G.P.R. - Direcţia de ordine publică o cerere însoţită de
dosarul cu documentele care fac dovada îndeplinirii condiţiilor prevăzute la alin. (2).
(4) În urma analizei dosarului, solicitantul care îndeplineşte condiţiile prevăzute la alin. (3) este înscris în RNERSF în
calitate de expert în evaluarea riscului la securitatea fizică.
Art. 9.
1) Până la adoptarea standardului ocupaţional pentru ocupaţia de evaluator de risc la securitatea fizică, analizele de risc
pot fi elaborate de specialişti cu o vechime în domeniul evaluării riscului la securitatea fizică mai mare de 5 ani, înscrişi în
RNERSF.
(2) Specialistul prevăzut la alin. (1) trebuie să îndeplinească cumulativ următoarele condiţii:
a. este cetăţean român sau deţine cetăţenia unuia dintre statele membre ale Uniunii Europene ori ale Spaţiului Economic
European;
b. nu are antecedente penale pentru infracţiuni săvârşite cu intenţie;
c. face dovada experienţei de minimum 5 ani în desfăşurarea activităţilor de organizare, planificare sau executare a
măsurilor de securitate, în formele prevăzute de lege;
c. este absolvent de studii superioare cu diplomă de licenţă sau echivalentă;
d. a fost declarat admis la interviul susţinut în faţa unei comisii de specialitate constituite prin dispoziţie a inspectorului
general al Poliţiei Române.
Grila de evaluare a riscului conform I.9
Art. 14.
(1) Pentru categoriile de unităţi care au definite cerinţe minimale în Normele
metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor,
valorilor şi protecţia persoanelor, aprobate prin Hotărârea Guvernului nr. 301/2012,
cu excepţia infrastructurilor critice, evaluarea şi cuantificarea gradului de risc asociat
unităţii se fac prin determinarea unei valori numerice ataşate obiectivului evaluat,
sens în care se utilizează grila corespunzătoare obiectului de activitate, dintre cele
prevăzute în anexele nr. 1-11.
(2) În cazul unităţilor pentru care nu au fost definite cerinţe minimale specifice,
analizele de risc la securitatea fizică se elaborează similar, prin aplicarea grilei
generale prevăzute în anexa nr. 12.
(3) Aplicaţiile informatice cu grilele de evaluare pe categorii de obiective se publică în
format electronic pe pagina web a I.G.P.R.
 Prevederi legale
Articolul 15
(1) Pentru evaluarea nivelului de securitate fizică a unei unităţi se stabilesc două domenii ale riscului de
securitate fizică, respectiv riscul de securitate acceptabil, asociat riscurilor de securitate cu valori estimate sub
pragul critic de 60%, şi riscul inacceptabil, asociat valorilor estimate peste pragul critic.

Articolul 16
Grila de evaluare a nivelului de securitate cuprinde 4 categorii de criterii de analiză:
a. criterii specifice obiectivului, prin care se evaluează elemente de amplasare zonală şi locală, cu o pondere de
25%;
b. criterii de securitate, prin care se evaluează măsurile de securitate implementate sau care urmează a fi
implementate, cu o pondere de 65%;
c. criterii funcţionale, prin care se evaluează elementele privitoare la desfăşurarea activităţii unităţii evaluate,
cu o pondere de 10%;
d. alte criterii, nenominalizate în grilă, prin care se asigură evaluarea altor elemente cu impact asupra
riscurilor de securitate, identificate sau propuse de evaluator, grupate în categorii cu impact de creştere,
respectiv diminuare a riscurilor.

Pct. d poate influenta ponderea asociata celor 3 categorii mentioante la pct. a,b, si c.
Articolul 23
(1) Măsurile de securitate cuprind atât elemente de tip condiţie, cât şi elemente
neimpuse prin cerinţele minimale, dar care trebuie în mod obligatoriu analizate.
(2) Elementele neimpuse vor fi evaluate conform situaţiei reale pentru obiectivele în
funcţiune sau conform scenariului de funcţionare, pentru încadrarea în zona nivelului
de risc acceptat, inferior pragului critic.

Articolul 28
În situaţia unităţii care desfăşoară activităţi diferite în aceeaşi incintă sau în acelaşi
spaţiu, în cadrul analizei de risc se completează grile de evaluare pentru fiecare
obiect de activitate, fiind obligatorie încadrarea în gradul de risc acceptabil pentru
fiecare activitate.
Articolul 27
(1) În zona rezervată pentru „Detalii alte criterii“, evaluatorul
poate cuantifica elemente nedefinite în grilă, cu impact de
creştere sau diminuare a riscurilor de securitate fizică.
(2) Pentru fiecare categorie, evaluatorul înscrie în zona de
detaliere toate elementele identificate sau propuse, acordând de
la 1 la 5 puncte/element.
(3) Pentru fiecare categorie se selectează opţiunea
corespunzătoare din coloana „Variabile“ în funcţie de suma
punctajelor obţinute în zona de „Detalii alte criterii“.
 Grile de evaluare
I.9/2013 Articolul 11
(3) Atribuţiile de îndrumare şi control privind respectarea
prezentelor instrucţiuni revin ofiţerilor de poliţie din
structurile de ordine publică ale Poliţiei Române.

Evaluam impreuna grila generala (anexa 12) pt. alte

activitati si pentru care nu au fost stabilite masuri
minime. Asa sa fie?
Cateva observatii supuse dezbaterii
1. Pragul minim stabilit in grile pleaca de la aprox. 38% chiar
47% la grila generala. Riscul de securitate acceptabil este
stabilit la un prag maxim de 60%. Marja de lucru este f.
stransa, de maxim 13% pt. grila generale dedicata categoriilor
de unitati cu risc redus.
Grila generale se refera la alte obiective decat cele prevazute
in mod special.
2. HG301/2012, Anexa 1, stabileste dispozitiile generale si
cerinte minime pe categorii de activitate. Daca un obiectiv
respecta cerintele minime impuse prin HG301/2012 se
incadreza in riscul acceptat din grila.
Astfel, masura implementarii unor masuri suplimentare
ramane la latitudinea beneficiarului.
(Continuare)
1. Cum intrepretam prevederea din HG301/2012, Anexa 1, Cap. 2, ART. 7. Unităţile
care nu efectuează operaţiuni cu numerar nu au obligaţia încadrării în cerinţele
minime stabilite?
2. Transpusa obligativitatii din Anexa 1, ART. 6 (1) Suprafeţele vitrate exterioare până la
o înălţime de 3 metri trebuie să asigure rezistenţa la atacuri manuale, conform
standardelor europene sau naţionale în domeniu, iar cele cu ferestre vor fi prevăzute
cu gratii metalice care să asigure întârzierea pătrunderii în unitate ori se vor realiza cu
deschidere limitată de maximum 10 cm.
Exemplu. Un magazin alimentar sau cu haine second hand, alte tipuri de activitati
comerciale cu valori mici, si care efectueaza operatiuni cu numerar sunt supuse
acestei cerinte? Implementarea unei asemenea masuri este excesiva si implica costuri
mai mari decat valoarea protejata.

3. In grila generala alin. 2.3.1. Amplasare si dotare – putem selecta - unitatea nu

depoziteaza valori.
La pct. 2.9.3. Semnalizare fortare seif unde nu este prevazuta o variabila gen - nu este
cazul - si care trebuia sa fie cu valoare zero!
3. In grila generala cat si restul grilelor alin. 2.10.3. Calitatea imaginii care permite recunoasterea
clientilor.
Fiind obligati, conform legii, sa ne raportam la prevederile standardelor europene sau nationale
apelam la SR EN 50132-7 si care defineste calitatile astfel:
Art. 7.6 a) pentru identificarea tintei, cel putin 120% din inaltimea ecranului; 2) pentru recunoasterea
tintei cel putin 50% din inaltimea ecranului; 3) pentru detectarea unei patrunderi,cel putin 10% din
inaltimea ecranului; 4) pentru supravegherea unei multimi minim 5%, din inaltimea ecranului.

Conform cerintelor standadului putem interpreta ca tinta (omul aflat in fata pultului) daca ocupa minim
50% din ecran sistemul este corect proiectat.

Legiuitorul gresit s-a exprimat pt. ca acesta doreste identificarea tintei si care presupune 120% din
inaltimea ecranului.

Calitatea imaginii trebuie corelata cu calitatea echipamentelor care putea fi ceva mai usor rezolvata
prin raportarea la o rezolutie minima acceptata .
Calitatea nu este raportata obligatoriu caracteristicilor asociate produsului (caliattea unei imagini este
dependenta si de capacitatea inregistartorului).

Era de preferat o exprimare de genul - camerele video destinate identificarii tintei trebuie sa respecte
prevederile Standardului SR EN 50132-7 si sa aibe o rezolutie minima de 720p sau D1, de exemplu.

4. Din pct. de vedere juridic, poti impune masuri superioare exprimate prin evalaurea de risc daca
acesta doreste sa se raporteze la cerintele minime din HG301/2013, Anexa 1?

5. I.9/2013 Articolul 13
Prestatorii nu pot efectua analize de risc la securitatea fizică pentru unităţile cu care ei sau
angajatorii lor au în derulare contracte pentru asigurarea serviciilor de pază a obiectivelor, bunurilor
şi valorilor, serviciilor de proiectare, instalare, modificare sau întreţinere a componentelor ori
sistemelor de alarmare împotriva efracţiei.
Poate fi angajat un contract de analiza de risc anterior angajarii unui contract de prestari
servicii?
 Prevederi SR EN 50132-7

Supraveghere <5% Detectare <10%

Recunoastere <50% Identificare <120%