I

MINISTERUL AFACERILOR INTERNE

cademia de Poliție „ lexandru Ioan Cuza”

ANDREI Ciprian

TEZĂ DE D CT T

- REZUMAT -
D E IUL:”Ordine Publică și Siguranță Națională”

Conducător de doctorat:
Profesor universitar doctor

ŞE B Stancu

-BUCU EȘTI, anul 2018-

MINISTERUL AFACERILOR INTERNE NECLASIFICAT
ACADEMIA DE POLIȚIE „Alexandru Ioan Cuza‖ Exemplar nr.......
Nr. ...................din...........................

ANDREI Ciprian

TEZĂ DE D CT T

- REZUMAT -

TEMA: RISCURI, AMENINȚĂRI ȘI VULNERABILITĂȚI

LA ADRESA PROTECȚIEI INFORMAȚIILOR CLASIFICATE

Conducător de doctorat:
Profesor universitar doctor
ȘERB Stancu

Teză elaborată în vederea obținerii

titlului de DOCTOR în „Ordine publică şi Siguranță Națională”

- BUCU EȘTI, anul 2018 -

 CUPRINS

Lista tabelelor.................................................................................................................. I
Lista figurilor................................................................................................................... II
Lista abrevierilor............................................................................................................. III
ARGUMENT................................................................................................................... 1
1. C PIT LUL 1. ELE E TE DE LEGISL ȚIE Î CTIVIT TE DE
P TECȚIE I F ȚIIL ................................................................. 9
1.1. Scurt istoric referitor la apariția reglementărilor privind informațiile clasificate în
România............................................................................................................................ 9
1.2. Necesitatea protejării informațiilor clasificate………………………………………….. 12
1.3. Prezentarea sistemului național de protecție a informațiilor clasificate………………... 14
1.4. Principalele deficiențe semnalate în sistemul de protecție a informațiilor clasificate...... 20
1.5. Studiu privind identificarea unor criterii de evaluare a informațiilor în vederea
încadrării în clase și niveluri de secretizare...................................................................... 27
1.6. Studiu privind stabilirea listei cu informații clasificate, pe clase și niveluri de
secretizare.......................................................................................................................... 34
1.7. Studiu privind stabilirea măsurilor de protecție fizică în funcție de nivelul de
clasificare al informațiilor………………………………………………………………. 37
2. C PIT LUL 2. ST UCTU ILE CU ESP S BILITĂȚI Î SIGURAREA
SECU ITĂȚII I F ȚIIL CLASIFICATE.......................................... 47
2.1. Autoritatea Națională de Securitate.................................................................................. 47
2.2. Autoritățile Desemnate de Securitate................................................................................ 51
2.3. Structura/funcționarul de securitate.................................................................................. 53
2.4. Compartimentul specializat în protecția informațiilor clasificate naționale..................... 60
2.5. Structurile specializate în protecția informațiilor clasificate NATO/UE.......................... 61
2.6. Studiu privind stabilirea unui standard ocupațional pentru funcționarul de securitate..... 62

I
 3. CAPITOLUL 3. STRATEGII MANAGERIALE DE ASIGURARE A
P TECȚIEI I F ȚIIL CL SIFIC TE.................................................. 69
3.1. Guvernanța și securitatea informațiilor............................................................................. 69
3.1.1. Apariția și dezvoltarea conceptului de guvernanță........................................................... 69
3.1.2. Interpretarea conceptului de guvernanță........................................................................... 73
3.1.3. Guvernanța tehnologiei informațiilor (IT) și guvernanța securității informațiilor........... 76
3.1.4. Studiu privind stabilirea unui model de guvernanță pentru securitatea informațiilor
clasificate........................................................................................................................... 80
3.2. Politici de securitate a informațiilor.................................................................................. 83
3.2.1. Prezentarea conceptului de politică de securitate a informațiilor. Tipuri de politici........ 83
3.2.2. Structura politicii de securitate a informațiilor................................................................. 86
3.2.3. Etapele dezvoltării politicilor de securitate....................................................................... 93
3.2.4. Studiu privind stabilirea unui model de politică de securitate a informațiilor clasificate. 97
4. C PIT LUL 4. E I ȚĂ ILE L D ES SECU ITĂȚII
I F ȚIIL ........................................................................................................ 123
4.1. Definiții, terminologie....................................................................................................... 123

4.2. Tehnici pentru identificarea amenințărilor........................................................................ 128

4.3. Frauda, furtul, sabotajul și spionajul. Principalele caracteristici și modalitățile de
manifestare........................................................................................................................ 131
4.4. Amenințarea internă, hackerul, codul rău-intenționat, erorile și omisiunile. Principalele
caracteristici și modalitățile de manifestare...................................................................... 145
4.5. Studiu cu privire la stabilirea profilului insider................................................................ 153
5. C PIT LUL 5. VUL E BILITĂȚILE L D ES SECU ITĂȚII
I F ȚIIL ......................................................................................................... 173
5.1. Prezentarea conceptului.................................................................................................... 173
5.2. Clasificarea vulnerabilităților............................................................................................ 176

5.3. Identificarea vulnerabilităților........................................................................................... 182

5.4. Diferența dintre amenințări și vulnerabilități.................................................................... 184

II
 6. C PIT LUL 6. GE E TUL ISCULUI L D ES SECU ITĂȚII
I F ȚIIL ......................................................................................................... 189
6.1. Riscul și managementul riscului. Considerații generale.................................................. 189
6.2. Nivelurile managementului de risc................................................................................... 195
6.3. Componentele managementului de risc. Prezentare generală........................................... 200

6.4. Cadrul managementului de risc......................................................................................... 202

6.5. Evaluarea riscului.............................................................................................................. 203

6.5.1. Prezentarea procesului de evaluare a riscului................................................................... 203

6.5.2. Pregătirea pentru evaluarea riscului.................................................................................. 204
6.5.3. Efectuarea evaluării riscului.............................................................................................. 206

6.5.4. Comunicarea rezultatelor evaluării riscului...................................................................... 215

6.5.5. Menținerea evaluării riscului............................................................................................. 217

6.6. Răspunsul la risc............................................................................................................... 219

6.7. Monitorizarea riscului....................................................................................................... 223
6.8. Comparație între principalele reglementări care privesc managementul de risc.............. 225
7. CAPITOLUL 7. C CLUZII ȘI P PU E I......................................................... 229
7.1. Concluzii........................................................................................................................... 229
7.2. Propuneri........................................................................................................................... 247
7.2.1. Propuneri de lege ferenda................................................................................................. 247
7.2.2. Propunere Standard ocupațional pentru educație și formare profesională – Funcționar
de securitate pentru protecția informațiilor clasificate...................................................... 256
Bibliografie...................................................................................................... 269

III
 ARGUMENT

Apărarea și siguranța națională, respectiv ordinea și liniștea publică reprezintă pietrele de

temelie ale securității naționale, văzută drept ‖starea de legalitate, de echilibru și de stabilitate
socială, economică și politică necesară existenței și dezvoltării statului național român ca stat
suveran, unitar, independent și indivizibil, menținerii ordinii de drept, precum și a climatului de
exercitare neîngrădită a drepturilor, libertăților și îndatoririlor fundamentale ale cetățenilor,
potrivit principiilor și normelor democratice statornicite prin Constituție‖1.
Din această perspectivă, salvgardarea valorilor ce definesc conceptul multidimensional de
securitate națională reprezintă, cu necesitate, cel mai important ideal pentru toți cetățenii
României.
Instituțiile statului, îndeosebi cele cu atribuții specifice în domeniu, trebuie să manifeste
interes pentru cunoașterea amenințărilor, riscurilor și vulnerabilităților la adresa informațiilor ce
privesc securitatea națională și, totodată să se adapteze continuu la evoluția permanentă a
acestora.
În prezent, statele lumii se confruntă cu o paletă largă de amenințări la adresa securității
informațiilor sensibile, care pe fondul exploatării vulnerabilităților interne și a altor factori de
mediu pot favoriza sau determina materializarea amenințărilor și apariția de riscuri semnificative,
cu impact regional sau internațional.
Prevenirea și combaterea amenințărilor la adresa securității naționale este principala
atribuție a instituțiilor care lucrează în domeniul de siguranță2 și securitate3 (informații,
contrainformații și securitate4), precum și a celor care asigură aplicarea legii (activitatea
polițienească).
Un lucru cert este faptul că toate instituțiile din sistemul de securitate națională trebuie să
contracareze amenințările de securitate ori pe cele care favorizează sau predispun la comiterea de
activități îndreptate împotriva securități statului, precum și pe posibilii vectori responsabili de
asemenea acțiuni (persoane, grupuri de persoane, organizații, entități statale).

1
art. 1 din Legea 51/1991 privind securitatea națională a României, republicată în 2014
2
http://www.presidency.ro/static/ordine/CSAT/Proiect_Lege_activitate_informatii-contrainformatii.pdf
3
Ibidem, cap. VI. Se face referire la activitatea de securitate
4
Intelligence / counterintelligence (limba engleză)
1
 Activitatea de realizare a securității informațiilor este din ce în ce mai complexă,
necesitând cât mai muți specialiști și cooperare inter-instituțională, în efortul de prevenire și
contracarare a amenințărilor și riscurilor în domeniu.
Pe de altă parte, pentru ca această activitate să fie eficientă trebuie să fie dublată de un
cadru legislativ modern, actualizat în permanență și care să fie adaptat la provocările actuale
specifice domeniului securității informațiilor.
Evoluția permanentă a tehnologiei, dublată de expertiza bogată a celor care lansează
atacuri asupra securității informațiilor, reprezintă o motivație în plus pentru realizarea unui cadru
legal competitiv și atragerea celor mai buni specialiști în domeniu pentru a putea combate
eficient acțiunile care vizează obținerea datelor sensibile.
Dintr-o simplă analiză a principalelor acte normative existente pe segmentul de protecție a
informațiilor clasificate, respectiv Legea nr. 182/2002, HG nr. 353/2002, HG nr. 585/2002 și
HG nr. 781/2002, se poate constata cu ușurință faptul că ne confruntăm cu o legislație învechită,
care datează de aproximativ 15 ani, care nu este actualizată și care, în plus, în foarte multe
situații, este interpretabilă și lacunară.
Pornind de la această constatare, SCOPUL principal al lucrării îl reprezintă actualizarea
cadrului normativ în domeniul protecției informațiilor clasificate cu acele aspecte care îi lipsesc
pentru a putea răspunde provocărilor actuale care se manifestă la adresa securității informațiilor.
Cu alte cuvinte, doresc prin intermediul acestei cercetări să reformez din temelie întregul
sistem național de protecție a informațiilor clasificate, prin adaptarea sa la riscurile,
vulnerabilitățile și amenințările actuale care se manifestă la adresa securității informațiilor.
Pentru ca scopul propus să fie eficient, unul dintre punctele de plecare în această cercetare
este reprezentat de identificarea principalelor provocări cu care ne confruntăm în planul
asigurării securității informațiilor.
Ulterior, cercetarea se va orienta pe identificarea unor soluții adecvate de rezolvare a
problemelor inerente acestui domeniu de nișă pentru securitatea națională și nu numai.
Pentru a răspunde eficient la multitudinea de provocări din domeniul securității
informațiilor, în primul rând trebuie să cunoaștem în detaliu aspectele teoretice și practice
circumscrise acestui sector de acțiune.
Această activitate complexă presupune pe lângă stăpânirea domeniului menționat, care se
referă în principal la aplicarea în practică a celor mai moderne metode și mijloace de combatere a

2
riscurilor și vulnerabilităților care se manifestă la adresa informațiilor clasificate dar și asupra
altor categorii de informații nedestinate publicității și deținerea de cunoștințe teoretice și practice
din alte domenii conexe, precum IT sau managementul riscului.
Conform celor anterior menționate, dacă ne propunem să asigurăm o securitate eficientă a
informațiilor trebuie să dispunem de o cunoaștere detaliată a legislației în domeniul tuturor
tipurilor de informații care necesită protecție (clasificate, date personale, informații nepublice),
astfel încât să putem fi capabili să înțelegem cerințele, limitările și mijloacele pe care le putem
utiliza în vederea rezolvării cazuisticii aflate în competență. Necunoașterea legislației și
imposibilitatea de a o interpreta pun în dificultate demersul de asigurare a securității, al cărui
scop este de a oferi răspunsuri plauzibile, întemeiate legal la provocările actuale cu care ne
confruntăm.
Pe de altă parte, trebuie să cunoaștem în detaliu cum funcționează sistemul asupra căruia se
manifestă riscurile, amenințările și vulnerabilitățile, pentru a putea alege cele mai adecvate
măsuri de securitate.
De asemenea, pornind de la caracterul preponderent de prevenție pe care îl presupune
activitatea de securitate a informațiilor, trebuie să fim la curent cu strategiile implementate a
măsurilor de securitate în domeniu, pentru a putea preveni și reduce riscurile de securitate.
Pe lângă stăpânirea domeniului de referință, exact cum am precizat anterior, trebuie să
deținem cunoștințe solide și din domenii conexe celui de securitate a informațiilor, dintre care
cele mai importante sunt IT-ul și managementul riscului. Aceste două discipline furnizează
cunoștințe rezultate din cercetarea științifică privind riscurile și vulnerabilitățile actuale, fiind de
un real folos în conturarea imaginii de ansamblu a fenomenelor care se manifestă la adresa
securității informațiilor.
Astfel, se identifică rolul teoretic și practic al celor două domenii, felul în care mediul
academic și practicienii au reacționat la noile provocări în materie, precum și soluțiile propuse
pentru eficientizarea activităților de prevenire și combatere a amenințărilor și riscurilor de
securitate.
Se poate elabora un nou model de sistem de protecție a informațiilor clasificate, care să
propună soluții eficace și eficiente în combatere a riscurilor, amenințărilor și vulnerabilităților.
Pornind de la aceste aspecte, apreciez că OBIECTUL central al cercetării este reprezentat
de identificarea acelor riscuri, vulnerabilități și amenințări moderne care vizează sistemul de

3
protecție al informațiilor, dar și de propunerea unor soluții viabile care să asigure contracararea
acestora.
TIV ȚI TE EI LESE are la bază două idei principale, aflate într-o corelație
foarte strânsă, astfel:
1. în primul rând este vorba de percepția doctorandului, cu o experiență de peste 10 ani în
domeniul protecție informațiilor clasificate dobândită în cadrul unei Autorități Desemnate de
Securitate, că actualul cadru legislativ este învechit și necesită o actualizare cât mai urgentă și
2. în al doilea rând, este vorba de capacitatea doctorandului de a putea contribui la
îmbunătățirea legislației actuale prin realizarea unor propuneri eficiente care să aibă ca finalitate
realizarea unui cadru legislativ modern și competitiv.
Pornind de la motivație, cercetarea își propune evaluarea întregului sistem național de
protecție a informațiilor clasificate în vederea îmbunătățirii lui, prin studirea comparată a actelor
normative în domeniu dar și a standardelor internaționale pe acest specific și a practicilor
naționale și internaționale de actualitate pe acest segment de activitate.
Finalitatea cercetării vizează regândirea și implementarea unui sitem național de protecție a
informațiilor clasificate îmbunătațit, care să aibă la bază ultimele tendințe în domeniu și care să
asigure o securitate adecvată a informațiilor.
OBIECTIVELE care se conturează, având în vedere aspectele menționate, sunt
următoarele:
 o analiză detaliată a actelor normative în domeniu, care să conducă la identificare
principalelor deficiențe legislative;
 studierea standardelor internaționale în domeniu, care să aibă ca scop identificarea
măsurilor de protecție care pot fi incluse în sistemul de protecție a informațiilor clasificate;
 studierea celor mai recente studii și practici în domeniu, în vederea identificării
noutăților și evoluțiilor pe acest segment de activitate, care să fie avute în vedere la realizarea
sitemului de securitate a informațiilor;
 identificarea aspectelor care să contribuie la îmbunătățirea eficientă a actualului sistem
de protecție a informațiilor clasificate.
IPOTEZA de la care începe cercetarea științifică este că elaborarea unui sistem de
protecție a informațiilor modern și competitiv poate susține eficient politicile și strategiile de

4
securitate a informațiilor, prin contracararea riscurilor, amenințărilor și vulnerabilităților care
se manifestă.
În vederea validării ipotezei, am ales să folosesc următoarele ET DE ȘI TEH ICI DE
CERCETARE:
Metoda documentării bibliografice cu ajutorul căreia am identificat principalele surse de
documentare. Ulterior, am examinat în mod sumar conținutul lucrărilor și am sumarizat
elementele-cheie rezultate de la alți teoreticieni. În acest fel mi-am actualizat cunoștințele în
domeniu de așa natură încât să pot face o evaluare cât mai exactă a stadiului curent al cercetării.
De asemenea, din sursele bibliografice studiate în domeniul protecției informațiilor
clasificate am înceract să-mi clarific ipoteza conform căreia disciplina de protecție a
informațiilor reprezintă o provocare continuă datorită modernizării rapide a tehnologiei ca
principal mijloc de circulație a informațiilor, care la rândul ei, impune modificări frecvente ale
riscurilor, amenințărilor și vulnerabilităților la adresa securității datelor.
Astfel, am selectat lucrări cu relevanță privind dezvoltarea în timp a domeniului de
securitate a informațiilor clasificate și factorii care au determinat apariția acestei discipline.
Totodată, o atenție deosebită am acordat istoriei securității informațiilor în țara noastră, așa cum
este înfățișată de teoreticieni ai domeniului, pentru a înțelege mai bine evoluția provocărilor, dar
și a măsurilor de securitate.
Tot în scopul validării ipotezei, am folosit și metoda studiului de caz, a cărei scopuri au
fost diverse, astfel:
 analiza conținutului existent în documentația întocmită pe linia securității informațiilor
la nivelul diverselor entități pentru a observa diferențele și asemănările existente, conformitatea
cu legislația în vigoare și nu în ultimul rând pentru identificarea unei soluții practicecare să se
poată aplica în mod unitar;
 analiza unor studii și lucrări științifice realizate pe aceeași problematică în vederea
stabilirii unor coordonate comune care să se concretizeze într-o soluție viabilă pentru asigurarea
securității.
Nu în ultimul rând, am folosit pentru cercetare și metoda comparării prevederilor similare
cuprinse în actele normative care legiferează domeniul protecției informațiilor clasificate, pentru
a stabili principalele neconcordanțe existente cu privire la terminologia specifică, deficiențele

5
existente în aplicarea procedurilor de lucru specifice dar și pentru identificarea prevederilor
interpretabile și lacunare.
De asemenea, metoda a fost utilizată și pentru compararea legislației cu privire la protecția
informațiilor naționale clasificate, cu prevederile normelor referitoare la protecția informațiilor
NATO/UE clasificate, create în concordanță cu normativele internaționale, având ca scop final
stabilirea conformității cu acestea din urmă și eliminarea neconcordanțelor existente.
I V ȚI ȘTII ȚIFICĂ LUC Ă II este reprezentată de faptul că reprezintă o
noutate în literatura științifică de profil din țara noastră, prin aceea că spre deosebire de
majoritatea cercetărilor în domeniu, care abordează securitatea datelor în general, teza vizează
doar segmentul de securitate a informațiilor clasificate, apreciat ca fiind cel mai sensibil prin
prisma importanței acestor tipuri de date, în special pentru securitatea națională.
De asemenea, teza se axează pe îmbinarea cunoștințelor teoretice cu cele practice,
urmărește modalitățile de punere în practicăa prevederilor legale, pentru a semnala situațiile în
care sunt constatate deficiențe din acest punct de vedere, care, eventual, în viitorul apropiat să
poată fi dezbătute în cadrul unor grupuri de lucru formate din reprezentanți ai Autorității
Nașionale de Securitate și Autorităților Desemnate de Securitate, care să aibă ca scop reformarea
cadrului legal actual.
STADIUL ACTUAL AL CU ȘTE II TE EI DE CE CET E
La nivel internațional, în prezent, există o multitudine de cercetări științifice în domeniul
riscurilor, amenințărilor și vulnerabilităților care se manifestă la adresa securității datelor, însă
niciuna nu abordează segmentul de securitate a informațiilor clasificate.
Același lucru l-am costatat și în cazul standardelor internaționale existente pe domeniul
securității informațiilor și al studiilor realizate pe acest segment de activitate.
La nivel național, am constatat că cercetările sau lucrările științifice pe linie de securitate
a informațiilor sunt într-un număr restrâns iar eforturile depuse pe acest segment de activitate
sunt puține comparativ cu multitudinea de provocări care se află în continuă creștere.
Toate aceste aspecte nu fac decât să atragă atenția asupra necesității de întregire a
literaturii române de specialitate în ce privește disciplina de securitate a informațiilor, context
care justifică pe deplin apariția prezentei lucrări, prin prisma elementelor teoretice cu caracter de
noutate propuse dar și a soluțiilor eficiente identificate în vederea realizării unei securități
eficiente.

6
 C ȚI UTUL TEZEI

Teza este formată din 7 capitole, dintre care ultimul reprezintă esența acestei lucrări
științifice, reunind toate concluziile și propunerile rezultate pe parcursul cercetării.
CAPITOLUL 1, intitulat ―Elemente de legislație în activitatea de protecției a
informațiilor clasificate‖ se axează în principal pe identificarea deficiențelor existente în
sistemul de protecție a informațiilor clasificate și propunerea de soluții practice în vederea
remedierii acestora.
În acest sens, au fost realizate trei studii de cercetare, dintre care două au vizat
clasificarea informațiilor și unul măsurile de protecție fizică, a căror finalitate a constat în
propunerea unui ghid de unic de clasificare a informațiilor naționale și a unui ghid privind
implementare măsurilor de protecție fizică a informațiilor naționale clasificate.
În cadrul CAPITOLULUI 2, intitulat ―Structurile cu responsabilități în asigurarea
securității informațiilor clasificate‖ au fost analizate în detaliu atribuțiile prevăzute de legislația
în vigoare pentru principalele strucuri implicate în realizarea protecției informațiilor clasificate la
nivel național, realizându-se o serie de propuneri în vederea modificării și completării acestora.
O mare parte din capitol a fost dedicată analizei și studierii rolului, criteriilor și
condițiilor pe care trebuie să le îndeplinească funcționarul de securitate și membrii structurii de
securitate, care au un rol definitoriu în implementarea securității la nivelul oricărei entități.
Cercetarea realizată pe această problematică a vizat, pe de o parte, analizarea și studierea
atribuțiilor prevăzute de legislația actuală pentru funcționarul/structura de securitate și pe de altă
parte, modalitatea de încadrare, în prezent, a personalului în cadrul structurilor de securitate.
În ceea ce privește prima situație, finalitatea cercetării a constat în propunerea de
înlocuire a atribuțiilor prevăzute în standardele naționale de protecție a informațiilor clasificate
cu sarcini organizate pe fiecare componentă a sistemului de protecție, care să acopere astfel tot
domeniul de protecție a informațiilor clasificate, în timp ce, în a doua situație, a fost realizat un
studiu a cărui finalitate a constat în propunerea unui standard ocupațional pentru funcționarul de
securitate.
CAPITOLUL 3, intitulat ―Strategii manageriale de asigurare a protecției informațiilor
clasificate‖, abordează două problematici cu rol caplital în asigurarea protecției informațiilor,
care constau în guvernață și politică de securitate.
7
 Scopul acestui capitol este de a prezenta cât mai clar rolul pe care îl îndeplinesc aceste
două documente în asigurarea securității informațiilor, precum și necesitatea introducerii
acestora în cadrul documentației de securitate specifice protecției informațiilor clasificate.
În acest sens, am realizat două studii care au vizat forma și conținutul pe care trebuie să le
îndeplinească guvernanța și politica de securitate, conform celor mai recente practici și
reglementări în domeniul securității, în urma cărora am propus modele de astfel de documente,
care să poată fi utilizate de toate entitățile care își implementează măsuri de securitate.
În cadrul CAPITOLULUI 4, intitulat ―Amenințările la adresa securității informațiilor‖,
sunt abordate în detaliu cele mai recente și mai răspândite amenințări care vizează informațiile,
cu scopul de a surpinde principalele caracteristici și forme de manifestare ale acestora, în vederea
cunoașterii lor cât mai amănunțite.
O atenție deosebită este acordată studierii și analizării amenințării interne (insiderului), pe
care o consider cel mai devastator tip de amenințare, sens în care am realizat un studiu cu privire
la stabilirea profilului insider, pornind de la cele mai recente informații existente cu privire la
această problematică.
Propunerea de profil insider rezultată, consider că poate fi utilizată de
funcționarul/structura de securitate la îndeplinirea atribuției de stabilirea a riscurilor existente în
sistemul de protecție a informațiillor.
CAPITOLUL 5, intitulat ―Vulnerbilitățile la adresa securității informațiilor‖, abordează
conceptul de vulnerabilitate prin prisma principalelor cercetări realizate cu privire la această
problematică și are ca scop prezentarea celor mai cunoscute tipuri de vulnerabilități, a
caracteristicilor acestora, precum și a principalelor metode de identificare.
În CAPITOLUL 6, intitulat ―Managementul riscului la adresa securității informațiilor‖,
este studiat și analizat în detaliu procesul de management al riscului, utilizând metodologiile
NIST.
Cea mai importantă parte a acestei cercetări este dedicată evaluării riscului, sens în care
este abordată în detaliu fiecare componentă a acestui proces în parte, pentru o înțelegere cât mai
clară a modalității de realizare a acestei activități.
CAPITOLUL 7, intitulat ―Concluzii și propuneri‖, cuprinde următoarele concluzii:
1. Definirea informațiilor clasificate este incompletă și insuficientă pentru încadrarea
corectă a datelor în clase și niveluri de secretizare.

8
 Din analiza realizată în cadrul cercetării a rezultat că prevederile Legii nr. 182/2002
referitoare la definirea și încadrarea informațiilor în clase și niveluri de secretizare sunt
insuficiente și neclare și pot ridica oricând suspiciuni cu privire la clasificarea corectă a
informațiilor.
Primele deficiențe legislative constatate rezultă din definirea informațiilor clasificate,
realizată în cadrul art. 15, lit. b), ocazie cu care am constatat că acestea se referă doar la
informațiile secrete de stat, fără a cuprinde și secretele de serviciu.
Probleme de ordin legislativ au fost semnalate și cu ocazia definirii secretelor de stat și
secretelor de serviciu, în sensul că pentru principalul criteriu care stă la baza clasificării unor
asemenea date, care este reprezentat de prejudiciul produs pe fondul diseminării neautorizate, nu
sunt prevăzute detalii suplimentare cu privire la modalitatea de stabilire, criterii de evaluare sau
exemplificări, aspecte care să garanteze clasificarea corectă a datelor.
Pentru ca situația să devină și mai neclară, Legea nr. 182/2002 prevede la art. 17 o listă de
informații secrete de stat, cu caracter general, fără a exista o delimitare a nivelurilor de
secretizare, care ar trebui să reprezinte punctul de plecare în stabilirea listelor de informații de
către toate entitățile deținătoare de astfel de date.
Din analiza acestei liste am constatat că informațiile prevăzute nu sunt organizate pe
niveluri de secretizare și se referă doar la tipurile de date utilizate de autorităţile publice care fac
parte din sistemul de securitate națională, ceea ce înseamnă, la nivel național, o foarte mică parte
din entitățile care dețin informații clasificate.
Toate aceste aspecte constatate nu pot decât să conducă cu ușurință la interpretări abuzive,
decizii discreționare, care pot scoate informațiile din sfera datelor de interes public, fără a avea la
bază o motivație pertinentă. De asemenea, poate exista riscul unei spra/sub-clasificări a
informațiilor, care pot avea ca și consecințe imediate restricționarea nejustificată a accesului la
anumite date al căror nivel de secretizare este crescut artficial sau din contră, accesul nejustificat
la anumite documente care dacă ar fi fost clasificate corect nu ar fi putut fi accesate.
Având în vedere cele prezentate, în vederea propunerii unor soluții viabile care să conducă
la realizarea unei clasificări cât mai corecte a informațiilor clasificate, pe clase și niveluri de
secretizare și care în același timp să cuprindă datele existente la nivelul tuturor entităților din
România, am identificat următoarele soluții:

9
 1) pentru stabilirea unor criterii de evaluare a informațiilor în vederea încadrării în clase și
niveluri de secretizare - analizarea cadrului legislativ din două state membre UE, cu expertiză
mare în domeniul protecției informațiilor clasificate, sens în care consider că sunt de referință
legislațiile din Anglia și Franța;
2) în vederea stabilirii unei liste cu informațiilor clasificate, care să fie organizată pe clase
și niveluri de secretizare – analizarea cadrului legislativ din Republica Cehă, care consider că are
multe similitudini cu legislația națională și în care am sesizat prezența unor prevederi care pot fi
adaptate cu ușurință sistemului național de protecție a informațiilor clasificate.
În privința primei situații am constatat că, atât în legislația engleză, cât și în legislația
franceză, criteriile de evaluare a informațiilor în vederea atribuirii unui nivel de clasificare sunt
similare.
Având în vedere aceste date, consider că pentru eliminarea imperfecțiunilor legislative
este necesară completarea prevederilor actuale cu criterii de evaluare a informațiilor,
individualizate pe fiecare nivel de clasificare în parte, similare celor existente în normele statelor
care au fost utilizate pentru analiză.
Din cea de-a doua situație analizată am constatat, în primul rând, faptul că evaluarea
informațiilor în vederea includerii într-un nivel de clasificare se realizează în baza unor criterii
similare celor utilizate în legislația engleză și franceză, ceea ce întărește convingerea că este
necesară includerea unor asemenea criterii și în legislația națională.
În al doilea rând, am constatat necesitatea modificării listei cu informații secrete de stat
prevăzută în Legea nr. 182/2002 cu o listă de informații, organizată pe clase și niveluri de
secretizare, având la bază modelul ceh, care să cuprindă atât tipuri de informații clasificate, cu
caracter general, care se regăsesc la nivelul tuturor entităților, cât și categorii de informații
clasificate care se regăsesc numai la nivelul unor instituții.
În acest fel ar fi elaborată o listă completă, care ar cuprinde toate informațiile clasificate
existente la nivel național, care ar fi publică și căreia nu i s-ar putea contesta legalitatea.
În vederea realizării acestei propuneri în cele mai bune condiții este necesară elaborarea
unui Ghid de clasificare a informațiilor, care să aibă rolul de a îndruma ministerele cu privire la
clasificarea informațiilor și întocmirea listei cu informații clasificate.

10
 Ulterior datele rezultate în urma acestui proces vor fi centralizate în cadrul listei cu
informațiile clasificate existente la nivel național și care va înlocui lista actuală prevăzută de
art. 17 din Legea nr. 182/2002.
2. Prevederile în vigoare referitoare la componența sistemului naţional de protecţie a
informaţiilor sunt incomplete.
Componente/domenii ale sistemului naţional de protecţie a informaţiilor (SNPI) prevăzute
de art. 9 din Legea nr. 182/2002 consatu în protecţia juridică, protecţia prin măsuri procedurale,
protecţia fizică, protecţia personalului care are acces la informaţiile clasificate ori este desemnat
să asigure securitatea acestora și protecţia surselor generatoare de informaţii.
Din analiza realizată în cursul cercetării am identificat și alte componente ale SNPI, care
sunt omise în conținutul Legii nr. 182/2002 și care constau în:
- securitatea industrială, care reprezintă sistemul de norme şi măsuri care se aplică
protecției informaţiilor clasificate în domeniul activităţilor contractuale, conform definiției din
art. 3 din HG nr. 585/2002;
- protecția documentelor clasificate, care să reprezinte regulile generale privind evidența,
întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea şi
distrugerea informaţiilor clasificate și regulile de identificare şi marcare, inscripționările şi
menţiunile obligatorii pe documentele clasificate, cerinţele de evidență a numerelor de exemplare
şi a destinatarilor, termenele şi regimul de păstrare, interdicţiile de reproducere şi de circulație.
Conform celor menționate, consider că prevederile legislative actuale referitoate la
componența sistemului de protecție a informațiilor clasificate necesită, trebuie să fie completate
cu cele două componente identificate în cursul cercetării.
3. Existența a două tipuri de documente de acces la informațiile naționale clasificate
creează confuzii și neînțelegeri cu ocazia solicitării accesului la asemenea date.
Un alt aspect de interes care a ieșit în evidență în urma cercetării se referă la documentele
de acces la informații clasificate.
În legislația națională există două tipuri de documente de acces la informații clasificate,
constând în autorizația de acces și certificatul de securitate.
Din analiza regulilor prevăzute în ceea ce privește informațiile NATO clasificate, se
constată existența unui singur tip de document de acces și anume certificatul de securitate.

11
 Având în vedere faptul că legislația privind protecția informațiilor NATO clasificate a fost
creată în concordanță cu normele internaționale în domeniu, consider că și legislația privind
protecția informațiilor clasificate naționale trebuie să conțină prevederi similare.
În acest sens, consider că este necesară modificarea reglementărilor actuale din
HG nr. 585/2002, în sensul prevederii unui singur document de acces și anume a certificatului de
securitate.
4. ADS-urile au atribuții reduse din punct de vedere al protecției juridice, context
care nu le permite o implicare corespunzătoare în investigarea și monitorizarea
incidentelor de securitate.
Aspecte cercetate cu privire la protecția juridică au scos în evidență faptul că în cazul
producerii unor incidente de securitate la nivelul entităților din aria de competență, ADS-urile nu
se pot implica în cercetarea acestor evenimente sens în care se impune completarea cadrului
legislativ actual cu atribuții sporite, în sensul de a participa împreună cu reprezentanţii
structurilor implicate la cercetarea cazurilor de încălcare a reglementărilor în domeniul
protecției informațiilor clasificate, de a gestiona împreună incidentele de securitate și de a
propune împreună măsuri de limitare a consecinţelor.
5. Prevederile legale referitoare la modalitatea de elaborare a documentației de
securitate sunt incomplete.
Din cercetare a rezultat că pentru întocmirea normelor interne de lucru, nu sunt prevăzute
detalii suplimentare cu privire la conținutul unui asemenea document sau un un model în baza
căruia să fie întocmit, așa cum este prevăzut în cazul programului de prevenire a scurgerii de
informații clasificate.
Din acest punct de vedere, cercetarea propune ca soluție practică în vederea acoperirii
imperfecțiunilor legislative, completarea prevederilor referitoare la întocmirea normelor interne
cu detalii suplimentare cu privire la conținutul documentului.
6. ăsurile de protecție fizică nu sunt prevăzute în mod concret pentru fiecare
categorie de zonă în care se gestionează informații clasificate, ceea ce crează premisele unei
implementări superficiale a acestora dar și apariția unor riscuri de securitate, pe fondul
asigurării unei protecții necorespunzătoare.
Din cercetarea efectuată a rezultat că, în legislația actuală, măsurile de protecție fizică sunt
enumerate la modul general, fără a fi prevăzute criterii de repartizare a acestora în funcție de

12
clasificarea spațiilor în care se gestionează informații clasificate sau de clasa/nivelul de
secretizare al datelor.
În vederea identificării unei soluții în ceea ce privește stabilirea măsurilor de protecție
fizică necesare la nivelul zonelor de securitate/administrative am analizat modelul care se aplică
în Franța.
În acest sens, am constatat că metoda utilizată de legislația franceză pentru organizarea
protecție fizice într-o entitate se bazează pe gruparea locurilor de păstrare în trei categorii (clădiri
și terenuri, incinte, containere) și clasificarea lor pe 4 niveluri, în funcție de gradul de rezistență
la tentativa de efracție.
Datele rezultate în urma clasificării se combină matricial, rezultând măsuri de protecție
fizică, corespunzătoare fiecărui nivel de clasificare al informațiilor.
Din analiza legislației naționale, am constatat că existența unor prevederi similare cu cele
din legislația franceză, cu privire la clasificarea celor trei categorii de locuri de păstrare - clădiri
și terenuri, incinte și containere.
Pornind de la această asemănare și înlocuind nivelurile de clasificare a informațiilor din
Franța cu cele corespondente din România, am utilizat modelul matriceal specific legislației
franceze pentru a obține măsurile de protecție fizică corespunzătoare fiecărui nivel de clasificare
național.
Având în vedere faptul că acest model de implementare a măsurilor de protecție fizică
propus este mult mai bine organizat, sens în care cuprinde măsuri concrete pentru fiecare nivel
de secretizare, fiind mult mai bun comparativ cu cel existent în prezent în legislația din România,
consider că stabilirea măsurilor de protecție fizică a informațiilor naționale clasificate.
În acest sens, consider oportună includerea modelului de implementare a măsurilor de
protecție fizică într-un Ghid de implementare a măsurilor de protecție fizică, care să fie utilizat la
stabilirea măsurilor respective de toate entitățile deținătoare de asemenea informații.
7. u sunt prevăzute modalități de identificare a riscului de securitate în ceea ce
privește verificările de securitate a persoanelor în vederea acordării accesului la informații
clasificate.
Au fost identificate două situații distincte în care se utilizează sintagma riscuri de
secuirtate, fără a fi prevăzute detalii suplimentare cu privire la sensul său sau interpretarea sa.

13
 În prima situație s-a constatat utilizarea terminologiei în contextul în care este necesară
identificarea lor în cadrul verificărior de securitate.
În acest sens au fost identificate următoarele prevederi - art. 147, art. 163, alin. (2), lit. c),
art. 164, alin. (1), art. 165, art. 167, alin. (2) și art. 168 din Anexa la HG nr. 585/2002.
Analizând toate aceste prevederi în funcție de scopul principal al verificărilor de securitate,
care constă în identificarea elementelor de identificare prevăzute de art. 159 și 160 din HG nr.
585/2002, consider că este necesară înlocuirea sintagmeni riscuri de securitate din toate
prevederile menționate cu elemente de incompatibilitate.
În a doua situație, sintagma este identificată ca și criteriu de evaluare a compatibilităţii în
acordarea avizului pentru eliberarea certificatului de securitate/autorizaţiei de acces (art. 158,
alin. (1) din HG nr. 585/2002), context în care riscurile de securitate necesită a fi stabilite în
urma realizării analizei de risc.
8. Prevederile referitoare la securitatea industrială nu se aplică în cazul activităților
contractuale care presupun accesul la informații clasificate secrete de serviciu, conform
legislației în vigoare.
Deși HG nr. 585/2002 la art. 198 prevede faptul că securitatea industrială se aplică tuturor
persoanelor juridice de drept public sau privat care desfăşoară ori solicită să desfăşoare activităţi
contractuale ce presupun accesul la informaţii clasificate, în ceea ce privește activităţi
contractuale care presupun accesul la informaţii clasificate secrete de serviciu, nu sunt prevăzute
aspecte care să reglementeze acest segment.
Pentru acoperirea acestei deficiențe legislative, este necesară completarea actualului cadru
legislativ cu prevederi similare cu cele cuprinse în Secțiunea a 4-a Capitolului VI din OMApN
nr. M.9/2013.
9. eglementările în materie de I F SEC nu se aplică și în cazul secretelor de
serviciu, conform legislației actuale.
Prevederile referitoare la protecția surselor generatoare de informaţii, ca și în cazul
securității industriale, prezintă deficiențe din punct de vedere legislativ în ceea ce privește
aplicabilitatea sa și în cazul secretelor de serviciu.
Deși art. 259, alin. (1) din HG nr. 585/2002 menționează că măsurile de protecţie a
informaţiilor clasificate în format electronic se aplică sistemelor care stochează, procesează sau
transmit asemenea informaţii, în cuprinsul HG nr. 781/2002 (care menționează ce prevederi din

14
HG nr. 585/2002, se aplică informațiilor secrete de serviciu) nu au fost identificate reglementări
conform cărora aspectele pe linie de INFOSEC trebuie să se aplice și secretelor de serviciu.
Modalitatea cea mai simplă de îndreptare a acestei deficiențe legislative constă în
completarea art. 1 din HG nr. 781/2002 cu Protecţia surselor generatoare de informaţii –
INFOSEC.
10. Există o suprapunere de atribuții între ISS și S I din punct de vedere al
atribuției de reglementare.
Cercetarea a evidențiat faptul că în legislația națională există o suprapunere de atribuții
între ORNISS, în calitate de ANS și SRI, în calitate de ADS, care necesită a fi remediată pentru a
nu crea confuzii și interpretări greșite.
În primul rând, este vorba de atribuția de elaborarea de norme privind protecția
informațiilor clasificate, care este menționată atât în cazul ORNISS, la art. 1, alin. (4), lit. b) din
OUG nr. 153/2002, cât și în situația SRI, la art. 34, lit. a) din HG nr. 585/2002.
Având în vedere că ORNISS asigură implementarea unitară, la nivel național, a măsurilor
de securitate a informațiilor naționale clasificate, este necesar ca atribuțiile de reglementare să
fie exercitate doar de ANS.
În ceea ce privește rolul SRI, se constată că este necesar să spijine ORNISS, împreună cu
celelalte structuri cu calitate similară (ADS-urile), în îndeplinirea atribuției de reglementare în
domeniul protecției informațiilor clasificate.
Din acest punct de vedere, cercetarea propune modificarea prevederilor art. 34, lit. a) din
Legea nr. 182/2002 cu privire la atribuția de reglementare a SRI, conform precizărilor anterioare.
11. Există neconcordanțe între actele normative naționale cu privire la atribuția
ISS de decizie în eliberarea documentelor de acces la informații clasificate.
Referitor la ORNISS, în cursul cercetării s-a constata faptul că atribuția de aprobarea
eliberării certificatelor de securitate pentru acces la informații naționale clasificate, prevăzută de
art. 1, alin. (4), lit. e) din OUG nr. 153/2002 este în neconcordanță cu prevederile art. 151,
alin. (1) din HG nr. 585/2002, care menționează că ORNISS va decide asupra acordării
certificatului de securitate/autorizaţiei de acces.
Din acest punct de vedere, este necesară modificarea atribuției ORNISS menționată în
art. 1, alin. (4), lit. e) din OUG nr. 153/2002, conform precizărilor anterioare.
12. Există neclarități legislative în ceea ce privește competența S I.

15
 Din analiza realizată în ceea ce privește stabilirea competenței SRI s-a constatat că
prevederile legale actuale sunt neclare, sens în care s-a constatat că art. 34 din Legea
nr. 182/2002 prevede că se referă la autorităților publice din sfera de competență, fără a se
individualiza care sunt aceste entități.
Punctul de plecare în lămurirea cu exactitate a arie de competență este reprezentat de
prevederile art. 152 din HG nr. 585/2002, care cuprinde competențele ADS-urilor în ceea ce
privește efectuarea verificărilor de securitate.
Conform acestor prevederi, putem considera că SRI are competență în cazul entităților,
care nu sunt în coordonarea celorlalte ADS-uri stabilite prin lege.
În acest sens, toate atribuțiile prevăzute de art. 34 din Legea nr. 182/2002, în care se
folosește sintagma autorități publice necesită a fi completate cu sintagma ‖care nu sunt în
coordonarea altor ADS-uri‖.
13. Există suprapuneri de atribuții între S I și ISS, în legislația actuală.
Art. 25, alin. (1) din lege prevede că SRI realizează coordonarea generală a activităţii si
controlul măsurilor privitoare la protecţia informaţiilor secrete de stat, în timp ce prevederile art.
1, alin. (2) din OUG nr. 153/2002, menționează că ORNISS asigură implementarea unitară, la
nivel național, a măsurilor de securitate a informațiilor naționale clasificate, precum și a celor
echivalente care fac obiectul tratatelor, înțelegerilor și acordurilor bilaterale sau multilaterale la
care România este parte.
Pornind de la faptul că ORNISS are calitatea de ANS este logic ca și coordonarea generală
a activităţii si controlul măsurilor privitoare la protecţia informaţiilor secrete de stat să fie
atributul său și nu al SRI.
Din acest punct de vedere, cercetarea propune modificarea prevederilor art. 25, alin. (1) din
Legea nr. 182/2002 în sensul înlocuirii termenului ―SRI‖ cu ―ORNISS‖.
14. u sunt prevăzute atribuții pentru utoritățile Desemnate de Securitate (ADS)
în legislația specifică domeniului protecției informațiilor clasificate.
Autoritățile Desemnate de Securitate (ADS) reprezintă instituții cu un rol extrem de
important în realizarea protecției informațiilor clasificate la nivel național.
Cu toate acestea, din cercetarea realizată a rezultat că prevederile actuale în domeniul
protecției informațiilor clasificate se limitează doar la definirea și enumerarea acestora.

16
 Singura excepție de la aceste constatări o reprezintă SRI, în cazul căruia Legea nr.
182/2002 prevede o serie de atribuții la art. 34.
Fiind totuși un singur exemplu nu putem să susținem că astfel de atribuții sunt specifice
tuturor ADS-urilor, sens în care nu pot fi considerate un model pentru aceste instituții.
În vederea reglementării unitare a atribuțiilor unui ADS, pe parcursul cercetării au fost
identificate în cadrul Ordinului MapN nr. M.9 din 6 februarie 2013, atribuțiile Direcţiei Generale
de Informaţii a Apărării (DGIA) ca structură responsabilă în domeniul protecţiei informaţiilor
clasificate.
Din comparația celor două exemple de atribuții ale ADS-urilor s-a constatat că multe dintre
ele se regăsesc în ambele situații analizate, chiar dacă în unele cazuri nu sub aceeași formă.
În plus, în cazul DGIA s-au constatat o serie de atribuții noi, care din punct de vedere al
acoperirii domeniului protecției informațiilor clasificate sunt necesare unui ADS.
Având în vedere faptul că, pentru ADS-uri, în legislația existentă sunt prevăzute doar
atribuțiile doar a două dintre ele, propun completarea Legii nr. 182/2002 cu atribuțiile specifice
ADS-urilor, iar acestea să reprezinte o compilație între atribuțiile SRI și DGIA.
15. Există prevederi diferite în legislația națională cu privire la rolul, criteriile și
condițiile pe care trebuie să le îndeplinească funcționarul/ structura de securitate.
Din acest punct de vedere, cercetarea a analizat prevederile referitoare la rolul, criteriile și
condițiile pe care trebuie să le îndeplinească funcționarul/structura de securitate, care sunt
cuprinse în HG nr. 585/2002 și HG nr. 353/2002.
În acest sens, au fost evidențiate următoarele prevederi cu privire la funcționarul/structura
de securitate care au abordări diferite în HG nr. 353/2002 și HG nr. 585/2002:
a) aspecte referitoare la instituțiile în care este obligatorie desemnarea
structurii/funcționarului de securitate
În acest sens HG nr. 585/2002 are o abordarea generală sens în care prevede obligativitatea
înființării structurii de securitate în unităţile deţinătoare de informaţii clasificate, prin intermediul
art. 29, alin. (1), în timp ce HG nr. 353/2002 are o abordare mult mai precisă, în sensul că
instituie obligativitatea desemnării în toate instituţiile, societăţile, firmele, întreprinderile de stat
sau private, conform art. 296.

17
 Din aceste motiv, consider că prevederile HG nr. 353/2002 ar trebui preluate și în cadrul
HG nr. 585/2002, ocazie cu care s-ar reuși surprinderea întreagii game de instituții în care este
obligatorie desemnarea structurii/funcţionarului de securitate.
b) aspecte cu privire la funcția deținută de funcționarul/șeful structurii de securitate
Dacă în cazul HG nr. 585/2002 se constată că se limitează ocuparea poziției de
funcționar/șef structură de securitate doar de persoanele care ocupă funcția de adjunct al
conducătorului persoanei juridice sau de membru al consiliului de administraţie al unităţii, în
ceea ce privește HG nr. 353/2002 nu există asemenea restricții.
Având în vedere faptul că HG nr. 353/2002, au fost întocmite în concordanță cu legislația
NATO în domeniu, care nu prevede ca șeful structurii de securitate sau funcţionarul de securitate
să fie un adjunct al șefului instituției sau un membru al consiliului de administraţie, consider că
această restricție nu are niciun fundament și trebuie eliminată din HG nr. 585/2002.
Din cercetarea realizată au fost identificate și următoarele prevederi din HG nr. 353/2002
cu privire la funcționarul/structura de securitate, care nu se regăsesc în HG nr. 585/2002 și care
necesită a fi preluate de această legislație în sensul surprinderii tuturor condițiilor și criteriilor pe
care trebuie să le îndeplinească funcționarul/structura de securitate:
 prevederile art. 297 cu privire la rolul structurii/funcționarului de securitate, în sensul
că structura/funcţionarul de securitate, reprezintă punctul de contact dintre instituţie şi
ANS;
 prevederile art. 298 referitoare la numirea structurii/funcționarului de securitate, în
sensul că structura/funcţionarul de securitate este numită/numit de către şeful instituţiei;
 aspectele prevăzute de art. 298 referitoare la subordonarea structurii/funcționarului de
securitate, în sensul că structura/funcţionarul de securitate se se subordonează direct
şefului instituţiei;
 prevederile art. 298 referitoare la responsabilitatea structurii/funcționarului de
securitate, în sensul că structura/funcţionarul de securitate răspunde de aplicarea
procedurilor şi normelor de securitate pentru protecţia informaţiilor clasificate NATO în
cadrul instituţiei respective, precum şi în cele subordonate, pentru toate domeniile de
securitate reglementate de ANS (organizarea securităţii, securitatea fizică, securitatea
personalului, securitatea documentelor, securitatea industrială şi INFOSEC);

18
  prevederile art. 299 referitoare la colaborarea dintre structura/funcționarul de
securitate și șeful instituției, în sensul că responsabilitatea pentru implementarea
reglementărilor privind protecţia informaţiilor clasificate NATO revine şefului instituţiei
respective, iar structura/funcţionarul de securitate este principalul colaborator al acestuia şi
componentă executivă.
c) aspecte privind condițiile de acces la informații clasificate
HG nr. 585/2002, prin intermediul art. 30prevede că șeful structurii de securitate, respectiv
funcţionarul de securitate, trebuie să deţină certificat d, e securitate corespunzător celui mai înalt
nivel de clasificare a informaţiilor secrete de stat gestionate de unitate.
În schimb, HG nr. 353/2002 prevede că întreg personalul structurii de securitate trebuie să
îndeplinească cerința în cauză.
Pornind de la considerentul că HG nr. 353/2002 a fost întocmită în concordanță cu
legislația NATO în domeniu, deci în concordanță cu legislația internațională, este necear ca
prevederea că întreg personalul structurii de securitate trebuie să deţină certificat de securitate
corespunzător celui mai înalt nivel de clasificare a informaţiilor secrete de stat gestionate de
unitate, trebuie preluată și de HG nr. 585/2002.
16. Există prevederi diferite în legislația națională cu privire la atribuțiile
funcționarului/structuii de securitate.
Din analiza prevederilor legislative am constat faptul că principalele acte normative în
domeniu, respectiv HG nr. 585/2002 și HG nr. 353/2002 au abordări diferite în ceea ce privește
stabilirea atribuțiilor specifice funcționarului/structurii de securitate, în sensul că în primul act
normativ sunt înșiruite la modul general, în timp ce în al doilea sunt prevăzute mult mai detaliat
și organizate pe domenii de activitate.
Modelul HG nr. 353/2002 este preluat și de OMAN nr. M.9/2013, cu amendamentul că
atribuțiile prevăzute sunt sunt mai clare și mai complete, reușind astfel să acopere mult mai bine
aria de activități care trebuie desfășurate de structura/funcționarul de securitate la nivelul unei
entități.
Din acest punct de vedere, atât HG nr. 585/2002, cât și HG nr. 353/2002 necesită o
completare a atribuțiilor, conform modelului prevăzut de OMAN nr. M.9/2013.

19
 De asemenea, atribuțiile respective necesită a fi completate cu atribuții concrete pe liniile
de pregătire personal și INFOSEC, care nu se regăsesc în niciunul dintre reglementările
menționate.
În cursul cercetării am stabilit care sunt aceste atribuții, cu care trebuie completate toate
actele normative (HG nr. 585/2002, HG nr. 353/2002, OMAN nr. M.9/2013) care prevăd
atribuțiile funcționarului/structurii de securitate.
De asemenea, având în vedere importanța funcției de funcționar de securitatate/șef
structură de securitate în implementarea măsurilor de protecție a informațiilor clasificate,
consider necesară includerea acesteia în lista ocupațiilor din COR, sens în care am elaborat și un
proiect de standard ocupațional pentru o asemenea ocupație.
Tot în vederea susținerii acestei inițiative, precizez faptul că o ocupație similară precum
Responsabilul cu protecția datelor cu caracter personal a fost introdusă în codul COR (242231)
iar standardul ocupațional a fost aprobat de Autoritatea Națională pentru Calificări în data de
19.03.2018.
În plus, raportat la valoarea datelor personale comparativ cu a informațiilor clasificate,
consider că atribuțiile funcționarului/structurii de securitate în realizarea securității informațiilor
sunt mult mai sensibile decât în cazul responsabilul cu protecția datelor cu caracter personal.
17. Legislația în vigoare nu cuprinde atribuții pentru compartimentele speciale
pentru evidenţa, întocmirea, păstrarea, procesarea, multiplicarea, manipularea,
transportul, transmiterea şi distrugerea acestora în condiţii de siguranţă.
Deși, legislația în domeniu, mai precis HG nr. 585/2002 prin intermediul art. 40,
alin. (1), prevede obligația instituțiilor deținătoare de informații clasificate de a înființa asemenea
compartimente, nu sunt prevăzute detalii cu privire la atribuțiile pe care trebuie să le
îndeplinească.
Prevederi cu privire la atribuțiile unei astfel de structuri au fost identificate numai în cadrul
OMAN nr. M.9 din 6 februarie 2013 pentru aprobarea Normelor privind protecția informațiilor
clasificate în Ministerul Apărării Naționale, care are însă aplicabilitate doar la nivelul acestei
entități.
Întrucât asemenea prevederi trebuie să se aplice unitar la nivelul tuturor compartimentelor
speciale pentru evidenţa, întocmirea, păstrarea, procesarea, multiplicarea, manipularea,
transportul, transmiterea şi distrugerea acestora în condiţii de siguranţă, indiferent de entitatea în

20
care funcționează, consider că trebuie să existe asemenea reglementări și în cuprinsul HG
nr. 585/2002.
18. Guvernanța securității informațiilor nu face parte din documentația de securitate.
Cercetarea a abordat guvernanța securității informațiilor, ca și principal mijloc de
implicarea a magementului de cel mai înalt nivel în asigurarea securității.
Întrucât reprezintă o modalitate de conștientizare a magementului cu privire la importanța
implicării în mecanismul de securitate a datelor companiei pe care o conduc unul dintre scopurile
cercetării a fost de elabora un model pentru un asemenea document, în sensul de a putea fi
utilizat de entitățile care doresc să își implementeze securitatea informațiilor.
În acest sens, având la bază atât reglementările naționale și internaționale în domeniu,
precum și experiența de peste 10 ani pe linia securității informațiilor clasificate, la finalul
prezentării secțiunii dedicate guvernanței, am prezentat un model de guvernanță pentru
securitatea informațiilor clasificate, care să poată fi aplicat la nivelul persoanelor juridice din
România.
Acest model a rezultat în urma unui studiu de caz în care am utilizat ca și punct de plecare
definiția guvernanței de securitate a informațiilor din literaura de specialitate străină, pe care o
consider cea mai apropiată de cadrul legal din România, referitor la domeniul protecției
informațiilor clasificate.
Conform acestei abordări5, guvernanța securității informațiilor trebuie să cuprindă în mod
obligatoriu rolurile care trebuie îndeplinite de managementul superior, răspunderea și resursele
necesare pentru punerea în aplicare și impunerea politicilor, standardelor, programelor de
conștientizare, a strategiilor de securitate și a altor proceduri organizaționale.
Practic, conform acestei abordări, guvernanța trebuie să cuprindă următoarele componente
obligatorii care privesc managementul superior:
 rolurile;
 răspunderea;
 resursele necesare implementării securității.

5
https://books.google.ro/books?id=VaGeBQAAQBAJ&pg=PA55&lpg=PA55&dq=Allen+%C8%99i+Westby,+200
7&source=bl&ots=Imx11X2FI9&sig=Im9l8jYMfa4KVUxP6C9ExDRbdwM&hl=ro&sa=X&ved=0ahUKEwj7lIL3
vKjUAhVGOhQKHcf0BoQ6AEIKDAB#v=onepage&q=Allen%20%C8%99i%20Westby%2C%202007&f=false,
accesat 06.06.2006
21
 Pentru a stabili un model de guvernanță pentru securitatea informațiilor clasificate, care să
fie în concordanță atât cu legislația națională specifică, dar și cu literature de specialitate, am
realizat, în primul rând, o analiză a prevederilor legislative naționale în domeniu din punct de
vedere al celor 3 elemente obligatorii mai sus menționate.
Modelul de guvernanță rezultat în urma cercetării realizate, care asigură uniformitatea la
nivel național în ceea ce privește elaborarea unui asemenea document, propun să fie inclus în
documentația de securitate prevăzută de HG nr. 585/2002.
19. Politica de securitate a informației nu este inclusă în documentația de securitate.
Pentru ca informațiile pe care le gestionăm sau manipulăm să fie protejate corespunzător,
în mod obligatoriu trebuie să creăm și să implementăm o politică de securitate eficientă.
În vederea elaborării unei politici eficiente, am realizat un studiu de caz care a avut ca
scop crearea unui model de politică de securitate a informațiilor, care să poată fi aplicabil la
nivelul tuturor entităților și care, alături de guvernață, să fie inclus în documentația specifică
domeniului securității informațiilor.
Pentru acest studiu am utilizat un număr de 20 politici de securitate a informațiilor
realizate, dintre care 10 existente la nivelul instituțiilor publice și 10 identificate la nivelul
companiilor private.
Din datele rezultate s-a concluzionat că politicile de securitate a informațiilor de la nivelul
entităților private sunt elaborate necorespunzător și nu respectă numărul de componente
prevăzute de standardele internaționale în domeniu sau literatura de specialitate, sens în care am
constatat că în 50% din politicile analizate una dintre componente nu este semnalată deloc, în
timp ce în 20% din cazuri se regăsește doar o componentă.
De asemenea, a rezultat că politicile de securitate a informațiilor de la nivelul instituțiilor
de stat sunt de asemenea întocmite necorespunzător, sens în care am constatat că, deși se respectă
în general numărul de componente prevăzute de standardele internaționale în domeniu sau
literatura de specialitate, în 30% din cazurile analizate nu se regăsește nicio componentă, în timp
ce în 30% din cazuri se regăsește doar o componentă.
Având în vedere datele rezultate, componentele politicilor de securitate au fost împărțite în
trei categorii, în funcție de gradul lor de semnalare în cadrul politicilor analizate, astfel:
- componente cu grad de semnalare ridicat (CGS ridicat), care au fost semnalate într-un
interval de 7-10 politici;

22
 - componente cu grad de semnalare mediu (CGS mediu), care au fost semnalate într-un
interval de 4-6 politici;
- componente cu grad de semnalare scăzut (CGS scăzut), care au fost semnalate într-un
interval de 0-3 politici.
Dintre toate componentele cu grad de semnalare scăzut, a rezultat faptul că un procent de
aproximativ 50%, format din componentele - Principii, Rezultate strategice urmărite, Politici
conexe, Declarația de politică, Excepții de la politică, Note administrativ nu se regăsesc nici în
politicile de la nivelul entităților private și nici în cazul politicilor din instituțiile de stat, ceea ce
înseamnă că acestor componente trebuie să li se asigure mai multă atenței în viitor și o
interpretare mult mai clară în cadrul publicațiilor de specialitate.
În vederea uniformizării elaborării politicilor de securitate la nivel național am propus un
model de politică de securitate care cuprinde detalii cu privire la conținutul fiecărei componente
de politică în parte.
De asemenea, propun ca acest model rezultat în urma cercetării propun să fie inclus în
documentația de securitate obligatorie prevăzută de HG nr. 585/2002.
20. ecesitatea cunoașterii formelor și modalităților de manifestare a amenințărilor la
adresa securității informațiilor întrucât reprezintă pilonul central pe care se crează
evaluarea riscului.
Din acest punct de vedere au fost abordate atât modalitățile de identificare, cât și diverse
tipuri de clasificări existente în literatura de specialitate și standardele internaționale.
Pe de altă parte, au fost abordate principalele modalități de acțiune ale insiderului – frauda,
furtul, spionajul și sabotajul, în încercarea de a surprinde o serie de trăsături specifice atacatorilor
dar și modalitatea lor de acțiune, scopul final fiind de a oferi indicii cât mai multe cu privire la
semnalarea lor cu ușurință, stabilirea din timp a unor măsuri de securitate adecvate și prin aceasta
să se poată preveni acțiunile lor.
Tot în acest sens, au fost prezentate principalele categorii de insider, cu sublinierea
principalelor caracteristici.
Nu în ultimul rând, secțiunea a cuprins un studiu de caz finalizat prin crearea unui profil al
insiderului, care are la bază 3 studii realizate cu privire la amenințarea insider în 3 domenii de
activitate diferite, în perioade de timp similare, de către United States Secret Service (Secret

23
Service) National Threat Assessment Center (NTAC), în colaborare cu CERT Program of
Carnegie Mellon University’s Software Engineering Institute (CERT).
Pentru acest studiu a fost utilizat inițial un număr de 3 studii care au fost realizate de
United States Secret Service (Secret Service) National Threat Assessment Center (NTAC), în
colaborare cu CERT Program of Carnegie Mellon University’s Software Engineering Institute
(CERT) cu privire la amenințarea insider, în 3 domenii de activitate diferite (telecomunicații și
tehnologia informațiilor, finanțe și bănci, instituții guvernamentale), în perioade de timp
similare, pentru a se încerca surprinderea caracteristicilor și trăsăturilor comune pe care le
manifestă insiderii, indiferent de domeniul în care acționează și care să contribuie la conturarea
profilului final.
În vederea elaborării unui profil insider, care să își găsească aplicabilitate la nivelul tuturor
entităților iar atunci când este semnalat să tragă un semnal de alarmă, în sensul că trebuie
suplimentate măsurile de securiatte a informațiilor, am procedat la compararea datelor rezultate
cu informațiile din cele mai recente studii în domeniu pentru a stabili dacă nu au intervenit
modificări cu privire la caracteristicile insiderului.
Analiza s-a realizat pe principalele criterii care au fost utilizate în cercetările analizate,
scopul fiind de a contura cel mai documentat profil, care să fie utilizat drept reper de entități în
momentul în care își stabilesc politicile de securitate și își implementează măsurile de protecție.
Aceste criterii au fost următoarele:
 caracteristicile insiderilor;
 motivațiile insiderilor;
 organizațiile vizate;
 planificarea atacului;
 modalități de realizare a atacului;
 detectarea atacului;
 consecințele atacului.
Datele rezultate din studiul realizat, inclusiv profilul insider pot fi utilizate de
funcționarul/structura de securitate în vederea îndeplinirii atribuției de stabilire a
vulnerabilităţilor şi riscurilor existente în sistemul de protecţie a informaţiilor clasificate şi de
propunere de măsuri pentru înlăturarea acestora.

24
 21. ecesitatea cunoașterii cât mai multor detalii cu privire la vulnerabilitățile care se
manifestă la adresa securității informațiilor întrucât sunt utile cu ocazia realizării analizei
de risc.
Abordarea vulnerabilităților în cadrul cercetării se axează pe înțelegerea corectă a
terminologiei prin prisma principalelor cercetări realizate în domeniu, ocazie cu care au fost
prezentate asemănările și deosebirile dintre abordările semnalate.
De asemenea, pentru identificarea corectă a vulnerabilităților au fost prezentate modalități
concrete în acest sens, inclusiv descrierea etapelor acestei activități, care să sprijine în mod
contructiv personalul care lucrează în domeniul securității și care are asemenea responsabilități.
Tot în această parte a tezei s-a realizeazat o analiză comparativă a amenințărilor și
vulnerabilităților în scopul înțelegerii cât mai corecte a terminologiilor și evitării unor confuzii în
interpretarea celor doi termeni.
Datele rezultate din cercetare pot fi utilizate de funcționarul/structura de securitate în
vederea îndeplinirii atribuției de stabilire a vulnerabilităţilor şi riscurilor existente în sistemul de
protecţie a informaţiilor clasificate şi de propunere de măsuri pentru înlăturarea acestora.
22. Managementul riscului reprezintă cea mai bună soluție pentru implementarea
unor măsuri de securitate adecvate.
O parte consistentă din cercetare a fost alocată studiului managementului de risc, ca și
domeniu extrem de complex, care este dezbătut foarte intens de foarte mult timp însă încă neclar
din foarte multe puncte de vedere.
Pentru abordarea riscului am utilizat metodologiile NIST SP 800-39 și SP 800-30r1, în
primul rând pentru că, spre deosebire de alte publicații în domeniu, sunt gratuite putând fi
descărcate de orice persoană de pe Internet și în al doilea rând pentru că au un conținut ușor de
înțeles, conțin informații detaliate, schematice, cu multe explicații și exemple, chiar și șabloane
de sprijin.
Cea mai importantă parte a acestei cercetări se referă la evaluarea riscului, care abordează
fiecare etapă în detaliu pentru ca, în final, stabilirea nivelului de risc să nu pară o problemă atât
de complexă.
La aceasta contribuie și faptul că sunt stabilite exemple concrete pentru amenințări și
vulnerabilități, modalități de evaluare a acestora, scale de măsurare pentru probabilitate și
impact, precum și modalitatea concretă de determinare a nivelului de risc.

25
 În final, este realizată o comparație între principalele reglementări care privesc
managementul riscului, în primul rând pentru a menționa și alte reglementări care pot fi utilizate
în gestionarea riscurilor dar și punctele forte și punctele slabe ale acestora, pentru a sprijini în
dispunerea celei mai bune alegeri din punct de vedere al modalității de realizare a
managementului riscului.
Datele rezultate din cercetare pot fi utilizate de funcționarul/structura de securitate în
vederea îndeplinirii atribuției de stabilire a vulnerabilităţilor şi riscurilor existente în sistemul de
protecţie a informaţiilor clasificate şi de propunere de măsuri pentru înlăturarea acestora.

Tot în cadrul CAPITOLULUI 7 sunt prezentate următoarele propuneri:

A. PROPUNERI DE LEGE FERENDA
1. Modificarea Legii nr. 182/2002:
1) modificarea și completarea art. 15, lit. b) prin introducere formulării sau interesele
unei persoane juridice de drept public după mențiunea securitatea naţională din textul de lege,
pentru ca definiția să nu se refere numai la secretele de stat, ci să cuprindă și secretele de
serviciu;
2) eliminarea listei cu informațiile secrete de stat prevăzută de art. 17, întrucât se aplică
doar autorităţilor publice care fac parte din sistemul de securitate națională și nu tuturor
entităților care dețin informații clasificate și înlocuirea sa cu liste cu informații clasificate
elaborate la nivelul tuturor entităților, organizate pe clase și niveluri de secretizare, care să fie
stabilite conform Ghidului unic de clasificare a informațiilor naționale în România, propus prin
această cercetare;
3) completarea definițiilor claselor și nivelurilor de secretizare cu criteriile de evaluare
ale daunelor/prejudiciilor produse, pentru a se realiza o clasificare cât mai corectă a
informațiilor. În acest sens, definiția informațiilor Strict Secrete de Importanță Deosebită,
prevăzută de art. 15, lit. f) va fi completată cu formularea Daunele de o gravitate excepțională
provocate securității naționale pot consta în: o amenințare directă pentru stabilitatea națională
sau a țărilor aliate; un prejudiciu excepțional de grav relațiilor cu guvernele aliate; un
prejudiciu excepțional de grav eficienței operaționale, inclusiv în cadrul operațiunilor
combinate, securității forțelor armate naționale, menținerii eficienței operațiunilor de securitate

26
sau intelligence fundamentale pentru națiune; un prejudiciu excepțional de grav economiei
naționale;riscul pierderii unui număr mare de vieți omenești;
Definiția informațiilor Strict Secrete, prevăzută de art. 15, lit. f) va fi completată cu
formularea Daunele grave provocate securității naționale pot consta în: tensiuni internaționale;
prejudicierea gravă a relațiilor cu guvernele aliate; o amenințare serioasă pentru acțiunile de
securitate sau intelligence; prejudiciu material important adus intereselor financiare, monetare,
economice sau comerciale naționale; o amenințare în mod direct a viețile oamenilor, a ordinii
publice, securității și libertății oamenilor.
Definiția informațiilor Secrete, prevăzută de art. 15, lit. f) va fi completată cu
formularea Daunele provocate securității naționale pot consta în: prejudicierea relațiilor
diplomatice importante; o amenințare în calea dezvoltării și funcționării principalelor politici
naționale; o amenințare a eficienței operaționale, inclusiv în cadrul operațiunilor combinate,
securității forțelor armate naționale, menținerii eficienței securității și a securității operațiunii
de informare; întreruperea sau perturbarea puternică a activităților ce reprezintă continuitatea
vieții în plan național; o amenințare împotriva intereselor financiare, monetare, economice sau
comerciale naționale; compromiterea substanțială a viabilității financiare a marilor organizații;
un obstacol în anchetarea infracțiunilor grave sau facilita comiterea unor asemenea infracțiuni;
provocarea vătămării securității și libertății oamenilor.
Definiția informațiilor Secrete de serviciu, prevăzută de art. 15, lit. e) va fi completată cu
formularea Prejudiciile provocate de diseminarea neautorizată a secretului de serviciu pot
consta în: afectarea negativă a relațiilor diplomatice; cauzarea de prejudicii substanțiale
persoanelor fizice; afectarea menținerii securității sau eficacității operaționale naționale sau a
forțelor aliate; determinarea de pierderi financiare sau pierderea unui potențial câștig ori
facilitarea obținerii unui câștig necuvenit sau a unui avantaj pentru persoane fizice sau juridice;
prejudicierea anchetelor sau facilitarea comiterii de infracțiuni; afectarea demersurilor
întreprinse pentru menținerea încrederii în informațiile funizate de terțe părți; împiedicarea
dezvoltării sau funcționării politicilor guvernamentale; încălcarea restricțiilor privind punerea
în circulație publică a informațiilor; crearea unui dezavantaj Guvernului în cadrul negocierilor;
subminarea managementului sectorului public și operațiunilor subsecvente; cauzarea de
prejudicii persoanelor fizice; determinarea de pierderi financiare sau pierderea unui potențial
câștig ori facilitarea obținerii unui câștig necuvenit.
27
 4) completarea art. 9 referitor la componente/domenii ale sistemului naţional de protecţie
a informaţiilor cu încă două componente identificate în cursul cercetării și anume securitatea
industrială și protecția documentelor clasificate;
5) completarea art. 15 cu definițiile securității industriale și protecției documentelor
clasificate, prin introducerea literelor l) și m) astfel:
l) securitatea industrială - sistemul de norme şi măsuri care se aplică protecției
informaţiilor clasificate în domeniul activităţilor contractuale;
m) protecția documentelor clasificate - regulile generale privind evidența, întocmirea,
multiplicarea, manipularea, transportul, transmiterea şi distrugerea informaţiilor clasificate;
6) modificarea lit. a) din art. 34 cu următorul text:
―a) propune, împreună cu celelalte ADS-uri, standardele naționale pentru informațiile
clasificate și obiectivele de implementare a acestora, care vor fi aprobate de ANS.‖;
7) completarea sintagmei autorități publice din cadrul art. 34 din Legea nr. 182/2002, cu
textul ‖care nu sunt în coordonarea altor ADS-uri‖, pentru a fi stabilită în mod concret
competența SRI;
8) înlocuirea termenului ―SRI‖ prevăzut de art. 25, alin. (1) din Legea nr. 182/2002 cu
―ORNISS‖, având în vedere faptul că ORNISS are calitatea de ANS și are atribuția de
coordonare generală a activităţii si controlul măsurilor privitoare la protecţia informaţiilor secrete
de stat;
9) includerea în cadrul Capitolului II a următoarelor atribuții care să se aplice tuturor
ADS-urilor din România:
 elaborează reglementări privind protecţia informaţiilor clasificate pentru sfera sa de
competență;
 coordonează activitatea funcționarului de securitate/structurilor de securitate din
entitățile din sfera sa de competență;
 colaborează cu ORNISS și cu celelalte ADS-uri în domeniul protecţiei informaţiilor
clasificate;
 întocmeşte Lista cu categoriile de informaţii clasificate elaborate de entitățile din sfera
sa de competență, precum şi termenele de clasificare a acestora;
 avizează programele de prevenire a scurgerii de informaţii clasificate elaborate de
entitățile din sfera sa de competență;

28
  împreună cu reprezentanţii structurilor implicate, cercetează cazurile de încălcare a
reglementărilor în domeniul protecției informațiilor clasificate și propune măsuri de limitare a
consecinţelor;
 efecuuează verificările de securitate şi avizează accesul personalului dis sfera sa de
competență la informaţii clasificate;
 solicită ORNISS emiterea documentelor de acces pentru personalul avizat să aibă acces
la informaţii clasificate;
 efectuează verificări de securiatte şi avizează operatorii economici implicți în
negocierea sau derularea de contracte clasificate cu entitățile din sfera sa de competență;
 elaborează politica de securitate privind protecţia informaţiilor clasificate și
întreprinde măsurile necesare în vederea punerii sale în aplicare în entitățile din sfera sa de
competență;
 avizează propunerile entităților din sfera sa de competență de declasificare a
informaţiilor clasificate;
 realizează pregătirea funcționarului de securitate/structurilor de securitate în domeniul
protecției informațiilor clasificate.

2. Modificarea HG nr. 585/2002:

1) eliminarea din art. 3 a termenului autorizație de acces la informații clasificate, întrucât
atât în Legea nr. 182/2002, cât și în HG nr. 353/2002 este menționat un singur document de
acces, care este reprezentat de certificatul de securitate. Modificarea definiției certficatului de
securitate, care va prelua definiția autorizației de acces la informații clasificate;
2) completarea art. 88, alin. (4) cu următorul formularea Instituțiile competente participă
împreună cu reprezentanţii structurilor implicate la cercetarea cazurilor de încălcare a
reglementărilor de securitate, ceea ce va întări rolul Autorităților Desemnate de Securitate cu
ocazia cercetării incidentelor de securitate la nivelul entităților din competență;
3) completarea art. 93 cu următorul textul Normele interne de lucru vor cuprinde măsurile
de protecție fizică a clădirilor, spațiilor/locurilor unde se păstrează sau se concentrează
informații clasificate și măsurile procedurale de protecție a datelor, informațiilor, documentelor
ori a activităților clasificate;

29
 4) înlocuirea Secțiunii a 4-a Protecția fizică din cadrul Capitolul 4 cu Ghidul privind
implementarea măsurilor minime de proecție fizică a informațiilor naționale clasificate, care a
fost elaborat în cursul cercetării;
5) înlocuirea sintagmei riscuri de securitate din conținutul art. 147, art. 163, alin. (2),
lit. c), art. 164, alin. (1), art. 165, art. 167, alin. (2), lit. d) art. 168, cu formularea elemente de
incompatibilitate;
6) completarea Capitolului 7 – Securitatea Industrială cu prevederi care să reglementeze și
activitățile contractuale care presupun accesul la informații clasificate secrete de serviciu;
7) înlocuirea prevederilor art. 29 cu următorul text:
(1) Pentru implementarea măsurilor de protecţie a informaţiilor clasificate, la nivelul
entităților de stat sau private, care vehiculează informaţii clasificate, în funcție de volumul
activităţii specifice, se va desemna o structură/funcţionar de securitate.
(2) Structura/funcţionarul de securitate reprezintă punctul de contact dintre instituţie şi
ANS.
(3) Structura/funcţionarul de securitate este numită/numit de către şeful instituţiei, se
subordonează direct acestuia și răspunde de aplicarea reglementărilor de securitate în domeniul
protecţiei informaţiilor clasificate la nivelul entității în care este desemnată/desemnat.
(4) Responsabilitatea pentru implementarea măsurilor de protecţie a informaţiilor
clasificate este a şefului entității, iar structura/funcţionarul de securitate reprezintă principalul
colaborator al acestuia şi îndeplinește rolul componentei executive.
8) înlocuirea prevederilor art. 30 cu formularea Şeful structurii de securitate, funcţionarul
de securitate și membrii structurii de securitate deţin certificat de securitate corespunzător celui
mai înalt nivel de clasificare a informaţiilor gestionate de entitate.
9) înlocuirea prevederilor art. 31 cu următorul text, care prevede structurarea atribuțiilor pe
segmente de activitate dar și introducerea în cadrul atribuţiilor specifice pentru organizarea şi
administrarea securităţii, a unor documente se securitate noi, precum guvernanța și politica
securității informațiilor clasificate și managementul riscului:
(1) Structura/funcţionarul de securitate are următoarele atribuţii:
A. atribuţii pentru organizarea şi administrarea securităţii:

30
 a) elaborează programul de prevenire a scurgerii de informaţii clasificate şi îl transmite
ADS-ului competent în vederea avăzării. Ulterior aprobării de către șeful entității,va întreprinde
măsuri în vederea punerii sale în aplicare;
b) elaborează planul anual specific de pregătire pe linia protecției informațiilor clasificate
pentru personalului entității care este autorizat să aibă acces la informații clasificate;
c) elaborează planul anual de control pe linia protecției informațiilor clasificate;
d) întocmeşte şi, ulterior, actualizează periodic lista cu informaţiile clasificate deţinute de
entitate, pe clase și niveluri de secretizare;
e) efectuează activitatea de pregătire a personalului entității care are acces la informaţii
clasificate;
f) efectuează controalele privind modul de aplicare și respectare a reglementărilor privind
protecția informațiilor clasificate;
g) realizează evidenţa incidentelor de securitate produse la nivelul entității;
h) întocmeşte guvernanța securității informaţiilor clasificate;
i) întocmeşte politica securității informaţiilor clasificate;
j) întocmeşte documentația specifică managementului riscului.
B. pe linie de securitate personal:
a) consiliază şeful entității în activitatea de stabilire a listei cu funcțiile și persoanele care
necesită acces la informaţii clasificate;
b) iniţiază, la solicitarea şefului entității procedura de eliberare, revalidare şi retragere a
accesului la informaţii clasificate;
c) pune la dispoziţia personalului care solicită acces la informații clasificate, formularele
tip Anexa nr. 15, 16 și 17, după caz şi acordă asistenţă de specialitate în vederea completării
acestora;
d) realizează verificări specifice privind personalul entității care solicită acces la
informaţii secrete de serviciu;
e) instruieşte personalul autorizat, cu ocazia semnării Angajamentului de confidenţialitate;
f) la solicitarea şefului entității, informează ADS-ul competent cu riscurile de securitate
identificate.
C. pe linie de securitate a documentelor:

31
 a) coordonează şi controlează compartimentele specializate în protecția informațiilor
clasificate naționale;
b) avizează cererile de multiplicare a documentelor clasificate şi realizează difuzarea
copiilor rezultate;
c) avizează solicitările de distrugere a documentelor clasificate și asistă la realizarea
operațiunii;
e) avizează solicitările de consultare a informațiilor clasificate strict secret de
importanţă deosebită/echivalente;
f) cercetează incidentele de securitate produse la nivelul entității.
D. pe linie de protecţia fizică:
a) stabilește măsurile de protecţie fizică necesare și prezintă şefului entității soluții în
vederea implementării acestora;
b) verifică viabilitatea măsurilor de protecţie fizică existente la nivelul entității;
c) elaborează planul de pază şi apărare.
E. pe linie de securitate industrială:
a) asigură clasificarea corespunzătoare a contractelor de achiziţii publice;
b) solicită ADS-ului competent avizarea operatorilor economici implicați în atribuirea
contractelor clasificate în care se vehiculează secrete de serviciu;
c) elaborează anexele de securitate;
d) avizează emiterea autorizaţiilor de acces la informaţii secrete de serviciu, în cazul
angajaţilor operatorului economic care necesită acces la astfel de date;
g) elaborează cererile de permise de vizită pentru spațiile în care se vehiculează
informaţii clasificate;
h) realizează evidenţa operatorilor economici care sunt implicați în negocierea sau
derularea contractelor clasificate, precum şi a participanților din partea operatorilor;
i) realizează evidenţa documentelor de acces ale operatorilor economici şi ale
angajaților acestora;
j) realizează evidenţa contractelor clasificate încheiate de entitate.
F. atribuțiile pe linie de pregătire a personalului:

32
 a) instruirea persoanele care au acces la informații clasificate, atât la acordarea
acestora, cât şi periodic, cu privire la conţinutul reglementărilor privind protecţia informaţiilor
clasificate;
b) consemnarea activităţilor de instruire, sub semnătură, în fişele de pregătire
individuală;
c) planificarea şi organizarea activităţii de pregătire a personalului;
d) organizarea activităţilor de pregătire conform tematicilor cuprinse în programele
aprobate de conducerea entității.
G. atribuții pe linie de INFOSEC:
a) implementarea protecţiei informaţiilor clasificate în format electronic;
b) asigurarea funcționării sistemelui informatic și de comunicații în condiţii de securitate;
c) cooperarea cu autoritatea care asigură acreditarea sistemelui informatic și de
comunicații;
d) implementarea măsurilor de protecţie criptografică la nivelul sistemelui informatic și de
comunicații.
10) completarea prevederilor art. 40 din HG nr. 585/2002 cu un alineatul suplimentar (3)
care să cuprindă atribuțiile compartimentului specializat în protecția informațiilor clasificate
naționale și care să conțină următorul text:
Compartimentului specializat în protecția informațiilor clasificate naționale are
următoarele atribuții:
a) înregistrează documentele primite la nivelul entității și le prezintă șefilor entităților,
după care, pe baza rezoluţiei înscrise pe ele, le predă, pe bază de semnătură, persoanelor cărora
le sunt repartizate;
b) înregistrează documentele întocmite de personalul instituției și le prezintă șefilor
entităților, după care, în urma aprobării, asigură predarea lor, pe bază de semnătură,
persoanelor cărora le sunt repartizate;
c) înregistrează și completează documentele de expediţie, după care predă corespondența
instituțiie spăecializate în transportul documentelor clasificate;
d) distribuie documentele numai pe baza rezoluţiei înscrise pe acestea și numai după ce se
asigură că destinatarul deţine un document de acces la informaţii clasificate, corespunzător
nivelului de clasificare al informației în cauză;

33
 e) informează conducerea entității, în situația în care nivelul de clasificare marcat pe
document este mai mare decât nivelul documentului de acces deţinut de destinatar;
f) consemnează în registrele de evidenţă clasarea documentelor;
g) consemnează în registrele de evidenţă distrugerea documentelor, prin menționarea
procesului-verbal de distrugere.
12) completarea atribuțiilor conducătorilor entităților prevăzute la art. 86, alin. (1) cu
aprobarea guvernanței securității informaţiilor clasificate, a politicii securității informaţiilor
clasificate și a documentația specifice managementului riscului.
3. Modificarea HG nr. 781/2002:
1) completarea art. 1 cu lit. f) care să conțină textul Protecţia surselor generatoare de
informaţii – INFOSEC.

4. Modificarea OUG nr. 153/2002:

1) înlocuirea cuvântului aprobă din art. 1, alin. (4), lit. e) din OUG nr. 153/2002 cu
cuvântul decide, pentru a fi în concordanță cu prevederile art. 151, alin. (1) din
HG nr. 585/2002;
2) prevederile art. 1, alin. (4), lit. c) din OUG nr. 153/2002 nu menționează care este
competența ORNISS, sens în care care prevederea necesită a fi modificată cu textul asigură
respectarea standardelor naționale și, respectiv, ale NATO/UE privind gestionarea
documentelor clasificate, la nivel național;
3) prevederile art. 1, alin. (4), lit. j) din OUG nr. 153/2002 de la lit. j) nu menționează
care sunt agențiile specializate, sens în care necesită a fi modificat cu textul asigură, prin
intermediul ADS-urilor, implementarea Standardelor naționale de protecție a informațiilor
clasificate în România și a Normelor privind protecția informațiilor clasificate NATO și UE în
România, referitoare la protecția informațiilor stocate în cadrul sistemelor de prelucrare și
transmitere automată a datelor.

B. PROPUNERE - STANDARD OCUPAȚIONAL PENTRU EDUCAȚIE ȘI FORMARE

PROFESIONALĂ pentru FUNCȚIONAR DE SECURITATE PENTRU PROTECȚIA
INFORMAȚIILOR CLASIFICATE

34
 Bibliografie

I. Acte normative
 Declarația Universală a Drepturilor Omului adoptată la 10 decembrie 1948, prin Rezoluția
217 A în cadrul celei de-a treia sesiuni a Adunării Generale a Organizației Națiunilor Unite,

Pactul internațional cu privire la drepturile civile și politice adoptat şi deschis spre semnare
de Adunarea generală a Naţiunilor Unite la 16 decembrie 1966. Intrat în vigoare la 23 martie
1976, cf. art. 49, pentru toate dispoziţiile cu excepţia celor de la art. 41; la 28 martie pentru
dispoziţiile de la art. 41. România a ratificat Pactul la 31 octombrie 1974 prin Decretul nr. 212,
publicat în „Buletinul Oficial al României―, partea I, nr. 146 din 20 noiembrie 1974,
 Convenția Europeană pentru apărarea drepturilor omului și a libertăților fundamentale
amendată prin Protocoalele nr. 3, 5 si 8 si completata prin Protocolul nr. 2, incheiata la Roma la
4 noiembrie 1950, publicată în Monitorul Oficial nr. 135 din 31 mai 1994,
 Carta drepturilor fundamentale a Uniunii Europene a fost proclamată de către Comisia
Europeană, Parlamentul European și Consiliul Uniunii Europene la data de 7 decembrie 2000, în
cadrul Consiliului European de la Nisa
 Acordul European de asociere România-Uniunea Europeană semnat la 1 februarie 1993, a
fost ratificat prin Legea nr. 20/1993 si a fost publicat în MONITORUL OFICIAL din 12 aprilie
1993
 Acordul între România și UE privind procedurile de securitate pentru schimbul de
informații clasificate, semnat la Bruxelles la 22 aprilie 2005, ratificat ulterior, prin Legea
nr. 267/05.10.2005, publicată în MONITORUL OFICIAL nr. 903 din 10 octombrie 2005,
 HG nr. 114/1999 privind actualizarea Programului naţional de aderare a României la
Uniunea Europeană, publicat în MONITORUL OFICIAL nr. 98 din 8 martie 1999
 Directiva 95/46/EC a Parlamentului European și a Consiliului din 24 octombrie 1995
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și
libera circulație a acestor date
 Constituția României modificată şi completată prin Legea de revizuire a Constituţiei
României nr. 429/2003, publicată în Monitorul Oficial al României, Partea I, nr. 758 din 29
octombrie 2003; republicată, cu reactualizarea denumirilor şi dându-se textelor o nouă
numerotare, în Monitorul Oficial al României, Partea I, nr. 767 din 31 octombrie 2003.
Legea de revizuire a Constituţiei României nr. 429/2003 a fost aprobată prin referendumul
naţional din 18-19 octombrie 2003 şi a intrat în vigoare la data de 29 octombrie 2003, data
publicării în Monitorul Oficial al României, Partea I, nr. 758 din 29 octombrie 2003, a Hotărârii
Curţii Constituţionale nr. 3 din 22 octombrie 2003 pentru confirmarea rezultatului
referendumului naţional din 18-19 octombrie 2003 privind Legea de revizuire a Constituţiei
României. Constituţia României, în forma iniţială, a fost publicată în Monitorul Oficial al
României, Partea I, nr. 233 din 21 noiembrie 1991 şi a intrat in vigoare în urma aprobării ei prin
referendumul naţional din 8 decembrie 1991
 Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu
caracter personal și libera circulație a acestor date, publicată în MONITORUL OFICIAL nr. 790
din 12 decembrie 2001, cu modificările şi completările aduse de: LEGEA nr. 102 din 3 mai
2005; LEGEA nr. 278 din 15 octombrie 2007

35
  Legea nr. 682/2001 privind ratificarea Conventiei pentru protejarea persoanelor fata de
prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie
1981, publicată în MONITORUL OFICIAL NR. 830 din 21 decembrie 2001
 Legea nr. 365/2002 privind comerțul electronic publicată în MONITORUL OFICIAL
nr. 483 din data de 5 iulie 2002, republicată în MONITORUL OFICIAL, Partea I nr. 959 din
29/11/2006
 Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții
private în sectorul comunicațiilor electronice publicată în MONITORUL OFICIAL, Partea I nr.
1101 din 25/11/2004, modificată prin Legea nr.272/2006 pentru completarea art.7 din Legea
nr.506/2004 si OUG nr.13/2012 pentru modificarea si completarea Legii nr. 506/2004 privind
prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor
electronice
 Legea nr. 102/2005 privind înființarea și funcționarea Autorității Naționale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, publicată în Monitorul Oficial nr. 391
din data de 9 mai 2005
 Legea nr. 238/2009, republicată, privind reglementarea prelucrării datelor cu caracter
personal de către structurile/unitățile Ministerului Administrației și Internelor în activitățile de
prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii
publice. Acest act normativ a transpus în legislația internă principiile cuprinse în Recomandarea
nr. R (87) 15 a Comitetului de Miniștri adresată statelor membre referitoare la reglementarea
utilizării datelor cu caracter personal în domeniul polițienesc, ca o necesitate de îndeplinire a
obligațiilor României – rezultate din Tratatul de aderare – de a adopta, în ceea ce privește acquis-
ul Schengen, dispozițiile de drept intern necesare pentru a asigura un nivel de protecție a datelor
cu caracter personal în conformitate cu Recomandarea nr. R (87)/15
 Legea nr. 141/2010 privind înființarea, organizarea și funcționarea Sistemului Informatic
Național de Semnalări și participarea României la Sistemul de Informații Schengen, publicată în
MONITORUL OFICIAL nr. 498 din 19 iulie 2010
 Legea nr. 182/2002 pentru protecția informațiilor clasificate publicată în MONITORUL
OFICIAL nr. 248/12 apr. 2002
 Legea nr. 571/2004 privind protecţia personalului din autorităţile publice, instituţiile
publice şi din alte unităţi care semnalează încălcări ale legii, publicată în Monitorul Oficial
nr. 1214 din 17 decembrie 2004
 Legea 51/1991 privind securitatea națională a României, republicată în temeiul art. 107
alin. (3) din Legea nr. 255/2013 pentru punerea în aplicare a Legii nr. 135/2010 privind Codul
de procedură penală şi pentru modificarea şi completarea unor acte normative care cuprind
dispoziţii procesual penale, publicată în Monitorul Oficial al României, Partea I, nr. 515 din 14
august 2013, cu modificările ulterioare, dându-se textelor o nouă numerotare. Legea nr. 51/1991
a fost publicată în Monitorul Oficial al României, Partea I, nr. 163 din 7 august 1991, şi a mai
fost modificată prin Legea nr. 187/2012 pentru punerea în aplicare a Legii nr. 286/2009 privind
Codul penal, publicată în Monitorul Oficial al României, Partea I, nr. 757 din 12 noiembrie 2012,
rectificată în Monitorul Oficial al României, Partea I, nr. 117 din 1 martie 2013, cu modificările
ulterioare
 Legea nr. 415/2012 privind organizarea şi funcţionarea Consiliului Suprem de Apărare a
Ţării, publicată în MONITORUL OFICIAL nr. 494 din 10 iulie 2002

36
  HG nr. 353 din 15 aprilie 2002 pentru aprobarea Normelor privind protecția informațiilor
clasificate ale Organizației Tratatului Atlanticului de Nord în România, publicată în
MONITORUL OFICIAL cu numărul 315/ 13 mai 2002
 HG nr. 354/15.04.2002 privind înființarea, organizarea și funcționarea Agenției de
Acreditare de Securitate, Agenției de securitate pentru Informatică și Comunicații și Agenției
pentru Distribuirea Materialului Criptografic publicată în MONITORUL OFICIAL cu numărul
315/ 13 mai 2002
 HG nr. 585/2002 pentru aprobarea Standardelor naționale de protecție a informațiilor
clasificate în România, publicată în MONITORUL OFICIAL nr. 485 din 5 iulie 2002, cu
modificarile si completarile aduse de HG nr. 2.202 din 30 noiembrie 2004 și HG nr. 185 din 9
martie 2005
 HG nr. 781/2002 privind protecția informațiilor secrete de serviciu, publicată în
MONITORUL OFICIAL NR. 575 din 5 august 2002
 HG nr. 1349/2002 privind colectarea, transportul, distribuirea și protecția pe teritoriul
României a corespondenței clasificate, publicată în MONITORUL OFICIAL nr. 909 din 13
decembrie 2002
 HG nr. 123/2002 pentru aprobarea Normelor metodologice de aplicare a Legii nr.
544/2001 privind liberul acces la informaţiile de interes public, publicată în MONITORUL
OFICIAL nr. 167 din 8 martie 2002
 OUG nr. 153/2002 privind organizarea și funcționarea Oficiului Registrului Național al
Informațiilor Secrete de Stat, publicată în MONITORUL OFICIAL nr. 826 din 15 noiembrie
2002
 OG nr. 52/2005 privind desfășurarea activității de curierat pentru materialele NATO
clasificate, aprobată și modificată prin Legea nr. 342/2005, publicată în MONITORUL
OFICIAL nr. 1093 din 5 decembrie 2005
 Legea nr. 544 din 12 octombrie 2001 privind liberul acces la informatiile de interes public.
Textul inițial a fost publicat în Monitorul Oficial nr. 663 din 23 octombrie 2001. Aceasta este
forma actualizata de S.C. "Centrul Teritorial de Calcul Electronic" S.A. Piatra Neamt pana la
data de 16 octombrie 2006, cu modificarile si completarile aduse de: RECTIFICAREA nr. 544
din 12 octombrie 2001; LEGEA nr. 371 din 5 octombrie 2006; LEGEA nr. 380 din 5 octombrie
2006; LEGEA nr. 188 din 19 iunie 2007; LEGEA nr. 76 din 24 mai 2012
 Ordinul Avocatului Poporului nr. 52/2002 privind aprobarea Cerintelor minime de
securitate a prelucrarilor de date cu caracter personal, publicat în MONITORUL OFICIAL cu
numărul 383 din data de 5 iunie 2002
 Ordinul Avocatul Poporului nr. 75/2002 privind stabilirea unor măsuri și proceduri
specifice care să asigure un nivel satisfăcător de protecție a drepturilor persoanelor ale căror date
cu caracter personal fac obiectul prelucrărilor, publicat în MONITORUL OFICIAL nr. 449 din
26 iunie 2002
 Instrucțiunile ministrului afacerilor interne nr. 27/2010 privind măsurile de natură
organizatorică și tehnică pentru asigurarea securității prelucrărilor de date cu caracter personal
efectuate de către structurile/unitățile Ministerului Afacerilor Interne, publicate în MONITORUL
OFICIAL nr. 98 din 12 februarie 2010
 Ordinul Directorului General al ORNISS nr. 160/06.02.2006 pentru aprobarea normelor
cadru privind securitatea informațiilor UE clasificate
 Ordinul Directorului General al ORNISS nr. 192/29.05.2006 privind aprobarea procedurii
de acreditare, desființare sau reacreditare a componentelor Sistemului Național de Registre
37
  Ordinul Directorului General al ORNISS nr. 28/07.03.2008 privind modificarea procedurii
de acreditare, desființare sau reacreditare a componentelor Sistemului Național de Registre
 Ordinul Directorului General al ORNISS nr. 13/31.01.2006 pentru aprobarea normelor
cadru privind securitatea fizică a informațiilor clasificate
 Ordinul Directorului General al ORNISS nr. 475/2005 referitor la cerințele minime de
securitate pentru încăperile special destinate protecției informațiilor NATO clasificate și a celor
echivalente
 Ordinul Directorului General al ORNISS nr. 443/2003 privind containerele destinate
protecției informațiilor clasificate, mecanismele de închidere, sistemele de cifru și încuietorile
acestora
 Ordinul Directorului General al ORNISS nr. 490/21.12.2005 pentru stabilirea condițiilor de
acces la informații UE clasificate
 Ordinul Directorului General al ORNISS nr. 491/21.12.2005 privind aprobarea cerințelor
minime pentru protecția informațiilor UE clasificate care fac obiectul activităților contractuale

II. Lucrări de autor, articole, publicații, lucrări (studii) de cercetare

 Neculae NĂBÂRJOIU, ―România–Nato 1990-2002‖, Centrul de Studii Strategice de
Securitate al MAN, 2002
 Neculae NĂBÂRJOIU, Securitatea Informațiilor, Editura Agir, 2008
 Dumitru ZAMFIR, Constantin RAICU, Mediul de securitate și Informația clasificată,
Editura Academiei Naționale de Informații ―Mihai Viteazul‖, București, 2010
 Marius PETRESCU, Neculae NĂBÂRJOIU, Mioara BRABOVEANU, Managementul
informației vol. II Informații clasificate, Editura Bibliotheca, Târgoviște, 2008
 Serviciul Român de Informații, Protecția informațiilor clasificate – Ghid practic
 INTERNATIONAL STANDARD ISO/IEC 27002, First edition 2005-06-15,
Information technology — Security techniques — Code of practice for information security
management
 Dumitru Oprea, Protecția și securitatea informațiilor, Editura Polirom, Iași, 2003
 Wood, C. C., Information security policies made easy (10th ed.), Houston, TX:
Information Shield, 2008
 Kramer J., The CISA prep guide: mastering the certified information systems auditor
exam, New Jersey: John Wiley and Sons, 2003
 Siponen M., Information security standards: focus on the existence of process not its
content, Communications of the ACM, 2006a, 49(8), 97–100. doi:10.1145/1145287.1145316
 Robert Johnson, Mark Merkow, Security Policies and Implementation Issues, Jones &
Bartlett Learning, 2014
 Mark Rhodes-Ousley, Information Security The Complete Reference, Second Edition,
McGraw-Hill, 2013
 Bob Vachon, CCNA Security (210-260) Portable Command Guide, Second Edition,
Cisco Press, 2016
 Matt Bishop, Computer Security: Art and Science, Addison-Wesley Professional, 2002
 Sari Greene, Security Program and Policies: Principles and Practices, Second Edition,
Pearson IT Certification, 2014
 Mark Rhodes-Ousley, Information Security The Complete Reference, Second Edition,
McGraw-Hill, 2013
38
  Scott Barman, Writing Information Security Policies, Sams, 2001
 Margaret Rouse, Definition end user policy, noiembrie 2011
 John Walp , Raj Sharman , Manish Gupta, Strategic and Practical Approaches for
Information Security Governance, IGI Global, 2012
 Chuck Easttom, Computer Security Fundamentals, Third Edition, Pearson IT
Certification, 2016,
 Is it a Policy, a Standard or a Guideline?, SANS: Information Security Policy Templates,
Professional Orgnaization, 2010
 K.H. Spencer Pickett - The Internal Auditing Handbook, Second Edition, John Wiley &
Sons, III, River Street, Hoboken, NY 07030, USA, 2006
 Feleagă et al., ―Guvernanţa corporativă în economiile emergente:cazul României‖,
Economie teoretică şi aplicată, Volumul XVIII, No. 9(562), 2011
 Dragomir,V., ―Guvernanţă Corporativă‖, suport de curs, Academia de Studii Economice
Bucureşti, 2012
 GUVERNANȚA IT – CHEIA OPTIMIZĂRII UNEI AFACERI
CONF.DR.GHEORGHE MIRELA ASE Bucuresti
 Kramer J., The CISA prep guide: mastering the certified information systems auditor
exam . New Jersey: John Wiley and Sons, 2003.
 Cummings, T. Lewellen, D. McIntire, A. P. Moore and R. Trzeciak, ―Insider Threat
Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector,‖ 2012.
 Cummings, T. Lewellen, D. McIntire, A. P. Moore and R. Trzeciak, ―Insider Threat
Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector,‖ 2012.
 Cappelli, A. Moore and R. Trzeciak, The CERT Guide to Insider Threats: How to
Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud), New
York, New York: Pearson Education, Inc., 2014.
 K. Corbin, ―Economic Impact of Cyber Espionage and IP Theft Hits U.S. Businesses
Hard,‖ 7 2013
 L. M. Wortzel, ―Cyber Espionage and the Theft of U.S. Intellectual Property and
Technology,‖ 7 2013
 C. Blair, J. M. H. Jr., C. R. Barrett, W. J. L. III, S. Gorton, D. Wince-Smith and M. K.
Young, ―The IP Commission; The Commission on the Theft of Americal Intellectual Property,‖
5 2013
 M. Riley and A. Vance, ―Inside the Chinese Boom in Corporate Espionage,‖ 3 2012
 L. Flynn, J. W. Clark, A. P. Moore, M. L. Collins, E. Tsamitis, D. Mundie and D.
McIntire, ―Four Insider IT Sabotage Mitigation Patterns and an Initial Effectiveness Analysis,‖
The Hillside Group, 2013
 S. R. Band, L. F. Ficher, A. P. Moore, E. D. Shaw and R. F. Trzeciak, ―Comparing
Insider IT Sabotage and Espionage: A Model - Based Analysis,‖ 2006
 L. Charney, ―NOIR: A White Paper,‖ 2014
 D. L. Charney, ―True Psychology of the Insider Spy,‖ Intelligencer: Journal of U.S.
Intelligence Studies, 2010
 Durbin, "Insiders are today’s biggest security threat," Recode, 2016
 "Health Warning: Cyberattacks are Targeting the Healthcare Industry," in McAfee
 Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081
Published by The Open Group, January 2009
39
  "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management
Insight LLC, November 2006
 R. P. Abbott, J. S. Chin, J. E. Donnelley, W. L. Konigsford, S. Tokubo, and D. A. Webb,
―Security Analysis and Enhancements of Computer Operating Systems,‖ NBSIR 76–1041,
Institute for Computer Sciences and Technology, National Bureau of Standards (Apr. 1976
 R. Bisbey II and D. Hollingsworth, ―Protection Analysis Project Final Report,‖ ISI/RR-
7813, DTIC AD A056816, USC/Information Sciences Institute (May, 1978)
 Krsul, I. ―Software vulnerability analysis,‖ unpublished PhD dissertation, Purdue
University, 1988
 Meunier, P. Classes of vulnerabilities and attacks (download). In: Handbook of Science
and Technolo gy for Homeland Security, Wiley, 2007
 Ioan-Cosmin Mihai, Costel Ciuchi, Gabriel Petrica, Laurentiu Giurea, Provocări și
strategii de securitate cibernetică, Editura Sitech Craiova, 2015, pag. 101
 CERT Insider Threat Center, ―Insider Threat Deep Dive: IT Sabotage,‖ Carnegie Mellon
University
 Verizon, "Verizon’s 2016 Data Breach Investigations Report," Verizon Enterprise
Solutions
 Hansen, ―Manning-Lame chat logs revealed,‖ 2011
 SentinelOne, "Insider threats in Cyber Security—More than just human error," in CSO,
CSO Online, 2016
 Acordul de securitate între Guvernul României şi Organizaţia Tratatului Atlanticului de
Nord din 08.07.1994
 Programul Naţional de Aderare a României la Uniunea Europeană
 documentul NATO "Securitatea în cadrul NATO - C-M (55) 15 (Final)"
 Principiile de la Johannesburg privind siguranța națională, libertatea de exprimare și
accesul la informație adoptate la 1 octombrie 1995

III. Resurse bibliografice de pe INTERNET

 https://ro.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology
 http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf
 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-12r1.pdf
 https://en.wikipedia.org/wiki/ISO/IEC_27000-series#cite_note-11
 http://www.businessofsecurity.com/docs/FAIR%20-%20ISO_IEC_27005%20Cookbook
.pdf
 https://ro.wikipedia.org/wiki/The_Open_Group
 https://theartofservicelab.s3.amazonaws.com/All%20Toolkits/The%20Information%20ris
k%20management%20Toolkit/Act%20%20Recommended%20Reading/Risk%20Management%
20Insight.pdf
 https://www.safaribooksonline.com/library/view/thinking-security-stopping/9780134278
223/
 https://www.safaribooksonline.com/library/view/advanced-persistent-threat/9780071828
369/
 https://books.google.ro/books?id=pfdBiJNfWdMC&printsec=frontcover&dq=computer+
security+art+and+science&hl=ro&sa=X&ved=0ahUKEwjT4dGPgqzXAhUJ5KQKHTROBTUQ
6AEIJTAA#v=onepage&q=computer%20security%20art%20and%20science&f=false
40
  https://www.safaribooksonline.com/library/view/computer-security-art/0201440997/
 https://www.safaribooksonline.com/library/view/information-security-risk/97818492814
92/
 https://resources.sei.cmu.edu/asset_files/Brochure/2012_015_001_28207.pdf
 https://www.safaribooksonline.com/library/view/the-cert-guide/9780132906050/
 https://ccdcoe.org/sites/default/files/multimedia/pdf/Insider_Threat_Study_CCDCOE.pdf
 https://www.safaribooksonline.com/library/view/the-cert-guide/9780132906050/
 https://pdfs.semanticscholar.org/0e2b/b7b701191c83bfc3171945b1a95561a189f9.pdf
 https://insights.sei.cmu.edu/insider-threat/2010/09/insider-threat-deep-dive-it-sabotage.
html,
 http://icitech.org/wp-content/uploads/2017/02/ICIT-Brief-In-2017-The-Insider-Threat-
Epidemic-Begins.pdf
 https://securityintelligence.com/media/2016-cost-data-breach-study/
 http://icitech.org/wp-content/uploads/2017/02/ICIT-Brief-In-2017-The-Insider-Threat-
Epidemic-Begins.pdf
 https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investiga
tions-Report.pdf
 https://books.google.ro/books?id=O3VB-zspJo4C&pg=PA391&lpg=PA391&dq
=temple+grandin+hacking+aspergers&source=bl&ots=pSZyQlvG1D&sig=xHtWwzWoDFai
ODTF 39ppc9JoJ6E&hl=ro&sa=X&ved=0ahUKEwi7463cgYTXAhUBJ1AKHbELALYQ6AE
IaDAJ#v=onepage&q=temple%20grandin%20hacking%20aspergers&f=false
 http://www.informit.com/articles/article.aspx?p=2301451&seqNum=2
 https://securityintelligence.com/media/2016-cost-data-breach-study/
 https://www.safaribooksonline.com/library/view/information-security-and/9781118335
895/
 https://www.safaribooksonline.com/library/view/computer-security-fundamentals/978013
28 28284/
 http://mtc.md/consulting/Insideri%20ro.htm
 http://pixelbit.ro/blog/principalele-amenintari-cibernetice-in-2017/
 https://www.safaribooksonline.com/library/view/information-security-
and/9781118335895/
 https://books.google.ro/books?id=HeB1AQAAQBAJ&pg=PA16&lpg=PA16&dq=landes
man +2004+virus+definition&source=bl&ots=RsGKZBvoyH&sig=Jck_NRpmhlturut9BedY
cKk4kIg& hl=ro&sa=X &ved=0ahUKEwi-wv6Yi4TXAhURLFAKHc0OADQQ6AEIJTAA#v
=onepage&q=landesman%202004% 20virus%20defi nition&f =false
 https://www.safaribooksonline.com/library/view/network-defense-and/9780133384390/
 http://pixelbit.ro/blog/principalele-amenintari-cibernetice-in-2017/
 https://www.safaribooksonline.com/library/view/information-security-and/97811183358
95/
 https://www.safaribooksonline.com/library/view/computer-security-fundamentals/
9780132 828284/
 https://resources.sei.cmu.edu/asset_files/WhitePaper/2008_019_001_52266.pdf
 https://www.openreality.co.uk/wp-content/uploads/2016/04/Mimecast-business-email-
threat-report.pdf

41
  http://info.resilientsystems.com/hubfs/IBM_Resilient_Branded_Content/White_Papers/
2017_Global_ CODB_Report_Final.pdf
 https://itsecuritycentral.teramind.co/2017/06/30/insider-threat-statistics-infographic/
 http://cribbcs.net/wp/insider-security-threats-the-biggest-challenge-of-cyber-security/
 https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigati
ons-Report.pdf
 https://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/managing-
insider-threats.pdf
 http://mahdi.hashemitabar.com/cms/images/Download/ISO/iso-iec-27005-2011-
english.pdf
 https://en.wikipedia.org/wiki/Vulnerability_(computing)#cite_note-ISO27005-3
 https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-
risk/risk-management-inventory/glossary
 https://en.wikipedia.org/wiki/Vulnerability_(computing)
 https://vulncat.hpefod.com/data/FortifyTaxonomyofSoftwareSecurityErrors.pdf
 http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.85.4150&rep=rep1&type=pdf
 https://www.safaribooksonline.com/library/view/introduction-to-computer/0321247442/
 http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.361.3615&rep=rep1&type=pdf
 https://vulncat.hpefod.com/data/FortifyTaxonomyofSoftwareSecurityErrors.pdf
 http://jeffreycarr.blogspot.com/2011/06/18-days-from-0day-to-8k-rsa-attack.html
 https://vulncat.hpefod.com/data/FortifyTaxonomyofSoftwareSecurityErrors.pdf
 https://ro.wikipedia.org/wiki/UNIX
 https://www.safaribooksonline.com/library/view/introduction-to-computer/0321247442/
 https://securityintelligence.com/media/2016-cost-data-breach-study/
 https://www.safaribooksonline.com/library/view/industrial-network-security/978012420
1149/
 https://cve.mitre.org/index.html
 http://webstage.guardiandigital.com/index.php?option=com_content&view=article&id=1
07 601:bugtra q-vulnerability-database-statistics&catid=77:server-security1&Itemid=236
 https://nvd.nist.gov/vuln/search/statistics?adv_search=true&form_type=advanced&result
s_type=stati
stics&pub_date_start_month=0&pub_date_start_year=2013&pub_date_end_month=11&
pub_date_end_year=2017
 https://www.safaribooksonline.com/library/view/information-security-and/97811183358
95/
 https://www.safaribooksonline.com/library/view/managing-risk-in/9780763791872/,
 https://ro.wikipedia.org/wiki/Risc#Defini.C8.9Bii
 https://www.safaribooksonline.com/library/view/managing-risk-in/9780763791872/
 https://www.safaribooksonline.com/library/view/legal-issues-in/9780763791858/
 https://www.iso.org/standard/66435.html
 https://bambangkesit.files.wordpress.com/2015/12/iso-73_2009_risk-management-
vocabulary.pdf

42
  https://books.google.ro/books?id=f34rxV2ctEC&pg=PA16&lpg=PA16&dq=ISO+27001
+cl ause+4.2.1+%E2%80%93+b3&source=bl&ots=MuNu6Agjjq&sig=aKiabdVoyjh_9QBAhj
AmY5_129U&hl=ro&sa=X&ved=0ahUKEwju9d7L8bjXAhUHoaQKHfj6AGUQ6AEIJTAA#v
=onepage&q=ISO%2027001%2C%20clause%204.2.1%20%E2%80%93%20b3&f=false
 https://www.safaribooksonline.com/library/view/industrial-network-security/9780124
2011 49/
 https://www.safaribooksonline.com/library/view/information-security-and/9781118335
895/
 https://www.safaribooksonline.com/library/view/managing-risk-in/9780763791872/
 https://www.csoonline.com/article/2125140/metrics-budgets/it-risk-assessment-framewo
rks--real-world-experience.html#2
 http://www.businessofsecurity.com/docs/FAIR%20-%20ISO_IEC_27005%20Cookb
ook.pdf
 https://www.csoonline.com/article/2125140/metrics-budgets/it-risk-assessment-
frameworks--real-world-experience.html#2
 https://www.csoonline.com/article/2125140/metrics-budgets/it-risk-assessment-
frameworks--real-world-experience.html#2
 https://www.safaribooksonline.com/library/view/information-security-risk/9781597497
350/
 https://www.csoonline.com/article/2125140/metrics-budgets/it-risk-assessment-
frameworks--real-world-experience.html#2
 https://www.safaribooksonline.com/library/view/information-security-risk/9781597497
350/
 http://www.businessofsecurity.com/docs/FAIR%20-%20ISO_IEC_27005%20Cookbook.
pdf
 http://www.pqm-online.com/assets/files/lib/std/iso_iec_27005-2008.pdfhttp://www.mi.
bxb.ro/Articol/MI_29_11.pdf
 http://cig.ase.ro/cignew/pics/ss2013/SESIUNE%20COMUNICARI%20CIG%202013/S
ECT%202%20CONTAB % 20premiul%201%20Guvernanta%20corportiva.pdf
 http://www.creeaza.com/afaceri/economie/CODURILE-DE-BUNA-PRACTICA-GU
VE633.php
 https://www.oecd.org/corporate/ca/corporategovernanceprinciples/31557724.pdf.
 https://www.safaribooksonline.com/library/view/security-policies-and/9781284055993
/08part1.xhtml
 http://voicudragomir.ase.ro/pdf/guvernanta_tecofig/albu_2013.pdf
 http://cig.ase.ro/cignew/pics/ss2013/SESIUNE%20COMUNICARI%20CIG%202013/
SECT%202%20CONTAB%20premiul%201%20Guvernanta%20corportiva.pdf
 https://exca2015.files.wordpress.com/2015/03/sistemul-de-guvernanta-corporativa-a-com
paniilor-romc3a2nesti. doc.
 http://formare.contatic.ase.ro/mod/resource/view.php?id=19
 http://formare.contatic.ase.ro/pluginfile.php/42/mod_resource/content/1/Guvernanta%
20IT.pdf

43
  http://www.ia.ase.ro/Sie/SIE-13-14-2013.pdf
 https://www.safaribooksonline.com/library/view/managing-information-security/9780
124166882/xht ml/CHP001.html#CHP001tit
 https://www.safaribooksonline.com/library/view/strategic-and-practical/97814666019
70/978-1-4666-0197-0.ch004.xhtml
 https://books.google.ro/books?id=xWrAslmqi8C&pg=PA155&dq=von+Solms+%
C8%99i+von+Solms,+2005&hl=ro&sa=X&ved=0ahUKEwi12Mf1isjUAhVC2RoKHQVZDFM
Q6AEIKzAB#v=onepage&q=von%20Solms%20%C8%99i%20von%20Solms%2C%202005&f
=false
 http://formare.contatic.ase.ro/pluginfile.php/42/mod_resource/content/1/Guvernanta%
20IT.pdf
 https://www.safaribooksonline.com/library/view/network-defense-and/978013338439
0/ch13.html
 https://www.safaribooksonline.com/library/view/ccna-security-210-260/97801343074
66/ch02.html#ch02
 https://www.safaribooksonline.com/library/view/security-program-and/978013348118
1/ch02.html
 https://www.safaribooksonline.com/library/view/security-policies-and/9781284055993
/08part1.xhtml
 https://www.safaribooksonline.com/library/view/computer-securityfundamentals/9780
134470627/ch10.html#ch10
 https://www.safaribooksonline.com/library/view/strategic-and-practical/97814666019
70/978-1-4666-0197-0.ch005.xhtml
 https://www.safaribooksonline.com/library/view/security-policies-and/978128405599
3/08part1.xhtml
 https://www.safaribooksonline.com/library/view/information-security-the/9780071784
351/ch5.html
 https://www.safaribooksonline.com/library/view/security-program-and/978013348118
1/ch02.html
 https://www.safaribooksonline.com/library/view/writing-information-security/157870
264X/1578702 64X_part01.html
 https://onedrive.live.com/download%3Fresid%3DA83490A7292CF271!4021+&cd=1
&hl=ro&ct=clnk&gl=ro,
 https://www.integritate.eu/Admin/Public/Download.aspx?file=Files%2FFiles%2Forga
nizare%2F018_PoliticaInDomeniulSecuritatiiInformatiilor.pdf
 http://www.ccrm.md/public/files/file/proiecte/IT/H102012an1.pdf
 https://dtic.upg-ploiesti.ro/storage/Documente/Politica_securitate_UPG.pdf
 http://www.campiaturzii.ro/securitate/Politica-si-Regulamente-Securitate.doc
 http://www.uaiasi.ro/ro/files/regulamente/diacd/Regulament%20utilizare%20si%20sec
uritate%20RIC.pdf

44
  https://www.spitaldb.ro/files/cristi/DESPRENOI/RUNOS/PoliticadesecuritateSJUT.docx
 http://dcd.uaic.ro/doc/Politica_si_Planul_de_Securitate_RIC.pdf.
 http://apmbc.anpm.ro/documents/839945/2502648/PoliticisecuritateAPMSIBIU.pdf/b
244 8889-c643-4857-a5ae-a4472dc72c09
 http://www.usamvcluj.ro/CIC/documente/Politica%20de%20securitate.pdf.
 https://www.uoradea.ro/display2329
 https://www.digisign.ro/uploads/Politica_de_securitate_a_informatiei.pdf
 http://3tteam.ro/politica-securitate/
 http://www.asesoft.ro/wp-content/uploads/Politica%20si%20obiectivele%20societetii
%20privind %20Securitatea%20Informatiei.pdf
 http://www.treira.ro/politici%20de%20securitate/securitate.pdf
 http://www.omniasig.ro/politica-in-domeniul-securitatii-informatiilor.html
 http://www.anvico.ro/news/25-03-2015-politica-in-domeniul-calitatii-mediului-securit
atii-informatiei
 http://teamnet-dedalus.ro/politica-de-securitate-informatiilor/
 http://www.bss.ro/wp-content/uploads/2017/02/ISO27001p.pdf
 http://www.assaabloy.ro/Local/RO/New%20Platform/Brand-Logos/POLITICA%20D
E%20SECURITATE%20A%20INFORMATIEI%20ASSA%20ABLOY%20ROMANIA%2025
-01-2016.pdf
 http://www.rartel.ro/docs/Politica%20in%20domeniul%20SMI.pdf
 https://onedrive.live.com/download%3Fresid%3DA83490A7292CF271!4021+&cd=1
&hl= ro&ct=clnk&gl=ro
 https://www.safaribooksonline.com/library/view/security-program-and/978013348118
1/ch02.html
 http://www.campiaturzii.ro/securitate/Politica-si-Regulamente-Securitate.doc.

45