Rezumat

Capitolul I
Dispoziții generale

Hotărârea de guvern reglementează standardele naționale de protecție a

informațiilor clasificate/secrete de stat.

Standardele sunt obligatorii pentru toate persoanele care gestionează

astfel de informații.

Definiții:
- Autoritate Desemnată de Securitate (ADS) – coordonează și controlează
activitățile de protecție a informațiilor secrete de stat.
- Autorizație de acces la informații clasificate – document care confirm că
posesorul poate avea acces la informații secrete de stat.
- Certificat de securitate – document eliberat structurii/funcționarului de
securitate, atestă accesul la informații secrete de stat.
- Funcționar de securitate – persoana cu atribuții de protecție a
informațiilor clasificate
- Clasificarea informațiilor – încadrarea informațiilor într-o clasă sau
nivel de secretizare
- Declasificare – scoaterea informațiilor din clasa de secretizare
- Document clasificat – orice suport material care conține informații
clasificate.
- Incident de securitate – orice incident care compromite informațiile
clasificate
- Principiul necesității de a cunoaște – accesul la informații clasificate
trebuie acordat numai persoanelor care trebuie să lucreze cu astfel de informații

Capitolul II
Clasificarea și declasificarea

Secțiunea 1
Clasificarea informațiilor

Informațiile sunt clasificate în funcție de importanța lor și de consecințele

asupra securității naționale, pe baza unui Ghid.

Secrete de stat se clasifică în informații:

a) Strict secrete de importanță deosebită
b) Strict secrete
 c) Secrete
d) Secrete de serviciu

Fiecare unitate deținătoare trebuie să întocmească liste cu categoriile de

informații cu care lucrează, fără a dezvălui aceste informații.

Șeful ierarhic superior al emitentului informației trebuie să verifice dacă

acestea au fost clasificate corect – emitentul va reclasifica informația, având
obligația să verifice periodic necesitatea menținerii nivelului.

Dacă se folosesc mai multe surse pentru elaborarea unui document, acesta
va primi clasa de secretizare corespunzătoare celei mai înalte clase ale surselor
(dacă o sursă e informație secretă, iar alta e informație strict secretă cu
importanță deosebită, întregul document elaborat va fi clasificat ca fiind strict
secret cu importanță deosebită – principiul ăsta trebuie să îl ții minte, pentru că
se tot repetă în diferite forme: de fiecare dată se acordă clasificarea cea mai
înaltă).

Clasificarea informațiilor se menține cât timp ar putea fi prejudiciată

securitatea națională.

Secțiunea a 2a
Declasificare și clasare la nivel inferior

Declasificarea se poate dispune prin Hotărâre a Guvernului, la cererea

emitentului, dacă: (art. 19 și art. 20)
- a expirat termenul,
- nu mai prejudiciază securitatea națională,
- a fost clasificată de o persoană neautorizată
- informațiile au fost compromise sau pierdute (art. 23)

La schimbarea nivelului, emitentul trebuie să notifice

structura/funcționarul de securitate, pentru evidență. (art. 22)

Informațiile se declasifică de către conducătorii unităților emitente (art.

24)

Secțiunea a 3a
Măsuri de protecție
 Măsurile de protecție se dispun în funcție de clasele și nivelurile de
secretizare (art. 25).

Transmiterea informațiilor se poate face doar către persoane care dețin

autorizație de acces pentru nivelul respectiv de clasificare (art. 26)

Secțiunea a 4a
Structura/funcționarul de securitate

În unitățile deținătoare cu un volum redus de informații clasificate, se

numește un funcționar de securitate, iar în rest se înființează o structura de
securitate (art. 29).
Șeful structurii sau funcționarul de securitate trebuie să dețină certificat
de securitate pentru cel mai înalt nivel de clasificare (strict secret de importanță
deosebită) (art. 30).

Atribuții:
- elaborează norme interne de protecție a informațiilor,
- întocmește programul de prevenire,
- coordonează activitatea de protecție,
- informează vulnerabilitățile și riscurile,
- instruiește persoanele care au acces la informații,
- ține evidența certificatelor și autorizațiilor de acces
- controlează modul de aplicare a măsurilor de protecție

Secțiunea a 5a
Accesul la informațiilor clasificate

Accesul la informații este permis doar persoanelor care au autorizație de

acces pentru nivelul informațiilor respective, doar dacă este necesar pentru
îndeplinirea atribuțiilor de serviciu (principiul necesității de a cunoaște) (art.
33).

Pentru informațiile strict secrete de importanță deosebită se înființează o

fișă de consultare păstrată de deținător, unde se notează toate persoanele care au
acces (art. 34).

Toate persoanele care au acces la informații vor fi instruite și vor semna

un angajament de confidențialitate (art. 35).
 În cazuri excepționale se poate acorda acces temporar persoanelor care nu
au autorizație de acces, dar persoanele vor semna un angajament de
confidențialitate (art. 36).

Pentru informațiile strict secrete de importanță deosebită sunt preferate

persoanele care au deja autorizație de acces la informații clasificate, dar nu e
obligatoriu (art. 37).

Transmiterea informațiilor între unități se va face cu respectarea

principiului necesității de a cunoaște (art. 38).

Unitatea primitoare trebuie să deține autorizație de acces pentru nivelul

de clasificare al informațiilor (art. 39).

Capitolul III
Reguli privind evidența...
Unitățile deținătoare trebuie să înființeze compartimente speciale pentru
evidența informațiilor clasificate, compartimente ce sunt coordonate de
structura/funcționarul de securitate (art. 40).

Numărul de înregistrare al documentelor clasificate începe cu: (art. 41)

- 3 zerouri (000) pentru documentele strict secrete de importanță
deosebită
- 2 zerouri (00) pentru cele strict secrete
- un zero (0) pentru cele secrete
- litera S pentru secretele de serviciu

Fiecare pagină a documentului, inclusiv anexele trebuie să cuprindă clasa

de clasificare, iar anexele se clasifică în funcție de conținutul lor, nu în funcție
de documentul la care este anexat (dacă documentul principal este strict secret
de importanță deosebită, iar acesta cuprinde 2 anexe, una fiind strict secretă, iar
alta secretă, anexele nu capătă clasificarea strict secretă de importanță deosebită,
ci își păstrează clasificarea inițială) (art. 42)

Documentele sunt marcate, inscripționate doar de către persoane care

dețin autorizație de acces pentru nivelul respectiv de clasificare (art. 45)

Într-un document clasificat pot exista clasificări de secretizare diferite

pentru diferite secțiuni ale acestuia (art. 47)

Toate documente aflate în lucru sau în stadiu de proiect sunt clasificate

potrivit informațiilor conținute (art. 49)
 Toate documentele foto/video trebuie etichetate potrivit nivelului de
secretizare (art. 51)

Ambalajele sau suporții în care se păstrează documente clasificate trebuie

inscripționate potrivit clasei de secretizare (art. 55)

În cazul sunt folosite documente clasificate pentru întocmirea unui alt

document, acesta păstrează nivelul de clasificare a documentelor sursă (art. 56)

Documentele strict secrete de importanță deosebită sunt păstrate și

înregistrate separat (art. 62)

Multiplicarea documentelor clasificate poate fi realizată doar de persoane

autorizate să aibă acces la nivelul de secretizare respectiv (art. 66), iar
multiplicarea trebuie aprobată de conducătorul unității deținătoare, cu avizul
structurii/funcționarului de securitate (art. 69)

Documentele clasificate pot fi digitalizate cu aprobarea emitentului, dacă

li se asigură același nivel de protecție și trebuie înregistrate și trebuie înscrise
într-un registru de evidență (art. 73)

Difuzarea documentelor multiplicate se face cu avizul

structurii/funcționarului de securitate (art. 74)

Persoanele care consultă documente clasificate trebuie consemnate în fișa

de consultare a documentului (art. 75)

Documentele pentru care a expirat termenul de clasificare se arhivează

sau se distrug(pentru distrugere este necesar avizul emitentului), operațiunile
fiind menționate în registru. (art. 76)

Ciornele rezultate din elaborarea unui document se distrug, dar pot fi

păstrate, fiind clasificate conform nivelului de secretizare a documentului final
(art. 77)

Documentele strict secrete de importanță deosebită ce trebuie distruse se

înapoiază unității emitente, iar distrugerea va fi consemnată într-un proces-
verbal aprobat de conducătorul unității, semnat de structura/funcționarul de
securitatea și de persoana care asistă (toate persoanele trebuie să aibă autorizație
de acces pentru nivelul respectiv de clasificare) (art. 78)
 Distrugerea documentelor strict secrete, secrete și secrete de serviciu se
consemnează într-un proces-verbal semnat de 2 persoane asistente, avizat de
structura/funcționarul de securitate și aprobat de conducătorul unității (art. 79)

Documentele clasificate se transportă pe teritoriul României de către SRI,

iar în exterior de către curieri diplomatici pregătiți de SIE (art. 81).

Capitolul IV
Protecție informațiilor secrete de stat

Secțiunea 1
Obligații

Toate persoanele care emit, gestionează sau intră în posesia informațiilor

clasificate au obligația protejării acestora (art. 83)

Conducătorii unității deținătoare sunt responsabili de aplicarea măsurilor

de protecție (art. 84)

Conducătorul unității care gestionează este obligat să asigure organizarea

structurii/funcționarului de securitate și să aplice măsuri procedurale de
protecție fizică și protecție a personalului (art. 86)

Secțiunea a 2-a
Protecția juridică

Toate persoanele care gestionează informații clasificate trebuie să

cunoască reglementările în vigoare (art. 87)

Conducătorul unității deținătoare trebuie să notifice instituțiile care

asigură coordonarea activității și controlul măsurilor de protecție a informațiilor
clasificate de fiecare dată când acestea sunt compromise (art. 88)

Structura/funcționarul de securitate ține evidența cazurilor de

compromitere (art. 91)

Secțiunea a 3-a
Măsuri procedurale

Toate unitățile deținătoare trebuie să întocmească un program de

prevenire a scurgerii informațiilor clasificate (art. 94)

Secțiunea a 4-a
 Protecția fizică

Locațiile unde sunt gestionate informații clasificate trebuie protejate fizic

pentru a preveni accesul neautorizat (art. 96)

Art. 98
Pentru informațiile strict secrete de importanță deosebită și cele strict
secrete se organizează o zonă de securitate Clasa I, în care toate intrările și
ieșirile sunt supravegheate, accesul să fie permis doar persoanelor autorizate.

Pentru informațiile secrete se organizează o zonă de securitate Clasa a

II-a, în care toate intrările și ieșirile sunt supravegheate și să permită accesul
neînsoțit al persoanelor autorizate.

Art. 100
În jurul zonelor de securitate poate fi stabilită o zonă administrativă, care
să permită controlul persoanelor.

Art. 104
Personalul care asigură paza și protecția obiectivelor trebuie să dețină
autorizație de acces pentru nivelul de secretizare respectiv.

Art. 107
Accesul pentru reparații se poate face doar angajaților unității care dețin
autorizație de acces temporar pentru nivelul de secretizare respectiv (+art. 114).

Unitățile care gestionează informații clasificate vor întocmi un plan de

pază și apărare a locațiilor (art. 120)

Documentele strict secrete de importanță deosebită se păstrează în

containere clasa A în zona de securitate clasa I, iar celelalte se păstrează în
containere clasa B în zonele de securitate respective (art. 121)

Containerele trebuie să fie protejate împotriva pătrunderii clandestine și

împotriva deteriorării documentelor (art. 122)

În zonele de securitate pot fi organizate încăperi special amenajate pentru

ca documentele să fie păstrate pe rafturi deschise (art. 123)

Ferestrele de la parter sau ultimul etaj trebuie protejate cu bare, iar ușile
trebuie sigilate în afara programului de lucru (art. 124)
 În afara programului de muncă cheile sunt păstrate în cutii sigilate de
către personalul de pază, predate pe baza de semnătură (art. 129).

Cheile și încuietorile vor fi schimbate periodic, dar nu mai mult de 12

luni, și de fiecare dată când au devenit vulnerabile sau a avut loc o schimbare de
personal (art. 132)
Protecția împotriva ascultării pasive a discuțiilor se realizează prin izolare
fonică, iar protecția împotriva ascultării active (prin microfoane) se realizează
pe baza inspecțiilor de securitate (art. 136)

Secțiunea a 5-a
Protecția personalului

Unitățile deținătoare trebuie să asigure protecția personalului, pentru a

preveni accesul persoanelor neautorizate, respectarea principiului necesității de
a cunoaște (art. 140)

Unitățile care gestionează informații clasificate trebuie să țină evidența

certificatelor de securitate și autorizațiilor de acces (art. 145)

Dacă apar situații de incompatibilitate, poate fi reluată procedura de

verificare a deținătorului certificatului de securitate sau a autorizației de acces
(art. 146). Acestea se emit în 2 exemplare originale, unul fiind păstrat de
structura/funcționarul de securitate (art. 154)

Certificatul/autorizația de acces sunt valabile până la 4 ani (art. 155)

Art. 159
Elemente de incompatibilitate pentru eliberarea certificatului de securitate
sau autorizației de acces:
- acte de spionaj, terrorism, trădare sau alte infracțiuni contra siguranței
statului,
- susținut membri ale unor organizații ori puteri străine inamice

Art. 160
Alte elemente de incompatibilitate:
- ascuns sau falsificat informații relevante pentru siguranța națională
- tendințe infracționale anterioare
- dificultăți financiare
- dependență de alcool sau alte substanțe
- vulnerabilă la șantaj sau presiuni
 Art. 161 - 163
În vederea avizării eliberării certificatului/autorizației de acces se are în
vedere dacă persoana lucrează cu informații clasificate, dacă poate intra în
contact cu astfel de informații sau dacă nu poate avansa fără acces la ele.

Art. 164 Dacă apar riscuri de securitate, se va realizat o verificare

suplimentară prin folosirea metodelor și mijloacelor specifice instituțiilor din
domeniul siguranței naționale (urmărire, ascultare, etc.)

Art. 166 Persoanei care deține certificat/autorizație de acces la informații

naționale clasificate, i se poate acorda acces la informații NATO, pentru același
nivel de acces sau unul inferior.

Art. 170 - 172

Persoanele care primesc certificat/autorizație de acces trebuie instruite
temeinic, prin însușirea standardelor de securitate, de către
structura/funcționarul de securitate

Toate persoanele care gestionează informații clasificate sunt obligate să

cunoască reglementările privind protecția acestora (art. 173)

Secțiunea a 6-a
Accesul cetățenilor străini

Pot avea acces, cu respectarea principiului necesității de a cunoaște

(art. 178), fiind instruite de către structura/funcționarul de securitate (art. 181)

Capitolul V
Fotografiere, filmare în obiective importante

În astfel de obiective unde se gestionează informații secrete de stat este

posibilă fotografierea, filmarea, etc, cu autorizația eliberată de ORNISS (art.
183)

Capitolul VI
Controlul măsurilor de protecție a informațiilor

SRI are competență generală de a exercita controlul privind modul de

aplicare a măsurilor de protecție (art. 191)

Scopul controlului este de a evalua eficiența măsurilor, de a identifica

vulnerabilități, de a remedia deficiențe (art. 192)
 Conducătorii unităților deținătoare trebuie să organizeze anual controale
interne (art. 197)

Capitolul VII
Securitatea indistruală

Capitolul îl voi sări aici, nu cred că îți va fi necesar. Poți să

lecturezi o dată capitolul, să ai habar despre ce e vorba în mare și va fi suficient.

Capitolul VIII
Protecție surselor generatoare de informații
(ăsta e capitolul pe care ar trebui să îl citești singur, că eu nu prea am
înțeles mare lucru din el – este folosit un limbaj tehnic)

Secțiunea 1
Dispoziții generale

Documentelor electronice trebuie să li se asigure același nivel de protecție

ca celor pe suport de hârtie (în funcție de nivelul lor de clasificare) (art. 236)

Informațiile clasificate în format electronic pot fi stocate în cadrul SPAD

sau transmise prin RTD și pot fi stocate și transportate prin intermediul unui
suport de memorie, etc (art. 239)

Unitățile deținătoare trebuie să aprobe o strategie proprie de securitate și

vor implementa sisteme proprii de securitate pentru toate dispozitivele pe care
se stochează sau gestionează informații clasificate (art. 240)

Măsurile de protecție a dispozitivelor se structurează după nivelul de

clasificare și conținutul informațiilor (art. 242).

În fiecare unitate deținătoare trebuie să fie instituită o componentă de

securitate TIC, în subordinea structurii/funcționarului de securitate (art. 244), iar
componenta de securitate TIC este condusă de un funcționar de securitate TIC
(art. 246)

Secțiunea a 2a
Structuri organizatorice cu atribuții specifice în domeniul INFOSEC

Art. 253
 Agenția de acreditare de securitate – asigură acreditarea SPAD, RTD –
SIC, asigură evaluarea lor.

Art. 255
Agenția de Securitate pentru informatică și comunicații – conceperea și
implmentarea măsurilor de protecție a informațiilor clasificate

Art. 258
Agenția de protecție criptografică – asigură managementul
echipamentelor criptografice

Secțiunea a 3a
Măsuri, cerințe și moduri de operare

Art. 259
Măsurile de protecție se aplică sistemelor SPAD și RTD – SIC care
stochează sau gestionează informații clasificate

Art. 260
Măsurile de protecție trebuie să asigure controlul accesului la informații,
în vederea prevenirii accesului neautorizat.

Art. 264
Toate sistemele pot funcționa în mai multe moduri de operare.

Art. 265
În modul de operare dedicat, persoanele trebuie să aibă autorizație de
acces pentru nivelul cel mai înalt al informațiilor stocate pe sistemul respectiv

Art. 267
În modul de operare multi-nivel, accesul la informații se face diferențiat,
în baza principiului necesității de a cunoaște. Astfel, nu este necesară autorizație
de acces pentru nivelul cel mai înalt al informațiilor stocate, ci doar pentru
nivelul la care se solicită acces. Și nu se acordă acces la toate informațiile
stocate.

Art. 272
Toți utilizatorii sistemelor sunt responsabili cu privire la securitatea
acestora, iar accesul se va face cu respectarea principiului necesității de a
cunoaște.

Secțiunea a 4a
 Componentele EVFOSEC

Art. 274
Utilizatorii primesc acces pe baza principiului necesității de a cunoaște și
în funcție de nivelul de clasificare al informațiilor și trebuie instruiți și
supravegheați

Art. 275 Sistemele trebuie proiectate astfel încât o singură persoană să nu

aibă acces la toate programele și cheile de securitate.

Art. 276 Trebuie să existe o separare între operațiunile de programare și

cele de exploatare.

Art. 277 Modificarea sistemelor este permisă doar prin colaborarea a cel
puțin 2 persoane.

Art. 279 Zonele în care sunt amplasate sistemele se declară zone de

securitate clasa II sau clasa II

Art. 280 În zonele sistemelor intrarea trebuie să fie controlată și trebuie să

nu fie ocupată de un singur angajat.

Art. 287 Informațiile clasificate trebuie protejate corespunzător și în

timpul transferul acestora între sisteme.

Art. 288 Mediile de stocare trebuie protejate în funcție de cel mai înalt
nivel de clasificare al informațiilor stocate.

Art. 297 Când un mediu de stocare iese din uz, acesta este declasificat și
poate fi folosit ca mediu de stocare nesecret, însă mediile de stocare al
informațiilor strict secrete de importanță deosebită trebuie distruse.

Secțiunea a 5a
Reguli generale de securitate TIC

Art. 299 Toate mijloacele de transmitere trebuie protejate.

Art. 300 Într-un SPAD – SIC trebuie interzis accesul de la toate stațiile de
lucru

Art. 301 Instalarea inițială sau modificările majore ale sistemelor vor fi
executate doar de persoane autorizate care sunt supravegheate permanent.
 Art. 305 Transmiterea informațiilor către instalații autonome, ce nu
necesită prezența unui operator uman, este interzisă.

Art. 306 În sistemele care au utilizator fără certificate/autorizație de acces

nu se pot stoca informații strict secrete de importanță deosebită.

Art. 310 Este interzisă utilizarea de software neautorizat.

Art. 311 Versiunile software în uz trebuie verificate periodic.

Art. 314 Personalul de întreținere al sistemelor trebuie să dețină certificat

de securitate pentru nivelul cel mai înalt de clasificare al informațiilor stocate în
sistemul respectiv.

Art. 316 Este interzisă întreținerea sistemului ce presupune acces de la

distanță.

Art. 330 Toate SPAD și RTD – SIC sunt inspectate și reexaminate

periodic.

Art. 331 Calculatoarele personale sunt considerate medii de stocare a

informațiilor și sunt supuse reglementărilor privind protecția informațiilor
clasificate corespunzător celui mai înalt nivel de clasificare al informațiilor
(art. 332)