Managementul

Securității în Organizații

Ciuf Bogdan Andrei

Managementul Securității în Societatea Contemporană, AN I, IFR
Examen

1
 Securitatea informaţiilor într-o instituție

Abstract
În cadrul aestui referat „Poate reprezenta înființarea unui compartiment/departament de
securitate organizațională – care să se ocupe de implementarea tuturor măsurilor de asigurare a
securității organizației – un model de bune practici?” voi încerca să dezvolt abordarea prin care,
Securitatea informațiilor are un rol extrem de important în gestionarea datelor la nivel instituțional.
Pentru însăși supraviețuirea acesteia este absolut necesar implementarea unui sistem de management
al securiății informațiilor în instituție. Este esențială și definitorie în acest scop mărimea și tipul
instituției. Într-o era a digitalizării, și a transformării digitale, principalele pericole în materie de risc,
amenințare și vulnerabilitate vin din mediul online, din manipularea instrumentelor care sunt
conectate la o sursă deschisă „internet”, datele deținute și gestionate de către instituții.
Așadar această lucrare se va concentra pe câteva elemente definitorii în funcționarea unei
instituții/organizații și anume: informația, gestionarea informației, accesul la informație, manipularea
și transformarea acesteia și rolul unui sistem de management al securității în cadrul instituției. Un al
element esențial din cadrul unei instituții este resursa umană, individul, care stă la baza procesului
decizional.

Introducere
Securitatea informațiilor şi a reţelelor de comunicaţii este un subiect care apare din ce în ce
mai des în problemele cu care se confruntă organizaţiile/instituțiile. Din punct de vedere managerial,
indiferent de domeniul public sau privat în care activează, practica organizațiilor care dețin sau
operează informații calsificate constituie un subiect deosebit de important de cercetare, având în
vedere specificul mecanismelor decizionale și gravitatea consecințelor în cazul unor incidente de
securitate.

Cuprins
În termeni de specialitate, incidentul de securitate este definit ca un eveniment prin care se
încearcă sau se realizează accesul la un sistem informatic, un atac asupra integrităţii şi/sau
confidenţialităţii informaţiei de pe un sistem informatic automatizat.
Aceasta include examinarea sau navigarea neautorizată, întreruperea sau anularea unui serviciu,
date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea informaţiilor, modificarea

2
informaţiilor sistemului referitoare la caracteristicile componentelor hardware, firmware sau
software, cu sau fără ştiinţa ori intenţia utilizatorului.
Dintre cele mai semnificative şi grave evenimente, pot fi enumerate:
 acces neautorizat şi transfer de date cu grade diferite de confidenţialitate: Secret de serviciu
național, NATO și UE echivalent; Secret de stat național (secret, strict secret, strict secret de
importanță deosebită), NATO și UE echivalent.
 modificarea, ştergerea sau deteriorarea datelor;
 perturbarea sistemelor informatice;
 producerea, vânzarea, procurarea pentru utilizare şi distribuţie fără drept a dispozitivelor care
pot perturba grav sistemele informatice;
 interceptarea parolelor şi a codurilor de acces în scopul sabotării sistemelor şi reţelelor de
calculatoare;
 falsificarea datelor cu intenţia de a fi folosite ulterior ca date autentice;
 înşelătorii sau fraude comise prin intermediul computerelor;
 utilizarea neautorizată a programelor protejate prin dreptul de autor.

Instituția publică are implementat propriul său sistem de asigurare a securității informației.
S-a recurs la un set corespunzător de acțiuni care cuprinde politici, practici, instrumente și proceduri,
structuri organizaționale, precum și funcții software. Toate acțiunile au fost prevăzute, definite si
aplicate pentru a asigura că sunt întrunite obiectivele specifice de securitate ale instituției publice.
Sistemul integrat de securitate a informațiilor la nivelul instituției cuprinde nu mai puțin de
cinci domenii de securitate:
1. Organizarea și administrarea securității;
2. Securitatea fizică;
3. Securitatea personalului;
4. Securitatea documentelor naţionale, NATO, UE şi echivalente clasificate;
5. Securitatea informaţiilor clasificate în sistemele informatice şi de comunicaţii
(INFOSEC);

Structura departamentului are următoarea organigramă:

1. Compartimentul securitatea fizică a informațiilor
Securitatea fizică a informaţiilor clasificate se asigură printr-un ansamblu de reglementări şi
măsuri de protecţie adoptate la nivelul obiectivului şi în cadrul activităţilor în care acestea sunt
gestionate, în scopul de:

3
 - a interzice accesul neautorizat, clandestin sau prin forţă la acestea;
- a detecta şi împiedica acţiunile subversive şi de spionaj;
- a delecta şi înlătura slăbiciunile ascunse ale sistemului de securitate adoptat;
- a preveni oricare alte situaţii, împrejurări sau fapte de natură a periclita ori compromite
protecţia informaţiilor clasificate.
Măsurile de protecţie fizică precum gratii la ferestre, geamuri antiefracţie, uși metalice,
încuietori la uşi, pază la intrări, sisteme automate pentru supraveghere, control acces, patrule de
securitate, dispozitive de alarmă, mijloace pentru detectarea observării, ascultării sau interceptării
sunt dimensionate în raport cu:
- nivelul de clasificare al informaţiilor, volumul şi localizarea acestora;
- tipul containerelor de securitate în care sunt depozitate informaţiile;
- caracteristicile clădirii şi zonei de amplasare;
- nivelul de protecţie fizică adecvat riscului rezultat;
- informaţiile furnizate de structurile specializate privind amenajările locale în domeniul
spionajului, sabotajului, terorismului şi activităţilor subversive, analizate prin prisma
vulnerabilităţilor exploatabile şi a nivelului de risc rezultat;
- prevederile Standardelor naţionale şi ale reglementarilor specifice Ministerului
Afacerilor Interne în vigoare, precum şi cu cerinţele standardelor NATO, referitoare la
domeniul protecţiei fizice;
- timpul de acţiune al forţelor de intervenţie.
Măsurile de protecţie fizică sunt cuprinse în Programul de prevenire a scurgerii de informaţii
clasificate care este întocmit de șeful structurii de securitate, conform legislației în vigoare şi
cuprinde:
- date privind delimitarea şi marcarea zonelor de securitate;
- sistemul de control al accesului în zonele de securitate;
- măsurile de avertizare şi alarmare pentru situaţii de urgenţă;
- procedura de raportare, cercetare şi evidenţă a incidentelor de securitate;
- măsurile întreprinse pentru evacuarea documentelor şi modul de acţiune în caz de
urgenţă.

2. Compartimentul securitatea personalului

În cadrul instituției, accesul la informaţii clasificate este permis, cu respectarea principiului
„need to know” (necesitaţii de a cunoaşte), numai persoanelor care deţin autorizaţie de acces, valabilă
pentru nivelul de secretizare al informaţiilor necesare îndeplinirii atribuţiilor de serviciu.
4
 Pentru a asigura accesul personalului propriu la informaţiile naţionale clasificate, se iau
următoarele măsuri:
 Întocmirea listei funcţiilor care necesită acces la informaţii secrete de stat.
 Verificarea şi autorizarea personalului desemnat să ocupe aceste funcţii

Autorizaţia de acces la informaţii clasificate se eliberează numai în baza avizelor acordate

de autoritatea desemnată de securitate (DGIA) în urma verificărilor efectuate asupra persoanei în
cauză, cu acordul scris al acesteia.
Persoana pentru care se solicită acordarea accesului la informaţii secrete de stat îşi exprimă
acordul privind efectuarea acestor verificări printr-o declaraţie scrisă, dată în prezenţa șefului
structurii de securitate odată cu predarea formularului tip completat corespunzător nivelului de
clasificare a informaţiilor respective.
Acordarea autorizaţiei de acces la informaţii clasificate, potrivit nivelului de secretizare, este
condiţionată de avizul autorităţii desemnate de securitate şi de decizia ORNISS, comunicată instituţiei
solicitante.
Solicitările privind efectuarea verificărilor de securitate în vederea avizării eliberării
autorizaţiilor de acces la informaţii secrete de stat se vor face în funcţie de nivelul de secretizare al
informaţiilor la care persoanele urmează să obţină acces în virtutea sarcinilor de serviciu.
Solicitarea iniţierii procedurilor de verificare în vederea eliberării autorizaţiei de acces la
informaţii secrete de stat va fi însoţită de formularele tip potrivit nivelului de secretizare al
informaţiilor, completate de persoana în cauză, introduse în plic separat, sigilat.

3. Compartimentul securitatea documentelor clasificate

Securitatea documentelor clasificate reprezintă ansamblul procedurilor, cerinţelor şi a
măsurilor privind gestionarea şi controlul documentelor clasificate.
Nu se poate vorbi de securitatea informaţiei fără existenta unei clasificări a acesteia pilonul
principal al unui sistem de securitate performant. Acest proces permite identificarea informaţiei care
necesită masuri speciale de protecţie împotriva dezvăluirilor neautorizate și a valorilor de protejat.
Politicile de securitate stabilite la nivelul instituției, vin sa stabilească modalitatea de
protecţie, în funcţie de nivelul de clasificare acordat fiecăreia. Încadrarea informaţiilor într-o clasă
sau nivel de clasificare se realizează în raport de importanţa pe care o au pentru securitatea naţională
şi de consecinţele ce s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate.
În cadrul informaţiilor clasificate se înscriu atât informaţiile care privesc securitatea
naţională, a căror divulgare ar putea prejudicia siguranţa naţionala și apărarea țării, denumite

5
informaţii secrete de stat, cât si informaţiile a căror dezvăluire ar putea aduce prejudicii unor persoane
juridice de drept public sau privat, care sunt definite drept informaţii secrete de serviciu.
Documentul clasificat este orice suport material care conţine informaţii clasificate, în
original sau în copie, precum hârtie – documente olografe, dactilografiate sau tipărite, schiţe, hărţi,
planşe, fotografii, desene, indigo, listing; medii de stocare a sistemelor informatice – dischete,
compact-discuri, hard-discuri, memorii PROM şi EPROM, riboane; este folosit pentru stocarea
informaţiilor:

4. Compartimentul INFOSEC
Modalităţile şi măsurile de protecţie a informaţiilor clasificate care se prezintă în format
electronic sunt similare celor pe suport de hârtie.
În procesul de asigurare a securităţii informaţiilor clasificate sunt avute în vedere următoarele
obiective:
- confidenţialitatea - asigurarea controlului asupra dezvăluirii şi accesului la
informaţiile clasificate şi la serviciile şi resursele aferente sistemelor;
- integritatea - asigurarea acurateţei şi completitudinii informaţiilor clasificate,
precum şi a serviciilor şi resurselor aferente sistemelor;
- disponibilitatea - asigurarea faptului că persoanele autorizate au acces şi pot
utiliza informaţiile clasificate, resursele şi serviciile aferente sistemelor;
- autenticitatea - asigurarea identificării şi autentificării de încredere a
persoanelor, dispozitivelor şi serviciilor SIC;
- nerepudierea - asigurarea unei capacităţi corespunzătoare de a dovedi faptul că
o acţiune sau un eveniment a avut loc, astfel încât să nu poată fi repudiată ulterior
respectiva acţiune sau eveniment.
Gradul de aplicabilitate a obiectivelor menționate anterior este specific fiecărui sistem
informatic și de comunicații (SIC) şi este determinat pe baza unei serii de factori, incluzând
obiectivele misiunii SIC, cerinţele de securitate minime impuse de politicile de securitate naţională,
NATO, UE şi/sau ale respectivului SIC şi, după caz, rezultatele analizei riscului la adresa securităţii.

Concluzii
Sistemul integrat de securitate al informației la nivelul instituției este unul complex, care
respectă prevederile normelor în vigoare de aplicare a legislației în domeniu. Se poate afirma fără
echivoc, faptul că sistemul este unul viabil cerințelor actuale la problemele de asigurare a protecției
informațiilor clasificate. Structura de securitate, care organizează și administrează securitatea la

6
nivelul instituției, este preocupată în permanență la respectarea regulilor, procedurilor, cerințelor în
domeniu având sprijinul necondiționat al echipei de comandă. Calificativele foarte bune obținute în
urma controalelor executate de structurile specializate ale ministerului, lipsa incidentelor de
securitate, dovedesc acest lucru și oferă garanția unui climat de securitate sănătos.