Curs de specializare

« MANAGER DE
SECURITATE »
SECURITATEA INDUSTRIALA
 Problema securitatii obiectivelor industriale se impune ca o
conditie fundamentala de eficienta economica.
De aceea este necesara elaborarea unui nou concept de
securitate industriala.
Acesta trebuie sa integreze problemele de calitate, cele
tehnologice si ecologice ale obiectivului industrial cu
problemele de securitate ale mediului de afaceri, sa protejeze
obiectivul fizic, informational precum, si împotriva incendiilor si
catastrofelor naturale.
Un alt rol al noului concept de securitate industriala consta
în atenuarea consecintelor producerii evenimentelor nedorite si
restabilirea rapida a capacitatilor de productie.
 Datorita implicatiilor sociale majore ale obiectivelor industriale
(producatoare de bunuri, asiguratoare de locuri de munca,
concentratoare de valori, elemente de tehnologie si procese de timp
real, colective umane integrate, realizari arhitectonice sau constructii
remarcabile, precum si elemente de mare influenta ecologica),
problema securitatii acestora, ca principal element de calitate
tehnologica si sociala, se impune ca o conditie fundamentala de
eficienta economica.
CALITATE
TEHNOLOGICA SI SOCIALA
SIGURANTA
OBIECTIV
INDUSTRIAL
SECURITATE EFICIENTA

STABILITATE

OPORTUNITATE

Securitatea – componenta fundamentala a calitatii

 Având în vedere ca nu se poate discuta de eficienta economica
decât înconditiile în care procesele industriale se desfasoara în
siguranta si stabilitate, fara urmari ecologice negative, adica în
securitate, precum si faptul ca obiectivele terorismului international se
apropie din ce în ce mai mult si de aceste capacitati, acestea
coroborate evident cu aspectele concurentei neloiale, se impun
realizarea unui concept si implementarea, în consecinta, a unor
mecanisme de securitate care sa asigure calitatea si sa faca fata
unor evenimente nedorite, periculoase (acte de terorism, sabotaje,
furturi, cutremure, inundatii, explozii, emisii de noxe sau poluari etc.) .
SIGURANTA
CALITATE
EFICI STABILITATE
ENT
CONCEPT MECANIS
A
DE M DE
ECO ECOLOGIE SECURITA SECURITA
NO
TE TE
MIC PROTECTIE
A
ANTITERORISTA EVENIMENTE
NEDORITE
PROTECTIE
CONCURENTIALA
Relationalitatea eficienta economica-securitate industriala
Fata de complexitatea securitatii industriale, precum si datorita noilor
mutatii si orientari teroriste, se impune, cu precadere, elaborarea unui
nou concept de securitate industriala care sa integreze problemele
de calitate, de securitate a mediului de afaceri (aprovizionare, productie,
piata, relatii de cercetare, bancare etc.), sociale, tehnologice, ecologice si
de protectie fizica, informationala, de personal, împotriva incendiilor si
catastrofelor naturale, precum si sa fie capabil sa atenueze consecintele
producerii evenimentelor nedorite si sa contribuie la restabilirea cât mai
rapida a capacitatii de productie . CALITATEA
CARACTERISTICILE TEHNOLOGICE
SA INTEGREZE SI ECOLOGICE
MEDIUL DE AFACERI

CONCE FIZIC INFORMATIONAL

PT DE
SECURI
TATE
SA PROTEJEZE DE PERSONAL
INDUST
RIALA INCENDII CATASTROFE NATURALE
SA ATENUEZE CONSECINTELE
PRODUCERII EVENIMENTELOR
SA RESTABILEASCA RAPID
CAPACITATEA DE PRODUCTIE
Elementele noului concept de securitate industriala
 În esenta, acest concept trebuie sa prevada:
analiza amenintarilor;
determinarea vulnerabilitatilor;
evaluarea riscurilor producerii evenimentelor nedorite si
aconsecintelor
acestora;
stabilirea clasei de securitate a capacitatii si o strategie de
securitate, în
functie de riscurile si costurile posibil a fi suportate;
definirea mediului de securitate necesar pastrarii si dezvoltarii
capacitatii
de productie;
definirea securitatii mediului de afaceri;
 realizarea, implementarea si integrarea mecanismelor de
securitate
într-un sistem complex si eficace;
 stabilirea si constituirea structurii de securitate care sa exploateze
sistemul;
 evaluarea, testarea si automatizarea sistemului de securitate
realizat;
 determinarea limitelor de deschidere si de perfectionare;
 stabilirea masurilor de mentenanta;
 definirea si realizarea cadrului de asigurare complexa (pagube,
riscuri
 Evident conceptul de securitate este o problema de mare profesionalism, dar,
pentru ca acesta sa fie cât mai adecvat nevoilor reale în vederea realizarii unui
mediu de functionare optimal, pentru sistemele de securitate trebuie adoptate
urmatoarele masuri:
 structurarea optimala a proceselor de productie, atât tehnologic, cât si
informational;
 structurarea optimala a constructiilor – arhitectura si instalatii;
 aplicarea celor mai performante tehnologii de supraveghere si alarmare;
 masuri organizatorice adecvate (atât în interior, cât si în mediul de afaceri);
realizarea unui sistem informatic util, eficace si cu suport sigur (retele de
calculatoare si baze de date).

Structura sistemului de securitate va avea la baza datele rezultate din analizele

descrise si conceptul stabilit:
 strategia de securitate;
 amenintarile, vulnerabilitatile, tolerarea riscurilor si directiile de insecuritate;
 scopul actiunilor rauvoitoare;
 atacurile maxim credibile;
 zonele critice (vitale).
 La structurarea sistemelor de securitate industriala trebuie sa se tina
seama si de urmatoarele principii:
sistemul de securitate este rezultatul unei conceptii, al strategiei alese si
al
unei atente analize de costuri si eficienta;
are comportament adaptabil, este deschis si perfectibil, dar este dedicat
obiectivului pe care-l protejeaza;
are structura mixta (om-masina) si caracter cibernetic, cu autoreglare si
învatare în functie de politicile de securitate de succes aplicate;
„înghetarea” si neadaptarea în securitate înseamna insecuritate;
costurile relativ mari ale securitatii pot fi serios diminuate prin :
•analize profesionale si mecanisme adecvate ;
•componente de siguranta afacerilor;
•satisfactia clientilor;
•siguranta si comportamentul personalului.
Din punct de vedere structural, sistemele de securitate industriale sunt:
multinivel, ierarhice functional si actional, mixte (om-masina), adaptabile
strategic si operational, de tip expert.
În principiu, sistemul de securitate al unei capacitati industriale trebuie sa
cuprinda:
SUBSISTEMUL SECURITATII FIZICE:
• mecanismul de protectie perimetrala;
• mecanismul de bariere fizice;
• mecanismul de control al accesului;
• mecanismul de detectie a tentativei de efractie;
• mecanismul de supraveghere cu televiziune în circuit închis;
• mecanismul de alarmare la accidentarea sau agresarea personalului;
• mecanismul de detectie si stingere a incendiilor;
• procedura de evacuare a personalului în cazuri de pericol;
• mecanismul de conservare a procesului tehnologic în caz de avarii,
sabotaje sau catastrofe naturale;
• instalatia de transmitere si de monitorizare a alarmei;
• procedurile echipajelor de interventie.
 SUBSISTEMUL SECURITATII FUNCTIONALE:
• mecanismul de asigurare a calitatii;
• mecanismul sigurantei si stabilitatii proceselor de productie;
• procedurile de operare în siguranta;
• mecanismul si procedura de mentenanta;
• mecanismele si procedurile de conservare a capacitatilor ce pot deveni
periculoase sau nocive în caz de avarii, atacuri sau evenimente catastrofice.

CONCEPTIA

STRATEGIA

MEDIUL DE SECURITATE

SISTEMUL DE SECURITATE

COMPONENTE
FIZICA FUNCTIONALA INFORMATIONALA DE PERSONAL

ORGANIZATORICA
Structura sistemului de securitate industriala
 SUBSISTEMUL ORGANIZATORIC:
• structura de securitate;
• cadrul juridic si procedural al desfasurarii activitatii structurii de securitate;
• cadrul moral al participarii întregului personal la securitate.

SUBSISTEMUL DE SECURITATE A INFORMATIILOR:

• procedura de clasificare a informatiilor;
• mecanismul securitatii conducerii generale si a proceselor de productie;
• mecanismul de asigurare a confidentialitatii informatiilor atât în format
clasic, cât si electronic;
• securitatea retelelor de calculatoare suport atât pentru conducerea
generala, cât si pentru conducerea proceselor;
• securitatea comunicatiilor interne si externe;
• protectia suportilor de informatii si a bazelor de date;
• protectia informatiilor la accidente de alimentare electrica si la impulsuri
electromagnetice de mare intensitate;
• limitarea radiatiilor compromitatoare;
• protectia împotriva supravegherii vizuale si/sau fotografierii ori a interpretarii
comunicatiilor.
 SUBSISTEMUL ASIGURARII PERSONALULUI:
• mecanismul prevenirii accidentelor;
• cadrul moral si educational al comportamentului personalului în situatii
normale de criza;
• angajamente de securitate;
• acorduri de confidentialitate;
• coduri deontologice si nume de comportament;
• raporturi echilibrate de munca, pregatire, responsabilitate si manifestare a
initiativei constructive.

Prin obtinerea autorizatiei/certificatului de securitate se dovedeste ca o

societate indeplineste urmatoarele cerinte:
a) poseda program de prevenire a scurgerii de informatii clasificate, avizat
de SRI;
b) este stabila din punct de vedere economic;
c) nu a înregistrat nicio greseala de management cu implicatii grave asupra
starii de securitate a informatiilor clasificate pe care le gestioneaza;
d) a respectat obligatiile de securitate din cadrul contractelor clasificate
derulate anterior;
e) personalul propriu implicat în derularea contractului detine certificat de
securitate de nivel egal celui al informatiilor vehiculate în cadrul
contractului clasificat.
SECURITATEA INDUSTRIALA
ANALIZA RISCULUI
Curs de specializare
« MANAGER DE SECURITATE »
SERIA III
august – septembrie 2011
 SECURITATEA INDUSTRIALA
ANALIZA RISCULUI
• Baza legala
a re iul
• Standarde de securitate r i c e n
ă su dom
• Functia de protectie in noul concept şi m te înde securitate
m e ca
industriala or si fi
e n c la
l d iiloder
• Managementul sistemelor m u
a ţ securitate industriala
i e
st orm
• Matricea riscului - s nf
conform ISO 27001/2005
l ă i
t r i a c ţi a
• Amenintare, u s vulnerabilitate
o te ale , risc, impact – definitii
i n d r
p ctu
a te a z ă ra
• Analiza i t
r ent con riscului
e t
c u
• seRegistrul
l e m i l or
eg tăţ de riscuri al institutiei
r vi
ac ti
 Baza legală
LEGEA nr. 51/1991 privind Siguranța națională a României

LEGEA nr. 182/2002 privind protecția informațiilor clasificate

HOTĂRÂRE nr. 585/2002 pentru aprobarea Standardelor

naţionale de protecţie a informaţiilor clasificate în România
INFORMATIILOR
PROTECTIA

HOTĂRÂREA nr. 1349/2002 privind colectarea, transportul,

INDUSTRIALA
SECURITATEA

distribuirea și protecția, pe teritoriul României, a

corespondenței clasificate
LEGEA nr. 16/1996 actualizată la data de 24/12/2006
Legea Arhivelor Naționale

LEGEA nr. 544/2001 actualizată la data de 29/06/2007

privind liberul acces la informațiile de interes public

HOTĂRÂREA nr. 781/2002 privind protecția informațiilor

secrete de serviciu
 Standarde de securitatea informatiilor
ISO/IEC 27000:2009 - provides an overview or introduction to the ISO27k standards and defines the specialist vocabulary used
throughout the ISO27k series.
ISO/IEC 27001:2005 is the Information Security Management System (ISMS) requirements standard, a specification for an ISMS
against which thousands of organizations have been certified compliant.
ISO/IEC 27002:2005 is the code of practice for information security management describing a comprehensive set of information
security control objectives and a set of generally accepted good practice security controls.
ISO/IEC 27003:2010 provides implementation guidance for ISO/IEC 27001.
ISO/IEC 27004:2009 is an information security management measurement standard suggesting metrics to improve the effectiveness
of an ISMS.
ISO/IEC 27005:2011 is an information security risk management standard with advice on selecting appropriate risk analysis and
management tools and methods.
ISO/IEC 27006:2007 is a guide to the certification or registration process for accredited ISMS certification/registration bodies who
award ISO/IEC 27001 certificates.
ISO/IEC 27007 will be a guideline for auditing Information Security Management Systems. It is expected to focus on auditing the
management system elements.
ISO/IEC TR 27008 will provide guidance on auditing information security controls. It is expected to focus on auditing the information
security controls.
ISO/IEC 27010 will be a multi-partite standard providing guidance on information security management for sector-to-sector
communications.
ISO/IEC 27011:2008 is the information security management guideline for telecommunications organizations (also known as ITU
X.1051).
ISO/IEC 27013 will provide guidance on the integrated implementation of ISO/IEC 20000-1 (IT Service Management) and ISO/IEC
27001 (ISMS).
ISO/IEC 27014 will cover information security governance.
ISO/IEC 27015 will provide information security management systems guidance for financial services organizations.
ISO/IEC 27031 will be an ICT-focused standard on business continuity.
ISO/IEC 27032 will provide guidelines for cybersecurity.
ISO/IEC 27033 will replace the multi-part ISO/IEC 18028 standard on IT network security.
ISO/IEC 27034 will provide guidelines for application security.
ISO/IEC 27035 will replace ISO TR 18044 on security incident management.
ISO/IEC 27036 guideline for security of outsourcing (new project).
ISO/IEC 27037 guideline for digital evidence (new project).
PROCESUL DE CUANTIFICARE A RISCULUI

STABILIREA CONTEXTULUI

EVALUAREA RISCULUI

MONITORIZAREA RISCULUI
IDENTIFICAREA RISCULUI
COMUNICAREA RISCULUI

RISCULUI
ANALIZA
ESTIMAREA RISCULUI

EVALUAREA RISCULUI

NU
DA
TRATAREA RISCULUI
NU
DA
ACCEPTABILITATEA RISCULUI ISO 27005/2011
 Noul concept de
securitate industriala
CALITATEA
CARACTERISTICILE TEHNOLOGICE
SA INTEGREZE SI ECOLOGICE
MEDIUL DE AFACERI

CONCE FIZIC INFORMATIONAL

PT DE
SECURI
TATE
SA PROTEJEZE DE PERSONAL
INDUST
RIALA INCENDII CATASTROFE NATURALE
SA ATENUEZE CONSECINTELE
PRODUCERII EVENIMENTELOR
SA RESTABILEASCA RAPID
CAPACITATEA DE PRODUCTIE
 FUNCTIA DE PROTECTIE A SECURITATII INDUSTRIALE
COMPONENTE

Protecția prin Protecția fizică

măsuri procedurale Protecția personalului

Protecția juridică
ANTET
Nr___din___
SECRET
Exemplar nr.__ Protecția surselor
generatoare
de informații
CONTRACT INFOSEC
Protecția impotriva
incendiilor si a
catastrofelor Protecția
SECRET informationala
naturale 1din24
RL.nr_/_/_
 Riscul de securitate
• Riscul este o functie intre probabilitatea de aparitie
a unei surse de amenIntare datorate unei
vulnerabilitati particulare si impactul asupra
organizatiei a unui eveniment advers.
• Pentru a determina probabilitatea unui eveniment
advers, trebuie analizate amenintarile sistemelor de
securitate in conjuctie cu vulnerabilitatile potentiale
si controalele implementate pentru sistemele de
securitate ale organizatiei.
 MANAGEMENTUL RISCULUI
- DEFINITII-
• Managementul riscului /riscului de
securitate este procesul care permite
managerilor societatii/managerului de
securitate sa asigure un echilibru intre
costurile operationale si resursele
financiare pentru masurile de protectie si
atingerea obiectivelor privind protejarea
datelor si sistemelor care sustin
activitatea organizatiei.
 SECURITATEA INDUSTRIALA
Managementul riscului
• Activitati specifice pentru fiecare categorie de
risc:
1.IDENTIFICARE
2.ANALIZA
3.EVALUAREA IMPACTULUI
4.EVALUAREA VULNERABILITATILOR
5.MONITORIZARE
6.MASURI DE LIMITARE
 ANALIZA RISCULUI
(ISO 27005/2008):
Cuantificarea riscului=Analiza riscului + Evaluarea riscului
Analiza riscului=Identificarea riscului + Estimarea riscului

Obiectivul analizei riscului de securitate :

- Sa asigure o vedere de ansamblu asupra
aspectelor care trebuie controlate astfel
incat sa se asigure indeplinirea politicii de
securitate a organizatiei.
Risk Analysis
National and International Standards References
»ISO 13335-1 and ISO 13335-2
»ISO Guide 73 –Risk management Vocabulary
»AS NZS 4360
 Managementul riscului de securitate
• Procesul de management al riscului :

1. Identificarea vulnerabilitatilor
2. Identificarea amenintarilor
3. Stabilirea masurilor de limitare a riscurilor

SCOPUL managementului riscurilor de securitate:

reducerea riscurilor la un nivel acceptat.
 Managementul riscului
• Evaluarea riscurilor este un proces in
metodologia de risc management.
Organizatiile folosesc evaluarea riscurilor
pentru a determina extinderea
potentialelor amenintari si riscurile
asociare cu sistemele de securitate.
Rezultatele acestui proces ajuta la
identificarea controalelor necesare pentru
reducerea sau eliminarea riscului.
 Mecanismul formării riscurilor
PROPRIETARI
TIPURI UZUALE DE ANALIZE DE RISCURI

• Analiza calitativă de • Analiza cantitativă

riscuri de riscuri

• Analiza cost – • Recuperarea

beneficii investiţiilor în
securitate (Return of
Investiment - ROI)
 ANALIZA DE RISCURI
• Infrastructura critică;
• Diverse interese;
• Proiectele de dezvoltare;
• Categorii de valori;
• Fiecare ”valoare” critică sau semnificativă;
• Tipuri de atacuri;
• Diverşi agenţi de ameninţare;
• Diverse vulnerabilităţi.
 MATRICEA RISCULUI (I)
A. Matricea valorilor
Ipoteze:
1. Confidentialitatea, integritatea si disponibilitatea informatiilor vor avea valoarea
minima 1 .
2. Valorile sunt cele din tabel

3. Valorile cumulate reprezinta valoarea finala

4. Exemplu

Tabelul 1 Matricea valorilor

 MATRICEA RISCULUI (II)
B. Matricea valorilor asociate nivelului amenintarilor si vulnerabilitatilor (tabelul 2)
Ipoteze:
Valorile pentru amenintare si vulnerabilitate sunt cele din tabel

Valorile asociate reprezinta valoarea finala

Exemplu
 MATRICEA RISCULUI (III)
C. Matricea valorilor asociate nivelului impactului riscului (tabelul 3)
Ipoteze:
Valorile probabilitatilor sunt cele din tabel

Valoarea asociata nivelului impactului risculuise calculeaza cu formula:

Exemplu:
 MATRICEA RISCULUI (IV)
Matricea valorilor asociate nivelului impactului riscului (tabelul 3)
 MATRICEA RISCULUI (V)
Nivelul acceptabil al riscului
Managementul decide impactul asupra afacerii astfel:

Dupa analizele efectuate managementul decide reguli le

pentru un risc acceptabil:
 RISCUL CRITIC
Nivelul riscului critic (criticitatea)

Gravitatea (G)

RISCURI
INACCEPTABILE

RISCURI
ACCEPTABILE

Probabilitatea de aparitie a unui

eveniment nedorit
 DEFINITII
1. Ameninţarea - cauză potenţială, accidentală sau deliberată a unui incident
care ar putea conduce la compromiterea sistemului de management al
securităţii fizice.
2. Vulnerabilitatea - slăbiciune sau lipsă de control care ar putea permite sau
facilita o manevră tehnică, procedurală sau operaţională, prin care se
ameninţă o valoare sau ţintă specifică.

3. Îngrijorarea de bază – ce se pune în pericol referitor la valoarea protejată?

4. Probabilitatea -care este probabilitatea de realizare în timp a riscului
respectiv?
5. Impactul -Ce prejudiciu poate produce valorii de protejat?

6. Riscul- combinaţia dintre probabilitatea producerii unui eveniment cu

implicaţii în sistemului de management al securităţii fizice şi consecinţele
sale.
7. Şansa de nedetectare -detectabilitatea riscului- să descoperim când s-a
întâmplat un anumit risc

8. Numărul de prioritate al riscului (RPN=Risk Priority Number)

 DEFINITII
Grade de vulnerabilitate:

• Scăzută: presupune existenţa unui sistem de protecţie şi control foarte riguros;

• Medie: presupune existenţa unui sistem de protecţie şi control permisiv;

• Majoră: presupune existenţa unui sistem de protecţie şi control deficitar;

 DEFINITII
Tipuri de ameninţări:

• Accidentale: defecţiuni tehnice; deteriorări fizice datorate condiţiilor de mediu

sau calamităţilor naturale; etc.;

• Deliberate: sustrageri; realizarea de copii neautorizate;distrugeri sau deteriorări

intenţionate sau din neglijenţă; neîndeplinirea sau îndeplinirea defectuoasă a
atribuţiilor funcţionale; etc.;
 CUANTIFICARI
• ÎNGRIJORAREA DE Confidenţialitatea = C
BAZĂ

Integritatea = I

Disponibilitatea = D
 CUANTIFICARI
• Neglijabilă: Nu este probabil să se
realizeze = 0

• Foarte scăzută: Posibil de 2 – 3 ori în 5

ani = 1

PROBABILITATEA • Scăzută: o dată pe an = 2

• Medie: o dată la 6 luni = 3

• Mare: o dată pe lună = 4

• Foarte mare: mai mult de o dată pe

lună = 5

• Extremă: de câteva ori pe săptămână

sau mai des = 6
 CUANTIFICARI
Impactul: Riscul
• Nesemnificativ = 1 • Nul = 0
• Semnificativ = 2 • Scăzut = 1-3
• Mediu = 4-7
• Distructiv = 3
• Mare = 8-14
• Serios = 4
• Critic = 15-19
• Grav =5 • Extrem = 20-30

Şansa de nedetectare
•
Numărul de prioritate al riscului
Extrem de mare: foarte uşor de detectat
=1 (RPN)
• Mare: relativ uşor de detectat = 2 • stabileşte o ierarhizare în funcţie de risc
• Mediu: poate fi detectat dar cu un anumit (probabilitate de realizare şi impactul
efort = 3 potenţial) şi şansa de nedetectare.
• Scăzut: există o probabilitate mică de • RPN = Risc X Şansa de
detecţie = 4
• Extrem de scăzut: foarte dificil, aproape
nedetectare
imposibil de detectat = 5
 Aplicatie practica
- Analiza principalelor incidente de securitate industriala

Nr
Incident de securitate industriala Ameninţarea Vulnerabilitatea Risc posibil
crt

Inexistenta unei proceduri

Neprotejarea informatiilor dintr- Interesul unor persoane neautorizate de a Compromiterea informaţiilor
privind pretejarea IC dintr-un
1 un contract care, anterior, nu a avea acces la informaţii clasificate din clasificate din cadrul
contract care anterior nu a
fost necesar a fi clasificat. cadrul contractelor clasificate contractului clasificat
fost necesar a fi clasificat
Sustragerea, distrugerea,
Desfasurarea de activitati
Lipsa de profesionalism si de compromiterea
contractuale clasificate de catre Interesul unor persoane din cadrul partii
2 loialitate a responsabililor pe documentatiei th clasificate
un subcontractant fara a avea subcontactante pentru astfel de informatii
linia securitatii industriale precum si si a tehniicii de
certificat de securitate industriala
ofertare
Participarea la procedura de
Lipsa de profesionalism si de Confidenţialitatea integritatea
atribuire a unui contrat clasificat Interesul unor persoane din cadrul partii
3 loialitate a responsabililor pe şi disponibilitatea
fara a avea autorizatia de de subcontactante pentru astfel de informatii
linia securitatii industriale informaţiilor clasificate
securitate ind
Participarea la activitati
contractuale clasificate a unei Neglijenta si suoerficialitate Pierderea, distrug,
sustragerea IC in interes propriu sau a unei
4 persoane cu cetatenie roman si a a in verif personalului partii compromit diseminare
tari interesate
altui stat fara autorizatie de acces contractante neautorizata a IC
la informatii clasfic

Neurmarirea de catre pers din Pierderea, distrug,

Nereturnarea IC la incheierea
5 Compromiterea IC struct de sec a returnarii la compromit diseminare
contractului clasificat
timp a IC neautorizata a IC
 Determinarea probabilităţii
Probabilitate Definitia probabilităţii
Mare Sursa ameninţării este bine motivată şi capabilă,
si controale care trebuie să prevină
vulnerabilitatea sunt ineficiente
Mediu Sursa ameninţării este motivată şi capabilă dar
există controale care pot împiedica folosirea
vulnerabilităţii
Scăzut Sursei ameninţării îi lipsesc motivatia si
cunoştinţele şi controalele existente pot
împiedica în mod semnificativ folosirea
vulnerabilităţii
 Analiza impactului
Impact Definitie
Mare Valorificarea vulnerabilităţii poate conduce la pierderi
mari privind active tangibile sau resurse; poate
influenţa semnificativ misiunea si reputatia
organizatiei sau profitul; poate determina decesul sau
rănirea personalului

Mediu Valorificarea vulnerabilităţii poate conduce la pierderi

privind active tangibile sau resurse; poate influenţa
misiunea si reputatia organizatiei sau profitul; poate
determina rănirea personalului

Scăzut Valorificarea vulnerabilităţii poate conduce la unele

pierderi privind active tangibile sau resurse; poate
influenţa notabil misiunea si reputatia organizatiei sau
profitul.
 ANALIZA RISCULUI (I)

Numărul de priori-tate al riscului

Ingrijorarea de bază
Valoarea de protejat

Impact (prejudiciu)
Vulnera-bilitatea

Probabilitatea

nedetectare
Şansa de

(RPN)
Risc
Ameninţarea Control

-verificarea periodică a clauzelor şi

procedurilor de protecţie din anexa de
securitate a contractelor clasificat,e;.
OBIECTIVUL
INDUSTRIAL

Interesul unor persoane neautorizate

Scăzută

de a avea acces la informaţii - instruirea personalului privind lucrul cu

clasificate din cadrul contractelor
C 1 2 2 1 2
documentele clasificate, în conformitate
clasificate cu reglementările în vigoare;
- efectuarea activităţilor de pregătire
profesională specifică cu personalul
propriu.
OBIECTIVUL
INDUSTRIAL

- verificarea personalului părţii

Sustragerea de informaţii
Scăzută

contractante;
clasificate in interesul propriu al
unor peroane fizice sau al unei tari
I 1 2 2 1 2 - instruirea personalului privind lucrul cu
documentele clasificate, în conformitate
interesate
cu reglementările în vigoare;
 ANALIZA RISCULUI (II)

Numărul de priori-tate al riscului

Ingrijorarea de bază
Valoarea de protejat

Impact (prejudiciu)
Vulnera-bilitatea

Probabilitatea

nedetectare
Şansa de

(RPN)
Risc
Ameninţarea Control

- instruirea personalului privind lucrul cu

Nerespectarea reglementarilor documentele clasificate, în conformitate
OBIECTIVUL
INDUSTRIAL

referitoare la secretul de stat sau a cu reglementările în vigoare;

Scăzută

regulilor de compartimentare a - efectuarea activităţilor de pregătire

muncii, precum şi a prevederilor, I 1 2 2 1 2 profesională specifică cu personalul
metodologiilor si a documentaţiilor propriu.
tehnice de întreţinere şi exploatare a - gestionarea corectă a documentelor
sistemelor informatice clasificate, conform precizărilor Legii
182/2002.

Pierderea, sustragerea, înlocuirea, - instruirea personalului privind lucrul cu

OBIECTIVUL
INDUSTRIAL

alterarea sau distrugerea documentele clasificate, în conformitate

Scăzută

neautorizată ori accidentală a cu reglementările în vigoare;

datelor, programelor, suporţilor
I 1 2 2 1 2
- gestionarea corectă a documentelor
materiali ai acestora sau a clasificate, conform precizărilor Legii
echipamentelor aferente; 182/2002.
 ANALIZA RISCULUI (III)

Numărul de priori-tate al riscului

Ingrijorarea de bază
Valoarea de protejat

Impact (prejudiciu)
Vulnerabilitatea

Probabilitatea

nedetectare
Şansa de

(RPN)
Risc
Ameninţarea Control

Forţarea accesului, precum şi

OBIECTIVUL
INDUSTRIAL

accesul neautorizat sau intârzierea

Scăzută

- efectuarea activităţilor de pregătire

accesului autorizat la date,
I 1 2 6 1 6 profesională specifică cu personalul
programe, suporţii materiali ai
propriu.
acestora sau la echipamentele
aferente

Discutarea în condiţii de insecuritate

sau cu persoane neautorizate, a unor
aspecte privind contractele - instruirea personalului privind lucrul cu
OBIECTIVUL
INDUSTRIAL

clasificate, documentaţiile aferente, documentele clasificate, în conformitate

Scăzută

sistemele de calcul, informatiile şi cu reglementările în vigoare;

I 1 2 6 1 6
datele înmagazinate, precum şi - efectuarea activităţilor de pregătire
exploatarea informativă a profesională specifică cu personalul
personalului implicat în dezvoltarea, propriu.
întretinerea sau exploatarea
sistemului informatic
 ANALIZA RISCULUI (IV)

Numărul de prioritate al riscului

Ingrijorarea de bază
Valoarea de protejat

Impact (prejudiciu)
Vulnera-bilitatea

Probabilita-tea

nedetectare
Şansa de

(RPN)
Risc
Ameninţarea Control
OBIECTIVUL
INDUSTRIAL

Eludarea restrictiilor privind accesul - limitarea accesului la sistemul

Scăzută

informatic;
la date, prin modificarea neautorizata a
I 1 2 2 1 2 - efectuarea activităţilor de pregătire
configuratiilor instalate, programelor profesională specifică cu personalul
sau a drepturilor de acces propriu.
OBIECTIVUL
INDUSTRIAL

Operarea gresită în timpul instruirea personalului privind

preluării, prelucrării, lucrul cu documentele şi
Scăzută

transferului, stocării sau I 1 1 2 1 1 informaţiile clasificate, în

arhivării datelor referitoare la conformitate cu reglementările în
contractele clasificate vigoare.
 ANALIZA RISCULUI (V)

Numărul de priori-tate al riscului

Ingrijorarea de bază
Valoarea de protejat

Impact (prejudiciu)
Vulnerabilitatea

Probabilitatea

nedetectare
Şansa de

(RPN)
Risc
Ameninţarea Control

Pastrarea, amplasarea, exploatarea, - instalarea tuturor dispozitivelor şi a

întreţinerea sau depozitarea în mijloacelor specifice, conform
OBIECTIVUL
INDUSTRIAL

condiţii improprii a sistemelor de precizărilor H.G. 1010/2004 şi a

Scăzută

calcul, suporţilor materiali de date H.G.585/2002;

C 1 2 2 4 8
sau a dispozitivelor şi - instruirea personalului propriu,
echipamentelor destinate asigurării privind gestionarea corectă a
protecţiei şi documentelor clasificate, conform
securităţii datelor precizărilor Legii 182/2002.
ECTIVUINDUSTRI

Scăzută

Producerea de calamitati naturale - instruirea personalului

AL

(cutremure, inundatii, alunecari de I 1 3 3 2 6 OBIECTIVULUI;

teren, etc.) - protocoale cu instituţiile abilitate.
CALCULUL RISCULUI – ALTA ABORDARE

Impact Şansa de Numărul de priori-

Probabilitatea tate al riscului (RPN)
(prejudiciu nedetectare

Impact Şansa de Numărul de

Probabilitatea (prejudiciu) nedetectare prioritate al riscului
(RPN)

SIGUR 1 CATASTROFAL 4 MARE 3 CATASTROFAL 12

APROAPE SIGUR 0,6 MARE 3 MEDIU 2 MARE <10

MEDIU 2 SCAZUTA 1 MEDIU <6

PROBABIL 0,2

MIC 1 MIC <3,5

 REGISTRUL DE RISCURI (I)

BAZA LEGALĂ
ORDONANŢA nr. 119 din 31 august 1999 (actualizată) privind controlul intern şi
controlul financiar preventiv;
ORDIN nr. 946 4 iulie 2005 pentru aprobarea “Codului intern, cuprinzând standardele
de management/control intern la entităţile publice” şi pentru dezvoltarea sistemelor de
control managerial;
ORDIN nr. 1389 din 22 august 2006 privind modificarea şi completarea Ordinului
ministrului finanţelor publice nr. 946/2005 pentru aprobarea Codului controlului intern,
cuprinzând standardele de management/control intern la entităţile publice şi pentru
dezvoltarea sistemelor de control managerial;
ORDIN nr. 538 din 10 martie 2009 pentru aprobarea Procedurii de sistem privind
managementul riscului;
FORMULARE: Formular alertă la risc, Proces-Verbal al şedinţelor de analiză a
riscurilor, Fişa de urmărire a riscului, Registrul de riscuri, Diagrama de proces.
 REGISTRUL DE RISCURI
ANTETUL
(II)
(instituţiei, structurii)

REGISTRUL DE RISCURI
al ………………………………. (instituţiei/structurii)
 REGISTRUL DE RISCURI
Nr.
Zone de risc
(domeniul, Obiective generale şi/sau (III) care
Descrierea
Circumstanţe
favorizează Nume, prenume Responsabili cu
crt. structura)/ specific riscului apariţia riscului şi funcţia gestionarea
cod de (eventual cum persoanei care a riscului
identificare se dezvoltă identificat riscul
acestea)

1 2 3 4 5 6 7
1 Relaţii cu Informarea corectă a populaţiei Distorsiune în Informaţii Directorul
publicul capitalei informare insuficiente în X.Y. general
unele cazuri Şeful structurii
relaţii cu
publicul

Risc inerent Data

Instrumente de control intern
(acţiuni/măsuri pentru tratarea
riscului)
mărul de prioritate al riscului

ână la care măsurile trebuie

pactul asupra obiectivelor

Ultimei revizuiri/ analize

Şansa de nedectare

implementate
materializare
Probabilitate

Identificării
Expunerea
la risc
de
 REGISTRUL DE RISCURI
(IV)
Risc rezidual Proiecţiile Proiectarea de
Eventuale viitoare asupra analize excep- Observaţii
riscuri unor noi ţionale, funcţie
Probabilitate de materializare

secundare obiective care de resursele

Impactul asupra obiectivelor

pot apare în instiuţiei (uma-

Numărul de prioritate al
sarcina ne, materiale
Şansa de nedectare

instituţiei sau financiare

Expunerea

Ierarhie
riscului
la risc

18 19 20 21 22 23 24 25 26 27
Plecări din Revistă Lipsă specialişti/ Se va evalua ori
1 5 5 3 15 20 sistem a (publicaţie aparatură/ de câte ori apar
din unor profe- proprie a formulare/ etc modificări în
20 sionişti instituţiei) instituţie
 REGISTRUL DE RISCURI
Stabilirea nivelului de tolerare: (V)
Nivel de tolerare Explicaţii
1–4 Tolerabil Nu necesită nici-o măsură de control
5–8 Tolerare ridicată Necesită măsuri de control pe termen lung
9 – 12 Tolerare scăzută Necesită măsuri de control pe termen scurt
13 – 25 intolerabil Necesită măsuri de control urgent

Stabilirea E/VR : probabilitate x impact/prejudiciu

P
R 5 10 15 20 25
O
B
A 4 8 12 16 20
B
I
L
I
T 3 6 9 12 15
A
T
E
2 4 6 8 10

1 2 3 4 5
 FIŞA CU OBIECTIVE DE CONTROL
- SECURITATEA INDUSTRIALA -

1. MODUL DE INDEPLINIRE A ATRIBUTIILOR MANAGERULUI DE

SECURITATE

2. MODUL DE APLICARE A MASURILOR DE PROTECTIE FIZICA

3. MODUL DE APLICARE A MASURILOR DE PROTECTIE A

PERSONALULUI

4. MODUL DE APLICARE A MASURILOR DE PROTECTIE A

DOCUMENTELOR

5. MODUL DE APLICARE A MASURILOR DE PROTECTIE

INFOSEC

6. APRECIEREA INDEPLINIRII OBIECTIVELOR DE CONTROL

 MODUL DE INDEPLINIRE
A ATRIBUTIILOR MANAGERULUI DE SECURITATE

-Existenta PPSIC - cplt. cu cap. “Securitatea industriala”(S.I.);

-Cerere pentru eliberarea autorizaţiei de S.I. – cf. anexei nr.
24 si, anexat, Chestionarul de S.I. – cf. anexei nr. 25;
-Cerere pentru eliberarea certificatului de S.I. – cf. anexei nr.
30 si, anexat, Chestionarul de S.I. - anexele nr. 26 şi 27 şi
copia Anexei de securitate;
-Coordonarea si monitorizarea activitatii privind S.I. in
obiectivul propriu si la subcontractanti/filialele subordonate;
-Existenta documentelor de pregatire a personalului pe linia
protectiei informatiilor clasificate, inclusiv pt. S.I.;
 MODUL DE INDEPLINIRE
A ATRIBUTIILOR MANAGERULUI DE SECURITATE

-Existenta doc. privind participarea personalului propriu

la activitatile de pregatire org. de ADS/ORNISS;
-Existenta Planului de control al protectiei informatiilor
clasificate in obiectivul propriu si la subcontractanti/
filialele subordonate;
-Existenta Metodologiei de control si a Fisei cu
obiectivele de control privind S.I.;
-Stadiul efectuarii activitatilor din planul de control si doc.
intocmite;
-Interpretarea rezultatelor din Fisele de control, analiza
vulnerabilitatilor si riscurilor, masurile propuse
conducerii pt. imbunatatirea S.I..
 MODUL DE APLICARE
A MASURILOR DE PROTECTIE FIZICA

• Existenţa zonei de securitate clasa a II-a, cu un

perimetru clar definit şi protejat, având toate
intrările şi ieşirile controlate;
• Existenţa unei/unor încăperi destinate numai
protecţiei informaţiilor secret se stat;
• Existenţa containerelor de securitate;
• Existenta si aplicarea unei proceduri clare de
acces in zonele de securitate a persoanelor
neautorizate/vizitatorilor.
 MODUL DE APLICARE
A MASURILOR DE PROTECTIE A PERSONALULUI

- Lista funcţiilor care presupun acces la informaţii clasificate;

- Lista persoanelor încadrate pe funcţii;
- Angajamente de confidenţialitate;
- Registru de evidenţă a certificatelor/autorizaţiilor de acces
la informaţii clasificate;
- Instructaj individual privind protecţia informaţiilor
clasificate si completarea fiselor de pregatire personala;
- Însuşirea prevederilor din ROF, ROI si fisele posturilor
privind protectia informatiilor clasificate;
-Existenta, cunoasterea si aplicarea procedurilor legale
privind circuitul informaţiilor clasificate in organizatie.
 MODUL DE APLICARE
A MASURILOR DE PROTECTIE A DOCUMENTELOR

- Cunoaşterea şi respectarea procedurilor pentru

întocmirea, înregistrarea, predarea/primirea
documentelor/informaţiilor clasificate;
- Respectarea procedurilor privind multiplicarea
documentelor;
- Existenţa sigiliilor;
- Utilizarea registrelor şi jurnalelor speciale pentru evidenţa
documentelor, a mapelor speciale de păstrare, a sigiliilor,
a fişelor de predare-primire, a ecusoanelor de acces etc.;
- Aplicarea măsurilor care să garanteze folosirea copiatoarelor
şi a dispozitivelor telefax numai de către persoanele
autorizate.
 MODUL DE APLICARE
A MASURILOR DE PROTECTIE INFOSEC

• Existenta documentelor de acreditare de

securitate pt. S.I.C. aflate in functiune in
obiectivul propriu si la subcontractanti/filialele
subordonate;
• Existenta si aplicarea Procedurilor opraţionale
de securitate ale S.I.C. acreditate;
• Existenta si aplicarea procedurilor privind
folosirea:
- lap-top-urilor ;
- mediilor de stocare a informatiilor in format
electronic;
- fax-urilor;
- echipamentelor de multiplicare;
 MODUL DE APLICARE
A MASURILOR DE PROTECTIE INFOSEC

• Controlul accesului în reţea;

• Managementul transferului informaţiilor;
• Managementul mediilor de stocare;
• Managementul service-ului externalizat;
• Managementul vulnerabilităţilor tehnice;
Managementul activitatii crypto
 APRECIEREA
INDEPLINIRII OBIECTIVELOR DE CONTROL

• Nivel 0: obiectiv îndeplinit sub 25%;

• Nivel 1: obiectiv îndeplinit între 25 şi 50%;
• Nivel 2: obiectiv îndeplinit între 50 şi 75%;
• Nivel 3: obiectiv îndeplinit peste 75%;
 Curs de specializare
« MANAGER DE SECURITATE »

SECURITATEA INDUSTRIALA
CONTROLUL IN DOMENIUL SECURITĂȚII INDUSTRIALE
 Activitatea de control, este o componentă importantă pentru
realizarea unui management eficient , concepută pentru atingerea
obiectivelor instituţiei
Obiectivele generale ale instituției sunt:
- răspundere şi raportare
- conformitate cu legile
și reglementările
- operațiuni eficace,
sistematice, cu
caracter etic
și economice A A
- protejarea ACTIONA PLANIFICA
resurselor
Cele cinci elemente A A
interdependente ale CONTROLA EXECUTA
CONTROLUL UI sunt:

- MEDIUL DE CONTROL
- EVALUAREA RISCULUI
- ACTIVITĂȚILE DE CONTROL
- INFORMARE ȘI COMUNICARE
- MONITORIZARE
Ca masură proactivă

evaluarea riscurilor

de către entitate este

un proces continuu,
de identificare și
de reacţie la
riscuri precum şi
la consecinţele
acestora
 Evaluarea riscurilor ca element al controlului presupune identificarea
vulnerabilităţilor şi determinarea probabilităţii de producere a unui incident de
securitate industrială - lipsa de control poate duce la apariția unei slăbiciuni (breşe) sau
la acțiuni care ar putea facilita o manevră tehnică, procedurală sau operaţională, prin care
se ameninţă o valoare sau ţintă specifică
Elementele procesului de gestionare a riscurilor sunt următoarele:

Voi prezenta un exemplu concludent și foarte sugestiv de gestionare

a riscurilor și de identificare a vulnerabilităților în domeniul securității industriale

In anul 2010, Direcţia Generală de Informaţii şi Protecţie Internă (DGIPI)

a verificat peste 200 de firme care doreau să încheie contracte
cu Ministerul Administratiei si Internelor (MAI)
 Exemplu
de gestionare a riscurilor și de identificare a vulnerabilităților
în domeniul securității industriale
SUBIECTUL – IDENTIFICARE RISC
În anul 2010 s-a constatat creşterea cu aproximativ 35 la sută a numărului de avize de
securitate industrială eliberate operatorilor economici care au solicitat participarea la
procedurile de atribuire/derulare a contractelor MAI, în cadrul cărora se cuprind sau se
vehiculează informaţii clasificate
ACȚIUNEA - ATITUDINE FATĂ DE RISC
Verificările efectuate de specialistii DGIPI au aratat că “reprezentanti ale crimei organizate
şi alte entităţi în măsură să pună în pericol securitatea naţională” au încercat să se
infiltreze în MAI, prin obţinerea de contracte în care se vehiculau informatii clasificate
referitoare la acest minister.
REACȚIA-REVIZUIRE, MĂSURI
În raspunsul semnat de comisarul-şef Cristian Laţcău, directorul general al DGIPI, la o
solicitare a jurnalistului Razvan Belciuganu de la Jurnalul National, spune că pâna în 2010,
legislatia nu făcea deosebire între diferitele tipuri de informații (secret de stat, secret de
serviciu etc.), ceea ce a dus la apartia unui ordin al ministrului Administratiei si Internelor
prin care se stabilesc norme de protecţie a informaţiilor clasificate "secret de serviciu"
 Curs de specializare
« MANAGER DE SECURITATE »

SECURITATEA INDUSTRIALA
DIMINUAREA RISCURILOR IN DOMENIUL SECURITĂȚII INDUSTRIALE

Seria a III-a Grupa a I-a

”DACII”
 ACTIVITĂȚI UTILE CE CONTRIBUE LA DIMINUAREA RISCURILOR
ÎN DOMENIUL SECURITĂȚII INDUSTRIALE

- Identificarea și evaluarea riscurilor prin analizarea intereselor firmelor -

concurente care se arată dornice de a participa la licitații

- Demararea unor activități privind obținerea de informații despre firmele

concurente utile pentru instituția națională (prețuri practicate, calitate produse
oferite, condiții de livrare și de mentenanță, etc.

- Investigarea atât prin studii interne și externe de risc, cât și prin controale
privind ”slăbiciunile” instituției naționale în domeniu, care vor fi concretizate în
pachete de măsuri pentru toate elementele participante la licitație (prin structura
de securitate)

Voi prezenta în continuare o situație reală ca exemplu relevant

SUBIECTUL – IDENTIFICARE RISC
Societate aeroportuară din Kabul – Afganistan a făcut cerere de ofertă pentru
echipamente ”ILS ” necesare dotării aeroportului din localitate.

ACȚIUNEA – REALIZAREA VULNERABILITĂȚII

O serie de societăți comerciale și-au arătat disponibilitatea de a participa la licitație.
Între acestea se află Firma ”THOMAS” din Franța și firma ”SUKAS” din Japonia. Firma
”SUKAS” a reușit cu ceva timp înainte de data anunțării licitației să infiltreze ca angajat
un ‘’om’’ al său la firma’ ”THOMAS”.

REACȚIA - CONCLUZII
Pe baza informațiilor furnizate de persoana infiltrată, firma ”SUKAS” a reușit să câștige
licitația.
Toate angajările să se facă prin implicarea structurii de securitate a instituției și a ADS.
SECURITATEA INDUSTRIALA
 INTERPRETAREA REZULTATELOR DIN FIŞELE CU OBIECTIVELE DE CONTROL,
STABILIREA VULNERABILITĂŢILOR ŞI RISCURILOR
ŞI A METODELOR DE ÎMBUNĂTĂŢIRE A
SECURITĂŢII INDUSTRIALE

• Identificarea şi evaluarea elementelor componente ale sistemului de

securitate a documentelor clasificate
• Identificarea ameninţărilor
• Identificarea vulnerabilităţilor şi determinarea probabilităţii de producere a
unui incident de securitate industrială
• Analiza măsurilor de securitate a documentelor clasificate
• Analiza impactului producerii unui incident de securitate
• Determinarea nivelului de risc
• Stabilirea metodelor de îmbunătăţire a securităţii industriale
 1. Identificarea şi evaluarea elementelor componente ale sistemului de
securitate a documentelor clasificate

- organizarea şi desfăşurarea activităţilor cu documente clasificate;

- respectarea procedurii de selecţionare, verificare, avizare şi autorizare a
accesului la informaţii clasificate;
- organizarea şi desfăşurarea activităţii de instruire specifică;
- organizarea şi desfăşurarea activităţii de control intern;
- respectarea procedurii de revalidare a certificatelor şi autorizaţiilor privind
accesul la informaţii clasificate;
- respectarea procedurii de retragere a certificatelor de securitate sau a
autorizaţiilor de acces;
 2. Identificarea ameninţărilor

Ameninţarea reprezintă o cauză potenţială, accidentală sau deliberată a unui incident

care ar putea conduce la compromiterea sistemului de management al securităţii
documentelor clasificate.

Exemple de posibile ameninţări:

- activităţi de compromitere a informaţiilor clasificate;
- accesarea/ascultarea neautorizată a informaţiilor clasificate;
- alterarea sau modificarea informaţiilor clasificate;
- activităţi de sustragere de informaţii clasificate;
3. Identificarea vulnerabilităţilor şi determinarea probabilităţii de producere
a unui incident de securitate industrială

Vulnerabilitatea reprezintă o slăbiciune (breşă) sau lipsă de control care ar putea

permite sau facilita o manevră tehnică, procedurală sau operaţională, prin care se
ameninţă o valoare sau ţintă specifică.

Exemple de vulnerabilităţi privind securitatea documentelor clasificate:

- nerespectarea procedurii de avizare şi autorizare a accesului la informaţii clasificate
- lipsa controalelor la intrarea/ieşirea în/din obiectiv sau zonele de securitate;
- lipsa controlului intern;
- lipsa pregătirii specifice a personalului;
 4. Analiza măsurilor de securitate a documentelor clasificate

Se va analiza modul de planificare, implementare, control şi îmbunătăţire a

măsurilor referitoare la:
- prevenirea accesului neautorizat la informaţiile clasificate;
- identificarea împrejurărilor, precum şi persoanele care, prin acţiunile lor,
pot pune în pericol securitatea informaţiilor clasificate;
- garantarea distribuirii informaţiilor clasificate, exclusiv persoanelor
îndreptăţite, potrivit legii, să le cunoască;
 5. Analiza impactului producerii unui incident de securitate

Prejudiciul poate fi cuantizat ca o cantitate numerică care să reflecte dauna creată dacă o anumită
ameninţare exploatează cu succes o anumită vulnerabilitate. Prejudiciul nu are nici o legătură
cu probabilitatea. Această valoare ne permite numai să clasificăm pe o scară relativă
seriozitatea unui risc dat independant de probabilitatea lui.
Pentru analiza riscului de securitate putem alege următoarea scală a prejudiciului estimat:
- Nesemnificativ
- Minor
- Semnificativ
- Distructiv
- Serios
- Grav
 6. Determinarea nivelului de risc

Riscul reprezintă combinaţia dintre probabilitatea producerii unui eveniment cu

implicaţii în sistemului de management al securităţii fizice şi consecinţele
sale. Evaluarea şi atenuarea riscului este ţelul primordial al Sistemului de
management al securităţii.
Riscul poate fi expimat matematic în felul următor:
Probabilitate X Prejudiciu = Risc
Putem clasifica riscul după cum urmează:
- Nul = 0
- Scăzut = 1-3
- Mediu = 4-7
- Mare = 8-14
- Critic = 15-19
- Extrem = 20-30
 7. Stabilirea metodelor de îmbunătăţire a securităţii industriale

Aici vom face referiri la:

- măsurile ce vor fi luate în cazul constatării încălcării reglementărilor privind
protecţia informaţiilor clasificate;
- evidenţa încălcărilor reglementărilor de securitate;
- comunicarea compromiterilor;
- scoaterea din evidenţă a documentelor clasificate pierdute sau distruse
 PROCEDURA CU PRIVIRE
LA MODUL DE TRATARE A
INCIDENTELOR DE
SECURITATE INDUSTRIALĂ
 SCOP
1. Definirea termenilor şi noţiunilor referitoare la protecţia documentelor.
2. Stabilirea ariei de aplicare a procedurii referitoare la protecţia
documentelor OBIECTIVULUI.
3. Identificarea posibilelor incidente cu impact asupra protecţiei
documentelor OBIECTIVULUI
4. Stabilirea principiilor privind accesul la informaţii clasificate în cadrul
OBIECTIVULUI;
5. Stabilirea regulilor generale privind evidenţa, întocmirea, păstrarea,
procesarea, multiplicarea, manipularea, transportul, transmiterea şi
distrugerea documentelor ce conţin informaţii industriale în
OBIECTIVULUI;
6. Stabilirea modului de acţiune în cazul depistării unui incident de
securitate a documentelor în OBIECTIVULUI;
7. Stabilirea cadrului legal referitor la protecţia documentelor OBIECTIVULUI
INCIDENTUL DE SECURITATE

Orice acţiune sau inacţiune contrară

reglementărilor de securitate a cărei
consecinţă a determinat sau este de
natură să determine compromiterea
informaţiilor clasificate (HG 585/2002,
art.3)
 MANAGERUL DE SECURITATE
Definirea termenilor şi
noţiunilor referitoare la
protecţia informatiilor
clasificate
in domeniul activitatilor
contractuale clasificate la
OBIECTIVULUI:
• protecţia
documentelor;
• obligaţia asigurării
protecţiei
documentelor;
• scopul măsurilor de
protecţie a
documentelor;
• modalităţile de
realizare a protecţiei
documentelor;
• incident de securitate.
Potrivit Legii nr. 128/2002, în sensul prezentei legi,
următorii termeni se definesc astfel:
a) informaţii - orice documente, date, obiecte sau
activităţi, indiferent de suport, formă, mod de
exprimare sau de punere în circulaţie;
b) informaţii clasificate - informaţiile, datele,
documentele de interes pentru securitatea naţională,
care, datorită nivelurilor de importanţă şi
consecinţelor care s-ar produce ca urmare a
dezvăluirii sau diseminării neautorizate, trebuie să fie
protejate;
c) clasele de secretizare sunt: secrete de stat şi
secrete de serviciu;
d) informaţii secrete de stat - informaţiile care
privesc securitatea naţională, prin a căror divulgare
se pot prejudicia siguranţa naţională şi apărarea ţării;
e) securitate industriala - sistemul de norme si
masuri care reglementeaza protectia informatiilor
clasificate
in domeniul activitatilor contractuale
Identificarea posibilelor incidente cu impact asupra securităţii
documentelor contractuale clasificate ale OBIECTIVULUI

Posibile incidente de neautorizată a

securitate a documentelor informaţiilor clasificate
şi propuneri pentru (CRI – ANIC );
codurile de recunoaştere a • Alterarea sau modificarea
incidentelor (CRI): informaţiilor clasificate
• Activităţi de (CRI – AMIC );
compromitere a • Activităţi de sustragere de
informaţiilor clasificate informaţii clasificate (CRI
(CRI – ACIC); – ASIC);
• Accesarea/ascultarea • altele (CRI – ALT)
 Stabilirea principiilor privind accesul la informaţii contractuale
clasificate în cadrul OBIECTIVULUI

• - autorizarea accesului la unitar, a măsurilor de protecţie

informaţiile clasificate absolut
necesare îndeplinirii atribuţiilor de
serviciu (principiul "nevoii de a
cunoaşte");
• - asigurarea aplicării măsurilor
de protecţie, în mod diferenţiat,
pe zone de securitate şi în funcţie
de nivelurile de acces la informaţii
clasificate;
• - accesul la informaţii clasificate
este permis numai în baza
verificărilor şi abilitărilor legale;
• - aplicarea, în mod obligatoriu şi
atât în locurile în care se
depozitează informaţiile clasificate
şi în cazul sistemelor informatice
care stochează, prelucrează sau
transmit informaţii de acest fel,
cât şi al persoanelor care au acces
la acestea şi utilizatorilor reţelelor
respective;
• - răspunderea personală privind
aplicarea măsurilor de protecţie
stipulate prin programul de
prevenire a scurgerii de informaţii
clasificate.
 Stabilirea regulilor generale privind evidenţa, întocmirea, păstrarea,
procesarea, multiplicarea, manipularea, transportul, transmiterea şi
distrugerea informaţiilor contractuale clasificate în cadrul OBIECTIVULUI;

• Pentru respectarea • - registrul de evidenţă al

prevederilor legale privind
lucrul cu informaţii
clasificate se întocmesc şi
folosesc următoarele
instrumente:
• - fişa de pregătire
individuală;
• - angajamentul de
confidenţialitate;
• - registrul de evidenţă al
informaţiilor SS şi S;
informaţiilor SSv;
• - registrul unic de evidenţă a
registrelor, condicilor,
borderourilor şi a caietelor
pentru însemnări clasificate;
• - condica de predare-primire
a documentelor clasificate;
• - registrul de evidenţă a
informaţiilor clasificate
multiplicate
Stabilirea modului de acţiune în cazul depistării
unui incident de securitate a documentelor
contractuale clasificate în cadrul OBIECTIVULUI

Constatarea şi comunicarea evenimentului. Se

incidentului:
• Persoana care detectează
incidentul este obligată să
ia toate măsurile pentru
conservarea probelor şi
să comunice imediat
conducerii organizaţiei
despre producerea
raportează codul de
recunoaştere a al
incidentului (CRI), însoţit
de numărul de ordine, de
data şi ora constatării
precum şi de funcţia şi
numele persoanei care l-a
constatat.
Stabilirea cadrului legal referitor la securitatea
documentelor contractuale clasificate
OBIECTIVULUI
• Legea nr. 182/2002, documentelor prevăzute
privind protecţia la art. 69 din Legea nr.
informaţiilor clasificate; 333/2003 privind paza
• Legea nr. 333/2003, obiectivelor, bunurilor,
privind paza obiectivelor, valorilor şi protecţia
bunurilor, valorilor şi persoanelor;
protecţia persoanelor; • H.G.585/2002 pentru
• H.G.1010/2004 pentru aprobarea Standardelor
aprobarea normelor naţionale de protecţie a
metodologice şi a informaţiilor clasificate în
România
 CONDUCĂTORUL UNITĂŢII

Stabilirea ariei de
aplicare a Procedura se aplică în mod
procedurii nediscriminatoriu întregului
referitoare la personal organizaţiei, atât pe
protecţia
timpul îndeplinirii atribuţiilor
documentelor
contractuale de serviciu, cât şi în afara
clasificate ale programului de lucru.
OBIECTIVULUI;
 SCENARIU
PRIVIND POSIBILITATEA PRODUCERII
UNUI INCIDENT DE SECURITATE DE
NIVEL MEDIU/MARE
SECURITATE INDUSTRIALA
 MULȚUMIM
PENTRU ATENȚIE
INTREBARI