Metode și Mijloace Moderne de Protecție a Informațiilor în Sistemele de Comunicații Specifice Serviciilor de Informații Militare Infosec
CUPRINS
CAPITOLUL I
GLOBALIZAREA ȘI RISCUL SECURITĂȚII INFORMAȚIILOR
1. Introducere
Globalizarea, fenomen amplu dezbătut, nu putea să nu influențeze aspectele legate de securitatea națională, de amenințările privind siguranța oamenilor și informațiilor, a instituțiilor naționale și internaționale. Extinderea la scară globală a utilizării diferitelor mecanisme de prelucrare și comunicare a informațiilor, de control al activităților a condus și la nevoia de a lua în considerare noile aspecte ce influențează securitatea spațiului cibernetic global.
Capitolul de față își propune să abordeze problematica securității într-un mediu de lucru global, a noului concept de război informațional, a securității informațiilor prin clasificarea lor și, nu în ultimul rând, încearcă să scoată în evidență nevoia dezvoltării unei strategii de securizare a spațiului cibernetic. În contextul general, se face o trecere în revistă și a principalelor preocupări ale instituțiilor statului român în acest domeniu.
De-a lungul timpului, globalizării i s-au dat diferite accepțiuni, ajungându-se chiar la introducerea în uz a verbului a globaliza – pentru prima dată apărut în anul 1944, în Merriam Webster Dictionary. Anterior existau doar conceptele global și globalizare. Prin global se înțelegea o extensie a legăturilor de diverse tipuri dintre localități, dând naștere unui nou fenomen, dar și unui atribut special. Apar conceptele de spațiu global sau geografie globală care elimină influențele nefaste ale distanțelor dintre localități și le leagă unele de altele, schițându-se noi hărți pe care liniile vor marca sensuri ale deplasărilor, migrărilor, mutărilor, comunicațiilor, schimburilor ș.a. Aplicarea globalului în domeniul geografic, conducând la expansiunea fizică a acestuia, a generat globalizarea, ceea ce a însemnat o creștere a numărului și volumului fluxurilor globale, dar și o creștere a impactului forțelor globale asupra vieții locale. Principalele momente și forțe ale expansiunii marchează punctele de cotitură și reperele din istoria globalizării.
Globalizarea, odată cu avantajele și transformările pozitive pe care le aduce la nivelul națiunilor, nu este lipsită de aspecte ce ridică, de multe ori, probleme și îngrijorare, între care un loc din ce în ce mai important îl ocupă problematica securizării spațiilor cibernetice, cu atât mai mult cu cât fenomenul terorismului a luat o amploare fără precedent, inclusiv terorismul informațional.
Ca rezultat al globalizării factorilor economici, politici și militari, al expansiunii rețelelor și sistemelor informaționale globale, guvernele lumii, organizațiile internaționale sunt nevoite să-și concentreze și mai mult eforturile spre asigurarea unei securități globale, pentru că acum riscurile sunt mult mai mari, datorită efectului de propagare în lanț. Dacă până la apariția rețelei globale, asigurarea securității sistemelor informaționale era o problemă de politică națională, în momentul de față la stabilirea strategiilor și politicilor de securizare a spațiului cibernetic trebuie luate în considerare și aspectele de compatibilizare și standardizare la nivel global.
Globalizarea spațiului cibernetic determină factorii decizionali să-și concentreze atenția și asupra caracteristicilor sistemelor informaționale globale, a noilor amenințări care planează în legătură cu potențialele riscuri la care sunt expuse, amenințări care se pot transforma într-un adevărat război informațional,. De aceea, se impune revizuirea modului de asigurare a securității informațiilor prin clasificarea acestora și, nu în ultimul rând, dezvoltarea unor strategii viabile de securizare a spațiului cibernetic.
2. Sisteme informaționale globale
Sistemele informaționale globale își propun să studieze interferența dintre sistemele informaționale și tendințele de globalizare mondială. Se recunoaște că mulți factori joacă un rol important în stabilirea trendului globalizării, dar specialiștii sistemelor informaționale globale consideră că tehnologiile informaționale se află printre factorii dominanți ai acesteia și își propun să stabilească în ce relații se află cu ceilalți factori de influență.
Sistemele informaționale globale afectează globalizarea pe trei planuri: infrastructural, operațional și organizațional.
Aspectele infrastructurale se referă la informații, prelucrarea automată a datelor, standardele și tehnologiile din telecomunicații și standardele Internet – toate acestea ajutând la depășirea granițelor tradiționale ale relațiilor dintre diferite sisteme, îndeosebi naționale.
Problemele operaționale se referă la aspectele naționale ale culturii, educației și instruirii, ale mangementului personalului, guvernării, structurilor legale și factorilor organizaționali.
Aspectul organizațional joacă un rol esențial pentru succesul sistemelor informaționale globale la nivelul organizațiilor. În cazul corporațiilor multinaționale este nevoie de realizarea complementarității între strategia de utilizare a sistemelor informaționale cu cea a afacerii, astfel încât să fie atinse obiectivele urmărite.
Pentru sistemele informaționale globale, literatura de specialitate mai apelează și la alți termeni, cum sunt:
Global Information Technology (Tehnologii informaționale globale);
Global Information Technology Management (Managementul tehnologiilor informaționale globale);
International Information Systems (Sisteme informaționale internaționale);
Global Management Information Systems (Sisteme informaționale ale managementului global);
Cooperative Information Systems (Sisteme informaționale în cooperare);
Global Information Infrastructure (Infrastructura informațională globală).
Se preconizează că rolul sistemelor informaționale globale va spori și mai mult în mileniul III, în care este definită noua societate, a cunoașterii. În ea, informațiile și cunoștințele vor înlocui bunurile materiale, ca sursă principală a susținerii competitivității în lumea afacerilor. Afacerile vor avea, în primul rând, o dimensiune informațională, puterea constând în eforturile întreprinse pe această linie. Chiar în prezent, numeroase afaceri, din diverse domenii de activitate, alocă prelucrării informațiilor între 30-40% din structura costurilor. Sunt numeroase domenii de activitate în care informația joacă rolul principal în stabilirea ierarhiilor pe piață (educație, transporturi aeriene, comerțul cu amănuntul ș.a.).
Cercetările întreprinse de echipe coordonate de Dr. Prashant Palvia au condus la gruparea țărilor în trei categorii: țări avansate, țări mai puțin dezvoltate și țări subdezvoltate. Problemele sistemelor informaționale globale sunt diferite în funcție de apartenența la o categorie sau alta . Astfel, țările avansate orientează sistemul informațional global în următoarele direcții:
folosirea sistemului informațional pentru obținerea unui avantaj competițional;
sincronizarea sistemului informațional cu scopul organizației;
planificarea strategică a sistemului informațional;
creșterea productivității sistemului informațional;
securizarea datelor.
Țările mai puțin dezvoltate vizează:
planificarea strategică a sistemelor informaționale;
aspecte operaționale;
preocupări pe linia contribuției sistemelor informaționale pentru conducere la progresul organizației;
calitatea datelor de intrare;
utilizarea și securizarea datelor;
standarde ale echipamentelor și software-ului;
utilizarea prietenoasă a sistemelor;
îmbunătățirea productivității sistemelor informaționale.
În țările subdezvoltate sunt vizate:
gradul de învechire a echipamentelor și software-ului;
disponibilitatea și perfecționarea personalului specializat în sisteme informaționale pentru conducere;
îmbunătățirea productivității muncii.
3. Securitatea în mediul global de lucru
La cursurile intensive organizate de Microsoft Research Cambridge, la finele lunii martie 2003, unul dintre evenimentele-semnal a fost și lansarea celei de-a doua ediții a cărții Writing Secure Code , a autorilor Michael Howard și David LeBlanc, evenimentul fiind marcat de ultimul dintre cei doi autori. În plus, acesta a susținut două prelegeri al căror subiect a fost, firesc, tema cărții. Evenimentul nu a însemnat o simplă lansare de carte, ci a marcat contextul în care ea avut loc. Utilizatorii produselor Microsoft au observat că anul 2002 a fost unul lipsit de lansări ale noilor produse ale companiei și chiar de îmbunătățiri ale versiunilor anterioare, aceasta și datorită unei intervenții categorice a lui Bill Gates, în ianuarie 2002, ceea ce nu se mai întâmplase decât în decembrie 1995. Mesajul lui, adresat miilor de angajați Microsoft, era unul foarte clar: importanța securității informatice. Cu alte cuvinte, revizuirea problemelor securității produselor corporației. Astfel a ieșit prima ediție a cărții Writing Secure Code, cu subtitlul Tehnici și strategii practice de securizare a codurilor aplicațiilor într-o lume a rețelelor, iar sub acesta, pe copertă, apare mesajul lui Bill Gates, care într-o interpretare liberă s-ar putea citi „Bibliografie obligatorie pentru toți angajații Microsoft” (în original – „Required Reading at Microsoft”). Că este un eveniment-semnal reiese și din studiul publicat de The Economist , în 26 octombrie 2002, care începe cu trimiterea la mesajul lui Bill Gates. Întregul studiu, la rândul său, este altă formă de atenționare. Titlul este semnificativ – Securizarea norilor: Un studiu al securității digitale.
Într-adevăr, subiectul este de o maximă importanță, îndeosebi după incidentul de la 11 septembrie 2001, din SUA, obligând statele lumii să acționeze împreună împotriva unui posibil atac terorist mondial, acesta putându-se declanșa prin cyberspace, spațiul cibernetic al planetei. Poate și din cauza amenințării la care sunt expuse, dar și datorită experienței tragice trăite în septembrie 2001, SUA au lansat, în februarie 2003, cel mai categoric semnal, prin The National Strategy to SECURE CYBERSPACE . În cuvântul adresat națiunii, președintele SUA, George W. Bush, în introducerea strategiei amintite declară: „Temelia strategiei de securitate a spațiului cibernetic al Americii este și va rămâne parteneriatul public-privat pentru implementarea acestei strategii. Numai acționând împreună putem construi un viitor mai sigur în spațiul cibernetic.” Înaintea acestei afirmații, președintele marchează importanța strategiei la nivelul întregii societăți: „Securizarea spațiului cibernetic este un deziderat strategic extraordinar de dificil care necesită un efort coordonat și concentrat din partea întregii noastre societăți – guvernul federal, guvernele statale și locale, sectorul privat, precum și al cetățenilor americani”. Edificator este și faptul că, atunci când sunt definite prioritățile naționale de securizare a spațiului cibernetic, una dintre acestea este intitulată: „Securitatea națională și cooperarea internațională pentru securizarea spațiului cibernetic”, ceea ce demonstrează că americanii recunosc faptul că securitatea oricărei țări depinde de securitatea planetară, iar componenta esențială este, în ultimul timp, spațiul cibernetic sau, cum plastic a intitulat The Economist, Securitatea norilor sau securitatea digitală. La ea ne vom referi în cele ce urmează.
Din studiile întreprinse în țările dezvoltate s-a ajuns la concluzia că, după atacul terorist din 11 septembrie 2001, softul de securitate, care se afla pe o poziție aproape neglijabilă (în cele mai bune situații situându-se pe locul cinci), a devenit prioritatea numărul unu .
Cheltuielile mondiale cu tehnologiile de asigurare a securității au crescut în anul 2001 cu 28% față de anul 2000. În anii următori se va înregistra o creștere și mai mare. Dacă în anul 2001 statele lumii au alocat 6 miliarde de dolari, în anul 2005 sau cheltuit peste 13 miliarde pentru securizarea Internetului. Unii specialiști chiar se tem de proporțiile investițiilor în securitatea informatică, atenționând că vânzătorii de software vând teamă, iar teama și sexul au devenit două lucruri exagerate care conduc la cumpărături iraționale ale oamenilor. Alții, în schimb, nu ajung la aceeași concluzie, fiindcă apreciază că baza de pornire (cheltuielile anterioare cu securitatea) era foarte mică, destul de apropriată de zero. Cele mai multe firme, susțin ei, alocă securității 3% din bugetul alocat tehnologiei, iar aceasta din urmă primește 3% din venituri, ceea ce înseamnă 3% aplicat la 3%, adică 0,09% – mai puțin decât îi costă cafeaua într-un an, spun ei cu malițiozitate.
Din analizele realizate de CSI/FBI, rezultă că, la nivelul anului 2002, deși 80% dintre respondenți au recunoscut că au înregistrat pierderi financiare, numai 40% au putut cuantifica pierderile. În intervalul 1997-2001, cele 503 organizații analizate au înregistrat pierderi cauzate de crime informatice în valoare de aproximativ 1,5 miliarde de dolari, iar în anul 2002, de 456 milioane de dolari.
Sub aspectul amenințărilor „globale”, pentru al patrulea an consecutiv, s-au formulat întrebări referitoare la site-urile www. Dintre respondenți, 98% au declarat că au astfel de site-uri, iar 52% dintre ei efectuează operațiuni de comerț electronic prin intermediul site-urilor. De asemenea, 38% dintre ei au fost victimele accesului neautorizat sau ale folosirii neadecvate a site-urilor în ultimele 12 luni.
Cele mai multe atacuri sunt orientate spre domeniile .com, ceea ce înseamnă 30% din atacurile site-urilor Web. Urmează, ca frecvență a atacurilor, cele orientate spre nume de domenii ale unor țări (.cn pentru China; .tw, pentru Taiwan – ambele înregistrând 9% din atacurile mondiale).
Domeniile .gov au înregistrat o creștere a atacurilor cu 38%, iar cele militare (.mil) au înregistrat o creștere de 128% față de anul precedent.
Numele de domeniu .il (Israel) a fost victima unei creșteri a atacurilor cu 220%; .in (India) cu 250%, .pk (Pakistan) cu 300%, iar în top s-a aflat domeniul gov.uk (guvernul din Marea Britanie), cu 378%.
Cu ușurință se poate observa că bombardamentele din spațiul cibernetic global se orientează spre anumite zone planetare și anumite domenii, ceea ce conduce la ideea că se declanșează, de fapt, adevărat războaie informaționale, despre care vom discuta în paragraful următor.
4. Informație și război informațional
Înaintea prezentării preocupărilor ființei umane pe planul războiului informațional, credem că se cuvine să menționăm doare câteva exemple din lumea celor care nu cuvântă, dovedindu-se astfel că, așa cum zis-a Ahazverus, nimic nu-i nou sub soare. Literatura din domeniu începe seria exemplelor cu năstrușniciile cucului. Se știe că acesta își depune ouăle în cuiburile altor păsări, dar pare de necrezut cum reușește să păcălească 180 de alte specii de zburătoare. Totul îi reușește prin manipulare informațională și exploatarea vulnerabilității sistemelor de protecție ale altora. Este o adevărată „inginerie” modul în care el reușește să schimbe culoarea ouălor în funcție de cuibul în care le depune, ceea ce presupune mai întâi identificarea exactă a „proprietarului” cuibului, și apoi trecerea peste sistemele de securitate ale acestuia, distrugând integritatea mediului respectiv. Mai putem spune, precum versul popular, „umblă cucu’ ca năucu’“!?!. Tehnicii lui i-a răspuns, într-un mod special, pupăza. Mai mult, și pentru a le veni de hac celor de teapa lui Nică a lui Ștefan Apetrei, creează un mediu insuportabil altora, confecționându-și cuibul în scorburi foarte adânci pe care le garnisește cu materii fecale. „Tehnica” aceasta au preluat-o japonezii în secoulul XXI, presărând pe lângă căile ferate ale trenurilor rapide excremente de leu pentru a speria animalele din păduri și a nu le lăsa să se mai expună accidentelor feroviare. Experimentul are mare succes prin această farsă informațională, fiind mult mai ieftin decât barierele fizice de protecție. Și corbul utilizează o șiretenie pentru a-și ademeni prada, apelând la o simulare a trăirii ultimelor clipe, prin zbateri specifice și sunete impresionante, până la apropierea vânatului, când declanșează atacul decisiv. Exemplele pot continua cu diverse moduri de apărare sau de atac, dar nu putem încheia scurta incursiune fără să comparăm două sisteme total diferite. Unul se bazează pe o mulțime de șiretlicuri, pe care le-am putea numi „inginerii sociale” sau psiop-uri (operațiuni psihologice), lansate de vulpe, în ipostaza de atacant, iar celălalt se bazează pe o singură metodă de „protecție fizică”, transformându-se într-un bulgăre de ghimpi – cu scop de apărare –, acesta fiind ariciul. În selectarea uneia dintre cele două metode, majoritatea realizatorilor de sisteme de securitate a averilor informaționale aleg varianta ariciului.
Istoria ne oferă o mulțime de exemple referitoare la măsurile de protecție sau de apărare a valorilor informaționale. Nu vom mai zăbovi asupra lor, căci prezentul ne oferă o gamă atât de diversificată, greu de surprins prin multitudinea cazurilor înregistrate. Tocmai din această cauză vom încerca să surprindem esențialul sau regulile generale ale luptei prin sau pentru informație, ceea ce a condus la apariția conceptului de război informațional.
Războiul informațional constă în acele acțiuni realizate cu scopul de a proteja, exploata, corupe, respinge sau distruge informații sau resurse informaționale, având ca finalitate obținerea unui avantaj, atingerea unui obiectiv sau câștigarea unei victorii majore asupra adversarului .
Operațiunile declanșate prin război informațional pot fi din următoarele categorii: penetrarea calculatoarelor, spioni umani, sateliți spioni, interceptări, camere de supraveghere video, război electronic, distrugerea fizică a componentelor de comunicații sau a sistemelor energetice, falsificări de documente, managementul percepției, operațiuni psihologice, viruși, viermi, cai troieni, viruși falși, furtul de secrete comerciale, interceptarea datelor personale, contrafacerea de e-mail-uri și multe altele.
Din simpla lor enumerare, putem trage concluzia că ele se pot înfăptui în timpul războaielor reale (cum au fost cele din Irak, Iugoslavia, Afganistan) sau al așa-ziselor războaie reci. În funcție de circumstanțe, unele dintre ele sunt catalogate drept crime, altele sunt legale, dar condamnabile la capitolul etică. Unele părți sau guverne le consideră practici normale. În domeniul militar sunt asimilate conflictelor. În orice caz, tot ceea ce au ele în comun este ținta urmărită, de a exploata resursele informaționale în avantajul atacantului și dezavantajul celeilalte părți, atacatul sau apărătorul. Astfel, putem să împărțim și operațiunile în operațiuni de atac și altele de apărare.
Operațiunile de atac urmăresc mărirea valorii unei resurse-țintă în favoarea atacantului și diminuarea valorii ei pentru apărător, în timp ce operațiunile de apărare vizează contracararea potențialelor atacuri, pentru preîntâmpinarea sau diminuarea eventualelor pierderi. Se poate spune că nu este o luptă cu sumă zero, ci cu învingători și învinși. Valorile obținute nu sunt întotdeauna monetare sau materiale, ci militare sau convenționale, sau de altă natură.
Valoarea resurselor informaționale pentru un actor/jucător este o funcție de șase factori. Primul vizează relevanța resursei prin prisma preocupărilor și angajamentului jucătorului. Al doilea se referă la aptitudinile jucătorului. El poate să aibă cunoștințe, abilități și mijloace de utilizare eficientă a resursei. Al treilea factor este disponibilitatea resursei pentru jucător. Cel de-al patrulea se referă la disponibilitatea resursei pentru alți jucători. Dacă un document secret intră în posesia unui jucător, valoarea câștigată de acesta este imensă, mai mare decât era la proprietar. Al cincilea factor evidențiază integritatea resursei, ceea ce înseamnă completitudine, corectitudine, autenticitate și calitate în ansamblu. Dacă un atacant transmite pe canalele de televiziune ale altei țări informații prin care aceasta din urmă este discreditată este un real avantaj al atacantului. Al șaselea factor se referă la factorul timp. Valoarea unei resurse informaționale poate spori sau diminua în timp.
Operațiunile războaielor informaționale de atac produc rezultate de genul învins-învingător, prin alterarea disponibilității și integrității resurselor informaționale, în favoarea atacantului și defavoarea apărătorului. Se poate vorbi despre obținerea a trei rezultate în urma unui atac:
atacantul obține un acces mai mare la resursele informaționale;
apărarea pierde accesul total sau parțial la resurse;
integritatea resurselor este diminuată.
Operațiunile de apărare încearcă să protejeze resursele informaționale împotriva potențialelor atacuri. Scopul lor este de păstrare a valorii resurselor sau, în caz de atac încununat cu succes, să recupereze valorile pierdute. Defensiva sau apărarea poate fi văzută ca un tot format din cinci părți: prevenirea, descurajarea, indicații și atenționări, detectarea, preparative în caz de urgență și răspunsul. Operațiunile întreprinse și tehnologiile utilizate se pot încadra în mai multe domenii dintre cele enumerate.
Securitatea informațională se apropie mult de războiul informațional defensiv, dar nu se confundă cu acesta, deoarece securitatea informațională vizează, în principal, resursele proprii și măsurile de protecție împotriva erorilor, accidentelor și dezastrelor naturale, dar și a actelor săvârșite cu intenție. Războiul informațional defensiv se adresează resurselor fără proprietar, îndeosebi a celor din domeniul public, și nu se preocupă de acte neintenționate.
Atât securitatea informațională, cât și războiul informațional defensiv, deseori, sunt cuprinse în termenul asigurare informațională.
Războaiele informaționale implică nu numai calculatoarele și rețelele de calculatoare, ci și informațiile sub orice formă și transmisia lor pe orice cale. Ele acoperă toate operațiunile declanșate împotriva conținutului informațiilor și a sistemelor în care se află, inclusiv hard, soft și practici umane.
Resursele informaționale
Resursele informaționale pot fi împărțite în cinci clase, după funcția pe care o au: containere, transportori, senzori, aparate de înregistrat și procesoare. Nu se poate face o referire netă la includerea unei resurse într-o singură clasă, deoarece ea se poate regăsi în mai multe. Edificatoare sunt calculatoarele și oamenii, greu de încadrat într-o anumită clasă.
Containerele sunt suporturi informaționale pe care sunt păstrate informațiile sau pseudo-informațiile, când e cazul. Fiecare obiect este purtătorul propriilor informații, al acelora ce-i descriu structura, putându-se spune că fiecare obiect este un container de informații. De un interes aparte se bucură obiectele care au un conținut informațional suplimentar. Printre ele se află memoria omului, a calculatoarelor, suporturile media, benzi, discuri ș.a. Containerele pot fi incluse unul în altul, cum ar fi cazul documentelor incluse în dosare, la rândul lor incluse în bibliorafturi, acestea depuse în dulapuri, și ele încuiate în birouri ș.a.m.d. În cazul suporturilor informatice, datele sunt păstrate în fișiere, ele fiind incluse în directoare. În lumea reală, a avea acces la o informație necesită trecerea peste anumite niveluri de protecție, poate în ordinea inversă a descrierii anterioare, dar în lumea electronică este posibilă trecerea peste aceste straturi realizate prin software – de exemplu, un disc poate fi citit direct, fără să fie deschis un fișier anume.
Transportorii sunt obiecte și sisteme de comunicații care transmit sau transferă informațiile dintr-un loc în altul. Ei pot fi persoane, vehicole și sisteme fizice de transport (camioane, planuri înclinate, benzi transportoare, tuburi cu vacuum ș.a.), sisteme poștale, sisteme de telecomunicații, inclusiv sistemele de telefonie și telegrafie, sistemele de radio și televiziune, rețelele de calculatoare, inclusiv Internet, Intranet și Extranet.
Senzorii sunt echipamente care extrag informațiile din alte obiecte și din medii diverse. Aici sunt incluși senzorii umani, camerele de luat vederi, microfoanele, scannerele și radarele.
Aparatele de înregistrat sunt echipamente prin intermediul cărora sunt plasate informațiile în containere. Aici se încadrează resursele umane, imprimantele, magnetofoanele / casetofoanele / repertofoanele și inscriptoarele de discuri.
Procesoarele de informații sunt obiecte care manipulează informații, de genul oamenilor, microprocesoarelor, precum și softul și hardul sistemelor informatice.
Termenul de infrastructură informațională se referă la resursele informaționale, inclusiv sistemele de comunicație, instituții sau persoane din domeniu. Se poate vorbi despre infrastructura informațională a apărării, infrastructura informațională națională și infrastructura informațională globală.
Spațiul informațional se referă la agregarea tuturor resurselor informaționale aflate la dispoziția unei unități. Într-o firmă, el cuprinde angajații, documentele tipărite, sistemele informatice și de comunicații, plus toate informațiile structurate existente în unitate sau în mediul ei de lucru.
Spațiul cibernetic, cyberspace, este spațiul informațional care însumează totalitatea rețelelor de calculatoare, cunoscut și ca rețeaua rețelelor.
Spațiul de bătaie/luptă este un spațiu aparte, specific doar pe timp de război, și constă în tot ceea ce se află în spațiul fizic, inclusiv semnalele comunicațiilor din eter.
Valoarea resurselor informaționale are două componente: o valoare de schimb și una operațională. Valoarea de schimb este stabilită de piață și este cuantificabilă, reprezentând prețul pe care îl oferă cineva pentru acea resursă. Valoarea operațională este dată de avantajele obținute în urma utilizării acelei resurse. Poate fi cuantificabilă, dar nu e o regulă generală.
Valoarea unei resurse pentru o parte nu este aceeași și pentru cealaltă parte. Pentru un anumit jucător, după cum am afirmat anterior, valoarea este o funcție de șase factori: proecuparea și angajamentul jucătorului, aptitudinile jucătorului, disponibilitatea resurselor pentru jucător, disponibilitatea resurselor pentru alți jucători, integritatea resurselor și timpul.
Jucătorii
Într-un război informațional participă doi jucători: unul ofensiv și altul defensiv. Primul, atacantul sau jucătorul ofensiv, este cel ce lansează o anumită operațiune asupra unei resurse informaționale, iar cel de-al doilea, apărătorul sau jucătorul defensiv, își propune să se apere de operațiunea declanșată de atacant.
De regulă, atacantul este „zmeul” sau „balaurul” sau „băiatul cel rău”, dar o astfel de catalogare nu este valabilă în toate cazurile.
Jucătorii din ambele tabere pot acționa individual sau în grupuri organizate (structurate) și neorganizate (nestructurate). Ei pot acționa la nivelul unui stat sau nu, putând fi sau nu finanțați. Pentru intrarea într-un război informațional, un jucător trebuie să aibă un motiv, să dispună de mijloace și să i se ofere posibilitatea de a o face.
Jucătorii ofensivi pot fi grupați în câteva clase generale: interni, hackeri, criminali, corporații, guverne și teroriști.
Jucătorii defensivi sunt persoane fizice, organizații sau guverne. La nivelul persoanelor, apărarea constă în tot ceea ce se întreprinde pentru păstrarea secretului datelor cu caracter personal, a resurselor proprii, a menținerii unei poziții competitive pe piață ș.a. Organizațiile vizează păstrarea unei poziții competitive și a resurselor lor. Pentru guverne, eforturile vor fi concentrate spre asigurarea securității informaționale, a securității economice, siguranței publice, a cadrului juridic ș.a. Guvernului îi revin obligații din următoarele categorii: identificarea, investigarea și sancționarea actelor criminale, servicii de contra-informații, apărare națională, crearea cadrului protecției legale, definirea standardelor, precum și inventarea și realizarea noilor tehnologii de apărare.
Părțile angajate într-un război informațional pot juca ambele roluri, de apărător și atacant.
Războiul informațional poate afecta și România?
Potrivit Strategiei de Securitate Națională a României, și pentru țara noastră se conturează noi factori de risc, respectiv asimetrici nonclasici, între care mai importanți sunt:
terorismul politic transnațional și internațional, inclusiv sub formă informatică;
acțiuni ce atentează la siguranța infrastructurii critice a României;
accesarea ilegală a sistemelor informatice;
acțiunile premeditate de afectare a imaginii României pe plan internațional;
agresiunea economico-financiară;
provocarea deliberată de catastrofe ecologice.
Dintre principalele tipuri de vulnerabilități legate de informații și sisteme informaționale, pentru care trebuie luate măsuri de prevenire și contracarare sunt enumerate: menținerea la un nivel scăzut a insfrastructurii informaționale și întârzieri în realizarea acesteia la standardele impuse de dinamica globalizării; deficiențe în protecția informațiilor clasificate.
Strategia militară a României evidențiază existența riscurilor privind războiul informațional, dar acest lucru nu este suficient pentru a elimina efectele apariției unui astfel de fenomen. Potrivit strategiei, războiul informațional ar avea ca prim obiectiv izolarea României în societatea globală, prin lipsa infrastrucrurii, tehnologiei și personalului specializat.
Potrivit unor analize , România este în momentul de față ținta unui război informațional agresiv declanșat din exterior cu sprijin intern, țintele principale fiind sistemul financiar, sistemul fiscal, sistemele de telecomunicații. Afectarea infrastructurii acestor sisteme se consideră că este cauzată de neglijență, lipsa unor strategii naționale coerente de asigurare a securității infrastructurilor critice ale României, lipsa politicilor de securitate la nivelul instituțiilor guvernamentale, financiare, de învățământ etc.
5. Protecția informațiilor prin clasificarea lor
Dacă după cel de-al doilea război mondial au rămas atâtea amintiri neplăcute, se cuvine, totuși, să recunoaștem și câteva moșteniri teribile. Ne gândim la cercetarea operațională, a lui Claude Shannon, transferată din domeniul militar în cel economic, dar și la ceea ce ne interesează pe noi mai mult, marcarea documentelor cu regim special. NATO are meritul principal în dezvoltarea acestui sistem, al clasificării. Clasificare înseamnă etichetări crescătoare ale documentelor sau informațiilor, de la cel mai de jos nivel, unde se situează informațiile deschise (open) sau neclasificate (unclassified), la cele confidențiale, urcând spre informații secrete și strict secrete (top secret).
Inițial, s-a pornit de la ideea că informațiile care prin compromitere pot costa vieți umane sunt marcate „secrete”, în timp ce informațiile a căror compromitere costă pierderea multor vieți umane sunt definite „top secret” (strict secrete). Angajații în domeniul securității sistemelor sunt investiți cu responsabilități diverse, dar și cu dreptul de a lucra cu anumite categorii de informații. Se poate vorbi de o strânsă legătură între responsabilități și categoriile de informații cu care se dă dreptul de a lucra. În SUA, dreptul de verificare a fișierelor cu amprente ale FBI este acordat doar pentru verificarea unor informații secrete, în timp ce o verificare de tip „top secret” dă dreptul de accesare a tuturor datelor despre locurile de muncă din ultimii 5 până la 15 ani.
Pe linia accesului la unele categorii de informații, pentru exercitarea controlului lucrurile sunt mai clare: un oficial poate citi documentele dintr-o anumită categorie numai dacă el are cel puțin împuternicirea de accesare a informațiilor din categoria respectivă sau dintr-una superioară. De exemplu, un împuternicit să acceseze informații „strict secrete” poate citi informații confidențiale, secrete și strict secrete, iar unul cu drept de accesare a informațiilor secrete nu le poate accesa pe cele „strict secrete”. Regula este că informațiile pot circula doar în sus, de la confidențial la secret și strict secret, în timp ce invers, de sus în jos, pot circula doar dacă o persoană autorizată ia în mod deliberat decizia de a le declasifica.
De asemenea, s-au stabilit reguli de păstrare a documentelor, după cum urmează: documentele confidențiale sunt păstrate în dulapuri cu cheie, în orice birou guvernamental, în timp ce documentele din categoriile superioare necesită seifuri de un anumit tip, uși păzite și control asupra copiatoarelor și a celorlalte echipamente electronice.
Sunt foarte puține unități care au proceduri stricte pe linia asigurării securității informațiilor. Pe de altă parte, la nivel național există proceduri foarte riguroase privind secretul de stat. De regulă, există o ierarhie a ceea ce este cunoscut sub numele de clasificare, prin care orice document și alte elemente importante sunt încadrate într-o anumită categorie.
Se practică două strategii de bază pe linia securității naționale:
1. Tot ceea ce nu este interzis este permis.
2. Tot ceea ce nu este permis este interzis.
În Statele Unite ale Americii, prima strategie este cea care guvernează accesul la informațiile guvernamentale. În multe țări de pe glob, accesul la informațiile naționale este controlat prin legi privind secretul de stat, folosindu-se cea de-a doua strategie. Un angajat loial și devotat firmei nu discută afacerile acesteia până când nu are convingerea că problema respectivă poate să fie făcută publică.
Se apelează la două tactici de implementare a strategiei fundamentale privind protejarea informațiilor deosebite: controlul discreționar al accesului, controlul legal al accesului.
Prima tactică de control al accesului implementează principiul celui mai mic privilegiu: nici o persoană, în virtutea rangului sau a poziției ce o deține, nu are drepturi nelimitate de a vedea informațiile deosebite, iar persoanele care au o astfel de facilitate trebuie să le vadă numai pe cele care intră în sfera lor de activitate. Controlul discreționar al accesului este aplicat printr-o matrice de control. Pentru fiecare persoană (subiect) aflată pe listă și pentru fiecare informație (obiect), matricea arată ceea ce poate face fiecare subiect cu obiectele din listă: citire, scriere, execuție, aprobare ș.a.
Controlul legal al accesului își exercită forța pe baza legilor existente (legea securității naționale, legea energiei atomice ș.a.). În SUA, prin lege, sunt stabilite două tipuri de structuri de control: ierarhizate și neierarhizate.
Structura ierarhizată încadrează informațiile senzitive în patru categorii: strict secrete, secrete, confidențiale și neclasificate. Primele trei categorii sunt referite printr-o denumire generică: informații clasificate. În alte țări NATO, inclusiv Canada, a patra categorie este cunoscută sub numele de informații restrictive.
În structura neierarhizată sunt două categorii: compartimentate și cu obiecții sau ascunse vederii unor categorii de persoane. Compartimentările pot avea nume scurte, suficient de sugestive, care să scoată în relief aspecte cum sunt: SECOM (securitatea comunicației), CRIPTA (criptare), COMSEC (comunicații secrete), HUMINT (Human INTeligence), SIGINT (SIGnal INTeligence), IMINT (IMage INTeligence) ș.a. Categoria „cu obiecții” privește îndeosebi naționalitatea potențialilor cititori și autori ai obiectelor. În SUA, contestațiile (obiecțiile) sunt: NOFOR (no foreign = neaccesibile străinilor), US/UK EYES ONLY (de văzut numai de către englezi sau americani) ș.a.
Informațiile strict secrete, care sunt într-o anumită compartimentare, se numesc informații senzitive compartimentate și presupun o atenție deosebită la întrebuințare. Doar o categorie este superioară acesteia din urmă. Este vorba despre informațiile din planul operativ integrat unic sau răspunsul național în caz de război.
Atunci când informațiile au fost împărțite în două mari categorii, clasificate și neclasificate, s-a ținut cont de anumite principii.
Guvernele pornesc de la o altă clasificare mai largă, împărțind informațiile în două mari tipuri: informații subiective și informații obiective. Anterior a operat o altă clasificare: informații „operaționale” și informații „științifice”. Unii chiar au menționat un al treilea tip de informații clasificate de guverne – informații „tehnice”, însă în multe materiale, informațiile tehnice și cele științifice sunt submulțimi ale informațiilor obiective.
Atunci când o informație trebuie să fie clasificată ei i se va atribui un nivel de clasificare, ceea ce va evidenția importanța relativă a informației clasificate în sistemul național de securitate, specificându-se cerințele minime pe care trebuie să le îndeplinească acea informație.
Un sistem de clasificare eficient trebuie să se bazeze pe niveluri de clasificare definite cu mare claritate.
În sistemul american de clasificare a informațiilor există trei niveluri de clasificare: top secret (strict secret), secret și confidențial. Informațiile neclasificate constituie o altă categorie. În Legea 182/2002 privind protecția informațiilor clasificate, din România, informațiile clasificate din clasa secretelor de stat sunt încadrate în trei niveluri, astfel: strict secrete de importanță deosebită, strict secrete și secrete.
Informațiile strict secrete (SUA), cărora le corespund informațiile strict secrete de importanță deosebită (România), sunt informațiile a căror divulgare neautorizată este de natură să producă daune de o gravitate excepțională securității naționale.
Informațiile secrete (SUA), ceea ce echivalează cu informațiile strict secrete (România), sunt informațiile a căror divulgare neautorizată este de natură să producă daune grave securității naționale.
Informațiile confidențiale (SUA), corespunzătoare informațiilor secrete (România), sunt informațiile a căror divulgare neautorizată este de natură să producă daune securității naționale.
Apreciem că o nesincronizare a nivelurilor de clasificare din sistemul românesc cu cel american este o probă de neinspirație, cu atât mai mult cu cât intrarea în NATO va genera multe disfuncționalități circulației informațiilor clasificate. Considerăm că, în timp, nivelurile securizării din România vor fi schimbate tocmai pentru eliminarea neajunsurilor menționate anterior.
6. Aspecte principale pe linia securizării spațiului cibernetic
Vorbind despre spațiul cibernetic, se cuvine să prezentăm câteva probleme și cauze ce conduc la insecuritatea globală a planetei:
lipsa unui nivel suplimentar de securitate orientat spre angajații organizațiilor (s-a constat că 73% dintre companii n-au cerut vreodată angajaților proprii să citească sau recitească politicile de securitate după angajare, iar 2/3 nu verifică nicicând dacă angajații lor au citit politicile de securitate);
apelarea la „honeypots” (furnicare), pe post de servere false, adevărate captatoare de urme ale atacatorilor de sisteme;
dificultatea combaterii atacurilor din interior prin mijloace tehnice demonstrează că securitatea este, în principal, o problemă umană – evidențiind faptul că în lume există un prost management (se recomandă separarea obligațiilor de serviciu, plecarea anuală a tuturor angajaților în concediu);
o prea mare deschidere a rețelelor din organizații;
proliferarea sistemelor bazate pe calculatoare miniaturizate (handheld) fără o prea bună securizare;
decât să vezi rețelele organizațiilor ca pe niște castele, mai bine le vezi ca pe niște aeroporturi – oamenii vin și pleacă tot timpul, unele zone sunt mai securizate decât altele, iar oamenii când trec dintr-o parte în alta trebuie să prezinte proba (bilet, tichet de îmbarcare, pașaport etc);
folosirea unei mari baze de date care să conțină informații despre cine poate să facă ce să facă, ce va asigura că utilizatorii pot să facă numai lucrurile îndreptățite să le facă – aceasta va duce la supravegherea activităților pe linia securității de către manageri, ca obligații de zi cu zi;
nu blocarea atacanților, ci lăsarea lor să acționeze pentru a le putea urmări modul de acțiune;
aproape inexistente asigurările în spațiul cibernetic, din cauza complexității noilor rețele ce fac dificilă evaluarea riscurilor;
societățile de asigurare vor impune companiilor tipurile de echipamente pe care trebuie să le aibă pentru a fi admise pe lista asiguraților sau pentru a beneficia de reduceri substanțiale ale primelor de asigurare;
revizuirea inițiativelor lansate cu mult entuziasm în privința biometriei (ochi, față, amprenta digitală ș.a.);
11 septembrie 2001 a demonstrat că nu problema colectării datelor a condus la acest dezastru, ci neîmpărtășirea și proasta lor interpretare;
de revizuit rolul factorului uman (HUMINT) în culegerea de informații;
terorismul din spațiul cibernetic poate fi mai periculos decât cel tradițional (câteva clicări de mouse pot să conducă la distrugerea economiei și afectarea multor vieți omenești – un mouse poate fi mai periculos decât un glonț sau o bombă);
de evitat un posibil Pearl Harbour electronic – pentru asta, în SUA, sunt necesare cel puțin cinci ani și 200 milioane de dolari. Sunt căi mai simple și mai ieftine de atacat infrastructurile principale: telefoane false, automobile-capcană, pirați ai aerului;
analogie în abordarea securității sistemului cu sistemul de lobby din domeniul mediului (gen Green Peace).
Iată doar câteva dintre semnalele disperate ale omenirii față de globalizarea informațională. Statele foarte dezvoltate au ajuns să depindă de informații mai mult decât de resursele naturale. Unele dintre ele, dacă nu mai au controlul informațiilor, pot supraviețui fără instaurarea haosului doar câteva ore – SUA, doar șase ore.
Spațiul cibernetic – sistemul central al infrastructurii naționale
Un prim pas în asigurarea securității informațiilor vehiculate la nivelul sistemului informațional global constă în elaborarea unei strategii de securizare a infrastructurilor de importanță vitală.
Infrastructura oricărei națiuni este compusă din instituții publice și private din sectoarele agricol, alimentar, apă, sănătate publică, transport, finanțe și bănci, industria chimică și a altor substanțe speciale, servicii poștale și maritime. Sistemul central al acestei infrastructuri îl constituie spațiul cibernetic – de mii de calculatoare interconectate, servere, rutere, comutatoare (switch-uri), precum și din cablurile de fibră optică ce permit infrastructurii principale să fie perfect interconectată. Astfel, funcționarea sănătoasă a spațiului cibernetic este esențială pentru orice economie și pentru securitatea națională .
Fiecare țară este nevoită să-și dezvolte o strategie proprie de securizare a spațiului cibernetic, având în vedere explozia pe care a înregistrat-o utilizarea rețelelor informatice globale. În momentul actual, eforturile nu trebuie orientate numai către spațiul cibernetic al națiunii, ci trebuie conjugate la nivel global, având în vedere că s-a ajuns la un grad destul de ridicat al depedenței funcționării întregii infrastructuri de funcționare rețelei globale. Riscurile securității informațiilor sunt mult mai mari, sunt la nivel global. Prin atacarea unei rețele naționale este afectată rețeaua globală.
Securizarea spațiului cibernetic este o misiune strategică dificilă, care necesită coordonarea și concentrarea eforturilor întregii societăți, guvernele fiind nevoite să lucreze împreună la identificarea amenințărilor, a vulnerabilităților sistemelor, precum și la stabilirea măsurilor de îmbunătățire a securității spațiului cibernetic.
Viteza cu care se realizează atacurile din spațiul cibernetic, anonimatul lor le fac greu de atribuit unor acțiuni teroriste, criminale sau la nivel de stat – sarcină ce apare deseori după ce s-a înfăptuit atacul. De aceea, elaborarea și aplicarea unor strategii naționale și internaționale de securizare a spațiului cibernetic poate ajuta la reducerea vulnerabilității în fața atacurilor devastatoare declanșate împotriva infrastructurilor informaționale critice sau a averilor/bunurilor fizice care stau la baza acesteia.
Plecând de la exemplul american, care aplică deja o Strategie Națională de Securizare a Spațiului Cibernetic, se pot identifica obiectivele strategice care ar trebui avute în vedere de orice națiune în acest domeniu:
prevenirea atacurilor cibernetice împotriva infrastructurilor critice;
reducerea vulnerabilității naționale în fața atacurilor cibernetice;
minimizarea daunelor și a timpului de reconstituire a sistemului în urma eventualelor atacuri cibernetice, dacă apar.
Amenințări și vulnerabilități
Economia și securitatea națională sunt total dependente de tehnologiile informaționale și de infrastructura informațională. În centrul infrastructurii informaționale, de care depinde omenirea, se află Internetul, un sistem conceput inițial pentru folosirea în comun a cercetărilor neclasificate între oamenii de știință care nu erau suspectați de folosirea abuzivă a rețelei. Este același Internet care astăzi conectează milioane de calculatoare din diferite rețele, rezolvând cele mai multe servicii de bază ale națiunilor și conducând la funcționarea infrastructurilor.
Aceste rețele de calculatoare, de asemenea, controlează obiecte fizice, cum sunt transformatoarele electrice, trenurile, stațiile de pompare, containerele chimice, radarele, bursele de valori – toate existând dincolo de spațiul cibernetic.
O mare varietate de actori rău intenționați pot declanșa atacuri împotriva structurii informaționale critice. Unii deja au făcut-o. O preocupare majoră trebuie să fie orientată spre atacurile cibernetice organizate, capabile să cauzeze destabilizarea infrastructurii Naționale critice, a economiei sau a securității naționale. Complexitatea tehnică solicitată pentru înfăptuirea unui astfel de atac este destul de ridicată și, parțial, explică de ce încă nu s-au înregistrat astfel de atacuri până acum. Totuși, nu trebuie să fim prea încrezători. Au fost cazuri în care atacanții organizați au exploatat unele vulnerabilități care ne-au demonstrat că dispun de capacități distructive și mai mari. Incertitudinea există, precum și intenția și performanțele tehnice necesare, după cum au dovedit-o câteva atacuri anterioare. Analizele amenințărilor cibernetice sunt strict necesare pentru identificarea tendințelor pe termen lung ale amenințărilor și vulnerabilităților. Ceea ce se știe este faptul că instrumentele și metodologiile înfăpturii atacurilor sunt larg răspândite, iar capacitățile tehnice și complexitatea utilizatorilor porniți pe provocarea unui adevărat dezastru se află în creștere.
Pe timp de pace, dușmanii pot declanșa acte de spionaj asupra guvernului, centrelor de cercetare științifică universitară și companiilor private. De asemenea, ei încearcă să pregătească terenul pentru administrarea loviturilor din spațiul cibernetic în cazul unei confruntări, prin cartografierea sistemelor informaționale ale unui stat, identificând principalele ținte și plasând în infrastructura națională porți ascunse de intrare și alte mijloace de acces. Pe timp de război sau criză, adversarii vor încerca să intimideze liderii politici naționali prin atacarea infrastructurilor critice și a funcțiilor de bază ale economiei sau erodarea încrederii publice în sistemele informaționale.
Atacurile cibernetice asupra rețelelor informaționale ale oricărei țări pot avea consecințe grave, cum ar fi întreruperea funcționării unor componente cheie, provocarea pierderilor de venituri și proprietăți intelectuale sau chiar pierderea vieților omenești. Contracararea unor astfel de atacuri necesită realizarea unor componente riguroase cum încă nu există în prezent, dacă se dorește reducerea vulnerabilităților și prevenirea sau diminuarea forței capacităților îndreptate împotriva infrastructurilor critice.
Rolul guvernului în securizarea spațiului cibernetic
În general, sectorul privat este cel mai bine structurat și echipat pentru a răspunde la un eventual atac cibernetic. Privind în interior, asigurarea continuității activității guvernului presupune asigurarea siguranței propriei sale infrastructuri cibernetice și a activelor necesare pentru atingerea misiunii și exercitarea serviciilor. Pe plan extern, rolul unui guvern pe linia securității cibernetice este acela al garantării cazurilor în care costurile tranzacțiilor sunt ridicate sau atunci când barierele legale conduc la probleme ce necesită o coordonare deosebită; cazurile în care guvernele operează în absența forțelor sectorului privat; creșterea conștientizării.
Angajarea parteneriatului public-privat este componenta de bază a strategiei de securizare a spațiului cibernetic. Acesta este adevărul din câteva motive. Parteneriatul se confruntă cu problema coordonării. Partenerii pot îmbunătăți, în mod semnificativ, schimbul de informații și cooperarea. Angajamentul public-privat va lua o mare varietate de forme și se va adresa conștientizării nevoii de instruire, performanțelor tehnologice, remedierii vulnerabilității și operațiunilor de reconstituire a sistemului.
Rolul guvernului în aceste cazuri și în altele este justificat doar atunci când beneficiile intervenției depășesc costurile asociate. Acest standard este important doar în cazurile în care există soluții viabile din partea sectorului privat pentru remedierea potențialelor amenințări și vulnerabilități. Pentru fiecare caz, trebuie să se acorde atenție costurilor și impactului unei acțiuni anume a guvernului, comparativ cu alte acțiuni complementare, non-acțiuni, luând în considerare și soluțiile prezente și viitoare ale sectorului privat.
Acțiunile guvernamentale de securizare a spațiului cibernetic sunt justificate din mai multe motive: al jurisdicției și încadrării atacurilor, protecției rețelelor și sistemelor critice pentru securitatea națională, al recomandărilor și atenționărilor, precum și al protecției împotriva atacurilor organizate capabile să producă daune economiei. Activitățile instituțiilor guvernamentale trebuie, de asemenea, să susțină cercetarea și dezvoltarea tehnologică pentru a permite sectorului privat să asigure o mai bună securizare a unei părți din infrastructura principală a națiunii.
Ca orice strategie, și cea de securizare a spațiului cibernetic ar trebui să-și definească o serie de priorități, care, potrivit guvernului american, ar putea fi:
un sistem național de răspuns pe linia securității spațiului cibernetic;
un program național de reducere a vulnerabilității și amenințărilor securității spațiului cibernetic;
un program național de instruire și conștientizare privind securitatea spațiului cibernetic;
securizarea spațiului cibernetic guvernamental;
securitatea națională și cooperarea internațională privind securitatea spațiului cibernetic.
Prima prioritate vizează îmbunătățirea răspunsului la incidentele cibernetice și la reducerea potențialelor daune produse de astfel de evenimente. Prioritățile a doua, a treia și a patra vizează reducerea amenințărilor și vulnerabilităților în fața potențialelor atacuri cibernetice. A cincea prioritate este de prevenire a atacurilor cibernetice care pot avea impact asupra activelor naționale de securitate și de îmbunătățire a managementului internațional al răspunsurilor la astfel de atacuri.
Cadrul legislativ românesc privind securitatea informațiilor
La nivelul României, în ultimii ani, au început să apară din ce în ce mai multe reglementări legislative privind protecția și securitatea informațiilor. Lucrurile s-au schimbat odată cu proliferarea și pe teritoriul țării a tehnologiilor informaționale și de comunicații, care au eliminat barierele de timp, spațiu și localizare a prelucrării, stocării și transmiterii informațiilor. Chiar dacă sunt încă multe lacune în această privință, se poate spune că este un început bun pentru trecerea României la societatea informațională și a cunoașterii.
Printre cele mai importante legi care reglementează, direct sau indirect, protejarea informațiilor, mecanismele de prelucrare, stocare și transmitere, se pot enumera:
Legea 51/1991 privind siguranța națională a României;
Ordonanța de Guvern 124/2000 pentru completarea cadrului juridic privind dreptul de autor și drepturile conexe, prin adoptarea de măsuri pentru combaterea pirateriei în domeniile audio și video, precum și a programelor pentru calculator. Ordonanța este prezentată la paragraful drepturilor de autor;
Legea 455/iulie 2001 privind semnătura electronică;
Legea 544/2001 privind accesul la informația publică;
Legea 676/2001 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor;
Legea 677/21 noiembrie 2001 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;
Legea 682/2001 privind ratificarea Convenției pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;
Ordinul Ministerului Finanțelor Publice 875/2001 pentru aprobarea Regulamentului privind operațiunile cu titluri de stat emise în formă dematerializată;
Legea 182/2002 privind protecția informațiilor clasificate, însoțită de Hotărârea de Guvern 585/2002 pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România;
Legea 365/2002 privind comerțul electronic;
Ordonanța de Guvern 34/2002 privind accesul la rețelele de telecomunicații electronice și la infrastructura asociată, precum și interconectarea acestora;
Hotărârea de Guvern 781/2002 privind protecția informațiilor secrete de serviciu;
Regulamentul Băncii Naționale a României 4/2002 privind tranzacțiile efectuate prin intermediul instrumentelor de plată electronică și relațiile dintre participanții la aceste tranzacții;
Ordonanța de Guvern 24/2002 privind încasarea prin mijloace electronice a impozitelor și taxelor locale;
Ordinul Avocatului Poporului 75/2002 privind stabilirea unor măsuri și proceduri specifice care să asigure un nivel satisfăcător de protecție a drepturilor persoanelor ale căror date cu caracter personal fac obiectul prelucrărilor.
Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, care conține componenta de prevenire și combatere a criminalității informatice, în Titlul III.
S-ar putea spune că, cel puțin din punct de vedere legislativ, România se apropie de climatul juridic internațional și al țărilor dezvoltate în privința securității informațiilor. Însă, mai sunt multe aspecte de rezolvat, care țin de procedurile de aplicare a legislației, de educația și instruirea în acest domeniu, de conștientizarea factorilor decizionali în privința riscurilor la care sunt supuse sistemele informatice ale organismelor pe care le conduc. De asemenea, nu există o strategie elaborată în privința securizării spațiului cibernetic, în care să fie definite foarte clar obiectivele, prioritățile, măsurile și actorii responsabili, elemente de această natură regăsindu-se doar pe alocuri în Strategia de Securitate Națională, Doctrina națională a informațiilor pentru securitate, Legea siguranței naționale și celelalte legi care reglementează securitatea informațiilor, a activităților care apelează la mijloace electronice de prelucrare a datelor etc.
Concluzii
Informația, a treia formă de manifestare a Existenței Fundamentale, la confluența dintre milenii, a devenit cea mai apreciată comoară a omenirii. Cu mult temei, s-a făcut afirmația de către japonezi că fericiții stăpâni ai informației de la sfârșitul secolului XX vor fi și stăpânii lumii. Nu energiile controlate de om, oricât de puternice ar fi ele sau efectele lor, nu aurul și alte averi materiale, sub orice formă ar exista acestea, ci informația va fi semnul puterii. Așadar, nu sceptrul de aur, ci aureola informațională.
Acum, la începutul mileniului trei, prea multe nu s-au schimbat pe planul operațiunilor de protejare și securizare a informațiilor, ci doar tehnicile și mediile de lucru, firesc, sunt altele. Până și tradiționalul sistem bazat pe un calculator central a devenit desuet, vorbindu-se în orice colț al planetei despre Internet, Intranet, Extranet, despre includerea în structura lor a calculatoarelor personale (PDA), a diverselor generații de telefonie și multe altele, inclusiv despre rețeaua rețelelor, ceea ce dă noi dimensiuni spațiului cibernetic. Pe planul globalizării, o tendință este evidentă, a preocupărilor comune, public-privat, pentru securizarea spațiului cibernetic global, îndeosebi după 11 septembrie 2001. Dependența de informație este tot mai mare, chiar periculoasă. Sunt state care depind total de informațiile oferite de componentele spațiului cibernetic național. Blocarea acestuia timp de câteva ore poate să conducă la instaurarea haosului în țara respectivă, afectând, în bună măsură, și securitatea sistemului informațional global planetar.
Iată de ce se impune cu mai multă acuitate acordarea unei atenții sporite securității informațiilor, în primul rând, prin asigurarea unei corecte clasificări a lor, dar și prin elaborarea unor strategii coerente de securizare a spațiului cibernetic.
CAPITOLUL II
MANAGEMENTUL PROTECȚIEI INFORMAȚIILOR CLASIFICATE ÎN UNITĂȚI MILITARE /UNITĂȚI DE NAVE
1. Organizarea și administrarea securității
Standardele naționale de protecție a informațiilor clasificate în România cuprind normele de aplicare a Legii nr. 182/2002 privind protecția informațiilor clasificate referitoare la:
a) clasificările informațiilor secrete de stat și normele privind măsurile minime de protecție în cadrulfiecărei clase;
b) obligațiile și răspunderile autorităților și instituțiilor publice, ale agenților economici și ale altor persoane juridice de drept public sau privat privind protecția informațiilor secrete de stat;
c) normele privind accesul la informațiile clasificate, precum și procedura verificărilor de securitate;
d) regulile generale privind evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea informațiilor secrete de stat;
e) regulile de identificare și marcare, inscripționările și mențiunile obligatorii pe documentele secrete de stat, în funcție de nivelurile de secretizare, cerințele de evidență a numerelor de exemplare și a destinatarilor, termenele și regimul de păstrare, interdicțiile de reproducere și circulație;
f) condițiile de fotografiere, filmare, cartografiere și executare a unor lucrări de arte plastice în obiective sau locuri care prezintă importanță deosebită pentru protecția informațiilor secrete de stat;
g) regulile privitoare la accesul străinilor la informațiile secrete de stat;
h) protecția informațiilor clasificate care fac obiectul contractelor industriale secrete – securitatea industrială;
i) potecția surselor generatoare de informații – INFOSEC.
Prezentele standarde instituie sistemul național de protecție a informațiilor clasificate, în concordanță cu interesul național, cu criteriile și recomandările NATO și sunt obligatorii pentru toate persoanele juridice sau fizice care gestionează astfel de informații.
Echivalența informațiilor naționale clasificate, pe niveluri de secretizare, cu informațiile NATO clasificate este:
a) Strict secret de importanță deosebită – NATO top secret
b) Strict secret – NATO secret
c) Secret – NATO confidențial
d) Secret de serviciu – NATO restricted
Domeniile reglementate de Normele privind protecția informațiilor clasificate în Armata României sunt următoarele:
– organizarea și administrarea securității;
– protecția personalului;
– protecția fizică;
– protecția documentelor;
– protecția documentelor NATO clasificate;
– securitatea industrială;
Termenii folosiți în prezentele standarde au următorul înțeles:
– autorizație de acces la informații clasificate – document eliberat cu avizul instituțiilor abilitate, de conducătorul persoanei juridice deținătoare de astfel de informații, prin care se confirmă că, în exercitarea atribuțiilor profesionale, posesorul acestuia poate avea acces la informații secrete de stat de un anumit nivel de secretizare, potrivit principiului necesității de a cunoaște;
– certificat de securitate – document eliberat persoanei cu atribuții nemijlocite în domeniul protecției informațiilor clasificate, respectiv funcționarului de securitate sau salariatului din structura de securitate, care atestă verificarea și acreditarea de a deține, de a avea acces și de a lucra cu informații clasificate de un anumit nivel de secretizare;
– clasificarea informațiilor – încadrarea informațiilor într-o clasă și nivel de secretizare;
– controlul informațiilor clasificate – orice activitate de verificare a modului în care sunt gestionate documentele clasificate;
– declasificare – suprimarea mențiunilor de clasificare și scoaterea informației clasificate de sub incidența reglementărilor proiective prevăzute de lege;
– diseminarea informațiilor clasificate – activitatea de difuzare a informațiilor clasificate către unități sau persoane abilitate să aibă acces la astfel de informații;
– document clasificat – orice suport material care conține informații clasificate, în original sau copie, precum:
a) hârtie – documente olografe, dactilografiate sau tipărite, schițe, hărți, planșe, fotografii, desene, indigo, listing;
b) benzi magnetice, casete audio-video, microfilme;
c) medii de stocare a sistemelor informatice – dischete, compact-discuri, hard-discuri, memorii PROM și EPROM, riboane;
d) dispozitive de procesare portabile – agende electronice, laptop-uri – la care hard-discul este folosit pentru stocarea informațiilor;
– funcționar de securitate – persoană care îndeplinește atribuțiile de proiecție a informațiilor clasificate în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sau parțial de stat și altor persoane juridice de drept public sau privat;
– gestionarea informațiilor clasificate – orice activitate de elaborare, luare în evidență, accesare, procesare, multiplicare, manipulare, transport, transmitere, inventariere, păstrare, arhivare sau distrugere a informațiilor clasificate;
– incident de securitate – orice acțiune sau inacțiune contrară reglementărilor de securitate a cărei consecință a determinat sau este de natură să determine compromiterea informațiilor clasificate;
– indicator de interdicție – text sau simbol care semnalează interzicerea accesului sau derulării unor activități în zone, obiective, sectoare sau locuri care prezintă importanță deosebită pentru protecția informațiilor clasificate;
– informație clasificată compromisă – informație clasificată care și-a pierdut integritatea, a fost rătăcită, pierdută ori accesată, total sau parțial, de persoane neautorizate;
– marcare – activitatea de inscripționare a nivelului de secretizare a informației și de semnalare a cerințelor speciale de protecție a acesteia;
– material clasificat – document sau produs prelucrat ori în curs de prelucrare, care necesită a fi protejat împotriva cunoașterii neautorizate;
– necesitatea de a cunoaște – principiul conform căruia accesul la informații clasificate se acordă în mod individual numai persoanelor care, pentru îndeplinirea îndatoririlor de serviciu, trebuie să lucreze cu astfel de informații sau să aibă acces la acestea;
– obiectiv, sector sau loc de importanță deosebită pentru protecția informațiilor secrete de stat – incintă sau perimetru anume desemnat, în care sunt gestionate informații secrete de stat;
– parte contractantă – oricare dintre părțile care convin să negocieze, să încheie sau să deruleze un contract clasificat;
– protecția surselor generatoare de informații – ansamblul măsurilor destinate protecției informațiilor elaborate, stocate sau transmise prin sisteme ori rețele de prelucrare automată a datelor și/sau de comunicații;
– sistem de protecție a informațiilor clasificate – ansamblul de măsuri de natură juridică, procedurală, fizică, de protecție a personalului și a surselor generatoare de informații, destinate securității materialelor și documentelor clasificate;
– structură de securitate – compartiment specializat în protecția informațiilor clasificate, organizat în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sau parțial de stat și al altor persoane juridice de drept public sau privat;
– trecerea la un alt nivel de clasificare sau de secretizare – schimbarea clasificării, respectiv a nivelului de secretizare a informațiilor secrete de stat;
– unitate deținătoare de informații clasificate sau unitate – autoritate sau instituție publică, agent economic cu capital integral sau parțial de stat ori o altă persoană juridică de drept public sau privat care, potrivit legii, are dreptul de a deține informații clasificate;
– verificare de securitate – totalitatea măsurilor întreprinse de autoritățile desemnate de securitate, conform competențelor, pentru stabilirea onestității și profesionalismului persoanelor, în scopul avizării eliberării certificatului de securitate sau autorizației de acces la informații clasificate;
– zonă de securitate – perimetru delimitat și special amenajat unde sunt gestionate informații clasificate.
Clasificarea , declasificarea informațiilor și trecerea un nivel inferior de secretizare informațiilor
Clasificarea informațiilor
Informațiile sunt clasificate secrete de stat sau secrete de serviciu, în raport de importanța pe care o au pentru securitatea națională și de consecințele ce s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate.
Informațiile secrete de stat sunt informațiile a căror divulgare poate prejudicia siguranța națională și apărarea țării și care, în funcție de importanța valorilor protejate, se includ în următoarele niveluri de secretizare prevăzute de lege:
strict secret de importanță deosebită;
strict secret;
secret.
Informațiile a căror divulgare este de natură să determine prejudicii Ministerului Apărării Naționale se clasifică secrete de serviciu.
Unitățile care elaborează ori lucrează cu informații secrete de stat au obligația să întocmească un ghid pe baza căruia se va realiza clasificarea corectă și uniformă a acestora.
Ministerul Apărării Naționale întocmeste liste proprii cuprinzând categoriile de informații secrete de stat în domeniile lor de activitate, care se aprobă și se actualizează prin hotărâre a Guvernului.
Listele cu informații secrete de serviciu se stabilesc de conducătorii unităților deținătoare de astfel de informații.
În listele cu informații secrete de serviciu vor fi incluse informațiile care se referă la activitatea unității și care, fără a constitui, secrete de stat, nu trebuie cunoscute decât de persoanele cărora le sunt necesare pentru îndeplinirea atribuțiilor de serviciu, divulgarea lor putând prejudicia interesul unității.
Unitățile care gestionează informații clasificate au obligația să analizeze ori de câte ori este necesar listele informațiilor secrete de stat și, după caz, să prezinte Guvernului spre aprobare propuneri de actualizare și completare a acestora, conform legii.
Atribuirea clasei și nivelului de secretizare a informațiilor se realizează prin consultarea ghidului de clasificare, a listelor cu informații secrete de stat și a listelor cu informații secrete de serviciu, elaborate potrivit legii.
Șeful ierarhic al emitentului are obligația să verifice dacă informațiile au fost clasificate corect și să ia măsuri în consecință, când constată că au fost atribuite niveluri de secretizare necorespunzătoare.
Termenele de clasificare a informațiilor secrete de stat vor fi stabilite de emitent, în funcție de importanța acestora și de consecințele care s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate.
Termenele de clasificare a informațiilor secrete de stat, pe niveluri de secretizare, cu excepția cazului când acestea necesită o protecție mai îndelungată, sunt de până la:
– 100 de ani pentru informațiile clasificate strict secret de importanță deosebită;
– 50 de ani pentru informațiile clasificate strict secret;
– 30 de ani pentru informațiile clasificate secret.
Termenele de clasificare pot fi prelungite prin hotărâre a Guvernului, pe baza unei motivații temeinice, la solicitarea conducătorilor unităților deținătoare de informații clasificate sau, după caz, a împuterniciților și funcționarilor superiori abilitați să atribuie nivelurile de secretizare.
Fiecare împuternicit ori funcționar superior abilitat să atribuie niveluri de secretizare va dispune verificarea periodică a tuturor informațiilor secrete de stat cărora le-au atribuit nivelurile de secretizare, prilej cu care, dacă este necesar, vor fi reevaluate nivelurile și termenele de clasificare.
Documentul elaborat pe baza prelucrării informațiilor cu niveluri de secretizare diferite va fi clasificat conform noului conținut, care poate fi superior originalelor.
Documentul rezultat din cumularea neprelucrată a unor extrase provenite din informații clasificate va primi clasa sau nivelul de secretizare corespunzător conținutului extrasului cu cel mai înalt nivel de secretizare.
Rezumatele, traducerile și extrasele din documentele clasificate primesc clasa sau nivelul de secretizare corespunzător conținutului.
Marcarea informațiilor clasificate are drept scop atenționarea persoanelor care le gestionează sau le accesează că sunt în posesia unor informații în legătură cu care trebuie aplicate măsuri specifice de acces și protecție, în conformitate cu legea.
Cazurile considerate supraevaluări ori subevaluări ale clasei sau nivelului de secretizare vor fi supuse atenției emitentului, iar dacă acesta decide să reclasifice informațiile va informa deținătorii.
Informațiile vor fi clasificate numai în cazul în care se impune protecția acestora, iar nivelurile de secretizare și termenele de clasificare subzistă atât timp cât dezvăluirea sau diseminarea lor neautorizată ar putea prejudicia siguranța națională, apărarea țării, ordinea publică sau interesele persoanelor juridice de drept public sau privat.
Supraevaluarea sau subevaluarea nivelului de secretizare a informațiilor și a duratei pentru care au fost clasificate se pot contesta de către orice persoană fizică sau juridică română, în contencios administrativ.
Declasificarea și trecerea informațiilor clasificatea un nivel inferior de secretizare
Informațiile secrete de stat pot fi declasificate prin hotărâre a Guvernului, la solicitarea motivată a emitentului.
Informațiile se declasifică dacă:
a) termenul de clasificare a expirat;
b) dezvăluirea informațiilor nu mai poate prejudicia siguranța națională, apărarea țării, ordinea publică, ori interesele persoanelor de drept public sau privat deținătoare;
c) a fost atribuit de o persoană neîmputernicită prin lege.
Declasificarea sau trecerea la un alt nivel de secretizare a informațiilor secrete de stat se realizează de împuterniciții și funcționarii superiori abilitați prin lege să atribuie niveluri de secretizare, cu avizul prealabil al instituțiilor care coordonează activitatea și controlul măsurilor privitoare la protecția informațiilor clasificate, potrivit competențelor materiale.
Emitenții documentelor secrete de stat vor evalua periodic necesitatea menținerii în nivelurile de secretizare acordate anterior și vor prezenta împuterniciților și funcționarilor superiori abilitați prin lege să atribuie niveluri de secretizare, propuneri în consecință.
Ori de câte ori este posibil, emitentul unui document clasificat trebuie să precizeze dacă acesta poate fi declasificat ori trecut la un nivel inferior de secretizare, la o anumită dată sau la producerea unui anumit eveniment.
La schimbarea clasei sau nivelului de secretizare atribuit inițial unei informații, emitentul este obligat să înștiințrze structura de securitate, care va face mențiunile necesare în registrele de evidență.
Data și noua clasă sau nivel de secretizare vor fi marcate pe document deasupra sau sub vechea inscripție, care va fi anulată prin trasarea unei linii oblice.
Emitentul informațiilor declasificate ori trecute în alt nivel de clasificare se va asigura că gestionarii acestora sunt anunțați la timp, în scris, despre acest lucru.
Informațiile clasificate despre care s-a stabilit cu certitudine că sunt compromise sau iremediabil pierdute vor fi declasificate.
Declasificarea se face numai în baza cercetării prin care s-a stabilit compromiterea sau pierderea informațiilor respective ori a suportului material al acestora, cu acordul scris al emitentului.
Informațiile secrete de serviciu se declasifică de conducătorii unităților care le-au emis, prin scoaterea de pe liste, care vor fi reanalizate ori de câte ori este necesar.
Accesul la informațiile clasificate</DIV>
Accesul la informații clasificate elaborate sau deținute de Ministerul Apărării Naționale este permis cu respectarea principiului „necesitatea de a cunoaște”, în condițiile legii
Personalul propriu are acces la informații clasificate pe baza următoarelor documente:
a) certificat de securitate – pentru personalul cu atribuții nemijlocite în domeniul protecției informațiilor clasificate, respectiv comandanți, personalul din structurile de securitate, gestionarii de informații clasificate, alte persoane desemnate de comandanți;
b) autorizație de acces la informații clasificate – pentru persoanele care necesită acces la informații clasificate în scopul îndeplinirii atribuțiilor de serviciu;
c) certificat de securitate tip A și tip B – pentru accesul la informații NATO clasificate.
Persoanele din afara Ministerului Apărării Naționale au acces la informații clasificate pe baza următoarelor documente:
a) autorizație specială – pentru desfășurarea oricărui tip de activități în cadrul cărora se vehiculează informații clasificate, ce se desfășoară în unitățile militare ale Ministerului Apărării Naționale, precum și pentru desfășurarea activităților de fotografiere, filmare, cartografiere și lucrări plastice în cadrul obiectivelor, zonelor și locurilor care prezintă importanță deosebită pentru protecția informațiilor clasificate deținute de Ministerul Apărării Naționale;
b) autorizație de securitate industrială – document eliberat pe baza avizului de securitate, care permite persoanelor juridice participarea la negocierea unor contracte clasificate cu Ministerul Apărării Naționale;
c) certificat de securitate industrială – pentru persoanele juridice desemnate în urma negocierilor, licitațiilor etc. să deruleze activități industriale sau de cercetare ce presupun accesul la informațiile clasificate deținute de Ministerul Apărării Naționale.
Neacordarea documentelor de acces sau retragerea motivată a acestora determină de drept interdicția de acces la informații clasificate.
Nivelul de acces acordat trebuie să fie similar cu nivelul cel mai înalt de secretizare a informațiilor clasificate necesar a fi cunoscute pentru îndeplinirea atribuțiilor funcționale sau a obligațiilor contractuale.
Nici o persoană nu are drept de acces la informații clasificate exclusiv în virtutea gradului militar, a funcției pe care o deține, a certificatului, autorizației sau avizului de securitate.
Persoanele care urmează să aibă acces la informații clasificate semnează un Angajament de confidențialitate prevăzut în anexa nr. 1 și sunt instruite de către structura de securitate atât la acordarea accesului, cât și periodic, cu privire la conținutul reglementărilor privind protecția informațiilor clasificate.
În cazul în care o persoană deține certificat de securitate sau autorizație de acces la informații naționale clasificate, acesteia i se poate elibera și certificat de securitate tip A pentru acces la informații NATO clasificate, valabil pentru același nivel de secretizare sau pentru un nivel inferior.
Certificatele de securitate tip B se eliberează numai deținătorilor de certificate tip A în scopul participării la activități NATO, pentru care organizatorii solicită acest document.
În situații de criză, calamități sau alte cazuri excepționale, comandantul unității poate acorda „Autorizație temporară de acces” la informații clasificate anumitor persoane care nu dețin certificat de securitate sau autorizație de acces corespunzătoare, cu condiția asigurării unui regim strict de evidență.
Persoanele care primesc dreptul de acces temporar la informații secrete de stat semnează angajamentul de confidențialitate, iar structura de securitate declanșează în cel mai scurt timp posibil procedura pentru efectuarea verificărilor de securitate.
În cazul informațiilor strict secrete de importanță deosebită, accesul temporar se acordă, pe cât posibil, persoanelor care dețin deja certificate de securitate sau autorizații de acces la informații strict secrete sau secrete.
Structura de securitate
</DIV>
Pentru implementarea măsurilor de protecție a informațiilor clasificate, în unitățile deținătoare de astfel de informații se înființează, în condițiile legii, structuri de securitate cu atribuții specifice.
Structura de securitate se organizează și se încadrează potrivit legii.
Șeful structurii de securitate este un adjunct al conducătorului persoanei juridice sau un membru al statului major al unității.
Șeful structurii de securitate, deține certificat de securitate corespunzător celui mai înalt nivel de clasificare a informațiilor secrete de stat gestionate de unitate.
Structura de securitate are următoarele atribuții generale:
a) elaborează și supune aprobării conducerii unității normele interne privind protecția informațiilor clasificate, potrivit legii;
b) întocmește programul de prevenire a scurgerii de informații clasificate și îl supune avizării eșaloanelor superioare, iar după aprobare, acționează pentru aplicarea acestuia;
c) coordonează activitatea de protecție a informațiilor clasificate, în toate componentele acesteia;
d) asigură relaționarea cu eșaloanelor superioare , să coordoneze activitatea și să controleze măsurile privitoare la protecția informațiilor clasificate, potrivit legii;
e) monitorizează activitatea de aplicare a normelor de protecție a informațiilor clasificate și modul de respectare a acestora;
f) consiliază conducerea unității în legătură cu toate aspectele privind securitatea informațiilor clasificate;
g) informează conducerea unității despre vulnerabilitățile și riscurile existente în sistemul de protecție a informațiilor clasificate și propune măsuri pentru înlăturarea acestora;
h) acordă sprijin reprezentanților eșaloanelor abilitate, potrivit competențelor legale, pe linia verificării persoanelor pentru care se solicită accesul la informații clasificate;
i) organizează activități de pregătire specifică a persoanelor care au acces la informații clasificate;
j) asigură păstrarea și organizează evidența certificatelor de securitate și autorizațiilor de acces la informații clasificate;
k) actualizează permanent evidența certificatelor de securitate și a autorizațiilor de acces;
l) întocmește și actualizează listele informațiilor clasificate elaborate sau păstrate de unitate, pe clase și niveluri de secretizare;
m) prezintă conducătorului unității propuneri privind stabilirea obiectivelor, sectoarelor și locurilor de importantă deosebită pentru protecția informațiilor clasificate din sfera de responsabilitate și, după caz, solicită sprijinul structurilor abilitate;
n) efectuează, cu aprobarea conducerii unității, controale privind modul de aplicare a măsurilor legale de protecție a informațiilor clasificate;
o) exercită alte atribuții în domeniul protecției informațiilor clasificate, potrivit legii.
Atribuțiile personalului din structura de securitate, respectiv ale funcționarului de securitate, se stabilesc prin fișa postului, aprobată de conducătorul unității.
Persoanele care lucrează în structura de securitate vor fi incluse în programe permanente de pregătire organizate de instituțiile investite cu atribuții de coordonare a activității și de control al măsurilor privitoare la protecția informațiilor clasificate, potrivit legii.
Controlul activității privind protecția informațiilor clasificate
Controlul reprezintă activitatea de verificare a modului în care este asigurată protecția informațiilor clasificate în cadrul unităților militare, în scopul prevenirii, contracarării și eliminării oricăror riscuri de securitate.
Controlul protecției informațiilor clasificate are ca scop:
a) evaluarea eficienței măsurilor concrete de protecție adoptate în conformitate cu actele normative în vigoare precum și cu Programul de prevenire a scurgerii de informații clasificate existent la fiecare unitate militară;
b) identificarea vulnerabilităților existente în sistemul de protecție a informațiilor clasificate, care ar putea conduce la compromiterea acestor informații, în vederea luării măsurilor de prevenire necesare;
c) luarea măsurilor de remediere a deficiențelor și de perfecționare a cadrului organizatoric și funcțional la nivelul structurii controlate;
d) constatarea cazurilor de nerespectare a normelor de protecție a informațiilor clasificate și aplicarea sancțiunilor contravenționale sau, după caz, sesizarea organelor de urmărire penală, în situația în care fapta constituie infracțiune;
În funcție de obiectivele urmărite, controalele pot fi:
a) controale de fond, care urmăresc verificarea întregului sistem organizatoric, structural și funcțional de protecție a informațiilor clasificate;
b) controale tematice, care vizează anumite domenii ale activității de protecție a informațiilor clasificate;
c) controale în situații de urgență, care au ca scop verificarea unor aspecte punctuale, stabilite ca urmare a identificării unui risc de securitate.
În funcție de modul în care sunt stabilite și organizate, controalele pot fi:
a) planificate;
b) inopinate;
c) determinate de situații de urgență.
Controalele sunt efectuate de echipe de control pe specialități și competențe pentru stabilirea riscurilor privind protecția informațiilor la toate structurile Ministerului Apărării Naționale.
Comandanții sunt obligați să controleze modul cum se respectă prevederile actelor normative privind protecția informațiilor clasificate în cadrul unității din care fac parte.
Șefii nemijlociți sunt obligați să verifice permanent modul în care personalul subordonat respectă prevederile actelor normative specifice privind protecția documentelor clasificate.
Lunar, aceștia verifică existența tuturor documentelor clasificate și a literaturii militare aflate asupra subordonaților. Rezultatul controlului se consemnează în Registrul pentru evidența personală a documentelor.
Ofițerii din cadrul structurilor de securitate controlează modul de asigurare a protecției informațiilor clasificate în cadrul unităților din care fac parte, precum și la unitățile subordonate, potrivit competențelor.
Rezultatele controalelor se consemnează în registrul de controale, iar când se constată probleme deosebite, se încheie act de control.
Comandanții unităților militare care fac obiectul controlului au obligația să pună la dispoziția comisiilor de control toate informațiile solicitate privind modul de aplicare a măsurilor privind protecția informațiilor clasificate.
În scopul prevenirii suprapunerii activităților de control, structurile de securitate înaintează, ierarhic, pentru avizare planurile anuale de control la structurile de securitate care le coordonează activitatea, acestea fiind aprobate de comandantul unității.
Semestrial, structura de securitate înaintează ierarhic „Sinteza controalelor privind protecția informațiilor clasificate”.
Pregătirea și instruirea personalului
Pregătirea personalului constituie o formă a educației de securitate obligatorie pentru toate persoanele care gestionează sau urmează să gestioneze informații clasificate și reprezintă activitatea specifică de instruire și informare în vederea aplicării măsurilor de protecție a informațiilor clasificate.
Obiectivele, domeniile, etapele și formele de pregătire, precum și timpul alocat sunt cuprinse în Planul Unic al Ministerului Apărării Naționale.
Pregătirea personalului urmărește însușirea corectă a prevederilor prezentelor norme și a modului de implementare eficientă a măsurilor de protecție a informațiilor clasificate.
Pregătirea personalului se realizează diferențiat, potrivit nivelului de secretizare a informațiilor la care certificatul de securitate sau autorizația de acces permite accesul și este înscrisă în Fișa de pregătire individuală prevăzută în anexa nr. 2, care se păstrează la structura de securitate.
Toate persoanele încadrate în funcții care presupun accesul la informații clasificate trebuie să fie pregătite temeinic, atât în perioada premergătoare numirii în funcție, cât și la intervale prestabilite, asupra necesității și modalităților de asigurare a protecției acestor informații.
După fiecare activitate de pregătire, persoana care deține certificat de securitate sau autorizație de acces semnează că a luat act de conținutul reglementărilor privind protecția informațiilor clasificate.
Activitatea de pregătire se finalizează prin verificări sau certificări ale nivelului de cunoștințe.
Planificarea și organizarea activității de pregătire a personalului se realizează de către structura de securitate.
Structura specializată controlează, în baza planurilor anuale de control, modul de realizare a activității de pregătire a personalului care are acces la informații clasificate.
Toate persoanele care gestionează informații clasificate au obligația să cunoască reglementările privind protecția informațiilor clasificate.
Structura de securitate din cadrul fiecărei unități întocmește, anual, un plan de pregătire a personalului.
Planul de pregătire conține tematici generale și specifice care pot fi prezentate sub formă de lecții, informări, prelegeri, simpozioane, schimb de experiență, seminarii, ședințe cu caracter aplicativ, se aprobă de comandantul unității și se include în Planul cu principalele activități.
Structura de securitate ține evidența tuturor persoanelor din cadrul unității care au participat la formele de pregătire organizate.
Organizarea și coordonarea activității de pregătire se execută de către fiecare structură de securitate pentru personalul din structurile de securitate nemijlocit subordonate.
2. Protecția personalului
Considerații generale
Unitățile deținătoare de informații secrete de stat au obligația de a asigura protecția personalului desemnat să asigure securitatea acestora ori care are acces la astfel de informații, potrivit prezentelor standarde.
Măsurile de protecție a personalului au drept scop:
a) să prevină accesul persoanelor neautorizate la informații secrete de stat;
b) să garanteze că informațiile secrete de stat sunt distribuite deținătorilor de certificate de securitate/autorizații de acces, cu respectarea principiului necesității de a cunoaște;
c) să permită identificarea persoanelor care, prin acțiunile sau inacțiunile lor, pot pune în pericol securitatea informațiilor secrete de stat și să prevină accesul acestora la astfel de informații.
Protecția personalului se realizează prin: selecționarea, verificarea, avizarea și autorizarea accesului la informațiile secrete de stat, revalidarea, controlul și instruirea personalului, retragerea certificatului de securitate sau autorizației de acces.
Structura de securitate are următoarele atribuții specifice privind protecția personalului:
a) inițiază procesul de solicitare a eliberării certificatelor/autorizațiilor de securitate, din dispoziția comandantului unității;
b) pune la dispoziția personalului pentru care se solicită eliberarea certificatului/autorizației de securitate formularele tip corespunzătoare nivelului de acces solicitat și acordă asistență în vederea completării acestora;
c) acordă sprijinul necesar structurilor cu atribuții în efectuarea verificărilor asupra personalului ce urmează să aibă acces la informații clasificate;
d) ține evidența actualizată a tuturor persoanelor din unitate care au acces la informații clasificate și a copiilor certificatelor/autorizațiilor de securitate luând măsurile necesare pentru revalidarea sau retragerea acestor documente.
Selecționarea personalului
Selecționarea personalului în vederea verificării, avizării și autorizării acestuia pentru a avea acces la informații clasificate este atributul comandanților, potrivit reglementărilor în vigoare.
În activitatea de selecție, comandanții sunt consiliați de șeful structurii de securitate.
La activitatea de selecție se ține cont de:
a) clasa sau nivelul de secretizare a informațiilor gestionate de unitate;
b)funcțiile ce presupun accesul permanent la informații clasificate;
c)dispunerea locurilor de muncă în cadrul zonelor de securitate și accesul personalului de execuție și administrație în aceste zone, inclusiv al militarilor în termen;
d) personalul care, potrivit atribuțiilor funcționale, poate avea acces la informații NATO clasificate sau poate participa la misiuni și activități organizate de NATO.
În cadrul procedurilor de avizare trebuie acordată atenție specială persoanelor care:
a) urmează să aibă acces la informații strict secrete și strict secrete de importanță deosebită;
b) ocupă funcții ce presupun accesul permanent la un volum mare de informații secrete de stat;
c) pot fi vulnerabile la acțiuni ostile, ca urmare a importanței funcției în care vor fi numite, a mediului de relații sau a locului de muncă anterior.
Verificarea personalului
Verificarea în vederea avizării pentru accesul la informații clasificate se efectuează cu respectarea legislației în vigoare.
Structura specializată din cadrul Direcției Generale de Informații a Apărării efectuează verificarea pentru:
a) personalul militar și civil din Ministerul Apărării Naționale, inclusiv a reprezentanților militari din cadrul misiunilor diplomatice ale României;
b) angajații Oficiului Central de Stat pentru Probleme Speciale;angajații Administrației Naționale a Rezervelor Statului;
c) angajații din unitățile productive și de afaceri, din unitățile științifice, de cercetare sau dezvoltare înființate de/în colaborare cu Ministerul Apărării Naționale, precum și din alte unități organizatorice, în măsura producției sau serviciilor angajate prin contracte de furnizare tehnică, aparatură și utilități militare în cadrul unor contracte, colaborări sau programe de asistență, care au sau vor avea acces la informații clasificate;
d) cetățenii străini, cetățenii români care au și cetățenia altui stat, precum și persoanele apatride pentru care se solicită acces la informații clasificate proprii Ministerului Apărării Naționale în baza convențiilor, protocoalelor, contractelor și altor înțelegeri încheiate în condițiile legii;
e)alte persoane din afara Ministerului Apărării Naționale pentru care se solicită avizarea în vederea aprobării accesului la informații clasificate sau locuri care prezintă importanță deosebită pentru protecția informațiilor secrete de stat.
Procesul de verificare are drept scop identificarea, prevenirea și reducerea riscurilor de securitate privind sustragerea sau divulgarea neautorizată a informațiilor clasificate.
Verificările efectuate asupra persoanelor care solicită eliberarea certificatului de securitate / autorizației de acces la informații clasificate se face cu acordul scris al acestora.
Încadrarea în Ministerul Apărării Naționale a personalului militar și civil, indiferent de funcție, este permisă numai după executarea verificărilor de securitate specifice clasei sau nivelului de secretizare a informațiilor, la care acesta urmează să aibă acces.
În vederea eliberării certificatului de securitate/autorizației de acces, se execută patru tipuri de verificări.
verificarea de nivel 0 – pentru acces la informații clasificate secret de serviciu (NATO RESTRICTED) care se bazează pe verificarea corectitudinii datelor menționate în Formularul de bază – date personale ;
verificarea de nivel 1 – pentru acces la informații clasificate secret (NATO CONFIDENTIAL), care se bazează pe:
a) verificarea corectitudinii datelor menționate în Formularul de bază– date personale ;
b) referințe de la locurile de muncă și din mediile frecventate de la cel puțin trei persoane.
verificarea de nivel 2 – pentru eliberarea certificatelor / autorizațiilor de acces la informații clasificate strict secret (NATO SECRET) care se bazează pe:
a) verificarea corectitudinii datelor personale menționate în Formularul de bază–date personale și Formularul suplimentar ;
b) referințe minime de la locurile de muncă și din mediile frecventate de la cel puțin trei persoane;
c)verificarea datelor prezentate în formular despre membrii de familie;
investigații la locul de muncă și la domiciliu, care să acopere o perioadă de 10 ani anteriori datei avizului sau începând de la vârsta de 18 ani;
d)un interviu cu persoana verificată, dacă se consideră că ar putea clarifica aspecte rezultate din verificările efectuate.
verificarea de nivel 3 – pentru eliberarea certificatelor / autorizațiilor de acces la informații clasificate strict secret de importanță deosebită (NATO TOP SECRET), care se bazează pe:
a) verificarea corectitudinii datelor menționate în Formularul de bază, Formularul suplimentar și Formularul financiar ;
b) investigații de cunoaștere a conduitei și antecedentelor la domiciliul actual și cele anterioare, la locul de muncă actual și cele anterioare, precum și la instituțiile de învățământ urmate, începând de la vârsta de 18 ani, investigații care nu se vor limita la audierea persoanelor indicate de solicitantul avizului;
c) verificări ale mediului relațional pentru identificarea existenței unor riscuri de securitate în cadrul acestuia;
d) un interviu cu persoana solicitantă pentru a detalia aspectele rezultate din verificările efectuate;
e) în cazul în care, din verificările întreprinse rezultă incertitudini cu privire la sănătatea psihică sau comportamentul persoanei verificate, cu acordul acesteia, poate fi supusă unui test psihologic.
Investigațiile de cunoaștere a antecedentelor au în vedere, gradual, următoarele:
a) consultarea registrelor de stare civilă pentru verificarea datelor personale în vederea stabilirii, fără dubiu, a identității solicitantului;
b) verificarea cazierului judiciar în evidențele centrale și locale ale Poliției, în baza de date a Registrului Comerțului, precum și în alte evidențe;
c) stabilirea naționalității persoanei și cetățeniei prezente și anterioare;
confirmarea pregătirii în școli, universități și alte instituții de învățământ urmate de titular, de la împlinirea vârstei de 18 ani;
d) cunoașterea conduitei la locul de muncă actual și la cele anterioare cu referințe obținute din dosarele de angajare, aprecierile anuale asupra performanțelor și eficienței activității, ori furnizate de șefii instituțiilor, șefii de compartimente sau colegi;
e) organizarea de interviuri sau discuții cu persoane care pot face aprecieri asupra trecutului, activității, comportamentului și corectitudinii persoanei verificate;
cunoașterea comportării pe timpul serviciului militar și a modalității în care a fost trecut în rezervă;
f) existența unor riscuri de securitate datorate unor eventuale presiuni exercitate din străinătate;
g)solvabilitatea și reputația financiară a persoanei;
h) identificarea indiciilor și obținerea de probe conform cărora persoana solicitantă este sau a fost membru ori afiliat al vreunei organizații, asociații, mișcări, grupări de persoane străine sau autohtone care au sprijinit sau susținut comiterea unor acte de violență, au afectat alte persoane sau caută să schimbe ordinea de drept prin mijloace neconstituționale.
În funcție de clasa sau nivelul de secretizare a informațiilor pentru care se solicită avizul de securitate, termenele de prezentare a răspunsului de către structura specializată din cadrul Direcției Generale de Informații a Apărării, abilitată să efectueze verificările de securitate, sunt:
a) pentru acces la informații strict secrete de importanță deosebită – 90 zile lucrătoare;
b) pentru acces la informații strict secrete – 60 zile lucrătoare;
c)pentru acces la informații secrete și secrete de serviciu – 30 zile lucrătoare.
Pentru realizarea verificărilor de securitate, în vederea acordării avizului de acces la informații clasificate, structura specializată din cadrul Direcției Generale de Informații a Apărării este abilitată, conform legii, să solicite și să primească informații de la persoane juridice și fizice și să coopereze cu celelalte structuri cu atribuții în domeniul siguranței naționale, pe baza protocoalelor încheiate.
Dacă, în cursul verificărilor de securitate, apar informații care evidențiază riscuri de securitate, se procedează la o verificare suplimentară, cu folosirea metodelor și mijloacelor specifice legale.
Avizarea și eliberarea documentelor de securitate in vederea accesului la informații clasificate
Structura specializată din cadrul Ministerului Apărării Naționale este abilitată să avizeze:
a) solicitarea comandanților de unități privind eliberarea certificatelor de securitate/autorizațiilor de acces la informații clasificate secret de stat și a certificatelor de securitate tip A, prin confirmarea către ORNISS a inexistenței riscurilor de securitate, în vederea luării deciziei de eliberare a respectivelor documente de acces;
b) solicitarea comandanților de unități privind eliberarea autorizațiilor de acces la informații clasificate secret de serviciu.
Structura specializată este abilitată să elibereze:
a)certificate de securitate / autorizații de acces la informații clasificate secrete de stat, pe baza deciziei ORNISS de eliberare a acestor documente de acces;
b)certificate de securitate tip B, pentru persoanele care dețin certificat de securitate de tip A;
c)avize pentru participare la misiune / cursuri / forme de pregătire și specializare în străinătate, pentru care nu se solicită certificat de securitate tip B;
d)documente tip “SECURITY CLEARANCE”, solicitate de partenerii externi cu care Ministerul Apărării Naționale are încheiate acorduri de confidențialitate în acest sens.
Decizia privind avizarea eliberării certificatului de securitate / autorizației de acces se ia pe baza tuturor informațiilor disponibile și are în vedere:
a)loialitatea persoanei față de organismul militar;
b)caracterul, obiceiurile, relațiile și discreția persoanei, care să ofere garanții asupra corectitudinii în gestionarea informațiilor clasificate, oportunității accesului în compartimente, obiective, zone și locuri de securitate în care se află informații clasificate din domeniul său de activitate.
Eliberarea certificatului de securitate / autorizației de acces la informații secrete de stat se face în baza deciziei ORNISS, de către structura specializată din cadrul MAp N
Constituie elemente de incompatibilitate pentru accesul solicitantului la informații secrete de stat oricare din următoarele situații:
a)dacă în mod deliberat a ascuns, a interpretat eronat sau a falsificat informații cu relevanță în planul siguranței naționale ori a mințit în completarea formularelor tip sau în timpul interviului de securitate;
b)are antecedente penale sau a fost sancționat contravențional pentru fapte care indică tendințe infracționale;
c)are dificultăți financiare serioase sau există o discordanță semnificativă între nivelul său de trai și veniturile declarate;
d)consumă în mod excesiv băuturi alcoolice ori este dependent de alcool, droguri sau alte substanțe interzise prin lege care produc dependență;
e)are sau a avut comportamente imorale sau deviații de comportament care pot genera riscul ca persoana să fie vulnerabilă la șantaj sau presiuni;
f)a demonstrat lipsă de loialitate, necinste, incorectitudine sau indiscreție;
a încălcat reglementările privind protecția informațiilor clasificate;
g)suferă sau a suferit de boli fizice sau psihice care îi pot cauza deficiențe de discernământ confirmate prin investigație medicală efectuată cu acordul persoanei solicitante;
h)poate fi supus la presiuni din partea rudelor sau persoanelor angajate, care ar putea genera vulnerabilități exploatabile de către serviciile de informații ale căror interese sunt ostile României și aliaților săi.
Principalele criterii de evaluare a compatibilității în acordarea avizului pentru eliberarea certificatului de securitate/autorizației de acces vizează atât trăsăturile de caracter cât și situațiile din care pot rezulta riscuri și vulnerabilități de securitate.
Sunt relevante și se iau în considerare, la acordarea avizului de securitate, caracterul, conduita profesională sau socială, concepțiile și mediul de viață ale soțului (soției) sau concubinului (concubinei) persoanei solicitantă.
Următoarele situații imputabile atât solicitantului cât și soțului/ soției sau concubinului/concubinei acestuia reprezintă elemente de incompatibilitate pentru accesul la informații secrete de stat:
a)dacă a comis sau a intenționat să comită, a fost complice, a complotat sau a instigat la comiterea de acte de spionaj, terorism, trădare ori alte infracțiuni contra siguranței statului ori a sprijinit persoane suspectate de a se încadra în această categorie sau de a fi membru al unor organizații sau puteri străine inamice;
b)dacă este sau a fost un susținător al vreunei organizații mai sus amintite, este sau a fost recent în relații apropiate cu membrii unor astfel de organizații într-o formă de natură să ridice suspiciuni temeinice cu privire la încadrarea și loialitatea persoanei.
Valabilitatea și retragerea certificatului de securitate/autorizației de acces
Valabilitatea certificatului de securitate/autorizației de acces eliberate unei persoane este de până la 4 ani.
Certificatul de securitate/autorizația de acces se retrage în următoarele cazuri:
a)la încetarea valabilității;
b)la solicitarea expresă a ORNISS;
c)la mutarea din unitate sau schimbarea locului de muncă al deținătorului în cadrul unității, dacă noul loc de muncă nu presupune lucrul cu astfel de informații clasificate;
d) la schimbarea nivelului de acces.
La retragerea certificatului de securitate/autorizației de acces, angajatului i se interzice accesul la informații clasificate, iar structura specializată din cadrul Ministerului Apărării Naționale notifică despre aceasta la ORNISS.
3. Protecția fizică
Considerații generale
Protecția fizică a informațiilor clasificate se asigură printr-un ansamblu de reglementări și măsuri de protecție adoptate la nivelul obiectivelor, sectoarelor, locurilor, echipamentelor, instalațiilor și în cadrul activităților în care acestea sunt gestionate, în scopul de:
a) a interzice accesul neautorizat, clandestin sau prin forță la acestea;
b) a detecta și împiedica acțiunile subversive, inclusiv cele de spionaj;
c) acontribui la realizarea accesului la informațiile clasificate numai pe baza principiului “necesitatea de a cunoaște”;
d) a detecta și înlătura slăbiciunile ascunse ale sistemului de securitate adoptat;
e) a preveni oricare alte situații, împrejurări sau fapte de natură a periclita ori compromite securitatea informațiilor clasificate.
Măsurile de protecție fizică a informațiilor clasificate se stabilesc în funcție de:
a) clasa sau nivelul de secretizare, volumul și suportul fizic al informațiilor protejate;
b) modul în care se păstrează/stochează informațiile clasificate;
c) nivelul de acces acordat personalului prin certificatul/autorizația de securitate;
d)caracteristicile constructive și particularitățile zonei de amplasare a obiectivelor, sectoarelor, locurilor, echipamentelor, instalațiilor, unde sunt localizate informațiile protejate;
e) informațiile furnizate de structurile specializate, privind amenințările locale în domeniul spionajului, sabotajului, terorismului și activităților subversive, analizate prin prisma vulnerabilităților exploatabile și a nivelului de risc rezultat.
f) nivelul de protecție fizică adecvat riscului rezultat;
g) prevederile standardelor naționale, reglementărilor specifice Ministerului Apărării Naționale în vigoare și cerințelor standardelor NATO, referitoare la domeniul protecției fizice;
h) decizia comandanților de a institui măsuri suplimentare, considerate a fi necesare pentru întărirea protecției fizice.
Interzicerea accesului neautorizat se realizează prin măsuri graduale, pe baza evaluării și urmărirea, în principiu, a următoarelor etape:
a) identificarea obiectivelor, sectoarelor, locurilor, echipamentelor, instalațiilor și activităților care necesită protecție din punct de vedere al informațiilor clasificate, precum și delimitarea zonelor de securitate și administrative;
b) stabilirea unui dispozitiv de protecție concentric, pe baza principiului “apărării în adâncime”, care constă în aplicarea succesivă, dinspre exterior spre interior, a măsurilor de protecție și în concentrarea informațiilor importante cât mai aproape de centrul dispozitivului de protecție;
c) stabilirea măsurilor de detecție a accesului sau a tentativelor de acces neautorizat, precum și a modului de alertare a forțelor de intervenție;
c) stabilirea măsurilor de contracarare/întârziere a intruziunilor, prin acțiunea unei forțe/subunități de intervenție.
Măsurile de protecție fizică a informațiilor clasificate trebuie să fie armonizate cu măsurile pentru asigurarea pazei și intervenției în obiectivele militare, precum și a siguranței bunurilor și valorilor materiale deținute cu orice titlu, prevăzute în reglementările specifice în vigoare.
Integrarea tuturor subsistemelor de securitate și a măsurilor de protecție se face în scopul realizării securității obiectivelor militare.
Programul de prevenire a scurgerii de informații clasificate prevăzut în anexa nr. 3 cuprinde și măsurile de protecție fizică
Principalele atribuții ale structurii de securitate în domeniul protecției fizice sunt :
a) prezintă comandantului propuneri privind măsurile de protecție fizică;
b) verifică, inopinat sau pe baza planificării, viabilitatea măsurilor de protecție fizică a obiectivelor, sectoarelor, locurilor, echipamentelor, instalațiilor și activităților în cadrul cărora sunt gestionate informații clasificate;
c) supraveghează aplicarea măsurilor necesare asigurării protecției fizice a informațiilor clasificate;
d) elaborează și, după aprobare, concretizează programele de inspecție a măsurilor de protecție fizică și informează comandantul cu privire la vulnerabilitățile constatate, făcând propunerile ce se impun;
e) întocmește Programul de prevenire a scurgerii de informații clasificate, cu anexele sale, pe care îl supune avizării structurilor competente și aprobării comandantului;
f) stabilește planul de cooperare cu alte structuri cu responsabilități pe linia protecției fizice;
propune tematica activităților de instruire și educație preventivă a personalului, pe linia protecției fizice a informațiilor clasificate.
Zone de securitate
Informațiile clasificate se gestionează în zone de securitate, pentru care se asigură măsuri de protecție specifice, astfel:
a) zone de securitate clasa I;
b) zone de securitate clasa a II-a.
Zonele de securitate clasa I – sunt încăperile, incintele, locurile în care intrarea oricăror persoane presupune, în toate situațiile, accesul acestora la informațiile clasificate strict secret de importanță deosebită și strict secret (până la NATO TOP SECRET):
Aceste zone trebuie să aibă:
a) un perimetru clar determinat și protejat, cu intrările/ieșirile supravegheate;
b) un sistem de control al intrării, care să permită doar accesul persoanelor verificate
c) corespunzător și autorizate/certificate să pătrundă în zonă;
d) indicarea nivelului de clasificare/secretizare a informațiilor gestionate în zonă.
Zonele de securitate clasa a II-a – sunt încăperile, incintele, locurile în care:
a) sunt gestionate informații clasificate până la nivelul secret (NATO CONFIDENTIAL);
b) o persoană intrată poate fi împiedicată să aibă acces la informațiile pentru care nu este autorizată, prin aplicarea unor măsuri de protecție;
Aceste zone trebuie să aibă:
a) un perimetru clar determinat și protejat, cu intrările/ieșirile supravegheate;
b) un sistem de control al intrării, care să permită accesul neînsoțit în zonă numai persoanelor verificate corespunzător și certificate/autorizate să pătrundă în aceasta;
c) reguli de însoțire, supraveghere și prevenire a accesului neautorizat.
Zonele administrative – se stabilesc în jurul zonelor de securitate clasa I sau clasa a II-a, în interiorul acestora fiind permisă gestionarea numai a informațiilor clasificate secret de serviciu (NATO RESTRICTED) și nesecret (NATO UNCLASSIFIED).
Aceste zone trebuie să aibă:
a) un perimetru vizibil delimitat;
b) posibilitatea controlului accesului persoanelor și vehiculelor.
Zonele asigurate tehnic – sunt încăperile/incintele desemnate pentru desfășurarea discuțiilor, ședințelor de lucru, activităților de pregătire etc., în care se utilizează informații strict secrete de importanță deosebită/NATO TOP SECRET și strict secrete/NATO SECRET sau informații clasificate deosebit de importante, unde există pericole care justifică protecția suplimentară.
Zonele asigurate tehnic se utilizează numai dacă li s-a acordat avizul inspecției de securitate fizică și tehnică, executată înaintea desfășurării activităților.
Zonele asigurate tehnic se protejează prin măsuri specifice împotriva ascultării pasive și active, precum și a supravegherii din apropiere sau de la distanță.
Încăperile de securitate – sunt încăperile special amenajate în zonele de securitate clasa I sau clasa a II-a, protejate corespunzător clasei, în care informațiile clasificate se pot păstra pe rafturi deschise (similar) sau se pot expune pe hărți, planșe ori diagrame.
Măsuri de asigurare a protecției fizice
Protecția fizică a informațiilor clasificate se asigură prin:
a) împrejmuirea perimetrală cu garduri și alte bariere fizice echivalente din punct de
vedere funcțional, dimensionate corespunzător nivelului de protecție stabilit;
b) încuietori, gratii, obstacole și bariere fizice echivalente din punct de vedere funcțional;
c) mijloace pentru detectarea/împiedicarea supravegherii și ascultării;
d) incinte, containere, mobilier;
e) sisteme de detecție a accesului neautorizat în perimetrul obiectivului, clădirile și/sau încăperile protejate;
f) controlul accesului în perimetru, clădiri sau încăperi, efectuat prin punct de control, precum și, după caz, cu mijloace electronice, electromecanice sau fizice, de către personalul de pază și apărare;
g) sisteme de pază și apărare;
h) forțe de intervenție și patrule de securitate;
i) sisteme TV cu circuit închis sau alte sisteme de supraveghere;
j) sisteme de iluminare exterioară și interioară;
k) comunicațiile proprii sistemului de securitate;
l) sisteme de detecție-avertizare-stingere incendii;
m) norme procedurale specifice, adaptate fiecărui sistem de securitate.
Sistemele de pază, supraveghere și control al accesului, trebuie să asigure prevenirea pătrunderii neautorizate în obiectivele, sectoarele, locurile, echipamentele sau instalațiile în cadrul cărora se gestionează informații clasificate.
Sistemele tehnice care funcționează cu energie electrică, destinate protecției informațiilor secrete de stat (nivel NATO CONFIDENTIAL sau mai înalt), trebuie să dispună de surse de alimentare de rezervă, iar modelul constructiv al acestora trebuie să permită avertizarea personalului care le monitorizează despre orice defecțiune sau intervenție neautorizată, după caz.
Pereții, podelele, plafoanele, ușile și încuietorile încăperilor de securitate trebuie să asigure protecția echivalentă clasei containerului de securitate aprobat pentru păstrarea informațiilor clasificate, potrivit nivelului de secretizare a acestora.
Ferestrele încăperilor de securitate dispuse la parter sau la ultimul etaj, se protejează obligatoriu cu bare încastrate în beton sau asigurate antiefracție. Pe cât este posibil, se evită dispunerea încăperilor de securitate la nivelurile menționate.
Încăperile de securitate sunt protejate și prin montarea de dispozitive de avertizare a penetrării pereților, tavanelor, podelelor, deschizăturilor, precum și de detecție a mișcării în interiorul încăperilor.
Măsurile minime obligatorii pentru protecția fizică a locurilor/ incintelor în care se păstrează informațiile clasificate, sunt prevăzute în anexa nr 4.
Controlul accesului
Accesul personalului în obiectivele militare, în zonele de securitate și zonele administrative se face numai pe baza permisului de acces sau a unui alt sistem de recunoaștere individuală aprobat, prin intrări/ieșiri anume stabilite.
Permisul de acces este individualizat și are aplicate:
a) seria și numărul de evidență;
b) datele de identificare și fotografia posesorului, aplicată securizat;
c) semnătura comandantului și ștampila rotundă cu stemă a unității militare;
d) indicarea codificată a zonelor în care are acces posesorul;
e) viza periodică.
Permisul de acces nu trebuie să cuprindă denumirea în clar a unității militare emitente sau a zonelor de securitate.
Permisul de acces se retrage și se anulează la încetarea contractului de angajare al personalului (activității temporare aprobate).
Comandanții unităților militare deținătoare de informații clasificate stabilesc reguli cu privire la circulația și ordinea interioară în zonele de securitate, astfel încât accesul să fie permis exclusiv posesorilor certificatelor de securitate și ai autorizațiilor de acces, cu respectarea principiului necesității de a cunoaște.
În locurile în care se gestionează informații clasificate, persoanele cu drept de acces se identifică prin însemne specifice stabilite potrivit regulilor de ordine interioară, purtate obligatoriu la vedere în interiorul ariei de lucru.
Managementul legitimațiilor, al permiselor de acces, al altor însemne distinctive, precum și al cartelelor de acces, al cheilor/combinațiilor cifrurilor de la încuietorile containerelor și încăperilor în care se gestionează informații clasificate este atribuția structurii de securitate din obiectivul militar.
Accesul persoanelor din afara unității, aflate în vizită, stagiu, practică, instruire, pentru intervenții tehnice, prestări servicii, obținerea unui loc de muncă etc., în zonele de securitate sau administrative este permis numai dacă acestea sunt însoțite de personal anume desemnat, pe baza biletului de intrare aprobat de comandant sau împuternicit, cu specificarea locurilor în care au acces și purtând la vedere ecusoane/însemne distinctive.
Pe timpul desfășurării activităților la care participă cetățeni străini, cetățeni români care dețin și cetățenia altui stat, precum și persoane apatride, comandantul este obligat să aplice măsuri speciale pentru controlul acestor persoane, astfel:
– utilizarea unor ecusoane distincte, diferite de cele ale personalului propriu;
– însoțirea permanentă de către personalul anume desemnat;
– prevenirea accesului accidental în alte zone și locuri decât cele aprobate, în special – în zonele de securitate clasa I și încăperile de securitate;
– instruirea personalului propriu;
– măsuri de mascare a obiectivelor, locurilor, activităților, echipamentelor etc. la care persoanele menționate nu au acces.
Pierderea permiselor de acces, ecusoanelor sau însemnelor de identificare se raportează imediat, ierarhic, anunțându-se și structura de securitate.
Comandantul dispune cercetarea împrejurărilor în care s-a produs pierderea și ia măsuri, prin intermediul structurii de securitate din subordine, pentru prevenirea folosirii neautorizate a documentelor pierdute.
Celelalte măsuri privind compromiterea permiselor de acces sau a sistemelor individuale de recunoaștere utilizate pentru accesul în obiectivele militare sunt cele stabilite de reglementările în vigoare.
Accesul pentru intervenții tehnice, reparații, activități de deservire, curățenie și întreținere în locuri în care se gestionează informații clasificate este permis numai angajaților unității militare în cauză și angajaților agenților economici care au contracte cu unitățile militare, care dețin autorizații de acces, corespunzător celui mai înalt nivel de clasificare a informațiilor gestionate în punctul de execuție a lucrărilor.
Activitățile pentru intervenții tehnice, reparații, activități de deservire, curățenie și întreținere se execută numai în prezența unui reprezentant al compartimentului în care se desfășoară, după ce s-au luat toate măsurile necesare de protecție împotriva accesului neautorizat la informațiile clasificate deținute.
Accesul în zonele de securitate și administrative al angajaților agenților economici care au contracte cu unitățile militare se face numai pe baza documentelor de acces temporar, eliberate în condițiile prezentelor norme.
Documentele de acces temporar se eliberează, pe baza actelor de identitate ale angajaților, la solicitarea agenților economici.
Controlul automat al accesului se realizează prin utilizarea sistemelor de recunoaștere cu cartele/cod de acces și/sau de recunoaștere după caracteristicile biometrice, care nu elimină însă, forțele de pază.
Accesul automat poate fi monitorizat de la distanță de către personal calificat și instruit, cu condiția ca:
– ușa/poarta de acces controlată automat să poată bloca accesul neautorizat, nefiind admise semibariere;
– punctul de acces să aibă sistem de supraveghere TV cu circuit închis și sistem tip interfon;
– să se poată anula funcționarea automată, pentru blocarea accesului neautorizat;
– fiecărei persoane cu drept de acces să i se atribuie un cod unic personal de identificare.
La intrarea sau la ieșirea în/din perimetrul obiectivului, zonele de securitate sau zonele administrative, inopinat sau pe baza planificării, se execută controlul bagajelor, care constă în verificarea coletelor, genților și altor suporți, în vederea împiedicării scoaterii neautorizate a informațiilor clasificate, precum și a introducerii unor obiecte interzise.
Este interzisă introducerea aparatelor de fotografiat, filmat, de înregistrare audio-video, de copiat sau de comunicații, în locurile în care se află informații clasificate, cu excepția situațiilor autorizate de prezentele norme.
Personalul care asigură sistemul de pază și intervenție a zonelor de securitate trebuie să dețină autorizație de acces, după caz, corespunzătoare clasei sau nivelului de secretizare a informațiilor necesare îndeplinirii atribuțiilor, să fie instruit și verificat permanent cu privire la modul de îndeplinire a sarcinilor de serviciu.
După terminarea orelor de program, personalul din serviciul de zi verifică încăperile/incintele din zonele de securitate și integritatea elementelor sistemului de securitate al acestora.
În afara orelor de program și în zilele nelucrătoare, personalul care asigură sistemul de pază și apărare execută obligatoriu patrulări în interiorul și, după caz, în exteriorul perimetrului obiectivului.
În afara programului de lucru, ușile încăperilor din zonele de securitate se sigilează, iar sistemul de aerisire al încăperilor de securitate se asigură împotriva accesului neautorizat și introducerii de materiale periculoase.
La terminarea programului de lucru, personalul este obligat să verifice modul de asigurare a informațiilor clasificate: introducerea acestora în mape sau containere, sigilarea, închidere, activarea sistemelor de protecție etc.
În fiecare obiectiv militar se constituie o forță de intervenție destinată contracarării acțiunilor și situațiilor care pot afecta protecția fizică a informațiilor clasificate.
Reacția forțelor de intervenție la alarmele sau semnalele de anunțare a situațiilor de urgență, trebuie verificată periodic pentru a exista siguranța că timpul de răspuns este corespunzător condițiilor locale.
Costurile necesare achiziționării unui sistem integrat de securitate(studiu de caz)
Achiziționarea sistemului integrat de securitate se va face în urma unei analize temeinice asupra necesității și oportunității , precum si a existenței acestui sistem integrat de securitate în planul de achizitii publice . .
Achiziția se va efectua în strictă concordanță cu prevederile art. 19 din O.G. 34/2006 modificată și completată cu O.G. 94/2007, completată prin Legea 337 din 2006 privind achizițiile publice, privind realizarea procedurii de achiziție directă, deoarece valoarea estimată a subclasei CPV la care se încadrează aceste produse nu depășește 10.000 euro, fără TVA.
În vederea organizării și desfășurării procedurii de achiziție directă, a materialelor necesare sistemului integrat de securitate, prevăzut în Programul anual al achizițiilor publice, pe anul 2009, se numește o comisie de evaluare a ofertelor .
În continuare voi prezenta o simulare a acestei achizitii si fluxul documentelor urmănd ca la sfărșit să facem o analiză a costurilor și să desemnăm sociataea căstigatoare .
După satabilirea cadrului legal și a modului de derulare a achizitiei unitatea contractantă trimite cereri de ofertă către societățile comerciale care au ca profil de activitate securizarea obiectivelor
Dupa primirea ofertelor de pret pentru materiale și a devizelor antecalcul pentru serviciul de instalare comisia de evaluare va întocmi un process verbal de testare a pietei(anexa nr. 8), deasemeni va analiza prețurile și va vor stabili căstigătorul în funcție de prețul cel mai mic .
După stabilirea căstigatorului unitatea contractantă va trimite comanda către firma câstigîtoare pentru livrarea produselor si executarea instalării sistemului .
Dupa terminarea instalării si verificării funcționării sistemului se va întocmi un proces verbal de recepție .
Urmarea a receptionării lucrării furnizorul va intocmii factura însotită de un deviz postcalcul în care sunt evidențiate toate materialele și lucrarile efectuate.
Costul de achiziție a sistemului integrat de securitate este este 36.695,47RON fară T.V.A . la acesta se adauga valoarea devizului(anexa nr. 9) pentru instalare.
Cost total = (Cost materiale + Val .deviz) + TVA = (36.695,47 + 14696) + 9764,38= 51.391,47+ 9764,38 = 61.155,85
Înregistrare în contabilitate a cheltuielilor .
Sume datorate furnizorilor de active fixe
% = 404 61.155,85
214 51.391,47
4426 9.764,38
Plata datoriilor catre furnizor
404 = 5121 61.155,85
,,Furnizori de imobilizări “ ,,Conturi la banci in lei “
Condiții de păstrare a informațiilor clasificate
Informațiile clasificate gestionate de fiecare structură militară se păstrează în containere special destinate, clasificate astfel:
– Clasa A – containere prevăzute cu cifru, pentru depozitarea informațiilor clasificate strict secret de importanță deosebită (NATO TOP SECRET), conform standardelor aprobate la nivel național de către ORNISS.
– Clasa B – containere prevăzute cu cifru, pentru depozitarea informațiilor clasificate strict secret și secret (NATO SECRET și CONFIDENTIAL), conform standardelor aprobate la nivel național de către ORNISS.
Clasa C – mobilier de birou (fișete) adecvat pentru păstrarea informațiilor secrete de serviciu (NATO RESTRICTED).
Pentru evacuarea în situații de urgență a documentelor clasificate, se utilizează lăzi metalice, conform standardelor aprobate la nivel național de către ORNISS.
Încuietorile containerelor în care sunt păstrate informații NATO clasificate se împart în 3 grupe, astfel:
– Grupa A – încuietori pentru containerele cu cifru din Clasa A, conform standardelor aprobate la nivel național de către ORNISS.
– Grupa B – încuietori pentru containerele prevăzute cu cifru din Clasa B, conform standardelor aprobate la nivel național de către ORNISS.
– Grupa C – încuietori pentru mobilierul de birou din Clasa C.
La terminarea programului, titularii predau personalului din serviciul de zi pe unitate sau comandantului subunității de pază, în cutii/tuburi sigilate cu sigiliul personal, pe bază de semnătură , următoarele elemente:
– codurile/cartelele de acces și cheile de serviciu de la incintele în care sunt păstrate informații clasificate;
– cheia și/sau combinația cifrului containerului de serviciu în care sunt păstrate celelalte elemente de deschidere a containerelor cu informații clasificate, aflate într-o incintă/încăpere.
Cheile, codurile/cartelele de acces, precum și combinațiile cifrurilor, containerelor de securitate și/sau încăperilor de securitate, nu pot fi scoase din zonele de securitate.
La începerea programului, în cazul încăperilor în care se păstrează informații clasificate, se verifică starea sigiliilor de la ușă și grilaj și numai dacă acestea sunt intacte se deschid încăperile, procedând apoi în același mod și cu containerele și ferestrele.
Deținătorii de documente clasificate sunt obligați să le păstreze în mapele personale sigilate cu sigiliul personal.
Este interzis ca, în absența din încăperea de lucru a deținătorului documentelor clasificate, acestea să fie păstrate pe masa de lucru.
În timpul programului, încăperile în care se păstrează documente clasificate se încuie și sigilează ori de câte ori personalul părăsește încăperea, indiferent de motiv sau perioadă de timp, luându-se și măsuri de activare a sistemelor tehnice de protecție fizică, acolo unde acestea sunt instalate.
Microcalculatoarele, calculatoarele personale sau calculatoarele portabile pe ale căror medii de stocare amovibile se află înregistrate informații clasificate, pentru care nu există cerința aprobată de a fi menținute în rețea sau în altă conexiune, sunt obligatoriu oprite de titulari, odată cu părăsirea de către aceștia a încăperii de lucru.
Protecția împotriva ascultării și supravegherii
Sălile de ședințe și de pregătire în care se poartă cu regularitate discuții conținând informații secrete de stat sau NATO CONFIDENTIAL ori de nivel superior și care nu sunt zone asigurate tehnic trebuie protejate permanent, astfel:
– când nu se utilizează, sunt închise și sigilate;
– cheile, combinațiile cifrurilor și codurile/cartelele de acces sunt supuse unui regim strict de control;
– personalul de întreținere și curățenie este însoțit, pe timpul activității, de personal anume desemnat;
– sălile sunt verificate, periodic, prin inspecții de securitate fizică și tehnică, când există pericole care le impun;
– echipamentele de comunicații sunt protejate.
Protecția împotriva ascultării pasive implică asigurarea încăperii/incintei cu materiale de izolare fonică, precum și utilizarea mijloacelor de comunicații protejate, care să împiedice scurgerea de informații clasificate prin ascultare directă.
Protecția împotriva ascultării active necesită o inspecție de securitate a structurii încăperii, accesoriilor, mobilierului, containerelor, birourilor, echipamentelor, sistemelor de comunicații etc, care să împiedice introducerea și utilizarea unor dispozitive de ascultare sau interceptare.
Inspecția de securitate fizică și tehnică se execută de către structuri specializate
Zonele asigurate tehnic sunt supuse unui control special, permanent.
În zonele asigurate tehnic, se instalează telefoane numai în situații de absolută necesitate, cu aprobarea comandantului, în acest caz prevăzându-se dispozitive de deconectare pasive.
Inspecțiile tehnice și fizice de securitate în zonele menționate la alin.(1) trebuie efectuate obligatoriu înaintea desemnării lor ca zone protejate, în scopul identificării fizice a dispozitivelor de ascultare și verificării sistemelor telefonice, electronice sau de altă natură, care ar putea fi utilizate ca mediu de atac.
Inspecțiile tehnice și fizice sunt organizate în mod obligatoriu și în urma oricărei intrări neautorizate sau suspiciuni privind accesul persoanelor neautorizate și după executarea lucrărilor de reparații, întreținere, zugrăvire, redecorare etc.
Nici un obiect nu trebuie introdus în zonele asigurate tehnic, fără să fie verificat în prealabil de către structura specializată, pentru depistarea dispozitivelor de ascultare.
Echipamentele de comunicații și dotările din birouri, în principal cele electrice și electronice, trebuie verificate de structurile specializate , înainte de a fi folosite în zonele în care se utilizează ori se discută despre informații strict secret de importanță deosebită (NATO TOP SECRET) sau strict secrete (NATO SECRET), pentru a preveni transmiterea ori interceptarea, în afara cadrului legal, a unor informații inteligibile.
Persoanele din afara unității care beneficiază de acces temporar în obiectiv vor preda obligatoriu personalului de serviciu de la punctul de acces, telefoanele mobile sau alte dispozitive care au posibilitatea, din punct de vedere constructiv, de a înregistra sau transmite informații. Modul în care se păstrează, predau/primesc elementele tehnice se stabilește de către comandant.
Este interzisă introducerea în zonele asigurate tehnic sau folosirea în zonele de securitate, a dispozitivelor de fotegrafiat ,inregistrat i-phone e.t.c deținute de către personalul propriu. Dispozitivele păstrate asupra personalului trebuie dezactivate odată cu intrarea în zonele de securitate.
Modalitatea de folosire și locurile din obiectiv unde se permite întrebuințarea acestor elemente tehnice se stabilesc de către comandant, prin structura de securitate, în regulamentul de ordine interioară, luându-se în considerare toate riscurile posibile.
Copiatoarele și dispozitivele telefax se instalează în încăperi special destinate și se folosesc numai de către persoanele autorizate, potrivit clasei sau nivelului de secretizare a informațiilor la care acestea au acces.
Prevenirea supravegherii vizuale de către persoane care nu sunt autorizate să cunoască informațiile clasificate vizate constituie o obligație profesională a fiecărui deținător de informații.
La stabilirea zonelor de securitate se ține seama de cerința ca lucrul cu informații secrete de stat sau clasificate NATO să se execute în locuri care să nu ofere condiții de supraveghere vizuală de la distanță.
În cazul în care există riscuri de supraveghere vizuală de la distanță, se utilizează mijloace adecvate pentru împiedicarea acesteia (draperii, paravane, geamuri mate, folii cu vizibilitate nidirecțională aplicate pe geamuri etc.).
Prevenirea supravegherii vizuale din apropiere, în zonele de securitate și în cele administrative, se realizează prin intermediul regulilor de circulație interioară, organizarea spațiului de lucru, folosirea de materiale și amenajări corespunzătoare, precum și prin poziționarea/mascarea, de către fiecare persoană, a documentelor și echipamentelor tehnice purtătoare de informații clasificate, astfel încât acestea să nu fie accesibile persoanelor neautorizate.
În incintele din zonele de securitate cu circulație intensă, unde se lucrează permanent cu informații clasificate, se instalează obligatoriu un paravan sau mijloc de protecție echivalent care să interzică observarea și accesul inoportun al altor persoane, în afara celor autorizați.
Protecția împotriva interceptării emisiilor electromagnetice parazite purtătoare de semnal util, se realizează prin: stabilirea și aplicarea procedurilor de protecție; asigurarea unor spații controlate care să coincidă cu distanța de la care se pot intercepta emisiunile; asigurarea dotării cu echipamente ecranate; separarea circuitelor electronice care procesează informații clasificate de cele care nu îndeplinesc o asemenea funcție; ecranarea încăperilor, autostațiilor, instalațiilor etc.; filtrarea circuitelor de alimentare cu energie electrică etc.
Locurile unde se utilizează informații strict secret de importanță deosebită și strict secret/NATO TOP SECRET și NATO SECRET, precum și informații clasificate deosebit de importante trebuie să fie protejate împotriva interceptării emisiilor electromagnetice parazite purtătoare de semnal util.
Elementele constructive care trebuie protejate, caracteristicile tehnice ale materialelor și echipamentele de protecție, modalitățile în care se realizează protecția, se stabilesc prin standardele emise de ORNISS.
4. Protecția documentelor clasificate
Redactarea, dactilografierea și evidența documentelor clasificate
În unitățile deținătoare de informații clasificate se organizează compartimente speciale pentru evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea acestora în condiții de siguranță.
Activitatea compartimentelor speciale este coordonată de structura de securitate.
La redactarea documentelor ce conțin informații clasificate se vor respecta următoarele reguli:
a) menționarea, în antet, a unității emitente, a numărului și datei înregistrării, a clasei sau nivelului de secretizare, a numărului de exemplare și, după caz, a destinatarului;
b) numerele de înregistrare se înscriu pe toate exemplarele documentului și pe anexele acestora, fiind precedate de un zero (0) pentru documentele secrete, de două zerouri (00) pentru cele strict secrete, de trei zerouri (000) pentru cele strict secrete de importanță deosebită și de litera "S" pentru secrete de serviciu;
c) la sfârșitul documentului se înscriu în clar, după caz, rangul, funcția, numele și prenumele conducătorului unității emitente, precum și ale celui care îl întocmește, urmate de semnăturile acestora și ștampila unității;
d) înscrierea, pe fiecare pagină a documentului, a clasei sau nivelului de secretizare atribuit acestuia;
e) pe fiecare pagină a documentelor ce conțin informații clasificate se înscriu numărul curent al paginii, urmat de numărul total al acestora.
În situația în care documentul de bază este însoțit de anexe, la sfârșitul textului se indică, pentru fiecare anexă, numărul de înregistrare, numărul de file al acesteia și clasa sau nivelul de secretizare.
Anexele se clasifică în funcție de conținutul lor și nu de cel al documentelor pe care le însoțesc.
Adresa de însoțire a documentului nu va cuprinde informații detaliate referitoare la conținutul documentelor anexate.
Documentele anexate se semnează, dacă este cazul, de persoanele care au semnat documentul de bază.
Aplicarea, pe documentele anexate, a ștampilei unității emitente este obligatorie.
Când documentele ce conțin informații clasificate se semnează de o singură persoană, datele privind rangul, funcția, numele și prenumele acesteia se înscriu sub text, în centrul paginii.
Când semnează două sau mai multe persoane, rangul, funcția, numele și prenumele conducătorului unității se înscriu în partea stângă, iar ale celorlalți semnatari în partea dreaptă, în ordinea rangurilor și funcțiilor.
Când documentele care conțin informații clasificate se emit în comun de două sau mai multe unități, denumirile acestora se înscriu separat în antet, iar la sfârșit se semnează de către conducătorii unităților respective, de la stânga la dreapta, aplicându-se ștampilele corespunzătoare.
Informațiile clasificate vor fi marcate, inscripționate și gestionate numai de către persoane care au autorizație sau certificat de securitate corespunzător nivelului de clasificare a acestora.
Toate documentele, indiferent de formă, care conțin informații clasificate au înscrise, pe fiecare pagină, nivelul de secretizare.
Nivelul de secretizare se marchează prin ștampilare, dactilografiere, tipărire sau olograf, astfel:
a) în partea dreaptă sus și jos, pe exteriorul copertelor, pe pagina cu titlul și pe prima pagină a documentului;
b) în partea de jos și de sus, la mijlocul paginii, pe toate celelalte pagini ale documentului;
c) sub legendă, titlu sau scara de reprezentare și în exterior – pe verso – atunci când acestea sunt pliate, pe toate schemele, diagramele, hărțile, desenele și alte asemenea documente.
Porțiunile clar identificabile din documentele clasificate complexe, cum sunt secțiunile, anexele, paragrafele, titlurile, care au niveluri diferite de secretizare sau care nu sunt clasificate, trebuie marcate corespunzător nivelului de clasificare și secretizare.
Marcajul de clasificare va fi aplicat separat de celelalte marcaje, cu caractere și/sau culori diferite.
Toate documentele clasificate aflate în lucru sau în stadiu de proiect vor avea înscrise mențiunile "Document în lucru" sau "Proiect" și vor fi marcate potrivit clasei sau nivelului de secretizare a informațiilor ce le conțin.
Gestionarea documentelor clasificate aflate în lucru sau în stadiu de proiect se face în aceleași condiții ca și a celor în formă definitivă.
Documentele sau materialele care conțin informații clasificate și sunt destinate unei persoane strict determinate vor fi inscripționate, sub destinatar, cu mențiunea "Personal".
Fotografiile, filmele, microfilmele și negativele lor, rolele, bobinele sau containerele de păstrare a acestora se marchează vizibil cu o etichetă care indică numărul și data înregistrării, precum și clasa sau nivelul de secretizare.
Microfilmele trebuie să aibă afișat la cele două capete clasa sau nivelul de secretizare, iar la începutul rolei, lista elementelor de conținut.
Clasa sau nivelul de secretizare a informațiilor înregistrate pe benzi audio se imprimă verbal, atât la începutul înregistrării, cât și la sfârșitul acesteia.
Marcarea clasei sau a nivelului de secretizare pe benzi video trebuie să asigure afișarea pe ecran a clasei sau a nivelului de secretizare. În cazul în care nu se poate stabili cu exactitate clasa sau nivelul de secretizare, înainte de înregistrarea benzilor, marcajul se aplică prin inserarea unui segment de bandă la începutul și la sfârșitul benzii video.
Benzile audio și video care conțin informații clasificate păstrează clasa sau nivelul de secretizare cel mai înalt atribuit până în momentul:
a) distrugerii printr-un procedeu autorizat;
b) atribuirii unui nivel superior prin adăugarea unei înregistrări cu nivel superior de secretizare.
Proiecțiile de imagini trebuie să afișeze, la începutul și sfârșitul acestora, numărul și data înregistrării, precum și clasa sau nivelul de secretizare.
Rolele, bobinele sau containerele de păstrare a benzilor magnetice, inclusiv cele video, pe care au fost imprimate informații secrete de stat, vor avea înscris, la loc vizibil, clasa sau nivelul de secretizare cel mai înalt atribuit acestora, care va rămâne aplicat până la distrugerea sau demagnetizarea lor.
La efectuarea unei înregistrări pe bandă magnetică, atât la începutul, cât și la sfârșitul fiecărui pasaj, se va menționa clasa sau nivelul de secretizare.
În cazul detașării de pe suportul fizic, fiecare capăt al benzii va fi marcat, la loc vizibil, cu clasa sau nivelul de secretizare.
În toate cazurile, ambalajele sau suporții în care se păstrează documente sau materiale ce conțin informații clasificate vor avea inscripționat clasa sau nivelul de secretizare, numărul și data înregistrării în evidențe și li se va atașa o listă cu denumirea acestora.
Atunci când se utilizează documente clasificate ca surse pentru întocmirea unui alt document, marcajele documentelor sursă le vor determina pe cele ale documentului rezultat.
Pe documentul rezultat se vor preciza documentele sursă care au stat la baza întocmirii lui.
Numărul și data inițială a înregistrării documentului clasificat trebuie păstrate, chiar dacă i se aduc amendamente, până când documentul respectiv va face obiectul reevaluării clasei sau a nivelului de secretizare.
Conducătorii unităților vor asigura măsurile necesare de evidență și control al informațiilor clasificate, astfel încât să se poată stabili, în orice moment, locul în care se află aceste informații.
Evidența materialelor și documentelor care conțin informații clasificate se ține în registre speciale.
Fiecare document sau material va fi inscripționat cu numărul de înregistrare și data când este înscris în registrele de evidență.
Numerele de înregistrare sunt precedate de numărul de zerouri corespunzător nivelului de secretizare atribuit sau de litera "S" pentru secrete de serviciu.
Toate registrele, condicile și borderourile se înregistrează în registrul unic de evidență a registrelor, condicilor, borderourilor și a caietelor pentru însemnări clasificate.anexa nr.9
Fac excepție actele de gestiune, imprimatele înseriate și alte documente sau materiale cuprinse în forme de evidență specifice.
Emitenții și deținătorii de informații clasificate sunt obligați să înregistreze și să țină evidența tuturor documentelor și materialelor primite, expediate sau a celor întocmite de unitatea proprie, potrivit legii.
În registrele pentru evidența informațiilor clasificate vor fi menționate numele și prenumele persoanei care a primit documentul, iar aceasta va semna de primre .
Atribuirea numerelor de înregistrare în registrele pentru evidență se face consecutiv, pe parcursul unui an calendaristic.
Numerele de înregistrare se înscriu obligatoriu pe toate exemplarele documentelor sau materialelor care conțin informații clasificate, precum și pe documentele anexate.
Informațiile strict secrete de importantă deosebită vor fi compartimentate fizic și înregistrate separat de celelalte informații.
Evidența documentelor strict secrete și secrete poate fi operată în același registru.
Hărțile, planurile topografice, asamblajele de hărți și alte asemenea documente se înregistrează în registrele pentru evidența informațiilor clasificate .
Atribuirea aceluiași număr de înregistrare unor documente cu conținut diferit este interzisă.
Registrele de evidență vor fi completate de persoana desemnată care deține autorizație sau certificat de securitate corespunzător.
Multiplicarea documentelor clasificate
Multiplicarea reprezintă procesul de copiere a unui document clasificat după ce acesta a fost înregistrat într-o formă de evidență.
Multiplicarea prin dactilografiere și procesare la calculator a documentelor clasificate poate fi realizată numai de către persoane autorizate să aibă acces la astfel de informații.
Multiplicarea documentelor clasificate poate fi realizată de persoane autorizate, numai în încăperi special destinate.
Documentelor care conțin informații clasificate rezultate în procesul de multiplicare li se atribuie numere din registrul de evidență a informațiilor clasificate multiplicate.
Numerele se atribuie consecutiv, începând cu cifra 1, pe parcursul unui an calendaristic și se înscriu obligatoriu pe toate exemplarele documentului. Evidențierea operațiunii de multiplicare se face prin marcare atât pe original, cât și pe toate copiile rezultate.
Pe documentul original marcarea se aplică în partea dreaptă jos a ultimei pagini. Pe copiile rezultate, marcarea se aplică pe prima pagină, sub numărul de înregistrare al documentului.
În cazul copierii succesive, la date diferite, a unui document clasificat, documentul original va fi marcat la fiecare operațiune, ce va fi, de asemenea, înscrisă în registru.
Exemplarele rezultate în urma copierii documentului secret de stat se numerotează în ordine succesivă, chiar dacă operațiunea se efectuează de mai multe ori și la date diferite.
Multiplicarea documentelor clasificate se face în baza aprobării conducătorului unității deținătoare, cu avizul structurii/funcționarului de securitate, ambele înscrise pe cererea pentru copiere sau pe adresa de însoțire în care se menționează necesitatea multiplicării.
Extrasul dintr-un document care conține informații clasificate se face în baza cererii pentru copiere, cu aprobarea conducătorului unității, iar documentul rezultat va avea menționat sub numărul de exemplar cuvântul "Extras" și numărul de înregistrare al documentului original.
Clasa sau nivelul de secretizare atribuit unui document original se aplică, în mod identic, reproducerilor sau traducerilor.
Dacă emitentul dorește să aibă control exclusiv asupra reproducerii, documentul va conține o indicație vizibilă cu următorul conținut: "Reproducerea acestui document, totală sau parțială, este interzisă".
Informațiile clasificate înscrise pe documente cu regim restrictiv de reproducere care au mențiunea "Reproducerea interzisă" nu se multiplică.
În cazul copierii unui document care conține informații clasificate se procedează astfel:
se stabilește numărul de exemplare în care va fi multiplicat;
se completează și se aprobă cererea pentru multiplicare, după care aceasta se înregistrează în registrul de evidență
documentul original se predă operatorului pe bază de semnătură;
d) după verificarea exemplarelor rezultate, beneficiarul semnează în registrul de evidență a informațiilor clasificate multiplicate.
e) repartiția în vederea difuzării exemplarelor copiate se consemnează de către structura/funcționarul de securitate pe spatele cererii pentru copiere;
f) cererea pentru copiere împreună cu exemplarele copiate se predau pe bază de semnătură structurii/funcționarului de securitate în vederea difuzării sau expedierii.
Când se dactilografiază, se procesează la calculator sau se copiază documente care conțin informații clasificate, în mai mult de două exemplare, pe spatele exemplarului original sau al cererii pentru copiere se înscriu destinatarii documentelor și numărul exemplarelor.
Atunci când numărul destinatarilor este mare se întocmește un tabel de difuzare, care se înregistrează ca document anexat la original.
Numerotarea exemplarelor copiate se va face consecutiv pentru fiecare copie, indiferent de data executării, avându-se în vedere și numărul de exemplare rezultat în urma dactilografierii sau procesării la calculator
Documentele clasificate pot fi microfilmate sau stocate pe discuri optice ori pe suporți magnetici în următoarele condiții:
a) procesul de microfilmare sau stocare să fie realizat cu aprobarea emitentului, de personal autorizat pentru clasa sau nivelul de secretizare a informațiilor respective;
b) microfilmelor, discurilor optice sau suporților magnetici de stocare să li se asigure aceeași protecție ca a documentului original;
c) toate microfilmele, discurile optice sau suporții magnetici de stocare să fie înregistrate într-o evidență specifică și supuse, ca și documentele originale, verificării anuale.
Difuzarea informațiilor clasificate multiplicate se face obligatoriu cu avizul structurii de securitate.
Emitentul este obligat să indice clar toate restricțiile care trebuie respectate pentru difuzarea unei informații clasificate. Când se impun astfel de restricții, destinatarii pot proceda la o redifuzare numai cu aprobarea scrisă a emitentului.
În cazul în care un document secret de stat este studiat de o persoană abilitată, pentru care s-a stabilit necesitatea de a accesa astfel de documente în vederea îndeplinirii sarcinilor de serviciu, această activitate trebuie consemnată în fișa de consultare
Manipularea documentelor clasificate
Predarea-primirea documentelor clasificate între persoane deservite de același C.D.C. se face pe bază de semnătură în Registrul pentru evidența personală a documentelor.
În situația în care expeditorul și destinatarul se află în același obiectiv militar, predarea-primirea documentelor clasificate între persoane care nu aparțin aceleași unități se face prin C.D.C., cu aprobarea comandantului unității, pe bază de semnătură în Condica pentru evidența documentelor expediate (tranzitate, transmise/recepționate prin FAX)
Este interzis a se preda sau primi documente fără semnătură, indiferent de împrejurări, cauze, perioadă de timp și persoanele între care are loc predarea-primirea.
Persoana care primește documente clasificate este obligată să verifice fiecare document, exemplar cu exemplar și filă cu filă.
Documentele strict secrete de importanță deosebită pot fi consultate de către persoane autorizate cu avizul structurii de securitate. Consultarea se face pe bază de semnătură în Fișa de consultare a documentului prevăzută în anexa denumită în continuare Fișă de consultare.
Fișa de consultare se completează de fiecare dată când documentul este dat spre consultare, aceasta păstrându-se împreună cu documentul respectiv.
La mutarea din unitate, schimbarea din funcție, trecerea în rezervă, pensionare sau detașare în alte unități, plecare în străinătate în interes de serviciu sau personal, concediu de odihnă sau misiuni îndelungate, personalul predă toate documentele și literatura militară pe care le are în primire.
Păstrarea documentelor clasificate
În afara programului de lucru, documentele secrete de stat se păstrează la C.D.C. sau în încăperi special amenajate în acest scop, aprobate de comandant, prin ordinul de zi pe unitate și care trebuie să îndeplinească cerințele de protecție fizică .
Documentele secrete de stat se predau la C.D.C. în mape tip, legate și sigilate. Mapele se păstrează în containere de securitate prevăzute cu opis de evidență care cuprinde: numărul curent, gradul, numele și prenumele posesorului, numărul mapei și numărul sigiliului.
Predarea-primirea mapelor cu documente între posesorii acestora și C.D.C. se efectuează pe bază de tichete confecționate din carton sau alt material. Pe una din fețele tichetului se aplică ștampila rotundă cu indicativul numeric al unității, iar pe cealaltă față se înscriu: numărul tichetului; seria sigiliului și semnătura șefului C.D.C.
Persoanele care au aprobare să lucreze în afara orelor de program, la terminarea lucrului, predau mapele cu documente ofițerului de serviciu pe unitate, pe bază de semnătură în registrul destinat acestui scop.
Documentele secrete de serviciu și nesecrete pot fi păstrate, în afara programului, în încăperile de lucru ale personalului unității, cu respectarea cerințelor de protecție fizică .
În principiu, nu se admite deschiderea mapelor în care se păstrează documente în lipsa posesorilor. Când se impune scoaterea de urgență a unor documente sau pentru efectuarea unor controale ordonate, în lipsa posesorilor, deschiderea mapelor se face de o comisie numită în acest scop.
În astfel de cazuri, în Registrul pentru evidența personală a documentelor, se menționează data deschiderii mapei, cine a ordonat deschiderea, ce documente au fost luate sau consultate, seria sigiliului cu care a fost resigilată mapa și semnăturile celor care au participat la această operațiune.
Este interzis a scoate din unități documente clasificate pentru a fi utilizate sau păstrate în alte locuri decât cele prevăzute de prezentele norme.
Documentele rezolvate se predau la C.D.C., pe bază de semnătură în Registrul pentru evidența personală a documentelor.
Pe documentele care se clasează în dosare, deținătorul menționează obligatoriu numărul dosarului în care urmează să fie introduse.
Scoaterea definitivă a unui document aflat în arhiva unității, se face în condițiile stabilite de instrucțiunile arhivistice în vigoare
Transmiterea, împachetarea și transportul documentelor clasificate
Documentele clasificate se transmit către destinatarii din afara unității numai cu aprobarea comandantului, prin curieri sau pe canale de comunicații protejate folosind sisteme criptografice autorizate.
Modul de transmitere a informațiilor clasificate pe canale de comunicații protejate folosind sisteme criptografice autorizate se reglementează prin instrucțiuni separate.
Documentele clasificate se împachetează în vederea expedierii în plicuri/ambalaje opace, astfel încât conținutul acestora să nu fie vizibil.
Documentele strict secrete de importanță deosebită se împachetează separat de celelalte documente clasificate în plicuri/ambalaje duble care să asigure integritatea și siguranța deplină pe timpul transportului.
Pe plic/colet este obligatorie înscrierea următoarelor elemente: destinatarul, expeditorul, localitatea destinatarului/expeditorului, județul, clasa sau nivelul de secretizare și numărul de înregistrare.
Pe plicurile/coletele în care se împachetează documente clasificate destinate unei persoane strict determinate se înscrie mențiunea „PERSONAL”.
Pentru sigilarea plicurilor/coletelor se utilizează ștampila rotundă care imprimă denumirea “EXPEDIȚIE”, iar pentru cele care conțin documente strict secrete de importanță deosebită se utilizează sigiliul rotund pentru ceară.
Când se împachetează într-un singur plic/colet mai multe documente adresate aceluiași destinatar, se întocmește un borderou interior, în două exemplare, în care se înscriu numerele de înregistrare ale tuturor documentelor introduse în acesta. Pe plic/colet se înscrie clasa sau nivelul de secretizare cel mai înalt, iar în locul numerelor de înregistrare ale documentelor se înscrie numărul borderoului, care este precedat de literele ,,Bd".
Borderourile primite se păstrează la C.D.C. până la încheierea verificării anuale a existenței documentelor clasificate, după care se clasează în dosare și se păstrează conform instrucțiunilor arhivistice în vigoare.
În situația în care împreună cu plicul/coletul de bază se expediază unul sau mai multe colete după numărul de înregistrare sau numărul borderoului se înscrie și numărul total al coletelor.
Pe colet se menționează toate datele înscrise pe coletul de bază, iar în locul numărului de înregistrare se scrie mențiunea „Anexă la nr. _____”.
Dacă sunt mai multe colete fiecare din acestea este numerotat, în locul numărului de înregistrare înscriindu-se mențiunea „Anexa nr.___la numărul _____”.
Împachetarea și sigilarea documentelor strict secrete de importanță deosebită, operative, de mobilizare, a celor privind siguranța militară și activitatea criptologică se face de către persoanele care sunt autorizate să cunoască conținutul acestora.
După împachetare și sigilare corespondența clasificată strict secret de importanță deosebită se înscrie în borderouri distincte de celelalte categorii de corespondență.
Predarea-primirea corespondenței clasificate între C.D.C. ale aceleași unități se face pe bază de semnătură în condica pentru evidența documentelor expediate.
Corespondența clasificată se predă curierilor unităților militare și personalului organelor specializate de transport pe bază de semnătură în Borderou prevăzut în anexa nr. 5.
În cazuri de urgență, corespondența secretă de stat poate fi transportată și de către curieri proprii, situație în care comandanții sunt obligați:
– să numească prin ordin de zi pe unitate o echipă de curieri formată din cel puțin două persoane, din care una înarmată, organizând instruirea acestora;
– să asigure mijloace de transport corespunzătoare;
– să emită Certificat de curier prevăzut în anexa nr. 6;
– să interzică folosirea curierilor pentru executarea altor activități pe timpul transportului documentelor.
Cu aprobarea comandantului, documentele secrete de serviciu pot fi transportate de cadre militare sau salariați civili, fără armament și însoțitori.
Înscrierea unităților militare în sistemul de transport corespondență se face potrivit reglementărilor stabilite de instituția care efectuează această prestație.
Predarea-primirea corespondenței clasificate între curieri și organele specializate de transport se face numai după ce s-au identificat reciproc, pe baza Delegației de curier prevăzută în anexa nr. 7 și a legitimațiilor militare.
La primirea corespondenței, personalul C.D.C. este obligat să verifice integritatea plicurilor/coletelor, exactitatea datelor înscrise pe acestea, ștampilele și sigiliile aplicate și să semneze de primire în Borderou sau Condica pentru evidența documentelor expediate (tranzitate, transmise/recepționate prin FAX).
După despachetare, confruntă numerele de înregistrare ale documentelor cu cele înscrise pe ambalaj sau pe borderoul interior. În situația în care constată neconcordanțe, informează imediat șeful structurii de securitate.
Documentele și materialele clasificate se transportă în străinătate de către curieri diplomatici ai Ministerului Afacerilor Externe sau de persoane acreditate în condițiile prevăzute pentru curierii diplomatici.
Pentru transportul acestora se intervine la Ministerul Afacerilor Externe pentru a se elibera acreditarea de curier diplomatic și valiza diplomatică.
Documentele și materialele clasificate se predau/primesc atât la plecare cât și la înapoiere pe bază de proces verbal aprobat de comandantul unității încheiat între personalul C.D.C. și persoana care le primește.
La înapoiere, curierul predă la C.D.C. exemplarul procesului verbal semnat și ștampilat de către destinatar.
Persoanele care transportă documente clasificate în străinătate sunt direct răspunzătoare de asigurarea securității acestora atât pe timpul transportului cât și pe timpul când se află în străinătate . Este interzisă expedierea documentelor clasificate prin Serviciul Național ,,Poșta Română'' ori alte societăți comerciale de transport sau transmiterea prin canale de comunicații neprotejate.
Documentele aduse de curieri se predau la C.D.C., iar în afara programului, acestea se predau ofițerului de serviciu, pe bază de semnătură. Acesta le păstrează, fără să le despacheteze, până la sosirea personalului C.D.C., cu respectarea cerințelor de protecție fizică prevăzute în prezentele norme.
Distrugerea documentelor clasificate
Informațiile clasificate ieșite din termenul de clasificare se arhivează sau se distrug.
Arhivarea sau distrugerea unui document clasificat se menționează în registrul de evidență principal, prin consemnarea cotei arhivistice de regăsire sau, după caz, a numărului de înregistrare a procesului-verbal de distrugere.
Distrugerea informațiilor clasificate înlocuite sau perimate se face numai cu avizul emitentului.
Distrugerea documentelor clasificate sau a ciornelor care conțin informații cu acest caracter se face astfel încât să nu mai poată fi reconstituite.
Documentele de lucru, ciornele sau materialele acumulate sau create în procesul de elaborare a unui document, care conțin informații clasificate, de regulă, se distrug.
În cazul în care se păstrează, acestea vor fi datate, marcate cu clasa sau nivelul de secretizare cel mai înalt al informațiilor conținute, arhivate și protejate corespunzător clasei sau nivelului de secretizare a documentului final.
Informațiile strict secrete de importanță deosebită destinate distrugerii vor fi înapoiate unității emitente cu adresă de restituire.
Fiecare asemenea informație va fi trecută pe un proces-verbal de distrugere, care va fi aprobat de conducerea unității și semnat de șeful structurii/funcționarul de securitate și de persoana care asistă la distrugere, autorizată să aibă acces la informații strict secrete de importanță deosebită.
În situații de urgență, protecția, inclusiv prin distrugere, a materialelor și documentelor strict secrete de importanță deosebită va avea întotdeauna prioritate față de alte documente sau materiale.
Procesele-verbale de distrugere și documentele de evidență ale acestora vor fi arhivate și păstrate cel puțin 10 ani.
Distrugerea informațiilor strict secrete, secrete și secrete de serviciu va fi evidențiată într-un proces-verbal semnat de două persoane asistente autorizate să aibă acces la informații de acest nivel, avizat de structura/funcționarul de securitate și aprobat de conducătorul unității.
Procesele-verbale de distrugere și documentele de evidență a informațiilor strict secrete, secrete și secrete de serviciu vor fi păstrate de compartimentul care a executat distrugerea, o perioadă de cel puțin trei ani, după care vor fi arhivate și păstrate cel puțin 10 ani.
Distrugerea ciornelor documentelor secrete de stat se realizează de către persoanele care le-au elaborat.
Procesul-verbal de distrugere a ciornelor se întocmește în situația în care acestea au fost înregistrate într-o formă de evidență.
CAPITOLUL III
PROTECȚIA SURSELOR GENERATOARE DE
INFORMAȚII – INFOSEC
1. Considerații generale
Modalitățile și măsurile de protecție a informațiilor clasificate care se prezintă în format electronic sunt similare celor pe suport de hârtie.
Termenii specifici, folosiți în prezentul capitol, cu aplicabilitate în domeniul INFOSEC, se definesc după cum urmează:
– INFOSEC – ansamblul măsurilor și structurilor de protecție a informațiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicații și al altor sisteme electronice, împotriva amenințărilor și a oricăror acțiuni care pot aduce atingere confidențialității, integrității, disponibilității autenticității și nerepudierii informațiilor clasificate precum și afectarea funcționării sistemelor informatice, indiferent dacă acestea apar accidental sau intenționat. Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, a emisiilor, securitatea criptografică, precum și depistarea și prevenirea amenințărilor la care sunt expuse informațiile și sistemele;
– informațiile în format electronic – texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenți, tensiuni sau câmp electromagnetic, în eter sau în rețele de comunicații;
– sistemul de prelucrare automată a datelor – SPAD – ansamblul de elemente interdependente în care se includ echipamentele de calcul, produsele software de bază și aplicative, metodele, procedeele și, dacă este cazul, personalul, organizate astfel încât să asigure îndeplinirea funcțiilor de stocare, prelucrare automată și transmitere a informațiilor în format electronic, și care se află sub coordonarea și controlul unei singure autorități. Un SPAD poate să cuprindă subsisteme, iar unele dintre acestea pot fi ele însele SPAD;
– componentele specifice de securitate ale unui SPAD, necesare asigurării unui nivel corespunzător de protecție pentru informațiile clasificate care urmează a fi stocate sau
procesate într-un SPAD, sunt:
• funcții și caracteristici hardware/firmware/software;
• proceduri de operare și moduri de operare;
• proceduri de evidență;
• controlul accesului;
• definirea zonei de operare a SPAD;
• definirea zonei de operare a posturilor de lucru/a terminalelor la distanță;
• restricții impuse de politica de management;
• structuri fizice și dispozitive;
• mijloace de control pentru personal și comunicații;
rețele de transmisii de date – RTD – ansamblul de elemente interdependente în care se includ echipamente, programe și dispozitive de comunicație, tehnică de calcul hardware și software, metode și proceduri pentru transmisie și recepție de date și controlul rețelei, precum și, dacă este cazul, personalul aferent. Toate acestea sunt organizate astfel încât să asigure îndeplinirea funcțiilor de transmisie a informațiilor în format electronic între două sau mai multe SPAD sau să permită interconectarea cu alte RTD-uri. O RTD poate utiliza serviciile unuia sau mai multor sisteme de comunicații, mai multe RTD pot utiliza serviciile unuia și
– Caracteristicile de securitate ale unei RTD cuprind caracteristicile de securitate ale sistemelor SPAD individuale conectate, împreună cu toate componentele și facilitățile asociate rețelei – facilități de comunicații ale rețelei, mecanisme și proceduri de identificare și etichetare, controlul accesului, programe și proceduri de control și revizie – necesare pentru a asigura un nivel corespunzător de protecție pentru informațiile clasificate, care sunt transmise prin intermediul RTD;
RTD locală – rețea de transmisii de date care interconectează mai multe computere sau echipamente de rețea, situate în același perimetru;
sistemul informatic și de comunicații – SIC ansamblu informatic prin intermediul căruia se stochează, se procesează și se transmit informații în format electronic, alcătuit din cel puțin un SPAD, izolat sau conectat la o RTD. Poate avea o configurație complexă, formată din mai multe SPAD-uri și/sau RTD-uri interconectate;
securitatea SPAD, RTD și SIC – aplicarea măsurilor de securitate la SPAD și RTD – SIC cu scopul de a preveni sau împiedica extragerea sau modificarea informațiilor clasificate stocate, procesate, transmise prin intermediul acestora – prin interceptare, alterare, distrugere, accesare neautorizată cu mijloace electronice, precum și invalidarea de servicii sau funcții, prin mijloace specifice;
confidențialitatea – asigurarea accesului la informații clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informației accesate și a permisiunii rezultate din aplicarea principiului nevoii de a cunoaște
– integritatea – interdicția modificării – prin ștergere sau adăugare – ori a distrugerii în mod neautorizat a informațiilor clasificate;
– disponibilitatea – asigurarea condițiilor necesare regăsirii și folosirii cu ușurință, ori de câte ori este nevoie, cu respectarea strictă a condițiilor de confidențialitate și integritate a informațiilor clasificate;
– autenticitatea – asigurarea posibilității de verificare a identității pe care un utilizator de SPAD sau RTD pretinde că o are;
– nerepudierea – măsură prin care se asigură faptul că, după emiterea/recepționarea unei informații într-un sistem de comunicații securizat, expeditorul/destinatarul nu poate nega, în mod fals, că a expediat/primit informații;
– risc de securitate – probabilitatea ca o amenințare sau o vulnerabilitate ale SPAD sau RTD – SIC să se materializeze în mod efectiv;
– managementul de risc – are ca scop identificarea, controlul și minimizarea riscurilor de securitate și este o activitate continuă de stabilire și menținere a unui nivel de securitate în domeniul tehnologiei informației și comunicațiilor – TIC – într-o unitate, în sensul că, pornind de la analiza de risc, identifică și evaluează amenințările și vulnerabilitățile și propune aplicarea măsurilor adecvate de contracarare, proiectate la un preț de cost corelat cu consecințele care ar decurge din divulgarea, modificarea sau ștergerea informațiilor care trebuie protejate;
– regula celor doi – obligativitatea colaborării a două persoane pentru îndeplinirea unei activități specifice;
– produs informatic de securitate – componentă de securitate care se încorporează într-un SPAD sau RTD – SIC și care servește la sporirea sau asigurarea confidențialității, integrității, disponibilității, autenticității și nerepudierii informațiilor stocate, procesate sau transmise;
– securitatea calculatoarelor – COMPUSEC – aplicarea la nivelul fiecărui calculator a facilităților de securitate hardware, software și firmware, pentru a preveni divulgarea, manevrarea, modificarea sau ștergerea neautorizată a informațiilor clasificate ori invalidarea neautorizată a unor funcții;
– securitatea comunicațiilor – COMSEC – aplicarea măsurilor de securitate în telecomunicații, cu scopul de a proteja mesajele dintr-un sistem de telecomunicații, care ar putea fi interceptate, studiate, analizate și, prin reconstituire, pot conduce la dezvăluiri de informații clasificate.
COMSEC reprezintă ansamblul de proceduri, incluzând:
a) măsuri de securitate a transmisiilor;
b) măsuri de securitate împotriva radiațiilor – TEMPEST;
c) măsuri de acoperire criptologică;
d) măsuri de securitate fizică, procedurală, de personal și a documentelor;
e) măsuri COMPUSEC;
– TEMPEST – ansamblul măsurilor de testare și de realizare a securității împotriva scurgerii de informații, prin intermediul emisiilor electromagnetice parazite;
– evaluarea – examinarea detaliată, din punct de vedere tehnic și funcțional, a aspectelor de securitate ale SPAD și RTD – SIC sau a produselor de securitate, de către o autoritate abilitată în acest sens.
Prin procesul de evaluare se verifică:
a) prezența facilităților/funcțiilor de securitate cerute;
b) absența efectelor secundare compromițătoare care ar putea decurge din implementarea facilităților de securitate;
c) funcționalitatea globală a sistemului de securitate;
d) satisfacerea cerințelor de securitate specifice pentru un SPAD și RTD – SIC;
e) stabilirea nivelului de încredere al SPAD sau RTD – SIC ori al produselor informatice de securitate implementate;
f) existența performanțelor de securitate ale produselor informatice de securitate instalate în SPAD sau RTD – SIC;
– certificarea – emiterea unui document de constatare, la care se atașează unul de analiză, în care sunt prezentate modul în care a decurs evaluarea și rezultatele acesteia în documentul de constatare se menționează măsurile în care SPAD și RTD – SIC satisfac cerințele de securitate, precum și măsura în care produsele informatice de securitate răspund exigențelor referitoare la protecția informațiilor clasificate în format electronic;
– acreditarea – etapa de acordare a autorizării și aprobării unui SPAD sau RTD – SIC de a prelucra informații clasificate, în spațiul/mediul operațional propriu.
Etapa de acreditare trebuie să se desfășoare după ce s-au implementat toate procedurile de securitate și după ce s-a atins un nivel suficient de protecție a resurselor de sistem.
Acreditarea se face, în principal, pe baza CSS și include următoarele:
a) notă justificativă despre obiectivul acreditării sistemului, nivelul/nivelurile de clasificare a informațiilor care urmează să fie procesate și vehiculate, modul/modurile de operare protejată propuse;
b) notă justificativă despre managementul riscurilor – modul de tratare, gestionare și rezolvare a riscurilor – în care se specifică pericolele și punctele vulnerabile, precum și măsurile adecvate de contracarare a acestora;
c) o descriere detaliată a facilităților de securitate și a procedurilor propuse, destinate SPAD sau RTD – SIC. Această descriere va reprezenta elementul esențial pentru finalizarea procesului de acreditare;
d) planul de implementare și întreținere a caracteristicilor de securitate;
e) planul de desfășurare a etapelor de testare, evaluare și certificare a securității SPAD sau RTD – SIC;
f) certificatul și, acolo unde este necesar, elemente de acreditare suplimentare;
– zona SPAD – reprezintă o zonă de lucru în care se găsesc și operează unul sau mai multe calculatoare, unități periferice locale și de stocare, mijloace de control și echipament specific de rețea și de comunicații. Zona SPAD nu include zona în care sunt amplasate terminale, echipamente periferice sau stații de lucru la distanță, chiar dacă aceste echipamente sunt conectate la echipamentul central de calcul din zona SPAD;
– zona terminal/stație de lucru la distanță – reprezintă o zonă, separată de zona SPAD, în care se găsesc:
a) elemente de tehnică de calcul;
b) echipamentele periferice locale, terminale sau stații de lucru la distanță, conectate la echipamentele din zona SPAD;
c) echipamente de comunicații;
– amenințarea – posibilitatea de compromitere accidentală sau deliberată a securității SPAD sau RTD – SIC, prin pierderea confidențialității, a integrității sau disponibilității informațiilor în format electronic sau prin afectarea funcțiilor care asigură autenticitatea și nerepudierea informațiilor;
– vulnerabilitatea – slăbiciune sau lipsă de control care ar putea permite sau facilita o manevră tehnică, procedurală sau operațională, prin care se amenință o valoare sau țintă specifică.
– Abrevierile utilizate în prezentul capitol semnifică:
a) CSTIC – componenta de securitate pentru tehnologia informației și comunicațiilor instituită în unitățile deținătoare de informații clasificate;
b) TIC – tehnologia informației și comunicațiilor;
c) CSS – cerințele de securitate specifice.
Informațiile care se prezintă în format electronic pot fi:
a) stocate și procesate în cadrul SPAD sau transmise prin intermediul RTD;
b) stocate și transportate prin intermediul suporturilor de memorie, dispozitivelor electronice – cipuri de memorie, hârtie perforată sau alte suporturi specifice.
Încărcarea informațiilor pe mediile de stocare, precum și interpretarea lor pentru a deveni inteligibile, se face cu ajutorul echipamentelor electronice specializate.
Sistemele SPAD și RTD – SIC au dreptul să stocheze, să proceseze sau să transmită informații clasificate, numai dacă sunt autorizate potrivit prezentei hotărâri.
În vederea autorizării SPAD și RTD – SIC unitățile vor întocmi, cu aprobarea organelor lor de conducere, strategia proprie de securitate, în baza căreia vor implementa sisteme proprii de securitate, care vor include utilizarea de produse specifice tehnologiei informației și comunicațiilor, personal instruit și măsuri de protecție a informației, incluzând controlul accesului la sistemele și serviciile informatice și de comunicații, pe baza principiului necesității de a cunoaște și al nivelului de secretizare atribuit.
SPAD și RTD – SIC vor fi supuse procesului de acreditare, urmat de evaluări periodice, în vederea menținerii acreditării.
Aplicarea reglementărilor în vigoare referitoare la protecția informațiilor clasificate în format electronic funcționează unitar la nivel național. Sistemul de emitere și implementare a măsurilor de securitate adresate protecției informațiilor clasificate care sunt stocate, procesate sau transmise de SPAD sau RTD – SIC, precum și controlul modului de implementare a măsurilor de securitate se realizează de către o structură funcțională cu atribuții de reglementare, control și autorizare, care include:
a) o agenție pentru acordarea acreditării de funcționare în regim de securitate;
b) o agenție care elaborează și implementează metode, mijloace și măsuri de securitate;
c) o agenție responsabilă cu protecția criptografică.
Agențiile mai sus menționate sunt subordonate instituției desemnate la nivel național, pentru protecția informațiilor clasificate, ORNISS.
Măsurile de protecție a informațiilor clasificate în format electronic trebuie reactualizate permanent, prin depistare, documentare și gestionare a amenințărilor și vulnerabilităților la adresa informațiilor clasificate și sistemelor care le prelucrează, stochează și transmit.
Măsurile de securitate INFOSEC vor fi structurate după nivelul de clasificare al informațiilor pe care le protejează și în conformitate cu conținutul acestora.
Conducătorul unității deținătoare de informații clasificate răspunde de securitatea propriilor informații care sunt stocate, procesate sau transmise în SPAD sau RTD – SIC.
În fiecare unitate care administrează SPAD și RTD – SIC în care se stochează, se procesează sau se transmit informații clasificate, se va institui o componentă de securitate pentru tehnologia informației și a comunicațiilor – CSTIC, în subordinea structurii/funcționarului de securitate.
În funcție de volumul de activitate și dacă cerințele de securitate permit, atribuțiile CSTIC pot fi îndeplinite numai de către funcționarul de securitate TIC sau pot fi preluate, în totalitate, de către structura/funcționarul de securitate din unitate.
Protecția SPAD și RTD – SIC din compunerea sistemelor de armament și de detecție va fi definită în contextul general al sistemelor din care acestea fac parte și va fi realizată prin aplicarea prevederilor prezentelor standarde.
2. Structuri organizatorice cu atribuții specifice în domeniul INFOSEC</DIV>
Agenția de acreditare de securitate </DIV>
Agenția de acreditare de securitate este subordonată D.G.I.A pentru protecția informațiilor clasificate, are reprezentanți delegați din M.AP.N, în funcție de SPAD și RTD -SIC care trebuie acreditate, și îndeplinește următoarele atribuții principale:
a) asigură, departamental, acreditarea de securitate și reacreditarea SPAD și RTD – SIC care stochează, procesează sau transmit informații clasificate, în funcție de nivelul de clasificare a acestora;
b) asigură evaluarea și certificarea sistemelor SPAD și RTD – SIC sau a unor elemente componente ale acestora;
c) stabilește criteriile de acreditare de securitate pentru SPAD și RTD – SIC.
Agenția de acreditare de securitate își exercită atribuțiile în domeniul INFOSEC în numele M.Ap.N pentru protecția informațiilor clasificate și are responsabilitatea de a impune standarde de securitate în acest domeniu
<DIV ALIGN=center>
Agenția de securitate pentru informatică și comunicații
Agenția de securitate pentru informatică și comunicații este structura subordonată instituției desemnate la nivel național pentru protecția informațiilor electronice clasificate, având reprezentanți delegați din M.Ap.N implicate care acționează la nivel departamental
Agenția este responsabilă de conceperea și implementarea mijloacelor, metodelor și măsurilor de protecție a informațiilor clasificate care sunt stocate, procesate sau transmise prin intermediul SPAD și RTD – SIC și are, în principal, următoarele atribuții:
a) coordonează activitățile de protecție a informațiilor clasificate care sunt stocate, procesate sau transmise prin intermediul SPAD și RTD – SIC;
b) elaborează și promovează reglementări și standarde specifice;
c) analizează cauzele incidentelor de securitate și gestionează baza de date privind amenințările și vulnerabilitățile din sistemele de comunicație și informatice, necesare pentru elaborarea managementul de risc;
d) semnalează agenției de acreditare de securitate incidentele de securitate în domeniu;
e) integrează măsurile privind protecția fizică, de personal, a documentelor administrative, COMPUSEC, COMSEC, TEMPEST și criptografică;
f) execută inspecții periodice asupra SPAD și RTD – SIC în vederea reacreditării;
g) supune certificării și autorizării sistemele de securitate specifice SPAD și RTD – SIC.
Pentru îndeplinirea atribuțiilor sale, agenția de securitate pentru informatică și comunicații cooperează cu agenția de acreditare de securitate, cu agenția de protecție criptografică și cu alte structuri cu atribuții în domeniu.
Agenția de protecție criptografică
Agenția de protecție criptografică se organizează la nivel departamental, este subordonată M.Ap.N pentru protecția informațiilor clasificate și are următoarele atribuții principale:
a) asigură managementul materialelor și echipamentelor criptografice;
b) realizează distribuirea materialelor și echipamentelor criptografice;
c) raportează D.G.I.A pentru protecția informațiilor clasificate incidentele de securitate cu care s-a confruntat;
d) cooperează cu agenția de acreditare de securitate, cu agenția de concepere și implementare a metodelor, mijloacelor și măsurilor de securitate și cu alte structuri cu atribuții în domeniu.
3. Măsuri, cerințe și moduri de operare
Măsuri și cerințe specifice INFOSEC
Măsurile de protecție a informațiilor clasificate în format electronic se aplică sistemelor SPAD și RTD – SIC care stochează, procesează sau transmit asemenea informații.
Unitățile deținătoare de informații clasificate au obligația de a stabili și implementa un ansamblu de măsuri de securitate a sistemelor SPAD și RTD – SIC – fizice, de personal, administrative, de tip TEMPEST și criptografic.
Măsurile de securitate destinate protecției SPAD și RTD – SIC trebuie să asigure controlul accesului pentru prevenirea sau detectarea divulgării neautorizate a informațiilor. Procesul de certificare și acreditare va stabili dacă aceste măsuri sunt corespunzătoare.
Cerințe de securitate specifice SPAD și RTD – SIC
Cerințele de securitate specifice – CSS se constituie într-un document încheiat între agenția de acreditare de securitate și CSTIC, ce va cuprinde principii și măsuri de securitate care trebuie să stea la baza procesului de certificare și acreditare a SPAD sau RTD – SIC.
CSS se elaborează pentru fiecare SPAD și RTD – SIC care stochează, procesează sau transmite informații clasificate, sunt stabilite de către CSTIC și aprobate de către agenția de acreditare de securitate.
CSS vor fi formulate încă din faza de proiectare a SPAD sau RTD – SIC și vor fi dezvoltate pe tot ciclul de viață al sistemului.
CSS au la bază standardele naționale de protecție, parametrii esențiali ai mediului operațional, nivelul minim de autorizare a personalului, nivelul de clasificare a informațiilor gestionate și modul de operare a sistemului care urmează să fie acreditat.
Moduri de operare
SPAD și RTD – SIC care stochează, procesează sau transmit informații clasificate vor fi certificate și acreditate să opereze, pe anumite perioade de timp, în unul din următoarele moduri de operare:
a) dedicat;
b) de nivel înalt;
c) multi-nivel.
În modul de operare DEDICAT, toate persoanele cu drept de acces la SPAD sau la RTD trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise prin aceste sisteme. Necesitatea de a cunoaște pentru aceste persoane se stabilește cu privire la toate informațiile stocate, procesate sau transmise în cadrul SPAD sau RTD – SIC.
În acest mod de operare, principiul necesității de a cunoaște nu impune o separare a informațiilor în cadrul SPAD sau RTD, ca mijloc de securitate a SIC. Celelalte măsuri de protecție prevăzute vor asigura îndeplinirea cerințelor impuse de cel mai înalt nivel de clasificare a informațiilor gestionate și de toate categoriile de informații cu destinație specială stocate, procesate sau transmise în cadrul SPAD sau RTD.
În modul de operare de NIVEL ÎNALT, toate persoanele cu drept de acces la SPAD sau la RTD – SIC trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în cadrul SPAD sau RTD – SIC, iar accesul la informații se va face diferențiat, conform principiului necesității de a cunoaște.
Pentru a asigura accesul diferențiat la informații, conform principiului necesității de a cunoaște, se instituie facilități de securitate care să asigure un acces selectiv la informații în cadrul SPAD sau RTD – SIC.
Celelalte măsuri de protecție vor satisface cerințele pentru cel mai înalt nivel de clasificare și pentru toate categoriile de informații cu destinație specială stocate, procesate, transmise în cadrul SPAD sau RTD – SIC.
Toate informațiile stocate, procesate sau vehiculate în cadrul unui SPAD sau RTD – SIC în acest mod de operare vor fi protejate ca informații cu destinație specială, având cel mai înalt nivel de clasificare care a fost constatat în mulțimea informațiilor stocate, procesate sau vehiculate prin sistem.
În modul de operare MULTI NIVEL, accesul la informațiile clasificate se face diferențiat, potrivit principiului necesității de a cunoaște, conform următoarelor reguli:
a) nu toate persoanele cu drept de acces la SPAD sau RTD – SIC au certificat de securitate pentru acces la informații de cel mai înalt nivel de clasificare care sunt stocate, procesate sau transmise prin aceste sisteme;
b) nu toate persoanele cu acces la SPAD sau RTD – SIC au acces la toate informațiile stocate, procesate sau transmise prin aceste sisteme.
Aplicarea regulilor prevăzute la alin. (1) impune instituirea, în compensație, a unor facilități de securitate care să asigure un mod selectiv, individual, de acces la informațiile clasificate din cadrul SPAD sau RTD – SIC.
Administratorii de securitate
Securitatea SPAD a rețelei și a obiectivului SIC se asigură prin funcțiile de administrator de securitate.
Administratorii de securitate sunt:
a) administratorul de securitate al SPAD;
b) administratorul de securitate al rețelei;
c) administratorul de securitate al obiectivului SIC.
CSTIC desemnează un administrator de securitate al SPAD responsabil cu supervizarea dezvoltării, implementării și administrării măsurilor de securitate dintr-un SPAD, inclusiv participarea la elaborarea procedurilor operaționale de securitate.
La recomandarea autorității de acreditare de securitate, CSTIC poate desemna structuri de administrare ale SPAD care îndeplinesc aceleași atribuții.
Administratorul de securitate al rețelei este desemnat de CSTIC pentru un SIC de mari dimensiuni sau în cazul interconectării mai multor SPAD și îndeplinește atribuții privind managementul securității comunicațiilor.
Administratorul de securitate al obiectivului SIC este desemnat de CSTIC sau de autoritatea de securitate competentă și răspunde de asigurarea implementării și menținerea măsurilor de securitate aplicabile obiectivului SIC respectiv.
Responsabilitățile unui administrator de securitate al obiectivului SIC pot fi îndeplinite de către structura/funcționarul de securitate al unității, ca parte a îndatoririlor sale profesionale.
Obiectivul SIC reprezintă un amplasament specific sau un grup de amplasamente în care funcționează un SPAD și/sau RTD. Responsabilitățile și măsurile de securitate pentru fiecare zonă de amplasare a unui terminal/stație de lucru care funcționează la distanță trebuie explicit determinate.
Utilizatorii și vizitatorii
Toți utilizatorii de SPAD sau RTD – SIC poartă responsabilitatea în ce privește securitatea acestor sisteme – raportate, în principal, la drepturile acordate și sunt îndrumați de către administratorii de securitate
Utilizatorii vor fi autorizați pentru clasa și nivelul de secretizare a informațiilor clasificate stocate, procesate sau transmise în SPAD sau RTD – SIC. La acordarea accesului la informații, individual, se va urmări respectarea principiului necesității de a cunoaște.
Informarea și conștientizarea utilizatorilor asupra îndatoririlor lor de securitate trebuie să asigure o eficacitate sporită a sistemului de securitate.
Vizitatorii trebuie să aibă autorizare de securitate de nivel corespunzător și să îndeplinească principiul necesității de a cunoaște, în situația în care accesul unui vizitator fără autorizare de securitate este considerat necesar, vor fi luate măsuri de securitate suplimentare pentru ca acesta să nu poată avea acces la informațiile clasificate.
4.Componentele INFOSEC
Securitatea personalului
Utilizatorii SPAD și RTD – SIC sunt autorizați și li se permite accesul la informații clasificate pe baza principiului necesității de a cunoaște și în funcție de nivelul de clasificare a informațiilor stocate, procesate sau transmise prin aceste sisteme.
Unitățile deținătoare de informații clasificate în format electronic au obligația de a institui măsuri speciale pentru instruirea și supravegherea personalului, inclusiv a personalului de proiectare de sistem care are acces la SPAD și RTD, în vederea prevenirii și înlăturării vulnerabilităților față de accesarea neautorizată.
În proiectarea SPAD și RTD – SIC trebuie să se aibă în vedere ca atribuirea sarcinilor și răspunderilor personalului să se facă în așa fel încât să nu existe o persoană care să aibă cunoștință sau acces la toate programele și cheile de securitate – parole, mijloace de identificare personală.
Procedurile de lucru ale personalului din SPAD și RTD – SIC trebuie să asigure separarea între operațiunile de programare și cele de exploatare a sistemului sau rețelei. Este interzis, cu excepția unor situații speciale, ca personalul să facă atât programarea, cât și operarea sistemelor sau rețelelor și trebuie instituite proceduri speciale pentru depistarea acestor situații.
Pentru orice fel de modificare aplicată unui sistem SPAD sau RTD – SIC este obligatorie colaborarea a cel puțin două persoane – regula celor doi. Procedurile de securitate vor menționa explicit situațiile în care regula celor doi trebuie aplicată.
Pentru a asigura implementarea corectă a măsurilor de securitate, personalul SPAD și RTD – SIC și personalul care răspunde de securitatea acestora trebuie să fie instruit și informat astfel încât să își cunoască reciproc atribuțiile
Securitatea fizică
Zonele în care sunt amplasate SPAD și/sau RTD – SIC și cele cu terminale la distanță, în care sunt prezentate, stocate, procesate sau transmise informații clasificate ori în care este posibil accesul potențial la astfel de informații, se declară zone de securitate clasa I sau clasa II ale obiectivului și se supun măsurilor de protecție fizică stabilite prin prezentele standarde.
În zonele în care sunt amplasate sisteme SPAD și terminale la distanță – stații de lucru, unde se procesează și/sau pot fi accesate informații clasificate, se aplică următoarele măsuri generale de securitate:
a) intrarea personalului și a materialelor, precum și plecarea în/din aceste zone sunt controlate prin mijloace bine stabilite;
b) zonele și locurile în care securitatea SPAD sau RTD – SIC sau a terminalelor la distanță poate fi modificată nu trebuie să fie niciodată ocupate de un singur angajat autorizat;
c) persoanelor care solicită acces temporar sau cu intermitențe în aceste zone trebuie să li se autorizeze accesul, ca vizitatori, de către responsabilul pe probleme de securitate al zonei, desemnat de către administratorul de securitate al obiectivului SIC. Vizitatorii vor fi însoțiți permanent, pentru a avea garanția că nu pot avea acces la informații clasificate și nici la echipamentele utilizate.
În funcție de riscul de securitate și de nivelul de secretizare al informațiilor stocate, procesate și transmise, se impune cerința de aplicare a regulii de lucru cu două persoane și în alte zone, ce vor fi stabilite în stadiul inițial al proiectului și prezentate în cadrul CSS.
Când un SPAD este exploatat în mod autonom, deconectat în mod permanent de alte SPAD, ținând cont de condițiile specifice, de alte măsuri de securitate, tehnice sau procedurale și de rolul pe care îl are respectivul SPAD în funcționarea de ansamblu a sistemului, agenția de acreditare de securitate trebuie să stabilească măsuri specifice de protecție, adaptate la structura acestui SPAD, conform nivelului de clasificare a informațiilor gestionate.
Controlul accesului la SPAD și/sau la RTD – SIC
Toate informațiile și materialele care privesc accesul la un SPAD sau RTD – SIC sunt controlate și protejate prin reglementări corespunzătoare nivelului de clasificare cel mai înalt și specificului informațiilor la care respectivul SPAD sau RTD – SIC permite accesul.
Când nu mai sunt utilizate, informațiile și materialele de control specificate la articolul precedent trebuie să fie distruse conform prevederilor prezentelor standarde.
Securitatea informațiilor clasificate în format electronic
Informațiile clasificate în format electronic trebuie să fie controlate conform regulilor INFOSEC, înainte de a fi transmise din zonele SPAD și RTD – SIC sau din cele cu terminale la distanță.
Modul în care este prezentată informația în clar, chiar dacă se utilizează codul prescurtat de transmisie sau reprezentarea binară ori alte forme de transmitere la distanță, nu trebuie să influențeze nivelul de clasificare acordat informațiilor respective.
Când informațiile sunt transferate între diverse SPAD sau RTD – SIC, ele trebuie să fie protejate atât în timpul transferului, cât și la nivelul sistemelor informatice ale beneficiarului, corespunzător cu nivelul de clasificare al informațiilor transmise.
Toate mediile de stocare a informațiilor se păstrează într-o modalitate care să corespundă celui mai înalt nivel de clasificare a informațiilor stocate sau suporților, fiind protejate permanent.
Copierea informațiilor clasificate situate pe medii de stocare specifice TIC se execută în conformitate cu prevederile din procedurile operaționale de securitate.
Mediile refolosibile de stocare a informațiilor utilizate pentru înregistrarea informațiilor clasificate își mențin cea mai înaltă clasificare pentru care au fost utilizate anterior, până când respectivelor informații li se reduce nivelul de clasificare sau sunt declasificate, moment în care mediile susmenționate se reclasifică în mod corespunzător sau sunt distruse în conformitate cu prevederile procedurilor operaționale de securitate.
Controlul și evidența informațiilor în format electronic
Evidența automată a accesului la informațiile clasificate în format electronic se ține în registrele de acces și trebuie realizată necondiționat prin software.
Registrele de acces se păstrează pe o perioadă stabilită de comun acord între agenția de acreditare de securitate și CSTIC.
Perioada minimă de păstrare a registrelor de acces la informațiile strict secrete de importanță deosebită este de 10 ani, iar a registrelor de acces la informațiile strict secrete și secrete, de cel puțin 3 ani.
Mediile de stocare care conțin informații clasificate utilizate în interiorul unei zone SPAD pot fi manipulate ca unic material clasificat, cu condiția ca materialul să fie identificat, marcat cu nivelul său de clasificare și controlat în interiorul zonei SPAD, până în momentul în care este distrus, redus la o copie de arhivă sau pus într-un dosar permanent.
Evidențele acestora vor fi menținute în cadrul zonei SPAD până când sunt supuse controlului sau distruse, conform prezentelor standarde.
În cazul în care un mediu de stocare este generat într-un SPAD sau RTD – SIC, iar apoi este transmis într-o zonă cu terminal/stație de lucru la distanță, se stabilesc proceduri adecvate de securitate, aprobate de către agenția de acreditare de securitate. Procedurile trebuie să cuprindă și instrucțiuni specifice privind evidența informațiilor în format electronic.
Manipularea și controlul mediilor de stocare a informațiilor clasificate în format electronic
Toate mediile de stocare secrete de stat se identifică și se controlează în mod corespunzător nivelului de secretizare.
Pentru informațiile neclasificate sau secrete de serviciu se aplică regulamente de securitate interne.
Identificarea și controalele trebuie să asigure următoarele cerințe:
a) Pentru nivelul secret:
– un mijloc de identificare – număr de serie și marcajul nivelului de clasificare – pentru fiecare astfel de mediu, în mod separat;
– proceduri bine definite pentru emiterea, primirea, retragerea, distrugerea sau păstrarea mediilor de stocare;
– evidențele manuale sau tipărite la imprimantă, indicând conținutul și nivelul de secretizare a informațiilor înregistrate pe mediile de stocare.
b) Pentru nivelul strict secret și strict secret de importanță deosebită, informațiile detaliate asupra mediului de stocare, incluzând conținutul și nivelul de clasificare, se țin într-un registru adecvat.
Controlul punctual și de ansamblu al mediilor de stocare, pentru a asigura compatibilitatea cu procedurile de identificare și control în vigoare, trebuie să asigure îndeplinirea următoarelor cerințe:
a) pentru nivelul secret – controalele punctuale ale prezenței fizice și conținutului mediilor de stocare se efectuează periodic, verificându-se dacă acele medii de stocare nu conțin informații cu un nivel de clasificare superior;
b) pentru nivelul strict secret – toate mediile de stocare se inventariază periodic, controlând punctual prezența lor fizică și conținutul, pentru a verifica dacă pe acele medii nu sunt stocate informații cu un nivel de clasificare superior;
c) pentru nivelul strict secret de importanță deosebită, toate mediile se verifică periodic, cel puțin anual și se controlează punctual, în legătură cu prezența fizică și conținutul lor.
Declasificarea și distrugerea mediilor de stocare a informațiilor în format electronic
Informațiile clasificate înregistrate pe medii de stocare refolosibile se șterg doar în conformitate cu procedurile operaționale de securitate.
Când un mediu de stocare urmează să iasă din uz, trebuie să fie declasificat suprimându-se orice marcaje de clasificare, ulterior putând fi utilizat ca mediu de stocare nesecret. Dacă acesta nu poate fi declasificat, trebuie distrus printr-o procedură aprobată.
Sunt interzise declasificarea și refolosirea mediilor de stocare care conțin informații strict secrete de importanță deosebită, acestea putând fi numai distruse, în conformitate cu procedurile operaționale de securitate.
Informațiile clasificate în format electronic stocate pe un mediu de unică folosință – cartele, benzi perforate – trebuie distruse conform prevederilor procedurilor operaționale de securitate.
5. Reguli generale de securitate TIC
Securitatea comunicațiilor
Toate mijloacele folosite pentru transmiterea electromagnetică a informațiilor clasificate se supun instrucțiunilor de securitate a comunicațiilor emise de către instituția desemnată la nivel M.Ap.N pentru protecția informațiilor clasificate.
Într-un SPAD – SIC trebuie să se dispună mijloace de interzicere a accesului la informațiile clasificate de la toate terminalele/stațiile de lucru la distanță, atunci când se solicită acest lucru, prin deconectare fizică sau prin proceduri software speciale, aprobate de către autoritatea de acreditare de securitate.
Securitatea la instalare și față de emisiile electromagnetice
Instalarea inițială a SPAD sau RTD – SIC sau orice modificare majoră adusă acestora vor fi executate de persoane autorizate. Lucrările vor fi permanent supravegheate de personal tehnic calificat, care are acces la informații de cel mai înalt nivel de clasificare pe care respectivul SPAD sau RTD – SIC le va stoca, procesa sau transmite.
Toate echipamentele SPAD și RTD – SIC vor fi instalate în conformitate cu reglementările specifice în vigoare, emise de către M.Ap.N pentru protecția informațiilor clasificate, cu directivele și standardele tehnice corespunzătoare.Sistemele SPAD și RTD – SIC care stochează, procesează sau transmit informații secrete de stat vor fi protejate corespunzător față de vulnerabilitățile de securitate cauzate de radiațiile compromițătoare – TEMPEST.
Securitatea în timpul procesării informațiilor clasificate
Procesarea informațiilor se realizează în conformitate cu procedurile operaționale de securitate.(PrOpSec)
Transmiterea informațiilor secrete de stat către instalații automate – a căror funcționare nu necesită prezența unui operator uman – este interzisă, cu excepția cazului când se aplică reglementări speciale aprobate de către autoritatea de acreditare de securitate, iar acestea au fost specificate în procedurile operaționale de securitate.
În SPAD sau RTD – SIC care au utilizatori – existenți sau potențiali – fără certificate de securitate emise conform standardelor nu se pot stoca, procesa sau transmite informații strict secrete de importanță deosebită.
Procedurile operaționale de securitate
Procedurile operaționale de securitate reprezintă descrierea implementării strategiei de securitate ce urmează să fie adoptată, a procedurilor operaționale de urmat și a responsabilităților personalului.
Procedurile operaționale de securitate sunt elaborate de către structura de concepere și implementare a metodelor, mijloacelor și măsurilor de securitate, în colaborare cu CSTIC, precum și cu agenția de acreditare de securitate, care are atribuții de coordonare, și alte autorități cu atribuții în domeniu. Agenția de acreditare de securitate va aproba procedurile de operare înainte de a autoriza stocarea, procesarea sau transmiterea informațiilor secrete de stat prin SPAD – RTD – SIC.
Protecția produselor software și managementul configurației
CSTIC are obligația să efectueze controale periodice, prin care să stabilească dacă toate produsele software originale – sisteme de operare generale, subsisteme și pachete soft – aflate în folosință, sunt protejate în condiții conforme cu nivelul de clasificare al informațiilor pe care acestea trebuie să le proceseze. Protecția programelor – software de aplicație se stabilește pe baza evaluării nivelului de secretizare a acestora, ținând cont de nivelul de clasificare a informațiilor pe care urmează să le proceseze.
Este interzisă utilizarea de software neautorizat de către agenția de acreditare de securitate.
Conservarea exemplarelor originale, a copiilor – backup sau off-site, precum și salvările periodice ale datelor obținute din procesare vor fi executate în conformitate cu prevederile procedurilor operaționale de securitate.
Versiunile software care sunt în uz trebuie să fie verificate la intervale regulate, pentru a garanta integritatea și funcționarea lor corectă.
Versiunile noi sau modificate ale software-ului nu vor fi folosite pentru procesarea informațiilor secrete de stat, până când procedurile de securitate ale acestora nu sunt testate și aprobate conform CSS.
Un software care îmbunătățește posibilitățile sistemului și care nu are nici o procedură de securitate nu poate fi folosit înainte de a fi verificat de către CSTIC.
Verificări pentru depistarea virușilor de calculator și a software-ului nociv
Verificarea prezenței virușilor și software-ului nociv se face în conformitate cu cerințele impuse de către agenția de acreditare de securitate.
Versiunile de software noi sau modificate – sisteme de operare, subsisteme, pachete de software și software de aplicație – stocate pe diferite medii care se introduc într-o unitate, trebuie verificate obligatoriu pe sisteme de calcul izolate, în vederea depistării software-ului nociv sau a virușilor de calculator, înainte de a fi folosite în SPAD
sau RTD – SIC. Periodic se va proceda la verificarea software-ului instalat.
Verificările trebuie făcute mai frecvent dacă SPAD sau RTD – SIC sunt conectate la alt SPAD sau RTD – SIC sau la o rețea publică de comunicații.
CAPITOLUL IV
METODE ȘI MIJLOACE MODERNE DE PROTECȚIE A INFORMAȚIILOR ÎN SISTEMELE DE COMUNICAȚII SPECIFICE SERVICIILOR DE INFORMAȚII MILITARE
1 Considerații generale
Informația este un produs care, ca și alte produse importante rezultate din activitatea umana, are valoare pentru o organizație și, în consecintă, este necesar să fie protejată corespunzator. Informația poate exista în mai multe forme: poate fi scrisă sau tiparită pe hartie, memorată electronic, transmisă prin poștă sau utilizand mijloace electronice, ilustrată pe filme sau vorbită intr-o conversație. Indiferent de formele sub care există, indiferent de mijloacele prin care este stocată sau partajată, informația trebuie totdeauna strict protejata.
Deși conceptul de securitate a informa|iei este cu mult mai larg, referințele din acest capitol cuprind doar aspecte legate strict de informatia păstrataă, procesată și transmisă în sistemele de comunicații.
Importanta tehnologiilor informatice și a comunicațiilor pe plan militar, economic, social și politic este unanim cunoscutaă și acceptata. Se poate observa ca, in ultimii ani, asistam la:
multiplicarea numărului de calculatoare;
creșterea puterii de prelucrare și stocare a acestor calculatoare;
scaderea prețului echipamentelor și programelor;
convergent tehnologiilor informatice și de comunicatii;
descentralizarea functiilor informatice și de comunicații;
dezvoltarea serviciilor informatice, ceea ce face ca, in anumite tari fiecare persoana sa fie un utilizator real sau potential al retelelor de calculatoare si de comunicatii.
Societatea modernă informatizata reprezintă deja o realitate, in care se ignoră frontierele și se trece peste orice constrângeri de ordin spatial sau temporal. Economia, politica si societatea se bazează azi, din ce in ce mai mult, pe aceasta infrastructură de comunicații.
De asemenea.guvernele, firmele din sectorul public și privat, organismele financiare naționale si internaționale,invățamantul, cultura si cercetarea stiinfifica beneficiază de forme eficiente de conducere, informare si comunicare.
In aceste circumstanțe, securitatea informatică a devenit una dintre componentele majore ale sistemelor de comunicatii. Analiștii acestu concept au sesizat o contradicție aparentă – antinomie – intre nevoia de comunicații și conectivitate, pe de o parte, si necesitatea asigaurări confidențialității, integrității si autenticității informatiilor, pe de altă parte.Domeniul securității informației caută soluții tehnice pentru rezolvarea acestor contradicții aparente. Viteza si eficiența comunicatiilor"instantanee" de documente și mesaje conferă numeroase atuuri actului decizional intr-o societate moderna. Însă utilizarea serviciilor de posta electronică, Web, transfer electronic de fonduri etc. se bazeaza pe un sentiment, adeseori fals, de securitate a comunicațiilor, care poate transforma potentțialele câștiguri generate de accesul rapid la informafii în pierderi majore, cauzate de furtul de date sau de inserarea de date false ori denaturate.
O serie de considerente care privesc utilizarea comunicațiilor în toate aceste domenii fac ca protecția informației sa devină vitală. Dintre acestea enumerăm:
Dependeța puternică de informatie a organizațiilor, agentiilor guvernamentale, firmelor, bancilor etc., care se vad în imposibilitatea de a lucra fără a dispune de datele necesare obținute prin sistemul de comunicații;
Vulnerabilitatea tehnologiilor de comunicații și informatice, a programelor și echipamentelor, care face ca organizațiile și firmele să nu poată avea încredere totală in sistemele folosite și în măsurile de protecție efective. Sistemele sunt vulnerabile la penetrări neautorizate, la distugeri sau modificări accidentale sau voite de date ori programe. Aceste sisteme pot deservi elemente vitale pentru societate, cum ar fi: sisteme militare, bănci, spitale, sisteme de transport, burse de valori.
Tendința actuală privind extinderea conectivitaătii, în special în Internet, amplifică aceste vulnerabilități și este din ce în ce mai greu sa se localizeze un defect, un punct de acces ilegal in rețea, un utilizator cu comportament inadecvat. Se considersă că Internetul este unul dintre cele mai complexe sisteme create de tehnologia umană care, alături de sistemul financiar mondial, nu poate fi controlat în totalitate. Vulnerabilitatea sistemelor de comunicații și informatice actuale poate antrena pierderi imense de ordin financiar, direct sau indirect, cum ar fi scurgerea de informații confidențiale cu caracter personal, militar sau economic.
Sistemele de comunicații și informatice sunt amenințate atât din interior, cât și din exterior. Pot fi persoane bine intentionate, care fac diferite erori de operare sau persoane rău intenționate, care sacrifică timp și bani pentru penetrarea sistemelor. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare sau anumite defecte ale echipamentelor de calcul sau de comunicație. De asemenea, lipsa unei pregătiri adecvate a administratorilor, operatorilor si utilizatorilor de sisteme amplifică probabilitatea unor brese de securitate. Folosirea abuzivă a unor sisteme reprezintă, de asemenea, unul din factorii de risc major privind securitatea sistemelor informatice.
In ultimii ani, in tarile dezvoltate, hârtia a devenit numai un mediu de prezentare a informațiilor, nu și de arhivare sau transport. Aceste ultime două funcții au fost preluate de calculatoare și de rețelele de interconectare ale acestora. De aceea, a trebuit să fie găsite soluții pentru înlocuirea sigiliilor, stampilelor si semnăturilor olografe din documentele clasice cu variantele lor digitale, bazate pe criptografia clasică și cu chei publice. Criptografia computațională este tot mai folosită pentru contracararea problemelor de securitate informatică. Utilizată multă vreme doar pentru asigurarea confidențialității comunicațiilor militare si diplomatice, criptografia a cunoscut, în ultimii 25 de ani, progrese spectaculoase, datorate aplicațiilor sale în securitatea datelor la calculatoare și rețele.
Asigurarea securității sistemelor de comunicații și informatice reprezintă un obiectiv important al oricărei organizații. Realizarea obiectivului trebuie să aibă în vedere asigurarea unui bun echilibru între costurile aferente și avantajele concrete obținute. Măsurile trebuie sa descurajeze tentativele de penetrare neautorizate, să le facă mai costisitoare decât obținerea legală a accesului la aceste programe și date.
2. Concepte privind protecția și securitatea informației
Prin protecția si securitatea informatiei se ințelege realizarea unui ansamblu organizat de mijloace, metode și măsuri destinate să prevină distrugerea, modificarea, sau folosirea neautorizată a informației apărate, Conceptul de protecție a informației, indiferent de natura mediului de transmitere, a apărut ca o necesitate de a impiedica accesul intrusilor la informația vehiculată între corespondenți. Prin intrus, aici se face referire la o terță persoană, diferită de utilizatorii autorizați ai comunicației. Protecția informației a devenit un domeniu prioritar în preocupările organizatiilor militare si nomnilitare, având în vedere că, pe măsură ce conceptul de globalizare se extinde și în spațiul cyber, aceasta trebuie să reprezinte o cerința obligatorie în proiectarea sistemelor de comunicații.
Protecția comunicațiilor (informației) -COMSEC-COMunicațion SECurity reprezintă ansamblul măsurilor luate de către utilizatorii autorizații, în scopul interzicerii culegerii de informatii de către persoane neautorizat . Reușita persoanelor neautorizate de a interfera în procesul de comunicație poate conduce la alterarea mesajului original si, astfel, la inducerea in eroare a corespondenților comunicației respective în evaluarea si interpretarea mesajului.
Protecția informației în comunicații include următoarele domenii:
Protecfia fizica (physical security) este o componentă a protecției informaționale care este asigurată prin luarea tuturor măsurilor necesare pentru protejarea echipamentelor, materialelor și documentelor secrete împotriva accesului persoanelor neautorizate în incinta în care se află acstea.
Protecția emisiilor (emission security) este o componentă a protecției informaționale care este asigurată prin luarea tuturor măsurilor menite să interzică culegerea de catre o persoană neautorizată de informatii de valoare prin interceptarea și analiza radiațiilor compromițătoare ale echipamentelor criptografice și sistemelor de comunicații.
Protecfia transmisiilor (transmission security) este o componentă a protecției informaționale care este asigurată prin luarea tuturor măsurilor destinte să protejeze trasmiterile împotriva intercetării și exploatării prin alte mijloace decât analiza criptografică .
Protecția criptografică (cryptosecurity) este o componentă a protecției informaționale care este realizată prin asigurarea de sisteme criptografice puternice din punct de vedere tehnic și utilizarea lor corespunzatoare.
In prezent, s-au elaborat diferite mijloace, metode și măsuri destinate protectiei informației care circulă în sistemele automatizate. Acestea includ mijloace tehnice și programe, acoperirea criptografică a informației, mijloace fizice, măsuri organizatorice și juridice. Uneori, toate aceste mijloace de protecție se împart în tehnice si netehnice.
In ansamblul mijloacelor de protectie a informației, un loc important îl ocupă aparatele tehnice electronice, electromecanice, electrooptice etc., capabile să indeplinească unele funcții de protectie. Aceste dispozitive sunt incluse constructiv în echipamentele produse în serie sau sunt realizate sub forma unor echipamente independente, care sunt incluse în compunerea completului de mijloace tehnice ale sistemelor automatizate.
Cea mai mare răspandire o au următoarele dispozitive:
registre speciale pentru păstrarea elementelor de protectie: parole, coduri de identificare, nivelul de secretizare al informatiilor și altele;
generatoare de coduri destinate pentru generarea automată a codului de identificare a terminalului unui utilizator sau al unui dispozitiv, când acesta se conectează la sistem și se adresează unei surse de date a sistemului de calcul;
dispozitive pentru citirea codurilor de pe cartele sau benzi magnetice, punerea în funcțiune a unor mijloace tehnice, deblocarea și blocarea unor parți de echipamente;
dispozitive destinate cunoașterii unor caracteristici individuale ale omului (voce, amprente, lungimea degetelor etc.) in scopul identificării lui;
dispozitive pentru identificarea utilizatorului cu cartele perforate și magnetice individuale, recunoașterea dactiloscopică și acustică etc.
scheme pentru întreruperea transmiterii informației în linie, în scopul efectuaării controlului periodic al adresei de trimitere a datelor;
dispozitive de cifrare și descifrare.
Între măsurile de acest gen sunt incluse identificarea (recunoașterea), autentificarea și avizarea persoanei (obiectului) care solicită accesul la sistem.
> Prin identificare se realizează recunoasterea indicativului (nume sau numar) care este afectat unei persoane sau unui obiect.
> Prin autentificare se verificaă dacă persoana (obiectul) reprezintă ceea ce pretinde că este.
> Prin avizare (autorizare) se verifica dacă o persoană sau un obiect are drept de acces la o anumită resursă protejată. Ansamblul acestor măsuri se numește controlul accesului.
> Protecfia criptografică (cifrarea informației) constă în prelucrarea informației ce trebuie aparată, astfel încât să nu existe posibilitatea determinării conținutului real al datelor mascate.
Specialiștii acordă o mare atenție protecției criptografice, această tehnică fiind considerată cea mai sigura metodă, iar pentru informația transmisă prin linii de legatură pe distanțe mari reprezintă singurul mijloc de protecție împotriva furtului de informație.
Acest lucru explică de ce, în majoritatea publicațiilor pe probleme de protecție și securitate a informației, criptografia ocupă un loc insemnat, totodată, în multe dintre aceste surse sunt abordate exclusiv mijloacele și metodele criptografice.
Direcțiile principale de acțiune în domeniul protecției criptografice, așa cum rezultă ele din lucrările de specialitate, constau în:
Alegerea sistemelor naționale de secretizare sigură a informației apărate;
Fundamentarea căilor realizării sistemelor secrete în complexele automatizate;
Elaborarea regulilor de folosire a metodelor criptografice de protecție în procesul funcționării sistemelor automatizate;
Aprecierea eficacității și validarea protecției criptografice;
Pentru cifrurile destinate protecției informației în calculatorele electronice și sistemele informaționale se impun unele cerințe|. printre care menfionam: stabilitatea mare, simplitatea proceselor de cifrare și descifrare, independența cifrarii și descifrării de procedeul reprezentării informației în calculatoare, sensibilitatea mică față de erorile de cifrare, posibilitatea prelucrării informatiei în calculatoare, redundanșa mica a informatiei din cauza cifrării etc.
Un sistem integrat de securitate a informațiilor cuprinde nu mai puțin de șapte sisteme de securitate:
Securitatea fizică;
Securitatea personalului – need to know;
Securitatea administrativă;
Securitatea IT (INFOSEC);
Securitatea comunicațiilor (COMSEC);
Securitatea criptografică;
Securitatea emisiilor EM (TEMPEST).
Problemele de asigurare a securitătii rețelelor pot fi grupate în următoarele domenii interdependente:
confidenfialitatea – se referă la asigurarea accesului la informație doar pentru utilizatorii autorizați și împiedicarea accesului pentru persoanele neautorizate;
integritatea – se refera la asigurarea consistentei informațiilor (în cazul transmiterii unui mesaj prin rețea, integritatea se referă la protecția împotriva unor tentative de falsificare a mesajului);
autentificarea – asigură determinarea identității persoanei cu care se comunică (aspect foarte important în cazul schimbului de informatii confidențial sau al unor mesaje în care identitatea transmițătorului este esențială);
ne-repudierea – se referă la asumarea responsabilitații unor mesaje sau comenzi, la autenticitatea lor. Acest aspect este foarte important în cazul contractelor realizate între firme prin intermediul mesajelor electronice.
Aspectele de securitate enumerate anterior se regăsesc, într-o oarecare măsura, și în sistemele tradiționale de comunicații: de exemplu, poșta trebuie să asigure integritatea și confidențialitatea scrisorilor pe care le transportă. În cele mai multe situații, se cere un document original și nu o fotocopie. Acest lucru este evident în serviciile bancare. În mesajele electronice, însă, distincția dintre un original și o copie nu este deloc evidenta.
Procedeele de autentificare sunt foarte răspândite și ele: recunoașterea fețelor, vocilor , scrisului sau semnăturilor unor persoane pot fi încadrate în această categoriă. Semnăturile și sigiliile sunt metode de autentificare folosite extrem de frecvent. Falsurile pot fi detectate de catre experți în grafologie prin analiza scrisului și chiar a hartiei folosite. Evident, aceste metode nu sunt disponibile electronic și trebuie gasite alte soluții valabile .
Problemele de interceptare și autentificare, cele mai importante din punctul de vedere al utilizatorilor obisnuiți, sunt rezolvate prin aplicarea unor tehnici de codificare, după cum se va vedea mai departe, in paragraful "Caracteristici ale criptografiei moderne".
Pentru asigurarea securității rețelei este importantă implementarea unor mecanisme specifice pornind de la nivelul fizic (protecfia fizica a liniilor de transmisie), continuând cu proceduri de blocare a accesului la nivelul rețelei (firewall), până la aplicarea unor tehnici de codificare a datelor(criptare), metoda specifică pentru protecșia comunicării între procesele de tip aplicație care rulează pe diverse calculatoare din rețea.
Împiedicarea interceptarii fizice este, în general, costisitoare si dificilă; ea se poate realiza mai facil pentru anumite tipuri de medii (de exemplu detectarea interceptărilor pe fibre optice este mai simplă decât pentru cablurile cu fire de cupru). De aceea, se preferă implementarea unor mecanisme de asigurare a securității la nivel logic, prin tehnici de codificare/criptare a datelor transmise, care urmaresc transformarea mesajelor astfel să fie ințelese numai de destinatar; aceste tehnici devin mijlocul principal de protecție a rețelelor.
Având în vedere importanța dezvoltării procedeelor de criptare pentru asigurarea securitații, dedic următoarele paragrafe acestui subiect. Pentru inceput, voi prezenta problema criptării și metodele tradiționale de criptare iar apoi câteva direcții de evoluție în criptografia modernă.
3. Criptografia tradițională
Istoria criptografiei este lungă și pitorească. Se spune ca la dezvoltarea procedeelor de criptare (codificare) au contribuit: armata, corpurile diplomatice, persoanele care au ținut jurnale și îndrăgostiții. Evident dezvoltarea tehnicilor de criptare a constituit o prioritate pentru organizațiile militare, care utilizau frecvent asemenea procedee. Inainte de apariția calculatoarelor, volumul mare de mesaje criptate sau transmise a fost gestionat de un număr mare de funcționari "codori". Evident, tehnicile folosite erau limitate de capacitatea codorilor de realizare a transformărilor necesare și de însușirea de catre aceștia a unor tehnici criptografice noi . Totuși, pericolul de capturare a codurilor de către "inamici" facea necesară schimbarea periodică a metodei de criptare.
Criptografia este știința scrierilor secrete. Ea stă la baza multor servicii și mecanisme de securitate folosite în comunicații, folosind metode matematice pentru transformarea datelor, în intenția de a ascunde conținutul lor sau de a le proteja împotriva modificării. Criptografia are o lungă istorie, confidențialitatea comunicării fiind o cerință a tuturor timpurilor. Dacă ar trebui să alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu atăt datorită celebritații împăratului roman de care se leagă folosirea lui, ci pentru că principiul său de baza, al substituției, s-a menținut nealterat aproape două milenii.
Multă vreme, eforturile criptografilor au fost dirijate spre întărirea cifrurilor prin complicarea algoritmului, combinănd substituții și transpoziții asupra unor simboluri sau asupra unor blocuri (grupe de simboluri). Istoria moderna a criptografiei cunoaste numeroase inovații în această privință. Două sunt elementele ce au marcat însă cotitura semnificativa ăn dezvoltarea metodelor criptografice.
Primul este legat de dezvoltarea rețelelor de calculatoare, al căror stimulent extraordinar s-a manifestat atat prin presiunea exercitată de tot mai mulfi utilizatori (a caror dorință obiectivă este păstrarea secretului și a siguranței asupra poștei electronice private, a transferului electronic de fonduri și a altor aplicații), cât și prin potențarea gamei de instrumente folosite efectiv ăn execuția algoritmilor de cifrare. Utilizarea calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari, sporindu-se, astfel, rezistența la atacuri criptoanalitice. Când cheia secretă are o dimensiune convenabilă (minim 256 biți) și este suficient de frecvent schimbată, devine practic imposibilă spargerea cifrului, chiar dacă se cunoaște algoritmul de cifrare. Pe aceasta idee se bazează și standardul american de cifrare a datelor – DES ~ Data Encryption Standard, larg utilizat de guvernul SUA și de diverse companii internaționale. Propus, într-o formă inițială, de IBM, în 1975, DES a rezistat evaluării făcute de "spărgătorii de cifruri" de la US National Security Agency ~ NSA, care au recomandat doar reproiectarea anumitor componente (casete de substituție). DES a fost adoptat ca standard federal în 1977 și a fost folosit intens datorită performanțelor de viteză atinse la cifrare (peste 100 de milioane de biți/secundă). Din păcate, se știe cu certitudine ca cei de la NSA, precum și o alta organizație specializata au reușit să spargă DES. Experiența a arătat că aproape orice schemă criptografică (în funcție de complexitatea algoritmului și lungimea cheii de criptare) are o viață limitată și că avansul tehnologic reduce, mai devreme sau mai târziu, securitatea furnizată de ea.
Al doilea moment important în evoluția criptografiei moderne 1-a constituit adoptarea unui principiu diferit de acela al cifrării simetrice, Whitfield Diffie și Martin Hellman, cercetători la Universitatea Stanford din California, prin articolul "New Directions in Criptography", publicat în 1976 în revista IEEE Transactions on Information Theory, au pus bazele "criptografiei asimetrice" cu chei publice. În locul unei singure chei secrete, criptografia asimetrică folosește două chei diferite, una pentru cifrare, alta pentru descifrare. Deoarece este imposibilă deducerea unei chei din cealaltaă una dintre chei este facută publică, fiind pusă la îndemâna oricui dorește să transmită un mesaj cifrat. Doar destinatarul, care deține cea de-a doua cheie, poate descifra și utiliza mesajul. Tehnica cheilor publice poate fi folosită și pentru autentificarea mesajelor, fapt care i-a sporit popularitatea. Nu este, deci, de mirare ca guvernul SUA a inițiat adoptarea unui standard de semnatură digitală bazat pe conceptul de cheie publica Acest demers a generat controverse, soldate chiar cu acuze între organizațiile implicate. Până în decembrie 1990, Institutul Național de Standarde și Tehnologie al SUA ~ NIST recomandă metoda RSA, prezentă deja în industrie, pentru adoptare ca standard. Dar nouă luni mai tarziu, în august 1991, NIST a avansat un cu totul alt algoritm, bazat pe o metoda cu chei publice, publicată de Taher El Gamal în 1986. Noua propunere, denumită DSS – Digital Signature Standard, a fost dezvoltată de catre NSA. Ea a dezamăgit nu datorită performanțelor, ci "grație" autorului, care este nu doar proiectant, dar si spărgăor de cifruri, ceea ce a starnit, inevitabil, suspiciuni.
Un cifru se definește ca transformarea unui mesaj clar sau text clar în mesaj cifrat ori criptogramă. Procesul de transformare a textului clar în text cifrat se numește cifrare sau criptare, iar transformarea inversă, a criptogramei în text clar, are denumirea de descifrare sau decriptare. Atât cifrarea, cât și descifrarea sunt controlate de catre una sau mai multe chei criptografice. Există două tipuri de sisteme criptografice:
simetrice (cu cheie secretă), care folosesc aceeași cheie, atat la cifrare, cat și la descifrarea mesajelor.
asimetrice (cu chei publice), care folosesc chei distincte de cifrare si descifrare (dar legate una de alta). Una dintre chei este ținuta secreta și este cunoscuta doar de proprietarul ei. A doua cheie (perechea ei) este facută publica, de unde si numele de criptografie cu cheie publica
Modelul clasic de criptare presupune transformarea unui text sursă ("plain text") printr-o funcție dependentă de o cheie ("key"), transformare în urma careia rezulta textul cifrat ("ciphertext"). Inainte de apariția rețelelor de calculatoare, acesta era transmis printr-un curier sau prin radio. În cazul interceptării mesajelor cifrate, ele nu puteau fi decodificate prea usor în absența cheii de criptare. Uneori, "intrușii" puteau nu numai să asculte canalele de comunicație (intrusi pasivi), ci și să înregistreze mesajele și să le retransmită mai tarziu, să introducă propriile mesaje sau să modifice mesajele legitime înainte ca ele sa ajungă la receptor (intrus activ).
Domeniul care se ocupa de spargerea (decodificarea) cifrurilor se numeste criptanaliză ("cryptanalysis"), iar conceperea cifrurilor (criptografia) și spargerea lor (criptanaliza) sunt cunoscute global sub numele de criptologie ("cryptology").
Într-o încercare de formalizare matematică a proceselor de criptare și decriptare, se pot folosi următoarele notații: S – textul sursa, CK – functia de criptare, dependenta de o cheie K, R – codul rezultat si DK – funcfia de decriptare. Cu aceste notafii, criptarea este exprimata prin formula R = CK(S), iar decriptarea prin S = DK(R). Se observa ca DK(CK(S)) = S.
O regula de baza în criptografie stabilește necesitatea cunoașterii metodei generale de criptare de către orice criptanalist. Acest principiu are la baza constatarea că pentru a inventa, testa și instala o noua metoda de criptare este necesară o cantitate prea mare de efort pentru ca acest procedeu sa fie practic. In consecintă, cel mai important element devine cheia de criptare.
Cheia constă într-un șir de caractere care definește/selectează una sau mai multe criptari potenșiale. Spre deosebire de metoda generală, care, în mod tradițional, se schimbă doar la cațiva ani, cheia putea fi schimbată oricât de des era necesar.
In concluzie, modelul de baza al criptarii folosește o metoda generală cunoscută, care este parametrizată cu o cheie secretă, ce poate fi schimbată usor. În mod paradoxal, publicarea algoritmului de criptare, prin faptul ca da posibilitatea unui numar mare de criptologi sa sparga sistemnl, ii poate dovedi stabilitatea, in caz ca, dupa cațiva ani, niciunul dintre specialiști care au încercat să-1 spargă nu a reusit.
Componenta secretă a criptarii este, in consecinfa, cheia, a carei lungime devine foarte importantă. În mod evident, cu cât cheia este mai lungă, cu atât elementele ei sunt mai greu de determinat. De exemplu, pentru o secvenfa de n cifre (0,9), exista 10 la puterea n posibilități de a o crea. Astfel, pentru determinarea unei secvenfe de 6 cifre ar trebui parcurse 1milion de posibilități. În cazul în care cheile ar conține litere, numărul de alternative crește, fiindcă în alfabet exista 26 de litere. Se poate deduce că lungimea cheii produce creșterea exponentială a volumului de muncă al criptanalistului. O cheie care sa poată ține la distanță adversari profesioniști ar trebui sa aibă cel putin 256 de biți (eel puțin 32 de cifre). în timp ce uzual se pot folosi chei de 64 de biti (in jur de 8 cifre).
Când un criptanalist trebuie sa decodifice un text, el se confruntă cu una din următoarele probleme:
problema textului cifrat ("ciphertext only problem"), când are la dispoziție o cantitate de text cifrat și nici un fel de text sursă;
problema textului sursă cunoscut ("knon plaintext problem"). cand are la dispozitie un text sursa șj textul cifrat corespunztor;
problema textului sursă ales ("chosen plaintext problem"), dacă poate cripta la alegere zone din textul sursa (poate afla criptarea unui anumit text).
În multe situații, criptanalistul poate ghici unele părti din textul sursă și chiar dacă teoretic s-ar găsi în situația de a rezolva o problema de text cifrat (De exemplu, inițierea unei sesiuni de lucru într-un sistem multiutilizalor va conține uzual cuvantul "login".) De aceea, pentru a asigura securitatea criptograful trebuie să se asigure ca metoda propusă este sigura, chiaă daca inamicul său poate decripta cantități arbitrare de text ales.
Există două metode tradiționale de criptare: cifruri cu substituție și cifruri cu transpoziție. Aceste tehnici de bază sunt folosite, în forme evoluate și în sistemele moderne de criptare.
Cifrurile cu substituție. Într-un asemenea cifru, fiecare literă sau grup de litere este inlocuit(ă) cu o alta litera sau grup de litere. Cel mai vechi exemplu este cifrul lui Cezar, prin care a devine D, b devine E,…….,z devine C .Prin generalizare, alfabetul poate fi deplasat cu k litere în loc de 3.
In acest caz, k devine cheia pentru metoda generala a alfabetelor deplasate circular
O altă metodă de substituție este înlocuirea fiecărei litere din textul sursă cu o anumita litera corespondentă. Sistemul se numeste substituție monoalfabetica și are drept cheie un sir de 26 de litere. Pentru o persoana neavizată, acest sistem ar putea fi considerat sigur, fiindcă încercarea tuturor celor 26 (!) de chei posibile ar necesita unui calculator 1013 ani, alocand 1 milisecundă pentru fiecare soluție. Totuși, folosind o cantitate foarte mica de text cifrat, cifrul va putea fi spart cu usurință.
Abordarea de baza porneste de la proprietățile statistice ale limbajelor naturale. Cunoscând frecvețta statistică a fiecarei litere și a fiecărui grup de doua sau trei litere (de exemplu, în limba romana: ce, ci, ge, gi, oa, ua etc.) într-o anumită limbă, numărul mare de alternative inițiate se reduce considerabil. Un criptanalist va numara frecventele relative ale tuturor literelor în textul cifrat sș va încerca sa facă asocierea cu literele a caror frecvență este cunoscută. Apoi va căuta grupurile de litere, încercand să coroboreze indiciile date de acestea cu cele furnizate de frecventele literelor.
O alta abordare, aplicabilă dacă există informații despre domeniul la care se refera textul, este de a ghici un cuvant sau o expresie probabilă (de exemplu, "operativ" pentru un mesaj din domeniul serviciilor de informații) și de a cauta corespondentul său, folosind informții despre literele repetate ale cuvântului și pozitiile lor relative. Abordarea se poate combina cu informațiile statistice legate de frecventele literelor.
Cifruri cu transpoziție. Spre deosebire de cifrurile cu substituție, care păstrează ordinea literelor din textul sursă, dar le transformă, cifrurile cu transpoziție ("transposition ciphers") reordonează literele, fără a le "deghiza".
Un exemplu simplu este transpoziția pe coloane, în care textul sursă va fi scris literă cu literă și apoi citit pe coloane, în ordinea data de o anumita cheie. Drept cheie se poate alege un cuvant cu litere distincte, de o lungime egală cu numărul de coloane folosite în cifru. Ordinea alfabetică a literelor din cuvantul cheie va da ordinea în care se vor citi coloanele.
Spargerea unui cifru cu transpoziție începe cu verificarea tipului său, prin calcularea frecvențelor literelor și compararea acestora cu statisticile cunoscute. Daca aceste valori coincid, se deduce că fiecare litera este "ea însăși", deci este vorba de un cifru cu transpoziție
Urmatorul pas este emiterea unei presupuneri în legatură cu numarul de coloane. Acesta se poate deduce pe baza unui cuvant sau expresii ghicite ca facând parte din text. Considerând sintagma "să prezinte", cu grupurile de litere (luate pe coloane) "si", "ăn", "pt", "re", se poate deduce numărul de litere care le separă, deci numărul de coloane. Notăm, în continuare, cu k acest număr de coloane.
Pentru a descoperi modul de ordonare a coloanelor, daca k este mic, se pot considera toate posibilitățile de grupare a căte două coloane(în număr de k(k-l)). Se verifică dacă ele formează impreună un texl corect, numărând frecvențele literelor și comparându-le cu cele statistice . Perechea cu cea mai bună potrivire se considerî corect poziționată. Apoi se încearcă, dupa acelasi principiu, determinarea coloanei succesoare perechii din coloanele rămase iar, apoi, a coloanei predecesoare. In urma acestor operații, există șanse mari ca textul sa devină recognoscibil.
Unele proceduri de criptare acceptă blocuri de lungime fixă la intrări și generează tot un bloc de lungime fixă. Aceste cifruri pot fi descifrate complet prin lista care definește ordinea în care caracterele vor fi trimise la ieșire (șirul pozițiilor din textul de intrare pentru fiecare caracter din succesiunea generată).
Problema construirii unui cifru imposibil de spart i-a preocupat indelung pe criptanaliști; ei au dat o rezolvare teoretică simplă înca de acum câteva decenii, dar metoda nu s-a dovedit fiabilă din punct de vedere practic, după cum se va vedea în continuare.
Tehnica propusă presupune alegerea unui sir aleator de biți pe post de cheie și aducerea textului sursă în forma unei succesiuni de biți, prin înlocuirea fiecărui caracter cu codul sau ASCII. Apoi se aplică o operație logică-de tip "sau exclusiv" (operafia inversă echivalentei: 0 xor 0 = 0,0 xor 1 = 1,1 xor 0=1,1 xor 1 = 0) între cele două șiruri de biți. Textul cifrat rezultat nu poate fi spart, pentru că nu există indicii asupra textului sursă și nici textul cifrat nu oferă informații criptanalistului. Pentru un eșantion de text cifrat suficient de mare, orice literă sau grup de litere (diftong, triftong) va apărea la fel de des.
Acest procedeu este cunoscut sub numele de metoda cheilor acoperitoare. Deși este perfectă din punct de vedere teoretic, metoda are, din pacate câteva dezavantaje practice:
cheia nu poate fi memorată, astfel încât transmițătorul și receptorul să poarte câte o copie scrisă a ei, fiindca, în caz că ar fi "capturți", adversarul ar obține cheia;
cantitatea totală de date care poate fi transmisă este determinată de dimensiunea cheii disponibile;
nesincronizare a transmițătorului și receptorului care generează o pierdere sau o inserare de caractere poate compromite întreaga transmisie, fiindcă toate datele ulterioare incidentului vor apărea ca eronate .
Societatea umană cunoaște în momentul de față una din cele mai profunde transformări din întreaga ei existență și anume transferarea activităților obișnuite în alt spațiu, așa numitul Cyberspace, care înlătură frontierele, noțiunea de distanță și aduce flexibilitate ,rapiditate și eficiență. Astăzi putem vorbi de accesul la distanță a resurselor informaționale,de contracte încheiate între persoane care nu se cunosc față în față, sisteme electronice de plăti , sisteme de transfer de fonduri și de comerț electronic prin rețele etc. Toate aceste servicii și încă alte sute de acest fel, au început să fie o realitate a celui mai mare și mai impresionant mediu de comunicații între oameni care a devenit Internet-ul. Internetul este o structură complexă de rețele de calculatoare , la care se pot conecta un numãr mare și uneori necontrolat de calculatoare. Complexitatea arhitecturalã și distribuția topologicã a rețelelor conduc la o mãrire necontrolatã a mulțimii utilizatorilor cu acces nemijlocit la resursele rețelei – fișiere, baze de date, rutere etc. de aceea putem vorbi de o vulnerabilitate a rețelelor ce se manifestã pe variate planuri. De aceea un aspect crucial al rețelelor de calculatoare, în special al comunicaților pe Internet, îl constituie securitatea informațiilor. Apare deci necesitatea identificării utilizatorilor situați la mari distanțe și de asemenea nevoia de securitate și de autenticitate, la toate nivelele arhitecturale ale retelelor. La nivel înalt, utilizatorii vor sã se asigure cã posta electronicã, de exemplu, sosește chiar de la persoana care pretinde a fi expeditorul. Uneori utilizatorii, mai ales când acționeazã în numele unor firme, doresc asigurarea caracterului confidential al mesajelor transmise. În tranzacțiile financiare, alãturi de autenticitate si confidențialitate, un loc de mare importanțã îl are și integritatea mesajelor, ceea ce înseamnã cã mesajul recepționat nu a fost alterat în timpul tranziției prin retea. În tranzacțiile de afaceri este foarte important ca odatã recepționatã o comandã, aceasta sã fie nu numai autenticã, cu continut nemodificat, dar sã nu existe posibilitatea ca expeditorul sã nu o mai recunoascã, adicã sã se respecte proprietatea de nerepudiere.
Din problemele menționate de asigurare a securității informației se poate de evidențiat și problema de transfer instant de fișiere și mesaje în sisteme distribuite de informații cu asigurarea securității. În scopul rezolvării acestei probleme în lucrarea dată se analizează sistemele criptografice existente și se propune un sistem criptografic hibrid care crează canale criptografiate de comunicație și implementează o infrastructură locală(autonomă) de certificate digitale necesare protocolului de autentificare a entităților și schimbului cheilor de criptare.
4. Sisteme criptografice
Criptografia este un set de standarde și protocoale pentru codificarea datelor și mesajelor, astfel încât acestea să poată fi stocate și transmise mai sigur. Ea stă la baza multor servicii și mecanisme de securitate folosite în INTERNET, folosind metode matematice pentru transformarea datelor, în intenția de a ascunde conținutul lor sau de a le proteja împotriva modificării. Criptografia vă ajută să aveți comunicații mai sigure, chiar și atunci cînd mediul de transmitere (de exemplu, Internetul) nu este de încredere. De asemenea, se poate utiliza pentru criptarea fișierelor sensibile, astfel ca probabilitatea de a fi înțelese de intruși să fie mai mică. Criptografia poate fi utilizată pentru a contribui la asigurarea integrității datelor, precum și la menținerea lor ca secrete. Criptografia vă ajută să verificați originea datelor și a mesajelor prin utilizarea semnăturilor digitale și a certificatelor. Cînd utilizați metode criptografice, cheile criptografice trebuie să rămână secrete. Algoritmii, dimensiunea cheilor și formatele de fișiere pot fi făcute publice fără a compromite securitatea.
Scopul de bază al criptografiei
Din cele expuse mai sus se poate evidenția următoarele cerințe față de criptografia modernă:
1. Confidențialitate – asigurarea ca nimeni nu poate citi mesajul cu exceptia destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către persoane neautorizate. Prin manipularea datelor înțelegem procese cum ar fi inserții, întârzieri sau substituiri.
3. Autentificarea – presupune posibilitatea de identificare a sursei informației și a entității (o
persoană, un terminal de computer, o carte de credit).
4. Non-repudierea – care previne negarea unor angajamente sau acțiuni anterioare.
Deci criptografia trebuie să acopere în mod corespunzător aceste patru direcții atît în teorie cît și în practică. Ea trebuie să prevină și să detecteze furtul și alte acțiuni ilegale, fiind doar una din tehnicile de asigurare a securității informației.
Există două tipuri de sisteme criptografice:
• simetrice (cu cheie secretă) care folosesc aceeași cheie, atît la cifrarea cît și la descifrarea mesajelor;
• asimetrice (cu chei publice) care folosesc chei distincte de cifrare și descifrare (dar legate una de alta).
Din punct de vedere algoritmic și al domeniului de aplicare criptografia poate fi divizată în patru primitive criptografice:
a) algoritmi criptografici cu cheie secretă;
b) algoritmi criptografici cu chei publice;
c) semnătură digitală
Pentru a crea un sistem criptografic care va rezolva problemele securității informaționale sigur și eficient este nevoie de folosit primitivele criptografice în grup după cerințe.
Un sistem criptografic (criptosistem) este compus din:
• M-text clar;
• C-text cifrat;
• 2 functii inverse E() si D();
• un algoritm care produce cheile Ke si Kd astfel încat: și
Fig.1. Modul de funcționare a unui sistem criptografic.
Algoritmi criptografici cu cheie secretă(simetrici)
Pentru asigurarea confidențialității datelor memorate în calculatoare sau transmise prin rețele se folosesc preponderent algoritmi criptografici cu cheie secretă (simetrici). Ei se caracterizează prin aceea că ambii utilizatori ai algoritmului împart aceeași cheie secretă, folosită atît la cifrare cît și la descifrare. Cheia de criptare este necesar de păstrat în secret față de utilizatorii neautorizați, pentru că cel ce are acces la acestă cheie poate avea acces și la informația secretă. Algoritmii criptografici simetrici se caracterizează printr-o viteză de cifrare foarte mare, în comparație cu algoritmii criptografici asimetrici și sunt comozi la cifrarea blocurilor mari de informație. Securitatea acestui tip de algoritm depinde în mare măsură de lungimea cheii și posibilitatea de a o păstra în secret.
Problema principală ce apare la încercarea de a crea comunicații secrete între numeroși utilizatori este manegementul cheilor; pentru n utilizatori sunt posibile n(n-1)/2 legături bidirecționale, fiind necesare tot atîtea chei. Aceasta implică în general probleme dificile în generarea, distribuția și memorarea cheilor. Utilizarea calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari, sporindu-se astfel rezistenta la atacuri criptoanalitice. Cînd cheia secretă are o dimeniune convenabilă și este suficient de frecvent schimbată, devine practic imposibilă spargerea cifrului, chiar dacă se cunoaște algoritmul de cifrare.
Securitatea criptării simetrice depinde mult de protecția cheii criptografice. Ca urmare, administrarea acestora este un factor esențial și se referă la:
– generarea cheilor, adică mijloacele (pseudo)aleatoare de creare a succesiunii de octeți (biți) ai cheii;
– distribuția cheilor, adică modul în care se transmit și se fac cunoscute cheile tuturor utilizatorilor cu drept de acces la informațiile criptate;
– memorarea cheilor, adică stocarea lor sigură pe un suport magnetic sau pe un card, de obicei criptate sub o altă cheie de cifrare a cheilor, numită și cheie master.
Problema fundamentală a utilizării criptografiei în rețele este aceea a găsirii unor modalități de distribuție sigură și periodică a cheilor criptografice, fiind necesar ca acestea să fie schimbate cît mai des. În Internet, pentru aceasta, se utilizează tot serviciile rețelei, folosind protocoale speciale sau sisteme cu chei publice, așa numitele anvelope (plicuri) digitale.
Cei mai cunoscuți algoritmi criptografici simetrici sunt:
a) cifruri bloc
b) DES (Data Encryption Standard), Triple DES
c) IDEA (International Data Encryption Algorithm)
d) AES(Advanced Encryption Standard)
e) cifruri secvențiale
f) RC4
Algoritmi criptografici cu chei publice(asimetrice)
O nouă privire asupra sistemelor criptografice a adus-o algoritmii criptografici asimetrici(cu chei publice). Acești algoritmi se caracterizează prin aceea, că la criptare și decriptare se folosesc chei diferite, legate între ele printr-o relație matematică. Acest tip de relație este de o așa natură, că cunoscînd o cheie să o determini pe cealaltă, din punct de vedere computațional, este foarte greu.
Astfel dacă criptăm cu prima cheie vom putea decripta doar cu cea de adoua și invers. În acest fel pentru transmitere de informații secrete una dintre chei(de exemplu cea de criptare) se poate de făcut publică, pe cînd cealaltă să fie ținută în secret. Dacă de făcut cheia de descifrare publică, atunci pe baza acestui sistem se poate de creat un sistem de autentificare.
Din cele expuse aici se pot evidenția două direcții de utilizare a criptosistemelor asimetrice:
a) de confidențialitate, se face publică cheia publică și astfel cel care dorește să trimită date confidențiale proprietarului cheii publice va cripta aceste date cu acestă cheie, știind că doar prorietarul le va putea decripta.
b) de autentificare atît a emițătorului cît și a datelor, emițătorul criptează datele cu cheia sa secretă, iar cel ce va dori să autentifice datele va folosi la decriptare cheia pereche(cea făcută publică)
Chiar dacă criptosistemul asimetric este destul de puternic, vom avea nevoie ca lungimea cheii să fie de minimum 2304 biți pentru a oferi un nivel de securitate comparabil cu cel oferit de o cheie de 128 biți în criptosistemul simetric. Criptosistemele asimetrice sunt cu mult mai lente la criptare/decriptare și sunt nepractice la criptarea volumelor mari de informații.
Criptosistemele simetrice sunt de aproximativ 1000 de ori mai rapide ca cele asimetrice, deaceea criptosistemele asimetrice cel mai des se folosesc în următoarele scopuri de bază:
a) la distribuția cheilor, care se folosesc la algoritmii simetrici de criptare
b) semnătura digitală, un atribut al unui utilizator, folosită pentru recunoașterea acestuia.
Cele mai întrebuințate criptosisteme asimetrice sunt următoarele:
a) RSA(Rivest-Shamir-Adleman)
b) EG(El Gamal)
c) ECC(Elliptical Curve Cryptography)
Viitorul criptării datelor
În zilele noastre, tehnica criptării informației este puternică atât cât este necesar.Orice metodă de criptate poate fi întărită prin mărirea numărului de biți ai cheii de criptare. Multe din metodele dezvoltate îsi vor găsi, probabil , utilizarea în tehnica de stocare și comunicare a informației.Cele mai importatnte în momentul de față par a fi criptarea eliptică, cea vocală (deja disponibilă liber prin Internet ), criptografia bazată pe haos, criptografia cuantică și cea moleculară sau ADN . Puține microprocesoare au fost proiectate pentru a rula intern un algoritm de criptare . Toate calculatoarele personale pot îndeplinii cerințe hardware și software ale programelor moderne de criptare, în schimb majoritatea dispozitivelor portabile de tip Palm , PDA nu pot .Pentru aceasta a fost dezvoltată o nouă clasă de algoritmi, cunoscută drept criptare eliptică, ce folosește o cheie mai redusă și aritmetica facilă pentru microprocesorul de mai mică putere .Odată cu creșterea traficului audio de telefonie prin Internet , a început să se dezvolte o nouă tehnologie: acea a criptării vocale. Cu un software adegvat, oricine poate astăzi să poarte convorbiri complet codificate cu un alt utilizator www. Poate cel mai performant software din acest domeniu este SpeakFreely, disponibil gratuit pe www.speakfreely.org. Unele servicii de ,,voice-over-the-Internet” nu oferă criptare, totuși. De aceea , ele ruleză date prin serverele companiei ce le oferă serviciile , slăbind astfel sistemul de securitate .
Anexa nr.1
ANGAJAMENT DE CONFIDENȚIALITATE
Subsemnatul…………………………, născut în localitatea………………………,
la data de……………….., fiul (fiica) lui…………………… și al(a)……………………,
angajat la…………………, în funcția de…………………………, cu domiciliul în localitatea………………, strada……………………, nr……., bl………, sc…, ap…….,
județul/sectorul…………………, posesor al *)……………………………………………………….. cu seria……., nr…………, declar că am luat cunoștință de dispozițiile legale cu privire la protecția informațiilor clasificate și mă angajez să păstrez cu strictețe secretul de stat și de serviciu, să respect întocmai normele legale cu privire la evidența, manipularea și păstrarea informațiilor, datelor și documentelor secrete de stat și de serviciu ce mi-au fost încredințate, inclusiv după încetarea activităților care presupun accesul la aceste informații.
Sunt conștient că în cazul în care voi încălca prevederile normative privind protecția informațiilor clasificate voi răspunde, potrivit legii, administrativ, disciplinar, material, civil ori penal, în raport cu gravitatea faptei.
Data……………
Semnătura
………………………………..
DAT ÎN PREZENȚA
……………………………………………
(numele și prenumele funcționarului de securitate)
Semnătura
…………………………….
*) se nominalizează tipul certificatului de securitate/autorizației de acces
FIȘA DE PREGĂTIRE INDIVIDUALĂ
NUME:
PRENUME:
COMPARTIMENT:
FUNCȚIE:
ANTET Anexa nr. 3 (instituția/agentul economic)
Nr. __________ din __________
CLASIFICAREA
(după completare, în funcție de nivelul maxim
de clasificare a informațiilor pe care le cuprinde)
APROB
(funcția, (funcția, numele și prenumele
economic, semnătura și ștampila)a)
conducătorului instituției/agentului
Programul de prevenire a scurgerii de informații clasificate,
al _________________________
(unitatea care îl întocmește)
CAPITOLUL I
BAZA LEGALĂ
Se va menționa cadrul normativ care a stat la baza întocmirii programului.
CAPITOLUL II
GENERALITĂȚI
Se va face o scurtă prezentare a instituției/agentului economic, sucursalelor și filialelor. Vor fi prezentate elementele de concretizare a identității, statutului juridic, obiectul de activitate.
OBIECTIVE
Vor fi prezentate obiectivele urmărite prin măsurile prezentate în program.
Vor fi vizate următoarele obiective minimale:
– apărarea informațiilor clasificate împotriva acțiunilor de compromitere, sabotaj, sustragere, distrugere neautorizată sau alterare;
– prevenirea accesului neautorizat la astfel de informații, a cunoașterii și diseminării lor ilegale;
– înlăturarea riscurilor și vulnerabilităților ce pot pune în pericol protecția informațiilor clasificate;
– asigurarea cadrului procedural necesar protecției informațiilor clasificate.
PRINCIPII
Se precizează principiile care stau la baza măsurilor adoptate pentru protecția informațiilor clasificate:
autorizarea accesului la informațiile clasificate absolut necesare îndeplinirii atribuțiilor de serviciu (principiul “necesitatea de a cunoaște”);
asigurarea aplicării măsurilor de protecție, în mod diferențiat, pe zone de securitate și în funcție de nivelurile de acces la informații clasificate;
accesul la informații clasificate este permis numai în baza verificărilor și abilitărilor legale;
aplicarea, în mod obligatoriu și unitar, a măsurilor de protecție: în locurile în care se depozitează informațiile clasificate; a persoanelor care au acces la acestea și utilizatorilor rețelelor respective;
răspunderea personală privind aplicarea măsurilor de protecție stipulate prin Programul de prevenire a scurgerii de informațiilor clasificate.
CAPITOLUL III
ELEMENTE GENERALE PRIVIND INFORMAȚIILE CLASIFICATE DEȚINUTE INSTITUȚIA
Se fac precizări privind clasele sau nivelurile de secretizare a informațiilor deținute Instituția /Agentul economic
Cele primite de la alți emitenți se va menționa baza juridică a deținerii, respectiv tipul contractului și dacă s-au asumat obligații de protejare a secretului prin încheierea de acorduri între părți.
LISTA INFORMAȚIILOR CLASIFICATE DEȚINUTE DE UNITATEA ÎN CAUZĂ (DOCUMENTE, OBIECTE SAU ACTIVITĂȚI, INDIFERENT DE FORMĂ SAU SUPORT), PE CLASE SAU NIVELURI DE SECRETIZARE
Se întocmește lista cuprinzând informațiile clasificate, pe care le dețin, pe clase sau niveluri de secretizare.
Lista se actualizează ori de câte ori situația o impune.
LOCURI UNDE SE CONCENTREAZĂ, DE REGULĂ ORI TEMPORAR, INFORMAȚII CLASIFICATE SAU SE DESFĂȘOARĂ ACTIVITĂȚI CU CONȚINUT CLASIFICAT
Se enumeră și localizează:
spațiile destinate gestionării documentelor clasificate;
alte locuri unde se gestionează informații clasificate sau se desfășoară activități temporare cu conținut clasificat.
CAPITOLUL IV
1LISTA FUNCȚIILOR CARE NECESITĂ ACCES LA INFORMAȚII CLASIFICATE
Se precizează funcțiile care necesită accesarea informațiilor clasificate, pe clase sau niveluri de secretizare, cu respectarea strictă a principiului “necesitatea de a cunoaște”.
2. PREZENTAREA STRUCTURII DE SECURITATE
(1) Pentru fiecare persoană în parte, se precizează:
gradul, numele și prenumele;
datele de identificare (prenumele părinților, nume anterioare, data și locul nașterii, locul de muncă, domiciliul, telefonul).
(2) Atribuțiile și competențele privind asigurarea protecției informațiilor clasificate.
(3) Nominalizarea se face de către comandantul instituției respective, situația fiind prezentată pe niveluri de acces, care se acordă numai în urma obținerii abilitării.
PREZENTAREA PERSOANELOR CARE AU SAU URMEAZĂ SĂ AIBĂ ACCES LA INFORMAȚII CLASIFICATE, PE CLASE SAU NIVELURI DE SECRETIZARE
Se întocmește lista cu persoanele care au sau urmează să aibă acces la informații clasificate, nominalizate de către conducătorul instituției (inclusiv cele care lucrează în sistemul informatic și de telecomunicații, destinat preluării, prelucrării, stocării și transmiterii de informații clasificate).
Numărul persoanelor nominalizate în listă este cel mult egal cu cel al funcțiilor ce necesită acces la informațiile clasificate.
Se întocmește, de asemenea, lista cu persoanele cărora li se acordă acces temporar la informații clasificate din cadrul sau din afara unității militare (inclusiv cele aparținând firmelor prestatoare de servicii), care sunt avizate corespunzător nivelului cel mai înalt de secretizare al informațiilor la care urmează să aibă acces.
Listele menționate la alineatele precedente sunt actualizate, cu îndeplinirea procedurilor legale de avizare, în raport de necesități (extinderea sau limitarea accesului unor persoane la informațiile clasificate, în funcție de modificarea atribuțiilor de serviciu).
Accesul la informații clasificate este permis numai după obținerea abilitării.
Pentru fiecare persoană nominalizată sunt precizate: informațiile clasificate care îi sunt absolut necesare îndeplinirii atribuțiilor de serviciu, cu precizarea clasei sau nivelului de secretizare a acestora.
4.MĂSURI DE PROTECȚIE FIZICĂ A CLĂDIRILOR, SPAȚIILOR,
LOCURILOR UNDE SE GESTIONEAZĂ INFORMAȚII CLASIFICATE ORI SE DESFĂȘOARĂ ACTIVITĂȚI CLASIFICATE
Se enumeră măsurile adoptate referitoare la:
securitatea perimetrală;
controlul accesului;
paza;
zonele de securitate, administrative și asigurate tehnic, încăperile de securitate;
containerele de securitate;
încuietorile, controlul cheilor și combinațiilor;
protecția fizică a copiatoarelor și dispozitivelor telefax;
planurile pentru situațiile de urgență;
Notă: elementele enumerate se detaliază în Planul de protecție fizică.
5. MĂSURI PROCEDURALE DE PROTECȚIE A, DATELOR INFORMAȚIILOR CLASIFICATE ȘI A DOCUMENTELOR CU UN ASTFEL DE CONȚINUT
Sunt enumerate:
regulile de ordine interioară stabilite de conducătorul instituției, în domeniul protecției fizice;
reguli de acces pentru personalul propriu;
reguli de acces pentru persoanele din afara instituției, inclusiv pentru străini și reprezentanții mass-media.
CAPITOLUL VI
PREZENTAREA SISTEMULUI / SUBSISTEMELOR INFORMATICE ȘI DE TELECOMUNICAȚII DESTINATE PRELUĂRII, PRELUCRĂRII, STOCĂRII ȘI TRANSMITERII DE DATE ȘI INFORMAȚII CLASIFICATE
Sunt prezentate echipamentele de comunicații și birotică (telefoane, telefax, teleimprimatoare, copiatoare etc.) prin care se transmit / prelucrează informații clasificate.
Este prezentat, de asemenea, echipamentul informatic existent, calculatoarele conectate la Internet, sistemele de protecție utilizate și firma prestatoare de servicii pentru întreținerea sau instalarea programelor (conform normelor INFOSEC).
În situația în care unele dintre aceste echipamente nu sunt protejate corespunzător, se prezintă măsurile stabilite în scopul interzicerii folosirii acestora pentru preluarea, prelucrarea, stocarea, transmiterea informațiilor clasificate.
CAPITOLUL VII
PROTECȚIA ÎMPOTRIVA OBSERVĂRII ȘI ASCULTĂRII
Lista încăperilor asigurate tehnic apobată de conducătorul instituției.
CAPITOLUL VIII
CONTROALE, ACTIVITĂȚI DE ANALIZĂ ȘI EVALUARE A MODULUI ÎN CARE SE RESPECTĂ PREVEDERILE LEGALE REFERITOARE LA PROTECȚIA INFORMAȚIILOR CLASIFICATE
Se prezentă tematica și periodicitatea controalelor (inopinate, periodice), cine le execută, documentele ce se întocmesc și sancțiunile ce se aplică în cazurile de încălcare a reglementărilor privind protecția informațiilor clasificate.
Se întocmește planificarea activităților de evaluare și analiză a stării de protecție a informațiilor clasificate.
Se prevede ca, după încheierea verificării anuală a existenței documentelor clasificate, să se analizeze și evalueze modul în care au fost respectate prevederile planului, prevăzându-se și măsurile care se impun și termenele de remediere a unor nereguli constatate.
SOLUȚIONAREA INCIDENTELOR DE SECURITATE ȘI A CAZURILOR DE ÎNCĂLCARE A REGLEMENTĂRILOR PRIVIND PROTECȚIA INFORMAȚIILOR CLASIFICATE
Se fac referiri la :
măsurile ce se iau în cazul constatării unor incidente de securitate și/sau a încălcării reglementărilor privind protecția informațiilor clasificate;
evidența incidentelor de securitate și/sau a încălcărilor reglementărilor de securitate;
evidența comunicării incidentelor de securitate și a compromiterilor, la structura de securitate superioară;
evidența documentelor clasificate pierdute sau distruse.
CAPITOLUL IX
MĂSURI DE INSTRUIRE ȘI EDUCAȚIE PROTECTIVĂ A PERSOANELOR CARE AU ATRIBUȚII PE LINIA PROTECȚIEI INFORMAȚIILOR CLASIFICATE ȘI A CELOR CARE AU ACCES LA ASTFEL DE INFORMAȚII
Se atașează planul specific de pregătire a personalului, elaborat la începutul fiecărui an. În conținutul acestuia se menționează tematica, responsabilitățile, termenele, mijloacele și metodele de instruire și educație protectivă.
Funcționarul de securitate ține evidența instruirilor / activităților de educație protectivă și asigură pregătirea tuturor persoanelor avizate pentru acces la informații clasificate, care nu au participat la instruirile organizate.
ȘEFUL STRUCTURII DE SECURITATE
(prenumele ,numele și semnăturafuncționarului de securitate)
Notă:
Răspunderea pentru întocmirea, înaintarea spre avizare, aprobarea și aplicarea Programului de prevenire a scurgerii de informații clasificate, revine comandantului unității militare deținătoare.
Programul de prevenire a scurgerii de informații clasificate se actualizează anual sau ori de câte ori se impune (atunci când se identifică noi amenințări, vulnerabilități și riscuri; în urma apariției unor noi situații sau acte normative etc.), modificările efectuate aducându-se de fiecare dată la cunoștința structurii abilitate, unde se transmite sub formă de completare, pentru a fi avizată.
Programul (inclusiv planurile de protecție fizică anexate programului) se întocmește în 2 exemplare: unul la beneficiar , celălalt la structura de securitate abilitată
Anexa nr.4
MĂSURI MINIME OBLIGATORII PENTRU
PROTECȚIA FIZICĂ A LOCURILOR/INCINTELOR ÎN CARE SE PĂSTREAZĂ INFORMAȚIILOR CLASIFICATE
Seria Nr *
BORDEROU NR._____
Ziua____Luna___Anul____
AM PREDAT AM PRIMIT
______ _______
(gradul) (gradul) __________________ _________________ (prenumele și numele) (prenumele și numele)
(semnătura) (semnătura)
NOTĂ: Formularul este înseriat, având atribuită aceeași serie la câte două file .
CERTIFICAT DE CURIER NR.____ DIN ___________
PENTRU TRANSPORTUL DOCUMENTELOR
Certificăm prin prezenta că delegatul:
Domnul/Doamna:_________________________________
Născut la data: ___/___/______, în ___________________
Carte de identitate /legitimație militară seria___ nr.______
Împuternicit prin :_________________________________
Însoțitor:
Domnul/Doamna:_________________________________
Născut la data: ___/___/______, în ___________________
Carte de identitate/legitimație militară seria___ nr.______
Împuternicit prin:__________________________________
este autorizat să transporte următoarele documente :
ITINERAR:
De la (expeditor):_______________________________
La (destinatar): _________________________________
Prin: _________________________________________
Puncte de oprire:
1._______________________________________
2._______________________________________
3._______________________________________
4._______________________________________
5._______________________________________
Data și ora începerii misiunii: ____/____/_______/ ____/___
Data și ora încheierii misiunii: ____/____/_______/ ____/___
COMANDANTUL _______________
(denumirea unității)
______ ȘEFUL STRUCTURII DE SECURITATE
(gradul) ______
__________________ (gradul)
(prenumele și numele) __________________
(ștampila unității) (prenumele și numele)
………………………………………………………………………………………
Declar pe propria răspundere că, am luat la cunoștință itinerarul de deplasare și am fost instruit privind misiunea ce mi s-a încredințat.
Semnătura curierului: ___________________________
Semnătura însoțitorului: _________________________
DELEGAȚIE DE CURIER
Prin prezenta, împuternicim pe domnul ………………, posesor al autorizației de acces Seria……….. nr. ……………., să execute transportul, predarea și primirea corespondenței clasificate, din clasa _______, nivelul …………
Se legitimează cu carte de identitate/legitimația militară seria___ nr.________ .
Specimen de semnătură__________
COMANDANTUL U.M. ………
Anexa nr.8
APROB
COMANDANTUL U.M 02933
PROCES VERBAL DE TESTARE A PIEȚEI
PENTRU CUMPĂRAREA DIRECTĂ A MATERIALELOR DE
COMUNICATII SI INFORMATICA
Noi, comisia unității 240 / 10.12.2007, compusă din președinte: Costache Ionel membri: Grigore Vasile , si Ionescu Viorel, am efectuat testarea pieței în perioada 21.05. -27.05.200 în vederea achiziționării a pieselor pentru sistem integrat de securitate, prin solicitare de oferte de la următoarele societăți:
După compararea prețurilor ofertate de către societățile comerciale mai sus menționate, propunem ca achiziția să se facă de la S.C. BETA S.R.L. Constanța, deoarece a prezentat oferta financiară cea mai avantajoasă pentru autoritatea contractantă.
Drept urmare am încheiat prezentul proces verbal într-un singur exemplar.
VĂZUT
PREȘEDINTE :
Costache Ionel
MEMBRI:
Grigore Vasile
Ionescu Viorel
Anexa nr.9
S.C BETA S.R.L Beneficiar U.M 0XXXX
Constanța
CUI073421XXX
Cont RO 9XXBRD 1408463xxx-BRD Constanța
Deviz nr.12456-04 din 27.05.2009
________________________________________________________________
INSTALARE SISTEM INTEGRAT DE SECURITATE
Manopera:
Materiale:
S.C BETA S.R.L U.M 0XXXX
_______________________ ___________________________
Bibliografie
1. D.E. Denning, Information Warfare and Security, Addison-Wesley, Reading, Massachusetts, 1999
2. D. Dragomir „Război informațional agresiv asupra sistemului bancar”, Cotidianul, 29 mai 2004
M. Howard, D. LeBlanc, Writing Secure Code, 2nd Edition, Microsoft Press, Redmond, Washington, 2003
M. Igbaria, M. Anandarajan, C.C.-H Chen, „Global Information Systems”, in Encyclopedia of Information Systems, Academic Press, San Diego, CA, 2003, vol. 2, pp. 443-458
W. Schwartan, Information Warfare, 2nd edition, Thunder’s Mouth Press, New York, 1996
„Securing the Cloud. A Survey of Digital Security”, in The Economist, October 26th-November 1st, 2002, Volume 365, Number 8296
Strategia de securitate Națională a României, www.mapn.ro/ strategia securitate
Legea 182/2002 privind protecția informațiilor clasificate, însoțită de Hotărârea de Guvern 585/2002 pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România;
Sergiu T. Medar ,,Capabilitați ale serviciilor moderne de informații militare , Editura Centrului tehnic – editorial al Armatei , București 2007
Oprea D, Airinei D, Foteche M(coord) ,,Sisteme informațice pentru afaceri” Editura Polirom Iași ,2002
Oprea D ,,Protecția informațiilor clasificate “ ed II , editura Polirom Iași 2007
Hotărârea de Guvern 781/2002 privind protecția informațiilor secrete de serviciu;
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Metode și Mijloace Moderne de Protecție a Informațiilor în Sistemele de Comunicații Specifice Serviciilor de Informații Militare Infosec (ID: 118303)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.