Responsabilitati In Domeniul Securitatii Informatiilor Clasificate
LUCRARE DE LICENȚĂ
LUCRARE DE LICENȚĂ
TEMA: ”RESPONSABILITĂȚI ÎN DOMENIUL SECURITĂȚII INFORMAȚIILOR CLASIFICATE”
REFERAT DE APRECIERE
a lucrării de licență
1. Numele și prenumele absolventului:
______________________________________________________________
2. Domeniul de studii:
______________________________________________________________
3. Programul de studii universitare de licență:
______________________________________________________________
4. Tema lucrării de licență:
______________________________________________________________
________________________________________________________________
________________________________________________________________
5. Aprecieri asupra conținutului teoretic al lucrării de licență (se marchează cu X):
6. Aprecieri asuprapărții practic-aplicativea lucrării de licență (se marchează cu X):
7. Aprecieri privind redactarea lucrării de licență:
8. Considerații finale:
________________________________________________________________
________________________________________________________________
________________________________________________________________
Apreciez lucrarea de licență cu nota _____________ și o recomand
pentru a fi susținută în prezența comisiei examenului de licență.
Data Conducător științific
CUPRINS
INTRODUCERE
CAPITOLUL I : SECURITATEA INFORMAȚIILOR – FUNCȚII ȘI DIMENSIUNI
Funcțiile securității informațiilor
Dimensiunile securității informațiilor
CAPITOLUL II : RESPONSABILITĂȚI ÎN DOMENIUL INFORMAȚIILOR CLASIFICATE
Concepte de bază ale organizării securității informațiilor clasificate
Elemente structurale si funcționale ale domeniului securității informațiilor clasificate
Responsabilități la nivel național si departamental ale ADS-urilor
Responsabilități departamentale în domeniul securității informațiilor clasificate
Responsabilități pe linia securității informațiilor clasificate în cadrul Alianței Nord-Atlantice și Uniunii Europene
CAPITOLUL III : PARTEA PRACTIC-APLICATIVĂ
CONCLUZII
LISTA ABREVIERILOR
ANEXE
BIBLIOGRAFIE
1.INTRODUCERE
În prezent, dependența de informație este tot mai mare, chiar periculoasă, ceea ce creează facilități deosebite, dar și riscuri determinate de vulnerabilitățile sistemului și amenințările interne și externe.
Sunt state care depind total de informațiile oferite de componentele spațiului cibernetic național. Blocarea acestuia timp de câteva ore poate să conducă la instaurarea haosului în țara respectivă, afectând, în bună măsură, nu numai securitatea națională, ci și securitatea sistemului informațional global planetar.
Atentatele din ultimii ani au confirmat faptul că o dată cu dezvoltarea tehnologiilor militare, biologice, a sistemelor informatice și de comunicații prin satelit, a rețelelor informaționale computerizate, a activizării tendințelor separatiste și extremiste cu caracter religios, a transferului de droguri și crimei organizate, întreaga civilizație a devenit vulnerabilă.
Așadar, în prezent, aproape că nu mai există comunicații nemonitorizate, nu mai există conturi și operații bancare cu adevărat secrete, nu mai există mijloace care să asigure o protecție totală a activității societății, iar statele acționează pentru adoptarea de măsuri împotriva a tot ce reprezintă amenințări și riscuri la adresa păcii, securității și stabilității internaționale.
Începutul de mileniu este dominat de preocuparea omenirii de a folosi eficient și de a dezvolta tehnologiile informaționale, concomitent cu adoptarea celor mai eficiente măsuri de contracarare a accesării ilegale a bazelor de date, activitate percepută ca o nouă amenințare la adresa păcii și securității internaționale, în fața căreia sunt vulnerabile chiar și sistemele electronice ale celor mai avansate țări din punct de vedere tehnologic.
Din studiile analiștilor și ale specialiștilor în domeniu rezultă că securitatea sistemelor informaționale este permanent supusă unor amenințări specifice, precum:
accesul neautorizat în bazele de date ale sistemelor de decizie și de control pentru extragerea, introducerea de date, denaturarea, modificarea sau falsificarea informațiilor;
colectarea de informații prin captarea și analizarea semnalelor sau a radiațiilor electromagnetice purtătoare de informații utile;
introducerea de software, premeditat, care să penetreze sau să ocolească sistemul de protecție și să determine sistemele de calcul și de comunicații (sistemele de armament) să lucreze altfel decât au fost programate (viruși, bombe logice, cai troieni malsoftware etc.);
acțiunile psihologice de inducere în eroare a personalului de deservire;
acțiunile de atac electronic, precum utilizarea armelor nonletale (acceleratoare de particule, impulsul electromagnetic nenuclear, radiații laser etc.), transmiterea de informații false (dezinformarea), bruierea sau distrugerea canalelor de comunicații etc.
2.CAPITOLUL I – SECURITATEA INFORMAȚIILOR – FUNCȚII ȘI DIMENSIUNI
2.1 Funcțiile securității informațiilor
1.Asigurarea confidențialității – presupune protecția unui canal de transmitere a fluxului informațional și a informației împotriva accesului și a dezvăluirii neautorizate. Prin confidențialitate se asigură accesul utilizatorilor numai la informațiile specificate în certificatul de securitate.
Accesul autorizat și oficial la informații pentru personalul instituției se materializează într-un certificat de securitate și în ,,nevoia de a cunoaște” (need to know), potrivit atribuțiilor postului din statul de organizare.
Prin serviciile de confidențialitate, datele și informațiile din rețelele de calculatoare și de comunicații nu vor fi accesate și nu vor fi disponibile decât pentru utilizatorii autorizați, chiar dacă aceste date sunt stocate pe servere sau stații de lucru, respectiv în tranzit prin rețea.
2. Asigurarea integrității – presupune păstrarea nealterată a informațiilor în fața unor amenințări de orice tip, ca acțiune a factorilor umani, tehnici sau naturali. Integritatea unui sistem informațional implică obligativitatea păstrării permanente a informațiilor stocate, procesate sau transmise, nealterate de factorii amenințători.
Integritatea se asigură prin utilizarea de mecanisme și produse specifice de securitate precum criptarea, semnătura digitală și a mecanismelor pentru detectarea accesului neautorizat.
În rețelele de comunicații, integritatea este abordată într-o formă specifică, denumită autenticitate, prin care se asigură verificarea originii datelor, determinarea stației de lucru și a utilizatorului și integrarea momentului în care s-a executat operațiunea.
Integritatea se asigură prin următoarele metode:
prevenirea acțiunilor de modificare a datelor sau programelor de către utilizatorii neautorizați;
prevenirea operării unor modificări neautorizate sau incorecte, efectuate de operatori autorizați;
menținerea nealterată a datelor și programelor.
3. Asigurarea disponibilității – reprezintă funcția care presupune garantarea accesului la informații și servicii și utilizarea acestora numai de către personalul autorizat.
Lipsa de disponibilitate se poate materializa în refuzul serviciului (denial of service) ori pierderea capacității de procesare a datelor, ca efect al unor catastrofe naturale (cutremure, inundații etc.), a accidentelor (incendii sau inundații provocate) ori a acțiunilor umane distructive.
Pentru asigurarea disponibilității sunt importante patru tipuri de măsuri: fizice, tehnice, administrative și personale:
măsurile fizice includ controlul accesului, sistemele de detecție-avertizare incendii și umiditate, instalațiile de restaurare a datelor din afara incintei de prelucrare a datelor;
măsurile tehnice includ mecanismele de toleranță la erori, comutările electronice pentru salvarea automată a datelor, aplicațiile pentru controlul accesului care să prevină întreruperea serviciilor de către persoane neautorizate;
măsurile administrative se adaugă la problemele ce țin de politicile de control al accesului și de procedurile de operare, planurile de intervenție pentru situațiile de urgență, pregătirea utilizatorilor;
pregătirea corespunzătoare a operatorilor, programatorilor și a personalului de securitate constituie o măsură deosebită, cu pondere în evitarea diferitelor situații de afectare a disponibilității.
4.Non-repudierea – presupune înlăturarea oricărei incertitudini privind sursa ori destinația unei transmiteri, prin utilizarea unei evidențe de încredere ce poate fi verificată independent pentru a stabili originea/destinația informației.
5. Auditul – reprezintă crearea și protejarea unor probe necesare în procesul de investigare a unor fapte generatoare de evenimente de securitate. Probele se pot concretiza în jurnale de activitate ce consemnează o serie de date precum: numele utilizatorilor, momentele de timp și acțiunile asociate.
6.Restaurarea – este funcția prin care informațiile și sistemele pot fi refăcute în cazul în care disponibilitatea acestora a fost afectată. Restaurarea reprezintă poate cea mai importantă funcție în cazul în care una sau mai multe funcții nu au fost îndeplinite cu succes.
Strategiile manageriale de prevenire, gestionare și depășire a crizelor impun, cu prioritate, măsuri de securitate a informațiilor militare, atât pentru a preîntâmpina agresiunile care preced sau amplifică stările de instabilitate, cât și pentru a asigura circulația normală și în siguranță a informațiilor necesare propriei conduceri.
Complexitatea acestor măsuri, eficacitatea lor, uneori greu de apreciat, dinamica situației și presiunea timpului, în mod deosebit a celui operativ, conferă specificitate și multidimensionalitate domeniului securității informațiilor.
Problematica securității informațiilor este deosebit de complexă și derivă din faptul că, nu întotdeauna, informațiile secrete prin natura lor pot fi corect și complet definite iar acest aspect se complică în cazul informațiilor care devin secrete prin extensie și care nu pot fi controlate decât în caz de conflict, prin cenzura militară.
Prima concluzie: securitatea informațiilor este domeniul care asigură funcționalitatea și operativitatea sistemelor informaționale (confidențialitatea, integritatea, disponibilitatea și non-repudierea datelor și informațiilor), apărarea structurilor din domeniul securității și siguranței naționale, a activităților specifice și ale personalului, îndeosebi ale factorilor decizionali, față de posibilele acțiuni de spionaj, terorism, sabotaj, divulgare neautorizată, subminare și orice fel de acțiuni distructive ce vizează sistemele informatice și de comunicații.
A doua concluzie: funcțiile securității informațiilor devin critice când abordăm domeniile securității naționale, întrucât neîndeplinirea oricăreia din acestea conduce la compromiterea informațiilor și neîndeplinirea misiunilor, având drept consecințe pierderea de vieți omenești, pagube materiale, precum și replanificarea sau efectuarea de misiuni suplimentare.
2.2 Dimensiunile securității informațiilor
În dimensionalitatea domeniului securității informațiilor din sfera socială a informației se înscriu, ca sub-sisteme în curs de definire și organizare, elemente care, la rândul lor, în opinia experților, dimensionează securitatea informațiilor: juridic, științific, economic, organizatoric, informațional, tehnic etc.
Prin urmare, o primă dimensiune analizată este cea juridică ce include legislația (legile, prevederile constituționale și doctrinare ce asigură cadrul juridic adecvat), instituțiile și autoritățile publice cu atribuții în domeniu, precum și standardele specifice, astfel:
legile organice, prevederile constituționale și doctrinare;
legea privind protecția informațiilor clasificate;
legea liberului acces la informații de interes public;
legea protecției informațiilor personale;
legea dreptului de procesare și de transmitere a informațiilor;
legea semnăturii digitale;
legea privind securitatea națională a statului;
codul penal;
Instituțiile și autoronează securitatea informațiilor: juridic, științific, economic, organizatoric, informațional, tehnic etc.
Prin urmare, o primă dimensiune analizată este cea juridică ce include legislația (legile, prevederile constituționale și doctrinare ce asigură cadrul juridic adecvat), instituțiile și autoritățile publice cu atribuții în domeniu, precum și standardele specifice, astfel:
legile organice, prevederile constituționale și doctrinare;
legea privind protecția informațiilor clasificate;
legea liberului acces la informații de interes public;
legea protecției informațiilor personale;
legea dreptului de procesare și de transmitere a informațiilor;
legea semnăturii digitale;
legea privind securitatea națională a statului;
codul penal;
Instituțiile și autoritățile publice, cu atribuții juridice în domeniul protecției informațiilor:
agențiile naționale de securitate;
instituțiile și serviciile de informații, contrainformații și securitate;
organele specializate ale autorităților publice;
organele de justiție;
Standardele, normativele, recomandările specifice:
pentru tehnologia informației și managementul protecției informațiilor;
de acces la informații și în obiective;
de clasificare a datelor și informațiilor;
de acreditare de securitate (personal, rețele de comunicații, calculatoare, sisteme de armament etc.);
sancțiuni și recomandări.
Legiuitorii acordă o atenție deosebită adaptării normelor în vigoare privind societatea informațională. De pildă, în spațiul Uniunii Europene se aplică, regulile de competență stabilite prin Convenția din 27 septembrie 1968 și ale Convenției asupra cyber-criminalității semnată la 23 martie 2001 la Budapesta de statele membre ale Consiliului Europei.
Prin aceste convenții s-au adoptat măsuri legislative referitoare la domeniul de aplicare a normelor, la condițiile de supraveghere și de conservare a datelor informatice stocate sau transmise, la modalitățile de procedură, verificare, confiscare și interpretare a datelor informatice, la competența și cooperarea internațională, inclusiv în domeniul extrădării.
De asemenea, globalizarea economică facilitată de noile tehnologii informaționale și de comunicații oferă oportunități de dezvoltare profitabilă piețelor informaționale internaționale, simultan cu lărgirea spectrului noilor activități infracționale care utilizează tehnologiile moderne, deschizând totodată și perspective inedite de acțiuni pentru rețelele de crimă organizată.
Complexitatea aspectelor juridice privind securitatea informațiilor este generată atât de particularitățile de manifestare a informației, cât și de implicațiile sociale ale acesteia, astfel:
informația ca valoare de patrimoniu național, dar care este supusă influenței și presiunii fluxului internațional de date ca urmare a fenomenului globalizării;
informația ca obiect de studiu cu valoare de tezaur și cu o dinamică remarcabilă;
informația ca suport tehnologic și promotor de tehnologii, care implică modificări substanțiale în baza materială de producție;
informația ca valoare și importanță sentimentală și care reprezintă cea mai pregnantă formă de manifestare a personalității umane;
informația deține o poziție prioritară în ciclul de reînnoire a bazei tehnologice a societății;
decalajul informațional dintre țări are implicații păgubitoare, uneori chiar mai semnificative decât decalajul industrial;
rolul hotărâtor al informației și al tehnologiilor informaționale în organizarea, conducerea și controlul proceselor, în corectarea calității serviciilor, dar și în viața privată a individului;
creșterea considerabilă a numărului răufăcătorilor, a delictelor informaționale;
pierderile materiale și morale deosebit de mari, uneori incalculabile, provocate de pirateria și criminalitatea informațională.
În prezent, specialiștii și juriștii procedează la definirea unor noi infracțiuni penale specifice în materie de fraudă informațională.
Plecând de la faptul că nu se poate face un control absolut, ci doar o limitare a amenințărilor, vulnerabilităților și a riscurilor, experții au declanșat o nouă ofensivă pentru perfecționarea legislației, întărirea rolului agențiilor de profil și perfecționarea produselor pentru depistarea delictelor informaționale și informatice.
Deși fenomenul infracționalității informaționale afectează majoritatea instituțiilor publice și private, cu consecințe de nebănuit, el capătă accente catastrofale când este vorba de siguranță și apărarea națională, unde sistemul informațional are importanță vitală în prelucrarea informațiilor și în asigurarea fundamentării deciziilor.
În ceea ce privește dimensiunea științifică se poate spune, cu certitudine, că securitatea informațiilor încă nu poate fi considerată o ramură științifică de sine stătătoare, dar tot atât de tranșant se poate afirma că este un domeniu interdisciplinar, în care se regăsesc aplicații ale teoriei informației, lingvisticii, matematicii, statisticii, electronicii și programării. Dacă adăugăm la acestea și domeniile teoriei probabilităților și a erorilor, metodele specifice criptologiei (criptografia și criptanaliza), metodele de analiză a canalelor de scurgere, de interceptare și de interpretare a radiațiilor și a semnalelor, avem o imagine clară a complexității acestui domeniu.
Așadar, dimensiunea științifică include cadrul cercetărilor teoretice, bazele matematice și tehnologia de realizare a echipamentelor, algoritmii și sistemele criptografice, precum și întreaga metodologie de apreciere a gradului de protecție.
În prezent, cercetările privind securitatea informațiilor ocupă un loc prioritar, atât în ceea ce privește selecționarea și concentrarea valorilor umane, cât și asigurarea fondurilor financiare. În ultimi ani și îndeosebi după 11 Septembrie 2001 numărul cercetătorilor și al cercetărilor din acest domeniu s-a dublat, iar fluxul datelor a crescut mai mult de 7%.
Agenții specializate, institute naționale sau ale armatei, companii, universități, laboratoare și societăți, private sau cu capital public, înzestrate cu aparatura și tehnologiile cele mai avansate și profesioniști deosebit de dotați, s-au angajat într-o vastă acțiune de realizare a programelor de protecție. Anual, în domeniul informațiilor și al criptologiei se organizează și se desfășoară o multitudine de activități (seminarii, conferințe, școli de vară, expoziții etc.), care dezbat probleme de actualitate și de perspectivă, se fac schimburi de opinii și se intră în relații, inclusiv de business. Aproape jumătate din angajații Agenției Naționale de Securitate (NSA) din SUA lucrează în cercetare.
În lume, cercetările din acest domeniu au fost orientate în următoarele direcții:
definirea concepției de protecție și de securitate;
modelele matematice pentru sisteme de protecție;
criptologia (criptografia și criptanaliza);
securitatea canalelor de comunicație;
atenuarea radiațiilor parazite purtătoare de informații utile ale mijloacelor radioelectronice;
criptarea transmiterilor de date;
securitatea suporților de informație și a datelor înregistrate;
securitatea sistemelor informatice și de armament, a rețelelor de calculatoare și a terminalelor;
metodologiile de evaluare a rezistenței și a eficacității măsurilor de protecție;
normele legislative.
Concomitent cu studiile si cercetările din ultimii ani care au perfecționat și modernizat domeniul protecției informațiilor, ca ramură prioritară a securității sistemelor din domeniul siguranței și apărării naționale, au continuat și atacurile încununate de succes, care demonstrează că securitatea nu poate fi absolută. Se impune ca cercetarea să își orienteze permanent direcțiile de aprofundare spre domeniul informațiilor, comunicațiilor și al sistemelor de armament, iar securitatea sistemelor să-și concentreze interesul către dimensiunea sa informațională.
În anul 2002, nouă din cele nouăsprezece state membre NATO, la acea dată, și-au sporit bugetul apărării, alocând fonduri importante pentru dezvoltarea tehnologiilor din domeniul protecției informaționale. Anual, Pentagonul prezintă un raport Congresului cu privire la ,,nota de plată” a cheltuielilor militare, însă un procent constant de 31%, numit ,,buget negru” destinat special siguranței naționale, rămâne necunoscut opiniei publice. Destinația acestor sume vizează proiecte de cercetare științifică și tehnologică din domeniul securității și siguranței, pe termen lung. De fapt, noua doctrină militară a SUA precizează că unul din cele șase obiective majore ale politicii de apărare este ,,securitatea sistemelor de informații și comunicații”, celelalte cinci obiective majore fiind: protejarea teritoriului național și a bazelor din străinătate; trimiterea de forțe în teatrele de operații; distrugerea sanctuarelor inamicului; dezvoltarea utilizării tehnologiei operaționale combinate în teren; împiedicarea accesului la spațiul și potențialul spațial național.
Fără îndoială că securitatea informațiilor are o dimensiune economică deoarece măsurile sunt foarte costisitoare și includ costul organizării, al echipamentelor și programelor specializate, al restricțiilor impuse, al personalului special instruit sau destinat protecției, al mijloacelor de alarmare, blocare, protecție și intervenție.
Prin urmare, dimensiunea economică reprezintă raportul dintre investițiile făcute pentru protecție și pagubele produse de un eventual eveniment de securitate (fraudă).
Diferite comisii guvernamentale din domeniul comunicațiilor și I.T. au realizat anchete privind pagubele provocate de accesul neautorizat la informații. Concluziile au fost uimitoare întrucât pagubele infracționale la nivelul anului 2001 erau cu 45-53% mai mari decât în 1976. Spre exemplu, în Canada în perioada 1995-1997, activitățile ilegale de fraude, corupție și spălare de bani s-au ridicat la 9 miliarde de dolari, iar în Franța a rezultat în anul 2002 o creștere spectaculoasă a fraudei financiare, cu peste 22% față de 2001, înregistrându-se peste 6.000 acte infracționale.
Guvernul rus semnala la nivelul anului 1995 comiterea a peste 300.000 infracțiuni economice, prin utilizarea cărților de credit false, falsificarea de documente electronice sau furturi prin rețelele băncilor.
Exemplele pot continua însă, important este că pentru a asigura încrederea în sistemele informaționale este necesar să se conștientizeze riscurile și să se adopte modalități eficiente pentru a le reduce. Acest deziderat se poate obține numai prin alocarea de fonduri pentru investiții în domeniul protecției informațiilor, atât pentru achiziționarea și implementarea de echipamente și produse de securitate, cât și pentru pregătirea specialiștilor și adoptarea de măsuri organizatorice de protecție.
Se poate afirma că asigurarea protecției informațiilor este o meserie, dar și o afacere. Meserie pentru că măsurile de protecție necesită un înalt grad de profesionalism și afacere pentru că aceasta nu poate fi realizată decât în cadrul unor limite rezonabile și suportabile de cost.
Ca orice afacere, asigurarea protecției informațiilor implică decizii de conducere în condiții de risc, prognozând ceea ce trebuie protejat în limitele stabilite de probabilitățile de pierderi determinate de costul protecției.
Rețelele de comunicații și calculatoare oferă multiple facilități pentru obținerea, prelucrarea, stocarea și depozitarea informațiilor, dar sunt și cele mai vulnerabile. De aceea, la proiectarea unui sistem de securitate pentru astfel de rețele trebuie stabilit un raport între cheltuieli de realizare a rețelei și cele de asigurare a protecție, în condițiile unei eficiențe maxime cu un cost minim.
Dimensiunea tehnică a protecției informațiilor reprezintă cea mai complexă și mai controversată parte a domeniului și cu o pondere însemnată în procesul de definire și stabilire a strategiilor de protecție.
Dimensiunea tehnică cuprinde sistemele, echipamentele, metodele, procedurile, acțiunile, instrucțiunile, formele, criteriile, metodologiile de protecție, precum și mijloacele și metodele de evaluare a protecției informațiilor.
În esență, evoluția problematicii dimensiunii tehnice presupune analizarea următoarelor aspecte:
identificarea și neutralizarea căilor posibile de sustragere a informațiilor;
securitatea informațiilor la calamități și catastrofe;
securitatea la acțiunea impulsurilor electromagnetice;
securitatea calculatoarelor, canalelor de comunicații și a rețelelor de calculatoare;
determinarea și limitarea radiației parazite pentru echipamentele tehnice și măsuri de protecție fizică;
evaluarea șanselor inamicului de penetrare a măsurilor de protecție.
Războiul a reprezentat, din totdeauna, nu numai o confruntare energetică, de forțe fizice umane și mijloace tehnice și materiale, ci și una de energii spirituale și psihice. Încă din antichitate Sun Tzu afirma că ,,arta supremă a războiului este de a-l învinge pe inamic fără luptă”.
Drept consecință a evoluției tehnologiei, a echipamentelor de comunicații și IT, dimensiunea psihologică a conflictelor s-a extins și a devenit omniprezentă. Karl von Clausewitz remarca faptul că ,,scopul final al componentei psihologice a războiului nu constă în nimicirea forțelor armate ale inamicului și cucerirea teritoriului, ci învingerea voinței acestuia și realizarea obiectivelor politico-strategice propuse cu pierderi umane și materiale cât mai mici”.
Dimensiunea psihologică include securitatea informațiilor față de utilizarea diferitelor procedee prin care se urmărește schimbarea intenționată a conținutului mesajului în scopul influențării deciziilor.
Printre procedeele informaționale utilizate se numără:
prezentarea intenționată a unor informații distorsionate pentru a dezinforma sau difuzarea informațiilor care să conducă auditorul spre concluziile dorite;
tăinuirea unor informații importante sau întârzierea prezentării lor;
reducerea intenționată a unor informații și evidențierea celor dorite;
fragmentarea informațiilor și prezentarea numai a celor ce sunt în avantajul său;
prezentarea de informații-zvon ca fapte adevărate și incontestabile;
supraîncărcarea canalelor de comunicații și de calculatoare cu informații, pentru a-i reduce capacitatea de analiză și sinteză;
propagarea de informații ce pot fi atribuite unor surse neutre în care receptorul are încredere;
dezvăluirea unor informații așa zise ,,confidențiale”;
atribuirea informațiilor unor surse ,,demne de încredere”.
Pentru transmiterea unor asemenea informații se utilizează o serie de vectori, dintre care cei mai importanți sunt cei din domeniul mass-media, în special televiziunea. Saddam Husseim s-a folosit de canalul CNN pentru a impresiona opinia publică internațională, organizând și prezentând mărturii trucate în rândurile populației civile și a convins ziariștii că bombardamentele coaliției au lovit locuințe și școli, nu obiective militare.
Internet-ul a devenit un atu privilegiat al profesioniștilor denaturării informaților prin care se falsifică date, se discreditează concurenții de pe piața mondială și se confruntă companii puternice.
În condițiile extinderii sistemelor și rețelelor informatice și de comunicații, s-au găsit noi factori de influențare psihologică, precum hackerii care, prin accesul neautorizat în sistemele private și în băncile de date, se pot alătura unor criminali și teroriști pentru denaturarea imaginii reale a unei situații, prin manipularea dăunătoare, cu consecințe devastatoare.
De asemenea, se utilizează și alți vectori, precum religia și spiritualismul, prin care se încearcă cucerirea conștiințelor, veritabile spălări ale creierului, se manipulează celebrități și forțe de decizie.
Multitudinea situațiilor circumstanțiale, precum și limitările impuse de protecția acțiunilor și a informațiilor, constituie tot atâția factori care favorizează apariția și vehicularea unor informații în scop de dezinformare, defetist sau panicard.
Securitatea informațiilor în sistemele informatice și de comunicații INFOSEC – reprezintă protecția surselor generatoare de informații.
3.CAPITOLUL II : RESPONSABILITĂȚI ÎN DOMENIUL SECURITĂȚII INFORMAȚIILOR CLASIFICATE
Pe plan mondial, există două strategii de bază pentru asigurarea securității informațiilor clasificate:
1. Tot ceea ce nu este interzis este permis;
2. Tot ceea ce nu este permis este interzis.
În SUA, prima strategie este cea care guvernează acest domeniu, al accesului la informațiile clasificate. În alte țări, cea de-a doua strategie este cea care dictează regulile în elaborarea și aplicarea legislației din domeniu.
De asemenea, se abordează două tactici de implementare a strategiei de securitate a informațiilor clasificate: controlul discreționar al accesului și controlul legal al acestuia. Prima tactică a accesului implementează principiul celui mai mic privilegiu, adică nici o persoană, în virtutea rangului și poziției pe care o deține, nu are drepturi nelimitate pentru a consulta informații clasificate, iar persoanele care au o astfel de facilitate au dreptul să le consulte pe cele care intră în sfera lor de activitate. A doua tactică a accesului este aplicat printr-o matrice de control care, pentru fiecare persoană aflată pe o listă pe care sunt și caracteristicile informațiilor (denumire, extras, nivel de secretizare etc.), arată ceea ce poate accesa fiecare persoană cu obiectele (informațiile) din listă și ce presupune acea accesare: citire, scriere, modificare, execuție, aprobare etc.
3.1 Concepte de bază ale organizării securității informațiilor clasificate
Până în anul 2002, securitatea (protecția) informațiilor clasificate era văzută ca o activitate administrativă în responsabilitatea emitenților și gestionarilor de documente secrete iar administrarea securității acestora presupunea responsabilități, reglementări în domeniu și măsuri întreprinse de către deținătorii de documente secrete de stat. Anterior acestui an, protecția informațiilor clasificate se organiza și realiza în baza Legii nr. 23/1971 privind apărarea secretului de stat în România și a Hotărârii Consiliului de Miniștri nr. 19/1972 privind unele măsuri în legătură cu apărarea secretului de stat.
Este evident faptul că prevederile acestor două acte normative nu mai corespundeau noilor orientări și stări de fapt în evoluția acestui domeniu, fiind imperios necesară înlocuirea lor cu altele, ancorate în prezent, bazate pe realitatea evoluțiilor pe plan mondial, european și național și cu un minim caracter anticipativ.
În acest sens, anul 2002 a fost punctul de cotitură în ceea ce privește orientările și reglementările legislative în domeniul securității informațiilor clasificate.
Odată cu integrarea în NATO, se vorbește de o politică de securitate a informațiilor, sintagma fiind prevăzută la pct. 8 al Documentului C-M(2002)49 din 17 iunie 2002, Securitatea în cadrul Organizației Tratatului Atlanticului de Nord.
Similar, pentru integrarea în UE, țările membre și-au asumat Decizia Consiliului UE din 19 martie 2001 privind Directiva de securitate a informațiilor clasificate aparținând UE.
România și-a adaptat cadrul legal de protecție a informațiilor clasificate în anul 2002, ca o consecință a măsurilor premergătoare aderării la Alianța Nord Atlantică. Astfel, au fost elaborate și aprobate legea privind protecția informațiilor clasificate (Legea nr. 182 din 12 aprilie 2002), Hotărârea de Guvern pentru aprobarea Normelor privind protecția informațiilor clasificate ale Organizației Tratatului Atlanticului de Nord in România (HG nr. 353 din 15 aprilie 2002), Hotărârea de Guvern pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România (HG nr. 585 din 13 iunie 2002) și Hotărârea de Guvern privind protecția informațiilor secrete de serviciu (HG nr. 781 din 25 iulie 2002).
Fiind pusă în fața mai multor „modele” internaționale de organizare a domeniului securității informațiilor, România a ales modelul NATO existent în anul 2002, inclusiv pentru informațiile naționale, în ceea ce privește domeniile securității, gestionarea informațiilor, structurile cu responsabilități în domeniu, documentele pentru acreditare, etc.
Acest fapt a facilitat îndeplinirea cerințelor pe linie de securitate, atât pentru NATO, cât și pentru aderarea la UE, unde standardele de securitate sunt, în proporție de peste 95%, similare cu cele ale NATO.
Pentru o analiză corectă și pentru o înțelegere unitară a domeniului securității informațiilor clasificate, este necesară definirea principalelor concepte, utilizate în legislația specifică dar și în lucrările de specialitate apărute după armonizarea legislativă din anul 2002. Aceste concepte și termeni sunt specifici, cu precădere, structurilor cu atribuții în securitatea informațiilor clasificate și atribuțiilor acestora și reprezintă elemente de noutate în legislația românească, ca urmare a armonizării legislative pentru realizarea compatibilității cu structurile similare ale organizațiilor euro-atlantice.
Astfel, Sistemul Național de Securitate a Informațiilor Clasificate – concept care a fost instituit prin Legea nr. 182/2002, poate fi definit ca fiind totalitatea autorităților și structurilor, domeniilor de responsabilitate și atribuțiilor acestora, resurselor și instrumentelor de care dispun, în vederea protejării corespunzătoare a informațiilor clasificate, într-o manieră unitară. Din SNSIC fac parte toate autoritățile și structurile din România care, prin responsabilitățile stabilite prin lege, asigură securitatea informațiilor clasificate pe care le emit sau vehiculează, inclusiv cele aparținând organizațiilor euro-atlantice sau altor state.
Denumirea conceptului definit de lege, cel de Sistem Național de Protecție a Informațiilor Clasificate nu este cuprinzător, sensul „protecției” în sine limitând anvergura procedurilor și măsurilor de asigurare a securității. În acest sens, denumirea care să caracterizeze complet acest sistem ar trebui să fie cea de Sistem Național de Securitate a Informațiilor Clasificate. Denumirea propusă este adoptată și în alte lucrări de specialitate care tratează domeniul informațiilor clasificate.
SNSIC are ca obiective principale protejarea informațiilor clasificate împotriva acțiunilor de spionaj, compromitere sa de acces neautorizat, împotriva alterării sau modificării conținutului acestora și împotriva sabotajelor ori distrugerilor neautorizate și realizarea securității sistemelor informatice și de transmitere a informațiilor clasificate.
În accepțiunea SNSIC, securitatea poate fi definită ca fiind:
a) totalitatea măsurilor privind realizarea unor obiective ce vizează protecția informațiilor clasificate;
b) starea/situația în care informațiile clasificate sunt ferite de orice risc de afectare a confidențialității, integrității și disponibilității acestora.
Autoritatea Națională de Securitate – este instituția investită cu atribuții de reglementare, autorizare și control, în conformitate cu standardele minime privind protecția informațiilor clasificate și reprezintă organismul național de legătură cu Oficiul de Securitate NATO și cu celelalte structuri de securitate ale Alianței Nord-Atlantice. ANS asigură aplicarea și coordonarea unitară a activității de protecție a informațiilor clasificate NATO pe teritoriul României. Domeniile principale în care ANS își exercită atribuțiile sunt securitatea fizică, securitatea personalului, securitatea documentelor, protecția informațiilor stocate în cadrul sistemelor de prelucrare automată a datelor (INFOSEC), securitate industrială, precum și alte domenii care implică protecția informațiilor clasificate naționale, NATO și UE, pentru care elaborează instrucțiuni și proceduri interne, cu respectarea strictă a prevederilor legale din România și a standardelor NATO și UE.
Prin Ordonanța nr. 153/2002, Oficiul Registrului Național al Informațiilor Secrete de stat a fost abilitat ca ANS.
Autoritatea Desemnată de Securitate – este definită de legislația națională ca fiind instituția abilitată prin lege să stabilească, pentru domeniul său de activitate și responsabilitate, structuri și măsuri proprii privind coordonarea și controlul activităților referitoare la protecția informațiilor secrete de stat.
La nivel național, au fost abilitate ca autorități desemnate de securitate pentru domeniul lor de activitate, următoarele instituții: Ministerul Apărării Naționale, Ministerul de Interne, Ministerul Justiției, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Protecție și Pază și Serviciul de Telecomunicații Speciale.
Unele lucrări de specialitate din domeniu definesc ADS-urile ca fiind autorități abilitate de securitate, denumire care poate fi regăsită și în organica altor state membre NATO (de exemplu, Republica Slovenia). Din punctul de vedere al corectitudinii, se pot utiliza ambele denumiri, însă cea de ADS este cea consacrată în legislația domeniului și în cuprinsul majorității acordurilor și a altor acte oficiale deja încheiate. În consecință, nu se justifică utilizarea unui sinonim fără o utilitate clară și fără a aduce o valoare superioară conceptului.
Odată cu armonizarea legislativă din anul 2002, au mai fost introduse două noțiuni specifice domeniului, cea de funcționar de securitate și de structură de securitate. În legislația specifică domeniului, funcționarul de securitate este definit ca fiind persoana care îndeplinește atribuțiile de protecție a informațiilor clasificate în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sa parțial de stat și altor persoane juridice de drept public sau privat. Structura de securitate este compartimentul specializat în protecția informațiilor clasificate, organizat în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sa parțial de stat și altor persoane juridice de drept public sau privat. Necesitatea existenței, la nivelul instituțiilor, a structurii de securitate sau a funcționarului de securitate este stipulată în legislația națională care reglementează securitatea informațiilor clasificate naționale dar și a informațiilor NATO clasificate.
Prin existența celor două noțiuni cu referire la atribuirea sarcinilor instituțiilor pe linia securității informațiilor clasificate, este lăsată la aprecierea conducătorilor acestor instituții, hotărârea de a delega atribuțiile specifice de asigurare a securității informațiilor clasificate către o structură de securitate sau un funcționar de securitate, în funcție de volumul, importanța și nivelul informațiilor clasificate vehiculate de instituție.
Necesitatea de a cunoaște – conceptul definește principiul conform căruia accesul la informații clasificate se acordă în mod individual numai persoanelor care, pentru îndeplinirea atribuțiilor funcționale, trebuie să lucreze cu astfel de informații și trebuie să aibă acces la acestea.
After-care (prevederi ulterioare) – este un concept de noutate, neimplementat încă în legislația și reglementările naționale, care definește măsurile care se întreprind pentru securitatea informațiilor clasificate în situația încetării accesului unei persoane la astfel de informații. Presupune anumite verificări și, obligatoriu, un instructaj în momentul încetării accesului la informații clasificate, care să prezinte persoanei respective importanța protecției continue a informațiilor chiar și după încetarea accesului la acestea, prin nedivulgarea conținutului acestora persoanelor neautorizate. În lucrările și reglementările NATO, această pregătire finală se numește „de-briefing” sau „post-briefing” și se execută de către personalul de securitate.
Necesitatea de a împărtăși – este un nou concept, care nu este cuprins încă politica de securitate, în reglementările de securitate ale NATO sau în alte regulamente ale Alianței. Se referă, cu precădere, la domeniul „intelligence” și definește transmiterea, de către un stat, a informațiilor din acest domeniu de activitate unui anumit organism care funcționează la nivelul NATO pentru prelucrarea și obținerea anumitor produse de „intelligence” care să fie retransmite și altor state membre, pentru luarea deciziilor, protecția trupelor etc. Deocamdată, conceptul este la nivelul de dilemă, în sensul balanței avantajelor și dezavantajelor transmiterii acestor informații sau păstrării lor în statul care le-a cules.
Autorizație de acces la informații clasificate – reprezintă documentul eliberat cu avizul instituțiilor abilitate de conducătorul instituțiilor deținătoare de informații clasificate naționale, personalului care, în exercitarea atribuțiilor funcționale, are acces la astfel de informații. Se eliberează pe niveluri de clasificare, în funcție de cerințele postului și conform principiului „necesității de a cunoaște”, după efectuarea verificărilor de securitate necesare.
La nivelul MApN s-a luat hotărârea, materializată în reglementări interne, de eliminare a certificatelor de securitate pentru accesul la informații clasificate naționale și de înlocuire a acestora cu Autorizații de acces la informații clasificate, indiferent de nivelul de clasificare și de funcția deținută de respectivele persoane.
Certificat de securitate – este documentul eliberat individual, care atestă accesul titularului acestuia la informații clasificate, pentru conducătorii instituțiilor și personalul cu atribuții în gestionarea și controlul securității informațiilor clasificate. Eliberarea acestora se face în urma desfășurării verificărilor de securitate.
Certificat de securitate tip A – este documentul eliberat individual de către ANS persoanelor care, pentru exercitarea atribuțiilor funcționale, au acces la informații NATO clasificate de nivel confidential și superioare în țară, conform principiului „necesității de a cunoaște”.
Certificat de securitate tip B – este documentul eliberat individual de către ANS persoanelor care, pentru exercitarea atribuțiilor funcționale, au acces la informații NATO clasificate pe timpul activităților organizate de NATO în afara teritoriului național, pentru care organizatorii solicită astfel de documente.
Certificat de securitate industrială – este documentul eliberat de ANS unui obiectiv industrial, prin care se atestă abilitarea acestuia să deruleze activități industriale și/sau de cercetare ce presupun accesul la informații clasificate.
INFOSEC – ansamblul măsurilor și structurilor de protecție a informațiilor care sunt prelucrate, procesate, stocate și transmise prin intermediul sistemelor informatice și de comunicații și a altor sisteme electronice, împotriva amenințărilor și a oricăror acțiuni care pot aduce atingere confidențialității, integrității, disponibilității, autenticității și nerepudierii informațiilor clasificate, intenționat sau accidental.
Sistemul informatic și de comunicații – ansamblu de elemente interdependente în care se includ echipamentele de calcul, produse software de bază și aplicative, metodele, procedeele și personalul, organizate astfel încât să asigure stocarea, prelucrarea automată și transmiterea informațiilor în format electronic și care se află sub coordonarea și controlul unei singure autorități.
Compartimentul documente clasificate – compartiment special, organizat în cadrul unităților militare (conform HG-585/2002, art. 40), cu responsabilități de evidență, prelucrare, procesare, păstrare, manipulare, multiplicare, transmitere, distrugere și arhivare a documentelor clasificate. Cerințele de securitate fizică pentru astfel de compartimente se stabilesc și se implementează în funcție de volumul, importanța și de nivelul de clasificare al informațiilor gestionate. Încadrarea acestor compartimente este diferită, în funcție de volumul informațiilor clasificate gestionate.
Denumirea acestei structuri este specifică domeniului militar, celelalte instituții având în organică compartimente similare dar cu denumiri diferite: Registratură, Registratură clasificată, Registratură secretă, Registrul informațiilor etc.
3.2 Elemente structurale și funcționale ale domeniului securității informațiilor clasificate
Începând cu intrarea în vigoare a Legii nr. 182/2002 privind protecția informațiilor clasificate, se poate afirma că în România au fost puse bazele unui Sistem Național de Protecție a Informațiilor Clasificate. Tot începând cu acest an, odată cu intrarea în vigoare a Legii nr. 353 și a HG 585 pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România, s-a demarat un proces amplu de reglementare a acestui domeniu și de corelare a reglementărilor proprii cu cele ale Alianței Nord-Atlantice și ale Uniunii Europene.
Domeniul securității informațiilor clasificate este compus din anumite elemente structurale și funcționale care îl definesc și îi asigură funcționarea și îndeplinirea obiectivelor.
Elementele structurale ale securității informațiilor clasificate sunt domeniile securității, parte din ele definite și de legislația națională, astfel:
organizarea și administrarea securității;
securitatea personalului;
securitatea fizică;
securitatea documentelor;
securitatea informațiilor în sistemele informatice și de comunicații-INFOSEC;
securitatea industrială;
activitatea oficială de cifru.
1. Organizarea și administrarea securității informațiilor – reprezintă ansamblul activităților și instrumentelor de implementare și control al măsurilor destinate securității informațiilor naționale, NATO, UE și echivalente clasificate în Ministerul Apărării Naționale.
Măsurile de asigurare a securității reprezintă ansamblul activităților de implementare a măsurilor destinate protecției informațiilor naționale, NATO, UE și echivalente clasificate în Ministerul Apărării Naționale.
Pentru asigurarea unei securități corespunzătoare a informațiilor, trebuie să se țină seama de:
asigurarea cadrului legal pentru gestionarea documentelor clasificate;
asigurarea cu personal de pază și cu mijloace de intervenție și sprijin destinate acestuia;
asigurarea sistemelor de control al accesului în instituție și în zonele de securitate;
elaborarea planurilor de acțiune în situații de urgență și stabilirea unui sistem de alertă adecvat;
elaborarea unor planuri de control privind gestionarea informațiilor clasificate pentru identificarea vulnerabilităților sistemului de protecție;
clasificarea corespunzătoare a documentelor, materialelor și echipamentelor;
asigurarea controlului transmiterii informațiilor specifice instituției prin canale neprotejate și gestionarea corespunzătoare a informațiilor de interes public.
2. Securitatea personalului – reprezintă ansamblul procedurilor de protecție care se aplică persoanelor care urmează să aibă acces, să dețină și să lucreze cu informații clasificate. Scopul procedurilor aplicate personalului este următorul:
să prevină accesul neautorizat la informații clasificate;
să garanteze că informațiile clasificate sunt distribuite deținătorilor de documente care să ateste accesul la acea categorie de informații, cu respectarea principiului „nevoii de a cunoaște”;
să conducă la identificarea persoanelor care, prin acțiunile sau inacțiunile lor, pot pune în pericol securitatea informațiilor clasificate (confidențialitatea, integritatea și disponibilitatea).
3. Securitatea fizică – reprezintă ansamblul de măsuri și proceduri de protecție adoptate la nivelul fiecărei instituții sau structuri a acesteia, zonelor, locurilor, echipamentelor, instalațiilor și în cadrul activităților în care se vehiculează informații clasificate, având următoarele obiective:
împiedicarea accesului neautorizat, clandestin sau prin forță la informații clasificate;
realizarea accesului la informații clasificate numai pe baza principiului „necesității de a cunoaște”;
detectarea vulnerabilităților sistemului de securitate adoptat;
prevenirea oricăror situații, împrejurări sau fapte de natură să pericliteze sau compromite securitatea informațiilor clasificate.
4. Securitatea documentelor naționale, NATO, UE și echivalente clasificate – cuprinde ansamblul procedurilor, cerințelor și măsurilor de protecție a documentelor care conțin informații clasificate, fiind menite să prevină, să contracareze și să elimine situațiile care pot genera compromiterea acestora, în scopul asigurării integrității, confidențialității și disponibilității lor.
5. Securitatea informațiilor în sistemele informatice și de comunicații (INFOSEC) – reprezintă protecția surselor generatoare de informații. Se realizează prin măsurile și de către structurile de protecție a informațiilor clasificate care sunt prelucrate, procesate, stocate sau transmise cu ajutorul Sistemelor Informatice și de Comunicații (SIC).
Prin SIC se înțelege sistemul de prelucrare automată a datelor, izolat sau conectat cu alte SPAD, precum și rețeaua de transmisii de date.
Securitatea SIC încorporate în sistemele de armament, de detecție sau în alte sisteme specializate se completează cu cerințele de securitate specifice, în funcție de situația particulară a fiecăruia în parte.
Politica INFOSEC reprezintă ansamblul reglementărilor, măsurilor, procedurilor și structurilor destinate securității informațiilor care sunt stocate, procesate sau transmise prin intermediul SIC.
Securitatea SIC se realizează prin aplicarea măsurilor și procedurilor de securitate în scopul de a preveni sau împiedica extragerea, modificarea sau distrugerea informațiilor clasificate stocate, procesate, transmise și a resurselor informaționale.
Pentru asigurarea securității SIC se aplică un ansamblu de măsuri organizatorice, de securitate a calculatoarelor (COMPUSEC), a comunicațiilor (COMSEC), de securitate fizică, a personalului și a informațiilor.
Politicile INFOSEC se aplică obligatoriu tuturor SIC din Ministerul Apărării, indiferent dacă informațiile stocate, procesate sau transmise sunt clasificate sau neclasificate.
Pentru SIC care stochează, procesează sau transmit informații NATO clasificate, politica INFOSEC se aplică în conformitate cu cerințele pentru nivelul de clasificare echivalent al informațiilor naționale.
Elaborarea normelor departamentale de securitate a informațiilor clasificate care sunt stocate, procesate sau transmise în SIC, precum și controlul modului de implementare a acestora se realizează de Direcția Contrainformații și Securitate Militară prin următoarele autorități:
1.Autoritatea Militară de Acreditare de Securitate;
2.Autoritatea Militară de Securitate pentru Informatică și Comunicații;
3.Autoritatea Militară de Protecție Criptografică;
4.Autoritatea Militară pentru Managementul Cheilor Publice.
Agenția de Acreditare de Securitate/ORNISS acreditează SIC care se interconectează la sisteme aparținând NATO sau UE.
Pentru implementarea unitară a politicii INFOSEC, autoritățile militare întreprind și măsuri privind:
evaluarea și testarea vulnerabilităților TEMPEST și stabilirea cerințelor și măsurilor de realizare a securității împotriva scurgerii informațiilor prin intermediul emisiilor electromagnetice parazite;
evaluarea și testarea vulnerabilităților în SIC și stabilirea măsurilor pentru apărarea împotriva atacurilor asupra SIC;
realizarea capacității de detecție, raportare și reacție la incidentele de securitate prin echipamente/platforme de monitorizare conectate la CERT (Computer Emergency Response Team);
evaluarea vulnerabilităților interconectărilor de SIC prin teste de penetrare efectuate de echipe specializate (RED Team și BLUE Team).
Organul central de informatică răspunde de concepția, planificarea, coordonarea și controlul privind organizarea, realizarea, exploatarea și mentenanța suportului tehnic al SIC, în condițiile de securitate impuse.
Agenția pentru Sisteme și Servicii Informatice Militare asigură consultanță de specialitate, proiectarea, dezvoltarea și implementarea SIC, instruirea personalului, precum și servicii informatice în domeniul tehnologiei informației, în conformitate cu competențele aprobate.
Structurile de comunicații și informatică îndeplinesc atribuțiile organului central de informatică sau ASSIM pentru SIC pe care le dezvoltă sau exploatează, conform competențelor stabilite în actele normative specifice.
Toate SIC care procesează, stochează sau/și transmit informații clasificate trebuie să fie instalate și să funcționeze în zone de securitate corespunzătoare celui mai înalt nivel de secretizare al informațiilor.
SIC care se folosesc pentru stocarea, procesarea și transmiterea informațiilor în Ministerul Apărării au nivelul minim de clasificare „secret de serviciu”.
SIC care procesează, stochează și/sau transmit informații nesecrete și de interes public sunt cele interconectate la INTERNET sau alte rețele publice.
Realizarea, autorizarea și funcționarea site-urilor WEB în rețelele cu acces la INTERNET în Ministerul Apărării se realizează în conformitate cu procedura specifică din Normele privind securitatea informațiilor în sistemele informatice și de comunicații – INFOSEC.
Toate echipamentele aferente SIC se clasifică și se marchează corespunzător celui mai înalt nivel de secretizare al informațiilor stocate, procesate sau transmise cu ajutorul acestora, conform normelor în vigoare.
Toate SIC care procesează, stochează și/ sau transmit informații clasificate secret sau de nivel superior/NATO CONFIDENTIAL/CONFIDENTIEL UE sau de nivel superior, locurile și platformele în care sunt instalate trebuie să respecte contramăsurile TEMPEST, prevăzute în standardele și reglementările specifice.
Concluzie: politicile aplicate în domeniul securității informațiilor au caracter dual și interdisciplinar, avându-se în vedere cele două domenii majore de manifestare a obiectului acestora, securitatea informațiilor clasificate și securitatea informațiilor în sistemele informatice și de comunicații – INFOSEC.
6. Securitatea industrială – reprezintă un sistem de norme și măsuri care reglementează protejarea informațiilor clasificate în cadrul activităților contractuale cu operatorii economici. Aceste măsuri se aplică tuturor contractanților sau sub-contractanților, pentru toate etapele procedurilor pre-contractuale și contractuale.
7. Activitatea oficială de cifru – constituie un ansamblu de concepte și activități de criptografie și criptanaliză destinate asigurării protecției informațiilor clasificate naționale, NATO și UE transmise prin sisteme informatice și de comunicații, precum și sistemele de armament.
Elementele funcționale ale securității informațiilor clasificate reprezintă totalitatea componentelor SNSIC care, prin responsabilitățile pe care le au la nivel național sau departamental, asigură securitatea informațiilor în unul sau mai multe domenii ale securității.
3.3 Responsabilități la nivel național și departamental, ale ADS-urilor
SNSIC are următoarele obiective fundamentale:
elaborarea și implementarea unitară a măsurilor de securitate a informațiilor clasificate;
stabilirea unor criterii unice de protecție și securitate;
implementarea unitară a măsurilor la toate instituțiile care emit sau vehiculează informații clasificate;
realizarea pregătirii și educației de securitate, dezvoltarea culturii de securitate, atât pentru propriul personal, cât și pe plan național, cu obiective unice;
controlul eficacității măsurilor de securitate și analiza periodică post-implementare;
remedierea eventualelor lacune în cadrul reglementărilor;
gestionarea incidentelor de securitate într-o manieră unitară și cu randament maxim;
cooperarea cu structurile de securitate ale NATO și UE și structurile similare (ANS și ADS) care funcționează în alte state, membre NATO și UE.
Instituțiile din compunerea SNSIC care funcționează la nivel național (ADS), cu atribuții în domeniul informațiilor clasificate, au fost abilitate prin lege să stabilească propriile structuri și măsuri privind coordonarea și controlul activităților referitoare la securitatea informațiilor clasificate.
Cerința de organizare a unor autorități de securitate pe plan național reiese din politica de securitate NATO. Odată cu aderarea României la această organizație, pentru a putea realiza obiectivele cerute de cerințele de securitate ale Alianței, au fost înființate Autoritatea Națională de Securitate și Autoritățile Desemnate de Securitate.
Înlănțuirea domeniilor de responsabilitate și atribuțiilor pe linia securității informațiilor clasificate ale ANS, ADS și celorlalte elemente ale SNSIC este distribuită, atât pe orizontală, cât și pe verticală.
Elementele funcționale ale SNSIC sunt următoarele:
Parlamentul României;
Consiliul Suprem de Apărare a Țării;
Guvernul României;
ANS – ORNISS;
ADS – urile;
Parlamentul României – are rolul primordial în cadrul SNSIC, acela de a emite legile necesare realizării unei securități corespunzătoare informațiilor clasificate. În procesul legislativ, Parlamentul colaborează cu celelalte componente ale SNSIC, în sensul analizării și promovării propunerilor legislative. În general, procesul de elaborare și emitere a legilor pe linia securității informațiilor clasificate este condus către ANS, lucrări la care participă și autoritățile implicate dar, în unele situații, propunerile legislative se fac direct de către ADS-ul responsabil pentru domeniul de activitate care trebuie reglementat.
Consiliul Suprem de Apărare a Țării – autoritatea administrativă investită, potrivit Constituției, cu organizarea și coordonarea unitară a activităților care privesc apărarea și siguranța țării. CSAȚ asigură coordonarea, la nivel național, a tuturor programelor de securitate a informațiilor clasificate. Astfel, în componența CSAȚ se regăsesc toți șefii ADS-urilor. Aceștia prezintă, periodic, rapoarte cu privire la activitatea ADS-urilor pe care le reprezintă și le conduc.
CSAȚ elaborează propriile Programe anuale de activitate pe linia SNSIC care sunt aprobate de președinte. Direcțiile principale de acțiune pe linia securității informațiilor clasificate se regăsesc în Strategia de Securitate Națională a României, document care este analizat și promovat spre aprobare de CSAȚ. Hotărârile CSAȚ sunt obligatorii pentru toate instituțiile din SNSIC.
Parlamentul, împreună cu CSAȚ, Administrația Prezidențială și Guvernul României, stabilesc structurile cu atribuții în acest domeniu, precum și măsurile cu privire la securitatea informațiilor clasificate.
ORNISS
Este autoritatea națională de securitate în domeniul securității informațiilor naționale, NATO și UE clasificate.
ORNISS are responsabilitate efectivă numai pentru domeniul informațiilor clasificate și își desfășoară activitatea în subordinea directă a Guvernului României. A fost înființată ca urmare a trecerii într-o etapă superioară a orientării politicii de securitate a României în procesul de aderare la NATO, rolul acestei instituții întărindu-se prin admiterea României în Uniunea Europeană.
Prin prerogativele legale, ORNISS asigură implementarea unitară, la nivel național, a măsurilor de securitate pentru informațiile clasificate și reprezintă organismul național de legătură cu Oficiul de Securitate al NATO (NOS), cu Oficiul de Securitate al UE și cu structurile de securitate similare din statele membre și partenere ale Alianței Nord-Atlantice și membre ale Uniunii Europene. De asemenea, realizează legătura, pentru acest domeniu, cu structuri similare ale statelor cu care România are încheiate tratate, înțelegeri, acorduri sau alte forme de colaborare care prevăd securitatea informațiilor clasificate.
Ca atribuții principale, ORNISS, ca ANS, exercită atribuții de reglementare, autorizare, evidență și control.
Sub aspectul reglementării, elaborează norme, instrucțiuni și proceduri cu privire la securitatea informațiilor clasificate, naționale, NATO, UE și echivalente și cooperează cu instituțiile constituite ca ADS, atât pentru elaborarea acestora, cât și pentru implementarea și aplicarea lor. Tot sub acest aspect, stabilește cerințele de securitate pentru păstrarea informațiilor clasificate, organizează și coordonează activitățile de pregătire a structurilor și funcționarilor de securitate care funcționează la persoanele juridice care gestionează informații clasificate și asigură, prin agențiile specializate, implementarea Standardelor naționale de protecție a informațiilor clasificate în România și a Normelor privind protecția informațiilor clasificate ale NATO. O altă responsabilitate a ORNISS pe linia reglementării este avizarea acordurilor internaționale departamentale care privesc domeniul securității informațiilor clasificate și coordonează, la dispoziția primului-ministru, activitățile necesare negocierii și încheierii acordurilor internaționale în acest domeniu de activitate.
Pe linia activității de autorizare, ORNISS aprobă eliberarea certificatelor de securitate pentru accesul la informații naționale secrete de stat, la informații NATO clasificate și pentru participarea personalului român la activități organizate de NATO în afara teritoriului României, eliberează autorizațiile speciale pentru fotografierea, filmarea, cartografierea sau executarea de lucrări de arte plastice în România, în obiective și locuri de importanță deosebită și autorizațiile și certificatele de securitate industrială în conformitate cu standardele în domeniu. Acreditează și reacreditează sistemele de securitate a informațiilor clasificate.
Sub aspectul responsabilităților pe linia evidenței, ORNISS organizează evidența listelor și a informațiilor secrete de stat, a termenelor de menținere în respectivele niveluri de clasificare, a personalului verificat și avizat pentru lucrul cu informații secrete de stat, a registrelor de autorizări de la instituțiile care dețin sau care utilizează informații clasificate, a autorizațiilor și a certificatelor de securitate industrială la nivel național.
Pe linia controlului în ceea ce privește modul de securitate a informațiilor clasificate, ORNISS asigură respectarea standardelor de gestionare naționale, NATO și UE în acest domeniu, coordonează implementarea unitară a măsurilor de securitate a informațiilor clasificate în relațiile contractuale – securitate industrială, organizează și controlează Sistemul Național de Registre și efectuează constatări în cazurile de nerespectare a legislației în domeniu ce pot produce riscuri de securitate. În astfel de situații, ORNISS informează oportun primul-ministru și stabilește măsurile legale ce se impun în vederea remedierii problemelor.
Autoritățile Desemnate de Securitate
Pentru domeniul securității informațiilor clasificate, Serviciul Român de Informații, abilitat ca ADS, prin unitatea sa specializată, are competență generală de exercitare a controlului asupra modului de aplicare a măsurilor de protecție de către instituțiile publice și unitățile deținătoare de informații clasificate.
Serviciu de Informații Externe este responsabil pentru coordonarea activității și controlul măsurilor privitoare la securitate informațiilor clasificate la reprezentanțele României în străinătate, mai puțin activitatea atașaților militari din cadrul misiunilor diplomatice ale României și a reprezentanților militari de pe lângă organismele internaționale, care se realizează de către structurile responsabile din MApN.
Activitatea de control asupra modului de aplicare a măsurilor de protecție a informațiilor clasificate în celelalte instituții abilitate ca ADS se desfășoară în conformitate cu reglementările interne ale fiecărei instituții în parte.
Instituțiile abilitate ca ADS au propria organizare și funcționare, propriile structuri și reglementări. Structurile și reglementările care sunt stabilite la nivelul ADS-urilor sunt constituite și funcționează conform HG 585/2002, cu specificul activităților și domeniilor de activitate ale instituțiilor respective.
Modul de relaționare a componentelor SNSIC este prezentat în Anexa nr. 2.
3.4 Responsabilități departamentale în domeniul securității informațiilor clasificate
Ministerului Apărării Naționale, ca ADS, a abilitat Direcția generală de informații a apărării ca structură responsabilă în domeniul securității. În cadrul DGIA, structura specializată pentru domeniul securității informațiilor clasificate este Direcția contrainformații și securitate militară.
Rolul DCiSM în realizarea securității informațiilor clasificate
Pentru atingerea obiectivelor ce-i revin MApN din prevederile legale referitoare la securitatea informațiilor clasificate, DCiSM elaborează reglementările, efectuează verificările și evaluările activităților și măsurilor pentru acest domeniu.
Îndeplinirea efectivă a atribuțiilor de ADS ale MApN sunt realizate de DCiSM. În acest sens, principalele responsabilități ale acestei structuri pe linia securității informațiilor clasificate sunt următoarele:
elaborează și actualizează reglementările de securitate;
colaborează cu ANS, cu celelalte ADS și cu structuri similare ale altor țări pe linia securității informațiilor clasificate;
coordonează activitatea structurilor de securitate de la structurile centrale ale MApN, în calitate de structură centrală specializată de securitate, în vederea implementării politicilor de securitate;
execută verificări ale personalului MApN și avizează accesul la informații clasificate naționale, NATO și UE. În baza verificărilor executate de DCiSM, ORNISS eliberează documentele de acces la informații clasificate secrete de stat, NATO și UE;
evaluează și avizează locurile de dispunere și măsurile de securitate fizică ale componentelor Sistemului Militar de Registre în care se gestionează informații NATO, UE și echivalente clasificate;
elaborează politica MApN cu privire la securitatea informațiilor clasificate. Verifică modul de aplicare, în toate structurile MApN, a politicilor și măsurilor organizatorice privind securitatea informațiilor clasificate;
execută verificări și autorizează operatorii economici pentru toate etapele contractelor economice ale acestora cu MApN, pentru informații clasificate vehiculate în cadrul contractelor de nivel „secret de serviciu”. Verificările și autorizările operatorilor economici pentru clasa „secret de stat” se realizează, prin ANS-ORNISS, de către SRI, instituția responsabilă, la nivel național, pentru acest tip de activități;
execută verificări și avizează utilizarea informațiilor militare specifice MApN în activitatea de informare publică;
împreună cu reprezentanții structurilor implicate, cercetează cazurile de încălcare a reglementărilor de securitate, gestionează incidentele de securitate și propune măsurile necesare limitării consecințelor și prevenirii unor astfel de situații;
acreditează Sistemele Informatice și de Comunicații militare din sfera de competență a Autorității Militare de Securitate;
coordonează pregătirea de specialitate a personalului cu atribuții în domeniile securității informațiilor clasificate, propune și elaborează concepția de dezvoltare a educației de securitate și a culturii de securitate pentru personalul MApN.
Realizarea securității informațiilor clasificate în MApN
Activitatea de management a activității de securitate a informațiilor clasificate la nivelul MApN utilizează o serie de instrumente, printre care:
Norme și proceduri departamentale – se elaborează, în funcție de necesități și armonizarea legislativă, pentru reglementarea activităților specifice;
Evidența informațiilor clasificate – se realizează conform actelor normative specifice care reglementează această activitate;
Coordonarea activităților de pregătire și control – se realizează în baza Planurilor de control – regăsite în Planul unic de control al MApN și Planurilor de pregătire – regăsite în Planul unic de pregătire al MApN, de către structurile cu atribuții de control și pregătire;
Lista funcțiilor – se întocmește de către fiecare unitate militară și se înaintează, centralizat, pe eșaloane, la DCiSM. Lista conține toate funcțiile din statul de organizare al structurii respective și prevede, pentru fiecare funcție, nivelul de acces la informații naționale, NATO și UE clasificate;
Lista informațiilor – se întocmește de către fiecare unitate militară și conține toate informațiile pe care le elaborează sau pe care le deține unitatea, pe clase, niveluri de clasificare și domenii de activitate;
Acreditarea sistemelor care procesează informații NATO și UE clasificate – se execută în conformitate cu legislația națională în vigoare și cu reglementările interne elaborate în acest scop;
Registrul Intern – reprezintă punctul de intrare/ieșire a informațiilor NATO și UE clasificate care sunt adresate structurilor MApN sau sunt emise de structurile MApN și sunt adresate structurilor NATO, UE sau altor state cu care România are încheiate acorduri de colaborare/cooperare.
Comandanții/șefii de la toate eșaloanele ierarhice ale Armatei României sunt responsabili, în mod ierarhic, pentru respectarea măsurilor de securitate în cadrul structurilor proprii și subordonate. Pentru punerea în aplicare a reglementărilor de securitate, comandanții/șefii de la toate eșaloanele stabilesc responsabilitățile personalului din subordine în domeniile securității și răspund de elaborarea planurilor de măsuri la nivel local. Principalele atribuții ale comandanților/șefilor tuturor unităților militare din MApN, pe linia securității informațiilor clasificate, sunt următoarele:
asigură organizarea activității structurii de securitate, compartimentului documente clasificate și, după caz, a Componentei Sistemului Militar de Registre care funcționează în structura pe care o conduce;
coordonează activitățile tuturor structurilor de securitate subordonate;
planifică, organizează și inspectează aplicarea politicilor și reglementărilor privind securitatea în cadrul eșalonului propriu și la cele subordonate;
solicită structurilor cu atribuții, autorizarea accesului la informații clasificate naționale secrete de stat și informații NATO;
autorizează accesul personalului propriu la informații secrete de serviciu;
răspund de gestionarea și verificarea existenței documentelor clasificate în structura proprie;
aprobă programul propriu de prevenire a scurgerii de informații clasificate;
asigură condițiile necesare instruirii personalului propriu și din structurile subordonate privind responsabilitățile în domeniu securității;
analizează semestrial și ori de câte ori este nevoie, activitatea structurii de securitate și a personalului care asigură gestionarea informațiilor clasificate;
sesizează structura responsabilă la nivelul MApN, cu privire la încălcările reglementărilor de securitate;
dispun măsuri de cercetare a încălcare a reglementărilor de securitate și a incidentelor de securitate, de limitare a consecințelor și de prevenire a unor astfel de situații în structurile proprii și cele subordonate;
colaborează cu structura responsabilă la nivelul MApN pentru securitatea informațiilor clasificate, prin furnizarea datelor, informațiilor și documentelor necesare cercetării cazurilor de încălcare a reglementărilor de securitate și incidentelor de securitate;
avizează documentațiile de acreditare de securitate pentru sistemele informatice și de comunicații din sfera de competență.
Pentru realizarea efectivă a securității tuturor informațiilor clasificate, la toate nivelurile ierarhice, în toate structurile MApN au fost înființate și funcționează, conform prevederilor HG-585/2002, structuri de securitate. Componența acestora este diferită, variind în funcție de eșalonul la care acestea sunt organizate și de complexitatea activităților cu informații clasificate. În principiu, o structură de securitate este organizată dintr-un șef al structurii și câte un responsabil pentru fiecare domeniu al securității: securitatea personalului, securitatea fizică, securitatea documentelor, INFOSEC, securitatea industrială și AOC. În multe situații, la anumite eșaloane ierarhice, șeful structurii de securitate este responsabil pentru securitatea fizică și industrială, iar un alt reprezentant al structurii de securitate, pentru securitatea personalului și documentelor. Funcțiile de responsabil pentru INFOSEC sunt asimilate compartimentelor de comunicații și informatică.
Structurile de securitate reprezintă componenta acțională a MApN pe linia securității informațiilor clasificate și fac parte din SNSIC.
Responsabilitatea principală a structurilor de securitate este de a implementa legislația națională, transpusă în reglementările de securitate pentru domeniile securității, în propria structură.
Responsabilitățile unei structuri de securitate corespund tuturor domeniilor securității și se pot sintetiza astfel:
întocmesc Programul de prevenire a scurgerii de informații clasificate, îl supun avizării și aprobării și acționează conform prevederilor acestuia;
coordonează activitatea de securitate a informațiilor clasificate în cadrul eșalonului propriu și la cele subordonate;
monitorizează activitatea de aplicare a prevederilor normelor de securitate și a actelor normative în vigoare. Actualizează măsurile de securitate în propria structură în funcție de actualizările actelor normative și de reglementările MApN;
consiliază conducerea unității în legătură cu toate aspectele pe linia securității și informează despre vulnerabilitățile și riscurile existente în sistemul propriu de securitate a informațiilor clasificate. Propune măsuri conducerii unității pentru limitarea și eliminarea acestor vulnerabilități și riscuri;
acordă sprijinul necesar structurilor abilitate pentru efectuarea verificărilor de securitate a persoanelor pentru care se solicită accesul la informații clasificate;
ține evidența actualizată a documentelor de acces la informații clasificate pentru personalul din propria structură;
întocmește planul de control privind asigurarea securității informațiilor clasificate, corelat cu planurile de control al eșaloanelor superioare;
efectuează, sub mandatul comandantului/șefului, controale privind modul de aplicare a reglementărilor de securitate;
verifică și avizează informațiile militare de interes public care urmează să fie publicate, tipărite, difuzate, transmise prin canale neprotejate, conform prevederilor legale in vigoare.
Structurile de securitate, în îndeplinirea responsabilităților stabilite prin actele normative specifice ale MApN și procedurile pe linia specialității, colaborează cu structurile de securitate ale eșaloanelor superioare și cu DCiSM, pentru situațiile care impun o expertiză de specialitate pentru anumite probleme.
Pentru realizarea obiectivelor pe linia securității, structurile de securitate, unitățile militare au la îndemână o serie de instrumente manageriale, din care amintim:
Programul de prevenire a scurgerii de informații clasificate;
Planul de protecție fizică;
Lista funcțiilor care necesită acces la informații clasificate;
Lista informațiilor secrete de stat gestionate de unitate;
Lista informațiilor secrete de serviciu specifice unității;
Planul de pregătire pe linia asigurării securității informațiilor clasificate;
Planul de control al respectării măsurilor de securitate a informațiilor clasificate.
3.5 Responsabilități pe linia securității informațiilor clasificate în cadrul Alianței Nord-Atlantice și Uniunii Europene
La nivelul Alianței Nord-Atlantice, problema securității informațiilor clasificate este foarte clar definită, delimitată și reglementată și suportă un proces continuu de actualizare a reglementărilor, în concordanță cu noile tendințe, amenințări și evoluții ale tehnologiei pe plan internațional. Reglementarea securității se face în baza Politicii de securitate NATO, pentru aceasta structurile NATO realizând o colaborare continuă între ele și cu ANS și ADS ale țărilor membre.
Principalele structuri cu rol de reglementare, monitorizare și realizare a securității la nivelul Alianței, sunt:
Consiliul Atlanticului de Nord – este structura NATO care stabilește politica de securitate în cadrul NATO.
Comitetul Militar NATO – este cea mai înaltă autoritate în NATO, responsabilă pentru managementul general al tuturor problemelor la nivelul Alianței, prin urmare și pentru toate problemele de securitate din cadrul structurilor NATO, inclusiv pentru cunoașterea generală, centralizată a măsurilor necesare.
Comitetul de securitate NATO – este structura NATO în subordinea NAC, format din reprezentanții fiecărei țări care au experiență în problemele de securitate ale țărilor lor. La ședințele NSC participă și un reprezentant al Comitetului Militar NATO. Principalele atribuții ale NSC sunt:
examinarea problemelor referitoare la Politica de securitate NATO;
analizarea problemelor de securitate care îi sunt prezentate de NAC, o țară membră, Secretarul General, Comitetul Militar NATO sau șefii organismelor civile și militare NATO;
pregătirea recomandărilor corespunzătoare pentru NAC.
Oficiul de securitate NATO – este structura din cadrul Secretariatului Internațional NATO cu responsabilități similare ANS, cu diferența că activitatea acestuia este la nivelul Alianței Nord-Atlantice. NOS face parte din structura de conducere a NATO și este în strânsă legătură cu autoritățile naționale de securitate și cu structurile militare și civile NATO. Îndeplinește funcțiile executive de securitate în cadrul structurilor militare NATO și informează președintele NAMILCOM cu problemele existente.
La nivelul Uniunii Europene funcționează următoarele structuri cu atribuții în domeniul securității informațiilor clasificate:
Secretarul General/Înaltul Reprezentant al Consiliului UE – are responsabilitatea implementării Politicii de securitate adoptate de Consiliu, să ia în considerare probleme de securitate care îi sunt adresate de către Consiliu sau de structurile cu competență, să analizeze problemele care implică modificări ale Politicii de securitate a Consiliului, în cooperare cu persoanele de legătură ale ADS ale statelor membre. Secretarul General este responsabil pentru toate problemele de securitate la nivelul Consiliului.
Comitetul de Securitate al Consiliului UE – este structura care funcționează la nivelul Uniunii Europene, cu responsabilități de verificare și evaluare a tuturor aspectelor de securitate în legătură cu procedurile Consiliului și de a prezenta acestuia recomandările adecvate pe linia securității. Comitetul de securitate face recomandări pe linia securității secretarului general al Consiliului UE.
Oficiul de Securitate al Secretariatului General al Consiliului UE – structura care funcționează în cadrul Secretariatului general al Consiliului UE, cu atribuții de coordonare, avizarea, aprobarea și implementarea măsurilor de securitate la nivelul structurilor Uniunii Europene. Este punctul de contact al Uniunii Europene cu autoritățile naționale de securitate ale țărilor membre.
Pentru transpunerea în practică a prevederilor legislației și a Politicilor de securitate NATO și UE, la nivel național, al ANS, a fost înființat, prin act normativ, Registrul Central. Acesta constituie punctul de intrare/ieșire al României pentru informații NATO și UE clasificate și elementul de legătură cu registrele naționale și ale organizațiilor.
Actul normativ mai stabilește că la „Fiecare structură instituțională (militară sau civilă) care utilizează informații clasificate NATO are obligația să își înființeze propria CSNR, forma de organizare a acesteia depinzând de volumul și de nivelul de clasificare a informațiilor vehiculate, în concordanță cu structura administrativă existentă”. în acest sens, fiecare ADS și-au înființat propriul sistem de registre, care să corespundă modelului oferit de NATO și prevederilor legislației naționale.
Pentru punerea în aplicare a actului normativ, MApN a luat decizia înființării Sistemului Militar de Registre, după modelele oferit de legislație, de celelalte state membre NATO și cel organizat la nivel național. Astfel, la nivelul MApN, ca și Componente al Sistemului Militar de Registre, au fost înființate:
Registrul Intern;
Registrul Extern;
Subregistre;
Puncte de Lucru NATO.
Atât Sistemul Național de Registre cât și Sistemul Militar de Registre sunt componente ale SNSIC.
Registrul Intern al MApN este structură care funcționează în subordinea Secretariatului general și reprezintă Componenta Sistemului Militar de Registre care gestionează și controlează informațiile clasificate NATO și UE la nivelul ministerului. Registrul intern este punctul de intrare/ieșire pentru informațiile clasificate NATO, UE și echivalente.
Registrul Extern este structura organizată în cadrul Reprezentanței Militare a României la NATO și UE la Bruxelles, subordonată Registrului Intern, care gestionează informațiile clasificate NATO și UE primite/transmise de la/la NATO și UE și de la/la celelalte structuri de securitate ale Alianței Nord-Atlantice și ale Uniunii Europene.
Subregistrele NATO sunt structuri organizate și care funcționează în cadrul anumitor eșaloane ale MApN care vehiculează o cantitate importantă de informații NATO și UE clasificate, atât de structura proprie cât și de structurile subordonate. Subregistrele NATO au în subordine, în cadrul structurilor subordonate eșalonului la care sunt organizate, Puncte de Lucru NATO.
Punctul de Lucru NATO reprezintă ultima verigă organizatorică a lanțului gestionării informațiilor NATO, UE și echivalente clasificate.
Un element de noutate în domeniul securității informațiilor clasificate este cel referitor la securitatea informațiilor clasificate echivalente. Această categorie se referă la acele informații transmise părții române de către alte state cu care România sau Ministerul Apărării Naționale are încheiate acorduri de colaborare/cooperare în cadrul cărora este reglementată protecția reciprocă a informațiilor clasificate schimbate.
În acest sens, MApN a reglementat situația acestei categorii în sensul echivalării nivelului de clasificare al acestora cu cel al informațiilor clasificate naționale și gestionarea și asigurarea securității acestora, în funcție de nivelul de clasificate, în cadru CSMR.
CSMR deservesc structurile în cadrul cărora sunt organizate și pe cele organizate la unitățile subordonate, prin componentele acestora. Modalitatea de asigurare cu informații NATO, UE și echivalente a personalului structurilor la care CSMR funcționează este reglementat de către acte normative specifice, norme, precizări, metodologii și proceduri proprii, elaborate la respectivele structuri.
Fluxul informațiilor clasificate NATO și UE în cadrul CSNR și CSMR este prezentat în Anexa nr. 3.
Pentru intrarea în funcțiune a unui CSMR, este necesar ca structura unde va funcționa să îndeplinească toate măsurile de securitate – securitatea fizică a încăperii, securitatea personalului din CSMR, securitatea documentelor, INFOSEC – care se verifică de către personalul DCiSM înaintea de eliberarea documentelor de autorizare.
Controlul modului de gestionare și de asigurare a securității informațiilor NATO, UE și echivalente clasificate în cadrul CSMR este exercitat de către șeful CSMR, personalul structurii de securitate a unității la care este organizată CSMR, structurile de securitate ale eșaloanelor superioare și DCiSM. Personalul care execută activități de control al modului de gestionare a informațiilor NATO, UE și echivalente clasificate trebuie să dețină un mandat de control, eliberat de structura cu atribuții de control și să dețină documentele necesare de acces la informații clasificate de nivel minim egal cu cel al informațiilor clasificate implicate în control.
De asemenea, personalul CSMR trebuie să dețină documente de acces la informații clasificate de nivel minim cu cel al nivelului maxim care poate fi gestionat de respectiva CSMR.
6.LISTA ABREVIERILOR
7.ANEXE
Anexa nr. 1
DOMENII ȘI DIMENSIUNI ALE SECURITĂȚII NAȚIONALE
Anexa nr. 2
MODUL DE RELAȚIONARE A COMPONENTELOR
SISTEMULUI NAȚIONAL DE SECURITATE A INFORMAȚIILOR CLASIFICATE
Anexa nr. 3
FLUXUL INFORMAȚIILOR CLASIFICATE NATO ȘI UE ÎN CADRUL SMR ȘI SNR
8.BIBLIOGRAFIE
Autori romani:
Romanoschi C., Managementul securității informațiilor clasificate, introducere în securitatea și protecția informațiilor, Ed.Tehnică Militară, București, 2007;
Ciobanu I., Ilie Gh., Nour A., Confruntarea informațională și protecția informațiilor, Editura Detectiv, București, 2006 ;
Petrescu, M., Nabarjoiu N., Brașoveanu M., Managementul informației, vol. II, Ed. Biblioteca, 2008;
Frunzeti, T., Sarcinschi A., Securitatea internațională. Dimensiuni, strategii, politici, Lumea 2009, Enciclopedie politică și militară ;
Petrescu Stan, Informațiile, a patra armă, Ed.Militară, 1999;
Aurel Nour, Dimensiuni ale procesului informațional-decizional în domeniul securității naționale, Gândirea Militară Românească nr.5/1994, București, Ed.S.M.G., 1994;
Panaioti Tiberiu, Managementul informațiilor clasificate. Actualitate și perspectivă în gestionare, București Universitatea Natională de Apărare 'Carol I', 2008;
Autori straini:
Sun Tzu, Arta războiului, Ed. Militară, București, 1976;
Karl von Clausewitz, Despre război, Ed. Militară, București, 1982;
Campen A.D., The First Information War, Hardcover, 1992;
Maconachy W.V., A model for Information Assurance: An integrated approach, Proceeding of the 2001 IEEE, Workshop on Information Assurance and Security, SUA, West Point, 5-6 iunie 2001;
Hawkev A., Security and Control in Information Systems, New York, 2001;
Herman Michael, Intelligence Power in Peace and War, Cambridge University Press;
Dulles Allen, Arta Informațiilor, New York, 1963;
Legislație:
Doctrina națională a informațiilor pentru securitate, C.S.A.T., ed. S.R.I., 2004;
C-M (2002) 49 – Securitatea în cadrul Organizației Tratatului Atlanticului de Nord;
Directiva de securitate a Consiliului Uniunii Europene nr. 2001/264/EC;
HG nr. 353 din 15 aprilie 2002 pentru aprobarea Normelor privind protecția informațiilor clasificate aparținând Organizației Tratatului Atlanticului de Nord în România, publicat în MO Partea I nr. 315 din 13 mai 2002;
HG nr. 585/2002 pentru aprobarea Standardelor de protecție a informațiilor clasificate în România, publicată în Monitorul Oficial nr. 485 din 5 iulie 2002;
Legea nr. 415/2002 privind organizarea și funcționarea Consiliului Suprem de Apărare a Țării, publicată în Monitorul Oficial, Partea I, nr. 494 din 10.07.2002;
Legea nr. 182/2002 privind protecția informațiilor clasificate, publicată în Monitorul Oficial, Partea I, nr. 248 din 12.04.2002;
Legea nr. 268/2007 pentru completarea art. 7 din Legea nr. 182/2002 privind protecția informațiilor clasificate, publicată în Monitorul Oficial, partea I, nr. 678 din 04.10.2007;
Ordonanța de urgență nr. 153 din 07.11.2002 privind organizarea și funcționarea Oficiului Registrului Național al Informațiilor Secrete de Stat, publicată în Monitorul Oficial, partea I, nr. 826 din 15.11.2002.
Legea 544/2001 privind accesul la informația publică ;
BIBLIOGRAFIE
Autori romani:
Romanoschi C., Managementul securității informațiilor clasificate, introducere în securitatea și protecția informațiilor, Ed.Tehnică Militară, București, 2007;
Ciobanu I., Ilie Gh., Nour A., Confruntarea informațională și protecția informațiilor, Editura Detectiv, București, 2006 ;
Petrescu, M., Nabarjoiu N., Brașoveanu M., Managementul informației, vol. II, Ed. Biblioteca, 2008;
Frunzeti, T., Sarcinschi A., Securitatea internațională. Dimensiuni, strategii, politici, Lumea 2009, Enciclopedie politică și militară ;
Petrescu Stan, Informațiile, a patra armă, Ed.Militară, 1999;
Aurel Nour, Dimensiuni ale procesului informațional-decizional în domeniul securității naționale, Gândirea Militară Românească nr.5/1994, București, Ed.S.M.G., 1994;
Panaioti Tiberiu, Managementul informațiilor clasificate. Actualitate și perspectivă în gestionare, București Universitatea Natională de Apărare 'Carol I', 2008;
Autori straini:
Sun Tzu, Arta războiului, Ed. Militară, București, 1976;
Karl von Clausewitz, Despre război, Ed. Militară, București, 1982;
Campen A.D., The First Information War, Hardcover, 1992;
Maconachy W.V., A model for Information Assurance: An integrated approach, Proceeding of the 2001 IEEE, Workshop on Information Assurance and Security, SUA, West Point, 5-6 iunie 2001;
Hawkev A., Security and Control in Information Systems, New York, 2001;
Herman Michael, Intelligence Power in Peace and War, Cambridge University Press;
Dulles Allen, Arta Informațiilor, New York, 1963;
Legislație:
Doctrina națională a informațiilor pentru securitate, C.S.A.T., ed. S.R.I., 2004;
C-M (2002) 49 – Securitatea în cadrul Organizației Tratatului Atlanticului de Nord;
Directiva de securitate a Consiliului Uniunii Europene nr. 2001/264/EC;
HG nr. 353 din 15 aprilie 2002 pentru aprobarea Normelor privind protecția informațiilor clasificate aparținând Organizației Tratatului Atlanticului de Nord în România, publicat în MO Partea I nr. 315 din 13 mai 2002;
HG nr. 585/2002 pentru aprobarea Standardelor de protecție a informațiilor clasificate în România, publicată în Monitorul Oficial nr. 485 din 5 iulie 2002;
Legea nr. 415/2002 privind organizarea și funcționarea Consiliului Suprem de Apărare a Țării, publicată în Monitorul Oficial, Partea I, nr. 494 din 10.07.2002;
Legea nr. 182/2002 privind protecția informațiilor clasificate, publicată în Monitorul Oficial, Partea I, nr. 248 din 12.04.2002;
Legea nr. 268/2007 pentru completarea art. 7 din Legea nr. 182/2002 privind protecția informațiilor clasificate, publicată în Monitorul Oficial, partea I, nr. 678 din 04.10.2007;
Ordonanța de urgență nr. 153 din 07.11.2002 privind organizarea și funcționarea Oficiului Registrului Național al Informațiilor Secrete de Stat, publicată în Monitorul Oficial, partea I, nr. 826 din 15.11.2002.
Legea 544/2001 privind accesul la informația publică ;
ANEXE
Anexa nr. 1
DOMENII ȘI DIMENSIUNI ALE SECURITĂȚII NAȚIONALE
Anexa nr. 2
MODUL DE RELAȚIONARE A COMPONENTELOR
SISTEMULUI NAȚIONAL DE SECURITATE A INFORMAȚIILOR CLASIFICATE
Anexa nr. 3
FLUXUL INFORMAȚIILOR CLASIFICATE NATO ȘI UE ÎN CADRUL SMR ȘI SNR
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Responsabilitati In Domeniul Securitatii Informatiilor Clasificate (ID: 160448)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.