TABEL1. Componența integrității [620929]

UNIVERSITATEA ROMÂNO-AMERICANĂ FACULTATEA DE MANAGEMENT-MARKETING PROGRAMUL DE STUDII UNIVERSITARE DE MASTERAT MANAGEMENTUL INFORMAȚIILOR
CONSIDERAȚII PRIVIND PROTECȚIA PROPRIILOR INFORMAȚII ȘI COMBATEREA STRATEGIILOR COMPETITORILOR. INTERZICEREA DOBÂNDIRII SUPERIORITĂȚII INFORMAȚIONALE COORDONATOR ȘTIINȚIFIC: Prof.univ.dr. NECULAE NĂBÂRJOIU MASTERAND: [anonimizat] 2019

CUPRINS INTRODUCERE 4 CAPITOLUL I. DISTINCȚIA ÎNTRE INFORMAȚIILE CLASIFICATE ȘI INFORMAȚIILE DE INTERES PUBLIC 7 1.1. DREPTUL LA INFORMAȚII 7 1.2. INFORMAȚII CLASIFI 11 1.3. INFORMAȚIILE DE INTERES PUBLIC 16 1.4. PROTECȚIA DATELOR CU CARACTER PERSONAL 20 1.5. ALTE INFORMAȚII CARE POT FACE OBIECTUL STUDIULUI. 22 CAPITOLUL II. MANAGEMENTUL INSTITUȚIONAL SPECIFIC ORGANIZAȚIILOR ALE CĂROR MEMBRII AU ACCES LA INFORMAȚII CLASIFICATE 24 2.1. SELECȚIONAREA PERSONALULUI……………………………………25 2.2.VERIFICAREA PERSONALULUI………………………………………..25 2.3. AVIZAREA ȘI AUTORIZAREA ACCESULUI LA INFORMAȚII CLASIFICATE………………………………………………………………………..28 2.4. PREGĂTIREA PERSONALULUI………………………………………..30 2.5.REVALIDAREA ACCESULUI LA INFORMAȚII CLASIFICATE…….31 CAPITOLUL 3 MANAGEMENTUL INSTITUȚIONAL SPECIFIC ORGANIZAȚIILOR PENTRU PROTECȚIA PERSONALULUI PROPRIU CARE ARE ACCES LA INFORMAȚII CLASIFICATE………………………………………………………………………………………………. 32 CONCLUZII ………………………………………………………………………………………………… 42 BIBLIOGRAFIE …………………………………………………………………………………………….. 46

INTRODUCERE Sistemul legislativ național, normele și regulile specifice profilului organizațional, regulamentele interne ale unei instituții, toate acestea au constituit la un moment dat un factor și un garant de siguranță, fiind exponentele unui management preventiv. Prin evoluția societății și diversificarea formelor de manifestare ale vulnerabilităților, măsurile de securitate și-au dezvăluit capacitățile limitative, iar contextele noi apărute au impus necesitatea adaptării continue a sistemelor organizaționale. S-a conturat astfel ideea că oricare sistem organizațional este perfectibil, raportat la variabilele sociale specifice unei societăți în mișcare. Raportându-ne la ideea de Securitate națională, sintagma mai sus utilizată, cunoscută din cele mai vechi timpuri, are prin proiecția evoluțiilor geostrategice și a revoluției tehnologice actuale un efect defensiv în sens preventiv. Această abordare nu ne permite nici să avem o abordare excentrică și nici să contestăm un truism, respectiv faptul că informațiile vehiculate în organizații, în special acele informații strategice vitale care stau la baza echilibrului precum și păstrării statului de drept și apărării valorilor constituționale. Trebuie avut în vedere protejarea prin măsuri tehnice sau socio-profesionale mai puternice decât dinamismul cameleonic al amenințărilor. În acest sens, modalitatea de realizare a protecției informațiilor devine un subiect amplu, niciodată perimat, mereu oscilant și interpretabil, scopul fiind același, de la apariția primelor forme de conflict interstatal, respectiv evitarea fermă a intențiilor de deconspirare a informațiilor sensibile. Dacă în abordarea generală a termenului securitate există o dependență semnificativă a concepției naționale în raport cu proiecția regională, în contextul în care securitatea națională reprezintă parte a sistemului euroatlantic și european, când facem referire la puterea informației, respectiv a informației necesare menținerii securității naționale, de cele mai multe ori constrângerile au un puternic caracter limitativ și devin proiecția individualității naționale, rareori al identității alianțelor internaționale din care România face parte. Astfel, schimburile informaționale în cadrul alianțelor, chiar dacă există și sunt încurajate prin conlucrarea instituțiilor statelor și a serviciilor de informații, sunt mai restrictive decât ușurința cu care se produce complementaritatea capabilităților tehnice, cinetice, stipulată prin documente politico-militare și a căror eficiență este demonstrată în exerciții și aplicații militare.

O discreție informațională cu caracter național este normală și totodată benefică fiecărui stat, dincolo de protocoalele schimbului de informații bazate pe principiul “need to share” cu scopul contracarării colective a unor amenințări comune. Scopul unei opacități informaționale punctuale este dat de evitarea incertitudinilor în direcția prezervării identității naționale și de evaluarea critică a loialității în cadrul alianțelor, chiar dacă limbajul diplomatic și protocoalele internaționale au puterea să camuflează stările de neîncredere. Informațiile clasificate sunt gestionate în diverse instituții ale statului: de la cele implicate în securitatea naționale și ordinea publică (armată, poliție, servicii de informații), la cele cu profil economic, politic, diplomatic, administrație publică (instituții guvernamentale), instituții juridice și organizații din domeniul cercetării științifice și tehnologice speciale. Astfel, procedurile și măsurile necesare protecției datelor clasificate se integrează perfect în cadrul atribuțiunilor instituțiilor statului, cu o birocrație strict delimitată, foarte bine structurate, supuse unor reguli constrângătoare de păstrare a secretului informației plecând de la nevoia de a cunoaște- need to know. Domeniul de activitate specific fiecăreia dintre instituțiile enumerate este distinct, iar personalul care le încadrează are un profil psiho-social particularizat, generat de mediul socio-profesional, instruirea profesională și sarcinile de muncă specifice. Atunci când actorul social, membru al unei astfel de organizații, dezvoltă atitudini și comportamente ce pot duce la scurgeri de informații care pot afecta securitatea națională. Opinăm, că resursele tehnologice moderne implementate la nivel organizațional, indiferent de evoluția științifică viitoare în domeniu, nu vor demonstra o eficiență totală. Această idee reprezintă embrionul demersului nostru științific, pe care vom dezvolta premisele cercetării. Științele sociale au demonstrat faptul că omul, în contextul rolului său social, reprezintă componenta cea mai valoroasă, dar și cea mai sensibilă din sistemul unei organizații, fiind vulnerabil la influențele interne greu de anticipat și la cele externe independente de el, ce-i pot afecta atât propriile performanțele cât și dinamica grupului profesional căruia îi aparține. Ignorând pe cât posibil acele valori profesionale, specifice unor domenii particulare de acțiune și competențe, ne vom concentra efortul, în primele două capitole, printr-o viziune defensivă, doar pe valorile variabilelor psiho-sociale comune, necesare tuturor actorilor sociali, persoanelor autorizate pentru a accesa informații clasificate. Opinăm că diseminarea neautorizată a informațiilor clasificate constituie un risc generat de factorul uman, în mod direct ̶ prin intenția sa de a săvârși aceasta sau indirect ̶ ca rezultat al mai multor factori:

greșeli umane, erori procedurale, deficiențe organizatorice sau a utilizării unor echipamente hardware și software inadaptate atacurilor cibernetice actuale (în cazul informațiilor stocate și gestionate în format electronic). Din orice unghi am evalua problematica, cel mai vulnerabil element al sistemului de protecție se dovedește a fi mereu latura umană. Pentru acoperirea subiectului cercetat ne simțim obligați de exigența cercetării științifice să aplicăm și o abordare ofensivă a temei, din perspectiva organizațiilor ostile interesului național, cu scopul de a anticipa cât mai obiectiv, nu doar standardele procedurale de acțiune ostilă, ci și elementele de noutate, uneori spontane. Toate acestea sunt adaptate, în scop ilicit impotriva interesului național, contextelor particulare prin care se încearcă forțarea unor variabile umane, prin tehnici persuasive, spre limitele psihicului uman ce conduc spre deconspirarea cu intenție a informațiilor clasificate.

CAPITOLUL I INFORMAȚIILE CLASIFICATE ȘI INFORMAȚIILE DE INTERES PUBLIC 1.1.DREPTUL LA INFORMAȚII Securitatea are un dublu sens, și anume statutul precum și condiția atinsă atunci când informațiile, materialele, personalul, activitățile și instalațiile sunt protejate împotriva spionajului, sabotajului, subversiunii, terorismului și a altor daune, precum și împotriva pierderii și dezvăluirii neautorizate și a unui sistem de măsuri pentru asigurarea protecției din valorile enumerate. Securitatea informațiilor este reglementată la nivel legislativ prin legi, decizii guvernamentale și administrative, precum și reglementări, reguli interne care implică măsuri fizice și tehnice pentru a apăra informații clasificate și critice împotriva comportamentului clandestin de informații precum: spionajul, acte de distrugere și furt, accesul persoanelor care nu are garanții de Securitate. Securitatea informațiilor este un sistem organizat de principii, proceduri și reguli, pentru a păstra integritatea unor valori. De obicei, valoarea centrală este informația împotriva acțiunilor și al influențelor adverse, astfel un sistem care are următoarele componente: securitatea fizică , securitatea documentelor, comunicarea și securitatea calculatoarelor, securitatea personalului din fiecare dintre dimensiunile analizate, amenințările, vulnerabilitățile și riscurile apar instantaneu, iar securitatea personalului implică un anumit aspect elementele de incompatibilitate – în ceea ce privește securitatea, componenta cea mai vulnerabilă este individul și, din acest motiv, securitatea persoanelor este vitală pentru date precum protecția secretelor informatice. Pentru instituții sau organizații, este importantă existența unui personal care are comportamențe care reflectă valori în conformitate cu cerințele de eficiență și integritate. Instituțiile corporațiilor, fie ele mari sau mici, trebuie să se asigure că angajații, contractanții pe care îi aleg să le lucreze sunt într-adevăr cei pe care ei îi spun, au acreditările pe care le pretind că le au și aleg să se comporte cu integritate. Decizia de a colabora cu aceștia, de a avea încredere în mandat pentru a le permite accesul la date sensibile este, fără îndoială, monumentală. Deci, atunci când vorbim despre informații relevante (clasificate, confidențiale, secret economic, secret bancar, care ar avea un impact negativ din punct de vedere economic sau funcțional dacă ar fi avut problemele au fost abordate în articol. Securitatea în organizație și abordări publice în revizuirea anchetei penale au fost transmise sau dezvăluite într-o manieră neautorizată și ilegală, atunci integritatea persoanelor devine mult mai importantă, reflectată în responsabilitate, conștientizare și îndeplinirea

obiectivelor, cerințelor și regulamentelor instituționale și avem următoarea ecuație: securitatea (de valori) + competența de integritate. Astfel, statele și organizațiile (societățile protejează valori precum informația (deciziile, protejează resursele financiare, produsele, serviciile, echipamentele și spațiile fizice. De asemenea, prin intermediul unui proces general de selecție a persoanelor (pentru promovarea ocupării forței de muncă și dacă valorile a se referi la informație clasificată ca o referință principală, atunci se va aborda standardele impuse de lege, care se referă la un camp securitatea / protecția personalului, care generează un anumit proces, și anume a autorizației de securitate. Prin intermediul unei autorizații de securitate, care poate fi efectuată de structuri specializate în cadrul statului (de obicei serviciile de informații / securitate, competență poate fi abordată (prezența cerințelor necesare pentru îndeplinirea sarcinilor profesionale, în scopul atingerii obiectivului, ca o Actualitatea rezultatelor, combinată cu factorul de integritate, existența unor certitudini sau comportamente în anumite circumstanțe psihologice sau sociale, prin care se tratează anumite trăsături precum loialitatea, corectitudinea, încrederea, discreția, responsabilitatea. Permisul de securitate pentru acordarea accesului la informații clasificate (secretul de stat este stabilit în România prin legea privind protecția informațiilor clasificate, standardele naționale ale Guvernului privind protecția informațiilor clasificate în România, decizia guvernului formulare privind protecția informațiilor clasificate în România. Obiectivele acestui articol rezidă în modelarea unei filozofii de protecție a personalului cu implicații pragmatice pentru decizia de acordare a accesului la informații clasificate, luând în considerare complianța naturii umane și diferitele circumstanțe asociate actelor, comportamentelor, prin: descrierea unor concepte specifice din legislația românească, care nu au o importanță unitară în tot conținutul, prin introducerea unor elemente de evaluare suplimentare, ca factori analitici critici, condiții care ar putea atenua preocupările legate de securitate. Deci, constă în clarificarea anumitor concepte sau principii existente în legislație privind protecția personalului, loialitate, corectitudine, discreție, vulnerabilități, riscuri, amenințări, elemente de incompatibilitate prin corelarea acestora cu indicatorii din legislație și decizii naționale. Având în vedere că legislația specifică românească a fost construită pe baza acestor norme de securitate a documentului pentru protecția informațiilor clasificate. Pentru o perspectivă funcțională în cadrul articolului, în ceea ce privește trăsăturile de personalitate relevante pentru siguranță, propunem următoarele conceptualizări:

Ø corectitudinea implică respectarea regulilor, îndeplinirea eficientă a sarcinilor sociale și profesionale, Ø onestitate se axează pe menținerea relațiilor sincere și corecte, Ø încrederea respectând ceea ce am spus, respectând angajamentele verbale sau scrise, stabilitatea comportamentului celorlalți, Ø discreție emoțională și rațională mențin confidențialitatea secretelor, evitând angajarea altora în legătură cu aspecte care încalcă regulile identității constante. Ø Loialitate implică adoptarea obiectivelor unei comunități sau instituții mari, respectarea obligațiilor și desfășurarea activităților care derivă din aceste contracte. Ø Fiabilitate reprezintă o trăsătură care derivă din capacitatea fizică și mentală de a-și exercita judecata, de a percepe sau de a prezenta realitatea cât mai aproape de adevăr și să-și asume responsabilitatea integral. Ø Integritatea reprezintă calitatea de a fi onest și de a avea principii morale puternice este, în general, alegerea personală de a se ține la standarde morale și etice consecvente, Recunoscând că, din perspectiva simplității pe care o caracterizează ecuația securității, este adecvat să se asocieze și alte concepte la ideea generală de integritate fără limitele impuse de câmpurile morale etice, după ce am menționat că acestea prezintă comunități de suprapunere a anumitor sensuri și influențe. În plus, prezentarea inițială are ca scop facilitarea și înțelegerea completă și completă a aspectelor de personalitate relevante pentru Securitate. Dacă ar fi să integrăm aspectele enumerate la un nivel abstract al anumitor metaconcepte asociate integrității, în conformitate cu adunări de referință la birou, am avea următorii factori de personalitate relevanți pentru securitate: responsabilitatea socială a conștiinței, protecția datelor clasificate este asigurată prin aplicarea reglementărilor, iar conștiința socială înseamnă acceptarea autorității, interpersonale adecvate, relaționarea și aplicarea regulilor și reglementărilor. Autocontrolul reprezintă capacitatea de a exercita un control responsabil și rațional asupra anumitor impulsuri de comportament, prin asumarea responsabilității, stabilirea de obiective realiste, depunerea eforturilor și elaborarea planurilor de realizări profesionale. Securitatea se referă la o atitudine proactivă, iar demotivarea, nesatisfacția și superficialitatea pot compromite informațiile, intenționat sau neintenționat. Capacitatea de a-și îndeplini angajamentele permite accesul la informațiile clasificate, care presupune și o confidențialitate precum și o protecție a drepturilor, valabile în timpul muncii (dar și după plecare), această trasare fiind reflectată de respectarea obligațiilor personale sau profesionale, pe parcursul

timpului, care implică existența unor relații interpersonale adecvate și îndelungate , stabilitatea profesională, asumarea obiectivelor organizației (alegerea a ceea ce este corect.), luăm în considerare următoarele concepte / principii din legislația românească (în domeniul personalului se ia decizia privind eliberarea de securitate / autorizație de acces pe baza tuturor informațiilor disponibile și trebuie să țină cont de: o loialitate incontestabilă a persoanei, prin caracter, obiceiuri, relații și discreție a persoanei, care ar putea oferi garanții. Verificarea securității tuturor măsurilor luate de către autoritățile de securitate, în conformitate cu competențele lor, în vederea stabilirii protecției personalului. Toate procedurile și măsurile de control aplicate persoanelor care îndeplinesc sarcini legate de informații clasificate în scopul prevenirii și descurajării riscurilor de securitate pentru protecția informațiilor clasificate. Procedura de verificare a acordării accesului la informațiile secrete de stat vizează identificarea risipei de securitate corespunzătoare gestionării informații secrete de stat.
TABEL1. Componența integrității

Când există securitatea riscurilor privind eligibilitatea pentru accesul la informații clasificate În cazul în care există riscuri de securitate în timpul perioadei de valabilitate a autorizării de acces, autorizației de acces în timpul verificării la orice nivel, există informații care evidențiază riscul de securitate Se efectuează o verificare suplimentară, folosind metode și mijloace specifice organizațiilor cu competențe în domeniul securității naționale. Criteriile principale pentru evaluarea eligibilității când acordând aprobarea de securitate pentru emiterea autorizării de securitate / autorizației de acces, ținând seama atât de caracteristicile caracterului, cât și de situațiile sau circumstanțele care pot conduce la vulnerabilități de securitate și risc. activitățile de drenare se desfășoară în conformitate cu un plan pentru a preveni, a contracara și a elimina riscurile și amenințările la adresa securității informațiilor clasificate, dintre următoarele situații pot constitui elemente de incompatibilitate pentru petiționar Accesul la informațiile secrete de stat și studierea documentele străine, se poate concluziona că, în timp ce în conceptele de loialitate, onestitate și discreție sunt prezentate în condiții similare cu cele din legislația bosniacă, pe de altă parte sunt observate doar trei trăsături, respectiv loialitate, încredere, fiabilitate: Procedurile de securitate a personalului sunt concepute pentru a evalua dacă o persoană poate, ținând cont de loialitatea sa, de încredere și de fiabilitate, să fie autorizată să aibă a continuat accesul la informații clasificate fără a constitui un risc inacceptabil pentru securitate paginile următoare conțin principalele criterii pentru evaluarea loialității, credibilității și fiabilității unei persoane pentru a fi acordată. Aceste alineate iau în considerare aspecte de caracter și circumstanțe care ar putea genera probleme de securitate potențiale. Procedurile de verificare a securității personalului vor fi concepute astfel încât să determine dacă o persoană, având în vedere loialitatea, încrederea și fiabilitatea sa, poate fi autorizată să acceseze EUCI. O definiție a autorizării de securitate se află în afara abordării, care este un proces prin care se identifică și se evaluează loialitatea, încrederea și fiabilitatea, indicatori relevanți de comportament sau caracter pentru protecția informațiilor prin intermediul acestor trăsături a fost introdusă o altă condiție, și anume că persoana poate prezenta un risc acceptabil de siguranță (practica HS motivează că este rezonabil să presupunem că nu există nici o persoană perfectă din punctul de vedere al autorizărilor de securitate. În momentul în care considerăm că este potrivit să încercăm să clarificăm și să conectăm termenii de vulnerabilitate, amenințare, risc, prin urmare, am selectat următorii parametri: vulnerabilitate o stare de lucruri, un atribut sau un lacdic de control care ar permite sau facilita o actiune

de amenintare impotriva informatiilor clasificate sau a serviciilor si resurselor de sprijin amenințare Potențialul de compromis, pierdere sau furt de informații clasificate sau servicii și resurse de sprijin. Amenințarea poate fi definită de sursă, motivația sau rezultatul acesteia, poate fi deliberată sau accidentală, violentă sau falsă, intenție eternă sau internă și capacitatea unui adversar de a întreprinde acțiuni care ar fi în detrimentul intereselor risc vulnerabilitatea unei vulnerabilități fiind exploatată cu succes de o amenințare care duce la o compromiterea identității, integrității și / sau a disponibilității și a daunelor care sunt susținute de probabilitatea pierderii de pe urma unui incident sau a unui incident advers. este o funcție de amenințare capabilități adversari, intenții și oportunități și vulnerabilitate. pot fi uantificate și epressate în termeni precum costuri în pierdere de viață, dolari, resurse, impact programatic, De asemenea, pornind de la principalele semnificații, în raport cu procentul de protecție a personalului propunem următoarele conceptualizări: Ø Vulnerabilitățile sunt caracteristici psihologice și comportamentale subiective negative, pe baza cărora o persoană a fost / este / poate fi determinată să se implice în acte neautorizate sau ilegale nelegitime de colectare, transmitere, distrugere, modificare a informațiilor, respectiv pot compromite intenționat sau neintenționat informațiile din punctul de vedere al confidențialității, integrității și sau disponibilității. Ø vulnerabilitățile reprezintă o preocupare din cauza amenințării permanente a securității naționale de către națiunile străine și de către cetățenii necinstiți. Printre vulnerabilitățile potențiale se numără: loialitatea față de stat, influența străină, preferința străină, comportamentul sexual, comportamentul personal, considerațiile financiare, consumul de alcool, drogurile implicarea, condițiile psihologice, comportamentul criminal, manipularea informațiilor protejate, activitățile externe. Amenințări sunt persoane sau entități, structuri informative, grupuri de crimă organizată, grupuri teroriste, care, prin intenții și capabilități (atât actuale, cât și viitoare, dezvăluie scopul accesului neautorizat, ilegal, nelegitim al informațiilor clasificate și sau persoanele care susțin respectivele activități prin acțiuni direct / indirect, intenționat / neintenționat. Având în vedere persoană, amenințările apar în mediul lor relațional, în situații și circumstanțe.

• Risc-luând în considerare ideea conform căreia persoana trebuie să reprezinte o securitate acceptabilă pe care o definim • Risc- caprobabilitate potențială ca urmare, conform existenței există anumite vulnerabilități sau amenințări. Persoana poate fi implicată în acte neautorizate / ilegale / iligitabile de colectare, transmitere, distrugere, modificare a informațiilor, respectiv persoana poate compromite informațiile clasificate prin acțiuni / lac de acțiuni, direct / indirect, intenționat / neintenționat, generând astfel prejudicii pentru securitatea națională și apărarea (se referă la următorul principiu care guvernează verificarea securității se presupune în mod rezonabil că vulnerabilitățile și cele amenințări anterioare și condițiile prin care ei manageriate și manierate vor influența negativ protecția o clasificate în formulare. • În acest punct am putea spune că vulnerabilitățile și amenințările relevante pentru securitate sunt integrate în elemente de incompatibilitate / criterii de evaluare a eligibilității, ceea ce reprezintă, de fapt, situații concrete de a judeca dacă o persoană este o persoană de securitate acceptabilă. Din punct de vedere personal, actul de evaluare nu implică o analiză separată pentru a stabili dacă există integritate, vulnerabilități, amenințări, riscuri, elemente de incompatibilitate. Printre vulnerabilități se numără vulnerabilitățile și sau amenințările care pun în pericol integritatea și faptul că, după evaluare, se concluzionează că există elemente de incompatibilitate înseamnă implicit implicarea riscurilor de securitate. De aceea evaluarea este în cele din urmă redusă la stabilirea aplicarea, neaplicarea elementelor, utilizarea tuturor acestor concepte având în realitate scopul de a defini un cadru theoretic, conceptual general al securității personalului. Se recunoaște că există un interes și pentru definirea, cum ar fi analiza și evaluarea tuturor formelor disponibile, prin punctul de vedere al integrității, luând în considerare trăsăturile psihologice și comportamentale subiective, mediul relațional, situațiile și circumstanțele sau identificarea vulnerabilităților și amenințărilor care s-au materializat singular sau în asociere în elemente de incompatibilitate, astfel încât să putem concluziona că persoana reprezintă o riscul de securitate acceptabil, orice susceptibilitate pune la îndoială incertitudinile privind integritatea persoanei care este rezolvată în interesele securității naționale. În acest context, simplificarea definiției autorizării de securitate prin referire la identificarea și evaluarea fidelității, credibilității și fiabilității reprezintă, de fapt, referință indiscutabilă la elementele de incompatibilitate, deoarece în practică, următoarea ascensiune este situațiile concrete care indică faptul că aceste trăsături sunt.

Deci, dacă am propune o definiție definită, atunci verificarea securității este procesul prin care toate informațiile disponibile în formularul de completare a informațiilor de securitate despre o persoană într-o anumită perioadă de timp sunt căutate și verificate, vizând identificarea vulnerabilităților și amenințărilor care sunt evidențiate ca relevante sau de securitate prin situația corespunzătoare elementelor de incompatibilitate regulamentul final este de a asigura existența loialității, a credibilității și a fiabilității. Nu este scopul de a asigura procesele de verificare a securității solicitanților de penalizare sau de condițiile sau greșelile pe care le-ar fi putut să le facă în trecut. Scopul este o încercare de a anticipa comportamentul pasiv pe baza comportamentului și condițiilor anterioare și a condițiilor, ideea de a identifica dacă persoana este o securitate acceptabilă dezvăluie următoarele trei situații: Nu sunt identificate și aplicate elemente de incompatibilitate și, implicit, persoana este o securitate acceptabilă în conformitate cu teoria insiderilor care arată că este vorba despre o persoană să devină un viitor, deși lucrurile erau normale la momentul verificării și de aceea necesitatea de a evalua o cârpă în întreaga perioadă în care acestea au acces la informații clasificate reglementează, de asemenea, elementele de incompatibilitate identificate și aplicate și, implicit, persoana nu este se identifică situații specifice de securitate specifice, descrise prin elemente de incompatibilitate, dar acestea nu se aplică. Si documentele nu dezvăluie procedura pentru această poziție, cu toate acestea, legislația și practica oferă elemente suplimentare, respectiv actori de analiză critică natura, seriozitatea și seriozitatea comportamentului circumstanțele care comportă comportamentul, includerea participării acumulabile, frecvența și recenta a comportamentului vârsta și maturitatea individului la momentul conducerii la care participarea este voluntar prezența sau absența reabilitării și a altor schimbări comportamentale permanente motivația pentru desfășurarea potențialului de presiune, constrângere, epuizare sau constrângere a continuității sau reapariției și condiții care ar putea atenua preocupările legate de securitate. În acest caz, atunci când elementul de incompatibilitate nu se aplică, se concluzionează implicit că persoana este o garanție acceptabilă există o probabilitate minimă ca persoana să obțină implicat în acte de compromitere a practicii de informare, în cazul în care aducatorul decide că informațiile de adecvare nefavorabilă nu sunt suficient de serioase pentru a recomanda respingerea sau revocarea, poate fi acordată sau continuată cu avertismentul că viitoarele incidente de natură similară pot duce la revocare.

Prin urmare, nu este necesar să avem o argumentare a existenței și aplicării elementelor de incompatibilitate și a unei soluții separate, suplimentare pentru securitate pe care o identific doar situația descrisă de elementul de incompatibilitate și decizia dacă acest element se aplică sau nu prin factori critici și condiții de atenuare implică de asemenea existența, inexistența la mai mult la o expresie sintetică, cum ar fi persoana care prezintă o inacceptabilitate securitatea poate apărea în contetul argumentării existenței unui element. Securitatea personalului, este necesar să se descrie concepte precum vulnerabilitatea, amenințarea și astfel încât instrumentele teoretice și practice caracterizate printr-o viziune integrativă să fie accesibile specialiștilor, cu efecte pozitive în înțelegerea, interpretarea și evaluarea actelor umane și comportamentele din perspectiva securității. Deci, elementele de incompatibilitate implică vulnerabilități, amenințări și sunt logic dezvoltate din reușitele primare ale securității, și anume existența unor trăsături precum loialitatea, încrederea și fiabilitatea, integritatea și pe acest motiv le putem considera drept nucleul dur al personalității , din punctul de vedere al securității, menționând, mai întâi, că se poate crea o posibilitate logică, că în cazul în care în practica zilnică apare o nouă situație care nu este deloc descrisă prin elementul de incompatibilitate, se poate lua decizia pragmatică de a nu permite accesul la informații clasificate pentru a proteja securitatea națională. Potrivit legislației în vigoare, printre care și Declarația Universală a Drepturilor Omului, care statuează că orice individ are dreptul să-și exprime opinia, neîngrădit, să emită opinii libere, de asemenea, are drepul de a transmite informații și păreri prin orice fel de mijloace, fără a fi condamnat pentru asta. Plecând de la idea formulată anterior, Constituția Romăniei garantează cetățenilor săi accesul la infomații de interes public1. Autoritățile competente ale statului, au obligația de a respecta drepturile privind problemele de interes public și privat ale acestora, însă având grijă să nu aducă atingere vieții familiale și intime2. Trebuie să luăm în considere că există și posibilitatea ca unele informații să afecteze unele valori universal recunoscute, din acest motiv, întodeuna există și excepții de la regulă. Motivele pentru care exercițiul unui drept poate fi îngrădit: apărarea siguranței naționale, a ordinii, a sănătății ori moralei publice, a drepturilor cetățenilor, desfășurarea instrucției penale. În mod justificat, a fost adoptată legea nr 544/20013 ea fiind o necessitate în România, dorită atât de către societatea civilă, cât 1 Constituția României, art. 31 alin. 1 2 Legea nr. 544/2001 privind liberul acces la informațiile de interes public care definește, într-o manieră generală, informația de interes public, ca fiind orice informație care privește activitățile sau rezultă din activitățile unei autorități sau instituții publice, indiferent de suportul ori de forma sau modul de exprimare

și de puterea legislativă. Scopul ei este de a garanta accesul liber la informațiile de interes public. În categoria informațiilor de interes public putem include, orice fel de activități avute de autoritățile sau instituțiile publice. Una dintre obligațiile autorităților publice este de a publica și de actualiza periodic buletine informative care să conțină date ce pot fi oferite publicului larg. De asemenea, instituțiile abilitate, sunt obligate să prezinte rapoarte periodice referitoare la activitatea pe care au desfășurat-o. Orice cetățean poate să solicite, în scris, sau verbal, de la instituțiile publice orice fel de informație, acestea având obligativitatea de a asigura accesul la datele solicitate sub forma unor note scrise sau verbale. Evident că există și o serie de informații care fac excepție de la această regulă, iar din acestea fac parte informațiile clasificate. INFORMAȚII CLASIFICATE v informațiile din domeniul apărării nationale, siguranței și ordinii publice, dacă fac parte din categoriile informațiilor clasificate, potrivit legii; v informațiile privind deliberările autorităților, precum și cele care privesc interesele economice și politice ale României, dacă fac parte din categoria informațiilor clasificate, potrivit legii; v informațiile privind activitățile comerciale sau financiare, dacă publicitatea acestora aduce atingere principiului concurenței loiale, potrivit legii; v informațiile cu privire la datele personale, potrivit legii; v informațiile privind procedura în timpul anchetei penale sau disciplinare, dacă se periclitează rezultatul anchetei, se dezvăluie surse confidențiale ori se pun în pericol viața, integritatea corporală, sănătatea unei persoane, în urma anchetei efectuate sau în curs de desfășurare; v informațiile privind procedurile judiciare, dacă publicitatea acestora aduce atingere asigurării unui proces echitabil ori interesului legitim al oricăreia dintre părțile implicate în proces; v informațiile a căror publicare prejudiciază masurile de protecție a tinerilor. Tabel 1. Informații clasificate4. 4 Excepții de la informații de interes public.

Pentru a evita ca autoritățile competente să clasifice anumite informații doar pentru a ascunde unele încălcări ale legii, există prevederi legale, astfel încât să nu fie favorizate autoritățile sau instituțiile publice atunci când trec în sfera ilegalității. Evident că există și o serie de excepții care limitează accesul la informațiile de interes public. Având în vedere că informația devine un amplificator multidirecțional al valorii raționamentelor factorilor de decizie și al transpunerii acționale a acestora, fiind utilizată defensiv, pentru contracararea la un moment dat a amenințărilor și ofensiv, pentru promovarea intereselor naționale, obținerea avantajelor de cunoaștere și adaptarea la provocările mediului internațional, în acest capitol ne propunem explorarea rolului informației în prevenirea și contracararea spectrului dinamic al amenințărilor la adresa securității naționale, printr-o analiză minuțioasă a limitelor critice existente între informațiile publice și informațiile de tip secret. Într-o societate în continuă schimbare bazată pe democrație, accesul la informație este important din mai multe considerente, dintre care amintim: ACCESUL LA INFORMAȚIE ÎN SOCIETATEA DEMOCRATICĂ v informația este un prim element pe care îl presupune cunoașterea; v informația este un ingredient esențial al formării atitudinilor care susțin sau inhibă schimbarea într-o societate. Cu alte cuvinte, fără informație nu putem vorbi de noțiuni precum: schimbare, progres, reformă. v informația este necesară grupurilor active pentru a le permite să se angajeze în dezbateri deschise cu autoritățile publice pe teme care afectează interesele lor sau a unor categorii mai largi; v accesul la informație reduce dezechilibrul de putere dintre guvernanți și cei guvernați; v accesul la informație impune constrângeri asupra comportamentului birocratic, descurajând, într-o anumită măsură, ineficiența, abuzurile și corupția din instituțiile publice. Tabel 2. Acces la informații publice5 5 Potrivit art. 15 lit. „a” din Legea nr. 182/2002 constituie informații – „orice documente, date, obiecte sau activități, indiferent de suport, forma, mod de exprimare sau de punere in circulație”.

Informațiile trebuie să întrunească trei condiții pentru a fi utile: CONDIȚII DE FUNCȚIONALITATE v disponibilitatea – este acea proprietate a unui sistem sau a unei rețele de a asigura utilizatorilor legali/îndrituiți informația completă atunci când aceștia au nevoie; v confidențialitatea – este acea proprietate a unui sistem sau a unei rețele de a permite accesul la informații numai utilizatorilor cărora le este destinată și să ofere garanții suficiente pentru a interzice accesul celorlalți utilizatorilor; v integritatea – acea proprietate a unui sistem sau a unei rețele de a asigura livrarea informației fără modificări accidentale sau neautorizate Tabel 3. Condiții de funcționalitate 1.2. INFORMAȚII CLASIFICATE Putem defini informațiile clasificate6, ca fiind acele date guvernamentale, sensibile, iar accesul la ele fiind restricționat prin legislație și reglementat. De asemenea, este necesară o autorizație pentru a putea vizualiza. Pentru ca informațiile să devină clasificate trebuie să existe un proces de aprobare. Conform prevederilor legale în vigoare, exemplificăm prin legea 585/2002, pentru ca o informație să facă parte din categoria celor clasificate, trebuie să se subjuge unei clase și unui nivel de secretizare. O informație să fie clasificată doar în momentul în care, instituțiile abilitate ale statului, au un scop și un interes de a le integra într-o astfel de categorie. Dacă o astfel de informatie ajunge pe mâini nepotrivite, ele pot conduce la insecuritattea statului, implicit a cetățenilor acestuia. Acesta este motivul pentru care nu oricine poate avea acces la astfel de informații, iar persoanele care acced la aceste date de tip secret, trebuie să fie de încredere, loiale și să treacă printr-un proces de verificare amănunțit. Sfera de cuprindere este stabilită prin lege7. Informațiile clasificate nu pot fi dezvăluite opiniei publice, astfel putem înțelege că datele cu caracter restrictiv nu fac parte din categoria “need to know”. 6 art. 15 lit. „b” din Legea nr. 182/2002 7 Neculae Năbârjoiu, Securitatea Informațiilor, Ed. AGIR, Târgoviște, 2008, p.43

Accesul la informațiile secrete este bazat de principiul nevoii de a știi. Pe baza acestei nevoi, se primește autorizația necesară accesului, care este acordată “in personam” și numai în scop nobil pentru a apăra securitatea națională, care face parte din task-urile de serviciu ale individului. De asemenea, în H.G. nr. 585/2002 este stabilită și definiția autorizării de acces la informații clasificate și se referă la un act emis de Autoritățile competente (ORNISS) prin care avizează și certifică pentru o perioadă limitată de timp, o anumită persoană să acceseze și să lucreze cu informații sensibile8. Activitatea de informații presupune procesul prin care date necesare, importante și într-o măsură oarecare secrete, privind securitatea națională, sunt culese – oficial sau în secret -, verificate, evaluate, integrate, interpretate, analizate și furnizate decidentului politic în scopul luării unor hotărâri privind apărarea intereselor naționale, precum și pentru contracararea amenințărilor adversarilor actuali sau potențiali; se desfășoară continuu, oportun și trebuie să aibă un pronunțat caracter previzional, acțiunile în acest scop fiind executate de organisme specializate ale statului, în strictă conformitate cu legile și dispozițiile adoptate de autoritățile legale. CLASIFICAREA INFORMAȚIILOR
Informații politice
Informații economice
Informații militare
Informații științifice
Informații geografice
Informații biografice Tabel 4. Clasificarea informațiilor în funcție de sfera de influență Legea definește practic patru clase de informații clasificate în funcție de amploarea prejudiciului ce se poate produce prin diseminarea necontrolată a lor: 8 Art.3 HG nr.585/2002 Definiție “documentul eliberat cu avizul instituțiilor abilitate, de conducătorul persoanei juridice deținătoare de astfel de informații, prin care se confirma ca, în exercitarea atribuțiilor profesionale, posesorul acestuia poate avea acces la informații secrete de stat de un anumit nivel de secretizare, potrivit principiului necesității de a cunoaște”.

INFORMAȚII CLASIFICATE STRICT SECRETE DE IMPORTANȚĂ DEOSEBITĂ • informațiile a căror divulgare neautorizată este de natură să producă daune de o gravitate excepțională securității naționale; STRICT SECRETE • informațiile a căror divulgare neautorizată este de natură să producă daune grave securității naționale; SECRETE • informațiile a căror divulgare neautorizată este de natură să producă daune securității naționale; SECRETE DE SERVICIU • informațiile a căror divulgare neautorizată este de natură să producă daune persoanelor fizice și juridice. Tabel 5. Informații clasificate de importanță națională9 În România se folosesc informațiile clasificate: naționale, NATO, UE precum si cele stabilite prin relații bilaterale internaționale. INFORMAȚII NATO CLASIFICATE COSMIC TOP SECRET (CTS) pentru informațiile a căror divulgare neautorizată poate produce NATO prejudicii deosebit de grave; NATO SECRET (NS) pentru informațiile a căror divulgare neautorizată poate produce NATO prejudicii grave; NATO CONFIDENTIAL (NC) pentru informațiile a căror divulgare neautorizată poate produce NATO prejudicii; NATO RESTRICTED (NR) pentru informațiile a căror divulgare neautorizată poate afecta interesele și eficacitatea NATO Tabel 6. Informații NATO clasificate 9 Legea 182/2002 privind informațiile clasificate cu modificările ulterioare

INFORMAȚII UE CLASIFICATE EU TOP SECRET (TRES SECRET UE) pentru informațiile a căror divulgare neautorizată poate produce UE prejudicii deosebit de grave SECRET UE pentru informațiile a căror divulgare neautorizată poate produce UE prejudicii grave; CONFIDENTIEL UE pentru informațiile a căror divulgare neautorizată poate produce UE prejudicii RESTREINT UE pentru informațiile a căror divulgare neautorizată poate afecta interesele și eficacitatea UE. Tabel 7. Informații UE Clasificate Așa cum rezultă din dispozițiile Anexei 1 la H.G. nr. 585/2002, unitatea deținătoare de informații clasificate sau unitate este autoritatea sau instituția publică, agentul economic cu capital integral sau parțial de stat ori o altă persoana juridică de drept public sau privat care, potrivit legii, are dreptul de a deține informații clasificate. Conform art. 3 al Anexei 1 la H.G. nr. 585/2002, funcționarul de securitate este persoana care îndeplinește atribuțiile de protecție a informațiilor clasificate în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sau parțial de stat și altor persoane juridice de drept public sau privat, iar structura de securitate este compartimentul specializat în protecția informațiilor clasificate, organizat în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sau parțial de stat și al altor persoane juridice de drept public sau privat.

ROMÂNIA STRICT SECRETE DE IMPORTANȚĂ DEOSEBITĂ STRICT SECRETE SECRETE SECRETE DE SERVICIU NATO COSMIC TOP SECRET NATO SECRET NATO CONFIDENTIAL NATO RESTRICTED UE EU TOP SECRET SECRET UE CONFIDENTIEL UE RESTREINT UE Potrivit art. 29 din aceiași Anexă 1 la HG nr. 585/2002, pentru implementarea măsurilor de protecție a informațiilor clasificate, în unitățile deținătoare de astfel de informații se înființează, în condițiile legii, structuri de securitate cu atribuții specifice, al cărui șef – denumit și funcționar de securitate – este un adjunct al conducătorului persoanei juridice sau un membru al consiliului de administrație al unității. Nu putem vorbi de securitatea informației fără existenta unei clasificări a acesteia – pivotul principal al unui sistem de securitate performant. Acest proces permite identificarea informației care necesită masuri speciale de protecție împotriva dezvăluirilor neautorizate si, implicit, a valorilor de protejat. Politicile de securitate vin sa stabilească modalitatea de protecție, funcție de nivelul de clasificare acordat fiecăreia. Daca o anumita informație este încadrata greșit riscă sa fie vulnerabila, efectul propagandu-se asupra tuturor aspectelor de control al accesului fizic si logic la ea, a modului de transmitere, stocare si distrugere. Pe scurt, orice dispoziție cu privire la protejarea informațiilor își intra in rol doar după ce acesteia i s-a atribuit un nivel de clasificare. PREJUDICII DE GRAVITATE DEOSEBITĂ PREJUDICII GRAVE PREJUDICIAZĂ INTERESELE ÎN DEFAVOAREA INTERESELOR

Încadrarea informațiilor într-o clasă sau nivel de clasificare se realizează în raport de importanța pe care o au pentru securitatea națională și de consecințele ce s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate. În sensul Legii nr. 182/2002 privind informațiile clasificate, prin informații se înțeleg « orice documente, date, obiecte sau activități, indiferent de suport, forma, mod de exprimare sau de punere în circulație ». În cadrul informațiilor clasificate se înscriu atât informațiile care privesc securitatea naționala, a căror divulgare ar putea prejudicia siguranța naționala si apărarea tarii, denumite informații secrete de stat, cât si informațiile a căror dezvăluire ar putea aduce prejudicii unor persoane juridice de drept public sau privat, care sunt definite drept informații secrete de serviciu. Documentul clasificat este orice suport material care conține informații clasificate, în original sau în copie, precum: – hârtie – documente olografe, dactilografiate sau tipărite, schițe, hărți, planșe, fotografii, desene, indigo, listing; – benzi magnetice, casete audio-video, microfilme; – medii de stocare a sistemelor informatice – dischete, compact-discuri, hard-discuri, memorii PROM și EPROM, riboane; – dispozitive de procesare portabile – agende electronice, laptop-uri la care hard-discul este folosit pentru stocarea informațiilor. În conformitate cu prevederile Legii 182/2002 privind protecția informațiilor clasificate, informațiile secrete de serviciu sunt informațiile a căror divulgare este de natură să determine prejudicii unei persoane juridice de drept public sau privat. H.G. nr 585/2002 pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România stipulează că, listele cu informații secret de serviciu se stabilesc de conducătorii unităților deținătoare de astfel de informații. Întrucât protejarea informațiilor secrete de serviciu reprezintă o obligație ce revine persoanelor juridice care le dețin sau care intra în posesia lor, vom prezenta, în continuare, câteva dintre măsurile principale ce trebuie adoptate de către acestea în vederea aplicării procedurilor legale de protecție. În primul rând, precizăm că informațiile secrete de serviciu sunt astfel clasificate de către organele de conducere ale persoanelor juridice ce le dețin.

Lista informațiilor secrete de serviciu va conține cel puțin acele informații referitoare la activitatea persoanei juridice respective, care, deși nu reprezintă secrete de stat în înțelesul legii, nu trebuie cunoscute decât de persoanele cărora le sunt necesare pentru îndeplinirea atribuțiilor de serviciu, deoarece divulgarea lor ar putea prejudicia interesele persoanei juridice deținătoare. Clasificarea se va face însă numai în cazurile în care se impune protecția informațiilor și doar pentru perioada în care subzista necesitatea protejării. În cazul în care protejarea unora dintre secretele de serviciu nu mai este necesară, informațiile respective sunt declasificate prin ordinul organelor de conducere ale persoanelor juridice ce le dețin. Pentru a nu aduce atingere dreptului de a avea acces la informațiile de interes public, precum si pentru a asigura aplicarea altor dispoziții legale, se interzice clasificarea ca secrete de serviciu a informațiilor care, prin natura sau conținutul lor, sunt destinate sa asigure informarea cetățenilor asupra unor probleme de interes public sau personal, pentru favorizarea sau acoperirea eludării legii ori pentru obstrucționarea justiției. Persoanele juridice care dețin informații clasificate drept secrete de serviciu trebuie să organizeze compartimente speciale care sa asigure evidența, prelucrarea, păstrarea, manipularea si multiplicarea acestor informații în condiții de siguranță. Măsurile minime de protecție a informațiilor secrete de serviciu, stabilite de către organele de conducere ale persoanelor juridice ce dețin acest tip de informații, trebuie sa respecte principiile stabilite prin Standardele Naționale de Protecție a Informațiilor Clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002. Evidenta, întocmirea, păstrarea, procesarea, multiplicarea, transportul si transmiterea informațiilor clasificate sunt supuse unor reguli foarte stricte. Pentru funcționarii instituțiilor care gestionează informația clasificată, conștientizarea rolului acesteia în asigurarea securității naționale și înțelegerea puzzle-ului analitic ce produce emergența informațiilor clasificate din informații publice este o cerință actuală, indispensabilă protecției sistemului informativ. Sistemul complex și dinamic, informativ și informațional ne orientează demersul în mod logic spre asumpția evoluției impredictibile a formelor de manifestare a amenințărilor la adresa statului de drept. Involuntar, rezultat al unui raționament logic simplu, se naște ideea contracarării amenințărilor. Valența de impredictibilitate a viitorului nu ne convinge să realizăm o ruptură totală față de contextele acționale și ideaționale din trecut. Ar fi imposibil din prisma faptului că discontinuitățile nu sunt

evidente, iar subiectul protecției informațiilor clasificate va avea întotdeauna și o doză mare a caracterului clasic, adaptat fără schimbări semnificative ale paradigmei, la realitățile prezentului10. 3. INFORMAȚIILE DE INTERES PUBLIC Definiția autorității publice diferă de la o țară la alta, diferite legi având definiții oarecum diferite. Consiliul Europei11 propune o definiție a autorităților publice care se concentrează mai mult asupra a ceea ce fac acestea, în loc să se rezume la ce sunt ele. În scopul libertății de informare, Consiliul Europei definește autoritățile publice după cum urmează: – guvernarea și administrația la nivel național, regional sau local; – persoanele fizice sau juridice, în măsura în care acestea îndeplinesc funcții publice sau exercită autoritatea administrativă în conformitatea cu prevederile legale naționale. Această ultimă definiție – foarte importantă – implică faptul că orice instituție, fie publică, fie privată, trebuie considerată autoritate publică dacă exercită funcții publice sau își desfășoară activitatea în virtutea unei legi. Exemple de astfel de autorități ar putea fi: școlile, companiile de transport sau medicale private, barouruile de avocați etc. Organizația Articolul 1912 susține că definiția autorităților publice ar trebui să includă toate ramurile și nivelurile de guvernare, inclusiv guvernarea locală, organismele alese, autoritățile care operează în virtutea unui mandat statutar, companiile naționalizate și corporațiile publice, autoritățile nedepartamentale sau organizațiile cvasi non-guvernamentale, autoritățile judiciare și organismele private care desfășoară operații publice precum întreținerea drumurilor sau operarea transportului feroviar. Indiferent de una sau alta din definițiile propuse, ceea ce este important e că lista autorităților publice ale unei țări nu va rămâne mereu aceiași. Acestea se schimbă de-a lungul timpului. Se înființează noi agenții, în timp ce altele își pot pierde statutul public. Acest lucru se datorează faptul că statutul unei autorități publice depinde de activitățile unei instituții și nu de denumirea sa formală. Cât privește noțiunea de informații publice și acesta cunoaște definiții diferite. 11 Este o organizație internațională cu sediul în Strasbourg care cuprinde 47 de țări democratice din Europa. Misiunea lui este de a promova democrația și de a apăra drepturile omului și Statul de drept în Europa. Consiliul Europei, a luat naștere la 4 Mai 1949 și reunește toate statele Uniunii Europene și alte state din Centrul și Estul Europei. Așadar nu are nici o legătură cu Uniunea Europeană și este diferit de Consiliul European sau de Consiliul Uniunii Europene. 12 Articolul 19 este o organizație britanică neguvernamentală, non-profit, cu parteneri în peste 30 de țări, care promovează libertatea de exprimare și accesul al informații publice. Denumirea organizației provine de la articolul 19 al Declarației universale a drepturilor omului (a se vedea și www.article19.org):

Astfel, în viziunea Organizației Articolul 19, informațiile publice includ toate documentele deținute de o autoritatea publică, indiferent de forma în care acestea sunt stocate, document tipărit, bandă magnetică, versiune electronică, sursa acestora, chiar dacă un document a fost elaborat de acea autoritate publică sau de o alta, și data elaborării. La rândul său, Consiliul Europei utilizează noțiunea de documente oficiale pe care o definește incluzând toate informațiile stocate în orice formă, elaborate sau primite și deținute de autoritățile publice și care au legătură cu orice funcție publică sau administrativă. Legiuitorul definește, prin art. 213, câteva noțiuni esențiale în materie, inclusiv cele analizate mai sus. Astfel, potrivit acestui text: a. prin autoritate sau instituție publică se înțelege orice autoritate ori instituție publică ce utilizează sau administrează resurse financiare publice, orice regie autonoma, companie naționala, precum si orice societate comercială aflata sub autoritatea unei autorități publice centrale ori locale si la care statul roman sau, după caz, o unitate administrativ-teritoriala este acționar unic ori majoritar; b. prin informație de interes public se înțelege orice informație care privește activitățile sau rezulta din activitățile unei autorități publice sau instituții publice, indiferent de suportul ori de forma sau de modul de exprimare a informației; c. prin informație cu privire la datele personale se înțelege orice informație privind o persoana fizica identificata sau identificabila. Legiuitorul prin normele de aplicare a legii, impune autorităților și instituțiilor publice obligația de a comunica din oficiu o serie de informații de interes public prin publicarea unui buletin informativ care trebuie actualizat anual14. Informațiile care se comunică din oficiu sunt enumerate limitativ: 1) actele normative care reglementează organizarea și funcționarea autorității sau instituției publice; 2) structura organizatorică, atribuțiile departamentelor, programul de funcționare, programul de audiențe al autorității sau instituției publice; 3) numele și prenumele persoanelor din conducerea autorității sau instituției publice și ale funcționarului responsabil cu difuzarea informațiilor publice; 4) coordonatele de contact ale autorității sau instituției publice, respectiv: denumirea, sediul, numerele de telefon, fax, adresa de e-mail și adresa paginii de Internet; 13 Legea nr. 544/2001 privind liberul acces la informațiile de interes public 14 Art. 5 al Legii nr. 544/2001 privind liberul acces la informațiile de interes public

5) sursele financiare, bugetul și bilanțul contabil; 6) programele și strategiile proprii; 7) lista cuprinzând documentele de interes public; 8) lista cuprinzând categoriile de documente produse și/sau gestionate, potrivit legii; 9) modalitățile de contestare a deciziei autorității sau a instituției publice în situația în care persoana se consideră vătămată în privința dreptului de acces la informațiile de interes public solicitate. Totodată, autoritățile și instituțiile publice sunt obligate să pună la dispoziția persoanelor interesate contractele de privatizare încheiate după intrarea în vigoare a legii15, prin consultarea lor la sediul acestora. Fac excepție fac contractele de privatizare care se încadrează în sfera de aplicare. Accesul la aceste informații se realizează prin afișarea la sediul autorității sau instituției publice, ori prin publicarea în Monitorul Oficial al României sau în mijloacele de informare în masă, în publicații proprii, precum și în pagina de Internet proprie și prin consultarea lor la sediul autorității sau al instituției publice în spații special destinate acestui scop. În cazul instanțelor sunt, de pildă, documente de interes public: • actele normative care reglementează organizarea și funcționarea instanței; • organigrama; • bugetul și bilanțul contabil; • programele și strategiile; • listele ședințelor de judecată; • declarațiile de avere; • declarațiile de interese. • 4. PROTECȚIA DATELOR CU CARACTER PERSONAL Problema esențială a oricărei companii este felul în care se raportează la GDPR, iar prima întrebare logică în orice analiză internă este: care sunt datele cu caracter personal pe care le controlăm sau prelucrăm și în ce măsură trebuie să ne concentrăm pe aceste date. Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu 15Art. 12 alin. 1. a dispozițiilor Legii 544/2001,

caracter personal care fac parte dintr-un sistem de evidentă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidentă a datelor.” Prima întrebare logică este ce înțelege UE prin date cu caracter personal? Răspunsul îl găsim chiar în conținutul actului legislative, respective în art 4 prin care este definite sintagma <<date cu caracter personal>>și specific că reprezintă orice informație care privește o persoană fizică identificată sau identificabilă, denumită persoană vizată. Cu alte cuvinte, aceea persoană fizică identificabilă este o indubitabil o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Datele cu caracter personal reprezintă informații care, prin ele însele sau cu ajutorul cărora, împreună cu alte informații, pot conduce la identificarea unei persoane fizice. Mergând mai departe, putem extrage din contextul definiției de mai sus și o descriere a datelor cu caracter personal și anume, ca fiind acele informații despre o persoană identificabilă care se referă la nume, un număr de identificare (CNP, Card de Identitate, Certificat de Naștere, Pașaport, Permis de conducere, Card asigurări sociale, etc), date de localizare, un identificator online (o adresă IP de exemplu), sau unul sau mai multe elemente specifice, proprii identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. GDPR menționează datele personale sensibile ca fiind categorii speciale de date cu caracter personal. Printre categoriile speciale de date se includ originea rasială sau etnică, afilierile și opiniile politice, credințele religioase sau filosofice, apartenența la sindicate, orientarea sexuală și detalii privind sănătatea, date genetice și biometrice. Care ar fi elementele de noutate față de legislația existentă? Făcând o comparație pe texte legale existente în România și UE, am regăsit o nouă definiție16 extinsă a ariei de acoperire a numărului de identificare, definit acum ca element de identificare și din care pot face parte un nume, un număr de identificare, date de localizare sau un identificator online. Așa cum se arată legislația UE17, nu trebuie să omitem faptul că toată filosofia GDPR este construită pe drepturile 16 Legea 677/ 2001 Art.3 17 Specificații din textul Regulamentului EU 2016/679

fundamentale ale omului. Legislația în vigoare a drepturilor omului18, prevede că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Mai mult decât atât, principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal. Conform Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului UE 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE Regulamentul general privind protecția datelor, fiecare societate are obligația de a administra în condiții de siguranță și numai pentru scopurile specificate, datele personale care îi sunt furnizate despre categoriile de persoane fizice și juridice. 5. ALTE INFORMAȚII CARE POT FACE OBIECTUL STUDIULUI 5.1. Date/Informații interne Clasa uz intern, Nivel Level 1: este o clasificare de securitate internă a documentelor, datele/informațiile fiind transmise și disponibile pentru angajatii interni ai Companiei a caror divulgare către terțe persoane reprezintă un nivel mediu de risc, ceea ce poate duce la o amenințare de nivel scăzut. Exemple tipice din această categorie sunt procrdurile interne, regulile, instrucțiunile, documentele operaționale. 5.2. Date/Informatii confidențiale Clasa confidential, Nivel Level 2: este o clasificare de securitate interna a documentelor, datele/informațiile fiind transmise și accesibile/disponibile numai pentru un anumit cerc restrâns de persoane, a caror divulgare către terțe persoane poate influența negativ integritatea companiei din punct de vedere etic, profesional, funcționare economică, eficiență și poate atrage răspunderea penală. Compromiterea datelor/informațiilor din clasa Confidențial are un nivel ridicat de risc, nivelul de amenințare poate fi moderat respectiv ridicat. Exemplu tipic: date personale, baze de date clienti, informații/ documente/ date / interne, contracte clienti. 18 Art.8, alin.1 din Carta drepturilor fundamentale a Uniunii Europene și Art.16, alin.1 din Tratatul privind funcționarea Uniunii Europene.

5.3. Date/Informatii strict confidențial: Clasa strict confidențial, Nivel Level 3: este o clasificare de securitate interna a documentelor, datele sau informațiile fiind accesibile sau chiar disponibile numai pentru un anumit cerc restrâns de persoane, de obicei unui cerc profesional dedicate, exemplu fiind administratori IT a caror divulgare către terțe persoane poate influenta negativ integritatea companiei din punct de vedere etic, profesional, funcționare economică, eficiență si poate atrage răspunderea penală și încetarea activitații persoanei în cauză. Compromiterea datelor/informațiilor din clasa strict confidențial are un nivel ridicat de risc , nivelul de amenințare poate fi ridicat respectiv critic. Exemple tipice: parole de protecție a datelor / bazelor de date de la clienti, fișiere cu parole și domenii de adresabilitate, coduri PIN , documente / date / informații tehnologice interne secrete, etc . În acest capitol am prezentat modul în care informațiile publice pot furniza prin analiză aspecte de interes, deci pot deveni informații clasificate, relația dintre protecția informațiilor și asigurarea securității naționale fiind esențială. Am ajuns la concluzia că adaptarea strategiei de securitate a României la realitățile perioadelor de referință va include în mod obligatoriu în viitor abordarea exigentă a amenințărilor provenite din intenția culegerii informațiilor clasificate de către organizațiile adverse interesului național, chiar dacă formele de manifestare vor evolua în mod inedit, în consens cu evoluția relațiilor sociale, a tehnologiei dar cel mai important a schimbărilor din mediul internațional. Am inițiat un periplu analitic pentru a identifica corect spectrul incidentelor de securitate prin abordările naționale și internaționale. Un astfel de mediu impune o adaptare rapidă și răspunsuri competente din partea instituțiilor principale cu atribuții în domeniul securității naționale. Am ajuns la concluzia că răspunsurile la provocările serviciilor secrete și a organizațiilor teroriste de recrutare și implicare în acțiuni ce pun în pericol securitatea națională trebuie să fie descurajatoare, adaptate intensității acestora, prin cunoașterea vectorilor generatori, având ca fundament științific cercetarea academică multidisciplinară istorică, psihologică, sociologică, antropologică, etnologică în domeniu. Prin corelarea datelor obținute în acest capitol, având un caracter preponderent conceptual cu o parte a obiectivelor propuse inițial, considerăm că ne-am atins țintele cercetării, oferind o platformă integratoare, optimă dezvoltării subiectelor tratate în capitolele următoare.

CAPITOLUL II. MANAGEMENTUL INSTITUȚIONAL SPECIFIC ORGANIZAȚIILOR PENTRU PROTECȚIA PERSONALULUI PROPRIU CARE ARE ACCES LA INFORMAȚII CLASIFICATE INFORMATION SECURITY MANAGEMENT SYSTEM Un sistem de management al securității informațiilor (ISMS) este, după cum sugerează și numele, un set de politici în domeniul gestionării securității informațiilor. Conceptul cheie al ISMS este un concept organizarea pentru a proiecta, implementa și menține o suită coerentă de procese și sisteme pentru gestionarea eficientă a accesibilității informației, asigurând astfel confidențialitatea, integritatea și securitatea disponibilitatea informațiilor și minimizarea riscurilor de securitate a informațiilor. Ca și în cazul tuturor proceselor de management, un ISMS trebuie să rămână eficient și eficient pe termen lung, adaptarea la schimbări în organizarea internă și în mediul extern. ISO 27001: 2005 specifică abordarea din următoarele seturi utilizând metodologia PDCA Plan-Do-Check-Act: Managementul securității și principiile: Componentele principale ale managementului riscului, informații politica de securitate, procedurile, standardele, liniile directoare, liniile de bază, clasificarea, educația și organizația de securitate servește drept bază pentru securitatea informațiilor. Controalele de securitate sunt implementate și menținute pentru a aborda cele trei principii interdependente prezente în toate programe: confidențialitatea, integritatea și disponibilitatea, cunoscută și sub numele de "triada CIA". Responsabilitati: Acestea includ resursele, finanțarea și strategia reprezentarea necesară pentru a participa la un program de securitate. Responsabilitățile atribuite ajung la ISMS de la sol și să-l păstreze înfloritoare și să evolueze pe măsură ce mediul se schimbă. Administrare sprijinul este unul dintre cei mai importanți factori pentru succesul programului de securitate. Abordarea de sus în jos: Abordarea de sus în jos înseamnă că managementul de vârf oferă sprijin și direcția, care este cascadată în jos prin managementul de nivel mediu și apoi la personal membri. Managementul riscului: Gestionarea riscurilor este procesul de identificare, analiză, evaluare, evaluarea și reducerea riscurilor la un nivel acceptabil și punerea în aplicare a dreptului la apărare mecanismele de menținere a unui nivel acceptabil de risc. Conștientizarea securității:

Pentru a obține rezultatele dorite ale programului de securitate, o organizație trebuie să comunice "ce, cum și de ce" de securitate angajaților lor. Această conștiință ar trebui să fie cuprinzătoare, adaptate și organizate. Continuitatea afacerii și gestionarea dezastrelor: Asigură continuitatea, recuperarea și restaurarea a afacerii în caz de dezastru. În caz de urgență, aceasta ar implica criticarea sisteme în alt mediu în timp ce are loc repararea instalațiilor originale. Conformarea legală: Include respectarea diferitelor aspecte civile, penale și administrative legiferare, cum ar fi legile privind proprietatea intelectuală, secretele comerciale, drepturile de autor, mărcile comerciale, brevetele și protecția datelor. Managementul securității informațiilor este un concept general dezvoltat pentru a îmbunătăți procesele care pot fi folosite pentru a identifica, evalua și gestiona riscurile de securitate, în scopul creșterii eficienței, în timp ce răspund nevoilor clienților și cerințelor legale și industriale în schimbare. Acest lucru îi va ajuta să construiască un bloc de securitate. Înainte de a putea începe analizarea detaliilor securității informațiilor, este necesară revizuirea originilor acestui domeniu și a impactului acestuia asupra înțelegerii securității informațiilor de astăzi. Ce vrei să spui prin managementul securității informațiilor? În conformitate cu Jim Anderson, Securitatea informațiilor în cadrul întreprinderii de astăzi este un sentiment bine informat de asigurare că riscurile și controalele informațiilor sunt în echilibruǁ. De ce este importantă securitatea informațiilor? Multe dintre serviciile noastre organizatorice sau non-organizaționale critice / importante se bazează pe utilizarea internetului și a tehnologiei. Considerați că doriți să reînnoiți o licență de conducere online sau să depuneți o declarație fiscală, care se poate face rapid și convenabil online. Cu toate acestea, această comoditate vine cu riscuri. Calculatorul mediu sau comun neprotejat conectat la Internet poate fi compromis în mai puțin de un minut. Mii de pagini web infectate sunt descoperite zilnic. Încălcarea datelor se produce prea des noi metode de atac împotriva ciberneților sunt lansate rapid. Acestea sunt doar câteva exemple ale amenințărilor cu care ne confruntăm și subliniază importanța securității informațiilor ca o abordare proactivă a protejând datele și sistemele. Aceste amenințări cibernetice, din ce în ce mai sofisticate, și potențialele consecințe devastatoare.

Este important să rețineți că securitatea informațiilor nu este o problemă tehnologică, ci mai degrabă o problemă de management necesitând conducere, expertiză, responsabilitate, due diligence și managementul riscurilor. Securitatea informațiilor trebuie abordată printr-o abordare coordonată, de întreprindere și luată în considerare în deciziile programului. Există trei principii de bază ale securității informațiilor – confidențialitatea, integritatea și disponibilitatea. Aceste lucrări vor descrie abordarea cuprinzătoare a securității informațiilor și cadrul de testare și monitorizare a controalelor utilizate pentru atenuarea amenințărilor, documentul pe termen scurt al acestui document se va referi la modul în care operează organizația cu accent pe aceste trei programe-cheie din managementul securității informațiilor: Ø Forumul pentru managementul securității informațiilor Ø Programul de management al riscului Ø Programul de politică de securitate a informațiilor În această lucrare am introdus și analizez câteva dintre tehnologiile de securitate a informațiilor. Fiecare dintre următoarele secțiuni se concentrează pe o tehnologie specifică și respectă următorul format general: Tehnologiile de securitate abordate în această lucrare sunt: Ø Gestionarea controlului accesului Ø Antivirus Ø Firewall-uri Ø Sisteme de detecție și analiză a intruziunilor Ø Cartografierea rețelei Ø Criptarea parolei Ø Rețele virtuale private Cum funcționează organizația cu accent pe aceste trei programe cheie din ISMS OSSC: Ø Forumul de management al securității informațiilor – o serie structurată de întâlniri de conducere în anumite categorii pentru gestionarea operațiunilor în curs de desfășurare a securizării infrastructurii în derulare. Ø Programul de management al riscului – O secvență de procese pentru identificarea, evaluarea și tratarea riscurilor de securitate a informațiilor și pentru a permite luarea deciziilor informate de gestionare a riscurilor.

Ø Programul de politică de securitate a informațiilor – Un proces structurat pentru revizuirea politicii de securitate a informațiilor și pentru efectuarea de modificări atunci când este necesar. Componentele ISMS funcționează împreună, iar cadrul definit în documentul Microsoft Compliance Framework for Services Online (Framework Compliance). Toate aceste procese de securitate a informațiilor pot fi mai ușor sincronizate între ele datorită faptului că au ISMS. Așa cum se arată în după cum urmează, această abordare permite, de asemenea, Microsoft să opereze mai eficient și eficient în aliniere cu o varietate de obligații de certificare și atestare, care includ următoarele: ISO/IEC 27001: 2005 Declarația privind standardele de audit nr. 70 (SAS 70) de tip I și II Sarbanes-Oxley (SOX) Standardul de securitate a datelor privind cardul de plată (PCI DSS) Legea federală de gestionare a securității informațiilor (FISMA) Tehnologiile de securitate utilizate pentru securitatea informațiilor management în organizație. MANAGEMENTUL CONTROLULUI ACCESULUI Sistemul de management al controlului accesului (ACM) trage împreună identitatea, autentificarea și autorizarea pentru a restricționa resursele pe care un utilizator le poate accesa și în ce mod poate apărea accesul (citire, scriere, executare, modificare etc.). Soluțiile ACM se pot baza pe un număr de modele de securitate, inclusiv controlul accesului discreționar (DAC), controlul accesului obligatoriu (MAC) și controlul accesului pe bază de roluri (RBAC). Un ACM standard oferă o interfață prin care un utilizator se autoidentifică, urmat de un mecanism de provocare și confirmând identitatea și apoi o metodă de acordare a drepturilor sau accesul la informații, pe baza autentificării nerepuși a utilizatorului. Controlul accesului este în centrul securității informațiilor și este premisa fundamentală pe care se bazează industria1. Fără managementul controlului accesului, nu ar există prin care să se asigure securitatea sistemelor și a datelor. ANTIVIRUS Primul virus al computerului, care a fost găsit "în sălbăticie", este considerat a fi un program numit "Elk Cloner" care vizează Apple DOS 3.3.5, termenul "virus" poate să aibă originea în 1970 în literatura de specialitate, ca un concept care probabil a fost în jur de la anii 1960. În mod tradițional, virusul este pur și simplu un program de calculator care este scris în mod intenționat pentru a se atașa la alte programe sau sectoarele de pornire a discurilor și replică ori de câte ori acele programe sunt executate sau dacă acele discuri infectate sunt accesate. În contextul modern, această formă tradițională de cod rău intenționat sau malware este mai puțin comună. În schimb, este mult mai frecvent să vedeți variații pe această temă originală, sub forma

"vierilor" și "cailor troieni", care infectează un sistem informatic fie prin executare directă, fie prin intermediul unei metode de replicare pe bază de rețea context, programele hibride de tip hibrid se repetă în mod obișnuit prin comportament asemănător viermilor, care predispune la vulnerabilități în sistemele de operare sau prin atacuri de inginerie socială, și apoi instalează backdoors prin mecanismul de cai troieni. Acest backdoor poate permite atacatorului să acceseze și să controleze de la distanță un sistem infectat, permițând săvârșirea altor activități ilicite, cum ar fi trimiterea SPAM sau utilizarea sistemului compromis ca proxy sau releu prin care accesul la distanță poate fi obținut în alt mod protejarea resurselor. Software-ul antivirus a fost în jur de cel puțin 10-15 ani, deși nu sa găsit nici o referință care să indice o anumită dată când astfel de programe au fost date pentru prima dată. Software-ul antivirus a fost dezvoltat pentru a detecta prezența și, în cele din urmă, tentativa de infectare a unui sistem cu malware. Există în general două tipuri de programe de scanare antivirus: semnătura și euristica. Semnalizarea pe bază de scanare se bazează pe o bază de date cu semnături malware cunoscute. Acesta trebuie să fie actualizat în mod regulat pentru a asigura o bază de date actuală a malware-ului cunoscut. Potrivit companiei eBCVG, o companie de securitate IT, un scanner euristic analizează caracteristicile unui fișier, cum ar fi dimensiunea sau arhitectura, precum și comportamentele codului său pentru a determina probabilitatea unei infecții. Dezavantajul față de scanerele euristice este că generează adesea rezultate care identifică greșit software-ul ca fiind malware fals pozitive. Cel mai popular sistem de operare, din punct de vedere numeric, este Microsoft Windows. Ca atare, este și cea mai bine orientată platformă de malware. Există mai multe companii care furnizează software AV pentru Windows. Acolo sunt, de asemenea, versiuni ale software-ului AV pentru alte platforme, cum ar fi Mac OS, UNIX și Linux. Cu toate acestea, există foarte puține cazuri de malware pentru aceste platforme, datorate în parte diferențelor lor distincte față de Windows. FIREWALLS Un paravan de protecție este definit ca o "componentă sau set de componente care restricționează accesul între o rețea protejată și Internet sau între alte seturi de rețele. Firewall-urile sunt resurse de securitate de rețea care sunt definite pentru a controla fluxul de date între două sau mai multe rețele. Dintr-o perspectivă de nivel înalt, ele pot servi ca a punctul de coacere, conceput pentru a restrânge sau sufoca fluxul de trafic din rețea sau ca un gateway care efectuează o prelucrare suplimentară a traficului dincolo de restricțiile simple de sufocare.

Potrivit lui Zwicky și alții, firewall-urile pot fi în general plasate în două categorii: Filtre de pachete sau Proxy-uri. Pe discuții în EMSE, aceste categorii pot fi extins pentru a include gateway-uri la nivel de circuit și dispozitive de control de stare. Blanding adaugă o a treia categorie de porți hibride sau complexe la perechea inițială a lui Zwicky. În realitate, definiția Blanding este probabil cea mai corectă prin faptul că firewall-urile fie funcționează ca un filtru de pachete, un proxy, fie ca o combinație a celor două. Alte tipuri de firewall se extind pe acele tipuri de bază originale. De exemplu, majoritatea proxy-urilor de astăzi au capacități suplimentare pentru a efectua gestionarea conținutului la nivel de aplicație, detectarea conținutului necorespunzător sau inacceptabil, cum ar fi printr-o sesiune web sau de poștă electronică. De asemenea, multe firewall-uri oferă capabilități precum Traducerea adreselor de rețea (NAT) care oferă o separare logică între rețele prin modificarea schemei de numerotare de bază (IP addressing). NAT este o caracteristică importantă deoarece permite organizațiilor să interconecteze resursele lor intern folosind spațiul de adrese IP rezervat pentru utilizare internă de către RFC 1918. Acest spațiu rezervat nu este rutabil pe Internet și, prin urmare, nu este direct accesibilă atacatorilor din afara firewall-ului care efectuează NAT. Un sondaj realizat de diferite site-uri web de furnizori, cum ar fi Cisco, Checkpoint, NetScreen, CyberGuard, BlueCoat și Secure Computing, reflectă realitatea că majoritatea firewall-urilor sunt acum hibrizi. Această noțiune este consolidată și mai mult atunci când citiți prin Criteriul Firewall v4. Pentru programul ICSA Labs, programul de certificare a firewall-ului. Niciun firewall nu poate primi o certificare astăzi fără a fi conștient de stat, făcându-l astfel un firewall de inspecție statal. Cu toate acestea, firewall-urile de bază, cum ar fi cele vândute de Cisco, Checkpoint și NetScreen, sunt în esență doar filtrarea pachetelor, cu capacitățile suplimentare de a urmări starea unei sesiuni de rețea. Punctul de control extinde acest model de bază în continuare prin furnizarea unor componente proxy specific aplicației. CyberGuard, BlueCoat și Secure Computing, pe de altă parte, produc firewall-uri care sunt în primul rând proxy-uri. Totuși, din nou, datorită respectării criteriilor ICSA, aceștia sunt, de asemenea, conștienți de stat, cel puțin într-o anumită măsură, și astfel pot să efectueze pachete de bază și funcții de filtrare. Prin urmare, astăzi este probabil sigur să spunem că există un singur tip de firewall și că acesta este un gateway hibrid sau complex.

SISTEME DE DETECTARE ȘI ANALIZĂ A INTRUSIEI Conceptul de detectare a intruziunilor a fost în jurul din 1980. În forma sa cea mai esențială, detectarea intruziunilor este concepută pentru a detecta abuzul sau abuzul de resurse de rețea sau de sistem și a raporta acel eveniment. Această detectare are loc ca urmare a identificării comportamentului bazat pe anomalii sau semnături. Cea mai comună formă a sistemului de detectare a intruziunilor (IDS) se bazează astăzi pe detectarea pe bază de semnături. Industria de securitate a extins foarte mult detectarea intruziunilor în ultimii ani pentru a încorpora câteva concepte avansate. Dincolo de detectarea și alertarea de bază, majoritatea sistemelor de astăzi se facturează ca având capabilități de "prevenire a intruziunilor"; altfel cunoscut sub numele de răspuns activ. Conceptul de prevenire a intruziunilor este că o activitate poate fi detectată în mod fiabil și apoi oprită, fie la nivelul gazdei sau al rețelei, de către sistemul de detectare. Din perspectiva rețelei, acest răspuns ar putea fi la fel de simplu ca și detectarea unui sistem TCP abuziv conectarea la rețea și emiterea unui pachet TCP Reset (RST) la ambele gazde de sursă și de destinație, forjarea informațiilor din antetul IP pentru a împodobi fiecare parte. În plus, s-au înregistrat progrese semnificative în ceea ce privește corelarea evenimentelor și detectarea anomaliilor. Corelarea evenimentelor este o abordare în care alertele multiple care pot apărea disparate pot fi legate între ele pe baza unor criterii comune, cum ar fi timpul, metoda sau ținta, și duc la o alertă escaladată, dacă nu la un răspuns automat coordonat. Detectarea anomaliilor este similară cu corelația evenimentului, deși rolul său principal este științific determină o linie de bază pentru performanță, cum ar fi într-o rețea sau un grup de gazde, și apoi să genereze alerte atunci când performanța se abate semnificativ de la linia de bază. Următoarele secțiuni discută fiecare dintre aceste tehnologii, oferind o imagine de ansamblu și apoi o afacere respectivă și analiza securității. Sisteme de detectare a intruziunilor (IDS) Sistemele de detectare a intruziunilor sunt în mod obișnuit clasificate în funcție de metoda lor principală de detectare: nod de rețea, gazdă, hibrid sau nod de rețea. Detecția bazată pe rețea captează direct pachetele în timp ce detecția bazată pe gazdă se află pe o gazdă și captează date pe măsură ce acestea se strecoară în și din acea gazdă. Sistemele hibride agregă capabilitățile sistemelor bazate pe rețea și gazdă, în timp ce sistemele de noduri de rețea încearcă să funcționeze ca un sistem bazat pe rețea în timp ce locuiesc pe o gazdă. Astăzi, IDS a început să se maturizeze până la punctul în care majoritatea sistemelor pot fi operate ca un hibrid, în cazul în care afacerea dorește. Abordarea principală utilizată, cum ar fi prin

produsul Snort cu sursă deschisă, este de a efectua scanarea bazată pe rețea și / sau gazdă utilizând un set de semnături și apoi alerte agregate la o singură gazdă pentru gestionarea acestor alerte. Sistemele mai avansate au capabilități suplimentare, așa cum vor fi discutate în secțiunile următoare, cum ar fi prevenirea intruziunilor, detectarea anomaliilor și corelarea evenimentelor. Sistemele de detectare a intruziunilor, în ansamblu, au o serie de limitări cheie. În primul rând, acestea sunt în mod obișnuit limitate în același mod în care antivirusul este limitat, deoarece detecția reușită se bazează pe faptul că aveți o semnătură bună care se potrivește cu traficul rău cunoscut. Cu detectarea rețelei, această limitare a semnăturii este în mod special provocatoare, deoarece prea literală a unui șir poate duce la o eșec de detectare. În plus, IDS sunt limitate de numărul de trafic pe care îl pot procesa într-o anumită perioadă de timp. De exemplu, majoritatea IDS-urilor de astăzise va pretinde că poate monitoriza traficul de 1 Gbps în timp real, deși testele reale, cum ar fi în laboratorul IDS de la ICSA Labs, au dovedit că aceste produse sunt, de fapt, deseori performante la mult mai puțin decât 1Gbps. Chiar mai rău, furnizorii de rețele de backbone rulează adesea la viteze mult mai mari decât 1Gbps, cum ar fi rețelele OC-48 sau OC-192, care sunt de 2.488 Gbps și, respectiv, 9.952 Gbps. Acest înseamnă că nevoile și așteptările privind performanța și capacitatea de producție sunt foarte mari și nu sunt îndeplinite în mod rezonabil de producțiile comerciale Pe lângă faptul că este limitată de semnături și de performanță, majoritatea IDS includ, de asemenea, preocupări legate de management în ceea ce privește numărul de semnături administrate și numărul alertelor generate. Sistemele de prevenire a intruziunilor (IPS) Sistemele de prevenire a intruziunilor sau IPS sunt deseori definite ca "orice dispozitiv (hardware sau software care are capacitatea de a detecta atacuri, atât cunoscute, cât și necunoscute, și pentru a împiedica succesul atacului. IPS au crescut de la dorința de a combina capacitățile de inspecție profundă ale IDS cu capacitățile de blocare ale firewall-urilor. Aceste capacități de blocare, deseori denumite răspuns activ, permit detectarea unei încălcări a politicilor care să fie tradusă în timp real într-o acțiune bazată pe politici, menită să împiedice sau să oprească încălcarea. Există câteva variante despre IPS, dar cel mai frecvent este sistemul inline bazat pe rețea. O altă variantă a IPS sunt așa-numitele switch-uri Layer care au maturizat pentru a include DoS și DDoS detectarea și atenuarea bazată pe conștientizarea traficului la nivelul aplicației modelului OSI.

De asemenea, firewall-urile de aplicație bazate pe gazdă au fost integrate cu capacitățile IDS pentru a le permite capabilități de răspuns activ specifice bazate pe o politică generală în loc de un set de semnături. Soluțiile de switchuri hibride sunt bazate pe rețea, dar funcționează similar cu firewall-urile de aplicație. Toate aceste tipuri de IPS au două lucruri în comun: generează o alertă, bazată fie pe o semnătură, fie pe o politică, și inițiază un răspuns, așa cum a fost programat în sistem. Aceste alerte pot apărea ca urmare a unui meci de semnătură sau a unei încălcări a unei setări de politică de securitate specifică unei aplicații, iar răspunsul poate varia de la sufocarea fluxului de trafic la terminarea sau blocarea traficul total de trafic. Există câteva limitări cheie pentru IPS, așa cum există pentru IDS. Aceste limitări includ detectarea precisă, capacitatea de a gestiona întreaga capacitate a unei rețele și abilitatea de a genera răspunsul în mod corect și în timp util. Problema privind transferul a fost discutată mai sus. Problema preciziei devine tot mai importantă atunci când se discută despre un răspuns activ, automat la un eveniment detectat. Dacă traficul adecvat și permis este detectat incorect printr-o semnătură sau ca o încălcare a politicii, traficul respectiv poate fi supus în mod neadecvat răspunsului activ. În special, traficul cunoscut cunoscut poate fi reziliat sau blocat, ducând la un impact negativ asupra afacerii. În ceea ce privește generarea corectă a răspunsului în timp util, această limitare se referă la capacitatea IPS de a nu numai să detecteze corect, ci să selecteze răspunsul corect bazat pe o politică și apoi să poată emite acel răspuns în timp ce infracțiunea este încă care apar. Alegerea răspunsului adecvat poate deveni o provocare atunci când se ocupă de escaladări automate. Sisteme de corelare a evenimentelor (ECS) Sistemele de corelare a evenimentelor se bazează pe succesele sistemelor de detecție a intruziunilor oferind un mecanism mai bun pentru agregarea, gestionarea și corelarea evenimentelor IDS, cum ar fi generate prin detectări de semnături sau încălcări ale politicii. ECS merge dincolo de simpla tragere a jurnalelor de evenimente din IDS. ECS permite agregarea datelor jurnalului din mai multe surse, inclusiv firewall-uri, gazde, aplicații și, desigur, IDS. Majoritatea soluțiilor ECS servesc unui rol dublu ca depozit de date pentru jurnale și oferind o interfață de extragere a datelor (manuală și automată) pentru a utiliza datele stocate în depozit. Beneficiul principal al sistemului de corelare a evenimentelor este capacitatea sa de a corela evenimentele de la mai multe sisteme și de a genera alerte inteligente, împreună cu capacitatea de a escalada alertele, pe baza acestei corelații. Sistemele de corelare a evenimentelor sunt de obicei compuse din mai multe activități cheie: comprimarea, numărarea, suprimarea, generalizarea și corelarea în timp. Aceste activități sunt cel mai bine definite de Kay

Compresia face mai multe apariții ale aceluiași eveniment, le examinează pentru informații duplicate, elimină concedieri și le raportează ca un singur eveniment. Așadar, 1000 de alerte "nu au reușit" au devenit o singură alertă care spune că "ruta a eșuat de 1.000 de ori. Contorizarea raportează un număr specific de evenimente similare ca unul. Aceasta diferă de compresie prin faptul că nu se potrivește doar același eveniment și că există un prag pentru declanșarea unui raport. Suprimarea asociază prioritățile cu alarmele și permite sistemului să suprime o alarmă pentru un eveniment cu prioritate mai mică dacă a apărut un eveniment cu prioritate mai mare. Generalizarea asociază alarmele cu unele evenimente de nivel superior, care sunt cele raportate. Acest lucru poate fi util pentru corelarea evenimentelor care implică mai multe porturi pe același switch sau router în cazul în care acesta nu reușește. Nu este nevoie să vedeți fiecare eșec specific dacă puteți stabili că întreaga unitate are probleme. Corelația bazată pe timp poate fi utilă în stabilirea cauzalității – de exemplu, urmărirea unei probleme de conectivitate la o piesă hardware nereușită. Adesea, mai multe informații pot fi obținute prin corelarea evenimentelor care au relații specifice bazate pe timp. Unele probleme pot fi determinate numai printr-o astfel de corelație temporală. Sistemele de detectare a anomaliilor (ADS) Sistemele de detectare a anomaliilor reprezintă o extensie a sistemelor de detectare a intruziunilor sau a sistemelor de detectare a abuzurilor, așa cum sunt definite de Chung. Per Maxion și Kymie, detectarea a anomaliei este un element cheie al detectării intruziunilor și a altor sisteme de detectare în care perturbațiile comportamentului normal sugerează prezența atacurilor, defectelor, defectelor provocate intenționat sau neintenționat. Acest tip de detectare se bazează în mare măsură pe regulile de probabilitate și previzibile, luând în considerare datele din jurnalul din mai multe surse (la fel ca în ECS), dar aplicând teoriile de predictibilitate pentru aceste jurnale și generând automat cea mai bună estimare dacă apare o abuz sau un abuz. În forma sa cea mai slabă, ADS generează o bază pentru performanță și apoi monitorizează comportamentul care se abate de la linia de bază. În forma sa mai avansată și optimizată, ADS calculează dinamic performanța curentă pe baza datelor din jurnalul agregat și determină dacă nivelul actual de performanță este deviant de la nivelurile așteptate.

După cum sa subliniat în Maxion și Kymie, una dintre provocările cheie pentru ADS este în performanță. Un număr mare de calcule trebuie să fie efectuate în zbor pentru a determina dacă buletinele agregate pot fi sau nu corelate și ponderate astfel încât să prezică un caz de utilizare incorectă. Maxion și Kymie au susținut că tipul și sursa datelor utilizate de un ADS ar putea avea un impact asupra performanței sale. Această teorie a fost dovedită prin experimentarea lor, indicând apoi că ADS este supus variației performanței, în funcție de date și de factorii sursă. Din păcate, varianța de performanță nu este ceva apreciat în general de întreprinderi și ar putea să-și limiteze adoptarea în mediile de securitate corporativă. GESTIONAREA REȚELELOR Cartografierea rețelei este definită ca "studiul conectivității fizice a internetului". În cea mai comună formă, maparea rețelei este utilizată pentru a documenta aspectul unei rețele locale (LAN) ca parte a unei evaluări globale a securității. o formă de strângere de informații și de multe ori precede realitatea evaluarea sistemelor vizate. Cartografierea rețelelor a evoluat de-a lungul anilor de la performanța simplă a PING sau CONNECT se încearcă metode de detectare mai extinse și subversive sau liniștite. Astăzi, instrumentul cel mai popular pentru realizarea cartografierii rețelei este instrumentul open source Nmap. Nmap este capabil să testeze prezența nodurilor pe o rețea bazată pe o varietate de tehnici de detectare, inclusiv utilizarea Internet Protocol (IP), Transmission Control Protocol (TCP) și Universal Datagram Protocol (UDP). Fiecare dintre aceste protocoale are o aromă unică și, prin urmare, poate genera rezultate diferite. Mai mult, Nmap are capacități suplimentare pentru a submina dispozitivele de securitate ale rețelei, cum ar fi firewall-urile și sistemele de detectare a intruziunilor. Poate lua ca intrare o gazdă nume, o adresă IP, o serie de adrese IP sau o rețea sau o subrețea. De asemenea, pot lua parametri configurați ai adreselor sursă "manechin" pentru a ajuta la camuflarea senzorilor de rețea ce încearcă să facă. Scopul mapării rețelei este de a determina dacă nodurile sunt active pe o rețea. Această determinare de bază poate fi dezvoltate în continuare pentru a identifica cât de departe sunt nodurile de la gazda de scanare. Identificarea sistemului de operare poate fi de asemenea realizată de instrumente precum Nmap, deși această funcționalitate este o extensie a cartografierii rețelei și nu este esențială pentru capacitățile sale.

CONFIGURAREA PAROLEI Potrivit Wikipedia, spargerea parolei este procesul de recuperare a parolelor secrete stocate într-un sistem informatic." 30 Criptarea parolei poate servi la recuperarea unei parole pierdute sau la compromiterea unei parole necunoscute în scopul obținerii accesului neautorizat la un sistem sau date. În plus, cracarea parolei poate fi folosită ca măsură de prevenire pentru a vă asigura că utilizatorii de sistem utilizează parole puternice. Majoritatea parolelor de astăzi sunt menținute ca valoare hashed, mai degrabă decât criptată. Hashing înseamnă a lua un șir de parole și de a folosi ca o intrare pentru un algoritm care duce la o ieșire care nu seamănă cu intrarea originală. Spre deosebire de criptare, hash-ul funcționează într-un singur mod și nu poate fi decriptat. Eliminarea parolelor înainte de a le depozita este mult mai eficientă decât criptarea și decriptarea parolelor în zbor. Astfel, atunci când un utilizator încearcă să se autentifice, parola trimisă este hashed, iar valoarea hashed este comparată cu valoarea hashed stocată în sistem. Având o potrivire exactă a hash-ului, datele de conectare sunt aprobate și utilizatorul este considerat autentificat. Cea mai bună utilizare comercială a spargerii parolelor este o măsură preventivă, asigurându-se că utilizatorii aleg parole de înaltă calitate sau puternice. Potrivit „stake", producătorul utilitarului crack de parole populare, "experții de la SANS, industrie, guvern și mediul academic citează parolele slabe ca fiind unul dintre cele mai crizele de securitate critice pentru rețele. În contextul actual, parolele sunt metoda principală de autentificare, în ciuda disponibilității unor soluții mai bune de mai sus. Astfel, protejarea parolelor și asigurarea parolelor puternice împotriva atacurilor simple este de o importanță majoră. Parolele sunt de obicei supuse unei combinații de două tipuri de atacuri: forța brute și dicționarul (sau lista de cuvinte). Forțele de atac brute încearcă să reproducă prin orice opțiune de parolă disponibilă, fie încercând direct parola de testare împotriva sistemului, fie în cazul unui fișier de parolă capturat, comparând parola de testare criptată sau hash criptată cu valoarea hashed sau criptată în fișier. Într-un atac de dicționar, o listă de parole comune, adesea constând în cuvinte obișnuite. REȚELE PRIVATE VIRTUALE O rețea privată virtuală (VPN) este o rețea privată de comunicații care utilizează rețele publice, adesea pentru comunicarea între diferite organizații. AVPN nu este în mod inerent sigur,

deși în cea mai comună încarnare, utilizează criptarea pentru a asigura confidențialitatea datelor transmise. VPN este adesea văzută ca o soluție mai ieftină pentru implementarea unei rețele private decât liniile de închiriere private. Acestea servesc deseori pentru a proteja și asigura integritatea comunicațiilor și pot, de asemenea, să protejeze confidențialitatea acestor comunicații atunci când utilizează criptarea. În afară de factorul de cost, VPN-urile au două avantaje principale: pot furniza criptare generală pentru comunicații și permit utilizarea protocoalelor care sunt altfel dificil de asigurat. În schimb, Zwickey situează cele două dezavantaje principale ale VPN-urilor fiind dependența de rețelele publice periculoase și extinderea rețelei care este protejată. Există trei tipuri de VPN disponibile astăzi: dedicate, SSL și oportuniste. VPN-urile dedicate, fie într-o configurație gateway-to-gateway sau client-to-gateway, par a fi cea mai proeminentă implementare. Cu toate acestea, VPN-urile SSL cresc în popularitate, servind ca un mecanism de protecție ușoară, independent de platformă, client-to-gateway. În plus, conceptul de criptare oportunistă, folosit cu VPN-uri, a fost inițial propus în 2001 de către proiectul Free S/WAN, a cărui misiune a fost să furnizeze software-ul VPN bazat pe standarde gratuite în cadrul unei inițiative openSource. Conceptul de criptare oportunistă (OE) se bazează pe ideea că nu era nevoie de o VPN să fie într-o stare "în sus" în orice moment, ci mai degrabă a trebuit să fie activat doar atunci când a avut loc comunicarea. Astfel, gateway-urile de pe Internet ar putea fi configurate pentru a suporta criptarea pe o bază necesară și ar trebui să configureze VPN-ul doar atunci când a fost inițiată o conexiune de la / printr-o poartă gateway OE. Acest model este similar cu utilizarea tradițională a SSL pe Internet, cu excepția faptului că, în loc să cripteze pur și simplu traficul pe Internet stratul de aplicație, criptarea a avut loc de fapt la nivelul rețelei și / sau a stratului de transport, iar toate se întâmplă transparent pentru utilizatorul final. Scopul implementării criptării oportuniste în cadrul VPN-urilor gratuite bazate pe IPSEC a fost criptarea transparentă a întregului trafic pe Internet. Majoritatea rețelelor virtuale private utilizează astăzi IPSEC criptare. IPSEC oferă securitate la nivel de rețea pentru Protocolul de Internet (IP) și este o extensie a protocolului standardul IP4 original. IPSEC utilizează protocolul de management și securitate ISAKMP/Oakley și are avantajul de a proteja împotriva atacurilor om-în-mijloc în timpul configurării conexiunii. IPSEC include o serie de alte caracteristici, cum ar fi utilizarea prin protocoale de tunel. Problema fundamentală pentru clienții ISMS este de a decide dacă transferarea riscului în afara

organizației către un furnizor de servicii de tip cloud este alegerea potrivită. Externalizarea unor sarcini sau proiecte specifice către vânzători este un exemplu în care procesul de determinare a transferării riscului a devenit un standard practica comercială. Există condiții contractuale standard și mecanismele de verificare a cererilor de securitate ale unui furnizor de servicii externe fac parte din practicile comerciale de rutină. În cazul în care unele computere nu dispune de practici stabilite pentru o înțelegere eficientă de către furnizori și clienți și pentru transferul de risc. Aceleași tipuri de capabilități trebuie dezvoltate pentru ecosistemul sistemului. În timp ce industria se dezvoltă și se maturizează, având o informație un program de securitate, cum ar fi ISMS OSSC, așa cum este descris în acest document, împreună cu validarea terților oferă clienților ISMS constatările independente verificate de care au nevoie pentru a lua decizii în cunoștință de cauză. Zilnic suntem surprinși de acțiuni sau inacțiuni ale semenilor noștri pe care, în încercarea de a le înțelege, le catalogăm pozitiv sau negativ și deseori, analizând variabilele care au determinat evenimentul, ne reproșăm incapacitatea noastră de predictibilitate. Considerată o utopie, anticiparea acțională totală a acțiunilor unei persoane rămâne în continuare la stadiul de deziderat, în condițiile în care cercetarea științifică a psihicului uman a făcut progrese în această direcție. Opinăm că managementul instituțional specific organizațiilor ale căror membrii au acces la informații clasificate are printre obiective și contracararea amenințărilor prin anticiparea comportamentelor vulnerabile. Nu este un proces euristic, fără un fundament stabil, ci este rezultatul analizei unor variabile ale psihicului uman, procese necesare îndeplinirii atribuțiunilor funcționale (atenție, motivație) precum și a cercetării contextului și condițiilor prin care un anumit actor social este acceptat în organizație. Protecția personalului reprezintă ansamblul procedurilor și măsurilor de protecție care se aplică persoanelor ce urmează a avea acces la informații clasificate. Măsurile de protecție au drept scop identificarea persoanelor care, prin acțiunile sau inacțiunile lor, pot pune în pericol protecția informațiilor clasificate și prevenirea accesului respectivelor persoane la astfel de informații. Proiecția personalului se realizează prin selecționarea, verificarea, avizarea și autorizarea accesului la informații clasificate, revalidarea, controlul și instruirea personalului și retragerea documentelor de acces la informații.

2.1. SELECȚIONAREA PERSONALULUI Selecționarea persoanelor care urmează să ocupe funcții ce presupun accesul la informații clasificate se derulează integral și exclusiv în cadrul fiecărei instituții deținătoare de informații clasificate. Conform Standardelor naționale, conducătorii autorităților, instituțiilor publice, agenților economici cu capital integral sau parțial de stat și celorlalte persoane juridice de drept public sau privat aprobă Listele funcțiilor care presupun accesul la informații clasificate este necesară evaluarea atribuțiilor specifice fiecărei funcții din statul de organizare al instituției, pentru a stabili dacă necesită acces la informații clasificate și nivelul de secretizare aferent. La dimensionarea listei funcțiilor care presupun acces la informații clasificate se au în vedere: • includerea tuturor funcțiilor care presupun accesul la informații clasificate, chiar dacă unele dintre acestea sunt vacante; • realizarea concordanței între nivelul de acces solicitat și nivelul de secretizare al informațiilor. Lista funcțiilor se actualizează ori de câte ori este necesar și se comunică autorității desemnate de securitate competentă. 2.2.VERIFICAREA PERSONALULUI În vederea eliberării documentelor de acces la informații clasificate, se efectuează verificările în conformitate cu prevederile art. 161-165 și art. 167-169 din Standardele naționale și prevederile art. 7 din Hotărârea Guvernului nr. 781/2002 privind protecția informațiilor secrete de serviciu, în funcție de nivelul de acces solicitat. Investigațiile de cunoaștere a antecedentelor au în vedere, gradual, următoarele: a) consultarea registrelor de stare civilă pentru verificarea datelor personale în vederea stabilirii, fără dubiu, a identității solicitantului; b) verificarea în evidențele centrale și locale ale Poliției, în baza de date a Registrului Comerțului, precum și în alte evidențe; c) stabilirea naționalității persoanei și cetățeniei prezente și anterioare; d) confirmarea pregătirii în școli, universități și alte instituții de învățământ urmate de titular, de la împlinirea vârstei de 18 ani;

e) cunoașterea conduitei la locul de muncă actual și la cele anterioare cu referințe obținute din dosarele de angajare, aprecierile anuale asupra performanțelor și eficienței activității, ori furnizate de șefii instituțiilor, șefii de compartimente sau colegi; f) organizarea de interviuri sau discuții cu persoane care pot face aprecieri asupra trecutului, activității, comportamentului și corectitudinii personae verificate; g) cunoașterea comportării pe timpul serviciului militar și a modalității în care a fost trecut în rezervă; h) existența unor riscuri de securitate determinate de eventuale presiuni exercitate din străinătate; i) solvabilitatea și reputația financiară persoanei; j) identificarea indiciilor și obținerea de probe conform cărora persoana solicitantă este sau a fost membru ori afiliat vreunei organizații, asociații, mișcări, grupări de peraoane străine sau autohtone care au sprijinit sau susținut comiterea unor acte de violență, au afectat alte persoane sau caută să schimbe ordinea de drept prin mijloace neconstituționale. Dacă, în cursul verificărilor de securitate, apar informații care evidențiază riscuri de securitate, se procedează la o verificare suplimentară, cu folosirea metodelor și mijloacelor specifice legale. În aceste condiții, termenele de efectuare a verificărilor se prelungesc cu maximum 20 de zile lucrătoare. Procedura de verificare se efectuează de autoritățile desemnate de securitate și are drept scop identificarea vulnerabilităților de securitate – caracteristici de personalitate sau circumstanțe care: a) pun în pericol securitatea informațiilor clasificate, b) pot fi exploatate pentru a se influența persoana să se implice în acte de diseminare neautorizată de informații clasificate și amenințărilor de securitate – persoane care sprijină obiectivele unor entități cum ar fi structuri informative, grupuri de interese, de a avea acces neautorizat la informații clasificate, pentru a se preveni apariția riscului de securitate – accesul la informații clasificate va avea drept consecință compromiterea sau/și diseminarea acestora către persoane neautorizate. Verificarea în vederea avizării pentru acces la informații secrete de stat se efectuează de către Serviciul Român de Informații, pentru: • personalul propriu; • personalul autorităților și instituțiilor publice din zona de competență, potrivit legii;

• personalul agenților economici cu capital integral sau parțial de stat și al persoanelor juridice de drept public sau privat, altele decât cele din competența Ministerului Apărării, Serviciului de Informații Externe, Ministerului Administrației și Internelor, Ministerului Justiției. Întrucât verificările se efectuează pe baza datelor completate în formularele de securitate, respectiv în unele situații e necesar să se realizeze și interviul de securitate, următoarele aspecte sunt relevante în ceea ce privește emiterea unui aviz de securitate: • refuzul de a completa rubrici din formularul de securitate; • omisiunile voluntare; • ascunderea și falsificarea unor aspect. Refuzul clarifică situații relevante în cadrul interviului de securitate – consecința negativă constă în faptul că verificarea de securitate nu se realizează în condiții de suficiență a datelor. În acest caz, persoanei i se va preciza necesitatea unei cooperări pentru furnizarea datelor și / sau clarificarea aspectelor rezultate din verificări, respectiv că un refuz respectiv devine o bază legitimă pentru returnarea formularelor de securitate/sistarea verificărilor de securitate. 2.3. AVIZAREA ȘI AUTORIZAREA ACCESULUI LA INFORMAȚII CLASIFICATE Accesul la informații secrete de stat este permis numai persoanelor care dețin certificat de securitate sau autorizație de acces de nivel corespunzător nivelului de secretizare al informațiilor necesare îndeplinirii atribuțiilor de serviciu, în condițiile respectării principiului "necesității de a cunoaște"( accesul se acordă în mod individual numai persoanelor care, pentru îndeplinirea îndatoririlor de serviciu, trebuie să aibă acces la acestea; astfel, accesul la diferite categorii de informații nu va fi permis numai pe baza funcției, poziției sau a deținerii autorizației de acces). După finalizarea verificărilor de securitate instituția angajatului transmite ORNISS avizul privind eliberarea/neeliberarea documentelor de acces la informații clasificate, al cărui model este prevăzut în anexa nr. 20 la Standardele naționale. După primirea de la ORNISS a deciziei de eliberare a documentelor de acces la informații clasificare societatea eliberează documentele de acces, în două exemplare, pe care le transmite, unul la ORNISS, iar celălalt rămânr la solicitant. Managerul societății solicitante, după primirea certificatului de securitate/autorizației de acces la informații clasificate, al căror model este prevăzut în anexa nr. 13 la Standardele naționale, dispune

managerului de securitate luarea măsurilor pentru semnarea autorizației și a angajamentului de confidențialitate de către posesor și luarea în evidență în Registrul pentru evidența certificatelor de securitate/autorizațiilor de acces la informații clasificate, al cărui model este prevăzut în anexa nr. 18 la Standardele naționale. Decizia privind avizarea eliberării certificatului de securitate sau autorizațiilor de acces se ia pe baza tuturor informațiilor disponibile și are în vedere: • loialitatea indiscutabilă a persoanei; • caracterul, obiceiurile, relațiile și discreția persoanei, care să ofere garanții asupra corectitudinii în gestionarea informațiilor secrete de stat, oportunității accesului neînsoțit în compartimente, obiective, zone și locuri de securitate în care se află informații secrete de stat și respectării reglementărilor privind protecția informațiilor secrete de stat din domeniul său de activitate. Reprezintă elemente de incompatibilitate pentru acces la informații secrete de stat următoarele situații imputabile atât solicitantului, cât și soțului / soției sau concubinului / concubinei acestuia; • dacă a comis sau a intenționat să comită, a fost complice, a complotat sau a instigat la comiterea de acte de spionaj, terorism, trădare ori alte infracțiuni contra siguranței statului; • dacă a încercat, a susținut, a participat, a cooperat sau a sprijinit acțiuni de spionaj, terorism ori persoane suspectate de a se încadra în această categorie sau de a fi membre ale unor organizații ori puteri străine inamice ordinii de drept din țara noastră; • dacă este sau a fost membru al unei organizații care a încercat, încearcă sau susține răsturnarea ordinii constituționale prin mijloace violente, subversive sau alte forme ilegale; • dacă este sau a fost un susținător al vreunei organizații prevăzute la punctul anterior, este sau a fost în relații apropiate cu membrii unor astfel de organizații într-o formă de natură să ridice suspiciuni temeinice cu privire la încrederea și loialitatea persoanei. Autorizația de acces la informații secrete de serviciu își încetează valabilitatea și se retrage în următoarele situații: a) încetarea raporturilor de muncă ori de serviciu; b) mutarea persoanei din unitatea militară; c) eliberarea unui document de acces de nivel superior; d) apariția unor elemente de incompatibilitate prevăzute în legislația națională.

2.4. PREGĂTIREA PERSONALULUI Persoanelor cărora li se eliberează certificate de securitate sau autorizații de acces li se asigură instruirea cu privire la protecția informațiilor clasificate, înaintea începerii activității și ori de câte ori este nevoie. Pregătirea personalului urmărește însușirea corectă a standardelor de securitate și a modului de implementare eficientă a măsurilor de protecție a informațiilor clasificate. Organizarea și coordonarea activității de pregătire a structurilor / funcționarilor de securitate sunt asigurate de ORNISS și de autoritățile desemnate de securitate. Planificarea și organizarea activității de pregătire a personalului care în exercitarea atribuțiilor de serviciu lucrează cu informații clasificate se realizează de către funcționarul de securitate. Anual, autoritățile desemnate de securitate controlează, potrivit competențelor, modul de realizare a activității de pregătire a personalului care accesează informații secrete de stat Pregătirea de securitate a personalului se efectuează planificat și are caracter permanent, în scopul cunoașterii prevenirii, contracarării și eliminării vulnerabilităților, riscurilor și incidentelor de securitate. Scopul pregătirii pe linia protecției informațiilor clasificate este însușirea corectă a reglementărilor de securitate și a modului de implementare eficientă a măsurilor de securitate a informațiilor clasificate. Pregătirea de securitate a personalului se realizează prin activități în cadrul cărora se prezintă: a) prevederile reglementărilor în domeniul protecției informațiilor clasificate; b) conținutul programului de prevenire a scurgerii de informații clasificate; c) competențele structurilor abilitate în domeniul securității; d) aspectele semnificative pe linia protecției informațiilor clasificate cu relevanță în domeniul specific de activitate; e) consecințele nerespectării normelor legale în domeniu; f)alte elemente de interes pentru apărarea țării și securitatea națională. Formele de pregătire de securitate a personalului sunt: a) pregătirea generală; b) pregătirea de specialitate; c) pregătirea specifică; d) pregătirea individuală.

2.5. REVALIDAREA ACCESULUI LA INFORMAȚII CLASIFICATE Revalidarea avizului privind accesul la informații clasificate presupune reverificarea persoanei deținătoare a unui document de acces la informații clasificate de un anumit nivel. Revalidarea poate avea loc în oricare din următoarele situații: a) la expirarea perioadei de valabilitate a documentelor de acces la informații clasificate deținute anterior, dacă se menține același nivel de acces; b) în cazul în care apar modificări în datele de identitate ale persoanei; c) la semnalarea unor elemente de incompatibilitate. Pentru revalidarea accesului la informații secrete de stat se derulează aceleași activități ca și la acordarea avizului inițial, verificările raportându-se la perioada scursă de la eliberarea documentului de acces la informații clasificate anterior. CAPITOLUL III . PROTECȚIA DATELOR CU CARACTER PERSONAL Odată cu apariția și explozia economiei digitale în lume în general și în special cu Camerunul, ameliorarea accesului la internet și dezvoltarea IT și diversele sale aplicații, confidențialitatea domeniului tradițional este îmbogățită în fiecare zi cu noi elemente (informații despre utilizator) căutarea populației pentru o mai bună experiență a consumatorilor continuă să se extindă. Cu cât sunt mai multe date îmbinate și agregate, cu atât datele personale devin mai substanțiale, cu atât este mai dificil să se identifice și cu atât sunt mai mari riscurile și responsabilitățile. Ca parte a acestor elemente care circulă în mass-media de comunicare, datele personale se dovedesc a fi o resursă foarte râvnit. Prin urmare, tratamentul lor trebuie să se facă în conformitate cu drepturile, libertatea fundamentală și demnitatea persoanelor fizice. De fapt, legislația privind datele cu caracter personal se dovedește a fi un instrument de protecție generală în ceea ce privește drepturile fundamentale și libertatea persoanelor. Prin urmare, necesitatea deosebită de a pune în aplicare mecanisme robuste de combatere a încălcării vieții private care ar putea fi cauzată de colectarea, prelucrarea, transmiterea, stocarea și utilizarea datelor unui individual Se asigură că orice tratament al oricărei forme respectă cu strictețe drepturile fundamentale și libertatea persoanelor fizice; ia în considerare, de asemenea, prerogativele statului, drepturile locale autorităților, intereselor întreprinderilor și societății civile. Se asigură că tehnologiile informației și

comunicațiilor (TIC) nu încalcă libertățile individuale sau publice și viața în special. Înainte de a examina mecanismele care pot fi folosite pentru a combate accesul neautorizat sau ilegal la datele personale sau confidențialitatea, puteți defini pe scurt câteva termeni-cheie sau aspectele necesare pentru o mai bună înțelegerea subiectului. DATE Datele se referă la reprezentarea faptelor, a informațiilor sau a conceptelor într-o formă adecvată pentru prelucrarea de către echipamentul terminal, inclusiv un program care îi permite să îndeplinească o funcție. Faptele sau numerele colectate pot fi examinate și luate în considerare și utilizate pentru a ajuta procesul de luare a deciziilor sau informații într-o formă electronică care poate fi stocată și utilizată de un computer. Datele sunt în mod normal considerată a fi forma brută de informații, care necesită o prelucrare. PROTECȚIE / SECURITATE Pentru a proteja aici înseamnă să păstrați datele în siguranță de la deteriorări sau pierderi. Securitatea este starea de a fi protejată de la atacuri și amenințări și de la alt acces neautorizat la informații (date prelucrate). Este, de asemenea, o situație în care cineva sau ceva nu este expus vreunui pericol. Mecanismul pentru a preveni orice dezastru sau efectele sale asociate. Cei trei piloni sau obiective principale ale securității informațiilor, cunoscute sub numele de triada de securitate, sunt: Ø Confidențialitatea (calitatea secretului) Ø Integritatea (menținută în același mod) Ø Disponibilitate (accesibil ori de câte ori este necesar) III.2.2.1.Confidențialitatea Menținerea confidențialității informațiilor și a tranzacțiilor pentru a preveni neautorizarea divulgarea informațiilor către persoanele care nu sunt destinatari care permit citirea, ascultarea, intenționarea sau copierea accidentală și ilegală în timpul stocării, prelucrării sau transferului.

III.2.3.Disponibilitate Criteriu de securitate a resurselor rețelelor de comunicații electronice, a sistemelor de informare și de informare echipamentele terminale fiind accesibile și utilizabile în funcție de necesități (factor de timp); III.2.4.Cyber-criminalitatea Încălcarea legii, efectuată prin spațiul cibernetic, folosind alte mijloace decât cele utilizate în mod obișnuit să comită crime convenționale; 1. Confidențialitatea 2. Integritate 3. Disponibilitate III.2.5 Securitate cibernetică Măsuri tehnice, organizatorice, juridice, financiare, umane, procedurale pentru prevenirea și descurajarea și alte acțiuni întreprinse pentru a atinge obiectivele de securitate stabilite prin mijloace electronice rețele de comunicații și sisteme informatice și pentru a proteja confidențialitatea. III.2.6Audit de securitate Examinarea sistematică a componentelor și a actorilor de securitate, a politicilor, a acțiunilor, a procedurilor și a resursele utilizate de o organizație pentru a-și proteja mediul, să efectueze controale ale testelor de conformitate să evalueze adecvarea resurselor (organizatorice, tehnice, umane și financiare) alocate riscuri, optimizare, eficiență și performanță. III.2.7.Date personale Datele personale reprezintă orice informație care se referă la un identificate sau identificabile sau naturale persoană fizică (subiectul datelor). Diferite informații, care pot fi colectate împreună duce la identificarea unei anumite persoane, constituie, de asemenea, date cu caracter personal. O persoană fizică identificabilă este una care poate fi identificată direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație, un

identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice. În practică, acestea includ, de asemenea, toate datele care sunt sau pot fi atribuite unei persoane în orice fel. De exemplu, telefonul, creditul cartea sau numărul de personal al unei persoane, datele contului, plăcuța de înmatriculare, aspectul, numărul de client sau adresa sunt toate datele cu caracter personal. Pentru a determina dacă o persoană fizică este identificabilă, trebuie să se țină cont de toate mijloacele care pot fi utilizate în mod rezonabil, cum ar fi separarea, fie de către operator, fie de către o altă persoană la să identifice persoana fizică direct sau indirect. Deoarece definiția include orice informație, trebuie să presupunem că termenul "date personale" ar trebui să fie cât mai larg interpretat posibil. Datele personale care au fost dezidentificate, criptate sau pseudonimizate, dar pot fi folosite pentru a re-identificarea unei persoane rămâne date personale și intră în domeniul de aplicare al legii. Datele personale care au devenit anonime în așa fel încât persoana nu mai este sau nu mai poate fi identificată nu mai este considerată date cu caracter personal. Pentru ca datele să fie cu adevărat anonime, anonimizarea trebuie să fie ireversibilă. Pseudonimizarea este una din măsurile tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat unui risc. Legea protejează datele personale indiferent de tehnologia utilizată pentru prelucrarea acestor date neutră din punct de vedere tehnologic și se aplică procesării automate și manuale, cu condiția ca datele să fie organizate în conformitate cu instrucțiunile predefinite (de exemplu, ordinea alfabetică). De asemenea, nu contează modul în care datele sunt stocate într-un sistem IT, prin supraveghere video sau pe hârtie; în toate cazurile, datele cu caracter personal sunt supuse cerințelor de protecție III.2.7.1Exemple de date cu caracter personal Ø un nume și prenume; Ø o adresă de domiciliu; Ø o adresă de e-mail, cum ar fi name.surname@company.com; Ø un număr de carte de identitate; Ø datele de localizare (de exemplu, funcția de date privind locația pe un telefon mobil); Ø o adresă de protocol Internet (IP);

Ø un ID cookie Ø Identificarea prin radiofrecvență (RFID) Ø identificatorul de publicitate al telefonului dvs.; Ø datele deținute de un spital sau de un medic, care ar putea fi un simbol care identifică în mod unic persoană. III.2.7.2.Exemple de date care nu sunt date personale Ø un număr de înregistrare al companiei; Ø o adresă de e-mail, cum ar fi info@company.com; Ø date anonime. Mecanisme de protecție a datelor cu caracter personal deoarece securitatea devine o amenințare majoră la nivel mondial în această epocă, multe organizații și legislații naționale (dacă nu toate) internaționale și mondiale au elaborat legi care reglementează schimbul general de informații, precum și date cu caracter personal, în special, asupra mai multor mijloace de comunicare. III.1Promovarea printre textele și legile care reglementează protecția datelor cu caracter personal include: Ø Carta drepturilor fundamentale a Uniunii Europene Ø Articolul 8. Protecția datelor cu caracter personal"care stipulează că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Ø Aceste date trebuie să fie prelucrate în mod corect în scopuri specificate și pe baza consimțământului persoanei în cauză sau a oricărui alt temei legitim stabilit de lege. Ø Orice persoană are dreptul de a avea acces la datele colectate cu privire la el și la dreptul de a o rectifica. Ø Respectarea acestor reguli va fi supusă controlului de către o autoritate independentă Model Law of the Commonwealth on Privacy 2002 Ø Prelucrarea informațiilor personale de către autoritățile publice Ø Convenția Uniunii Africane privind securitatea cibernetică și protecția datelor

Această lege reglementează cadrul de securitate al rețelelor de comunicații electronice și al sistemelor informatice, definește și sancționează infracțiunile legate de utilizarea tehnologiilor informației și comunicațiilor în România. Prin urmare, urmărește în special: să construiască încredere în rețelele de comunicații electronice și sistemele de informații; stabilirea regimului juridic al dovezilor digitale, securității, criptografiei și electronice activități de certificare; să protejeze drepturile fundamentale ale omului, în special dreptul la demnitate umană, onoare și respect intimitatea, precum și interesele legitime ale organelor corporative. Legea nu acoperă aplicațiile specifice utilizate în apărarea și securitatea națională. Rețelele de comunicații electronice vizate de prezenta lege vor include: satelitul, solul și solul rețele electronice atunci când sunt utilizate pentru a comunica rețelele de comunicații electronice și de comunicații audiovizuale sau rețele de distribuție. Legea privind protecția datelor personale este corectă Capitolul IV al acestui text, denumit. Activități de securitate. Elaborează legi care reglementează protecția datelor cu caracter personal. Infracțiunile și sancțiunile în vederea încălcării acestor legi sunt stipulate în capitolul II, secțiunea 74 din textul menționat mai sus. Observații Se poate examina faptul că această lege, care nu numai că percepe responsabilii pentru prelucrarea datelor cu caracter personal cu o obligație minimă de protecție, folosește un ton represiv și impersonal care sugerează că este mai mult pentru terți decât responsabilii pentru site-uri comerciale. Prin urmare, această protecție neîntemeiată și ezitantă lasă un domeniu al tuturor posibilităților persoanelor care se ocupă de tratarea acestor date. Acesta este cazul operatorilor comerciali site-urile, ale căror condiții generale de vânzare (GCS) prevăd clauze care, în alte condiții, ar fi inacceptabile. Nevoia urgentă de a consolida protecția datelor cu caracter personal. Având în vedere că mina de aur a datelor cu caracter personal se bazează pe ceea ce omul are mai scump, apărătorii drepturilor și libertății sunt, prin urmare, chemați să acționeze. Confruntate cu această nouă preocupare pentru libertatea individuală și viața privată, multe țări au încorporat protecția datelor cu caracter personal în dreptul lor intern.

În Europa, aceasta este consacrată în articolul 8 din Carta drepturilor fundamentale a Uniunii Europene, în cadrul capitolului Libertate și în România prin Convenția Uniunii României privind Securitatea informatică și protecția datelor. III.2.5. Perspective Ca o modalitate de prevenire a unor efecte devastatoare, legislația cameruniană trebuie să depună toate eforturile pentru a remedia lacunele juridice existente, dar și în special pentru a oferi cât mai multe clarificări cu privire la secțiunile deja reglementate. Ar fi lăudabil să abordăm rapid o serie de probleme, printre care: 1) Crearea unui organism pentru controlul și reglementarea datelor cu caracter personal, deoarece actuala Agenție Națională pentru Tehnologia Informației și Comunicațiilor (ANTIC) se înclină în cadrul multiplelor sale misiuni statutare încât este greu de crezut că va fi eficient în protecția de date cu caracter personal. 2)Definiți în mod clar principiul temporalității privind durata de stocare și prelucrare a datelor cu caracter personal. Introduceți declarația obligatorie prealabilă a tuturor fișierelor (videoclipuri, clienți …) de date cu caracter personal de către orice persoană și modalitățile de modificare și ștergere a acestora. Obligarea tuturor întreprinderilor de a pune în aplicare măsuri de "responsabilizare" în ceea ce privește procedurile interne și respectarea normelor privind protecția datelor. Creați domeniul "Corespondent Informatique et Libertés", care va asigura securitatea juridică a datelor în conformitate cu legea. Orice întreprindere va avea, prin urmare, obligația de a recruta sau de a numi unul. Clarificarea soiului datelor personale ale persoanelor decedate. După moartea unui terț, cine ar putea avea acces la aceste date și în ce condiții. Consolidarea criminalizării oricărei încălcări și împiedicarea procesării datelor. Sunt urgent necesare reforme grave, astfel încât Camerunul să intre în modernitatea digitală, să-și protejeze cetățenii și să creeze încredere în partenerii săi internaționali pentru a denunța în cele din urmă oferta disponibilă pe site-ul CNIL: fără lege-protecția datelor personale, această țară este care nu sunt recunoscute de Uniunea Europeană ca fiind adecvate. Ceea ce este mult inacceptabil, de aici necesitatea unor măsuri rapide.

Pentru a-și atinge obiectivele, serviciile de spionaj urmăresc constituirea și exploatarea unor posibilități informative (surse deschise, surse umane și surse tehnice) în instituțiile care gestionează informații clasificate în diverse domenii. Spionii folosesc o gamă largă de acoperiri care pot oferi posibilități extinse de relaționare în mediile de interes, precum cea de diplomat, ziarist, om de afaceri, membru al unei organizații neguvernamentale sau pur și simplu cea de cetățean al altui stat. Din această poziție, încep să își construiască cercuri relaționale cât mai variate, pornind de la premisa că unele dintre persoanele abordate pot deține date de interes, devenind astfel ținte pentru recrutare. Sursele umane reprezintă cel mai valoros „instrument” al unui cadru de spionaj în realizarea obiectivelor sale, acesta concentrându-și atenția asupra acelor persoane care, prin natura activității profesionale pe care o desfășoară, au sau pot avea acces la informațiile de interes pentru serviciul de apartenență. Aceste persoane fac obiectul unui studiu laborios, care are ca obiectiv stabilirea măsurii în care ele pot fi recrutate (convinse) să lucreze pentru serviciul în cauză. În general, sunt căutate și analizate orice date cu privire la persoanele în cauză, pentru a se contura un profil psiho-comportamental al acestora, în funcție de care vor fi identificate și puse în aplicare cele mai adecvate modalități de abordare. Primul pas pe care trebuie să-l facă un spion în culegerea de informații este inițierea și dezvoltarea unei relații cu persoana de interes, fără însă să genereze suspiciuni. Pentru aceasta, va profita de orice situație legitimă (diplomat, ziarist, cercetător, om de afaceri, participant la un eveniment, membru al unei delegații) și va utiliza pretexte plauzibile pentru a putea intra în discuție. De cele mai multe ori, primele contacte ale unui cadru de informații cu persoana vizată pentru recrutare se realizează într-un cadru oficial, ceea ce permite evoluția ulterioară a relației. La început, sunt discutate probleme diverse, fără o relevanță deosebită pentru spion, iar ulterior, pentru a testa disponibilitatea persoanei, sunt solicitate date publice sau mici favoruri cu caracter personal. În funcție de răspunsul primit, spionul decide dacă să continue sau nu relația. În situația favorabilă cadrului de spionaj, solicitările devin din ce în ce mai concrete și sunt răsplătite prin cadouri sau sume de bani. Astfel, interesul unui serviciu nu se limitează numai la informații care au caracter clasificat sau care nu sunt destinate publicității, ci se urmărește obținerea de date, la fel de importante, referitoare la persoanele pretabile a fi recrutate.

Într-o instituție gestionară de informații secrete de stat, protecția acestora presupune responsabilitatea îndeplinirii atribuțiilor legale pe toate palierele organizației: de către echipa managerială, structura de securitate și angajații care sunt autorizați să acceseze respectivele date. Raportat la principalele valori ale organizației – informația și personalul – perspectiva de securitate impune câteva ipoteze de la care trebuie să plece orice analiză. Într-o organizație există anumite funcții de decizie unde se concentrează informațiile sensibile. Într-o organizație există anumite posturi „mai puțin vizibile”, dar care pot presupune accesul la un volum important de informații sau chiar și la informații sensibile – șefii structurilor de resurse umane, administratorii sistemului informatic, directorul de cabinet, secretara, angajații de la arhivă, operatorii xerox. Într-o organizație există funcții care presupun relaționare externă și, în consecință, există un grad mai mare de expunere în ceea ce privește contactul cu potențiali adversari informativi externi (în cadrul unor contracte, licitații, schimburi de experiență, participarea la simpozioane etc.) Ideea este că, în principal, un adversar informativ va încerca să identifice funcțiile relevante și persoanele care sunt sau au șanse de fi nominalizate pe funcții, respectiv să evalueze dacă există pretexte rezonabile care să îi faciliteze apropierea de persoanele de interes, pentru o posibilă influențare și exploatare informativă. În consecință, apreciem că un adversar informativ, ceea ce mass media și publicul larg ar putea cu ușurință defini drept „spion industrial” acționează, ca orice profesionist, în conformitate cu unele principii operative clasice. Persoanei „țintă” i se poate induce convingerea că există „obligații” de natură morală, emoțională, materială, profesională, familial-etnică. Este foarte mare probabilitatea ca persoana să accepte foarte ușor să facă unele servicii aparent minore unor reprezentanți ai companiilor sau statelor față de care resimte obligații; în realitate, acestea sunt premisele unui proces de influențare. La fel de bine, dacă persoana are vulnerabilități comportamentale precum consumul de alcool sau de substanțe care creează dependență, apare „zona gri a capacității de discernământ”, ținta devenind foarte influențabilă și cu un sentiment diminuat al vinovăției. Dacă aceasta are și o calitate oficială în structurile statului, face declarații sau are comportamente prin care evidențiază dezacordul în raport cu poziții și interese ale statului sau ale angajatorului său, se semnalizează o posibilă loialitate divizată, iar un „prieten” poate să încurajeze persoana în actele sale de

dezacord și, mai mult, să-și ofere sprijinul în ceea ce privește realizarea unor „acte concrete de împotrivire” sau de „reglare a conturilor”. Este posibil ca unei eventuale ținte să îi fie recunoscută apetența pentru cheltuieli exagerate, acumularea de datorii, un stil de viață costisitor, practicarea jocurilor de noroc. Factorul financiar este cel mai puternic în ceea ce privește „supraviețuirea socială” a unei persoane; dacă și-a definit așteptări nerealiste, respectiv acționează fără a evalua rațional posibilitatea de a câștiga bani, va deveni dependent de resursele financiare suplimentare (de obicei ilegale) care îi satisfac așteptările. În cazul în care persoana vizată are frecvent deplasări în străinătate ori relații cu cetățeni străini (călătorii de afaceri, reședințe, studii etc.) se diversifică variantele legitime și pretextele plauzibile de a se intra în contact. Totodată, întrucât este pe teren propriu sau neutru, adversarul informativ dispune de mai multe mijloace și resurse pentru monitorizare. Existența unor contacte ori interese într-un stat străin reprezintă un punct de plecare pentru un adversar informativ, întrucât există pretextul „profesional” de a solicita, direct sau indirect, informații despre potențiala țintă. Cu precădere în cazurile în care persoana este caracterizată de indiscreție, lăudăroșenie, orgoliu exacerbat, dorind să demonstreze că este „cineva”; în cazul experților, apare orgoliul profesional, iar pentru a impresiona se dezvăluie rezultatele unor cercetări sau proiecte. Nu este deloc de neglijat un eventual sentiment de frustrare în plan profesional. Astfel, apar inițiative de răzbunare și de pedepsire a „vinovaților” (identificați în multe dintre cazuri în interiorul organizației), respectiv de construire a unor justificări pentru demonstrarea „valorii reale” comparativ cu ceilalți. Prezentarea principiilor operative are o funcție de conștientizare a personalului unei organizații că e posibil ca în unele relaționări să se încerce exploatarea directă sau subtilă a factorilor enumerați, iar primul semnal că ceva nu este în regulă îl constituie „interesul camuflat și constant” pentru activitatea profesională și anumite informații, deși natura relației nu-l justifică sau respectivul interes nu respectă cadrul oficial reglementat. A fi atent și prudent în ceea ce privește relaționarea care depășește o anumită limită este un prim pas spre evitarea unei posibile implicări în dezvăluirea ulterioară de informații nedestinate publicității, iar semnalarea respectivelor aspecte structurilor competente este necesară pentru a se contura posibilitatea unei intervenții anticipative astfel încât să se asigure securitatea valorilor organizației.

Dacă factorii de conducere acționează în spiritul unei perspective de securitate și demonstrează responsabilitate prin comportamentul propriu, atunci este mult mai probabil ca toți membrii organizației să se implice în aplicarea activă a regulilor de securitate. Principiul fundamental al securități se reflectă în intervențiile preventive versus concretizarea unui „eveniment” prin care sunt afectate valorile unei organizații – informațiile (deciziile, proiectele), imaginea/ reputația, resursele financiare, produsele, serviciile, personalul, spațiile fizice, echipamentele și sistemele de comunicații. De regulă „evenimentele” pot fi anticipate și prin raportarea la o serie de indicatori contrainformativi pe care serviciile de contrainformații i-au rafinat și pe care preferă să îi păstreze în zona discretă. Aceștia reprezintă tot atâtea semnale și indicii pentru inițierea unor demersuri de verificare a unor suspiciuni de către structura de securitate, în cooperare cu instituțiile competente ale statului, cu scopul stabilirii existenței unor acțiuni de culegere și transmitere neautorizată sau ilegală de informații. Ecuația protecției informațiilor secrete de stat este relativ simplă: stabilirea măsurilor de securitate, implementarea acestora și respectarea lor. Pentru ca angajații și organizația să se poată proteja eficient, credem că este necesară o bună comunicare între palierele de management și de execuție, precum și responsabilizarea tuturor celor implicați: • angajații să conștientizeze vulnerabilitățile care pot fi exploatate pentru diseminarea neautorizată a informațiilor clasificate sau confidențiale; • departamentul sau structura de securitate să evalueze riscurile și amenințările la adresa securității informațiilor clasificate sau confidențiale; • managementul trebuie să implementeze un set de reguli și măsuri de securitate care să permită diminuarea sau eliminarea riscurilor și amenințărilor, și conștientizarea vulnerabilităților. Ecuația responsabilității o putem aplica și pentru categoriile de informații confidențiale sau sensibile, singura problemă în discuție fiind costurile destinate protejării acestora. Dacă pentru o instituție de stat acestea pot fi incluse în alocarea bugetară, în ceea ce privește informațiile sensibile procedurile protective pot fi instituite doar pe baza reglementărilor interne, fără costuri suplimentare. În această balanță putem compara cheltuielile de securitate cu evaluarea estimativă a pierderilor pe care le poate susține o organizație. În multe cazuri aceste pierderi pot determina, pentru un stat, decizii nefavorabile, iar pentru un agent economic chiar falimentul.

Ca orice formulă care nu este matematică, avem câteva variabile pe care le regăsim în toate părțile ecuației: cea financiară și cea umană. Securitatea costă. Iar costurile nu sunt mici, dar pot fi anticipate dacă dimensionăm măsurile de securitate la ceea ce vrem să protejăm. Nu este suficient să încuiem bine într-un seif documentele secrete. Oamenii care le știu și lucrează cu ele zi de zi, pleacă acasă la terminarea programului de lucru. Știința încă nu a avansat suficient astfel încât să ne permită să uităm câteva ore ceea ce cunoaștem, iar a doua zi să redevenim angajați profesioniști gata să aplice cunoștințele (secrete!) deținute. Factorul uman rămâne variabila cea mai volatilă din întreaga ecuație: întotdeauna va fi vulnerabil. Dacă ultimii ani au reprezentat o progresie aritmetică ascendentă a găsirii și valorificării breșelor de securitate informatică, nu trebuie uitat un aspect esențial: în opt din zece cazuri breșa a apărut din cauza factorului uman. Vulnerabilitățile, de fapt toate elementele care ne conferă dimensiunea umană – atitudini, valori adoptate, vicii, dorințe exploatate de persoane și organizații care au interese ilegitime, se pot transforma în adevărate breșe de securitate pentru organizația în care lucrăm. Pentru a asigura o protecție personală minimală, cu costuri zero, adaptată momentelor din viața profesională, pot fi adoptate trei principii de bază: autocontrol, atitudine activă și atitudine prudentă. Ca măsuri de apărare personală și organizațională, aplicabile în aproape toate situațiile atât pentru protecția informațiilor secrete de stat, cât și a celor confidențiale sau sensibile, recomandăm respectarea procedurilor interne, solicitarea aprobărilor ierarhice necesare în activitățile profesionale și avertizarea managementului în momentele când sunt identificate încălcări ale reglementărilor instituite în cadrul organizației. Nu putem vorbi totuși de secrete bune și secrete rele. Putem vorbi de necesitatea de a apăra un stat, o organizație sau un cetățean. Putem vorbi de secrete de stat, de informații confidențiale și de date personale. Ajunse la diferite organizații și persoane cu interese ilegitime aceste date pot fi folosite chiar împotriva celor care încearcă să le apere. Făcând o analiză a celor prezentate mai sus, referitor la protecția personalului se pune întrebarea, cum ne putem apăra de o eventuală recrutare?

Trebuie să conștientizăm o serie de reguli de bază în relaționarea unei persoane cu acces la informații confidențiale sau clasificate. În primul rând, este posibil ca unele persoane cu care intrăm în contact să aibă interese ascunse. Indiferent de situație, pentru ca o relație să evolueze și să se păstreze, nu este necesară abordarea unor aspecte confidențiale din activitatea profesională. A fi corect și loial într-o relație nu implică dezvăluirea vulnerabilităților personale, precum problemele financiare sau familiale. Mai mult, nimeni din rândul persoanelor apropiate nu are dreptul să solicite dezvăluirea de informații confidențiale, chiar dacă în unele cazuri sunt invocate situații amenințătoare, cum ar fi acte de presiune pentru achitarea unor datorii sau obligații. Nu în ultimul rând, trebuie să evităm abordarea aspectelor activității profesionale care implică dezvăluirea de informații importante sau sensibile, din proprie inițiativă sau provocat, pentru a impresiona, pentru a câștiga simpatie, sau pentru a ne răzbuna. Mai mult, atunci când încercăm să dovedim competența și nivelul de informare în domeniul de activitate, poate apărea tendința de a dezvălui mai mult decât este necesar în cadrul unor simpozioane sau întâlniri de lucru. Este importantă evitarea implicării în activități de consultanță sau publicare de materiale tangente activității profesionale, în legătură cu care ni se sugerează că nu avem nevoie de aprobare. Totodată, nu trebuie să facem nimic care să poată fi utilizat pentru exercitarea unor acte de presiune sau șantaj, sens în care este dezirabil să evităm dezvăluirea vulnerabilităților și problemelor personale proprii sau ale colegilor. Iar când avem îndoieli în legătură cu un anumit lucru, alegerea corectă este să nu îl facem. Lund în calcul afirmațiile de mai sus, credem că este necesar să cunoaștem personalul angajat și la selecția acestuia să ținem seama să nu apară elemente de incompatibilitate pentru accesul la informații secrete de stat, astfel: • dacă în mod deliberat a ascuns, a interpretat eronat sau a falsificat informații cu relevanță în planul siguranței naționale ori a mințit în completarea formularelor tip sau în cursul interviului de securitate; • are antecedente penale sau a fost sancționat contravențional pentru fapte care indică tendințe infracționale; • are dificultăți financiare serioase sau există o discordanță semnificativă între nivelul său de trai și veniturile declarate; • consumă în mod excesiv băuturi alcoolice ori este dependent de alcool, droguri sau alte substanțe interzise prin lege, care produc dependență;

• are sau a avut comportamente imorale sau deviații de comportament care pot genera riscul ca persoana să fie vulnerabilă la șantaj sau presiuni; • a demonstrat lipsă de loialitate, necinste, incorectitudine sau indiscreție; • a încălcat reglementările privind protecția informațiilor clasificate; • suferă sau a suferit de boli fizice sau psihice care îi pot cauza deficiențe de discernământ confirmate prin investigație medicală efectuată cu acordul persoanei solicitante; • poate fi supus la presiuni din partea rudelor sau persoanelor apropiate care ar putea genera vulnerabilități exploatabile de către serviciile de informații ale căror interese sunt ostile României și aliaților săi. Comportamentul uman în general și al sursei umane de informații în particular este dinamic, conexat atât evoluției în timp a contextului pe care trebuie să îl cerceteze și să îl redea fidel, cât și apariției de noi factori ce pot influența situația în mod direct și impredictibil. În procesul recrutării unei surse umane de către o organizație în scop informativ sau al acțiunii directe (atentat terorist), recrutorul pleacă de la premisa potrivit căreia comportamentul determină interacțiuni neprevăzute care vor trebui urmate de adaptări rapide. De aceea, în contextul temei, indiferent că este reprezentantul unui serviciu de informații sau al unei celule de sorginte teroristă, recrutorul, pentru a evalua ce crede sursa (percepția), ce simte (impresia), ce face (conduita), va fi interesat să cunoască influențele interne și externe ale candidatului. Acestea îi pot modifica deciziile, atât în etapa acceptării colaborării, cât și în contextul adaptării ulterioare la condițiile sarcinilor primite. Pe finalul capitolului cred că este interesant de prezentat ce mai importantă caracteristică a angajatului dintr-o organizație, și anume loialitatea. Prin loialitate se înțelege fidelitatea sau devodamentul pentru o persoană, o țară, un grup sau o cauză. Loialitatea presupune sa-ți dovedești integritatea prin acțiuni cinstite față de o cauză, un proiect, asa numitele acte de buna credinta. Mai mult decat atat, reprezinta asumarea si respectarea cu fidelitate a unor angajamente luate, iar cel care o face este caracterizat prin onestitate si probitate. Cu alte cuvinte sa oferi ceea ce ai promis, atunci cand ai promis. Sa o faci cu devotament, nu din constrangere, sa o faci pentru ca asa e fair. Pentru organizatie, loialitatea reprezinta un ideal, in primul rand pentru ca un angajat loial va rezista tentatiei de a-si schimba locul de munca, ceea ce va reduce semnificativ fluctuatia personalului.

In al doilea rand, un angajat loial se va implica cu toata fiinta sa in realizarea, la cote cat mai inalte, a obiectivelor stabilite, fapt ce va avea ca rezultat o performanta crescuta si o eficienta mai mare a organizatiei. Loialitatea este un indicator fidel al culturii organizatiei si depinde de relatiile ce se stabilesc intre angajati (personalitatea, obiectivele si valorile lor) si organizatie, al modului in care aceasta stie sa raspunda asteptarilor celor ce lucreaza in cadrul ei. Loialitatea este de cele mai multe ori o legatura de factura emotionala ce se poate stabili intre angajati, si organizatia în care lucrează. Vorbind însă de lipsa de loialitate a angajaților și de urmările acesteia, nu putem să nu aducem în atenția dumneavoastră o poveste a unui general care a înconjurat un oraș mare, foarte bine fortificat, având în jurul său un gard înalt și o poartă masivă cu intenția de a-l cuceri. Unul dintre prietenii acestui general a venit la el și l-a întrbat: – Domnule cum te gândești să spargi apăratea și să cucerești acest oraș? Nimeni nu a reușit în ultimele secole să îl cucerească. Generalul i-a răspuns: – Cu cel de-al cincilea detașament al meu. Pe el mă bazez. Prietenul generalului era foarte contrariat dar și interest de răspuns așa că l-a întrebat: – Ce este acest al cincilea detașament? Eu știam că aid oar patru detașamente. Generalul i-a răspuns: – Da, am și un al cincilea detașament. – A…, înțeleg. Este un detașament de trupe special sau de parașutiști? Întreabă prietenul. Generalul a răspuns: – Nu, nimic din toate astea. Cel de-al cincilea detașament al meu este format din spionii, informatorii, prietenii și susținătorii mei care se află deja în oraș. Așteaptă numai. Ei vor deschide din interior porțile acelea massive și trupele mele vor năvăli înăuntru.

CONCLUZII SI RECOMANDARI Efortul conjugat al structurilor naționale sau departamentale specializate în protecția informațiilor clasificate este în principal orientat spre evitarea surprinderii, progresele capabilității de predicție a posibilelor incidente de securitate privind informațiile clasificate fiind deseori anulate sau diminuate de complexitatea realității în care aceste evenimente se manifestă, precum și de limitele capacității acționale ale factorilor implicați. Pornind de la analiza acestei idei, primul și cel mai simplu rezultat obținut, demonstrat pe parcursul tuturor celor trei capitole, este concluzia că metodele de predicție ale comportamentului uman nu furnizează rezultate care să încadreze o perioadă permanentă, nedefinită ci sunt proiectate, în funcție de evoluția socială și tehnologică, la realitatea prezentului. Privite cu responsabilitate, acțiunile adversarului informativ, îndreptate împotriva securității naționale, reprezintă idealuri bine definite, ce presupun scenarii minuțios și tot mai rafinat proiectate pentru identificarea unei breșe de securitate, fiind însoțite de evaluări continue executate de structurile specializate. Rezultatele obținute, o dată cu identificarea și exploatarea breșei de securitate, au potențial negativ, urmări imediate sau pe termen mediu, imprevizibile, atât asupra securității naționale, cât și asupra bunei funcționări a politicilor statului de drept. Formularea premiselor cercetării a fost influențată și de recursul riscant la ideea falsă potrivit căreia integritatea morală a individului, loialitatea față de valorile naționale sunt garantate pentru totdeauna, odată cu autorizarea persoanei la informații clasificate, după finalizarea procedurii de verificare. Chiar dacă nu are o explicație pertinentă, am constatat faptul că valoarea calităților profesionale ce necesită seriozitate și responsabilitate în activitatea profesională a cadrelor MApN este supraapreciată în cazul persoanelor care au fost în trecut sau sunt în prezent autorizate să dețină acces la informații clasificate secret de stat. Această opinie falsă și periculoasă dobândește în mod eronat o valoare permanentă în timp, în ciuda procedurii de revalidare periodică, efectuată deseori lacunar, cu o exigență scăzută. Premisele derivate din analiza materialului bibliografic din etapele precursoare cercetării sau din timpul cercetării propriu-zise, etape efectuate în vederea realizării produsului de cercetare final, impun o oarecare cursivitate logică. Premisele sunt următoarele: a) Științele sociale au demonstrat faptul că ecuația competențelor socio-profesionale pe care un individ le manifestă sunt legate indisolubil de variabile precum: experiența familială și educațională

proprie, caracteristicile bio-psiho-sociale asociate sexului, factorul vârstă, statutul socio-economic, varietatea situațiilor de interacțiune socio-profesională; b) Existența lacunelor în procesul de selecție, după anumite criterii și valori, a personalului căruia i se vor încredința informații clasificate nu constituie un element de noutate, însă identificarea și cercetarea acelor valori psiho-sociale specifice profilului dezirabil a fost și rămâne o provocare pentru înțelegerea resorturilor interne ce pot fi potențate în scopul formării unui comportament riguros și eficient; c) Condițiile unei evoluții de personalitate impredictibile pe timpul carierei profesionale au reprezentat întotdeauna un factor de incertitudine cu privire la loialitatea resursei umane față de normele organizației; d) Este cunoscut faptul că există un interes permanent al serviciilor de intelligence adverse pentru a culege, prin surse umane sau surse tehnice mijlocite de componente manageriale umane informații ce pot afecta securitatea națională, iar modul de operare al acestora s-a demonstrat a fi mereu adaptabil, diferit în timp; e) Cu un caracter de relativă noutate s-a conturat amenințarea rezultată din interesului organizațiilor teroriste și al grupărilor de crimă organizată pentru informațiile clasificate și în scopuri infracționale împotriva securității naționale și a ordinii constituționale; f) Faptul că la nivel național nu sunt mediatizate multe cazuri încadrate penal la spionaj sau trădare prin transmiterea neautorizată a informațiilor clasificate nu implică faptul că nu au fost și nu sunt săvârșite astfel de infracțiuni, ci mai degrabă ridică un semn de întrebare cu privire la competențele și performanțele structurilor specializate în identificarea cazurilor; g) Dezvoltarea mijloacelor tehnice cu rol protectiv, impunerea unor măsuri și politici de securitate drastice nu au reprezentat niciodată condițiile unei depline protecții a informațiilor clasificate. Dacă dorința inițială, proiectarea cu un grad de certitudine ridicat a prototipului persoanelor predispuse la deconspirarea informațiilor clasificate către membrii organizațiilor ostile interesului național, nu a fost îndeplinită în totalitate, considerăm totuși că am deschis o direcție de cercetare în domeniu, prin analiza valorilor subiective ale anumitor variabile umane, specifice persoanelor posibil

predispuse la deconspirarea infromațiilor clasificate, referitoare la: procese psihice, trăsături de caracter, aspecte temperamentale, mediu social, predispoziții și rezistențe atitudinale, riscuri asumate, capacitatea și intenția simulării comportamentale etc. Subiectului tratat mi-a permis pe parcursul celor trei capitole, să proiectez caracterul uneori logic, alteori doar intuitiv, alteori greu identificabil din perspective unor teori psihologice al acțiunilor umane specifice situațiilor extreme, în general negative, ce presupun operarea cu informații sensibile pentru securitatea națională și, tocmai de aceea, generatoare de tentații ilegale. Un interes deosebit am acordat prezentării aspectelor ce surprind cerințele selecției și verificării personalului ce va fi autorizat să acceseze informații privind securitatea națională. Mai mult am evaluat critic incidența asupra vieții profesionale a unor variabile umane specifice valorilor morale și implicațiile mediului social în definirea traiectului profesional corect, mărginit de exigența deontologiei profesionale. Scopul principal rămâne responsabilizarea individului, crearea unei culturi de securitate solidă, pentru oferirea tacită prin valori crescute ale loialității și identității naționale a garanției legalității activității sale profesionale și sociale. De aceea nu ne permitem să uităm că pentru dezvoltarea culturii de securitate trebuie pornit de la personalitatea individului autorizat să acceseze informații clasificate, continuat de educația de resort, având un fundament solid teoretic (doctrinar, cultural) și practic (lecții invățate, informații obținute) despre acțiunile organizațiilor ostile, care prin mijloace deschise sau acoperite, directe sau mijlocite online, au ca prim obiectiv câștigarea încrederii prin disimularea adevăratelor intenții. La fel ca și evoluția formelor de manifestare ale amenințărilor, educația de securitate are nevoie de tehnici cu impact motivațional puternic, eficiente, pentru dezvoltarea unei culturi de securitate privind protecția informațiilor clasificate care să confere siguranță, iar în timp să reprezinte un factor protectiv viabil și descurajant. RECOMANDARI Dezvoltarea foarte rapidă acum inevitabil companiile și oamenii de afaceri trebuie să se poată adapta rapid, nevoia de informații și conexiuni de date pentru a actualiza informații de la birou nu recunosc timpul și locul, apariția de soluții de comunicații unificate, mobil commuters, și așa mai departe consolida acuratețea și viteza în obținerea de informații este absolut necesar. Priviți acum unde utilizarea Blackberry este o penetrare foarte mare pe piață.

Un sistem care poate fi accesat cu disponibilitate ridicată atunci când este necesar, deschidere și distribuit definitiv a devenit o necesitate pentru un sistem integrat. Servere continuu conectate fără sfârșit la rețeaua publică, vor deschide în mod inevitabil găurile sistemului de securitate. Nu există un sistem perfect, putem doar să ne îmbunătățim de la statutul nesigur la relativ mai sigur, deoarece există atât de multe găuri sau metode de securitate care penetrează. Gaura de securitate, atât în sistemul de operare, cât și în aplicații, servicii și așa mai departe, se poate găsi cu siguranță în slăbiciunea sa. În general vorbind, securitatea sistemului informatic și computerele pot fi împărțite în două adică securitatea este fizică și logică. Din punct de vedere fizic, modul în care asigurăm întreaga infrastructură a echipamentelor noastre de securitate atât din partea serverului, cameră, cablu, sistem de rezervă sistem redundant, sistem de rezervă de energie electrică etc. în timp ce securitatea logică privind metodele de securitate, cum ar fi protocolul utilizat, modelul bazei sale de date și sistemul de operare. În prezent, cu o înaltă conștientizare, au existat numeroase companii sau oameni de afaceri care au acordat atenție sistemelor informatice și problemelor legate de securitatea calculatoarelor, în special prin oferirea de soluții de oprire de la furnizorii de servicii IT care reduc din ce în ce mai mult problemele de securitate. Dar, de multe ori, echipamentele scumpe nu sunt urmate de reguli clare și de un înalt grad de conștientizare față de utilizator. Există atât de multe declarații incorecte din partea utilizatorilor sau a administratorilor cu privire la problema sistemelor sau informațiilor de securitate ale computerului, cum ar fi: 1."… dar deja folosim NAT" 2.Am închis toate pachetele primite" 3.Anti-virusul nostru original" ne păstrează în siguranță 4.Ne pare rău că nu am folosit WINDOWS 5.Avem un sistem DMZ" 6.Nu suntem o țintă 7.Nu publicăm în mod crucial pe web 8.Am criptat datele 9.Avem deja multe firewall-uri și mai noi 10.Avem o echipă puternică și minunată 11.Avem fonduri IT nelimitate

Apoi avem nevoie de o regulă care să fie obligatorie pentru toți utilizatorii și angajații din locurile care sunt cuprinzătoare și standard. Există multe standarde care pot fi utilizate, de obicei, de furnizorii de soluții IT. De exemplu, standardizarea cablajelor, standardizarea dezvoltării spațiului serverului, standardizarea fermelor server și așa mai departe. Necesitatea unor politici de sistem de securitate este necesară atunci când o întreprindere sau un proces de afaceri a folosit echipamente sau sisteme IT ca un factor în strategia sa de afaceri. ISO este unul dintre organismele mondiale care face standarde folosite de utilizatori și producători în anumite domenii. ISO 17799: 27002 este un standard care conține pașii practice pentru gestionarea unui sistem de securitate a informațiilor. Standardul ISO are 12 clauze de securitate, cu un total de 39 de categorii principale în domeniul securității, care în unele categorii au mai multe componente mai detaliate. Descrierea celor douăsprezece clauze sunt: 1.Evaluarea și tratarea riscurilor a. Evaluarea riscurilor de securitate, trebuie luate politici cu privire la riscurile care ar putea fi posibile apar. Politicile pot fi făcute cu o analiză a posibilelor riscuriapar pe sistemele de securitate, de exemplu; •Cât de mare este efectul opririi serviciilor IT. •Cât de mare este efectul de risc atunci când datele și informațiile sunt pătrunse cu succes de intruși. •Cât timp va fi sistemul normal când serviciul se oprește b. Tratarea tratamentului riscurilor de securitate, politici care să asigure îngrijirea toate sistemele IT utilizate, reguli care vor fi obligatorii pe o bază standard despre îngrijire, de exemplu •Trebuie să se facă reguli cu privire la numărul de probleme de câte ori întreținere, analiza penetrării sistemului, backup, restaurare și așa mai departe legate de eșecul riscului de securitate. 2.Politica de securitate a.Document de politică de securitate a informațiilor și revizuirea securității informațiilor politici această politică se referă la problema modului în care se află compania să respecte diferite reguli de securitate și de reglementare a confidențialității, cum ar fi standardele de la Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate.

Actul de modernizare a serviciilor financiare. De exemplu, unele tipuri de securitate document de politică, cum ar fi; •Politica privind computerele mobile •Politica firewall •Politica poștei electronice •Politica de clasificare a datelor •Politica de securitate a rețelei •Politica de utilizare acceptabilă pe internet •Politica privind parolele Coordonarea cu alte politici de securitate, nu permite ca politicile care au fost sau vor fi făcute vor provoca contradicții cu politicile existente cu alte departamente sau chiar cu viziunea și misiunea companiei. Asemenea probleme apar adesea dacă politica de securitate făcută nu vede, de exemplu, imprimarea albastră a companiei; • În politica de securitate, partea tehnică a angajaților trebuie să poată intra liber în alte încăperi în funcție de nivelul lor, dar în politica companiei se fac reguli privind modelul de autentificare a sistemului pentru a intra în anumite încăperi. Organizarea securității informațiilor a. Organizarea internă este necesară, de exemplu, pentru coordonarea cu firmele interne • un angajament ridicat pentru fiecare nivel de conducere în ceea ce privește respectarea tuturor politicilor sistemului de securitate care se fac, ar fi mai bine dacă s-ar fi făcut o reglementare cu privire la angajamentul de management • Instige responsabilitatea pentru toate nivelurile de conducere și angajați pentru politicile care au fost făcute • Trebuie să elaboreze o politică privind definirea informațiilor care intră și ies din companie, iar informațiile trebuie clasificate •Periodic analizați sistemul care a fost realizat, de exemplu prin închirierea de la părți externe. b. Părțile externe, deoarece informațiile și datele sunt, de asemenea, utilizate și accesate de către partenerii de afaceri, este, de asemenea, necesară o politică pentru fluxul de informații, de exemplu;

•Deoarece a implementat un lanț ERP / Supply, unii parteneri de afaceri sunt conectați la sistemul de baze de date, astfel încât drepturile de acces oferite sunt folosite în mod greșit, sunt necesare reguli clare cu privire la drepturile lor de acces •Care este valoarea riscului care va apărea prin conectarea acestui partener de afaceri, acesta trebuie identificat de la început. • Între companii și parteneri de afaceri trebuie să se facă semne clare cu privire la aceste drepturi de acces la informații. ID-urile utilizatorilor și ID-urile de grup, aplicând grupuri bazate pe utilizator și pe grup pentru a fi ușor de întreținut. Cu o parolă sau un utilizator root, putem seta complet calculatorul. Putem crea utilizatori și șterge utilizatori, permiterea și dezactivarea utilizatorilor, partajarea cotelor pentru utilizatori, accesul la resursele de rețea și instalarea completă pe server. Gestionarea activelor a.Responsabilitatea pentru active, problema activelor corporative trebuie, de asemenea, să fie o preocupare deosebită, aceasta fiind necesară pentru clasificarea, de exemplu, a datelor privind activele, a informațiilor și a bunurilor și altele; Cum putem afla numărul de articole și specificațiile mărfurilor dacă nu cunoașteți modelul / formatul, data fabricării și alte informații importante atunci când doriți să știți despre articol •Trebuie să documenteze în mod corespunzător informațiile despre bază de date, contractele sau cooperarea, informațiile din secțiunea C & D, manualele de utilizare, instruirea materială, operațiunile, SOP-urile și procedurile de asistență. •Înregistrați toate echipamentele informatice fizice, echipamentele de comunicații, stocarea media, sistemele de stocare de rezervă, software-ul, bazele de date, instrumentele și alte utilități. •Clasificați informațiile, de exemplu, făcând indicații sau făcând informații privind etichetarea, imaginați-vă dacă există multe active cu aceleași specificații sau cu alte specificații, informațiile despre active trebuie să fie făcute standard, având caracteristicile fiecărui activ existent. Securitatea resurselor umane, această politică se concentrează asupra angajaților, contractanților și a altor utilizatori cu privire la responsabilitățile existente, cum ar fi furtul, distrugerea și pierderea facilităților, de exemplu; •Limitați responsabilitățile, termenii și condițiile fiecărui angajat •Trebuie să organizeze întâlniri pentru a îmbunătăți gradul de conștientizare a securității informațiilor, a conduce educația și instruirea cu privire la politicile și sistemele care au fost și vor fi construite, aceasta este de a spori sentimentul de proprietate și de reacție a utilizatorilor

Companiile trebuie să poată stabili norme și reglementări standard privind modul de reglementare a drepturilor de acces ale tuturor angajaților și ale altor părți externe legate de sistemele informatice. •Fiecare angajat trebuie să aibă drepturi de acces în conformitate cu biroul de lucru și departamentul său. •Politicile privind ce ar trebui să fie privat de un angajat pentru o problemă inerentă, cum ar fi dreptul de acces la server, dreptul la o parte a unui grup, dreptul de acces la anumite spații și așa mai departe. •Politica trebuie să fie capabilă să reglementeze ce se întâmplă dacă angajatul este revocat și într-o anumită perioadă de timp este returnat cu aprobarea conducerii Securitatea fizică și de mediu, în această secțiune, trebuie reglementate în ceea ce privește drepturile de acces fizic, daunele provocate de infrastructură, pot identifica riscurile și valorile fiecărui bun protejat, există, de exemplu, câteva aspecte care pot fi ridicate; •Efectuați un sistem prin reglementarea modului în care există o forță majoră (incendiu, revoltă, dezastru natural). •Crearea de standarde de redundanță și de backup ale sistemului, adoptarea unor reguli prin implementarea unor activități de rezervă periodice sau prin utilizarea unui sistem de backup, în prezent tendința de dezvoltare a Centrului de Recuperare a Dezastrelor (DRC) utilizat în mod obișnuit de companiile bancare, copiere de rezervă pentru a copia baza de date pe un alt server în oglindirea cu metoda de copiere poate fi setat. •Creați o regulă standard pentru accesarea directă a calculatoarelor și a rețelelor, cum ar fi cablurile, serverele plasate în camere speciale, hub-uri, routere și altele. Această cameră de server este deseori numită NOC (Network Operating Center) care este de obicei într-o cameră specială care este separată de utilizator și există suporturi speciale pentru amplasarea dispozitivului rețeaua. •Sala de server creată trebuie să acorde atenție problemei spațiului de acces public și spațiului de andocare a încărcăturii. •Efectuați reguli privind controlul accesului la spațiul serverului, accesul la intrare utilizând identificatorul de autentificare (de ex. Codul de bare sau amprenta) astfel încât nu toți utilizatorii să poată introduce contoare de Securitate. Acordând atenție facilităților de securitate, cum ar fi stingătoarele, detectoarele de fum, dispozitivele de detectare a mișcării și detectoarele video de supraveghere și alte substanțe chimice care pun în pericol zona camerei.

•Efectuați o colectare specială a datelor despre active pentru a înregistra procesul de întreținere al dispozitivului. •Faceți reguli privind limitarea utilizării videoclipurilor audio, inclusiv camere foto, telefoane mobile și alte dispozitive portabile, și reglementați consumul și fumatul în anumite zone. Comunicarea și gestionarea operațiunilor, în această secțiune politica trebuie făcută în timp util. Verificați și asigurați funcționarea facilităților de procesare a informațiilor. a.Procedurile și responsabilitățile operaționale, prin elaborarea standardelor de document pentru fiecare operațiune, •SOP (Procedura de operare standard) este necesară pentru toate activitățile, cum ar fi cum să gestionați munca în schimburi în camere de server, standardele de manipulare a serviciului, standardele de manipulare tehnică și așa mai departe b.Gestionarea serviciilor terță parte, cu cât sunt utilizate mai multe părți terțe, monitorizarea și analiza este necesară pentru a asigura un serviciu continuu, un raport și un mecanism de înregistrare •Creați reguli privind colaborarea între dezvoltatorii de aplicații terță parte utilizați •Setați nivelul de instalare al fiecărui utilizator pentru a accesa datele de pe hard disk c.Protecția împotriva codului rău intenționat și mobil, de exemplu, stabiliți reguli privind prevenirea, detectarea și răspunsul la codul rău intenționat •Aranjamente privind politicile de instalare a software-urilor terților, obținute în principal din rețele externe •Asigurați-vă că utilizați întotdeauna anti-virus, anti-spyware și faceți actualizări regulate •Aranjați pentru procesul de actualizare dacă se va face central sau pe telecomandă de către admin •Realizați revizuiri periodice ale sistemului care rulează, dacă este necesar, un software dezinstalat care are probleme cu compatibilitatea și care dăunează sistemului Creați un acord obligatoriu cu produsul software achiziționat, în cazul în care apar probleme mai târzii, contactați centrul de apeluri •Asigurați-vă reguli despre modul în care există probleme de sistem în timpul instalării software-ului terță parte. •Desfășurarea de formare și socializare cu privire la aceste politici și metode d.Gestionarea securității rețelei În această regulă, aceasta va proteja toate informațiile din rețea și din infrastructura rețelei de sprijin.

•Efectuați reguli privind împingeți informațiile la nivelul de management pentru performanța rețelei •Efectuați o vizualizare pentru a monitoriza rețeaua atât din partea dispozitivului, cât și din partea utilizatorului, aceasta fiind utilă pentru crearea rapoartelor •Faceți documentația imaginilor rețelei de topologie •Reglementați să nu obțineți informații despre rețelele de infrastructură sensibile din accesul publicului, aceasta este de a minimiza cazul ingineriei sociale •Aranjați colectarea înregistrărilor, inclusiv activitățile de securitate •Coordonarea cu alte părți (consultanți, CERT, ID-SIRTI etc.) •Implementarea serviciilor de rețea, cum ar fi autentificarea, criptarea și controlul conexiunilor •Creați o colaborare cu furnizorii de sisteme de securitate, cum ar fi utilizarea certificatelor digitale, chei publice, sisteme OTP și așa mai departe. •Faceți controlul asupra accesului la infrastructura de rețea, inclusiv accesul fără fir, accesul la date sau alte informații și date. •Reguli pentru protecția schimbului de informații de la interceptare, copiere, modificare, rutare greșită •Atunci când datele sunt stocate fizic, faceți reguli standard despre ambalaj, containere blocate, responsabilitate evidentă, dulapuri de numerotare, scrisori de intenție și istoricul înregistrărilor. •Creați reguli privind utilizarea mesajelor electronice (e-mail, IM, conferințe audio-video etc.), de exemplu despre restricționarea accesului, a fișierelor atașate, a fișierelor de transmitere care sunt asociate cu influențe asupra sistemelor de Securitate. •Dacă este posibil, setați-l pentru a folosi cheile publice cu PGP sau alte sisteme de securitate pentru proces. Dacă utilizați servicii de comerț electronic, faceți reguli de service cu alte părți (securitatea autorităților sau bancare) și acordați atenție utilizării aplicației utilizate. Monitorizarea, în această categorie, activitățile procesului reprezintă o preocupare majoră, inclusiv; •Pentru echipa NMC (Network Monitoring Centre) să monitorizeze traficul, activitățile din rețea și infrastructura care monitorizează continuu 24 de ore •Echipa NMC este sub responsabilitatea departamentului tehnic, NMC joacă un rol important în cunoașterea activităților timpurii fie anomalie, atacuri sau eșecuri din sistemul de funcționare •Creați un sistem de ticketing pentru întreruperile de transport în biroul de asistență, ceea ce înseamnă îmbunătățirea serviciilor

•Creați un sistem de monitorizare cuprinzător pentru a cunoaște toate procesele și activitățile care apar în rețea, cu protocolul SNMP și unele aplicații standard pot furniza informații detaliate •Efectuați monitorizarea globală (routere, switching, servere, ultimele mile, resurse hardware și alte dispozitive. •Dacă aveți nevoie să integrați monitorizarea în alte sisteme, cum ar fi sms, e-mail și alte aplicații mobile •Creați reguli pentru a proteja accesul și procesele de înregistrare, efectuați înregistrarea pentru fiecare jurnal de la administrator la operator, înregistrarea erorilor, aceasta este de asemenea pentru a sprijini biroul de lucru ID-SIRTI. •Blocare automată, o regulă care permite blocarea automată a sistemului, dacă apare, de exemplu, scrierea unei parole greșite de trei ori. Acest lucru este foarte util pentru utilizatorii care se pot conecta la server. •Verificați documentația administrativă în mod priod, verificând toate activitățile sistemului informatic, atât în ceea ce privește accesul la utilizator, rularea sistemului daemon, cât și accesul utilizatorilor la sistem. •Efectuați o revizuire a jurnalului prin potrivirea politicii de pe masina firewall sau IDS •Efectuați sincronizarea ceasului, mai ales dacă aveți mai multe servere în multe locuri pentru a evita erorile procedurale în sistem. Controlul accesului, această secțiune trebuie să stabilească reguli privind accesul la informații, facilitățile de procesare a informațiilor și procesele de afaceri. •Faceți reguli privind accesul la sistemele informatice •Faceți un standard cu privire la formatul aprobării, respingerii și administrării nregistrarea utilizatorilor, trebuie să se facă pentru a pune în aplicare procedurile de înregistrare, gratare și revocarea accesului la toate sistemele și serviciile de informații. •Creați un cont unic pentru toate codurile de utilizator •Creați reguli despre notificările de administrator către utilizatori probleme legate de contul de sistem •Creați standarde pentru "termeni și condiții" și acorduri de confidențialitate •Creați documentația standard pentru a stoca toate informațiile despre utilizatori, astfel încât să fie ușor de restaurat •Cont, dacă un cont poate fi partajat, atunci când contul este respins ce ar trebui făcut de către utilizator. Conturile expirate, cum ar fi descărcarea de gestiune a unui angajat / resemniar care a obținut anterior

dreptul de acces la un server, cum ar fi un cont de poștă electronică, un cont web sau o cotă pe server pentru a stoca datele, trebuie șterse imediat după ce angajatul oficial demisioneze din partea companiei. •Blocare automată, o regulă care permite blocarea automată a sistemului, dacă apare, de exemplu, scrierea unei parole greșite de trei ori. Acest lucru este foarte util pentru utilizatorii care se pot conecta la server. •Schimbați parolele periodic (admin și utilizator) și documentați, o parolă bună, pe lângă faptul că constă din caractere și numere, precum și lungimea, este o idee bună să schimbați periodic parolele, de exemplu o dată pe lună și să documentați. •Conturi noi, limitați utilizatorii noi la cote, memorie și acces și drepturile pe care le au •Limitați domeniul de aplicare al utilizatorului prin aplicarea cotei, orelor de acces, drepturilor de acces pentru a instala pe un PC sau server și așa mai departe. •Securitatea Root, sistemul de administrare care utilizează sistemele la distanță trebuie să fie printr-o rețea securizată, de exemplu VPN, SSL sau SSH. A creat o regulă în care fiecare utilizator care se va conecta la server cu un cont root sau super utilizator trebuie să se conecteze cu un utilizator normal și apoi să se mute la utilizator rădăcină. Faceți reguli privind controlul de rutare a rețelei, asigurați-vă că algoritmii utilizați sunt corecți și că legăturile la rutare pot fi de încredere, notează rutarea hop, latența și protocolul utilizat. Achiziționarea, dezvoltarea și întreținerea sistemelor informatice, în această secțiune, vor vorbi despre reguli pentru părți ale sistemelor informatice și procese de afaceri face parte din activitățile în desfășurare ale sistemului. Cerința de securitate a sistemului de informații și de aplicare, cu privire la întregul sistem informatic •Faceți reguli cu privire la legalitatea informațiilor despre schimbări sau implementări noi de sistem. •Efectuați reguli privind datele de intrare din aplicație pentru a asigura corectitudinea datelor •Faceți reguli privind verificările și manualele repetate pentru verificați și verificați încrucișat. •Aceasta face parte din prevenirea injectării în atac, care va fi efectuată pe un sistem construit prin utilizarea lacunelor existente. •Faceți definiții pentru responsabilitățile și procesele pentru a răspunde atunci când apar sau pentru a detecta erorile.

•Acordați atenție datei de ieșire a datelor, validând-o pentru a vă asigura că datele prelucrate și stocate sunt corecte Utilizați anumite metode criptografice de criptare pentru a le garanta securitatea, integrarea și autentificarea informațiilor utilizând aplicațiile care o susțin a. Security Systems, garantează existența sistemului de fișiere, Creați proceduri de implementare pentru a controla instalarea software-ului Reduceți conflictele / incompatibilitățile între software și sistemele de operare și hardware Desfășurați cursuri de formare pentru a socializa sistemul care a fost făcut Faceți o procedură despre modul în care vor fi efectuate modificările

BIBLIOGRAFIE I. Legi, acte normative, regulamente 1. Strategia națională de apărare a țării pentru perioada 2015 – 2019, O Românie puternică în Europa și în lume. 2. Legea nr. 544/2001 privind liberul acces la informațiile de interes public. 3. Constituția României. 4. Legea nr. 182/12.04.2002 privind protecția informațiilor clasificate, publicată în Monitorul Oficial al României, Partea I, nr. 248 din 12.04.2002; 5. Hotărârea guvernului nr. 781/25.07.2002 privind protecția informațiilor secrete de serviciu, publicată în Monitorul Oficial al României, Partea I, nr. 575 din 05.08.2002; 6. Hotărârea guvernului nr. 585/13.06.2002 pentru aprobarea Standardelor naționale de protecția a informațiilor clasificate în România, publicată în Monitorul Oficial al României, Partea I, nr. 485 din 05.07.2002; 7. Ordonanța de urgență a Guvernului nr. 153/07.11.2002, publicată în Monitorul Oficial al României, Partea I, nr. 826 din 15.11.2002, aprobată prin Legea nr. 101/24.03.2003, publicată în Monitorul 8. Codul Penal, Legea.286/2009. 9. Executive Order 12333, sec.3-5, 2008 USA, 10. Department of Defence Regulation 5200.2.R, îmbunătățit în anul 1995 și implementat la nivel departamental în anul 1997 fiind revizuit în 2005, –Adjucative Guidelines for Determining Eligibility for Acces to Classified Information 11. North Atlantic Treaty Organisation C-M (2002) 49.3. 12. Decizia nr.488/2013 privind normele de securitate pentru protecția informațiilor UE clasificate.

II. Tratate, monografii, cursuri universitare și alte lucrări de specialitate 13. Adler, Alfred, Cunoașterea omului, EdituraIRI, București, 1996. 14. Albu, Gabriel, Comunicarea interpersonală, aspecte formative și valențe psihologice, Editura Institutul european, Iași, 2008. 15. Aniței, Mihai, Chraif, Mihaela, Burtăverde, Vlad, Mihăilă, Teodor, Tratat de psihologia personalității, EdituraTrei, București, 2016 16. Anton, Mihail, Abordări sociologice ale valorilor și securității naționale, Editura Universității Naționale de Apărare, București, 2007. 17. Andreescu, Anghel, Nicolae, Radu, Jihadul islamic, Editura Ministerului Internelor și Reformei Administrative, București, 2008. 18. Bogathy, Zolthan, Manual de psihologia muncii și organizațională, Editura Polirom., București, 2004. 19. Becker, David W., Coming from the COLD …war. Defense HUMINT services support to military operations other than war, Fort Leavenworth, Kansas, 2000. 20. Berger, Gaston, Tratat practic de cunoaștere a omului, Editura IRI, București 1997. 21. Bourrie, Mark, ISIS Jocul morții, martiri, asasinate și fascinație, Editura Corint, București, 2016. 22. Bocu, Ștefan, Curs psihologie socială, Universitatea A.I.Cuza, Fac.de psihologie și științele educației, Iași. 23. Boza, Mihaela, Atitudinile sociale și schimbarea lor, Editura Polirom, București, 2010. 24. Breton, Philippe, Manipuarea cuvântului, Institutul European, Iași, 2006. 25. Burke,Peter, Stets, Jan, Identity theory, Oxford University Press, 2009. 26. Chelcea, Septimiu, Psihosociologie, Teorii, cercetări, aplicații, Editura Polirom, București, 2008. 27. Chele Gabriela, Utilizarea îndelungată a calculatorului la copii și adolescenți, factor de risc sau condiție premorbidă, teză doctorat, Universitatea de Medicină și Farmacie, Facultatea de Medicină, Iași 2010. 28. Cherkashin, Victor , Feifer, Gregory, Spy Handler, Editura Basic Books, New York, 2005. 29. Chihai, Alexandru, Psihologie developmentală, Editura Casa Corpului Didactic, D.T.Severin, 2009. 30. Cialdini, Rober, Psihologia manipulării, Europress Group, București, 2012. 31. Cialdini, Robert, Pre-suasiune, Editura Publica, București, 2017.

32. Ciobanu, Ion, Aurel Nour, Aurel, Confruntarea informațională și protecția informațiilor, Editura Detectiv, București, 2006. 33. Ciofu Ion., Comportamentul simulat, Editura Academiei, București, 1974. 34. Cochinescu, Lucian, Probleme actuale ale psihologiei sociale, Editura Paralela 45, București, 2008. 35. Crăițoiu, Constantin, Societatea românească azi, Editura Institutul european, Iași, 2011. 36. Cristescu, Claudia, Reformarea domeniului de intelligence prin intermediul educației universitare și implicații asupra învățământului militar superior, teză doctorat, Editura U.N.Ap., București, 2012. 37. Crăițoiu, Constantin, Societatea românească azi, Editura Institutul european, Iași, 2011. 38. Dafinoiu, Ion, Personalitate.Metode calitative de abordare. Observația și Interviul, Editura Polirom, Iași, 2002. 39. David Daniel, Psihologia poporului român, Editura Polirom, București, 2015. 40. Dolgin, Nicolae, Sarcinshi Alexandra, Dinu Mihai-Stefan, Riscuri și amenințări la adresa securității României. Actualitate și perspectivă., Editura Universității Naționale de Apărare, București, 2004. 41. Durkheim, Emile, Formele elementare ale vieții religioase, Sociologia religioasă și teoria cunoașterii, Editura Antet, București, 2005. 42. Erickson, Juliet, Arta persuasiunii, Editura Curtea Veche, București, 2009. 43. Frigioiu, Nicolae, Antropologie politică, Scoala Națională de Studii Politice și Administrative, București, 2009. 44. Gass, Rober, Seiter, John, Manual de persuasiune, Editura Polirom, București, 2009.