MONITORUL OFICIAL AL ROMANIEI

 

P A R T E A I

Anul XIV - Nr. 315          LEGI, DECRETE, HOTĂRÂRI SI ALTE ACTE          Luni, 13 mai 2002

 

SUMAR

 

HOTĂRÂRI ALE GUVERNULUI ROMÂNIEI

 

353. - Hotărâre pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord în România

 

354. - Hotărâre privind înfiintarea, organizarea si functionarea Agentiei de Acreditare de Securitate, Agentiei de Securitate pentru Informatică si Comunicatii si Agentiei pentru Distribuirea Materialului Criptografic

 

HOTĂRÂRI ALE GUVERNULUI ROMÂNIEI

 

GUVERNUL ROMÂNIEI

 

HOTĂRÂRE

pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord în România

 

În temeiul prevederilor art. 107 din Constitutia României,

 

Guvernul României adoptă prezenta hotărâre.

 

Art. 1. - Se aprobă Normele privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord în România, prevăzute în anexa care face parte integrantă din prezenta hotărâre.

Art. 2. - În termen de 60 de zile de la intrarea în vigoare a prezentei hotărâri institutiile care utilizează informatii clasificate ale Organizatiei Tratatului Atlanticului de Nord au obligatia de a elabora dispozitii interne pentru aplicarea normelor prevăzute la art. 1.

 

PRIM-MINISTRU

ADRIAN NĂSTASE

Contrasemnează:

p. Ministrul afacerilor externe,

Mihnea Motoc,

secretar de stat

p. Ministrul apărării nationale,

Sorin Encutescu,

secretar de stat

Directorul Serviciului Român de Informatii,

Radu-Alexandru Timofte

p. Directorul Serviciului de Informatii Externe,

Alexandru Marcel

 

Bucuresti, 15 aprilie 2002.

Nr. 353.

 

ANEXĂ

 

NORME

privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord în România

 

A. PRINCIPII GENERALE

1. În calitate de candidată la aderare si tară parteneră la Consiliul de Cooperare Nord-Atlantic (Parteneriatul pentru pace), România a semnat la data de 8 iulie 1994 Acordul de securitate cu Organizatia Tratatului Atlanticului de Nord, denumită în continuare NATO, iar la data de 10 septembrie 1994 Codul de conduită.

2. Prin semnarea documentelor mentionate mai sus România si-a luat angajamente clare de a proteja si apăra informatiile si materialele clasificate ale Aliantei Nord-Atlantice si membrilor acesteia, în conformitate cu documentul “Securitatea în cadrul NATO-C-M (55) 15 (Final)” si cu actele normative nationale.

3. În baza obligatiilor bine definite ce revin României prin Hotărârea Guvernului nr. 864 din 10 octombrie 2000 a fost înfiintată Autoritatea Natională de Securitate, denumită în continuare ANS, institutie învestită cu atributii de reglementare, autorizare si control în conformitate cu standardele minime privind protectia informatiilor clasificate ale NATO.

4. ANS reprezintă organismul national de legătură cu Oficiul de Securitate NATO, denumit în continuare NOS, si cu celelalte structuri de securitate ale Aliantei Nord-Atlantice si asigură aplicarea si coordonarea unitară a activitătii de protectie a informatiilor clasificate NATO pe teritoriul României.

5. Domeniile principale în care ANS îsi exercită atributiile sunt securitatea fizică, securitatea personalului, securitatea documentelor, protectia informatiilor stocate în cadrul sistemelor de prelucrare automată a datelor, denumită în continuare INFOSEC, securitatea industrială, precum si alte domenii care implică protectia informatiilor clasificate ale NATO, pentru care elaborează instructiuni si proceduri interne, cu respectarea strictă a prevederilor legale din România si a standardelor NATO.

6. Pentru îndeplinirea atributiilor în domeniul protectiei informatiilor clasificate ale NATO au competente următoarele institutii: Serviciul Român de Informatii, Serviciul de Informatii Externe, Ministerul Apărării Nationale – Directia generală de informatii a apărării si Ministerul Afacerilor Externe. De asemenea, îndeplinesc atributii specifice, conform competentelor legale, si Serviciul de Telecomunicatii Speciale, Ministerul de Interne si Serviciul de Protectie si Pază.

B. DEFINITII

7. Informatie semnifică acea notiune care poate fi comunicată în orice formă.

8. Informatie clasificată semnifică acea informatie sau material care necesită protectie împotriva dezvăluirii neautorizate, atribuindu-i-se în acest scop o clasificare de securitate.

9. Material include documente si orice elemente ale unui echipament, mecanism sau armament prelucrat ori în curs de prelucrare.

10. Informatii clasificate NATO se referă la toate informatiile clasificate de natură politică, militară si economică, vehiculate în cadrul NATO, elaborate în cadrul structurilor NATO sau primite de la statele membre ori de la alte organizatii internationale.

11. Document semnifică toate tipurile de medii de stocare a informatiilor, cum ar fi: documentele pe suport hârtie (documentele tipărite, copii, traduceri, schite, hărti, planse, fotografii, desene, note, hârtii de indigo, listinguri etc.), mediile de stocare ale calculatoarelor (suporturi optice, benzi magnetice, casete, dischete, hard-discuri, memorii PROM si EPROM etc.), microfilme, riboane de printare, dispozitivele de procesare portabile (agende electronice, laptop) la care hard-discul este folosit pentru stocarea informatiilor clasificate NATO.

12. Document clasificat NATO semnifică acel document care contine informatii clasificate NATO.

13. Securitatea documentelor clasificate NATO reprezintă ansamblul procedurilor, instructiunilor si măsurilor privind gestionarea si controlul documentelor clasificate NATO.

14. Gestionarea informatiilor clasificate NATO reprezintă totalitatea activitătilor de primire, de evidentă a elaborării si consultării, verificare, evidentă, distributie, transmitere, transport, multiplicare, distrugere, inventariere si arhivare a informatiilor clasificate NATO.

15. Controlul informatiilor clasificate NATO reprezintă totalitatea activitătilor de verificare a modului în care sunt gestionate documentele clasificate NATO.

C. ACCESUL LA INFORMATIILE CLASIFICATE NATO

16. Accesul la informatiile clasificate NATO se acordă în baza certificatului de securitate eliberat de ANS si a respectării principiului nevoii de a sti (need-to-know).

17. Conform Hotărârii Guvernului nr. 864/2000, ANS eliberează certificate de securitate, documente în baza cărora se acordă accesul la informatii si la documente clasificateNATO.

18. Acestea sunt de două tipuri:

- certificat de securitate tip A, cu o valabilitate de 3 ani, care permite accesul la informatii si documente clasificate NATO;

- certificat de securitate tip B, care autorizează participarea persoanei la activităti organizate de Alianta Nord-Atlantică în cadrul cărora se vehiculează informatii clasificate NATO si pentru care Alianta Nord-Atlantică solicită astfel de documente. Acest tip de certificat este valabil doar pe durata desfăsurării activitătii respective. Certificatele de securitate tip B nu se eliberează în absenta certificatelor de securitate tip A.

19. Nivelul de acces acordat prin certificatul de securitate eliberat trebuie să fie similar cu nivelul de clasificare a informatiilor la care persoana necesită acces în îndeplinirea sarcinilor sale de serviciu.

20. Accesul la informatii clasificate NATO pe baza certificatului de securitate trebuie să respecte principiul nevoia de a sti (need-to-know), care are următorul înteles: nici o persoană nu este îndreptătită doar prin rang, functie sau certificat de securitate să aibă acces la informatii clasificate NATO. Numărul persoanelor care au acces la informatii si documente clasificate NATO trebuie restrâns la cele ale căror activitate si îndatoriri profesionale impun lucrul cu astfel de informatii.

21. Persoanele cărora le-au fost eliberate certificate de securitate si urmează să li se acorde accesul la informatii clasificate NATO vor fi instruite de către functionarul de securitate al institutiei cu privire la reglementările si normele de protectie a acestora. Acestea se vor angaja, sub semnătură, să asigure securitatea informatiilor clasificate NATO si să respecte prevederile reglementărilor specifice pe linia protectiei informatiilor clasificate/planurilor de securitate în îndeplinirea atributiilor de serviciu.

D. SISTEMUL NATIONAL DE REGISTRE

22. Structura institutională se referă la ministere, organisme centrale, institutii, autorităti, agentii, agenti economici etc, în care sunt sau vor fi utilizate informatii clasificate NATO.

23. Componentă a sistemului national de registre (CSNR) se referă la acea componentă din cadrul unei structuri institutionale, responsabilă cu gestionarea si consultarea informatiilor clasificate NATO. Acestea sunt: Registrul Central, registrele externe, registrele interne, subregistrele si punctele de lucru.

24. Sistemul national de registre reprezintă ansamblul tuturor CSNR.

25. În cadrul sistemului national de registre sunt aplicate unitar reglementările privind securitatea fizică, securitatea personalului, securitatea documentelor, securitatea industrială si INFOSEC pentru a se asigura cadrul adecvat gestionării informatiilor clasificate NATO în conformitate cu standardele NATO de securitate.

26. Fiecare structură institutională (militară sau civilă) care utilizează informatii clasificate NATO are obligatia să îsi înfiinteze propria CSNR, forma de organizare a acesteia depinzând de volumul si de nivelul de clasificare a informatiilor vehiculate, în concordantă cu structura administrativă existentă.

27. Registrul Central reprezintă CSNR care este constituită si functionează în cadrul ANS si răspunde, la nivel national, de gestionarea si controlul tuturor informatiilor clasificate NATO.

28. Registrul extern reprezintă CSNR aflată în exteriorul tării, subordonată Registrului Central, care gestionează informatiile clasificate NATO primite/transmise de la/la NATO si de la/la celelalte structuri de securitate ale Aliantei Nord-Atlantice.

29. Registrul intern reprezintă CSNR care gestionează si controlează, la nivelul unei structuri institutionale, informatiile clasificate NATO.

30. Subregistrul reprezintă CSNR subordonată unui registru intern si care gestionează si controlează, la nivel departamental, informatiile clasificate NATO.

31. Punctul de lucru reprezintă CSNR care are doar atributii de evidentă, consultare, distributie, păstrare si control al informatiilor clasificate NATO.

32. Modul de organizare a unei CSNR este determinat în principal de volumul informatiilor clasificate NATO pe care le gestionează si de nivelul de clasificare a informatiilor vehiculate, precum si de atributiile functionale pe care trebuie să le îndeplinească. O CSNR se compune din:

A. Sectiunea de documente care, la rândul ei, se compune din:

- componenta de evidentă;

- componenta de distributie.

B. Sectiunea de curierat

33. Sectiunea de documente are următoarele atributii principale:

- primirea, evidenta elaborării si consultării, verificarea, evidenta, transmiterea, transportul, multiplicarea, distrugerea, inventarierea, arhivarea si controlul informatiilor clasificate NATO;

- distributia - colectarea, verificarea, ambalarea, predarea/primirea la/de la sectiunea de curierat.

34. Sectiunea de curierat are următoarele atributii principal colectarea, verificarea si transportul documentelor clasificate NATO, în conformitate cu reglementările nationale privitoare la transportul documentelor nationale cu nivel de clasificare echivalent si cu respectarea standardelor minime de securitate NATO.

35. Fiecare CSNR trebuie să îsi organizeze Sectiunea de documente. Sectiunea de curierat poate fi inclusă/asigurată de structura institutională de care apartine.

36. Atributiile Registrului Central se referă la:

a) coordonarea activitătii tuturor structurilor CSNR din subordine;

b) aplicarea metodologiilor specifice elaborate de către ANS în cadrul structurii proprii, transmiterea acestora CSNR subordonate si urmărirea modului în care sunt aplicate;

c) gestionarea informatiilor clasificate NATO;

d) asigurarea organizării si functionării arhivei cu informatii clasificate NATO, la nivel national;

e) efectuarea inventarierii anuale a tuturor documentelor proprii si centralizarea rezultatelor inventarierii la toate CSNR din cadrul Sistemului national de registre;

f) gestionarea originalelor tuturor certificatelor de securitate tip A eliberate de ANS;

g) evidenta tuturor CSNR aflate în subordine;

h) controlul periodic privind gestionarea informatiilor clasificate NATO în cadrul CSNR din subordine;

i) pregătirea si instruirea personalului propriu.

37. Atributiile registrelor externe se referă la:

a) aplicarea metodologiilor specifice, elaborate de către ANS în cadrul structurii proprii, transmiterea acestora CSNR subordonate si urmărirea modului în care sunt aplicate;

b) primirea/transmiterea documentelor clasificate de la/la NATO sau de la/la alte structuri de securitate ale Aliantei Nord-Atlantice;

c) gestionarea informatiilor clasificate NATO primite/transmise de la/la Registrul Central;

d) asigurarea organizării si functionării arhivei proprii cu informatii clasificate NATO;

e) efectuarea inventarierii anuale a tuturor documentelor proprii si centralizarea rezultatelor inventarierii la toate CSNR din subordine;

f) gestionarea originalelor certificatelor de securitate tip B ale persoanelor care îsi desfăsoară activitatea în cadrul propriei structuri;

g) evidenta tuturor CSNR din subordine;

h) controlul periodic privind informatiile clasificate NATO în cadrul CSNR din subordine si centralizarea rezultatelor;

i) pregătirea si instruirea personalului propriu;

j) sprijinirea activitătilor organizate de NATO pe linia protectiei informatiilor clasificate;

k) transmiterea la NOS a materialelor specifice pe linia protectiei informatiilor clasificate NATO, elaborate de ANS.

38. Atributiile registrelor interne se referă la:

a) coordonarea activitătii tuturor CSNR din subordine, subregistrelor sau punctelor de lucru;

b) aplicarea metodologiilor specifice elaborate de către ANS în cadrul structurii proprii, transmiterea acestora CSNR subordonate si urmărirea modului în care sunt aplicate;

c) gestionarea informatiilor clasificate NATO si asigurarea fluxului informational de la/la CSNR subordonate, precum si transmiterea către Registrul Central a documentelor nationale;

d) asigurarea organizării si functionării arhivei cu informatii clasificate NATO la nivelul structurii institutionale din care face parte;

e) efectuarea inventarierii anuale a tuturor documentelor proprii si centralizarea rezultatelor inventarierii la toate CSNR din subordine;

f) gestionarea tuturor originalelor certificatelor de securitate (tip A si tip B) eliberate de ANS pentru personalul din structura sa proprie si păstrarea listei actualizate cuprinzând toate persoanele din cadrul tuturor CSNR din subordine, care au acces la informatii clasificate NATO;

g) evidenta tuturor CSNR aflate în subordine;

h) controlul periodic privind gestionarea informatiilor clasificate NATO în cadrul CSNR din subordine;

i) pregătirea si instruirea personalului propriu si a subregistrelor/punctelor de lucru subordonate.

39. Atributiile subregistrelor se referă la:

a) coordonarea activitătii tuturor CSNR din subordine (puncte de lucru);

b) aplicarea metodologiilor specifice elaborate de către ANS în cadrul structurii proprii;

c) gestionarea informatiilor clasificate NATO si asigurarea fluxului informational de la/la CSNR subordonate, precum si transmiterea către Registrul intern a documentelor nationale;

d) asigurarea organizării si functionării arhivei proprii cu informatii clasificate NATO;

e) efectuarea inventarierii anuale a tuturor documentelor proprii si centralizarea rezultatelor inventarierii la toate CSNR din subordine;

f) gestionarea originalelor certificatelor de securitate (tip A si tip B) eliberate de ANS pentru personalul din competentă;

g) evidenta tuturor CSNR din subordine;

h) controlul periodic privind gestionarea informatiilor clasificate NATO în cadrul CSNR din subordine;

i) pregătirea si instruirea personalului propriu si al punctelor de lucru subordonate.

40. Atributiile punctelor de lucru se referă la:

a) aplicarea metodologiilor specifice elaborate de către ANS si transmise prin intermediul CSNR căreia îi este sub-

ordonat;

b) gestionarea tuturor originalelor certificatelor de securitate (tip A si tip B) eliberate de ANS;

c) asigurarea organizării si functionării arhivei proprii cu informatii clasificate NATO;

d) efectuarea inventarierii anuale a tuturor documentelor proprii;

e) asigurarea evidentei, consultării, distributiei, controlului si păstrării informatiilor clasificate NATO, precum si transmiterea către CSNR imediat superioară a documentelor nationale.

41. Gestionarea informatiilor clasificate NATO se efectuează exclusiv în cadrul Sistemului national de registre.

42. Documentele primite de către Registrul extern de la NATO, SHAPE sau de la alte structuri de securitate ale Aliantei Nord-Atlantice sunt gestionate conform procedurilor elaborate de ANS si sunt transmise la Registrul Central care constituie unicul canal de transmitere a informatiilor clasificate NATO de la/la NATO.

43. Registrul central va transmite/primi informatiile clasificate NATO la/de la CSNR direct subordonate, în conformitate cu procedurile existente, iar acestea la rândul lor le vor transmite/primi la/de la CSNR din subordinea lor directă, cu respectarea acelorasi proceduri.

44. Registrul Central, în conformitate cu procedurile existente, va transmite la NATO, prin intermediul Registrului extern, toate documentele primite.

45. Fiecare structură institutională care în desfăsurarea activitătii sale gestionează sau urmează să gestioneze informatii clasificate NATO trebuie să îsi înfiinteze o CSNR proprie.

46. Înfiintarea unei CSNR se realizează printr-o procedură unică ce se finalizează prin eliberarea unei autorizatii de înfiintare si functionare, document eliberat de către ANS, care certifică faptul că sunt îndeplinite standardele de securitate privind protectia informatiilor clasificate NATO.

47. ANS, prin Registrul Central, păstrează evidenta tuturor CSNR, precum si evidenta tuturor documentelor referitoare la înfiintarea/transformarea/desfiintarea acestora si are obligatia de a efectua controlul periodic asupra modului în care sunt îndeplinite conditiile de securitate.

48. Fiecare structură institutională va păstra la rândul său evidenta la zi asupra tuturor înfiintărilor/transformărilor/desfiintărilor CSNR din sfera lor de competentă.

49. ANS are obligatia de a prezenta Oficiului de Securitate NATO, cu ocazia controalelor anuale efectuate, situatia la zi a tuturor CSNR care există la nivel national si de a informa ori de câte ori este necesar institutiile nationale cu atributii în materie de protectie a informatiilor clasificate asupra modului în care se desfăsoară activitatea în acest domeniu.

50. În situatiile în care atributiile unei CSNR se modifică în sensul extinderii/diminuării activitătii sale se impune transformarea acesteia.

51. Transformarea unei CSNR se efectuează la solicitarea institutiei, cu aprobarea ANS, si se materializează prin eliberarea unei noi autorizatii de înfiintare si functionare.

52. Desfiintarea unei CSNR are loc atunci când nu se mai justifică functionarea acesteia si se face la solicitarea în scris a respectivei institutii.

53. ANS va analiza solicitarea si va aproba desfiintarea respectivei CSNR.

54. O dată pe an si ori de câte ori este necesar ANS are obligatia să efectueze controlul la Registrul Central, care se desfăsoară conform unei grile de control si se finalizează cu un raport de control.

55. Echipa care efectuează controlul va fi alcătuită din persoane desemnate de Consiliul de coordonare al ANS.

56. Raportul de control va fi analizat de Consiliul de coordonare al ANS, iar concluziile desprinse vor fi consemnate în decizia acestuia. Consiliul de coordonare al ANS va stabili măsurile necesare a fi întreprinse si termene precise pentru rezolvarea problemelor apărute ca urmare a controlului.

57. În cazul aparitiei unor evenimente deosebite conducerea ANS are obligatia să informeze operativ NOS, iar pe plan national, institutiile abilitate pe linia protectiei informatiilor clasificate si să prezinte măsurile întreprinse pentru reglementarea situatiei.

58. O dată pe an si ori de câte ori este necesar ANS, prin intermediul Registrului Central, are obligatia să verifice registrele interne/externe si să întocmească raportul de control care va fi prezentat conducerii ANS.

59. Echipa care efectuează controlul va fi alcătuită din persoane desemnate de Consiliul de coordonare al ANS.

60. Raportul de control va fi elaborat în termen de 7 zile de la data efectuării controlului.

61. Concluziile si recomandările cuprinse în raportul de control vor fi prezentate spre analiză si aprobare Consiliului de coordonare al ANS, care va decide asupra celor constatate. Secretariatul tehnic al ANS va informa în termen de 7 zile conducerea institutiei respective asupra rezultatelor controlului si va prezenta recomandările Consiliului de coordonare al ANS, împreună cu măsurile care se consideră că trebuie întreprinse pentru reglementarea situatiei.

62. Raportul de control împreună cu măsurile/recomandările consemnate vor fi păstrate la Registrul Central, constituind documente de evidentă, o copie de pe acestea fiind trimisă si la registrul respectiv.

63. În cazul aparitiei unor evenimente deosebite conducerea ANS are obligatia să informeze operativ NOS, iar pe plan national, institutiile abilitate pe linia protectiei informatiilor clasificate si să prezinte măsurile întreprinse pentru reglementarea situatiei.

64. O dată pe an si ori de câte ori este necesar structurile institutionale care detin subregistre, prin intermediul registrelor interne, au obligatia să verifice toate subregistrele din subordine si să întocmească raportul de control.

65. Echipa care efectuează controlul va fi alcătuită din persoane desemnate de conducerea institutiei din cadrul Registrului intern în a cărui subordine directă se află.

66. Concluziile si recomandările cuprinse în raportul de control vor fi analizate si aprobate de conducerea Registrului intern. Rezultatul controlului împreună cu măsurile întreprinse vor fi transmise conducerii institutiei, în termen de 7 zile de la data efectuării controlului.

67. Raportul de control împreună cu măsurile/recomandările consemnate vor fi păstrate la CSNR care are în subordine respectivul subregistru, constituind documente de evidentă, o copie de pe acestea fiind trimisă si la subregistrul care a fost controlat.

68. În cazul aparitiei unor evenimente deosebite conducerea ANS are obligatia să informeze operativ NOS, iar pe plan national, institutiile abilitate pe linia protectiei informatiilor clasificate si să prezinte măsurile întreprinse pentru reglementarea situatiei.

69. O dată pe an si ori de câte ori este necesar CSNR care are în subordine respectivul punct de lucru are obligatia să îl controleze si să întocmească raportul de control.

70. Echipa care efectuează controlul va fi alcătuită din persoane desemnate de conducerea CSNR căreia i se subordonează direct respectivul punct de lucru.

71. Concluziile si recomandările cuprinse în raportul de control vor fi analizate si aprobate de conducerea CSNR.

Rezultatul controlului împreună cu măsurile întreprinse vor fi transmise conducerii institutiei în termen de 7 zile de la data efectuării controlului.

72. Raportul de control împreună cu măsurile/recomandările consemnate vor fi păstrate la CSNR căreia i se subordonează respectivul punct de lucru, constituind documente de evidentă, o copie de pe acestea fiind trimisă si la punctul de lucru care a fost controlat.

73. În cazul aparitiei unor evenimente deosebite conducerea ANS are obligatia să informeze operativ NOS, iar pe plan national, institutiile abilitate pe linia protectiei informatiilor clasificate si să prezinte măsurile întreprinse pentru reglementarea situatiei.

E. SECURITATEA FIZICĂ

74. Securitatea fizică reprezintă ansamblul reglementărilor, normelor si măsurilor care au drept scop prevenirea accesului neautorizat la informatii clasificate NATO, precum si a oricăror situatii, împrejurări sau fapte de natură să pericliteze ori să compromită securitatea si integritatea acestora.

75. ANS răspunde de stabilirea reglementărilor specifice în domeniu, precum si de elaborarea măsurilor de protectie a obiectivului propriu, asigurând aplicarea corectă a acestora.

76. Conducătorii institutiilor asigură punerea în aplicare si respectarea măsurilor de protectie fizică a informatiilor clasificate NATO prin desemnarea unei structuri/unui functionar de securitate.

77. Nivelurile de protectie fizică se stabilesc în functie de următorii parametri:

a) nivelul de clasificare a informatiilor;

b) volumul si suportul fizic de prezentare a informatiilor clasificate NATO;

c) nivelul de acces conferit de certificatul de securitate, cu aplicarea principiului nevoii de a sti (need-to-know);

d) situatia din zona de localizare a obiectivului.

78. Termenul obiectiv defineste totalitatea zonelor de securitate în care sunt gestionate informatii clasificate NATO.

79. Zonele de securitate sunt împărtite în 3 clase definite, organizate si administrate conform următoarelor criterii:

a) Zona de securitate clasa I presupune că orice persoană aflată în interiorul acesteia are acces la informatii clasificate NATO. În această zonă se pot gestiona informatii clasificate NATO până la nivelul SECRET. O asemenea zonă necesită:

1. perimetru clar definit si protejat, în care toate intrările si iesirile sunt supravegheate;

2. controlul sistemului de intrare, care să permită numai accesul persoanelor verificate corespunzător si autorizate în mod special;

3. indicarea clasei si a nivelului de securitate a informatiilor existente.

b) Zona de securitate clasa II presupune gestionarea informatiilor clasificate NATO prin aplicarea unor măsuri specifice de protectie a acestora împotriva accesului persoanelor neautorizate. În această zonă se pot gestiona informatii clasificate NATO până la nivelul CONFIDENTIAL.

O asemenea zonă necesită:

1. perimetru clar definit si protejat, în care toate intrările si iesirile sunt supravegheate;

2. controlul sistemului de intrare, pentru a permite accesul numai persoanelor verificate si autorizate să pătrundă în această zonă. Pentru toate celelalte persoane trebuie să existe reguli de însotire, supraveghere si prevenire a accesului neautorizat în această zonă.

c) Zona administrativă. În jurul zonelor de securitate clasa I sau clasa II poate fi stabilită o zonă administrativă cu perimetru vizibil definit, în interiorul căreia să existe posibilitatea de control al personalului si vehiculelor. În zona administrativă sunt gestionate numai informatii NATO/RESTRICTED.

80. Incintele în care nu se lucrează zilnic 24 de ore vor fi inspectate imediat după orele de program pentru a verifica dacă informatiile clasificate NATO sunt protejate corespunzător.

81. Intrările în zonele de securitate clasa I si clasa II vor fi controlate prin permis de intrare sau printr-un sistem de recunoastere personală aplicat personalului permanent.

De asemenea, trebuie instituit un sistem de control al vizitatorilor în vederea interzicerii accesului neautorizat la informatii clasificate NATO.

82. Permisul de intrare nu va specifica în clar identitatea organizatiei emitente sau locul în care detinătorul are acces. Controlul intrărilor si iesirilor poate fi completat de un sistem automatizat de identificare, care nu se substituie sistemului de pază si apărare.

83. Inopinat sau la ordin, la intrarea sau la iesirea din zonele de securitate clasa I sau clasa II, va fi efectuat controlul bagajelor (incluzând colete, genti si alte containere în care s-ar putea transporta informatii si materiale clasificate NATO).

84. Personalul care asigură sistemul de pază si apărare pentru zonele de securitate si informatiile clasificate NATO, gestionate în interiorul obiectivului, trebuie să detină certificat de securitate si să fie instruit permanent cu privire la modul de îndeplinire a atributiilor specifice.

85. În afara orelor de program si în zilele nelucrătoare se vor organiza patrulări în perimetrul obiectivului, la intervale care vor fi stabilite prin instructiuni elaborate pe baza planului de securitate al obiectivului.

86. Pentru eficientizarea sistemelor de pază si apărare trebuie asigurată detectarea pătrunderii neautorizate prin folosirea unor modalităti adecvate (televiziune cu circuit închis, sisteme de alarmă sau pentru inspectare vizuală).

Se va constitui în mod obligatoriu o fortă de interventie pentru situatii de urgentă. Timpul de reactie a personalului de pază si apărare în situatii de urgentă va fi testat periodic.

87. Atunci când se folosesc sisteme de alarmă, televiziune cu circuit închis sau alte dispozitive destinate supravegherii zonelor de securitate ori protectiei informatiilor clasificate NATO trebuie să existe o sursă de alimentare de rezervă (generator de avarie).

88. Informatiile clasificate NATO sunt păstrate în containere speciale care se împart în 3 clase:

- clasa A: seifuri (containere cu cifru) aprobate de ANS pentru depozitarea informatiilor NATO/TOP SECRET;

- clasa B: fisete metalice prevăzute cu cifru pentru depozitarea informatiilor NATO/SECRET si NATO/CONFIDENTIAL;

- clasa C: mobilier de birou adecvat numai pentru păstrarea informatiilor NATO/RESTRICTED.

89. În situatii de urgentă, dacă documentele clasificate NATO trebuie evacuate, se vor utiliza lăzi metalice.

90. Încuietorile folosite la containerele în care sunt păstrate informatii clasificate NATO nu trebuie scoase din obiectiv. Ele se împart în 3 grupe, astfel:

- grupa A: aprobate de ANS pentru containerele din

clasa A;

- grupa B: pentru containerele din clasa B;

- grupa C: indicate numai pentru mobilierul de birou pentru clasa C.

91. Combinatiile încuietorilor containerelor vor fi cunoscute numai de persoanele abilitate.

92. În afara orelor de program cheile de serviciu de la încăperile si containerele din cadrul obiectivului vor fi păstrate în cutii sigilate la personalul care asigură paza si apărarea. Acestea vor fi utilizate pentru interventie în situatii de urgentă. Cutiile vor fi predate/primite, pe bază de semnătură, într-un registru special destinat.

93. Cheile de rezervă si combinatiile încuietorilor vor fi păstrate în plicuri mate, sigilate, la seful structurii/functionarul de securitate. Evidenta fiecărei combinatii trebuie păstrată în plic separat. Cheilor si plicurilor trebuie să li se asigure un nivel de protectie corespunzător nivelului de cla- sificare a informatiilor clasificate NATO la care acestea permit accesul.

94. Cunoasterea combinatiilor containerelor de securitate va fi restrânsă la un număr minim de persoane. Cheile si combinatiile vor fi schimbate:

a) ori de câte ori are loc o schimbare în rândul personalului care le manipulează;

b) în cazul în care se constată existenta unui risc de securitate;

c) la intervale regulate, de preferintă o dată la 6 luni (fără a se depăsi 12 luni).

95. Copiatoarele si dispozitivele telefax vor functiona în încăperi special destinate, în care vor avea acces doar persoanele autorizate să le utilizeze.

96. Pe baza prezentelor reglementări, a normelor si reglementărilor proprii fiecărei institutii structura/functionarul de securitate va elabora planul de securitate al obiectivului, aprobat de conducătorul institutiei si avizat de institutiile abilitate prin lege. Elementele obligatorii care trebuie cuprinse în planul de securitate sunt următoarele:

a) delimitarea si marcarea zonelor de securitate;

b) sistemul de control al accesului;

c) sistemul de avertizare si alarmare;

d) sistemul de pază si apărare;

e) planul de evacuare a documentelor în caz de urgentă;

f) modul de actiune în situatii de urgentă (măsuri de evacuare/distrugere a documentelor);

g) modul de raportare, investigare si evidentă a încălcărilor măsurilor de securitate;

h) modalitătile de realizare a pregătirii si instruirii personalului;

i) responsabilitătile privind verificarea sistemului de securitate al obiectivului;

j) modalitătile de realizare a inspectiilor asupra măsurilor de securitate aplicate în cadrul obiectivului.

F. SECURITATEA PERSONALULUI

97. Securitatea personalului reprezintă ansamblul procedurilor de securitate care se aplică persoanelor care urmează să aibă acces la informatii clasificate NATO.

98. Măsurile de securitate a personalului sunt menite:

a) să prevină accesul persoanelor neautorizate la informatii clasificate NATO;

b) să garanteze că informatiile clasificate NATO sunt distribuite pe baza existentei certificatului de securitate, exclusiv pe baza principiului nevoii de a sti (need-to-know);

c) să permită identificarea persoanelor care, prin actiunile lor, pot pune în pericol securitatea informatiilor clasificate NATO si să interzică accesul acestor persoane la astfel de informatii.

99. Asigurarea securitătii personalului se realizează prin următoarele elemente: selectionarea, verificarea, avizarea si autorizarea accesului la informatiile clasificate NATO, revalidarea, retragerea certificatului, controlul si instruirea personalului.

100. Persoanele care fac obiectul verificărilor de securitate sunt cele care prin natura functiei sau activitătii lor necesită ori urmează să aibă acces la informatiile clasificate, trebuie să participe la activitătile NATO sau să lucreze în cadrul unui contract clasificat NATO.

101. Accesul la informatii clasificate NATO, obtinut în baza certificatului de securitate emis ca rezultat al procedurii de verificare a personalului, este restrictionat de principiul nevoia de a sti (need-to-know).

102. Procesul de verificare are ca obiectiv reducerea riscurilor de securitate, sustragere sau divulgare neautorizată a informatiilor si materialelor clasificate NATO.

103. Verificarea în vederea avizării pentru accesul la informatii clasificate NATO se efectuează cu respectarea legislatiei în vigoare privind responsabilitătile în domeniul protectiei informatiilor clasificate nationale, după cum urmează:

A. Serviciul Român de Informatii, pentru:

- personalul propriu;

- personalul autoritătilor si institutiilor publice;

- personalul agentilor economici cu capital integral sau partial de stat si al persoanelor juridice de drept public, altele decât cele date în competenta institutiilor mentionate la lit. B, C si D ale acestui punct.

B. Ministerul Apărării Nationale - Directia generală de informatii a apărării, pentru:

- personalul militar si civil propriu;

- angajatii din unitătile productive si de afaceri, din unitătile stiintifice, de cercetare sau dezvoltare, înfiintate de/în colaborare cu Ministerul Apărării Nationale, precum si din alte unităti organizatorice, în măsura productiei sau serviciilor angajate prin contracte de furnizare de tehnică, aparatură si utilităti militare în cadrul unor contracte, colaborări sau programe de asistentă cu NATO.

C. Serviciul de Informatii Externe, pentru:

- personalul militar sau civil propriu;

- personalul român al reprezentantelor diplomatice, misiunilor permanente, consulare, centrelor culturale, organismelor internationale etc., care îsi desfăsoară activitatea în străinătate si care are acces la date clasificate NATO;

- cetătenii români aflati în străinătate în cadrul unor contracte, stagii de perfectionare, programe de cercetare sau în calitate de angajati la firme, societăti de stat sau private care derulează contracte de productie, servicii ori cooperare cu NATO ori cu structuri ale Aliantei Nord-Atlantice.

D. Ministerul de Interne, Serviciul de Protectie si Pază, Serviciul de Telecomunicatii Speciale, pentru personalul propriu.

104. Atunci când se impune, structurile competente în realizarea verificărilor de securitate cooperează, pe baza protocoalelor, în îndeplinirea sarcinilor si obiectivelor propuse.

105. Principalele criterii de evaluare a compatibilitătii unei persoane în acordarea avizului de securitate, pe baza căruia se eliberează de către ANS certificatul de securitate, vizează trăsăturile circumstantiale si de caracter care pot genera riscuri de securitate. Desi aceste criterii se referă la persoana care trebuie avizată, conduita, caracterul, conceptiile sau împrejurările de viată ale sotului/sotiei ori concubinului/concubinei pot fi, de asemenea, relevante si trebuie luate în considerare.

106. Factorii ce trebuie analizati pentru titular si sotul/sotia sau coabitantul:

a) dacă a comis sau a intentionat să comită, a fost complice, a ajutat ori a instigat pe altcineva să comită (sau să intentioneze să comită) acte de spionaj, terorism, trădare ori revoltă;

b) dacă a încercat, sustinut, participat, cooperat sau sprijinit actiuni de spionaj, terorism ori persoane suspectate de a se încadra în această categorie ori de a fi membre ale unor organizatii sau puteri străine inamice securitătii tărilor membre ori partenere NATO sau complice ale reprezentantilor acestora;

c) dacă este sau a fost membru al unei organizatii care sustine ori încearcă să răstoarne guvernul dintr-o tară membră sau parteneră NATO ori să schimbe forma de guvernământ dintr-o tară membră sau parteneră NATO prin mijloace violente, subversive ori prin alte forme ilegale;

d) dacă este sau a fost un sustinător al vreunei organizatii descrise în subparagraful c) de mai sus, este sau a fost recent în relatii apropiate cu membrii unor astfel de organizatii, într-o formă care să ridice suspiciuni temeinice cu privire la siguranta persoanei.

107. Factorii suplimentari ce trebuie analizati numai pentru titular:

a) dacă în mod deliberat a ascuns, a interpretat eronat sau a falsificat informatii cu relevantă în planul securitătii ori a mintit prin completarea formularelor-tip ori în cursul interviului de securitate;

b) dacă a fost condamnat pentru infractiuni de drept comun sau delicte care indică tendinte infractionale de comportament; are serioase probleme financiare sau există o diferentă frapantă între nivelul său de trai si veniturile legal realizate; este dependent de folosirea alcoolului în exces sau de uzul de droguri; are sau a avut comportamente promiscue ori alte forme de deviatii sexuale, care pot genera riscul ca persoana să fie vulnerabilă la santaj sau presiuni; a demonstrat prin fapte sau vorbe nesigurantă, necinste, incorectitudine ori indiscretie; a încălcat regulile de securitate;

c) dacă suferă sau a suferit de boli fizice ori mintale, care pot cauza deficiente de discernământ sau pot transforma persoana, în mod neintentionat, într-un factor de risc. În toate aceste cazuri se va solicita, cu acordul persoanei, un aviz medical competent;

d) dacă poate fi supus la presiuni din cauza rudelor sau a persoanelor apropiate, care ar putea genera o vulnerabilitate exploatabilă de către serviciile de informatii străine, ale căror interese sunt ostile pentru interesele de securitate ale NATO si/sau ale tărilor membre si partenere.

108. Accesul la informatiile clasificate NATO/RESTRICTED se va face la nivelul institutiilor angajatoare, pe baza avizului dat de structura/functionarul de securitate, cu aprobarea sefului institutiei.

109. Pentru acces la informatii clasificate NATO/RESTRICTED nu se solicită certificat de securitate.

110. Verificarea de nivel I - pentru avizarea în vederea eliberării certificatului de securitate pentru nivelul NATO/CONFIDENTIAL (echivalent SECRET). Avizarea pentru acces la informatiile NATO/CONFIDENTIAL se va baza pe:

a) verificarea corectitudinii datelor mentionate în formularul de bază;

b) referinte minime de la locurile de muncă si din mediile frecventate (cel putin de la 3 persoane).

În situatia în care este necesară clarificarea anumitor aspecte sau la solicitarea persoanei verificate investigatorul poate avea o întrevedere cu aceasta.

111. Verificarea de nivel II - pentru avizarea în vederea eliberării certificatului de securitate pentru nivelul NATO/SECRET (echivalent STRICT SECRET). Avizarea pentru acces la informatii clasificate de nivel NATO/STRICT SECRET se va baza pe :

a) verificarea corectitudinii datelor personale mentionate în formularul de bază si în formularul suplimentar;

b) referinte minime de la locurile de muncă si din mediile frecventate (cel putin de la 3 persoane);

c) verificări asupra membrilor familiei în legătură cu datele prezentate în formular;

d) o discutie cu persoana verificată.

112. Verificarea de nivel III - pentru avizarea în vederea eliberării certificatului de securitate pentru nivelul NATO/TOP SECRET (echivalent STRICT SECRET DE IMPORTANTĂ DEOSEBITĂ). Avizarea accesului la informatiile clasificate NATO/TOP SECRET se va baza pe:

a) verificarea corectitudinii datelor mentionate în formularele de bază, suplimentar si financiar;

b) investigatii de cunoastere a antecedentelor la domiciliul actual si cele anterioare, la locul de muncă actual si cele anterioare, precum si la institutiile de învătământ urmate începând de la vârsta de 18 ani. Investigatiile nu se vor limita la audierea persoanelor indicate de solicitantul avizului;

c) verificări ale mediului relational pentru a identifica existenta unor riscuri de securitate în cadrul acestora;

d) un interviu de securitate cu persoana solicitantă;

e) în cazul în care din verificările întreprinse rezultă că ar exista unele deficiente psihice ori de comportament, cu acordul subiectului, acesta poate fi supus unui test psihologic specific, limitat la domeniul ce trebuie clarificat.

113. Dacă în cursul verificărilor, pentru orice nivel, apar informatii ce evidentiază riscuri de securitate, se va realiza o verificare suplimentară de fond cu implicarea mijloacelor specifice institutiilor cu atributii în domeniul sigurantei nationale.

114. În functie de nivelul de securitate investigatia de cunoastere a antecedentelor va cuprinde gradual următoarele:

a) Evidente nationale - se va efectua o verificare în evidentele nationale de securitate si la cazierul judiciar, în evidentele centrale si locale ale politiei, precum si în baza de date a Oficiului registrului comertului.

b) Registre de stare civilă si verificarea identitătii – se vor verifica datele personale si locul de nastere, iar identitatea va fi confirmată fără posibilitate de dubiu.

c) Statutul cetăteniei - se va stabili cu certitudine statutul cetăteniei si al nationalitătii persoanei, în prezent si în trecut.

d) Educatia - în mod normal investigatia va indica scolile, universitătile si alte institutii de învătământ urmate de titular de la împlinirea vârstei de 18 ani.

e) Angajări - investigatiile vor acoperi angajarea actuală si pe cele anterioare, cu referinte din surse ca: dosarele de angajare, aprecierile anuale asupra performantelor si eficientei activitătii desfăsurate, date furnizate de sefii institutiilor, sefi de departamente sau de colegi.

f) Interviuri - se vor purta discutii cu persoane care pot face evaluări asupra trecutului persoanei, activitătii si corectitudinii sale.

g) Evidentele organelor centrale si locale de politie - se vor verifica evidentele centrale si cele ale organelor locale de ordine din vecinătatea locurilor unde persoana a locuit sau a lucrat perioade substantiale.

h) Serviciul militar - se va verifica serviciul efectuat de persoană în fortele armate si modalitatea în care a fost lăsată la vatră.

i) Relatii în străinătate - se va verifica existenta unor riscuri de securitate datorate unor presiuni exercitate de surse din străinătate.

j) Antecedente financiare - se vor verifica solvabilitatea si reputatia financiară ale persoanei.

k) Organizatii - în cursul investigatiei, asa cum a fost prezentată mai sus, se va stabili dacă persoana este sau a fost membru ori afiliat al vreunei organizatii, asociatii, miscări, grupări de persoane străine sau autohtone, care au adoptat ori au manifestat o politică de sprijinire sau aprobare a comiterii de acte de fortă sau violentă, în scopul afectării drepturilor altor persoane, ori care caută să schimbe forma de guvernare din tările membre sau partenere NATO prin mijloace neconstitutionale.

115. Eliberarea certificatului de securitate tip A are loc în baza unei solicitări scrise, semnată de seful institutiei si adresată ANS prin intermediul Registrului intern.

116. Solicitarea va fi însotită de formularele-tip, care vor fi introduse într-un plic separat sigilat si vor fi completate de persoana selectionată.

117. Structura/functionarul de securitate are obligatia să pună la dispozitie persoanei selectionate formularele-tip corespunzătoare nivelului de acces pentru care se solicită eliberarea certificatului, să acorde asistentă în vederea completării acestora si să respecte următoarele termene pentru transmiterea solicitării în raport cu data la care se preconizează accesul persoanei selectionate la informatii clasificate NATO:

a) pentru acces la NATO/TOP SECRET - cu trei luni în avans;

b) pentru acces la NATO/SECRET - cu două luni în avans;

c) pentru acces la NATO/CONFIDENTIAL - cu o lună în avans.

118. În termen de 7 zile de la primirea solicitării ANS va transmite la institutia cu competentă pentru efectuarea verificărilor cererea-tip de declansare a procedurii de verificare pentru persoana selectionată, la care va anexa plicul sigilat cu formularele-tip completate.

119. După primirea formularelor institutia abilitată va efectua verificările si va transmite concluziile în scris la ANS în interiorul termenelor prevăzute mai sus. În concluzii se va preciza dacă rezultă sau nu rezultă riscuri de securitate în legătură cu persoana pentru care s-a solicitat verificarea.

120. Pentru cadrele proprii ale Serviciului Român de Informatii, Ministerului Apărării Nationale, Serviciului de Informatii Externe, Ministerului de Interne, Serviciului de Telecomunicatii Speciale si ale Serviciului de Protectie si Pază, aceste institutii notifică ANS cu privire la declansarea procedurii de verificare, iar eliberarea certificatului de securitate tip A are loc în baza unei solicitări scrise, semnată de seful institutiei si adresată ANS. În solicitarea scrisă se va preciza faptul că s-au efectuat verificările si se vor consemna concluziile cu privire la existenta/inexistenta riscurilor de securitate sau a altor elemente relevante din punct de vedere al securitătii.

121. Certificatele de securitate tip B sunt eliberate numai persoanelor care detin certificate de securitate tip A.

122. Eliberarea certificatului de securitate tip B se realizează, în baza aprobării sefului institutiei, de către structura/functionarul de securitate din institutia în care persoana respectivă îsi desfăsoară activitatea. În lipsa structurii/functionarului de securitate respectiva institutie adresează solicitarea la ANS, care va elibera respectivul certificat. În această situatie solicitarea va fi adresată ANS cu cel putin două săptămâni înainte de data începerii activitătii pentru care este necesară eliberarea certificatului de securitate.

123. Eliberarea certificatului de securitate se face pe baza analizării concluziilor verificărilor transmise de institutia abilitată să le efectueze. În cazul în care în concluziile verificărilor este evidentiată existenta unor riscuri de securitate, ANS va decide dacă acestea pot fi un obstacol pentru eliberarea certificatului de securitate. Atunci când sunt semnalate elemente care nu constituie riscuri, dar sunt relevante din punct de vedere al securitătii, în luarea deciziei de eliberare a certificatului de securitate vor prima interesele de securitate.

124. ANS are la dispozitie un termen de 7 zile pentru emiterea certificatului de securitate sau pentru a comunica refuzul de eliberare a acestuia institutiei solicitante.

125. Un exemplar al adresei de comunicare a deciziei ANS privind acordarea/neacordarea certificatului de securitate se va transmite institutiei care a efectuat verificările.

126. Certificatul de securitate tip A se emite în două exemplare originale. Unul rămâne la Registrul Central, iar al doilea va fi păstrat la locul de muncă al persoanei.

127. Valabilitatea certificatului de securitate tip A eliberat unei persoane este de 3 ani.

128. O copie de pe certificatul de securitate tip B se păstrează la structura/functionarul de securitate din cadrul institutiei respective.

129. Reverificarea unei persoane se face dacă este necesară eliberarea unui nou certificat de securitate, dacă sunt evidentiate riscuri de securitate sau la cererea NATO.

Eliberarea unui nou certificat de securitate poate avea loc, la solicitarea institutiei, în următoarele situatii:

a) dacă în îndeplinirea sarcinilor de serviciu persoana necesită acces la informatii clasificate NATO de nivel superior;

b) dacă a expirat perioada de valabilitate a certificatului de securitate detinut anterior;

c) în cazul în care apar modificări în datele de identificare a persoanei care sunt prevăzute în certificat, certificatul de securitate vechi se retrage, eliberându-se un nou certificat.

130. Reverificarea se efectuează fără eliberarea unui nou certificat de securitate în următoarele situatii:

a) în cazul în care există modificări ale datelor declarate în formularele completate anterior, cu exceptia celor prevăzute la pct. 129 lit. c);

b) în cazul în care pe parcursul perioadei de valabilitate a certificatului de securitate se evidentiază existenta unor riscuri de securitate;

c) în cazul în care structuri ale Aliantei Nord-Atlantice sau ale unor autorităti nationale de securitate din tări membre sau partenere NATO solicită expres reverificarea persoanei.

131. ANS este singura institutie autorizată să retragă certificatul de securitate. ANS va comunica institutiilor decizia de retragere a certificatelor de securitate.

132. Certificatele de securitate tip A si tip B se retrag în următoarele cazuri:

a) la initiativa ANS;

b) la cererea institutiilor care au solicitat initial eliberarea certificatului, inclusiv în situatia expirării acestuia;

c) la plecarea din institutie sau la schimbarea locului de muncă al detinătorului, dacă noul loc de muncă nu presupune lucrul cu informatii clasificate NATO;

d) la schimbarea nivelului de acces.

133. În cazul retragerii certificatului de securitate angajatului i se va interzice accesul la informatii clasificate NATO.

134. După retragere certificatele de securitate tip A si tip B se distrug pe bază de proces-verbal, comunicându-se institutiei care a derulat verificările acest fapt.

G. SECURITATEA DOCUMENTELOR

135. Consiliul Nord-Atlantic (denumit în continuare NAC ) este autoritatea supremă care distribuie informatiile clasificate NATO, cu caracter oficial, către statele membre si partenere. Această autoritate functionează după principiul consensului titularului informatiei.

136. Toate transferurile de documente de la NATO către statele partenere se efectuează prin Registrul NATO către Registrul Central al statului partener respectiv.

Documentele care sunt transmise se referă la actiuni, activităti etc., care au fost aprobate de către NAC.

137. Organismele NATO păstrează, în calitate de detinător originar, evidenta tuturor informatiilor NATO clasificate pe care le transmit statelor partenere si transmit datele de identificare a acestor documente (numărul, titlul si data transmiterii) către Registrul Central NATO de la Bruxelles. La cerere, autoritătile nationale pot obtine detalii prin intermediul Registrului Central NATO de la Bruxelles.

138. Informatiile NATO neclasificate, desi nu presupun o protectie specifică, pot fi transmise si către state care nu fac parte din NATO, organizatii, persoane doar atunci când se consideră că nu sunt afectate interesele NATO.

139. Informatiile clasificate NATO necesită o protectie specifică si sunt vehiculate în conformitate cu principiul nevoii de a sti (need-to-know) fără a fi mentionat detinătorul originar, ci doar specificând .NATO”. Informatia initială rămâne proprietatea detinătorului originar, care este singura autoritate care decide asupra nivelului de clasificare si diseminării acesteia, si nu poate fi transmisă unui alt stat care nu este stat membru sau unei organizatii internationale decât cu acordul acestuia.

140. Gestionarea documentelor clasificate NATO se face conform procedurilor NATO privind protectia informatiilor clasificate NATO, în cadrul Sistemului national de registre, de către persoane care trebuie să posede certificat de securitate cu nivel de clasificare corespunzător.

141. Gestionarea documentelor clasificate NATO, precum si a documentelor nationale transmise de România Aliantei Nord-Atlantice se face separat de gestionarea documentelor nationale.

142. Informatiile neclasificate NATO nu fac obiectul procedurilor de securitate prin care se protejează informatiile clasificate NATO. Aceste informatii vor fi gestionate în con- formitate cu normele interne existente pentru informatiile nationale cu nivel echivalent, astfel încât să nu fie afectate interesele Aliantei Nord-Atlantice.

143. Clasificarea informatiilor NATO este necesară pentru a indica gradul de sensibilitate al informatiilor si, în consecintă, nivelul care trebuie atribuit pentru a determina complexitatea măsurilor si procedurilor care se impun în vederea protectiei respectivelor informatii împotriva dezvăluirii neautorizate.

144. Nivelurile de clasificare impun, pe de o parte, asigurarea măsurilor de securitate în conformitate cu standardele NATO pentru protejarea informatiilor, iar pe de altă parte, controlul accesului la respectivele informatii.

145. Responsabilitatea încadrării informatiilor si a materialelor într-o categorie de clasificare revine detinătorului originar al informatiilor/materialelor si se face în functie de importanta si continutul acestora. Subestimarea (subclasificarea) importantei documentului este la fel de periculoasă ca si supraestimarea (supraclasificarea) acestuia.

146. Seful ierarhic al detinătorului originar al documentului are obligatia să verifice dacă acestea au fost clasificate corect si să ia măsurile care se impun pentru clasificarea corectă atunci când constată că au fost efectuate clasificări necorespunzătoare.

147. Schimbarea nivelului de clasificare a documentelor primite de la alte structuri institutionale se poate efectua numai cu acordul detinătorului originar al documentului.

148. Adresele care însotesc documentele, în functie de informatiile pe care le contin, primesc nivelul de clasificare corespunzător, indiferent de nivelul de clasificare a documentului.

149. Extrasele din documentele care contin informatii clasificate NATO vor fi clasificate corespunzător continutului informatiilor cuprinse, nivelul de clasificare fiind cel putin egal cu cel al documentului de bază (din care s-a efectuat extragerea).

150. În functie de importanta si sensibilitatea informatiilor există următoarele niveluri NATO de clasificare a informatiilor si care au următoarea echivalentă în legislatia natională:

ROMÂNIA NATO

SECRET DE SERVICIU RESTRICTED

SECRET CONFIDENTIAL

STRICT SECRET SECRET

STRICT SECRET DE TOP SECRET

IMPORTANTĂ DEOSEBITĂ

151. Potrivit riscurilor generate de divulgarea neautorizată a informatiilor clasificate NATO, nivelurile de clasificare se atribuie în mod corespunzător importantei acestora si au următoarea semnificatie:

- NATO/RESTRICTED - SECRET DE SERVICIU: nivel de clasificare care se aplică acelor informatii si materiale a căror divulgare neautorizată va fi în dezavantajul intereselor NATO si al celor nationale;

- NATO/CONFIDENTIAL - SECRET: nivel de clasificare care se aplică informatiilor si materialelor a căror divulgare neautorizată va provoca prejudicii intereselor NATO si celor nationale;

- NATO/SECRET - STRICT SECRET: nivel de clasificare care se aplică doar informatiilor si materialelor a căror divulgare neautorizată va genera prejudicii grave la adresa NATO si a intereselor nationale;

- NATO/TOP SECRET - STRICT SECRET DE IMPORTANTĂ DEOSEBITĂ: nivel de clasificare care se aplică doar informatiilor si materialelor a căror divulgare ar putea determina prejudicii extrem de grave la adresa NATO si a intereselor nationale.

152. Conform acordurilor de securitate încheiate, NATO transmite tărilor partenere informatii clasificate marcate NATO până la nivelul SECRET inclusiv.

153. Informatiile NATO clasificate pot fi supuse procesului de scădere a nivelului de clasificare sau declasificării numai de către sau cu acordul detinătorului originar si numai după ce au fost consultate celelalte state membre si organizatii.

154. Scăderea nivelului de clasificare se face periodic, în urma unei analize speciale care va stabili dacă nivelul de clasificare acordat initial documentului mai concordă sau nu cu valoarea lui informatională la momentul analizei.

155. Schimbarea nivelului de clasificare a unui document va fi adusă imediat la cunostintă tuturor detinătorilor acelui document.

156. Prin declasificare se întelege anularea nivelului de clasificare a unei informatii clasificate NATO si astfel scoaterea ei de sub incidenta tuturor reglementărilor privind protectia informatiilor clasificate NATO.

157. Informatiile clasificate NATO de nivel CONFIDENTIAL sau SECRET vor fi sistematic revizuite pentru declasificare (numai după o perioadă de cel putin 30 de ani).

158. Marca NATO aplicată pe un document semnifică faptul că documentul este proprietate NATO si că informatia continută rămâne proprietatea detinătorului originar. Astfel marca NATO se va aplica pe toate copiile pregătite de Alianta Nord-Atlantică spre a fi puse în circulatie, inclusiv pe documentele neclasificate (de exemplu: NATO-UNCLASSIFIED).

159. Toate documentele care contin informatii NATO clasificate, inclusiv dosarele, volumele si brosurile legate sau reproducerile din acestea, vor fi marcate, scris sau tipărit, în partea de sus si de jos a primei pagini (coperta), a paginii cu titlul, pe prima pagină, pe ultima pagină si pe exteriorul copertei din spate. Fiecare dintre paginile documentului propriu-zis va avea marcat în partea de sus si în partea de jos nivelul de clasificare atribuit de detinătorul originar.

160. Documentele transmise de NATO îsi vor păstra nivelul de clasificare acordat de Alianta Nord-Atlantică pe toată durata existentei lor. Pe prima pagină a documentului va fi înscris numele componentei din cadrul NATO care a autorizat comunicarea, data când s-a hotărât comunicarea, precum si alte elemente care au legătura cu aceasta.

161. În situatia în care un document clasificat este transmis de către NATO ca urmare a derulării unor activităti comune, aprobate de către NAC, clasificarea este precedată de marca NATO si de numele unei activităti, numele unei tări sau de numele unei organizatii.

Exemplu: NATO/EAPC/PfP CONFIDENTIAL sau NATO/ROMANIA CONFIDENTIAL sau

NATO/OSCE CONFIDENTIAL.

162. În situatia în care titularul documentului consideră necesar să limiteze distributia informatiei clasificate, acest lucru se va marca indicându-se sub linia de demarcare numele tării/tărilor căreia/cărora i/li se transmite documentul.

Exemplu: NATO/PfP CONFIDENTIAL

ROMANIA/BULGARIA only

sau

NATO/PfP CONFIDENTIAL

EXERCISE COPPERPLATE only

163. Documentele transmise Aliantei Nord-Atlantice de către România vor purta marca ROMANIA, urmată de nivelul national de clasificare a documentului (echivalat cu nivelul de clasificare existent la NATO), si structura/activitatea din cadrul NATO către/în cadrul căreia se doreste transmiterea respectivului document.

Exemplu:

ROMANIA-CONFIDENTIAL ROMANIA-SECRET

NATO only PfP only

164. Cerintele minime pentru gestionarea informatiilor NATO clasificate se aplică în functie de nivelul de clasificare.

165. Informatiile NATO/RESTRICTED vor fi vehiculate si păstrate în spatii care nu vor fi accesibile persoanelor neautorizate.

166. Documentele vor fi transmise prin canale de comunicatie autorizate de ANS în conformitate cu procedurile existente. Sistemele criptografice aprobate de un stat membru NATO sau de NAMIL COM vor fi utilizate pentru criptarea informatiilor NATO RESTRICTED care vor fi transmise prin mijloace electronice.

În situatii deosebite, când viteza este elementul primordial si mijloacele de criptare nu sunt posibile, informatiile NATO RESTRICTED pot fi transmise electronic în text clar prin sistemele publice de comunicatii.

167. Copierea si traducerea documentelor NATO RESTRICTED pot fi realizate în cadrul CSNR, cu respectarea strictă a principiului nevoii de a sti (need-to-know).

168. Informatiile NATO CONFIDENTIAL vor fi vehiculate si păstrate în zone în care accesul este controlat strict.

Accesul va fi permis doar persoanelor care sunt în posesia certificatului de securitate corespunzător si pentru care s-a aprobat accesul.

169. Transmiterea documentelor se va face prin curier special sau sac diplomatic.

170. Sistemele criptografice aprobate de un stat membru NATO sau de NAMIL COM vor fi utilizate pentru criptarea informatiilor NATO CONFIDENTIAL care vor fi transmise prin mijloace electronice.

171. Copierea si traducerea documentelor NATO CONFIDENTIAL pot fi realizate de către persoane autorizate, cu respectarea principiului nevoii de a sti (need-to-know).

172. Informatiile NATO SECRET vor fi vehiculate si păstrate în zone pentru care accesul este strict controlat.

Accesul va fi permis doar persoanelor care au certificat de securitate corespunzător si pentru care s-a stabilit necesitatea de a accesa astfel de documente în îndeplinirea sarcinilor de serviciu.

173. Transmiterea documentelor trebuie făcută prin curier special sau sac diplomatic. Pentru criptarea informatiilor vor fi utilizate numai sistemele criptografice autorizate de către NAMIL COM.

174. Copierea si traducerea documentelor NATO clasificate SECRET pot fi realizate de către posesorul acestora n conformitate cu principiul nevoii de a sti (need-to-know), numai după obtinerea aprobării scrise a detinătorului originar. Copiile de pe documentele NATO clasificate SECRET trebuie să fie marcate prin imprimarea numărului copiei.

Numărul atribuit copiilor/traducerilor unor astfel de documente trebuie să existe în evidenta respectivei componente a Sistemului national de registre (CSNR).

175. Activitatea de gestionare a documentelor clasificate NATO presupune:

- primirea documentelor - constă în activitatea de a desigila, dezambala documentele sosite;

- verificarea - constă în:

a) verificarea sigiliilor, a ambalajelor etc.;

b) verificarea documentelor care însotesc documentul propriu-zis (adrese, borderouri etc.);

c) verificarea integritătii documentului;

d) verificarea concordantei dintre numărul de pagini înscris pe borderou si numărul de pagini al documentului; la fel se va proceda si pentru anexe;

e) verificarea inscriptionărilor obligatorii pe document;

- evidenta - constă în înscrierea documentului în registrul de evidentă din cadrul respectivei CSNR si inscriptionarea pe document a numărului de înregistrare atribuit în cadrul registrului;

- consultarea - consultarea documentelor clasificate NATO de către persoanele autorizate se face pe bază de semnătură, cu respectarea principiului nevoii de a sti (need-to-know);

- distribuirea - constă în activitatea de repartizare a documentelor pentru rezolvarea acestora, în conformitate cu principiul nevoii de a sti (need-to-know);

- transmiterea - se referă la activitatea de circulatie a documentelor clasificate NATO în cadrul Sistemului national de registre si între acesta si NATO;

- transportul - se referă la modul în care documentele clasificate NATO circulă între expeditor si destinatar;

- multiplicarea - se referă la activitatea de copiere a documentelor clasificate NATO. Evidenta copiilor se păstrează în registrul special destinat;

- distrugerea - se referă la activitatea de tocare, incinerare, topire etc. a acelor documente care se consideră că nu mai sunt necesare pentru a fi păstrate; se efectuează diferit în functie de nivelul de clasificare a documentului si, de regulă, are loc după o inventariere prealabilă a documentelor care vor fi păstrare în continuare;

- inventarierea - constă în activitatea anuală de verificare a existentei documentelor si de reînregistrare a celor care se consideră că mai sunt necesare în desfăsurarea activitătii;

- arhivarea - constă în activitatea de păstrare în spatii special amenajate a acelor documente care nu au fost distruse si care se consideră că sunt necesare în activitatea viitoare, dar pentru care nu se impune ca ele să fie păstrate în acelasi loc cu documentele de uz curent.

H. SECURITATEA INDUSTRIALĂ

176. În îndeplinirea atributiilor ce îi revin pentru protectia informatiilor clasificate NATO în domeniul industrial, ANS desemnează în calitate de autorităti desemnate de securitate institutiile care, potrivit legislatiei, au competentă natională în sfera civilă, respectiv militară, a sectorului industrial. În acest sens aceste autorităti au următoarele competente:

a) implementarea politicii de securitate natională în domeniul industrial, îndrumarea si acordarea asistentei necesare în aplicarea acestei politici;

b) impunerea respectării normelor de securitate industrială la nivel national (au dreptul să inspecteze si să aprobe măsurile pentru protectia informatiilor clasificateNATO);

c) urmărirea respectării componentelor unui contract sau subcontract clasificat NATO potrivit standardelor Aliantei Nord-Atlantice. Înainte de transmiterea informatiilor clasificate NATO unui agent economic în cadrul derulării unui contract clasificat NATO, acesta trebuie să îndeplinească următoarele conditii:

- să asigure măsuri de protectie a acestora corespunzătoare prezentelor reglementări;

- să detină certificat de securitate pentru obiectivul industrial implicat în contract;

- personalul implicat în derularea contractului clasificat NATO să detină certificat de securitate de nivel corespunzător nivelului de clasificare a informatiilor NATO la care au acces;

- accesul la informatiile clasificate vehiculate în cadrul contractului este permis doar persoanelor care lucrează la acel contract, cu respectarea principiului nevoii de a sti (need-to-know);

d) la cererea unei autorităti nationale de securitate dintr-un stat membru NATO, eliberează certificat de securitate unui agent economic implicat în negocierea sau exe

cutarea unui contract ori subcontract clasificat NATO;

e) la cererea unei autorităti nationale de securitate dintr-un stat membru NATO, eliberează certificat de securitate pentru personalul implicat în negocierea sau executarea unui contract ori subcontract clasificat NATO;

f) va fi desemnată o structură/un functionar de securitate în obiectivele implicate în derularea contractelor si subcontractelor clasificate NATO, cu atributii specifice tipului de contract derulat.

177. În vederea eliberării certificatului de securitate pentru agentii economici implicati în derularea unui contract clasificat NATO se va verifica dacă sunt îndeplinite cerintele de securitate pentru protectia informatiilor clasificate NATO, potrivit nivelului de clasificare a informatiilor vehiculate în cadrul contractului sau subcontractului, conform prezentelor reglementări.

178. Pentru persoanele implicate în derularea unui contract clasificat NATO se va elibera certificat de securitate conform prezentelor norme.

I. INFOSEC

179. Politica de securitate si cerintele acestei sectiuni se vor aplica tuturor sistemelor de prelucrare automată a datelor, denumite în continuare SPAD, si retelelor de trans- misii de date, denumite în continuare RTD, precum si sistemelor informatice si de comunicatii, denumite în continuare SIC, care stochează, procesează si/sau transmit informatii clasificate NATO. Aceste sisteme necesită măsuri de securitate a informatiilor, îndeosebi de control al accesului, pe baza principiului nevoii de a sti si a nivelului de securitate atribuit.

180. Protectia SPAD si/sau RTD (SIC) din compunerea sistemelor de armament si de detectie va fi definită în contextul general al sistemelor din care acestea fac parte si va fi realizată prin aplicarea prevederilor prezentei sectiuni.

181. Protectia informatiilor clasificate NATO care sunt stocate, procesate sau transmise în SPAD si/sau RTD (SIC) este asigurată de către ANS prin intermediul următoarelor autorităti: Autoritatea de Acreditare de Securitate, denumită în continuare AAS, Autoritatea de Securitate pentru Informatică si Comunicatii, denumită în continuare ASIC, Autoritatea pentru Distribuirea Materialului Criptografic, denumită în continuare ADMC.

182. AAS este responsabilă la nivel national cu acreditarea de securitate si aplicarea politicii de securitate NATO conform acreditării date pentru SIC.

183. AAS este responsabilă pentru aprobarea dată unui SPAD si/sau RTD (SIC) de a stoca, de a procesa sau de a transmite informatii clasificate NATO până la nivelul de clasificare acordat (incluzând, unde este cazul, unele categorii cu destinatie specială) în mediul său operational. AAS este responsabilă cu evaluarea si certificarea sistemelor SPAD si/sau RTD (SIC) sau a unor elemente componente ale acestora.

184. AAS este o structură de acreditare la nivel national, subordonată ANS, cu reprezentante delegate/desemnate din cadrul departamentelor implicate, în functie de SPAD si/sau RTD (SIC) care trebuie acreditate. AAS este responsabilă cu procesul periodic de reacreditare a SPAD si/sau RTD (SIC).

185. AAS îsi exercită responsabilitatea în domeniul securitătii în numele ANS, este responsabilă pentru securitate în toate cazurile, cu exceptia unor situatii speciale, si are autoritatea de a impune standarde de securitate.

186. AAS stabileste strategia de acreditare de securitate din cadrul politicii generale de securitate a ANS si formulează explicit conditiile în care poate fi solicitată să acrediteze SPAD si/sau RTD (SIC).

187. ASIC este structura care activează la nivel national, subordonată ANS, cu reprezentante delegate/desemnate de către ANS în cadrul departamentelor implicate. ASIC îsi exercită autoritatea pe plan local prin intermediul Autoritătii Operationale a SIC, denumită în continuare AOSIC. Este responsabilă cu conceperea si implementarea mijloacelor si metodelor de protectie a informatiilor clasificate NATO, care sunt stocate, procesate sau transmise prin intermediul SIC, si are în principal următoarele responsabilităti:

a) coordonarea tuturor activitătilor de protectie a nformatiilor clasificate NATO, care sunt stocate, procesate sau transmise prin intermediul SIC;

b) initiativa elaborării si promovării de reglementări si standarde specifice;

c) analiza cauzelor provocatoare de incidente de securitate si gestionarea bazei de date privind vulnerabilitătile din sistemele de comunicatie si informatice, necesare pentru managementul riscurilor asupra securitătii SIC;

d) semnalarea către AAS a incidentelor de securitate;

e) integrarea măsurilor privind protectia fizică de personal, de documente, administrativă, COMPUSEC, COMSEC, TEMPEST, criptologică;

f) executarea inspectiilor periodice asupra SPAD si/sau RTD (SIC) în vederea reacreditării acordate de către AAS;

g) supunerea certificării si autorizării a sistemelor de securitate specifice SIC;

h) cooperarea cu AAS, ADMC si cu alte structuri de securitate implicate.

188. ADMC este o structură natională subordonată ANS si are următoarele responsabilităti:

- managementul materialelor si echipamentelor criptografice specifice NATO;

- distribuirea materialelor si echipamentelor criptografice specifice NATO;

- raportarea periodică la ASIC a incidentelor de securitate cu care s-a confruntat;

- cooperarea cu AAS, ASIC si cu alte structuri de securitate implicate.

189. Amenintarea poate fi definită ca o posibilitate de compromitere accidentală sau deliberată a securitătii SPAD si/sau RTD (SIC) prin pierderea confidentialitătii, a integritătii sau disponibilitătii informatiilor în formă electronică.

Vulnerabilitatea poate fi definită ca fiind o slăbiciune sau lipsă de control care ar permite sau ar facilita o manevră de amenintare împotriva unei valori ori tinte specifice si ea poate fi de natură tehnică, procedurală sau operatională.

190. Măsurile de securitate prevăzute în această sectiune se aplică SIC care stochează, procesează sau transmit informatii clasificate NATO, începând cu nivelul CONFIDENTIAL.

191. Crearea mediului de securitate în care trebuie să opereze SPAD si/sau RTD (SIC) presupune definirea si implementarea unui set echilibrat de măsuri de securitate (fizice, de personal, administrative, de tip TEMPEST, privind tehnica de calcul si comunicatiile).

192. Măsurile de securitate destinate protectiei SIC trebuie să asigure controlul accesului pentru prevenirea sau detectarea divulgării neautorizate a informatiilor. Procesul de certificare si acreditare va stabili dacă aceste măsuri sunt corespunzătoare.

193. Cerintele de securitate specifice, denumite în continuare CSS, se constituie într-un document încheiat între AAS si AOSIC, fiind o listă completă de principii de securitate care trebuie respectate si de măsuri de securitate detaliate ce trebuie implementate, care stau la baza procesului de certificare si acreditare a SPAD si/sau RTD (SIC).

194. CSS se elaborează pentru toate SPAD si/sau RTD (SIC) care stochează, procesează sau transmit informatii clasificate NATO. Aceste cerinte sunt stabilite de către AOSIC si sunt aprobate de către AAS.

195. CSS vor fi formulate încă din faza de proiectare a SPAD si/sau RTD (SIC) si vor fi dezvoltate de-a lungul întregului ciclu de viată al sistemului.

196. CSS au la bază principiile politicii NATO de securitate si de evaluare a riscurilor, promovate de către ANS, tinând seama de parametrii esentiali ai mediului operational, de nivelul minim de autorizare a personalului, de nivelul de clasificare a informatiilor si de modul de operare a sistemului care urmează să fie acreditat.

197. SPAD si/sau RTD (SIC) care stochează, procesează sau transmit informatii clasificate NATO vor fi certificate si acreditate să opereze pe anumite perioade si îndiverse moduri de operare, astfel:

a) dedicat;

b) de nivel înalt;

c) multinivel.

198. În modul de operare “dedicat” toate persoanele cu drept de acces la SPAD si/sau RTD au certificat de securitate pentru cel mai înalt nivel de clasificare a informatiilor stocate, procesate sau transmise în cadrul SPAD si/sau RTD (SIC). Necesitatea de cunoastere pentru aceste persoane se referă la toate informatiile stocate, procesate sau transmise în cadrul SPAD si/sau RTD (SIC).

1. În acest mod de operare principiul nevoii de a sti (need-to-know) nu impune o cerintă expresă de separare a informatiilor, în cadrul SPAD si/sau RTD, ca mijloc de securitate a SIC.

2. Celelalte elemente de securitate (de exemplu: securitatea fizică, de natură procedurală sau la nivel de personal) vor satisface cerintele impuse de cel mai înalt nivel de clasificare si de toate categoriile de informatii cu destinatie specială stocate, procesate sau transmise în cadrul SPAD si/sau RTD.

199. În modul de operare “de nivel înalt” toate persoanele cu drept de acces la SPAD si/sau RTD (SIC) au certificat de securitate pentru cel mai înalt nivel de clasificare a informatiilor stocate, procesate sau transmise în cadrul SPAD si/sau RTD (SIC), dar accesul la informatii se face diferentiat, conform principiului nevoii de a sti (need-to-know).

1. Faptul că în acest mod accesul la informatii se face diferentiat, conform principiului nevoii de a sti (need-to-know), înseamnă că trebuie să existe în compensatie facilităti de securitate care să asigure un mod de acces selectiv la informatiile din cadrul SPAD si/sau RTD (SIC).

2. Celelalte facilităti de securitate (de exemplu: securitatea fizică, de natură procedurală sau de personal) vor satisface cerintele de protectie pentru cel mai înalt nivel de clasificare si pentru toate categoriile de informatii cu destinatie specială stocate, procesate, transmise în cadrul SPAD si/sau RTD (SIC).

3. Toate informatiile stocate, procesate sau vehiculate în cadrul unui SPAD si/sau RTD (SIC) sub acest mod de operare vor fi protejate ca informatii cu destinatie specială si ca informatii cu nivel maxim de clasificare.

200. În modul de operare “multinivel” nu toate persoanele cu drept de acces SPAD si/sau RTD (SIC) au certificat de securitate pentru acces la informatii de cel mai înalt nivel de clasificare, care sunt stocate, procesate sau transmise prin SPAD si/sau RTD (SIC). De asemenea, nu toate persoanele cu acces la SPAD si/sau RTD (SIC) au acces la toate informatiile stocate, procesate, transmise în cadrul SPAD si/sau RTD, accesul la informatii făcându-se diferentiat, conform principiului nevoii de a sti (need-to-know).

1. Acest mod de operare protejat permite stocarea, procesarea sau transmiterea informatiilor cu diferite niveluri de clasificare si de diverse destinatii.

2. Faptul că nu toate persoanele sunt autorizate pentru cel mai înalt nivel de clasificare, combinat cu faptul că accesul la informatii se face diferentiat, conform principiului nevoii de a sti (need-to-know), înseamnă că trebuie să existe în compensatie facilităti de securitate care să asigure un mod selectiv de acces la informatiile din cadrul SPAD si/sau RTD.

201. AOSIC este persoana sau compartimentul având responsabilitatea, delegată de către ASIC, asupra SPAD si/sau RTD (SIC) pentru implementarea metodelor si mijloacelor necesare protectiei informatiilor, precum si pentru exploatarea operatională a SPAD si/sau RTD (SIC) în conditii de securitate. Responsabilitatea AOSIC cuprinde întregul ciclu de viată al SPAD si/sau RTD (SIC), începând cu proiectarea, continuând cu elaborarea specificatiilor, testarea instalării, acreditarea, testarea periodică în vederea reacreditării, exploatarea operatională, modificarea si sfârsind cu scoaterea din uz. În anumite situatii speciale rolul AOSIC poate fi preluat de către diverse componente ale organizatiei, în decursul ciclului de viată. Este important ca rolul AOSIC să fie de la început identificat si exercitat fără întrerupere în decursul ciclului de viată.

202. AOSIC coordonează cooperarea dintre organismul care exercită autoritatea asupra SIC al unei organizatii si organismul care asigură acreditarea de securitate, atunci când organizatia:

a) planifică dezvoltarea sau achizitia de SPAD si/sau RTD;

b) propune schimbări ale unei configuratii de sistem existente;

c) propune conectarea unui SPAD si/sau a unei RTD (SIC) cu un alt SPAD si/sau RTD (SIC);

d) propune schimbări ale modului de operare de securitate ale SPAD si/sau RTD (SIC);

e) propune schimbări în programele existente sau propune utilizarea de noi programe care au impact asupra securitătii SPAD si/sau RTD (SIC);

f) propune modificarea nivelului de clasificare a securitătii pentru SPAD si/sau RTD (SIC) care au fost deja acreditate;

g) planifică, propune sau intentionează să întreprindă orice altă activitate care poate afecta securitatea SPAD si/sau RTD (SIC) deja acreditate (de exemplu, cresterea substantială a numărului de utilizatori).

203. AOSIC, îndrumat de către AAS si în cooperare cu cel care exercită autoritatea asupra SIC, stabileste standardele si procedurile de securitate care trebuie respectate de către furnizorul de echipamente pe parcursul dezvoltării, instalării si testării SPAD si/sau RTD (SIC). AOSIC este responsabilă pentru justificarea, selectia, implementarea si controlul componentelor tehnice de asigurare a securitătii care constituie parte a SPAD si/sau RTD (SIC).

204. AOSIC atribuie structurilor de securitate si management ale SPAD si/sau RTD (SIC), încă de la înfiintare, responsabilitătile necesare pe care să le exercite pe tot ciclul de viată al SPAD si/sau RTD (SIC).

205. AOSIC sau structura delegată competentă desemnează administratorul de securitate al obiectivului SIC, care răspunde de asigurarea implementării si mentinerii măsurilor de securitate fizică aplicabile obiectivului respectiv.

206. Un obiectiv SIC reprezintă un amplasament specific sau un grup de amplasamente în care functionează un SPAD si/sau o RTD. Responsabilitătile pentru fiecare zonă de amplasare a unui terminal/a unei statii de lucru care functionează la distantă trebuie explicit determinate.

Responsabilitătile unui administrator de securitate de obiectiv sunt îndeplinite de functionarul de securitate din cadrul structurii de securitate a obiectivului, ca parte a îndatoririlor profesionale.

207. AOSIC desemnează un administrator de securitate al SPAD (SIC), care este responsabil cu supervizarea dezvoltării, implementării si administrării măsurilor de securitate dintr-un SPAD (SIC), inclusiv cu participarea la elaborarea procedurilor operationale de securitate. La recomandarea AAS, AOSIC desemnează persoane suplimentare (de exemplu, pentru compartimente specifice unei organizatii) care îndeplinesc atributele de securitate în conformitate cu măsurile stabilite de administratorul de securitate al SPAD în cadrul procedurilor operationale de securitate (PrOpSec).

208. Pentru un SIC de mari dimensiuni sau în cazul interconectării SPAD, AOSIC nominalizează un administrator de securitate al retelei, care are responsabilităti în ceea ce priveste managementul securitătii comunicatiilor.

209. Toti utilizatorii de SPAD si/sau RTD (SIC) poartă responsabilitatea în ceea ce priveste securitatea acestora (raportate, în principal, la drepturile acordate) si sunt îndrumati de către administratorii de securitate. Informarea si constientizarea utilizatorilor asupra îndatoririlor lor de securitate asigură o eficacitate sporită a sistemului de securitate.

210. Pregătirea si instruirea cu privire la securitatea SIC sunt asigurate adecvat la diferite niveluri si pentru clasele de personal diferite ale unei organizatii, cum ar fi: nivelul superior de conducere, personalul autoritătii de securitate, administratorii de securitate, utilizatorii etc., si sunt în conformitate cu planul general de instruire elaborat de către ANS.

211. Utilizatorii SPAD si/sau RTD (SIC) sunt autorizati si li se permite accesul la informatii clasificate, pe baza principiului nevoii de a sti (need-to-know) si în functie de nivelul de clasificare a informatiilor stocate, procesate sau transmise în cadrul SPAD si/sau RTD.

212. Datorită vulnerabilitătii informatiilor fată de accesarea neautorizată, interzicerea accesului, divulgare, alterare, modificare sau stergere, se prevăd măsuri speciale pentru instruirea si supravegherea personalului, incluzând aici si personalul de proiectare a sistemului, care are acces la SPAD si/sau RTD.

213. SPAD si/sau RTD (SIC) trebuie proiectate astfel încât să permită atribuirea sarcinilor si răspunderilor personalului de o asa manieră încât să nu existe o persoană care să aibă cunostintă de sau acces la toate cheile de securitate (parole, mijloace de identificare personală etc.) si la toate programele.

214. Procedurile de lucru ale personalului din SPAD si/sau RTD (SIC) trebuie să asigure separarea dintre operatiunile de programare si cele de exploatare a sistemului sau a retelei. Este interzis, cu exceptia unor situatii speciale, ca personalul să facă atât programarea, cât si operarea sistemelor sau retelelor si trebuie instituite proceduri speciale pentru detectarea acestor situatii.

215. Pentru orice fel de modificare aplicată unui SPAD si/sau RTD (SIC) este obligatorie colaborarea a cel putin două persoane. Procedurile de securitate trebuie să prevadă explicit situatiile în care regula de lucru cu două persoane (two men rule) este implementată.

216. Pentru asigurarea si implementarea corectă a măsurilor de securitate personalul SPAD si/sau RTD (SIC) si personalul care răspunde de securitatea SPAD si/sau RTD (SIC) este instruit si informat în asa fel încât să îsi cunoască reciproc responsabilitătile.

217. Zonele în care sunt amplasate SPAD si/sau RTD (SIC) si cele cu terminale la distantă, unde sunt prezentate, stocate, procesate sau transmise informatii clasificate NATO ori în care este posibil accesul potential la astfel de informatii, se declară zone de securitate ale obiectivului.

218. În zonele în care sunt amplasate SPAD si terminale la distantă (statii de lucru), unde se procesează si/sau pot fi accesate informatii clasificate NATO, se aplică următoarele măsuri generale de securitate:

a) intrarea personalului si a materialelor, precum si plecarea în/din aceste zone sunt controlate prin mijloace bine stabilite;

b) zonele si locurile în care securitatea SPAD si/sau RTD (SIC) ori a terminalelor la distantă poate fi modificată nu trebuie să fie niciodată ocupate de o singură persoană;

c) persoanelor care solicită acces temporar sau cu intermitente în aceste zone trebuie să li se autorizeze accesul la vizitatori de către responsabilul pe probleme de securitate al zonei, desemnat de către administratorul de securitate al SPAD, conform atributiilor. Vizitatorii sunt însotiti permanent pentru a avea garantia că nu pot avea acces la informatii clasificate NATO si nici la echipamentele utilizate.

219. În functie de riscul de securitate si de nivelul de clasificare a informatiilor stocate, procesate si transmise, poate să se impună cerinta de aplicare a regulii de lucru cu două persoane (two men rule) si în alte zone. Acestea se stabilesc în stadiul initial al proiectului si sunt specificate în cadrul cerintelor de securitate specifice ale SIC.

220. Când un SPAD este exploatat în mod autonom, deconectat în mod permanent de alte SPAD, atunci, tinând seama de conditiile specifice, de alte măsuri de securitate tehnice sau procedurale si de rolul pe care îl joacă respectivul SPAD în functionarea de ansamblu, AAS poate să renunte la cerintele pct. 218 lit. b). În asemenea cazuri AAS trebuie să stabilească reguli, adaptate la structura SPAD, conform nivelului de clasificare a informatiilor procesate, si să identifice caracteristicile speciale.

221. Toate informatiile si materialele care controlează accesul la SPAD sau la RTD (SIC) sunt controlate si protejate de reglementări corespunzătoare nivelului de clasificare cel mai ridicat si specificului categoriei de informatii la care respectivul SPAD si/sau RTD (SIC) permite accesul.

222. Când nu mai sunt utilizate, informatiile si materialele de control trebuie să fie distruse.

223. Titularul informatiilor are obligatia de a identifica si de a clasifica toate documentele purtătoare de informatii, indiferent de suportul pe care se află (copie pe hârtie sau medii de stocare specifice tehnologiei informatiei). Fiecare document, indiferent de suport, trebuie marcat cu nivelul său de clasificare. Suportul pe care se află documentele va căpăta acelasi nivel de clasificare ca si nivelul cel mai înalt de clasificare a informatiilor utilizate pentru elaborarea documentelor. De asemenea, acestea se pot clasifica si conform nivelului cel mai înalt de clasificare a unui SPAD si/sau RTD (SIC) functionând în modul “dedicat” sau de “nivel înalt”, cu exceptia situatiei în care titularul sau autoritatea care răspunde de punerea la dispozitie a respectivelor informatii a stabilit, după verificare, o altă clasificare.

224. Titularii de informatii au obligatia să analizeze aspectele privind agregarea informatiilor si consecintele asupra nivelului de clasificare ce pot rezulta din aceasta, pentru a decide eventual acordarea unui nivel de clasificare mai ridicat pentru informatia rezultată în urma agregării.

225. Modul în care este prezentată informatia în clar (chiar dacă se utilizează codul prescurtat sau de transmisie, reprezentarea binară) nu asigură nici un fel de protectie de securitate si nu trebuie, prin urmare, să influenteze nivelul de clasificare acordat informatiilor respective.

226. Documentele continând informatii clasificate NATO trebuie să fie controlate, conform reglementărilor de securitate în vigoare, înainte de a fi transmise din zonele SPAD si/sau RTD (SIC) ori din cele cu terminale la distantă.

227. Când informatiile sunt transferate de la un SPAD sau RTD (SIC) către alt SPAD sau RTD (SIC), ele trebuie să fie protejate atât în timpul transferului, cât si în SPAD sau RTD (SIC) care le primeste, corespunzător clasificării originale a informatiilor.

228. Toate mediile de stocare a informatiilor se păstrează într-o modalitate care să fie în concordantă cu cel mai înalt nivel de clasificare a informatiilor stocate pe acestea, fiind protejate permanent.

229. Mediile refolosibile de stocare a informatiilor, utilizate pentru înregistrarea informatiilor clasificate NATO, îsi mentin cea mai înaltă clasificare pentru care au fost vreodată utilizate, până când respectivelor informatii li se reduce nivelul de clasificare sau sunt declarate neclasificate, moment în care mediile mentionate mai sus se reclasifică în mod corespunzător sau sunt distruse în conformitate cu prevederile PrOpSec.

230. Evidenta automată sau manuală a accesului la informatiile clasificate NATO de la nivelul SECRET în sus se tine sub forma registrelor de acces. Aceste registre se păstrează pe o perioadă stabilită de comun acord între AAS si AOSIC. În ceea ce priveste registrele de acces la informatiile clasificate NATO nivel NATO TOP SECRET sau cele din categoria specială, perioada minimă de păstrare este de 10 ani; în cazul informatiilor clasificate NATO nivel SECRET perioada minimă de păstrare pentru aceste registre nu va fi mai mică de 3 ani.

231. Mediile de stocare care contin informatii clasificate NATO ce sunt utilizate în interiorul unei zone SPAD pot fi manipulate ca un unic material clasificat, nefiind nevoie să fie înregistrate în Registrul Central sau în subregistre, cu conditia ca materialul să fie identificat, marcat cu nivelul său de clasificare si controlat în interiorul zonei SPAD, până în momentul în care este distrus, redus la o copie de arhivă sau pus într-un dosar permanent. Evidentele si controlul materialelor clasificate vor fi mentinute în cadrul zonei SPAD până când acestea sunt supuse controlului de evidentă sau sunt distruse.

232. În cazul în care un material este generat într-un CIS, iar apoi este transmis într-o zonă cu terminal/statie de lucru îndepărtat, se stabilesc proceduri adecvate de securitate, agreate de către AAS. Procedurile trebuie să cuprindă si instructiuni specifice privind evidenta informatiilor.

233. Toate mediile de stocare amovibile, clasificate de la nivelul NATO CONFIDENTIAL în sus, se identifică si se controlează în mod corespunzător (pentru nivelurile NATO UNCLASSIFIED si NATO RESTRICTED se aplică regulamentele de securitate locale, aprobate de către ANS). /

Identificarea si controalele trebuie să includă cel putin următoarele cerinte:

a) pentru nivelul NATO CONFIDENTIAL si mai sus:

- un mijloc de identificare (număr de serie si marcajul nivelului de clasificare) pentru fiecare astfel de mediu, în mod separat (cu precizarea că marcarea nivelului de clasificare trebuie să indice cel mai înalt nivel de clasificare stocat vreodată pe acel mediu, în cazul în care nu a fost declasificat conform procedurilor aprobate);

- proceduri complete pentru emiterea, primirea sau retragerea mediului de memorare, pentru a fi distrus sau pentru alte scopuri;

- înregistrări manuale sau tipărite la imprimantă, indicând continutul general, clasificarea si precizarea categoriei informatiei;

b) pentru nivelul NATO SECRET si mai sus informatiile detaliate asupra mediului de stocare amovibil, incluzând continutul si nivelul de clasificare, se tin într-un registru adecvat.

234. Controlul punctual (spot-checking) si de ansamblu al mediilor de stocare amovibile, pentru a asigura compatibilitatea cu procedurile de identificare si control în vigoare, astfel:

a) pentru nivelul NATO CONFIDENTIAL controalele punctuale ale prezentei fizice si ale continutului mediilor de stocare amovibile se efectuează periodic, pentru a garanta că acele medii de stocare nu contin informatii cu un nivel de clasificare superior;

b) pentru nivelul NATO SECRET toate mediile amovibile se inventariază periodic, controlând punctual prezenta lor fizică si continutul (pentru a garanta că pe acele medii nu sunt stocate informatii cu un nivel de clasificare superior);

c) pentru nivelul NATO COSMIC TOP SECRET si Categoria Specială de informatii toate mediile amovibile se verifică anual si se controlează punctual (spot-checked), periodic, în legătură cu prezenta lor fizică si cu continuturile lor (pentru a garanta că pe acele medii nu sunt stocate în mod necorespunzător informatii din Categoria Specială).

235. Utilizatorii trebuie să îsi asume responsabilitatea pentru a garanta că informatiile clasificate NATO sunt stocate pe medii de stocare având marcarea si protectia corespunzătoare. Procedurile trebuie stabilite pentru a se garanta că, pentru toate nivelurile de clasificare a informatiilor NATO, stocarea acestora se realizează în conformitate cu reglementările de securitate.

236. Informatiile clasificate NATO înregistrate pe medii de stocare refolosibile sunt sterse doar în conformitate cu procedurile PrOpSec.

237. Când un mediu de stocare urmează să iasă din uz, trebuie să fie declasificat, după care poate fi eliberat si utilizat ca mediu de stocare neclasificat. Dacă acesta nu poate fi declasificat, trebuie distrus printr-o procedură aprobată. Mediile de stocare care contin informatii NATO COSMIC TOP SECRET sau Categorie Specială pot fi distruse, dar nu pot fi declasificate si refolosite.

238. Informatiile clasificate NATO, stocate pe un mediu nereutilizabil pentru procesul de scriere (cartele sau benzi perforate, tipărituri etc.), vor fi distruse conform prevederilor cap. G “Securitatea documentelor”.

239. Toate mijloacele folosite pentru transmiterea electromagnetică a informatiilor clasificate NATO se supun instructiunilor NATO de securitate a comunicatiilor, instructiuni promovate de către ANS.

240. Într-un SPAD (SIC) trebuie să se asigure mijloace de interzicere categorică a accesului la informatiile clasificate NATO de la toate terminalele/statiile de lucru îndepărtate, atunci când se solicită acest lucru, prin deconectare fizică sau prin proceduri software speciale, aprobate de către AAS.

241. Instalarea initială a SIC si orice modificare majoră adusă acestuia sunt executate de persoane autorizate.

Acestea sunt sub supravegherea permanentă a unui personal tehnic calificat, care are acces la informatii clasificate NATO de cel mai înalt nivel de clasificare a informatiilor, pe care respectivul SIC le va stoca, le va procesa sau le va transmite.

242. Toate echipamentele vor fi instalate în conformitate cu reglementările NATO specifice în vigoare, promovate de către ANS. Se vor folosi si directive nationale echivalente pe plan tehnic.

243. Sistemele SIC care stochează, procesează si/sau transmit informatii clasificate NATO nivel CONFIDENTIAL si mai sus vor fi protejate corespunzător fată de vulnerabilitătile de securitate cauzate de radiatiile compromitătoare (TEMPEST).

244. Procesarea informatiilor se realizează în conformitate cu PrOpSec.

245. Transmiterea informatiilor NATO CONFIDENTIAL si mai sus către instalatii automate (a căror functionare nu necesită prezenta unui operator uman) este interzisă, cu exceptia cazului în care se aplică reglementări speciale aprobate de către AAS, iar acestea au fost specificate în PrOpSec.

246. În SIC care au utilizatori existenti sau potentiali fără certificate de securitate nu se pot stoca, procesa si transmite informatii clasificate NATO COSMIC TOP SECRET sau din Categoria Specială.

247. PrOpSec reprezintă o descriere a implementării politicii de securitate ce urmează să fie adoptată, a procedurilor operationale de urmat si a responsabilitătilor personalului.

248. PrOpSec sunt elaborate de către ASIC în colaborare cu AOSIC si AAS, care coordonează si alte elemente de securitate implicate. AAS va aproba procedurile de operare înainte de a autoriza stocarea, procesarea sau transmiterea informatiilor de nivel NATO CONFIDENTIAL si mai sus.

249. AOSIC stabileste controale care vor garanta că toate produsele software originale (sisteme de operare generale, subsisteme si pachete soft), aflate în folosintă, sunt protejate în conditii conforme cu nivelul de clasificare a informatiilor pe care acestea trebuie să le proceseze.

Protectia programelor (software) de aplicatie se stabileste în primul rând pe baza unei evaluări a nivelului de clasificare de securitate a acestora si apoi se va tine seama de nivelul de clasificare a informatiilor pe care acestea urmează să le proceseze.

250. Versiunile software care sunt în uz trebuie să fie verificate la intervale regulate pentru a garanta integritatea si functionarea lor corectă. Versiunile noi sau modificate ale software nu vor fi folosite pentru procesarea informatiilor de nivel NATO CONFIDENTIAL si mai sus, până când procedurile de securitate software nu sunt testate si aprobate de către administratorul de securitate al SPAD. Versiunile noi sau modificate ale software mai depind si de conditiile reacreditării prezentate în cerintele de securitate specifice ale sistemelor, aprobate de către AAS. Un software care modifică posibilitătile sistemului sau care îi conferă posibilităti noi si care nu contine nici o procedură de securitate nu poate fi folosit înainte de a fi verificat de către AOSIC.

251. Verificarea prezentei virusilor si a software nociv se face în conformitate cu cerintele impuse de către AAS.

252. Versiunile de software noi sau modificate (sisteme de operare, subsisteme, pachete de software si software de aplicatie), stocate pe diferite medii, care se introduc într-o institutie/

structură/organizatie, trebuie verificate (obligatoriu pe sisteme de calcul izolate) în vederea depistării software nociv sau a virusilor de calculator, înainte de a fi folosite în SPAD si/sau RTD (SIC). În plus, periodic se va proceda la verificarea software instalat; aceste verificări trebuie făcute mai frecvent dacă SPAD si/sau RTD (SIC) sunt conectate la alt SPAD si/sau RTD (SIC) ori la o retea publică de comunicatii de date sau la o retea telefonică publică.

253. În contractele de întretinere a SPAD si/sau RTD (SIC), care stochează/procesează/transmit informatii clasificate de nivel NATO CONFIDENTIAL sau mai sus, se vor specifica cerintele care trebuie îndeplinite pentru ca personalul de întretinere si aparatura specifică a acestuia să poată fi introduse în zona de operare a unui SPAD si/sau RTD (SIC); personalul de întretinere trebuie să detină certificate de securitate, deoarece prin executarea operatiunilor de întretinere există posibilitatea de a accesa informatii cla- sificate NATO.

254. Cerintele mentionate la pct. 75 trebuie stipulate foarte clar în CSS, iar procedurile de desfăsurare a activitătii respective trebuie stabilite în PrOpSec. Nu se acceptă tipurile de întretinere care constau în aplicarea unor proceduri de diagnosticare ce implică accesul de la distantă la sistem, decât dacă activitatea respectivă se desfăsoară sub control strict si numai cu aprobarea AAS.

255. Achizitionarea de sisteme SIC este limitată pe cât posibil la cele proiectate si realizate în tări membre NATO. Hardware si/sau software proiectate si/sau realizate în tări ce nu sunt membre NATO pot fi achizitionate numai după aprobarea AAS.

256. Pentru SIC care stochează, procesează si/sau transmit informatii clasificate NATO, de la nivelul SECRET în sus, si/sau informatii din Categoria Specială respectivele sisteme SIC sau componentele lor de bază (cum ar fi: sisteme de operare de scop general, produse de limitare a functionării în scopul realizării securitătii si produse pentru comunicare în retea) se pot achizitiona doar dacă sunt sau urmează să fie evaluate si certificate de către AAS, conform criteriilor NATO (AC/35 - D/1012 revăzut) sau criteriilor nationale echivalente.

257. Pentru SIC care stochează, procesează si/sau transmite informatii clasificate NATO CONFIDENTIAL sistemele si componentele lor de bază vor respecta pe cât posibil criteriile prevăzute la pct. 256.

258. Decizia de a prefera închirierea în loc de cumpărarea unui echipament, în special medii de stocare, trebuie luată tinându-se seama de faptul că astfel de echipamente, o dată utilizate pentru stocarea sau procesarea informatiilor clasificate NATO, nu mai pot fi scoase în medii neprotejate fără a fi în prealabil declasificate, conform aprobării AAS, si de faptul că acest lucru nu este întotdeauna posibil.

259. Toate SPAD si/sau RTD (SIC), înainte de a fi utilizate pentru stocarea, procesarea sau transmiterea informatiilor clasificate de la categoria NATO CONFIDENTIAL în sus, trebuie acreditate de către AAS pe baza datelor furnizate de către CSS, PrOpSec si de alte documentatii relevante. Subsistemele SPAD si/sau RTD si statiile de lucru cu acces la distantă sau terminalele vor fi acreditate ca parte integrantă a sistemelor SIC la care sunt conectate. În cazul în care un sistem SPAD si/sau RTD (SIC) deserveste atât NATO, cât si organizatiile, structurile interne ale tării, acreditarea se va face de către ANS de comun acord cu autoritătile NATO de securitate.

260. Modul de operare de securitate multinivel impune în unele situatii ca, înainte de acreditarea propriu-zisă a SPAD si/sau RTD (SIC), hardware, firmware si software să fie evaluate si certificate de către AAS, conform criteriilor stabilite la nivel NATO, în ceea ce priveste posibilitatea acestora de a proteja informatiile NATO de toate categoriile si nivelurile de clasificare si de a detine mecanisme de partajare/clasificare a utilizatorilor, bazate pe autorizarea accesului la sisteme.

261. Cerintele de evaluare si certificare sunt incluse în planificarea sistemului SIC si sunt stipulate explicit în CSS imediat după ce modul de operare de securitate a fost stabilit.

262. Există următoarele situatii în care se impun evaluarea si certificarea de securitate într-un mod de operare de securitate multinivel:

a) pentru SPAD si/sau RTD (SIC) care stochează/procesează/transmit informatii clasificate NATO COSMIC TOP SECRET si/sau cele din Categorie Specială;

b) pentru SPAD si/sau RTD (SIC) care stochează, procesează sau transmit informatii clasificate NATO SECRET, în următoarele cazuri:

(i) SPAD si/sau RTD (SIC) este interconectat cu un alt SPAD si/sau RTD (SIC);

(ii) SPAD si/sau RTD (SIC) are un număr de utilizatori posibili care nu poate fi definit exact.

263. Procesul de evaluare si certificare trebuie să se desfăsoare conform principiilor/instructiunilor aprobate, evaluarea si certificarea făcându-se de către echipe formate din  experti cu pregătire tehnică adecvată si autorizati corespunzător, iar aceste echipe vor actiona ca reprezentanti ai AAS. Aceasta va selecta echipele de experti care urmează să realizeze evaluarea si certificarea.

264. Echipele pot fi formate din experti din cadrul AAS, din reprezentanti desemnati ai acestei autorităti sau din experti din cadrul unor organisme specializate ale NATO.

265. În procesul de evaluare si certificare se va stabili în ce măsură un anumit SPAD si/sau RTD (SIC) îndeplineste conditiile de securitate specificate prin CSS. Este posibil ca după încheierea procesului de evaluare si certificare anumite sectiuni (paragrafe/capitole) din CSS să fie modificate sau actualizate. Procesul de evaluare si certificare trebuie să înceapă din stadiul de definire a SPAD si/sau RTD (SIC) si continuă de-a lungul întregului ciclu de implementare.

266. Gradul de evaluare si certificare poate fi redus în cazurile în care SPAD si/sau RDT (SIC) respective au la bază produse de securitate evaluate si certificate deja pe plan national.

267. Pentru toate SIC care stochează, procesează sau transmit informatii clasificate NATO CONFIDENTIAL sau mai sus AOSIC stabileste proceduri de control care vor garanta că toate schimbările ulterioare intervenite în SIC sunt verificate în ceea ce priveste implicatiile lor de securitate.

268. Tipurile de modificări care implică reacreditarea sau care solicită aprobarea anterioară a AAS trebuie să fie identificate cu claritate si expuse în CSS. După orice modificare, reparare sau eroare care ar fi putut afecta dispozitivele de securitate ale SIC, AOSIC trebuie să garanteze realizarea unei verificări care să asigure functionarea corectă a dispozitivelor de securitate. Mentinerea acreditării SIC trebuie să depindă de satisfacerea criteriilor de verificare.

269. Toate SIC care stochează, procesează sau transmit informatii clasificate NATO CONFIDENTIAL sau mai sus sunt inspectate si reexaminate periodic de către AAS. Pentru SIC care stochează, procesează sau transmit informatii clasificate NATO COSMIC TOP SECRET sau din categoria specială inspectia se va face cel putin o dată pe an.

270. Microcalculatoarele sau calculatoarele personale având discuri fixe sau alte medii nevolatile de stocare a informatiei, operând autonom sau ca parte a unei retele, precum si calculatoarele portabile cu discuri fixe sunt considerate medii de stocare a informatiilor în acelasi sens ca si celelalte medii amovibile de stocare a informatiilor.

271. Acestor echipamente trebuie să li se acorde nivelul de protectie pentru acces, manipulare, stocare si transport, corespunzător cu cel mai înalt nivel de clasificare a informatiilor care au fost vreodată stocate sau procesate pe ele, până la declasarea sau declasificarea acestora în conformitate cu procedurile aprobate.

272. Este interzisă utilizarea mediilor de stocare amovibile, a software si hardware, aflate în proprietate privată, pentru stocarea, procesarea si transmiterea informatiilor clasificate NATO CONFIDENTIAL si mai sus. Pentru informatiile NATO RESTRICTED sau NATO UNCLASSIFIED se aplică reglementările nationale corespunzătoare.

273. Este interzisă introducerea mediilor de stocare amovibile, a software si hardware, aflate în proprietate privată, în zonele în care se stochează, se procesează sau se transmit informatii clasificate NATO, fără aprobarea sefului unitătii.

274. Utilizarea echipamentelor si a software contractorilor în unităti, în sprijinul activitătii oficiale NATO, este permisă cu aprobarea sefului unitătii. Utilizarea echipamentelor si software puse la dispozitie de alte institutii nationale poate fi permisă; în acest caz echipamentele sunt evidentiate în inventarul unitătii. În ambele situatii, dacă echipamentele sunt folosite pentru stocarea, procesarea si transmiterea informatiilor clasificate NATO, trebuie obtinut avizul de securitate al AAS locale.

275. Marcarea informatiilor cu destinatie specială se aplică în mod obisnuit informatiilor clasificate care necesită o distributie limitată si o manipulare specială, în plus fată de caracterul atribuit, prin clasificarea de securitate (de exemplu: ATOMAL, US-SIOP-ESI, Crypto, EXCLUSIVE FOR etc.).

276. Definitiile furnizate la punctele următoare reprezintă concepte importante în terminologia specifică NATO si pot în unele cazuri să difere de definitiile vehiculate pe plan intern.

277. Informatie în formă electronică reprezintă texte, date, imagini, sunete înregistrate pe suporturi magnetice, optice, electrice sau transmise, sub formă de curenti, tensiuni sau câmp electromagnetic, în eter sau în retele de comunicatii. 

278. Regula de lucru cu două persoane (“Two men rule”) presupune obligativitatea colaborării a două persoane pentru îndeplinirea unei activităti specifice.

279. Securitatea SPAD si/sau RTD (SIC) reprezintă aplicarea măsurilor de securitate la SPAD si/sau RTD (SIC) cu scopul de a preveni sau împiedica atât extragerea si/sau modificarea informatiilor clasificate NATO stocate, procesate, transmise prin intermediul SPAD si/sau RTD (SIC) - prin interceptare, alterare, distrugere, accesare neautorizată cu mijloace electronice-, cât si invalidarea de servicii/functii, prin mijloace specifice.

280. Asigurarea securitătii SPAD si/sau RTD (SIC) presupune aplicarea unui cumul de măsuri mixte: măsuri de securitate specifice SPAD si/sau RTD (respectiv, la nivel de calculator), măsuri de securitate din domeniul comunicatiilor, măsuri de ordin procedural, fizice, la nivel de personal si de securitate a documentelor.

281. Securitatea calculatoarelor (COMPUSEC) constă în aplicarea la nivel de calculator a facilitătilor de securitate hardware, software si firmware, pentru a preveni divulgarea, manevrarea, modificarea/stergerea neautorizată a informatiilor sau invalidarea neautorizată a unor functii.

282. Produs informatic de securitate reprezintă o componentă de securitate care se încorporează într-un SPAD si/sau RTD (SIC) si care serveste la asigurarea, mentinerea si sporirea confidentialitătii, integritătii sau disponibilitătii/valabilitătii informatiilor.

283. Securitatea comunicatiilor (COMSEC) reprezintă aplicarea măsurilor de securitate în telecomunicatii; scopul măsurilor este de a proteja mesajele dintr-un sistem de telecomunicatii, care pot fi interceptate, studiate, analizate si care, prin reconstituire, pot conduce la dezvăluiri de informatii clasificate.

COMSEC reprezintă un set complex de proceduri, incluzând:

a) măsuri de securitate a transmisiilor;

b) măsuri de securitate împotriva emisiilor (radiatiilor);

c) măsuri de acoperire criptologică;

d) măsuri de securitate fizică, procedurală, de personal si a documentelor;

e) măsuri COMPUSEC.

284. TEMPEST reprezintă măsuri de testare si de realizare a securitătii împotriva scurgerii de informatii prin intermediul emisiilor electromagnetice parazite.

285. Evaluarea constă în examinarea detaliată, din punct de vedere tehnic si functional, a aspectelor de securitate ale SPAD si/sau RTD (SIC) sau a produselor de securitate, de către o autoritate abilitată în acest sens.

1. Prin procesul de evaluare se verifică prezenta facilitătilor (functiilor) de securitate cerute, absenta efectelor secundare compromitătoare care ar putea decurge din implementarea facilitătilor de securitate si se estimează functionalitatea globală a sistemului de securitate.

2. Prin evaluare se constată în ce măsură cerintele de securitate specifice pentru un SPAD si/sau RTD (SIC) sunt satisfăcute. De asemenea, se evaluează performantele de securitate ale produsului de securitate destinat calculatorului si se stabileste nivelul de încredere al SPAD si/sau RTD (SIC) sau al produsului de securitate implementat.

286. Certificarea constă în emiterea, în urma etapei de evaluare, a unui document de constatare, la care se atasează unul de analiză, în care sunt prezentate modul în care a decurs evaluarea si rezultatele acesteia; în documentul de constatare se mentionează măsura în care SPAD si/sau RTD (SIC) verificate satisfac cerintele de securitate si măsura în care produsul de securitate destinat protectiei acestora răspunde exigentelor în materie de securitate.

287. Acreditarea este etapa de acordare a autorizării si aprobării unui SPAD si/sau RTD (SIC) de a prelucra informatii clasificate NATO, în spatiul/mediul operational propriu. Etapa de acreditare trebuie să se desfăsoare după ce s-au implementat toate procedurile de securitate si după ce s-a atins un nivel suficient de protectie a resurselor de sistem. Acreditarea se face în principal pe baza CSS si include următoarele:

a) o lucrare justificativă despre obiectivul acreditării sistemului; alte detalii cuprinse în lucrare: nivelul/nivelurile de clasificare a informatiilor care urmează să fie procesate si vehiculate, modul/modurile de operare protejată propuse;

b) o lucrare despre managementul riscurilor (modul de tratare/gestionare/rezolvare a riscurilor), în care se specifică pericolele si punctele vulnerabile, precum si măsurile adecvate de contracarare a acestora;

c) o descriere detaliată a procedurilor propuse, a facilitătilor de securitate destinate SPAD si/sau RTD (SIC).

Această descriere va reprezenta elementul esential pentru finalizarea procesului de acreditare;

d) planul de implementare si de întretinere a facilitătilor de securitate;

e) planul de desfăsurare a etapelor de testare, evaluare si certificare a securitătii SPAD si/sau RTD (SIC);

f) certificatul si, acolo unde este necesar, elemente de acreditare suplimentare.

288. Prin SPAD (sistem de prelucrare automată a datelor) se întelege un ansamblu de elemente interdependente, în care se includ: echipamentele de calcul, produsele software de bază si aplicative, metodele, procedeele si, dacă este cazul, personalul, organizate astfel încât să asigure îndeplinirea functiilor de stocare si prelucrare automată a informatiilor în formă electronică. Astfel de sisteme pot fi utilizate în aplicatii specifice din domeniile: industrial, economic, militar, cercetare, proiectare, administrativ-organizatoric etc.

1. Pentru stabilirea limitelor până la care se întinde un SPAD, acesta se defineste ca fiind un ansamblu de elemente care se află sub coordonarea si controlul unei singure autorităti AOSIC.

2. Un SPAD poate să cuprindă subsisteme, iar unele dintre acestea pot fi ele însele SPAD.

289. Facilitătile de securitate specifice unui SPAD se referă la:

- functii si caracteristici hardware/firmware/software;

- proceduri/moduri de operare;

- proceduri si mijloace de evidentă;

- controlul accesului;

- definirea zonei de operare a SPAD;

- definirea zonei de operare a posturilor de lucru/a terminalelor la distantă;

- restrictii impuse de politica de management;

- mijloace si structuri fizice, personal;

- mijloace de control ale comunicatiilor.

Toate acestea sunt necesare asigurării unui nivel acceptabil de protectie pentru informatiile clasificate care urmează să fie stocate sau procesate într-un SPAD.

290. RTD este un ansamblu de elemente interdependente, în care se includ: dispozitive si echipamente de comunicatie, tehnică de calcul hardware si software, metode si proceduri pentru transmisie-receptie date, precum si pentru controlul retelei. Dacă este cazul, este inclus si personalul aferent. Toate acestea sunt organizate astfel încât să asigure îndeplinirea functiilor de teletransmisie a

informatiilor în formă electronică între două sau mai multe SPAD (SIC) sau să permită interconectarea cu alte RTD.

RTD poate utiliza serviciile unui singur sistem de comunicatii sau ale mai multor sisteme de comunicatii; mai multe RTD pot utiliza serviciile unuia si aceluiasi sistem de comunicatii.

291. Facilitătile de securitate specifice unei RTD sunt specifice si cuprind: reteaua, împreună cu toate componentele si facilitătile auxiliare unei retele (facilităti de comunicatii ale retelei, mecanisme si proceduri de identificare si etichetare, controlul accesului, programe si proceduri de control si revizie), necesare pentru a asigura un nivel acceptabil de protejare pentru informatiile clasificate.

292. Structural un sistem informatic si de comunicatii (SIC) reprezintă o conexiune alcătuită din cel putin un SPAD si/sau o RTD. Prin intermediul SIC se stochează, se procesează si/sau se transmit informatii sub formă electronică.

293. Zona SPAD reprezintă o zonă de lucru în care se găsesc si operează unul sau mai multe calculatoare, unităti periferice locale si de stocare, mijloace de control si echipament specific de retea si specific comunicatiilor. Zona SPAD nu include acea zonă separată în care sunt amplasate terminale, echipamente periferice sau statii de lucru la distantă, chiar dacă aceste echipamente sunt conectate la echipamentul central de calcul din zona SPAD.

294. Zona terminal/statie de lucru reprezintă o zonă, separată de zona SPAD, în care se găsesc:

- echipamentele periferice locale sau terminalele asociate echipamentului de calcul central;

- statiile de lucru la distantă;

- echipamente de comunicatii RTD.

J. STRUCTURA/FUNCTIONARUL DE SECURITATE

295. Pentru implementarea măsurilor de securitate si organizarea activitătii specifice protectiei informatiilor clasificate NATO, la nivelul fiecărui minister sau autorităti administrative autonome si în structurile subordonate, care prin natura activitătii lor vehiculează informatii clasificate NATO, se va desemna o structură/functionar de securitate.

Personalul care încadrează structura de securitate este desemnat în functie de volumul activitătii specifice.

296. Desemnarea structurii/functionarului de securitate este obligatorie în toate institutiile, societătile, firmele, întreprinderile de stat sau private, care, prin natura activitătii lor sau prin contractele, acordurile, întelegerile ce le încheie, vehiculează informatii clasificate NATO.

297. Structura/functionarul de securitate reprezintă punctul de contact dintre institutie si ANS.

298. Structura/functionarul de securitate este numită/numit de către seful institutiei si se subordonează direct acestuia. Aceasta/acesta răspunde de aplicarea procedurilor si normelor de securitate pentru protectia informatiilor clasificate NATO în cadrul institutiei respective, precum si în cele subordonate, pentru toate domeniile de securitate reglementate de ANS: organizarea securitătii, securitatea fizică, securitatea personalului, securitatea documentelor, securitatea industrială si INFOSEC.

299. Responsabilitatea pentru implementarea reglementărilor privind protectia informatiilor clasificate NATO revine sefului institutiei respective, iar structura/functionarul de securitate este principalul colaborator al acestuia si componentă executivă.

300. Conform reglementărilor privind accesul la informatii clasificate NATO personalul care încadrează structura/functionarul de securitate trebuie să detină, anterior desemnării, certificat de securitate de tip A, corespunzător celui mai înalt nivel de clasificare a informatiilor clasificate NATO gestionate.

301. Responsabilitătile structurii/functionarului de securitate sunt:

Responsabilităti generale:

a) coordonează activitatea CSNR din institutia respectivă si din cele subordonate;

b) elaborează norme interne de aplicare a reglementărilor privind protectia informatiilor clasificate NATO;

c) monitorizează implementarea normelor interne de securitate a informatiilor clasificate NATO, precum si modul de respectare a acestora în cadrul institutiei;

d) elaborează planul de securitate pentru protectia informatiilor clasificate NATO la nivelul institutiei;

e) îl consiliază pe seful institutiei pentru toate aspectele privind securitatea informatiilor clasificate NATO;

f) îl informează pe seful institutiei cu privire la vulnerabilitătile, riscurile si încălcările reglementărilor de securitate si ANS si propune măsurile ce se impun pentru solutionarea acestora.

Responsabilităti privind securitatea personalului: 

a) asigură implementarea normelor interne privind securitatea personalului;

b) initiază procesul de solicitare a eliberării certificatelor de securitate, din dispozitia sefului institutiei;

c) are obligatia să pună la dispozitie persoanei pentru care se solicită eliberarea certificatului de securitate formularul-tip corespunzător nivelului de acces solicitat;

d) acordă asistentă în vederea completării formularelor de verificare, cu respectarea termenului de transmitere a solicitării;

e) acordă sprijinul necesar institutiilor cu atributii în efectuarea verificărilor asupra personalului ce urmează să aibă acces la informatii clasificate NATO;

f) tine evidenta actualizată a tuturor persoanelor din cadrul institutiei, care au acces la informatii clasificate NATO, o copie de pe certificatele de securitate tip A si ia măsurile necesare pentru revalidarea sau retragerea certificatelor de securitate;

g) reanalizează periodic si actualizează normele interne de implementare a reglementărilor privind protectia informatiilor clasificate NATO.

Responsabilităti privind securitatea documentelor:

a) coordonează si urmăreste punerea în aplicare a normelor interne privind securitatea documentelor clasificate NATO în cadrul institutiei sale;

b) inspectează activitatea CSNR din institutie privind modalitătile de gestionare a informatiilor documentelor clasificate NATO;

c) pregăteste si transmite către ANS solicitarea si documentatia necesară înfiintării în cadrul institutiei sale a unei CSNR.

Responsabilităti privind securitatea fizică:

a) stabileste măsurile de securitate fizică pentru controlul accesului în zonele de securitate, pentru a preveni accesul persoanelor neautorizate;

b) verifică conditiile de securitate ale spatiilor, birourilor, încăperilor, containerelor, în care sunt manipulate sau păstrate informatii clasificate NATO;

c) adoptă măsurile necesare pentru a asigura un nivel de protectie fizică corespunzător în toate încăperile în care se desfăsoară activităti în cadrul cărora sunt vehiculate informatii clasificate NATO;

d) pregăteste si execută programele de inspectie a măsurilor de securitate fizică în cadrul CSNR, din competentă, si îl informează pe seful institutiei cu privire la vulnerabilitătile constatate;

e) realizează verificări inopinate ale sistemelor de protectie fizică;

f) stabileste planul de cooperare cu alte formatiuni cu responsabilităti în asigurarea protectiei fizice.

Responsabilitătile pe linia INFOSEC sunt prevăzute în cap. I “INFOSEC”.

Responsabilitătile privind pregătirea personalului sunt prevăzute în cap. L “Pregătirea personalului”.

K. ACTIVITATEA DE CONTROL

302. Controlul reprezintă activitatea de verificare a modului în care fiecare CSNR asigură protectia informatiilor clasificate NATO.

303. Activitatea de control se desfăsoară în mod planificat, pe baza Planului unic de control.

304. Toate structurile si persoanele care gestionează informatii clasificate NATO vor fi incluse în programe de control, urmând să fie notificate cu privire la obiectivele controlului.

305. Fiecare actiune de control se va încheia printr-un raport de control întocmit de echipa care a efectuat actiunea.

306. Activitatea de control are drept scop identificarea, eliminarea si contracararea oricăror riscuri de securitate care ar duce la compromiterea, divulgarea, distrugerea sau sustragerea informatiilor clasificate NATO.

307. Activitatea de control vizează structura/functionarul de securitate, CSNR si personalul care are acces la informatii clasificate NATO.

308. Finalitatea actiunilor de control se constituie într-un ansamblu de măsuri si recomandări menit să asigure operationalizarea si perfectionarea cadrului organizatoric si functional la toate structurile si nivelurile de activitate, cu responsabilităti în protectia informatiilor clasificate NATO.

309. ANS organizează si coordonează actiunile de control la nivel national.

310. ANS verifică implementarea recomandărilor si a măsurilor necesare realizării obiectivelor asumate, la nivelul CSNR direct subordonate.

311. Desemnarea expertilor care formează echipa de control si inspectie se face de către Consiliul de coordonare al ANS si se aprobă de presedintele ANS.

312. Rolul coordonator al ANS se manifestă prin întocmirea Planului unic de control, precum si prin asumarea responsabilitătilor la nivel national, fată de solicitările si activitătile de control ale Oficiului de Securitate NATO în România.

313. ANS va integra propunerile înaintate de structurile de securitate din subordine si de cele ale Oficiului de Securitate NATO, în vederea stabilirii, planificării si desfăsurării tematicilor de control. Ca urmare a controalelor si ori de câte ori se constată fapte si elemente de disfunctionalitate care ar putea să reprezinte riscuri de securitate pentru protectia informatiilor clasificate NATO, ANS are obligatia de a informa operativ Oficiul de Securitate NATO, concomitent cu întreprinderea, împreună cu structurile de securitate responsabile, a măsurilor necesare de contracarare/diminuare si evaluare a incidentelor de securitate constatate.

314. ANS va efectua controale, în conformitate cu Planul unic de control, la CSNR direct subordonate si va superviza activitătile desfăsurate pe această linie de toate CSNR din Sistemul National de Registre.

315. Anual sau ori de câte ori este nevoie ANS va întocmi o evaluare cu privire la rezultatele controalelor desfăsurate, modul de implementare a măsurilor concrete de remediere a deficientelor care au fost constatate si la modalitătile practice de eficientizare a activitătii de protectie a informatiilor clasificate NATO.

316. Pe baza Planului unic de control fiecare CSNR îsi va întocmi propriul Plan specific de control, care trebuie să se adreseze, în mod diferentiat, CSNR din subordine.

Elaborarea tematicii, planificarea si raportarea actiunilor de control prevăzute în Planul specific de control se înscriu în Planul unic de control, fiind adaptate la conditiile specifice fiecărei CSNR.

317. ANS va fi informată cu privire la rezultatele, propunerile si măsurile de eficientizare a activitătii de protectie a informatiilor clasificate NATO, stabilite la finalizarea actiunilor de control.

318. În situatia în care se evidentiază riscuri de securitate referitoare la compromiterea, divulgarea, distrugerea sau sustragerea unor informatii clasificate NATO, se va efectua o investigatie de securitate ale cărei rezultate vor fi comunicate ANS. Membrii comisiei de investigare vor fi desemnati de seful structurii institutionale.

319. CSNR au obligatia să tină evidenta actiunilor de control desfăsurate, a domeniilor care au făcut obiectul controalelor, cât si a personalului care a fost verificat.

320. Planul unic de control se întocmeste anual de către ANS, în conformitate cu atributiile în domeniu ale acesteia si în concordantă cu propunerile Oficiului de Securitate NATO.

321. Domeniile, tematica, etapele si formele de control sunt parte integrantă a acestui Plan unic de control si stau la baza întocmirii, la nivelul structurilor de securitate subordonate, a planurilor specifice de control.

322. Planul unic de control va fi aprobat de către presedintele ANS în cadrul Consiliului de coordonare al ANS, iar responsabilitatea punerii în aplicare a măsurilor si activitătilor stabilite revine Secretariatului tehnic.

323. Pe baza Planului unic de control structura/functionarul de securitate îsi va întocmi propriul plan specific de control, care se adresează, în mod diferentiat, CSNR din subordine.

324. Planul specific de control va fi aprobat de către seful structurii institutionale din care face parte respectiva CSNR.

325. La finalizarea actiunilor cuprinse în Planul specific de control structura/functionarul de securitate va prezenta ANS în termen de două săptămâni rapoartele cu privire la controlul efectuat.

326. Actiunile de control sunt planificate si anuntate, planificate si neanuntate, neplanificate, precum si datorate unor situatii de urgentă. Acestea pot lua forma unor:

1. controale de fond, care au drept obiectiv verificarea în plan organizatoric, structural si functional a activitătilor de protectie a informatiilor clasificate NATO;

2. controale tematice, care se realizează în baza unor tematici specifice si vizează unul sau mai multe domenii ale activitătii de securitate protectivă si/sau programe de pregătire si educatie de securitate;

3. controale în situatii de urgentă, care se adresează strict verificării si solutionării unor evenimente/solicitări exprese transmise ANS sau structurii de securitate ca urmare a identificării unui risc de securitate.

L. PREGĂTIREA PERSONALULUI

327. Pregătirea personalului constituie o formă a educatiei de securitate, obligatorie pentru toate persoanele care gestionează sau vor gestiona informatii clasificate NATO, si reprezintă activitatea specifică de informare si instruire pe linia protectiei informatiilor clasificate NATO.

Persoanele angajate în locuri de muncă unde sunt gestionate informatii clasificate NATO si pentru care s-au eliberat certificate de securitate vor fi instruite înaintea începerii activitătii.

328. Activitatea de pregătire se efectuează planificat si are caracter permanent, în scopul prevenirii, contracarării si eliminării riscurilor de securitate, precum si a amenintărilor la adresa securitătii informatiilor clasificate NATO.

329. Pregătirea personalului se va realiza diferentiat, în functie de atributiile personalului si de nivelul certificatului de securitate detinut.

330. Fiecare formă de pregătire se va înscrie în fisa individuală de pregătire a persoanei.

331. Pregătirea personalului urmăreste întelegerea si însusirea corectă a standardelor de securitate, precum si a modului de implementare eficientă a măsurilor de protectie a informatiilor clasificate NATO, în vederea eliminării disfunctiilor.

332. În cadrul Planului unic de pregătire a personalului ANS stabileste tematici de pregătire pe domenii, forme si metode de desfăsurare a activitătilor, diferentiate în functie de atributiile personalului si de nivelul certificatului de securitate detinut, în strânsă colaborare cu structurile de securitate din cadrul institutiilor care gestionează informatii clasificate NATO.

333. Pentru stabilirea Planului unic de pregătire a personalului ANS conlucrează în permanentă cu Oficiul de Securitate NATO.

334. ANS este responsabilă de realizarea informării publice si a educatiei de securitate, care se efectuează diferentiat, pe grupuri-tintă, si are drept scop constientizarea si informarea la nivelul întregii societăti a necesitătii protectiei informatiilor clasificate NATO.

335. Structura/functionarul de securitate are rolul coordonator în întocmirea, implementarea si controlul modului de aplicare a propriilor programe de pregătire a personalului.

336. Structura/functionarul de securitate va întocmi Planul specific de pregătire a personalului, înscris în Planul unic de pregătire a personalului, în baza căruia va organiza si va desfăsura activităti specifice de pregătire la nivelul structurii institutionale si al structurilor din subordinea acesteia.

337. Periodic structura/functionarul de securitate va informa ANS asupra formelor de pregătire desfăsurate si va comunica lista persoanelor care au participat la acestea.

338. Structura/functionarul de securitate are obligatia să tină o evidentă a tuturor persoanelor din cadrul structurii institutionale, care au participat la forme de pregătire organizate de NATO, de structuri de securitate ale Aliantei Nord-Atlantice sau la forme de pregătire organizate la nivel national.

339. Planul unic pe pregătire a personalului este întocmit si aprobat de ANS pe baza propunerilor înaintate de structurile de securitate din cadrul institutiilor care gestionează informatii clasificate NATO, a proiectelor bilaterale de cooperare internă si internatională si a propunerilor formuate de Oficiul de Securitate NATO. El se întocmeste pentru o perioadă de un an si se transmite tuturor structurilor institutionale.

340. Planul specific de pregătire a personalului este elaborat la începutul fiecărui an de către fiecare structură institutională, adaptat la conditiile proprii, pornind de la prevederile Planului unic de pregătire a personalului. Planul specific de pregătire a personalului va fi aprobat de către seful structurii institutionale.

341. Trimestrial structurile institutionale vor informa ANS asupra modului de îndeplinire a Planului specific de pregătire a personalului si vor prezenta propuneri de actiuni posibil să fie incluse în Planul unic de pregătire a personalului.

342. Pregătirea generală cuprinde obiectivele, sarcinile si responsabilitătile care revin fiecărei structuri, în vederea aplicării măsurilor de protectie a informatiilor clasificate NATO. La acest nivel sunt prezentate principiile generale de protectie a informatiilor clasificate NATO, modalitătile de implementare a prezentelor norme, formele si metodele de armonizare a acestora cu cerintele NATO în domeniu.

343. Pregătirea specifică se realizează în baza principiului nevoii de a sti (need to know), a domeniului de activitate specific, în functie de nivelul certificatului de securitate detinut si de atributiile personalului.

344. Pregătirea individuală se realizează în mod obligatoriu de întregul personal care gestionează informatiile clasificate NATO, conform atributiilor specifice.

345. Tematica generală si cea specifică pot fi prezentate sub formă de lectii, informări, prelegeri, simpozioane, mese rotunde, grupuri de lucru, seminarii, sedinte demonstrative cu caracter aplicativ, discutii libere, care se pot finaliza prin verificări sau certificări ale nivelului cunostintelor.

346. Activitătile de pregătire se desfăsoară, pe baza Planului unic de pregătire a personalului, de către structurile de securitate, precum si de alte autorităti, institutii, organizatii guvernamentale sau neguvernamentale si organisme, care sunt autorizate de ANS să desfăsoare astfel de activităti, în baza unor protocoale încheiate cu acestea.

347. Pe plan extern, în baza acordurilor existente între ANS si institutii internationale similare, precum si alte autorităti, organizatii guvernamentale sau neguvernamentale, organisme, structuri, care au ca domeniu de activitate protectia informatiilor clasificate NATO, se vor derula  programe comune de pregătire.

348. Desemnarea persoanelor care vor participa la astfel de forme de pregătire se va realiza de către fiecare institutie, iar solicitarea va fi făcută prin intermediul structurii de securitate. Pentru formele de pregătire organizate de către ANS solicitarea va fi transmisă acesteia tot prin intermediul structurii institutionale.

349. Formele de pregătire vor fi organizate si sustinute de către expertii din cadrul Secretariatului tehnic al ANS, conform tematicilor cuprinse în Planul unic de pregătire a personalului.

350. ANS organizează, anual si ori de câte ori este nevoie, instruirea functionarilor de securitate si a responsabililor CSNR.

351. Formele de pregătire vor fi organizate si sustinute de către structura/functionarul de securitate, conform tematicilor cuprinse în propriul plan specific de pregătire a personalului. La solicitarea structurilor/functionarilor de securitate, expertii ANS vor acorda consultată de specialitate.

 

ANEXE*)

la protectia informatiilor clasificate NATO în România


*) Anexele sunt reproduse în facsimil.

 

ANEXA I


*) Anexa este reprodusă în facsimil.

 

ANEXA II


*) Anexa este reprodusă în facsimil.

 

GUVERNUL ROMÂNIEI

 

HOTĂRÂRE

privind înfiintarea, organizarea si functionarea Agentiei de Acreditare de Securitate,

Agentiei de Securitate pentru Informatică si Comunicatii si Agentiei

pentru Distribuirea Materialului Criptografic

 

În temeiul prevederilor art. 107 din Constitutia României,

 

Guvernul României adoptă prezenta hotărâre.

 

Art. 1. - (1) Se înfiintează Agentia de Acreditare de Securitate, denumită în continuare AAS, Agentia de Securitate pentru Informatică si Comunicatii, denumită în continuare ASIC, si Agentia pentru Distribuirea Materialului Criptografic, denumită în continuare ADMC, ca structuri distincte în cadrul Autoritătii Nationale de Securitate, denumită în continuare ANS.

(2) Structurile înfiintate potrivit alin. (1) au competente specifice pe linia stocării/procesării informatiilor clasificate NATO în cadrul sistemelor de prelucrare automată a datelor, respectiv transmise prin retele de comunicatii ale datelor.

Art. 2. - (1) AAS, ASIC si ADMC sunt direct subordonate directorului executiv al ANS.

(2) Schimbul de informatii clasificate NATO cu celelalte structuri ale ANS si armonizarea reglementărilor se fac prin intermediul Secretariatului tehnic al ANS.

Art. 3. - (1) AAS, ASIC si ADMC exercită atributii de reglementare, autorizare si control potrivit legii si standardelor NATO privind protectia informatiilor clasificate NATO în format electronic.

(2) AAS, ASIC si ADMC îsi desfăsoară activitatea pe baza regulamentelor proprii de organizare si functionare, care se aprobă de către presedintele ANS, cu avizul Consiliului de coordonare al ANS.

Art. 4. - AAS are următoarele atributii principale:

a) elaborează strategia de acreditare de securitate din cadrul politicii generale de securitate a ANS;

b) răspunde de evaluarea si certificarea sistemelor informatice si de comunicatii sau a unor elemente componente ale acestora;

c) acordă acreditarea de securitate pentru sistemele informatice si de comunicatii care stochează, procesează sau transmit informatii clasificate NATO.

Art. 5. - ASIC are următoarele atributii principale:

a) elaborează metodologii si proceduri specifice privind protectia informatiilor clasificate NATO care sunt stocate, procesate sau transmise prin intermediul sistemelor infor- matice si de comunicatii, coordonează si controlează implementarea acestora;

b) analizează cauzele provocatoare de incidente de securitate si vulnerabilitătile din sistemele informatice si de comunicatii, necesare pentru managementul riscurilor, asupra securitătii sistemelor respective, întreprinde măsuri operative de prevenire sau înlăturare a vulnerabilitătilor în domeniu.

Art. 6. - ADMC are următoarele atributii principale:

a) asigură managementul materialelor si echipamentelor criptografice;

b) distribuie materiale si echipamente criptografice.

Art. 7. - (1) AAS, ASIC si ADMC sunt conduse de câte un director, care are în subordine un director adjunct pentru problematica de apărare, numiti de către presedintele ANS la propunerea directorului executiv al ANS si cu avizul Consiliului de coordonare al acesteia.

(2) Directorii AAS, ASIC si ADMC reprezintă ANS în domeniul lor de competentă.

(3) În cadrul AAS, ASIC si ADMC îsi vor desfăsura activitatea experti din Ministerul Afacerilor Externe, Ministerul Apărării Nationale, Serviciul Român de Informatii, Serviciul de Informatii Externe, Ministerul de Interne, Serviciul de Telecomunicatii Speciale, Serviciul de Protectie si Pază si Ministerul Comunicatiilor si Tehnologiei Informatiei.

Art. 8. - Directorii, directorii adjuncti si expertii care îsi desfăsoară activitatea în cadrul AAS, ASIC si ADMC sunt salarizati de către institutiile de la care provin.

Art. 9. - (1) AAS, ASIC si ADMC îsi desfăsoară activitatea în spatiile asigurate de către ANS.

(2) ANS asigură echipamentul de birotică adecvat, precum si celelalte dotări necesare desfăsurării eficiente a activitătii.

(3) Cheltuielile aferente activitătii desfăsurate de AAS, ASIC si ADMC se suportă din bugetul Ministerului Afacerilor Externe.

Art. 10. - (1) Prezenta hotărâre completează în mod corespunzător prevederile Hotărârii Guvernului nr. 864/2000 privind înfiintarea, organizarea si functionarea Autoritătii Nationale de Securitate, publicată în Monitorul Oficial al României, Partea I, nr. 495 din 10 octombrie 2000.

(2) În termen de 60 de zile de la data intrării în vigoare a prezentei hotărâri AAS, ASIC si ADMC vor elabora regulamentele proprii de organizare si functionare.

 

PRIM-MINISTRU

ADRIAN NĂSTASE

Contrasemnează:

p. Ministrul afacerilor externe,

Mihnea Motoc,

secretar de stat

p. Ministrul apărării nationale,

George Maior

secretar de stat

Directorul Serviciului Român de Informatii,

Radu-Alexandru Timofte

p. Directorul Serviciului de Informatii Externe,

Alexandru Marcel

 

Bucuresti, 15 aprilie 2002.

Nr. 354.