"Protectia informatiilor secrete de stat este o obligatie ce revine persoanelor autorizate care le emit, le gestioneaza sau care intra in posesia acestora."
art. 16 din LEGEA nr. 182 din 12 aprilie 2002
privind protectia informatiilor clasificate

STRATEGIA DE SECURITATE NATIONALA A ROMANIEI(extras) - enuntata de catre TRAIAN BASESCU, Presedintele Romaniei, la 17 aprilie 2006, Bucuresti *** "Romania are nevoie de o noua strategie de securitate nationala capabila sa asigure diminuarea substantiala a decalajelor fata de statele dezvoltate din spatiul comunitar - indeosebi a celor referitoare la standardele de calitate a vietii - sa preintampine si sa contracareze amenintarile la adresa cetatenilor, comunitatilor, natiunii si statului roman, sa gestioneze operativ si eficient situatiile de criza si sa participe activ la procesele de integrare si cooperare" *** Securitatea interna ... include ... securitatea sistemelor informatice şi a celor de comunicaţii, protecţia īmpotriva dezastrelor şi protecţia mediului *** Īn prezent, pentru lupta īmpotriva corupţiei, este imperativ ca instituţiile să funcţioneze, să colaboreze şi să fie integrate īntr-un sistem īn care informaţiile vitale trebuie să circule īn mod profesionist, īn condiţii de legalitate şi īn mod oportun, responsabilităţile să fie clare şi să nu se suprapună, iar atribuţiile să fie īndeplinite īn limitele legii, la timp şi cu eficienţă maximă *** Informaţiile asigură evitarea surprinderii prin identificarea riscurilor şi ameninţărilor la adresa intereselor naţionale ale Romāniei, puterea de decizie şi viteza de reacţie precum şi capacitatea de acţiune pro-activă, īn scopul īndeplinirii noilor tipuri de misiuni ***
* ACUM puteti participa la licitatii, prezentari de oferte sau la procesul de negociere a unui contract clasificat prin VDN care va asigura reprezentantii autorizati care detin autorizatie de securitate industriala eliberata de catre ORNISS *** V D N - Vigilant Developer Network *** PRIMUL SERVICIU PRIVAT DIN ROMANIA PENTRU PROTECTIA INFORMATIILOR CLASIFICATE *** VDN - va ofera structura/functionarul de securitate de care aveti nevoie * VDN - va preia intreaga responsabilitate in privinta protectiei informatiilor secrete de stat * VDN este singurul consultant privat din Romania ce ofera pachete de servicii cu privire la sisteme de management al securitatii informatiilor clasificate - secrete de stat si secrete de serviciu - * Echipa VDN este formata din specialisti cu experienta in managementul securitatii informatiilor clasificate, proveniti din randul cadrelor militare in retragere, consultanti cu pregatire juridica si auditori certificati ISO/IEC 27001 :2005 care au implementat si gestionat sisteme de management al securitatii informatiilor *** Echipa VDN beneficiaza de aportul specialistilor care au organizat si desfasurat proceduri de achizitie clasificate si care au detinut autorizatii de acces la informatii secrete de stat sau certificate de securitate *** Misiunea VDN *** Oferim suport uman, tehnic si relational pentru a va prelua intreaga responsabilitate ce va revine in privinta prevenirii scurgerii informatiilor clasificate * Va siguram accesul la procedurile de achizitie clasificate atat ca furnizor/prestator principal in relatia cu autoritatile contractante cat si ca subcontractant/subantreprenor in derularea contractelor de lucrari/furnizare/servicii clasificate *** Viziunea VDN * Consideram respectarea Legii in domeniul protectiei informatiilor clasificate ca prim obiectiv * Numai in limitele Legii  trebuie asigurat accesul la informatiile de interes national * in cel mai eficient si rapid mod permis de Lege *** Ce facem *** Va asiguram structura/functionarul de securitate de care aveti nevoie * Implementam sistemele de management al securitatii informatiilor clasificate prin:  * elaborarea normele interne * a programului prevenirii scurgerii informatiilor clasificate * efectuarea instruirii personalului * completarea regulamentului de ordine interioara si a fiselor posturilor * asistenta permanenta a top-managementul societatii dumneavoastra cu privire la indeplinirea obligatiilor legale ce-i revin * Indeplinim toate formalitatile necesare obtinerii autorizatiei/certificatului de securitate industriala pentru societatea dumneavoastra si a autorizatiilor de acces la informatii secrete de stat asigurand in acest sens relationarea cu ORNISS * Asiguram relationarea cu Serviciul Roman de Informatii in cadrul procedurii de acordare a avizului de specialitate asupra programelor de prevenire a scurgerilor de informaţii clasificate, īntocmite de catre VDN, in cadrul consultantei si suportului acordat (asa cum este prevazut la art 34 din Legea nr 182/2002) * Avantajele implementarii si mentinerii sistemului de management al securitatii informatiilor secrete de stat  * Certitudinea respectarii clauzelor  si procedurilor de protectie ce vor fi stipulate īn anexa de securitate a fiecarui contract clasificat de catre partea contractanta detinatoare de informatii clasificate care presupune acces la informatii clasificate. Reducerea riscului de securitate si crearea premiselor inregistrarii de rezultate pozitive in urma inspectiilor si verificarilor periodice efectuate de catre autoritatea desemnata de securitate competenta asupra clauzelor si procedurilor de protectie stabilite la derularea contractului clasificat. Reducerea posibilitatii retragerii autorizatiei sau certificatului de securitate industriala, eliberate de catre ORNISS, prin respectarea tuturor cerintelor legale cu privire la masurile impuse pentru prevenirea scurgeii informatiilor clasificate * ACUM puteti participa la licitatii, prezentari de oferte sau la procesul de negociere a unui contract clasificat prin VDN care va asigura reprezentantii autorizati care detin autorizatie de securitate industriala eliberata de catre ORNISS * Prin obtinerea autorizatiei/certificatului de securitate industriala societatea dumneavoastra dovedeste ca indeplineste urmatoarele cerinte: a) poseda program de prevenire a scurgerii de informatii clasificate, avizat de SRI * b) este stabil din punct de vedere economic * c) nu a īnregistrat o greseala de management cu implicatii grave asupra starii de securitate a informatiilor clasificate pe care le gestioneaza * d) a respectat obligatiile de securitate din cadrul contractelor clasificate derulate anterior * e) personalul propriu implicat īn derularea contractului detine certificat de securitate de nivel egal celui al informatiilor vehiculate īn cadrul contractului clasificat *** Implementarea sistemului de management al securitatii informatiilor va creaza posibilitatea indeplinirii diferentiatorilor relevanti in cadrul procedurilor de achizitie clasificata.
MENIU
» Legislatie » Hotararea nr. 353 » INFOSEC


WEBMAIL:





HOTARAREA GUVERNULUI nr. 353 din 15 aprilie 2002
pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord īn Romānia



I. INFOSEC

179. Politica de securitate si cerintele acestei sectiuni se vor aplica tuturor sistemelor de prelucrare automata a datelor, denumite īn continuare SPAD, si retelelor de transmisii de date, denumite īn continuare RTD, precum si sistemelor informatice si de comunicatii, denumite īn continuare SIC, care stocheaza, proceseaza si/sau transmit informatii clasificate NATO. Aceste sisteme necesita masuri de securitate a informatiilor, īndeosebi de control al accesului, pe baza principiului nevoii de a sti si a nivelului de securitate atribuit.
180. Protectia SPAD si/sau RTD (SIC) din compunerea sistemelor de armament si de detectie va fi definita īn contextul general al sistemelor din care acestea fac parte si va fi realizata prin aplicarea prevederilor prezentei sectiuni.
181. Protectia informatiilor clasificate NATO care sunt stocate, procesate sau transmise īn SPAD si/sau RTD (SIC) este asigurata de catre ANS prin intermediul urmatoarelor autoritati: Autoritatea de Acreditare de Securitate, denumita īn continuare AAS, Autoritatea de Securitate pentru Informatica si Comunicatii, denumita īn continuare ASIC, Autoritatea pentru Distribuirea Materialului Criptografic, denumita īn continuare ADMC.
182. AAS este responsabila la nivel national cu acreditarea de securitate si aplicarea politicii de securitate NATO conform acreditarii date pentru SIC.
183. AAS este responsabila pentru aprobarea data unui SPAD si/sau RTD (SIC) de a stoca, de a procesa sau de a transmite informatii clasificate NATO pāna la nivelul de clasificare acordat (incluzānd, unde este cazul, unele categorii cu destinatie speciala) īn mediul sau operational. AAS este responsabila cu evaluarea si certificarea sistemelor SPAD si/sau RTD (SIC) sau a unor elemente componente ale acestora.
184. AAS este o structura de acreditare la nivel national, subordonata ANS, cu reprezentante delegate/desemnate din cadrul departamentelor implicate, īn functie de SPAD si/sau RTD (SIC) care trebuie acreditate. AAS este responsabila cu procesul periodic de reacreditare a SPAD si/sau RTD (SIC).
185. AAS īsi exercita responsabilitatea īn domeniul securitatii īn numele ANS, este responsabila pentru securitate īn toate cazurile, cu exceptia unor situatii speciale, si are autoritatea de a impune standarde de securitate.
186. AAS stabileste strategia de acreditare de securitate din cadrul politicii generale de securitate a ANS si formuleaza explicit conditiile īn care poate fi solicitata sa acrediteze SPAD si/sau RTD (SIC).
187. ASIC este structura care activeaza la nivel national, subordonata ANS, cu reprezentante delegate/desemnate de catre ANS īn cadrul departamentelor implicate. ASIC īsi exercita autoritatea pe plan local prin intermediul Autoritatii Operationale a SIC, denumita īn continuare AOSIC. Este responsabila cu conceperea si implementarea mijloacelor si metodelor de protectie a informatiilor clasificate NATO, care sunt stocate, procesate sau transmise prin intermediul SIC, si are īn principal urmatoarele responsabilitati:
a) coordonarea tuturor activitatilor de protectie a informatiilor clasificate NATO, care sunt stocate, procesate sau transmise prin intermediul SIC;
b) initiativa elaborarii si promovarii de reglementari si standarde specifice;
c) analiza cauzelor provocatoare de incidente de securitate si gestionarea bazei de date privind vulnerabilitatile din sistemele de comunicatie si informatice, necesare pentru managementul riscurilor asupra securitatii SIC;
d) semnalarea catre AAS a incidentelor de securitate;
e) integrarea masurilor privind protectia fizica de personal, de documente, administrativa, COMPUSEC, COMSEC, TEMPEST, criptologica;
f) executarea inspectiilor periodice asupra SPAD si/sau RTD (SIC) īn vederea reacreditarii acordate de catre AAS;
g) supunerea certificarii si autorizarii a sistemelor de securitate specifice SIC;
h) cooperarea cu AAS, ADMC si cu alte structuri de securitate implicate.
188. ADMC este o structura nationala subordonata ANS si are urmatoarele responsabilitati:
- managementul materialelor si echipamentelor criptografice specifice NATO;
- distribuirea materialelor si echipamentelor criptografice specifice NATO;
- raportarea periodica la ASIC a incidentelor de securitate cu care s-a confruntat;
- cooperarea cu AAS, ASIC si cu alte structuri de securitate implicate.
189. Amenintarea poate fi definita ca o posibilitate de compromitere accidentala sau deliberata a securitatii SPAD si/sau RTD (SIC) prin pierderea confidentialitatii, a integritatii sau disponibilitatii informatiilor īn forma electronica. Vulnerabilitatea poate fi definita ca fiind o slabiciune sau lipsa de control care ar permite sau ar facilita o manevra de amenintare īmpotriva unei valori ori tinte specifice si ea poate fi de natura tehnica, procedurala sau operationala.
190. Masurile de securitate prevazute īn aceasta sectiune se aplica SIC care stocheaza, proceseaza sau transmit informatii clasificate NATO, īncepānd cu nivelul CONFIDENTIAL.
191. Crearea mediului de securitate īn care trebuie sa opereze SPAD si/sau RTD (SIC) presupune definirea si implementarea unui set echilibrat de masuri de securitate (fizice, de personal, administrative, de tip TEMPEST, privind tehnica de calcul si comunicatiile).
192. Masurile de securitate destinate protectiei SIC trebuie sa asigure controlul accesului pentru prevenirea sau detectarea divulgarii neautorizate a informatiilor. Procesul de certificare si acreditare va stabili daca aceste masuri sunt corespunzatoare.
193. Cerintele de securitate specifice, denumite īn continuare CSS, se constituie īntr-un document īncheiat īntre AAS si AOSIC, fiind o lista completa de principii de securitate care trebuie respectate si de masuri de securitate detaliate ce trebuie implementate, care stau la baza procesului de certificare si acreditare a SPAD si/sau RTD (SIC).
194. CSS se elaboreaza pentru toate SPAD si/sau RTD (SIC) care stocheaza, proceseaza sau transmit informatii clasificate NATO. Aceste cerinte sunt stabilite de catre AOSIC si sunt aprobate de catre AAS.
195. CSS vor fi formulate īnca din faza de proiectare a SPAD si/sau RTD (SIC) si vor fi dezvoltate de-a lungul īntregului ciclu de viata al sistemului.
196. CSS au la baza principiile politicii NATO de securitate si de evaluare a riscurilor, promovate de catre ANS, tinānd seama de parametrii esentiali ai mediului operational, de nivelul minim de autorizare a personalului, de nivelul de clasificare a informatiilor si de modul de operare a sistemului care urmeaza sa fie acreditat.
197. SPAD si/sau RTD (SIC) care stocheaza, proceseaza sau transmit informatii clasificate NATO vor fi certificate si acreditate sa opereze pe anumite perioade si īn diverse moduri de operare, astfel:
a) dedicat;
b) de nivel īnalt;
c) multinivel.
198. Īn modul de operare "dedicat" toate persoanele cu drept de acces la SPAD si/sau RTD au certificat de securitate pentru cel mai īnalt nivel de clasificare a informatiilor stocate, procesate sau transmise īn cadrul SPAD si/sau RTD (SIC). Necesitatea de cunoastere pentru aceste persoane se refera la toate informatiile stocate, procesate sau transmise īn cadrul SPAD si/sau RTD (SIC).
1. Īn acest mod de operare principiul nevoii de a sti (need-to-know) nu impune o cerinta expresa de separare a informatiilor, īn cadrul SPAD si/sau RTD, ca mijloc de securitate a SIC.
2. Celelalte elemente de securitate (de exemplu: securitatea fizica, de natura procedurala sau la nivel de personal) vor satisface cerintele impuse de cel mai īnalt nivel de clasificare si de toate categoriile de informatii cu destinatie speciala stocate, procesate sau transmise īn cadrul SPAD si/sau RTD.
199. Īn modul de operare "de nivel īnalt" toate persoanele cu drept de acces la SPAD si/sau RTD (SIC) au certificat de securitate pentru cel mai īnalt nivel de clasificare a informatiilor stocate, procesate sau transmise īn cadrul SPAD si/sau RTD (SIC), dar accesul la informatii se face diferentiat, conform principiului nevoii de a sti (need-to-know).
1. Faptul ca īn acest mod accesul la informatii se face diferentiat, conform principiului nevoii de a sti (need-to-know), īnseamna ca trebuie sa existe īn compensatie facilitati de securitate care sa asigure un mod de acces selectiv la informatiile din cadrul SPAD si/sau RTD (SIC).
2. Celelalte facilitati de securitate (de exemplu: securitatea fizica, de natura procedurala sau de personal) vor satisface cerintele de protectie pentru cel mai īnalt nivel de clasificare si pentru toate categoriile de informatii cu destinatie speciala stocate, procesate, transmise īn cadrul SPAD si/sau RTD (SIC).
3. Toate informatiile stocate, procesate sau vehiculate īn cadrul unui SPAD si/sau RTD (SIC) sub acest mod de operare vor fi protejate ca informatii cu destinatie speciala si ca informatii cu nivel maxim de clasificare.
200. Īn modul de operare "multinivel" nu toate persoanele cu drept de acces SPAD si/sau RTD (SIC) au certificat de securitate pentru acces la informatii de cel mai īnalt nivel de clasificare, care sunt stocate, procesate sau transmise prin SPAD si/sau RTD (SIC). De asemenea, nu toate persoanele cu acces la SPAD si/sau RTD (SIC) au acces la toate informatiile stocate, procesate, transmise īn cadrul SPAD si/sau RTD, accesul la informatii facāndu-se diferentiat, conform principiului nevoii de a sti (need-to-know).
1. Acest mod de operare protejat permite stocarea, procesarea sau transmiterea informatiilor cu diferite niveluri de clasificare si de diverse destinatii.
2. Faptul ca nu toate persoanele sunt autorizate pentru cel mai īnalt nivel de clasificare, combinat cu faptul ca accesul la informatii se face diferentiat, conform principiului nevoii de a sti (need-to-know), īnseamna ca trebuie sa existe īn compensatie facilitati de securitate care sa asigure un mod selectiv de acces la informatiile din cadrul SPAD si/sau RTD.
201. AOSIC este persoana sau compartimentul avānd responsabilitatea, delegata de catre ASIC, asupra SPAD si/sau RTD (SIC) pentru implementarea metodelor si mijloacelor necesare protectiei informatiilor, precum si pentru exploatarea operationala a SPAD si/sau RTD (SIC) īn conditii de securitate. Responsabilitatea AOSIC cuprinde īntregul ciclu de viata al SPAD si/sau RTD (SIC), īncepānd cu proiectarea, continuānd cu elaborarea specificatiilor, testarea instalarii, acreditarea, testarea periodica īn vederea reacreditarii, exploatarea operationala, modificarea si sfārsind cu scoaterea din uz. Īn anumite situatii speciale rolul AOSIC poate fi preluat de catre diverse componente ale organizatiei, īn decursul ciclului de viata. Este important ca rolul AOSIC sa fie de la īnceput identificat si exercitat fara īntrerupere īn decursul ciclului de viata.
202. AOSIC coordoneaza cooperarea dintre organismul care exercita autoritatea asupra SIC al unei organizatii si organismul care asigura acreditarea de securitate, atunci cānd organizatia:
a) planifica dezvoltarea sau achizitia de SPAD si/sau RTD;
b) propune schimbari ale unei configuratii de sistem existente;
c) propune conectarea unui SPAD si/sau a unei RTD (SIC) cu un alt SPAD si/sau RTD (SIC);
d) propune schimbari ale modului de operare de securitate ale SPAD si/sau RTD (SIC);
e) propune schimbari īn programele existente sau propune utilizarea de noi programe care au impact asupra securitatii SPAD si/sau RTD (SIC);
f) propune modificarea nivelului de clasificare a securitatii pentru SPAD si/sau RTD (SIC) care au fost deja acreditate;
g) planifica, propune sau intentioneaza sa īntreprinda orice alta activitate care poate afecta securitatea SPAD si/sau RTD (SIC) deja acreditate (de exemplu, cresterea substantiala a numarului de utilizatori).
203. AOSIC, īndrumat de catre AAS si īn cooperare cu cel care exercita autoritatea asupra SIC, stabileste standardele si procedurile de securitate care trebuie respectate de catre furnizorul de echipamente pe parcursul dezvoltarii, instalarii si testarii SPAD si/sau RTD (SIC). AOSIC este responsabila pentru justificarea, selectia, implementarea si controlul componentelor tehnice de asigurare a securitatii care constituie parte a SPAD si/sau RTD (SIC).
204. AOSIC atribuie structurilor de securitate si management ale SPAD si/sau RTD (SIC), īnca de la īnfiintare, responsabilitatile necesare pe care sa le exercite pe tot ciclul de viata al SPAD si/sau RTD (SIC).
205. AOSIC sau structura delegata competenta desemneaza administratorul de securitate al obiectivului SIC, care raspunde de asigurarea implementarii si mentinerii masurilor de securitate fizica aplicabile obiectivului respectiv.
206. Un obiectiv SIC reprezinta un amplasament specific sau un grup de amplasamente īn care functioneaza un SPAD si/sau o RTD. Responsabilitatile pentru fiecare zona de amplasare a unui terminal/a unei statii de lucru care functioneaza la distanta trebuie explicit determinate. Responsabilitatile unui administrator de securitate de obiectiv sunt īndeplinite de functionarul de securitate din cadrul structurii de securitate a obiectivului, ca parte a īndatoririlor profesionale.
207. AOSIC desemneaza un administrator de securitate al SPAD (SIC), care este responsabil cu supervizarea dezvoltarii, implementarii si administrarii masurilor de securitate dintr-un SPAD (SIC), inclusiv cu participarea la elaborarea procedurilor operationale de securitate. La recomandarea AAS, AOSIC desemneaza persoane suplimentare (de exemplu, pentru compartimente specifice unei organizatii) care īndeplinesc atributele de securitate īn conformitate cu masurile stabilite de administratorul de securitate al SPAD īn cadrul procedurilor operationale de securitate ( PrOpSec).
208. Pentru un SIC de mari dimensiuni sau īn cazul interconectarii SPAD, AOSIC nominalizeaza un administrator de securitate al retelei, care are responsabilitati īn ceea ce priveste managementul securitatii comunicatiilor.
209. Toti utilizatorii de SPAD si/sau RTD (SIC) poarta responsabilitatea īn ceea ce priveste securitatea acestora (raportate, īn principal, la drepturile acordate) si sunt īndrumati de catre administratorii de securitate. Informarea si constientizarea utilizatorilor asupra īndatoririlor lor de securitate asigura o eficacitate sporita a sistemului de securitate.
210. Pregatirea si instruirea cu privire la securitatea SIC sunt asigurate adecvat la diferite niveluri si pentru clasele de personal diferite ale unei organizatii, cum ar fi: nivelul superior de conducere, personalul autoritatii de securitate, administratorii de securitate, utilizatorii etc., si sunt īn conformitate cu planul general de instruire elaborat de catre ANS.
211. Utilizatorii SPAD si/sau RTD (SIC) sunt autorizati si li se permite accesul la informatii clasificate, pe baza principiului nevoii de a sti (need-to-know) si īn functie de nivelul de clasificare a informatiilor stocate, procesate sau transmise īn cadrul SPAD si/sau RTD.
212. Datorita vulnerabilitatii informatiilor fata de accesarea neautorizata, interzicerea accesului, divulgare, alterare, modificare sau stergere, se prevad masuri speciale pentru instruirea si supravegherea personalului, incluzānd aici si personalul de proiectare a sistemului, care are acces la SPAD si/sau RTD.
213. SPAD si/sau RTD (SIC) trebuie proiectate astfel īncāt sa permita atribuirea sarcinilor si raspunderilor personalului de o asa maniera īncāt sa nu existe o persoana care sa aiba cunostinta de sau acces la toate cheile de securitate (parole, mijloace de identificare personala etc.) si la toate programele.
214. Procedurile de lucru ale personalului din SPAD si/sau RTD (SIC) trebuie sa asigure separarea dintre operatiunile de programare si cele de exploatare a sistemului sau a retelei. Este interzis, cu exceptia unor situatii speciale, ca personalul sa faca atāt programarea, cāt si operarea sistemelor sau retelelor si trebuie instituite proceduri speciale pentru detectarea acestor situatii.
215. Pentru orice fel de modificare aplicata unui SPAD si/sau RTD (SIC) este obligatorie colaborarea a cel putin doua persoane. Procedurile de securitate trebuie sa prevada explicit situatiile īn care regula de lucru cu doua persoane (two men rule) este implementata.
216. Pentru asigurarea si implementarea corecta a masurilor de securitate personalul SPAD si/sau RTD (SIC) si personalul care raspunde de securitatea SPAD si/sau RTD (SIC) este instruit si informat īn asa fel īncāt sa īsi cunoasca reciproc responsabilitatile.
217. Zonele īn care sunt amplasate SPAD si/sau RTD (SIC) si cele cu terminale la distanta, unde sunt prezentate, stocate, procesate sau transmise informatii clasificate NATO ori īn care este posibil accesul potential la astfel de informatii, se declara zone de securitate ale obiectivului.
218. Īn zonele īn care sunt amplasate SPAD si terminale la distanta (statii de lucru), unde se proceseaza si/sau pot fi accesate informatii clasificate NATO, se aplica urmatoarele masuri generale de securitate:
a) intrarea personalului si a materialelor, precum si plecarea īn/din aceste zone sunt controlate prin mijloace bine stabilite;
b) zonele si locurile īn care securitatea SPAD si/sau RTD (SIC) ori a terminalelor la distanta poate fi modificata nu trebuie sa fie niciodata ocupate de o singura persoana; c) persoanelor care solicita acces temporar sau cu intermitente īn aceste zone trebuie sa li se autorizeze accesul ca vizitatori de catre responsabilul pe probleme de securitate al zonei, desemnat de catre administratorul de securitate al SPAD, conform atributiilor. Vizitatorii sunt īnsotiti permanent pentru a avea garantia ca nu pot avea acces la informatii clasificate NATO si nici la echipamentele utilizate.
219. Īn functie de riscul de securitate si de nivelul de clasificare a informatiilor stocate, procesate si transmise, poate sa se impuna cerinta de aplicare a regulii de lucru cu doua persoane (two men rule) si īn alte zone. Acestea se stabilesc īn stadiul initial al proiectului si sunt specificate īn cadrul cerintelor de securitate specifice ale SIC.
220. Cānd un SPAD este exploatat īn mod autonom, deconectat īn mod permanent de alte SPAD, atunci, tinānd seama de conditiile specifice, de alte masuri de securitate tehnice sau procedurale si de rolul pe care īl joaca respectivul SPAD īn functionarea de ansamblu, AAS poate sa renunte la cerintele pct. 218 lit. b). Īn asemenea cazuri AAS trebuie sa stabileasca reguli, adaptate la structura SPAD, conform nivelului de clasificare a informatiilor procesate, si sa identifice caracteristicile speciale.
221. Toate informatiile si materialele care controleaza accesul la SPAD sau la RTD (SIC) sunt controlate si protejate de reglementari corespunzatoare nivelului de clasificare cel mai ridicat si specificului categoriei de informatii la care respectivul SPAD si/sau RTD (SIC) permite accesul.
222. Cānd nu mai sunt utilizate, informatiile si materialele de control trebuie sa fie distruse.
223. Titularul informatiilor are obligatia de a identifica si de a clasifica toate documentele purtatoare de informatii, indiferent de suportul pe care se afla (copie pe hārtie sau medii de stocare specifice tehnologiei informatiei). Fiecare document, indiferent de suport, trebuie marcat cu nivelul sau de clasificare. Suportul pe care se afla documentele va capata acelasi nivel de clasificare ca si nivelul cel mai īnalt de clasificare a informatiilor utilizate pentru elaborarea documentelor. De asemenea, acestea se pot clasifica si conform nivelului cel mai īnalt de clasificare a unui SPAD si/sau RTD (SIC) functionānd īn modul "dedicat" sau de "nivel īnalt", cu exceptia situatiei īn care titularul sau autoritatea care raspunde de punerea la dispozitie a respectivelor informatii a stabilit, dupa verificare, o alta clasificare.
224. Titularii de informatii au obligatia sa analizeze aspectele privind agregarea informatiilor si consecintele asupra nivelului de clasificare ce pot rezulta din aceasta, pentru a decide eventual acordarea unui nivel de clasificare mai ridicat pentru informatia rezultata īn urma agregarii.
225. Modul īn care este prezentata informatia īn clar (chiar daca se utilizeaza codul prescurtat sau de transmisie, reprezentarea binara) nu asigura nici un fel de protectie de securitate si nu trebuie, prin urmare, sa influenteze nivelul de clasificare acordat informatiilor respective.
226. Documentele continānd informatii clasificate NATO trebuie sa fie controlate, conform reglementarilor de securitate īn vigoare, īnainte de a fi transmise din zonele SPAD si/sau RTD (SIC) ori din cele cu terminale la distanta.
227. Cānd informatiile sunt transferate de la un SPAD sau RTD (SIC) catre alt SPAD sau RTD (SIC), ele trebuie sa fie protejate atāt īn timpul transferului, cāt si īn SPAD sau RTD (SIC) care le primeste, corespunzator clasificarii originale a informatiilor.
228. Toate mediile de stocare a informatiilor se pastreaza īntr-o modalitate care sa fie īn concordanta cu cel mai īnalt nivel de clasificare a informatiilor stocate pe acestea, fiind protejate permanent.
229. Mediile refolosibile de stocare a informatiilor, utilizate pentru īnregistrarea informatiilor clasificate NATO, īsi mentin cea mai īnalta clasificare pentru care au fost vreodata utilizate, pāna cānd respectivelor informatii li se reduce nivelul de clasificare sau sunt declarate neclasificate, moment īn care mediile mentionate mai sus se reclasifica īn mod corespunzator sau sunt distruse īn conformitate cu prevederile PrOpSec.
230. Evidenta automata sau manuala a accesului la informatiile clasificate NATO de la nivelul SECRET īn sus se tine sub forma registrelor de acces. Aceste registre se pastreaza pe o perioada stabilita de comun acord īntre AAS si AOSIC. Īn ceea ce priveste registrele de acces la informatiile clasificate NATO nivel NATO TOP SECRET sau cele din categoria speciala, perioada minima de pastrare este de 10 ani; īn cazul informatiilor clasificate NATO nivel SECRET perioada minima de pastrare pentru aceste registre nu va fi mai mica de 3 ani.
231. Mediile de stocare care contin informatii clasificate NATO ce sunt utilizate īn interiorul unei zone SPAD pot fi manipulate ca un unic material clasificat, nefiind nevoie sa fie īnregistrate īn Registrul Central sau īn subregistre, cu conditia ca materialul sa fie identificat, marcat cu nivelul sau de clasificare si controlat īn interiorul zonei SPAD, pāna īn momentul īn care este distrus, redus la o copie de arhiva sau pus īntr-un dosar permanent. Evidentele si controlul materialelor clasificate vor fi mentinute īn cadrul zonei SPAD pāna cānd acestea sunt supuse controlului de evidenta sau sunt distruse.
232. Īn cazul īn care un material este generat īntr-un CIS, iar apoi este transmis īntr-o zona cu terminal/statie de lucru īndepartat, se stabilesc proceduri adecvate de securitate, agreate de catre AAS. Procedurile trebuie sa cuprinda si instructiuni specifice privind evidenta informatiilor.
233. Toate mediile de stocare amovibile, clasificate de la nivelul NATO CONFIDENTIAL īn sus, se identifica si se controleaza īn mod corespunzator (pentru nivelurile NATO UNCLASSIFIED si NATO RESTRICTED se aplica regulamentele de securitate locale, aprobate de catre ANS). Identificarea si controalele trebuie sa includa cel putin urmatoarele cerinte:
a) pentru nivelul NATO CONFIDENTIAL si mai sus:
- un mijloc de identificare (numar de serie si marcajul nivelului de clasificare) pentru fiecare astfel de mediu, īn mod separat (cu precizarea ca marcarea nivelului de clasificare trebuie sa indice cel mai īnalt nivel de clasificare stocat vreodata pe acel mediu, īn cazul īn care nu a fost declasificat conform procedurilor aprobate);
- proceduri complete pentru emiterea, primirea sau retragerea mediului de memorare, pentru a fi distrus sau pentru alte scopuri;
- īnregistrari manuale sau tiparite la imprimanta, indicānd continutul general, clasificarea si precizarea categoriei informatiei;
b) pentru nivelul NATO SECRET si mai sus informatiile detaliate asupra mediului de stocare amovibil, incluzānd continutul si nivelul de clasificare, se tin īntr-un registru adecvat.
234. Controlul punctual (spot-checking) si de ansamblu al mediilor de stocare amovibile, pentru a asigura compatibilitatea cu procedurile de identificare si control īn vigoare, astfel:
a) pentru nivelul NATO CONFIDENTIAL controalele punctuale ale prezentei fizice si ale continutului mediilor de stocare amovibile se efectueaza periodic, pentru a garanta ca acele medii de stocare nu contin informatii cu un nivel de clasificare superior;
b) pentru nivelul NATO SECRET toate mediile amovibile se inventariaza periodic, controlānd punctual prezenta lor fizica si continutul (pentru a garanta ca pe acele medii nu sunt stocate informatii cu un nivel de clasificare superior);
c) pentru nivelul NATO COSMIC TOP SECRET si Categoria Speciala de informatii toate mediile amovibile se verifica anual si se controleaza punctual (spot-checked), periodic, īn legatura cu prezenta lor fizica si cu continuturile lor (pentru a garanta ca pe acele medii nu sunt stocate īn mod necorespunzator informatii din Categoria Speciala).
235. Utilizatorii trebuie sa īsi asume responsabilitatea pentru a garanta ca informatiile clasificate NATO sunt stocate pe medii de stocare avānd marcarea si protectia corespunzatoare. Procedurile trebuie stabilite pentru a se garanta ca, pentru toate nivelurile de clasificare a informatiilor NATO, stocarea acestora se realizeaza īn conformitate cu reglementarile de securitate.
236. Informatiile clasificate NATO īnregistrate pe medii de stocare refolosibile sunt sterse doar īn conformitate cu procedurile PrOpSec.
237. Cānd un mediu de stocare urmeaza sa iasa din uz, trebuie sa fie declasificat, dupa care poate fi eliberat si utilizat ca mediu de stocare neclasificat. Daca acesta nu poate fi declasificat, trebuie distrus printr-o procedura aprobata. Mediile de stocare care contin informatii NATO COSMIC TOP SECRET sau Categorie Speciala pot fi distruse, dar nu pot fi declasificate si refolosite.
238. Informatiile clasificate NATO, stocate pe un mediu nereutilizabil pentru procesul de scriere (cartele sau benzi perforate, tiparituri etc.), vor fi distruse conform prevederilor cap. G "Securitatea documentelor".
239. Toate mijloacele folosite pentru transmiterea electromagnetica a informatiilor clasificate NATO se supun instructiunilor NATO de securitate a comunicatiilor, instructiuni promovate de catre ANS.
240. Īntr-un SPAD (SIC) trebuie sa se asigure mijloace de interzicere categorica a accesului la informatiile clasificate NATO de la toate terminalele/statiile de lucru īndepartate, atunci cānd se solicita acest lucru, prin deconectare fizica sau prin proceduri software speciale, aprobate de catre AAS.
241. Instalarea initiala a SIC si orice modificare majora adusa acestuia sunt executate de persoane autorizate. Acestea sunt sub supravegherea permanenta a unui personal tehnic calificat, care are acces la informatii clasificate NATO de cel mai īnalt nivel de clasificare a informatiilor, pe care respectivul SIC le va stoca, le va procesa sau le va transmite.
242. Toate echipamentele vor fi instalate īn conformitate cu reglementarile NATO specifice īn vigoare, promovate de catre ANS. Se vor folosi si directive nationale echivalente pe plan tehnic.
243. Sistemele SIC care stocheaza, proceseaza si/sau transmit informatii clasificate NATO nivel CONFIDENTIAL si mai sus vor fi protejate corespunzator fata de vulnerabilitatile de securitate cauzate de radiatiile compromitatoare (TEMPEST).
244. Procesarea informatiilor se realizeaza īn conformitate cu PrOpSec.
245. Transmiterea informatiilor NATO CONFIDENTIAL si mai sus catre instalatii automate (a caror functionare nu necesita prezenta unui operator uman) este interzisa, cu exceptia cazului īn care se aplica reglementari speciale aprobate de catre AAS, iar acestea au fost specificate īn PrOpSec.
246. Īn SIC care au utilizatori existenti sau potentiali fara certificate de securitate nu se pot stoca, procesa si transmite informatii clasificate NATO COSMIC TOP SECRET sau din Categoria Speciala.
247. PrOpSec reprezinta o descriere a implementarii politicii de securitate ce urmeaza sa fie adoptata, a procedurilor operationale de urmat si a responsabilitatilor personalului.
248. PrOpSec sunt elaborate de catre ASIC īn colaborare cu AOSIC si AAS, care coordoneaza si alte elemente de securitate implicate. AAS va aproba procedurile de operare īnainte de a autoriza stocarea, procesarea sau transmiterea informatiilor de nivel NATO CONFIDENTIAL si mai sus.
249. AOSIC stabileste controale care vor garanta ca toate produsele software originale (sisteme de operare generale, subsisteme si pachete soft), aflate īn folosinta, sunt protejate īn conditii conforme cu nivelul de clasificare a informatiilor pe care acestea trebuie sa le proceseze. Protectia programelor (software) de aplicatie se stabileste īn primul rānd pe baza unei evaluari a nivelului de clasificare de securitate a acestora si apoi se va tine seama de nivelul de clasificare a informatiilor pe care acestea urmeaza sa le proceseze.
250. Versiunile software care sunt īn uz trebuie sa fie verificate la intervale regulate pentru a garanta integritatea si functionarea lor corecta. Versiunile noi sau modificate ale software nu vor fi folosite pentru procesarea informatiilor de nivel NATO CONFIDENTIAL si mai sus, pāna cānd procedurile de securitate software nu sunt testate si aprobate de catre administratorul de securitate al SPAD. Versiunile noi sau modificate ale software mai depind si de conditiile reacreditarii prezentate īn cerintele de securitate specifice ale sistemelor, aprobate de catre AAS. Un software care modifica posibilitatile sistemului sau care īi confera posibilitati noi si care nu contine nici o procedura de securitate nu poate fi folosit īnainte de a fi verificat de catre AOSIC.
251. Verificarea prezentei virusilor si a software nociv se face īn conformitate cu cerintele impuse de catre AAS.
252. Versiunile de software noi sau modificate (sisteme de operare, subsisteme, pachete de software si software de aplicatie), stocate pe diferite medii, care se introduc īntr-o institutie/structura/organizatie, trebuie verificate (obligatoriu pe sisteme de calcul izolate) īn vederea depistarii software nociv sau a virusilor de calculator, īnainte de a fi folosite īn SPAD si/sau RTD (SIC). Īn plus, periodic se va proceda la verificarea software instalat; aceste verificari trebuie facute mai frecvent daca SPAD si/sau RTD (SIC) sunt conectate la alt SPAD si/sau RTD (SIC) ori la o retea publica de comunicatii de date sau la o retea telefonica publica.
253. Īn contractele de īntretinere a SPAD si/sau RTD (SIC), care stocheaza/proceseaza/transmit informatii clasificate de nivel NATO CONFIDENTIAL sau mai sus, se vor specifica cerintele care trebuie īndeplinite pentru ca personalul de īntretinere si aparatura specifica a acestuia sa poata fi introduse īn zona de operare a unui SPAD si/sau RTD (SIC); personalul de īntretinere trebuie sa detina certificate de securitate, deoarece prin executarea operatiunilor de īntretinere exista posibilitatea de a accesa informatii clasificate NATO.
254. Cerintele mentionate la pct. 75 trebuie stipulate foarte clar īn CSS, iar procedurile de desfasurare a activitatii respective trebuie stabilite īn PrOpSec. Nu se accepta tipurile de īntretinere care constau īn aplicarea unor proceduri de diagnosticare ce implica accesul de la distanta la sistem, decāt daca activitatea respectiva se desfasoara sub control strict si numai cu aprobarea AAS.
255. Achizitionarea de sisteme SIC este limitata pe cāt posibil la cele proiectate si realizate īn tari membre NATO. Hardware si/sau software proiectate si/sau realizate īn tari ce nu sunt membre NATO pot fi achizitionate numai dupa aprobarea AAS.
256. Pentru SIC care stocheaza, proceseaza si/sau transmit informatii clasificate NATO, de la nivelul SECRET īn sus, si/sau informatii din Categoria Speciala respectivele sisteme SIC sau componentele lor de baza (cum ar fi: sisteme de operare de scop general, produse de limitare a functionarii īn scopul realizarii securitatii si produse pentru comunicare īn retea) se pot achizitiona doar daca sunt sau urmeaza sa fie evaluate si certificate de catre AAS, conform criteriilor NATO (AC/35 - D/1012 revazut) sau criteriilor nationale echivalente.
257. Pentru SIC care stocheaza, proceseaza si/sau transmite informatii clasificate NATO CONFIDENTIAL sistemele si componentele lor de baza vor respecta pe cāt posibil criteriile prevazute la pct. 256.
258. Decizia de a prefera īnchirierea īn loc de cumpararea unui echipament, īn special medii de stocare, trebuie luata tināndu-se seama de faptul ca astfel de echipamente, o data utilizate pentru stocarea sau procesarea informatiilor clasificate NATO, nu mai pot fi scoase īn medii neprotejate fara a fi īn prealabil declasificate, conform aprobarii AAS, si de faptul ca acest lucru nu este īntotdeauna posibil.
259. Toate SPAD si/sau RTD (SIC), īnainte de a fi utilizate pentru stocarea, procesarea sau transmiterea informatiilor clasificate de la categoria NATO CONFIDENTIAL īn sus, trebuie acreditate de catre AAS pe baza datelor furnizate de catre CSS, PrOpSec si de alte documentatii relevante. Subsistemele SPAD si/sau RTD si statiile de lucru cu acces la distanta sau terminalele vor fi acreditate ca parte integranta a sistemelor SIC la care sunt conectate. Īn cazul īn care un sistem SPAD si/sau RTD (SIC) deserveste atāt NATO, cāt si organizatiile, structurile interne ale tarii, acreditarea se va face de catre ANS de comun acord cu autoritatile NATO de securitate.
260. Modul de operare de securitate multinivel impune īn unele situatii ca, īnainte de acreditarea propriu-zisa a SPAD si/sau RTD (SIC), hardware, firmware si software sa fie evaluate si certificate de catre AAS, conform criteriilor stabilite la nivel NATO, īn ceea ce priveste posibilitatea acestora de a proteja informatiile NATO de toate categoriile si nivelurile de clasificare si de a detine mecanisme de partajare/clasificare a utilizatorilor, bazate pe autorizarea accesului la sisteme.
261. Cerintele de evaluare si certificare sunt incluse īn planificarea sistemului SIC si sunt stipulate explicit īn CSS imediat dupa ce modul de operare de securitate a fost stabilit.
262. Exista urmatoarele situatii īn care se impun evaluarea si certificarea de securitate īntr-un mod de operare de securitate multinivel:
a) pentru SPAD si/sau RTD (SIC) care stocheaza/proceseaza/transmit informatii clasificate NATO COSMIC TOP SECRET si/sau cele din Categorie Speciala;
b) pentru SPAD si/sau RTD (SIC) care stocheaza, proceseaza sau transmit informatii clasificate NATO SECRET, īn urmatoarele cazuri:
(i) SPAD si/sau RTD (SIC) este interconectat cu un alt SPAD si/sau RTD (SIC);
(ii) SPAD si/sau RTD (SIC) are un numar de utilizatori posibili care nu poate fi definit exact.
263. Procesul de evaluare si certificare trebuie sa se desfasoare conform principiilor/instructiunilor aprobate, evaluarea si certificarea facāndu-se de catre echipe formate din experti cu pregatire tehnica adecvata si autorizati corespunzator, iar aceste echipe vor actiona ca reprezentanti ai AAS. Aceasta va selecta echipele de experti care urmeaza sa realizeze evaluarea si certificarea.
264. Echipele pot fi formate din experti din cadrul AAS, din reprezentanti desemnati ai acestei autoritati sau din experti din cadrul unor organisme specializate ale NATO.
265. Īn procesul de evaluare si certificare se va stabili īn ce masura un anumit SPAD si/sau RTD (SIC) īndeplineste conditiile de securitate specificate prin CSS. Este posibil ca dupa īncheierea procesului de evaluare si certificare anumite sectiuni (paragrafe/capitole) din CSS sa fie modificate sau actualizate. Procesul de evaluare si certificare trebuie sa īnceapa din stadiul de definire a SPAD si/sau RTD (SIC) si continua de-a lungul īntregului ciclu de implementare.
266. Gradul de evaluare si certificare poate fi redus īn cazurile īn care SPAD si/sau RDT (SIC) respective au la baza produse de securitate evaluate si certificate deja pe plan national.
267. Pentru toate SIC care stocheaza, proceseaza sau transmit informatii clasificate NATO CONFIDENTIAL sau mai sus AOSIC stabileste proceduri de control care vor garanta ca toate schimbarile ulterioare intervenite īn SIC sunt verificate īn ceea ce priveste implicatiile lor de securitate.
268. Tipurile de modificari care implica reacreditarea sau care solicita aprobarea anterioara a AAS trebuie sa fie identificate cu claritate si expuse īn CSS. Dupa orice modificare, reparare sau eroare care ar fi putut afecta dispozitivele de securitate ale SIC, AOSIC trebuie sa garanteze realizarea unei verificari care sa asigure functionarea corecta a dispozitivelor de securitate. Mentinerea acreditarii SIC trebuie sa depinda de satisfacerea criteriilor de verificare.
269. Toate SIC care stocheaza, proceseaza sau transmit informatii clasificate NATO CONFIDENTIAL sau mai sus sunt inspectate si reexaminate periodic de catre AAS. Pentru SIC care stocheaza, proceseaza sau transmit informatii clasificate NATO COSMIC TOP SECRET sau din categoria speciala inspectia se va face cel putin o data pe an.
270. Microcalculatoarele sau calculatoarele personale avānd discuri fixe sau alte medii nevolatile de stocare a informatiei, operānd autonom sau ca parte a unei retele, precum si calculatoarele portabile cu discuri fixe sunt considerate medii de stocare a informatiilor īn acelasi sens ca si celelalte medii amovibile de stocare a informatiilor.
271. Acestor echipamente trebuie sa li se acorde nivelul de protectie pentru acces, manipulare, stocare si transport, corespunzator cu cel mai īnalt nivel de clasificare a informatiilor care au fost vreodata stocate sau procesate pe ele, pāna la declasarea sau declasificarea acestora īn conformitate cu procedurile aprobate.
272. Este interzisa utilizarea mediilor de stocare amovibile, a software si hardware, aflate īn proprietate privata, pentru stocarea, procesarea si transmiterea informatiilor clasificate NATO CONFIDENTIAL si mai sus. Pentru informatiile NATO RESTRICTED sau NATO UNCLASSIFIED se aplica reglementarile nationale corespunzatoare.
273. Este interzisa introducerea mediilor de stocare amovibile, a software si hardware, aflate īn proprietate privata, īn zonele īn care se stocheaza, se proceseaza sau se transmit informatii clasificate NATO, fara aprobarea sefului unitatii.
274. Utilizarea echipamentelor si a software contractorilor īn unitati, īn sprijinul activitatii oficiale NATO, este permisa cu aprobarea sefului unitatii. Utilizarea echipamentelor si software puse la dispozitie de alte institutii nationale poate fi permisa; īn acest caz echipamentele sunt evidentiate īn inventarul unitatii. Īn ambele situatii, daca echipamentele sunt folosite pentru stocarea, procesarea si transmiterea informatiilor clasificate NATO, trebuie obtinut avizul de securitate al AAS locale.
275. Marcarea informatiilor cu destinatie speciala se aplica īn mod obisnuit informatiilor clasificate care necesita o distributie limitata si o manipulare speciala, īn plus fata de caracterul atribuit, prin clasificarea de securitate (de exemplu: ATOMAL, US-SIOP-ESI, Crypto, EXCLUSIVE FOR etc.).
276. Definitiile furnizate la punctele urmatoare reprezinta concepte importante īn terminologia specifica NATO si pot īn unele cazuri sa difere de definitiile vehiculate pe plan intern.
277. Informatie īn forma electronica reprezinta texte, date, imagini, sunete īnregistrate pe suporturi magnetice, optice, electrice sau transmise, sub forma de curenti, tensiuni sau cāmp electromagnetic, īn eter sau īn retele de comunicatii.
278. Regula de lucru cu doua persoane ("Two men rule") presupune obligativitatea colaborarii a doua persoane pentru īndeplinirea unei activitati specifice.
279. Securitatea SPAD si/sau RTD (SIC) reprezinta aplicarea masurilor de securitate la SPAD si/sau RTD (SIC) cu scopul de a preveni sau īmpiedica atāt extragerea si/sau modificarea informatiilor clasificate NATO stocate, procesate, transmise prin intermediul SPAD si/sau RTD (SIC) - prin interceptare, alterare, distrugere, accesare neautorizata cu mijloace electronice-, cāt si invalidarea de servicii/functii, prin mijloace specifice.
280. Asigurarea securitatii SPAD si/sau RTD (SIC) presupune aplicarea unui cumul de masuri mixte: masuri de securitate specifice SPAD si/sau RTD (respectiv, la nivel de calculator), masuri de securitate din domeniul comunicatiilor, masuri de ordin procedural, fizice, la nivel de personal si de securitate a documentelor.
281. Securitatea calculatoarelor (COMPUSEC) consta īn aplicarea la nivel de calculator a facilitatilor de securitate hardware, software si firmware, pentru a preveni divulgarea, manevrarea, modificarea/stergerea neautorizata a informatiilor sau invalidarea neautorizata a unor functii.
282. Produs informatic de securitate reprezinta o componenta de securitate care se īncorporeaza īntr-un SPAD si/sau RTD (SIC) si care serveste la asigurarea, mentinerea si sporirea confidentialitatii, integritatii sau disponibilitatii/valabilitatii informatiilor.
283. Securitatea comunicatiilor (COMSEC) reprezinta aplicarea masurilor de securitate īn telecomunicatii; scopul masurilor este de a proteja mesajele dintr-un sistem de telecomunicatii, care pot fi interceptate, studiate, analizate si care, prin reconstituire, pot conduce la dezvaluiri de informatii clasificate.
COMSEC reprezinta un set complex de proceduri, incluzānd:
a) masuri de securitate a transmisiilor;
b) masuri de securitate īmpotriva emisiilor (radiatiilor);
c) masuri de acoperire criptologica;
d) masuri de securitate fizica, procedurala, de personal si a documentelor;
e) masuri COMPUSEC.
284. TEMPEST reprezinta masuri de testare si de realizare a securitatii īmpotriva scurgerii de informatii prin inter-mediul emisiilor electromagnetice parazite.
285. Evaluarea consta īn examinarea detaliata, din punct de vedere tehnic si functional, a aspectelor de securitate ale SPAD si/sau RTD (SIC) sau a produselor de securitate, de catre o autoritate abilitata īn acest sens.
1. Prin procesul de evaluare se verifica prezenta facilitatilor (functiilor) de securitate cerute, absenta efectelor secundare compromitatoare care ar putea decurge din implementarea facilitatilor de securitate si se estimeaza functionalitatea globala a sistemului de securitate.
2. Prin evaluare se constata īn ce masura cerintele de securitate specifice pentru un SPAD si/sau RTD (SIC) sunt satisfacute. De asemenea, se evalueaza performantele de securitate ale produsului de securitate destinat calculatorului si se stabileste nivelul de īncredere al SPAD si/sau RTD (SIC) sau al produsului de securitate implementat.
286. Certificarea consta īn emiterea, īn urma etapei de evaluare, a unui document de constatare, la care se ataseaza unul de analiza, īn care sunt prezentate modul īn care a decurs evaluarea si rezultatele acesteia; īn documentul de constatare se mentioneaza masura īn care SPAD si/sau RTD (SIC) verificate satisfac cerintele de securitate si masura īn care produsul de securitate destinat protectiei acestora raspunde exigentelor īn materie de securitate.
287. Acreditarea este etapa de acordare a autorizarii si aprobarii unui SPAD si/sau RTD (SIC) de a prelucra informatii clasificate NATO, īn spatiul/mediul operational propriu. Etapa de acreditare trebuie sa se desfasoare dupa ce s-au implementat toate procedurile de securitate si dupa ce s-a atins un nivel suficient de protectie a resurselor de sistem. Acreditarea se face īn principal pe baza CSS si include urmatoarele:
a) o lucrare justificativa despre obiectivul acreditarii sistemului; alte detalii cuprinse īn lucrare: nivelul/nivelurile de clasificare a informatiilor care urmeaza sa fie procesate si vehiculate, modul/modurile de operare protejata propuse;
b) o lucrare despre managementul riscurilor (modul de tratare/gestionare/rezolvare a riscurilor), īn care se specifica pericolele si punctele vulnerabile, precum si masurile adecvate de contracarare a acestora;
c) o descriere detaliata a procedurilor propuse, a facilitatilor de securitate destinate SPAD si/sau RTD (SIC). Aceasta descriere va reprezenta elementul esential pentru finalizarea procesului de acreditare;
d) planul de implementare si de īntretinere a facilitatilor de securitate;
e) planul de desfasurare a etapelor de testare, evaluare si certificare a securitatii SPAD si/sau RTD (SIC);
f) certificatul si, acolo unde este necesar, elemente de acreditare suplimentare.
288. Prin SPAD (sistem de prelucrare automata a datelor) se īntelege un ansamblu de elemente interdependente, īn care se includ: echipamentele de calcul, produsele software de baza si aplicative, metodele, procedeele si, daca este cazul, personalul, organizate astfel īncāt sa asigure īndeplinirea functiilor de stocare si prelucrare automata a informatiilor īn forma electronica. Astfel de sisteme pot fi utilizate īn aplicatii specifice din domeniile: industrial, economic, militar, cercetare, proiectare, administrativ-organizatoric etc.
1. Pentru stabilirea limitelor pāna la care se īntinde un SPAD, acesta se defineste ca fiind un ansamblu de elemente care se afla sub coordonarea si controlul unei singure autoritati AOSIC.
2. Un SPAD poate sa cuprinda subsisteme, iar unele dintre acestea pot fi ele īnsele SPAD.
289. Facilitatile de securitate specifice unui SPAD se refera la:
- functii si caracteristici hardware/firmware/software;
- proceduri/moduri de operare;
- proceduri si mijloace de evidenta;
- controlul accesului;
- definirea zonei de operare a SPAD;
- definirea zonei de operare a posturilor de lucru/a terminalelor la distanta;
- restrictii impuse de politica de management;
- mijloace si structuri fizice, personal;
- mijloace de control ale comunicatiilor.
Toate acestea sunt necesare asigurarii unui nivel acceptabil de protectie pentru informatiile clasificate care urmeaza sa fie stocate sau procesate īntr-un SPAD.
290. RTD este un ansamblu de elemente interdependente, īn care se includ: dispozitive si echipamente de comunicatie, tehnica de calcul hardware si software, metode si proceduri pentru transmisie-receptie date, precum si pentru controlul retelei. Daca este cazul, este inclus si personalul aferent. Toate acestea sunt organizate astfel īncāt sa asigure īndeplinirea functiilor de teletransmisie a informatiilor īn forma electronica īntre doua sau mai multe SPAD (SIC) sau sa permita interconectarea cu alte RTD. RTD poate utiliza serviciile unui singur sistem de comunicatii sau ale mai multor sisteme de comunicatii; mai multe RTD pot utiliza serviciile unuia si aceluiasi sistem de comunicatii.
291. Facilitatile de securitate specifice unei RTD sunt specifice si cuprind: reteaua, īmpreuna cu toate componentele si facilitatile auxiliare unei retele (facilitati de comunicatii ale retelei, mecanisme si proceduri de identificare si etichetare, controlul accesului, programe si proceduri de control si revizie), necesare pentru a asigura un nivel acceptabil de protejare pentru informatiile clasificate.
292. Structural un sistem informatic si de comunicatii (SIC) reprezinta o conexiune alcatuita din cel putin un SPAD si/sau o RTD. Prin intermediul SIC se stocheaza, se proceseaza si/sau se transmit informatii sub forma electronica.
293. Zona SPAD reprezinta o zona de lucru īn care se gasesc si opereaza unul sau mai multe calculatoare, unitati periferice locale si de stocare, mijloace de control si echipament specific de retea si specific comunicatiilor. Zona SPAD nu include acea zona separata īn care sunt amplasate terminale, echipamente periferice sau statii de lucru la distanta, chiar daca aceste echipamente sunt conectate la echipamentul central de calcul din zona SPAD.
294. Zona terminal/statie de lucru reprezinta o zona, separata de zona SPAD, īn care se gasesc:
- echipamentele periferice locale sau terminalele asociate echipamentului de calcul central;
- statiile de lucru la distanta;
- echipamente de comunicatii RTD.
Politica de confidentialitate | Termeni si conditii de utilizare | Harta site |
© 2012 VD Network