pentru aprobarea Normelor-cadru privind securitatea fizică a informaţiilor UE clasificate
În temeiul art. II din Legea nr. 343/2005 pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 153/2002*) privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat,directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin._________Notă …
*) Ordonanţa de urgenţă a Guvernului nr. 153/2002 a fost aprobată prin Legea nr. 101/2003. +
Articolul 1Se aprobă Normele-cadru privind securitatea fizică a informaţiilor UE clasificate, prevăzute în anexa care face parte integrantă din prezentul ordin. +
Articolul 2Conţinutul normelor-cadru prevăzute la art. 1 va fi revizuit periodic în vederea armonizării reglementărilor naţionale cu normele europene şi euroatlantice în domeniu.Directorul general al OficiuluiRegistrului Naţional al Informaţiilor Secrete de Stat,Marius PetrescuBucureşti, 31 ianuarie 2006.Nr. 13. +
Anexa NORME – CADRUprivind securitatea fizică a informaţiilor UE clasificate1. Dispoziţii generale +
Articolul 1Securitatea fizică reprezintă ansamblul măsurilor de protecţie aplicate incintelor în care sunt gestionate informaţii UE clasificate ce trebuie protejate împotriva accesului neautorizat, deteriorării, distrugerii, pierderii sau compromiterii. +
Articolul 2În sensul prezentelor norme, termenii şi expresiile utilizate se definesc după cum urmează:a) container – dulap metalic special destinat păstrării informaţiilor clasificate şi protecţiei împotriva accesului neautorizat la acestea; … b) forţă de securitate – forţă specializată alcătuită din personalul permanent de pază şi o forţă de intervenţie rapidă; … c) contractant – parte la un contract, care are calitatea de executant de lucrări sau de prestator de servicii; … d) chei de securitate – combinaţii ale unui sistem cu cifru sau chei de la încăperi speciale de securitate ori de la încuietorile containerelor destinate protecţiei informaţiilor UE clasificate. … 2. Principii de organizare a măsurilor de securitate fizică +
Articolul 3Măsurile de securitate fizică urmăresc:a) să prevină pătrunderea neautorizată a persoanelor, prin efracţie sau în alt mod fraudulos, în spaţiile protejate; … b) să prevină, să descopere şi să împiedice acţiunile ostile ale personalului neloial, inclusiv cele de spionaj, de natură să afecteze securitatea informaţiilor UE clasificate; … c) să permită accesul la informaţii UE clasificate exclusiv persoanelor autorizate, pe baza unei certificări de securitate corespunzătoare şi a aplicării principiului "nevoia de a cunoaşte"; … d) să descopere şi să combată în mod operativ orice încălcare a măsurilor de protecţie a informaţiilor UE clasificate. … +
Articolul 4Amploarea măsurilor de protecţie fizică a informaţiilor UE clasificate se stabileşte în funcţie de:a) nivelul de clasificare şi categoria informaţiilor protejate; … b) volumul informaţiilor şi natura suportului de stocare a acestora; … c) modul de păstrare a informaţiilor; … d) natura ameninţărilor la adresa securităţii informaţiilor clasificate, determinate de activităţile serviciilor de informaţii care au ca ţintă UE sau state membre ale acesteia, precum şi de acţiuni de natură teroristă, subversivă, sabotaj sau de alte activităţi infracţionale. … +
Articolul 5(1) Măsurile de protecţie fizică trebuie completate cu măsuri de securitate a personalului, de securitate a informaţiilor şi INFOSEC. … (2) Stabilirea celor mai eficiente metode de contracarare a ameninţărilor şi de compensare a vulnerabilităţilor printr-o combinaţie a măsurilor protective din domeniile prevăzute la alin. (1) se realizează printr-un management corespunzător al riscurilor de securitate. … +
Articolul 6Pentru o incintă dată, măsurile de securitate fizică sunt cuprinse în Planul de securitate fizică. +
Articolul 7Implementarea măsurilor de securitate fizică se va baza pe principiul "apărării în adâncime", urmărindu-se stabilirea:a) incintei care trebuie protejată; … b) unui dispozitiv exterior de securitate destinat să delimiteze zona protejată şi să descurajeze accesul neautorizat; … c) unui dispozitiv intermediar de securitate destinat să descopere tentativele sau accesul neautorizat în zona protejată şi să alerteze forţa de securitate; … d) unui dispozitiv interior de securitate destinat să întârzie acţiunile eventualilor intruşi şi să ofere suficient timp pentru ca aceştia să fie reţinuţi de forţa de securitate. … 3. Măsuri de securitate fizică +
Articolul 8(1) Informaţiile cu nivelul de clasificare UE CONFIDENTIEL sau superior se gestionează numai în interiorul unei zone de securitate. … (2) Zona de securitate reprezintă perimetrul delimitat, amenajat şi protejat, special destinat gestionării informaţiilor UE clasificate, care trebuie să corespundă uneia dintre următoarele categorii: … a) zona de securitate clasa I, organizată astfel încât intrarea unei persoane într-o asemenea zonă permite accesul direct la orice informaţii UE clasificate gestionate aici, ca urmare a modului specific de păstrare a acestora (expuse la vedere pe rafturi, afişate pe pereţi etc.) şi care presupune: … (i) controlul tuturor intrărilor şi ieşirilor;(îi) un sistem de control al intrării care să permită accesul doar acelor persoane care au certificarea de securitate corespunzătoare şi sunt special autorizate să între într-o asemenea zonă;(iii) specificarea nivelurilor de clasificare ale informaţiilor UE gestionate aici;b) zona de securitate clasa II, organizată astfel încât o persoană prezentă într-o asemenea zonă are acces exclusiv la informaţiile UE clasificate pentru care este autorizată, ca urmare a modului specific de păstrare a acestora şi care presupune: … (i) controlul tuturor intrărilor şi ieşirilor;(îi) un sistem de control al intrării care să permită accesul neînsoţit doar acelor persoane care au certificare de securitate corespunzătoare şi sunt special autorizate să între într-o asemenea zonă. Pentru toate celelalte persoane trebuie să existe reguli de însoţire pentru a se preveni accesul neautorizat la informaţii UE clasificate. +
Articolul 9(1) În jurul zonelor de securitate poate fi stabilită o zonă administrativă. O asemenea zonă implică un perimetru vizibil delimitat, în cadrul căruia sunt create condiţii pentru controlul persoanelor şi al vehiculelor. … (2) Informaţiile UE clasificate gestionate în zona administrativă vor avea cel mult nivelul de clasificare RESTREINT UE. … +
Articolul 10Incintele în care nu se lucrează 24 de ore din 24 vor fi inspectate imediat după terminarea programului de lucru, pentru a se verifica dacă protecţia informaţiilor clasificate este asigurată în mod corespunzător. +
Articolul 11(1) Pentru eficientizarea sistemelor de pază şi apărare împotriva pătrunderii neautorizate pot fi utilizate măsuri de securitate fizică specifice (gardul de perimetru, sisteme de detectare a intruziunilor – SDI, iluminat, televiziune cu circuit închis – TVCI). … (2) În cazurile în care acest lucru este posibil, zona ce trebuie protejată va fi delimitată de un gard de perimetru. … (3) Porţile de acces permanent trebuie să ofere cel puţin acelaşi nivel de protecţie ca şi gardul; celelalte porţi vor fi încuiate şi asigurate. … +
Articolul 12Iluminatul de securitate va fi realizat astfel încât să ofere un grad mai mare de detectare a unui potenţial intrus atât direct de către pază, cât şi indirect prin intermediul sistemului TVCI. +
Articolul 13SDI vor fi utilizate pentru a spori nivelul de securitate oferit de gard sau vor fi folosite în camere şi în clădiri pentru a ajuta sau a substitui personalul de pază. +
Articolul 14TVCI va fi utilizată pentru verificarea incintelor şi a alarmelor SDI. +
Articolul 15Atunci când se folosesc SDI, TVCI sau alte dispozitive destinate supravegherii şi protecţiei informaţiilor UE clasificate, trebuie să existe o sursă de alimentare de rezervă. +
Articolul 16(1) Controlul accesului personalului permanent în zonele de securitate se efectuează de personal de pază sau prin sisteme electronice, avându-se în vedere următoarele: … a) accesul fiecărui angajat se realizează prin locuri anume stabilite, pe baza permisului de acces; … b) permisul de acces nu va specifică în clar identitatea organizaţiei emitente sau locul în care deţinătorul are acces; … c) permisele de acces care acordă accesul fără escortă în interiorul zonelor de securitate în care sunt manipulate sau depozitate informaţii UE clasificate se emit numai persoanelor care au certificare de securitate corespunzătoare; cererea pentru acces în zonă trebuie să fie bine întemeiată şi bazată pe principiul "nevoia de a cunoaşte". … (2) La nivelul fiecărei persoane juridice care gestionează informaţii UE clasificate se pot stabili reguli suplimentare proprii privind accesul, cu respectarea prezentelor cerinţe minime. … +
Articolul 17Accesul vizitatorilor în zonele de securitate se realizează conform regulilor proprii aprobate de conducătorul instituţiei, ţinând cont de certificarea de securitate şi cu aplicarea principiului "nevoia de a cunoaşte", înregistrându-se datele personale ale vizitatorilor, precum şi ora intrării şi ieşirii acestora prin punctele de control. +
Articolul 18(1) Pentru accesul angajaţilor agenţilor economici contractanţi care efectuează lucrări de construcţii, reparaţii şi întreţinere a clădirilor, instalaţiilor sau utilităţilor în zonele de securitate, conducătorii instituţiilor beneficiare vor elibera, pe baza actelor de identitate, la solicitarea reprezentanţilor autorizaţi ai agenţilor în cauză, documente de acces temporar. … (2) Documentul de acces temporar este valabil doar pe durata executării lucrărilor şi se restituie emitentului la terminarea acestora. … +
Articolul 19Accesul în zonele de securitate al personalului însărcinat cu păstrarea curăţeniei se face conform regulilor proprii stabilite de conducătorul instituţiei beneficiare. +
Articolul 20Accesul personalului care asigură întreţinerea sistemelor de informatică şi comunicaţii (SIC) se va realiza în conformitate cu prevederile Ordinului directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 488/2003 privind aprobarea Ghidului pentru elaborarea documentaţiei cu cerinţele de securitate (DCS) pentru sisteme informatice şi de comunicaţii (SIC)-DS1, publicat în Monitorul Oficial al României, Partea I, nr. 866 din 5 decembrie 2003. +
Articolul 21Forţa de securitate va fi asigurată de structuri specializate ale autorităţilor publice sau de societăţi autorizate de pază şi protecţie. +
Articolul 22Forţa de intervenţie rapidă are rolul de a interveni în situaţii de urgenţă şi poate fi constituită din personal propriu sau poate fi asigurată pe bază de contract. +
Articolul 23Timpul de reacţie al forţei de intervenţie rapidă se testează periodic şi se menţionează în Planul de securitate fizică. +
Articolul 24(1) Sarcinile personalului permanent de pază, precum şi necesitatea şi frecvenţa patrulărilor vor fi stabilite în funcţie de nivelul riscului şi de celelalte sisteme sau echipamente de securitate instalate. … (2) În incintele în care nu se lucrează 24 de ore din 24, intervalul de timp dintre patrulările efectuate în afara orelor de program nu va depăşi două ore. … (3) Personalul de pază va primi instrucţiuni scrise cu privire la modul de îndeplinire a atribuţiilor specifice în cadrul instituţiei respective şi va fi înarmat, respectându-se legislaţia în vigoare. … (4) Personalul de pază care asigură paza incintelor în care sunt gestionate informaţiile UE clasificate trebuie să deţină certificare de securitate corespunzătoare informaţiilor gestionate în zona în care poate avea acces pentru îndeplinirea atribuţiilor ce îi revin. … +
Articolul 25Birourile sau zonele în care în mod uzual se poartă discuţii în cadrul cărora sunt vehiculate informaţii UE clasificate de nivel CONFIDENTIEL UE sau superior vor fi protejate împotriva ascultării neautorizate. +
Articolul 26Echipamentele de telecomunicaţii şi echipamentele electrice sau electronice de birou, de orice tip, folosite în timpul şedinţelor în care se vehiculează informaţii clasificate de nivel CONFIDENTIEL UE sau superior, vor fi verificate de către unităţi specializate la cererea structurii/funcţionarului de securitate. +
Articolul 27Copiatoarele şi faxurile vor funcţiona în încăperile speciale de securitate, la ele având acces doar persoanele autorizate. +
Articolul 28(1) Informaţiile UE clasificate se păstrează în încăperi speciale de securitate şi/sau containere speciale ori mobilier de birou. … (2) Dispoziţiile Ordinului directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 475/2005 privind aprobarea Cerinţelor minime de securitate fizică pentru încăperile speciale de securitate destinate protecţiei informaţiilor NATO clasificate şi a celor echivalente, potrivit legii, publicat în Monitorul Oficial al României, Partea I, nr. 1.035 din 22 noiembrie 2005, se aplică în mod corespunzător şi în privinţa încăperilor speciale de securitate destinate protecţiei informaţiilor UE clasificate. … (3) Containerele speciale se clasifică astfel: … a) clasa A, containere autorizate la nivel naţional pentru depozitarea informaţiilor TRES SECRET UE/UE TOP SECRET în zone de securitate clasa I sau clasa II; … b) clasa B, containere autorizate la nivel naţional pentru depozitarea informaţiilor SECRET UE şi CONFIDENTIEL UE în zone de securitate clasa I sau clasa II; … c) clasa C, mobilier de birou adecvat numai pentru depozitarea informaţiilor RESTREINT UE. … +
Articolul 29Încuietorile folosite la containerele în care sunt păstrate informaţii UE clasificate se împart în 3 grupe, astfel:a) grupa A, încuietori autorizate pentru containerele din clasa A; … b) grupa B, încuietori autorizate pentru containerele din clasa B; … c) grupa C, încuietori pentru mobilierul de birou. … +
Articolul 30Prevederile Ordinului directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 443/2003 privind aprobarea Cerinţelor minime pentru containerele destinate protecţiei informaţiilor clasificate, pentru mecanismele de închidere, sistemele cu cifru şi încuietorile acestora, publicat în Monitorul Oficial al României, Partea I, nr. 781 din 6 noiembrie 2003, completat prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 182/2004, publicat în Monitorul Oficial al României, Partea I, nr. 383 din 30 aprilie 2004, se aplică în mod corespunzător şi în privinţa containerelor destinate protecţiei informaţiilor UE clasificate, mecanismelor de închidere, sistemelor cu cifru şi încuietorilor acestora. +
Articolul 31(1) Combinaţiile cifrului şi cheile de la containerele şi încăperile speciale de securitate trebuie protejate adecvat pentru a se evita intrarea acestora în posesia unor persoane neautorizate. … (2) Cheile de la containerele şi încăperile de securitate se păstrează într-o zonă de securitate. … (3) Cheile de rezervă se păstrează de către şeful structurii/funcţionarul de securitate, care trebuie să ţină evidenţa utilizării acestora. Ele se introduc în unul sau în mai multe plicuri mate, care se sigilează şi se păstrează într-un container de securitate prevăzut cu încuietoare cu cifru. … +
Articolul 32(1) În cadrul zonelor de securitate pot fi stabilite zone sigure din punct de vedere tehnic. … (2) Aceste zone vor fi ţinute încuiate atunci când nu sunt ocupate, iar toate cheile vor fi considerate chei de securitate. … (3) Zonele sigure din punct de vedere tehnic vor fi inspectate periodic sau în urma unei intrări neautorizate ori atunci când există suspiciuni privind o intrare neautorizată. … +
Articolul 33Pentru echipamentele şi mobilierul din dotarea acestor zone se va păstra un inventar detaliat care să asigure urmărirea circulaţiei acestora. Orice piesă de mobilier sau echipament va fi introdusă într-o asemenea zonă numai după ce a fost atent inspectată de către personalul de securitate specializat în detectarea dispozitivelor de ascultare. Ca regulă generală, se va evita instalarea liniilor de comunicaţii în zonele securizate din punct de vedere tehnic. +
Articolul 34Este interzisă folosirea, în zonele sigure din punct de vedere tehnic, a telefonului mobil şi/sau a altor echipamente care pot fi utilizate pentru înregistrarea şi redarea informaţiilor UE clasificate. +
Articolul 35(1) Toate încăperile în care se gestionează sau în care este posibil accesul la informaţii UE clasificate vehiculate prin sisteme informatice şi de comunicaţii (SIC) trebuie să se afle într-o zonă de securitate. … (2) Toate SIC sau alte medii de gestionare similare (servere, sisteme de reţea etc.) în care se gestionează informaţii UE clasificate se instalează în încăperi speciale de securitate, în conformitate cu nivelul de clasificare al informaţiilor şi cu nevoile specifice de protecţie a acestora. … (3) Măsurile de protecţie a informaţiilor UE clasificate gestionate în SIC se stabilesc prin proceduri INFOSEC. … +
Articolul 36(1) La nivelul persoanelor juridice care gestionează informaţii UE clasificate se întocmeşte Planul de securitate fizică, ce va cuprinde descrierea tuturor măsurilor de securitate fizică implementate pentru protecţia acestor informaţii, structurat astfel: … a) delimitarea, marcarea şi configuraţia zonelor de securitate; … b) sistemul de pază şi apărare; … c) sistemul de avertizare şi alarmare; … d) controlul accesului, al cheilor şi combinaţiilor de cifru; … e) modul de acţiune în situaţii de urgenţă; … f) modul de raportare, investigare şi evidenţă a încălcării măsurilor de securitate; … g) responsabilităţile şi modul de implementare a măsurilor de pregătire şi instruire pe linie de securitate fizică; … h) responsabilităţile şi modalităţile de realizare a verificărilor, inspecţiilor şi controalelor sistemului de securitate; … i) măsuri suplimentare de protecţie fizică. … (2) În cazul în care la nivelul persoanei juridice există un plan de securitate al obiectivului pentru protecţia informaţiilor clasificate, elaborat şi implementat conform legislaţiei în vigoare, acesta va fi completat în mod corespunzător cu măsurile de securitate fizică specifice pentru protecţia informaţiilor UE clasificate. … –-
