ORDIN Nr. 13 din 31
ianuarie 2006
pentru aprobarea
Normelor-cadru privind securitatea fizica a informatiilor UE clasificate
ACT EMIS DE:
OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 138 din 14 februarie 2006
In temeiul art. II din
Legea nr. 343/2005 pentru modificarea si completarea Ordonantei de urgenta a
Guvernului nr. 153/2002*) privind organizarea si functionarea Oficiului Registrului
National al Informatiilor Secrete de Stat,
directorul general al
Oficiului Registrului National al Informatiilor Secrete de Stat emite prezentul
ordin.
*) Ordonanta de urgenta
a Guvernului nr. 153/2002 a fost aprobata prin Legea nr. 101/2003.
Art. 1. - Se aproba
Normele-cadru privind securitatea fizica a informatiilor UE clasificate,
prevazute in anexa care face parte integranta din prezentul ordin.
Art. 2. - Continutul
normelor-cadru prevazute la art. 1 va fi revizuit periodic in vederea
armonizarii reglementarilor nationale cu normele europene si euroatlantice in
domeniu.
Directorul general al
Oficiului Registrului National
al Informatiilor
Secrete de Stat,
Marius Petrescu
ANEXA 1
NORME-CADRU
privind securitatea fizica a
informatiilor UE clasificate
1. Dispozitii generale
Art. 1. - Securitatea
fizica reprezinta ansamblul masurilor de protectie aplicate incintelor in care
sunt gestionate informatii UE clasificate ce trebuie protejate impotriva
accesului neautorizat, deteriorarii, distrugerii, pierderii sau compromiterii.
Art. 2. - In sensul
prezentelor norme, termenii si expresiile utilizate se definesc dupa cum
urmeaza:
a) container - dulap
metalic special destinat pastrarii informatiilor clasificate si protectiei
impotriva accesului neautorizat la acestea;
b) forta de securitate
- forta specializata alcatuita din personalul permanent de paza si o forta de
interventie rapida;
c) contractant - parte
la un contract, care are calitatea de executant de lucrari sau de prestator de
servicii;
d) chei de securitate -
combinatii ale unui sistem cu cifru sau chei de la incaperi speciale de
securitate ori de la incuietorile containerelor destinate protectiei
informatiilor UE clasificate.
2. Principii de
organizare a masurilor de securitate fizica
Art. 3. - Masurile de
securitate fizica urmaresc:
a) sa previna
patrunderea neautorizata a persoanelor, prin efractie sau in alt mod fraudulos,
in spatiile protejate;
b) sa previna, sa
descopere si sa impiedice actiunile ostile ale personalului neloial, inclusiv
cele de spionaj, de natura sa afecteze securitatea informatiilor UE
clasificate;
c) sa permita accesul
la informatii UE clasificate exclusiv persoanelor autorizate, pe baza unei
certificari de securitate corespunzatoare si a aplicarii principiului
"nevoia de a cunoaste";
d) sa descopere si sa
combata in mod operativ orice incalcare a masurilor de protectie a
informatiilor UE clasificate.
Art. 4. - Amploarea
masurilor de protectie fizica a informatiilor UE clasificate se stabileste in
functie de:
a) nivelul de
clasificare si categoria informatiilor protejate;
b) volumul
informatiilor si natura suportului de stocare a acestora;
c) modul de pastrare a
informatiilor;
d) natura amenintarilor
la adresa securitatii informatiilor clasificate, determinate de activitatile
serviciilor de informatii care au ca tinta UE sau state membre ale acesteia,
precum si de actiuni de natura terorista, subversiva, sabotaj sau de alte
activitati infractionale.
Art. 5. - (1) Masurile
de protectie fizica trebuie completate cu masuri de securitate a personalului,
de securitate a informatiilor si INFOSEC.
(2) Stabilirea celor
mai eficiente metode de contracarare a amenintarilor si de compensare a
vulnerabilitatilor printr-o combinatie a masurilor protective din domeniile
prevazute la alin. (1) se realizeaza printr-un management corespunzator al riscurilor
de securitate.
Art. 6. - Pentru o
incinta data, masurile de securitate fizica sunt cuprinse in Planul de
securitate fizica.
Art. 7. - Implementarea
masurilor de securitate fizica se va baza pe principiul "apararii in
adancime", urmarindu-se stabilirea:
a) incintei care
trebuie protejata;
b) unui dispozitiv
exterior de securitate destinat sa delimiteze zona protejata si sa descurajeze
accesul neautorizat;
c) unui dispozitiv
intermediar de securitate destinat sa descopere tentativele sau accesul
neautorizat in zona protejata si sa alerteze forta de securitate;
d) unui dispozitiv
interior de securitate destinat sa intarzie actiunile eventualilor intrusi si
sa ofere suficient timp pentru ca acestia sa fie retinuti de forta de
securitate.
3. Masuri de securitate
fizica
Art. 8. - (1)
Informatiile cu nivelul de clasificare UE CONFIDENTIEL sau superior se
gestioneaza numai in interiorul unei zone de securitate.
(2) Zona de securitate
reprezinta perimetrul delimitat, amenajat si protejat, special destinat
gestionarii informatiilor UE clasificate, care trebuie sa corespunda uneia
dintre urmatoarele categorii:
a) zona de securitate
clasa I, organizata astfel incat intrarea unei persoane intr-o asemenea zona
permite accesul direct la orice informatii UE clasificate gestionate aici, ca
urmare a modului specific de pastrare a acestora (expuse la vedere pe rafturi,
afisate pe pereti etc.) si care presupune:
(i) controlul tuturor
intrarilor si iesirilor;
(ii) un sistem de
control al intrarii care sa permita accesul doar acelor persoane care au
certificarea de securitate corespunzatoare si sunt special autorizate sa intre
intr-o asemenea zona;
(iii) specificarea
nivelurilor de clasificare ale informatiilor UE gestionate aici;
b) zona de securitate
clasa II, organizata astfel incat o persoana prezenta intr-o asemenea zona are
acces exclusiv la informatiile UE clasificate pentru care este autorizata, ca
urmare a modului specific de pastrare a acestora si care presupune:
(i) controlul tuturor
intrarilor si iesirilor;
(ii) un sistem de
control al intrarii care sa permita accesul neinsotit doar acelor persoane care
au certificare de securitate corespunzatoare si sunt special autorizate sa intre
intr-o asemenea zona. Pentru toate celelalte persoane trebuie sa existe reguli
de insotire pentru a se preveni accesul neautorizat la informatii UE
clasificate.
Art. 9. - (1) In jurul
zonelor de securitate poate fi stabilita o zona administrativa. O asemenea zona
implica un perimetru vizibil delimitat, in cadrul caruia sunt create conditii
pentru controlul persoanelor si al vehiculelor.
(2) Informatiile UE
clasificate gestionate in zona administrativa vor avea cel mult nivelul de
clasificare RESTREINT UE.
Art. 10. - Incintele in
care nu se lucreaza 24 de ore din 24 vor fi inspectate imediat dupa terminarea
programului de lucru, pentru a se verifica daca protectia informatiilor
clasificate este asigurata in mod corespunzator.
Art. 11. - (1) Pentru
eficientizarea sistemelor de paza si aparare impotriva patrunderii neautorizate
pot fi utilizate masuri de securitate fizica specifice (gardul de perimetru,
sisteme de detectare a intruziunilor - SDI, iluminat, televiziune cu circuit
inchis - TVCI).
(2) In cazurile in care
acest lucru este posibil, zona ce trebuie protejata va fi delimitata de un gard
de perimetru.
(3) Portile de acces
permanent trebuie sa ofere cel putin acelasi nivel de protectie ca si gardul;
celelalte porti vor fi incuiate si asigurate.
Art. 12. - Iluminatul
de securitate va fi realizat astfel incat sa ofere un grad mai mare de
detectare a unui potential intrus atat direct de catre paza, cat si indirect
prin intermediul sistemului TVCI.
Art. 13. - SDI vor fi
utilizate pentru a spori nivelul de securitate oferit de gard sau vor fi
folosite in camere si in cladiri pentru a ajuta sau a substitui personalul de
paza.
Art. 14. - TVCI va fi
utilizata pentru verificarea incintelor si a alarmelor SDI.
Art. 15. - Atunci cand
se folosesc SDI, TVCI sau alte dispozitive destinate supravegherii si
protectiei informatiilor UE clasificate, trebuie sa existe o sursa de
alimentare de rezerva.
Art. 16. - (1)
Controlul accesului personalului permanent in zonele de securitate se
efectueaza de personal de paza sau prin sisteme electronice, avandu-se in
vedere urmatoarele:
a) accesul fiecarui
angajat se realizeaza prin locuri anume stabilite, pe baza permisului de acces;
b) permisul de acces nu
va specifica in clar identitatea organizatiei emitente sau locul in care
detinatorul are acces;
c) permisele de acces
care acorda accesul fara escorta in interiorul zonelor de securitate in care
sunt manipulate sau depozitate informatii UE clasificate se emit numai
persoanelor care au certificare de securitate corespunzatoare; cererea pentru
acces in zona trebuie sa fie bine intemeiata si bazata pe principiul
"nevoia de a cunoaste".
(2) La nivelul fiecarei
persoane juridice care gestioneaza informatii UE clasificate se pot stabili
reguli suplimentare proprii privind accesul, cu respectarea prezentelor cerinte
minime.
Art. 17. - Accesul
vizitatorilor in zonele de securitate se realizeaza conform regulilor proprii
aprobate de conducatorul institutiei, tinand cont de certificarea de securitate
si cu aplicarea principiului "nevoia de a cunoaste", inregistrandu-se
datele personale ale vizitatorilor, precum si ora intrarii si iesirii acestora
prin punctele de control.
Art. 18. - (1) Pentru
accesul angajatilor agentilor economici contractanti care efectueaza lucrari de
constructii, reparatii si intretinere a cladirilor, instalatiilor sau
utilitatilor in zonele de securitate, conducatorii institutiilor beneficiare
vor elibera, pe baza actelor de identitate, la solicitarea reprezentantilor
autorizati ai agentilor in cauza, documente de acces temporar.
(2) Documentul de acces
temporar este valabil doar pe durata executarii lucrarilor si se restituie
emitentului la terminarea acestora.
Art. 19. - Accesul in
zonele de securitate al personalului insarcinat cu pastrarea curateniei se face
conform regulilor proprii stabilite de conducatorul institutiei beneficiare.
Art. 20. - Accesul
personalului care asigura intretinerea sistemelor de informatica si comunicatii
(SIC) se va realiza in conformitate cu prevederile Ordinului directorului
general al Oficiului Registrului National al Informatiilor Secrete de Stat nr.
488/2003 privind aprobarea Ghidului pentru elaborarea documentatiei cu
cerintele de securitate (DCS) pentru sisteme informatice si de comunicatii
(SIC) - DS1, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 866 din 5
decembrie 2003.
Art. 21. - Forta de
securitate va fi asigurata de structuri specializate ale autoritatilor publice
sau de societati autorizate de paza si protectie.
Art. 22. - Forta de
interventie rapida are rolul de a interveni in situatii de urgenta si poate fi
constituita din personal propriu sau poate fi asigurata pe baza de contract.
Art. 23. - Timpul de reactie
al fortei de interventie rapida se testeaza periodic si se mentioneaza in
Planul de securitate fizica.
Art. 24. - (1)
Sarcinile personalului permanent de paza, precum si necesitatea si frecventa
patrularilor vor fi stabilite in functie de nivelul riscului si de celelalte
sisteme sau echipamente de securitate instalate.
(2) In incintele in
care nu se lucreaza 24 de ore din 24, intervalul de timp dintre patrularile
efectuate in afara orelor de program nu va depasi doua ore.
(3) Personalul de paza
va primi instructiuni scrise cu privire la modul de indeplinire a atributiilor
specifice in cadrul institutiei respective si va fi inarmat, respectandu-se
legislatia in vigoare.
(4) Personalul de paza
care asigura paza incintelor in care sunt gestionate informatiile UE
clasificate trebuie sa detina certificare de securitate corespunzatoare
informatiilor gestionate in zona in care poate avea acces pentru indeplinirea
atributiilor ce ii revin.
Art. 25. - Birourile
sau zonele in care in mod uzual se poarta discutii in cadrul carora sunt
vehiculate informatii UE clasificate de nivel CONFIDENTIEL UE sau superior vor
fi protejate impotriva ascultarii neautorizate.
Art. 26. -
Echipamentele de telecomunicatii si echipamentele electrice sau electronice de
birou, de orice tip, folosite in timpul sedintelor in care se vehiculeaza
informatii clasificate de nivel CONFIDENTIEL UE sau superior, vor fi verificate
de catre unitati specializate la cererea structurii/functionarului de
securitate.
Art. 27. - Copiatoarele
si faxurile vor functiona in incaperile speciale de securitate, la ele avand
acces doar persoanele autorizate.
Art. 28. - (1)
Informatiile UE clasificate se pastreaza in incaperi speciale de securitate
si/sau containere speciale ori mobilier de birou.
(2) Dispozitiile
Ordinului directorului general al Oficiului Registrului National al
Informatiilor Secrete de Stat nr. 475/2005 privind aprobarea Cerintelor minime
de securitate fizica pentru incaperile speciale de securitate destinate
protectiei informatiilor NATO clasificate si a celor echivalente, potrivit
legii, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 1.035 din 22
noiembrie 2005, se aplica in mod corespunzator si in privinta incaperilor
speciale de securitate destinate protectiei informatiilor UE clasificate.
(3) Containerele
speciale se clasifica astfel:
a) clasa A, containere
autorizate la nivel national pentru depozitarea informatiilor TRES SECRET UE/UE
TOP SECRET in zone de securitate clasa I sau clasa II;
b) clasa B, containere
autorizate la nivel national pentru depozitarea informatiilor SECRET UE si
CONFIDENTIEL UE in zone de securitate clasa I sau clasa II;
c) clasa C, mobilier de
birou adecvat numai pentru depozitarea informatiilor RESTREINT UE.
Art. 29. - Incuietorile
folosite la containerele in care sunt pastrate informatii UE clasificate se
impart in 3 grupe, astfel:
a) grupa A, incuietori
autorizate pentru containerele din clasa A;
b) grupa B, incuietori
autorizate pentru containerele din clasa B;
c) grupa C, incuietori
pentru mobilierul de birou.
Art. 30. - Prevederile
Ordinului directorului general al Oficiului Registrului National al
Informatiilor Secrete de Stat nr. 443/2003 privind aprobarea Cerintelor minime
pentru containerele destinate protectiei informatiilor clasificate, pentru
mecanismele de inchidere, sistemele cu cifru si incuietorile acestora, publicat
in Monitorul Oficial al Romaniei, Partea I, nr. 781 din 6 noiembrie 2003,
completat prin Ordinul directorului general al Oficiului Registrului National
al Informatiilor Secrete de Stat nr. 182/2004, publicat in Monitorul Oficial al
Romaniei, Partea I, nr. 383 din 30 aprilie 2004, se aplica in mod corespunzator
si in privinta containerelor destinate protectiei informatiilor UE clasificate,
mecanismelor de inchidere, sistemelor cu cifru si incuietorilor acestora.
Art. 31. - (1)
Combinatiile cifrului si cheile de la containerele si incaperile speciale de
securitate trebuie protejate adecvat pentru a se evita intrarea acestora in
posesia unor persoane neautorizate.
(2) Cheile de la
containerele si incaperile de securitate se pastreaza intr-o zona de
securitate.
(3) Cheile de rezerva
se pastreaza de catre seful structurii/functionarul de securitate, care trebuie
sa tina evidenta utilizarii acestora. Ele se introduc in unul sau in mai multe
plicuri mate, care se sigileaza si se pastreaza intr-un container de securitate
prevazut cu incuietoare cu cifru.
Art. 32. - (1) In
cadrul zonelor de securitate pot fi stabilite zone sigure din punct de vedere
tehnic.
(2) Aceste zone vor fi
tinute incuiate atunci cand nu sunt ocupate, iar toate cheile vor fi
considerate chei de securitate.
(3) Zonele sigure din
punct de vedere tehnic vor fi inspectate periodic sau in urma unei intrari
neautorizate ori atunci cand exista suspiciuni privind o intrare neautorizata.
Art. 33. - Pentru
echipamentele si mobilierul din dotarea acestor zone se va pastra un inventar
detaliat care sa asigure urmarirea circulatiei acestora. Orice piesa de
mobilier sau echipament va fi introdusa intr-o asemenea zona numai dupa ce a
fost atent inspectata de catre personalul de securitate specializat in
detectarea dispozitivelor de ascultare. Ca regula generala, se va evita
instalarea liniilor de comunicatii in zonele securizate din punct de vedere
tehnic.
Art. 34. - Este
interzisa folosirea, in zonele sigure din punct de vedere tehnic, a telefonului
mobil si/sau a altor echipamente care pot fi utilizate pentru inregistrarea si
redarea informatiilor UE clasificate.
Art. 35. - (1) Toate
incaperile in care se gestioneaza sau in care este posibil accesul la
informatii UE clasificate vehiculate prin sisteme informatice si de comunicatii
(SIC) trebuie sa se afle intr-o zona de securitate.
(2) Toate SIC sau alte
medii de gestionare similare (servere, sisteme de retea etc.) in care se
gestioneaza informatii UE clasificate se instaleaza in incaperi speciale de
securitate, in conformitate cu nivelul de clasificare al informatiilor si cu
nevoile specifice de protectie a acestora.
(3) Masurile de
protectie a informatiilor UE clasificate gestionate in SIC se stabilesc prin
proceduri INFOSEC.
Art. 36. - (1) La
nivelul persoanelor juridice care gestioneaza informatii UE clasificate se
intocmeste Planul de securitate fizica, ce va cuprinde descrierea tuturor
masurilor de securitate fizica implementate pentru protectia acestor
informatii, structurat astfel:
a) delimitarea,
marcarea si configuratia zonelor de securitate;
b) sistemul de paza si
aparare;
c) sistemul de
avertizare si alarmare;
d) controlul accesului,
al cheilor si combinatiilor de cifru;
e) modul de actiune in
situatii de urgenta;
f) modul de raportare,
investigare si evidenta a incalcarii masurilor de securitate;
g) responsabilitatile
si modul de implementare a masurilor de pregatire si instruire pe linie de
securitate fizica;
h) responsabilitatile
si modalitatile de realizare a verificarilor, inspectiilor si controalelor
sistemului de securitate;
i) masuri suplimentare
de protectie fizica.
(2) In cazul in care la
nivelul persoanei juridice exista un plan de securitate al obiectivului pentru
protectia informatiilor clasificate, elaborat si implementat conform
legislatiei in vigoare, acesta va fi completat in mod corespunzator cu masurile
de securitate fizica specifice pentru protectia informatiilor UE clasificate.