ORDIN Nr.
491 din 21 decembrie 2005
al directorului general al Oficiului Registrului National al Informatiilor
Secrete de Stat pentru aprobarea Cerintelor minime pentru protectia
informatiilor UE clasificate care fac obiectul activitatilor contractuale
ACT EMIS DE: OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR
SECRETE
ACT PUBLICAT IN: MONITORUL OFICIAL NR. 20 din 10 ianuarie 2006
În temeiul art. II din Legea nr. 343/2005 pentru modificarea si completarea
Ordonantei de urgenta a Guvernului nr.153/2002 privind organizarea si
functionarea Oficiului Registrului National al Informatiilor Secrete de Stat,
directorul general al Oficiului Registrului National al Informatiilor
Secrete de Stat emite prezentul ordin.
Articol unic. - Se aproba Cerintele minime pentru protectia informatiilor
UE clasificate care fac obiectul activitatilor contractuale, prevazute în anexa
care face parte integranta din prezentul ordin.
Directorul general al Oficiului Registrului National al Informatiilor
Secrete de Stat,
Marius Petrescu
ANEXA
CERINTELE MINIME
pentru protectia informatiilor UE clasificate care fac obiectul
activitatilor contractuale
CAPITOLUL I
Dispozitii generale
Art. 1. - Oficiul Registrului National al Informatiilor Secrete de Stat
(ORNISS), în calitate de autoritate nationala de securitate (ANS), asigura
implementarea unitara, la nivel national, a politicilor de protectie a
informatiilor UE clasificate care fac obiectul activitatilor contractuale, prin
exercitarea atributiilor de reglementare, autorizare, evidenta si control.
Art. 2. - (1) Informatiile UE clasificate, gestionate în cadrul
activitatilor contractuale, sunt protejate potrivit prezentelor cerinte,
elaborate conform standardelor minime si principiilor cuprinse în documentele
UE privind politica de securitate.
(2) Prezentele cerinte se aplica obiectivelor industriale care desfasoara
sau urmeaza sa desfasoare activitati contractuale care implica accesul la
informatii UE clasificate de nivel CONFIDENTIEL sau superior.
Art. 3. - În sensul prezentelor cerinte, termenii urmatori se definesc
astfel:
a) anexa de securitate (AS) - documentul elaborat de
contractantul/subcontractantul care pune la dispozitia celeilalte parti
informatii UE clasificate si care cuprinde cerintele de securitate specifice
contractului;
b) certificat de securitate industriala UE (CSI-UE) documentul eliberat de
ORNISS sau de autoritatea competenta a unui stat membru UE, care atesta ca, din
punct de vedere al securitatii, un obiectiv industrial asigura masuri adecvate
de protectie a informatiilor UE clasificate de un anumit nivel, iar personalul
care necesita acces la informatii UE clasificate a fost verificat si instruit
în ceea ce priveste reglementarile de securitate si este autorizat
corespunzator;
c) contract/subcontract clasificat - contractul încheiat în conditiile
legii, în cadrul caruia este necesar accesul la informatii UE clasificate sau
sunt generate astfel de informatii;
d) contractant/subcontractant - obiectivul industrial parte a unui
contract/subcontract clasificat;
e) lista clasificarilor de securitate (LCS) - documentul cuprinzând
categoriile de informatii UE clasificate, gestionate în cadrul contractului,
precum si nivelurile de clasificare atribuite acestora;
f) obiectiv industrial - persoana juridica ce desfasoara activitati de
producere/furnizare de bunuri, prestare de servicii sau executie de lucrari în
domeniul industrial, comercial, stiintific sau de cercetare-dezvoltare;
g) securitate industriala - ansamblul masurilor si procedurilor de
protectie a informatiilor UE clasificate, aplicabile obiectivelor industriale
care desfasoara sau urmeaza sa desfasoare activitati contractuale care implica
accesul la astfel de informatii, în scopul prevenirii pierderii, compromiterii
sau divulgarii neautorizate, precum si identificarii si recuperarii celor
compromise ori pierdute si reducerii consecintelor.
Art. 4. - În domeniul securitatii industriale, în conformitate cu
prevederile Ordonantei de urgenta a Guvernului nr.153/2002 privind organizarea
si functionarea Oficiului Registrului National al Informatiilor Secrete de
Stat, aprobata prin Legea nr. 101/2003, cu modificarile si completarile
ulterioare, ORNISS are urmatoarele atributii principale:
a) stabileste, pe baza principiilor generale si standardelor minime de
securitate ale UE, masurile si procedurile de protectie a informatiilor UE
clasificate care fac obiectul activitatilor contractuale;
b) stabileste strategia si coordoneaza implementarea unitara la nivel
national a masurilor si procedurilor de protectie a informatiilor UE
clasificate care fac obiectul activitatilor contractuale;
c) elibereaza CSI-UE obiectivelor industriale cu sediul în România,
implicate în negocierea/derularea contractelor care presupun accesul la
informatii UE clasificate;
d) avizeaza AS la contractele/subcontractele clasificate, elaborate de
contractanti/subcontractanti cu sediul în România, în conformitate cu
prevederile legale în vigoare;
e) monitorizeaza, cu sprijinul autoritatilor desemnate de securitate (ADS),
respectarea cerintelor de securitate ce trebuie îndeplinite de catre un
obiectiv industrial pentru negocierea si derularea contractelor clasificate;
f) gestioneaza la nivel national evidentele privind:
- obiectivele industriale detinatoare de CSI-UE;
- persoanele fizice autorizate pentru acces la informatii UE clasificate în
procesul de negociere, încheiere si derulare a unui contract clasificat;
g) colaboreaza cu structurile de securitate ale UE si ale statelor membre
UE si comunica, la cererea acestora, obiectivele industriale care detin CSI-UE
sau initiaza procedura de eliberare a acestora;
h) solicita autoritatilor de securitate competente din statele membre UE
informatii privind eliberarea CSI-UE pentru persoanele juridice straine
implicate în contracte clasificate;
i) coordoneaza si participa la activitatile de control privind protectia
informatiilor UE clasificate, gestionate în cadrul activitatilor contractuale;
j) coordoneaza activitatile de transport international al materialelor UE
clasificate, potrivit normelor în vigoare;
k) asigura, la cerere, consultanta de specialitate obiectivelor industriale
în vederea implementarii cadrului legal în domeniul protectiei informatiilor UE
clasificate;
l) desfasoara activitati de pregatire a personalului cu atributii pe linia
protectiei informatiilor UE clasificate, în cadrul activitatilor contractuale
derulate în România care presupun accesul la astfel de informatii.
Art. 5. - Potrivit competentelor legale, în domeniul securitatii
industriale, ADS:
a) la solicitarea ORNISS, efectueaza verificarile de securitate necesare
acordarii avizului de securitate si comunica ORNISS rezultatul acestora;
b) monitorizeaza respectarea conditiilor de securitate care au stat la baza
avizului de securitate;
c) investigheaza cazurile în care s-au semnalat încalcari ale reglementarilor
de securitate, distrugeri, disparitii, dezvaluiri neautorizate de informatii UE
clasificate, diseminate sau produse în cadrul unui contract clasificat, si
prezinta concluziile investigatiilor ORNISS;
d) informeaza imediat ORNISS în cazul constatarii unor riscuri de
securitate sau vulnerabilitati cu privire la protectia informatiilor UE
clasificate si propune masurile necesare.
CAPITOLUL II
Cerinte de securitate privind negocierea si derularea
contractelor/subcontractelor clasificate
Art. 6. - Certificarea de securitate a unui obiectiv industrial în ceea ce
priveste protectia informatiilor UE clasificate, vehiculate în cadrul
activitatilor contractuale, are ca scop:
a) prevenirea accesului persoanelor neautorizate la informatii UE
clasificate;
b) garantarea accesului la informatii UE clasificate în conformitate cu
principiul "necesitatii de a cunoaste";
c) identificarea persoanelor care pot pune în pericol informatiile UE
clasificate si interzicerea accesului acestora la acest tip de informatii;
d) garantarea faptului ca obiectivul industrial are capacitatea de a
proteja informatiile UE clasificate în procesul de negociere, respectiv de
derulare a contractului clasificat.
Art. 7. - (1) Pentru a participa la procedurile de atribuire, respectiv de
derulare a unui contract/subcontract clasificat de nivel CONFIDENTIEL sau
superior, obiectivul industrial trebuie sa detina CSI-UE corespunzator
nivelului de clasificare al informatiilor UE vehiculate în cadrul negocierii,
respectiv al derularii contractului.
(2) Accesul la informatii UE clasificate în procesul de negociere si
derulare a contractelor clasificate se va acorda, cu respectarea principiului
"necesitatii de a cunoaste", numai reprezentantilor obiectivelor
industriale autorizati potrivit reglementarilor în vigoare.
Art. 8. - (1) Un contractant/subcontractant nu poate subcontracta
executarea totala sau partiala a contractului/subcontractului clasificat fara
autorizarea scrisa a contractantului/subcontractantului care pune la dispozitie
sau împreuna cu care sunt generate informatiile UE clasificate.
(2) Daca autoritatea competenta a UE a impus restrictii pentru atribuirea
de contracte clasificate în unele state membre UE, negocierea cu subcontractanti
din aceste state se va face dupa obtinerea prealabila a permisiunii autoritatii
competente a UE, prin intermediul ORNISS.
(3) Contractele/subcontractele clasificate cu obiective industriale din
state nemembre UE se vor încheia numai cu autorizarea scrisa a autoritatii
competente a UE.
Art. 9. - (1) Contractantii/subcontractantii detinatori de informatii UE
clasificate raspund de protectia acestora potrivit legislatiei nationale în
vigoare, precum si conditiilor impuse prin AS.
(2) Contractele/subcontractele clasificate vor fi însotite de AS, care
trebuie sa includa si LCS.
(3) Contractantii/subcontractantii cu sediul în România sunt obligati sa
notifice ORNISS intentia de a contracta/subcontracta activitati aferente unui
contract/subcontract clasificat.
(4) Pentru derularea contractelor/subcontractelor clasificate, încheiate de
contractantii/subcontractantii cu sediul în România, AS trebuie avizata de
ORNISS.
CAPITOLUL III
Procedura de eliberare a CSI-UE
Art. 10. - (1) Pentru a i se elibera CSI-UE, un obiectiv industrial trebuie
sa îndeplineasca urmatoarele cerinte:
a) sa nu prezinte riscuri de securitate;
b) sa fie stabil din punct de vedere economic;
c) personalul implicat în negocierea/derularea contractului clasificat sa
fie autorizat pentru acces la informatii UE clasificate de nivel corespunzator;
d) sa aiba implementate masuri de securitate fizica si a informatiilor;
e) sa aiba implementate masuri de securitate a informatiilor vehiculate în
mediu electronic - INFOSEC;
f) sa nu fi înregistrat incidente de securitate cu implicatii grave din
punct de vedere al securitatii informatiilor clasificate;
g) sa fi respectat obligatiile asumate în cadrul tuturor contractelor
clasificate derulate anterior.
(2) Implementarea cerintelor prevazute la alin. (1) lit. d) si e) este
necesara daca negocierea sau derularea contractului/subcontractului clasificat
impune procesarea sau stocarea informatiilor UE clasificate în locatii si/sau
prin sisteme informatice si de comunicatii ale obiectivului industrial
solicitant, dupa caz, în conformitate cu reglementarile în vigoare.
Art. 11. - (1) Pentru obiectivele industriale cu sediul în România, CSI-UE
se elibereaza de catre ORNISS la solicitarea reprezentantilor legali ai
acestora.
(2) Un obiectiv industrial poate solicita eliberarea CSIUE daca face dovada
ca urmeaza sa participe la negocierea sau la derularea unui
contract/subcontract clasificat.
(3) În vederea initierii procedurii de eliberare a CSI-UE solicitantul va
depune la ORNISS urmatoarele documente: cererea de eliberare a CSI-UE (anexa
nr. 1), chestionarul de securitate industriala (anexa nr. 2), lista cu
personalul propriu implicat în negocierea/derularea contractului clasificat si
care are acces la informatii UE clasificate, precum si documentul din care sa
rezulte ca obiectivul industrial urmeaza sa fie implicat în activitati
contractuale în care se vehiculeaza informatii UE clasificate.
Art. 12. - (1) Dupa primirea cererii de eliberare a CSI-UE, ORNISS va
solicita ADS competente efectuarea verificarilor de securitate si eliberarea
avizului de securitate.
(2) Avizul de securitate eliberat de ADS competenta garanteaza îndeplinirea
cerintelor mentionate la art. 10 alin. (1) lit. a), b) si c).
(3) Avizul de securitate va fi însotit de o sinteza a verificarilor de
securitate, în vederea fundamentarii deciziei ORNISS privind eliberarea CSI-UE.
(4) Termenul de eliberare a avizului de securitate de catre ADS este de 45
de zile lucratoare de la primirea solicitarii.
Art. 13. - (1) ORNISS elibereaza CSI-UE daca sunt îndeplinite cerintele de
securitate industriala necesare asigurarii protectiei informatiilor UE pentru
nivelul de clasificare corespunzator.
(2) Daca prezinta relevanta pentru fundamentarea deciziei de eliberare,
ORNISS este abilitat sa solicite informatiile necesare de la conducatorii
autoritatilor si ai institutiilor publice, ai agentilor economici cu capital
integral sau partial de stat si ai altor persoane juridice de drept public sau
privat.
(3) Decizia de eliberare a CSI-UE are la baza avizul de securitate al ADS
competente, evaluarea sintezei de securitate comunicate de aceasta, rezultatele
inspectiilor de securitate efectuate de ORNISS/ADS si analiza altor documente
solicitate în conformitate cu prevederile alin. (2).
(4) Când sunt semnalate elemente care nu constituie riscuri de securitate,
dar sunt relevante din punctul de vedere al securitatii, în luarea deciziei de
eliberare a CSIUE vor prima interesele de securitate.
(5) Termenul de eliberare a CSI-UE sau de comunicare a deciziei de
respingere a cererii este de 60 de zile lucratoare de la depunerea acesteia.
Art. 14. - (1) CSI-UE este valabil pe o perioada de 3 ani de la data
eliberarii.
(2) ORNISS, cu sprijinul ADS, este abilitat sa monitorizeze respectarea, pe
toata perioada de valabilitate a CSI-UE, a masurilor de securitate existente la
momentul eliberarii si poate decide asupra mentinerii sau retragerii acestuia.
(3) Dupa retragerea CSI-UE, obiectivul industrial pierde dreptul de a
gestiona informatii UE clasificate. În vederea eliberarii unui nou CSI-UE, este
necesara reluarea procedurii prevazute în prezentul capitol.
(4) Modelul CSI-UE este prezentat în anexa nr. 3 (în limba româna) si în
anexa nr. 4 (în limba engleza).
Art. 15. - (1) Autorizarea personalului obiectivului industrial care
urmeaza sa participe la negocierea/derularea contractelor clasificate se face
în conformitate cu prevederile referitoare la securitatea personalului si cu
prezentele cerinte.
(2) Reprezentantii legali ai obiectivelor industriale cu sediul în România
sunt obligati sa solicite ORNISS autorizarea personalului propriu care urmeaza
sa aiba acces la informatii UE clasificate în cadrul procedurii de negociere
sau de derulare a contractului/subcontractului clasificat.
(3) Cererile privind autorizarea personalului vor specifica denumirea si
obiectul contractului/subcontractului clasificat, precum si nivelul de
clasificare a informatiilor UE la care personalul obiectivului industrial va
avea acces.
Art. 16. - (1) În situatia în care un obiectiv industrial detine certificat
de securitate industriala NATO sau autorizatie/certificat de securitate
industriala pentru informatii clasificate nationale, i se poate elibera CSI-UE
de nivel echivalent, daca personalul implicat în negocierea si în derularea
contractului clasificat este autorizat pentru acces la informatii UE
clasificate si sunt respectate prevederile art. 10 alin. (2).
(2) ORNISS va informa ADS competenta în cazul CSIUE în conditiile prevazute
la alin. (1).
Art. 17. - (1) Vizitele care implica accesul la informatii UE clasificate,
efectuate de reprezentanti ai contractantilor/subcontractantilor la obiective
industriale implicate în contracte/subcontracte clasificate, vor fi notificate
în prealabil la ORNISS.
(2) Notificarea prevazuta la alin. (1) va contine urmatoarele informatii:
a) datele de identificare ale vizitatorului: numele, prenumele, data si
locul nasterii, nationalitatea, numarul pasaportului/cartii de identitate;
b) calitatea în care efectueaza vizita, precum si denumirea
institutiei/companiei/organizatiei pe care vizitatorul o reprezinta sau din
care face parte;
c) scopul vizitei;
d) confirmarea ca vizitatorul este autorizat sa aiba acces la informatii UE
clasificate la nivel cel putin egal cu cel al informatiilor pe care urmeaza sa
le acceseze;
e) denumirea si adresa obiectivului industrial care urmeaza a fi vizitat;
f) data sosirii si cea a plecarii.
Art. 18. - Obiectivul industrial detinator de CSI-UE nu va face public
statutul sau de securitate prin activitati promotionale sau prin alte mijloace
de aceasta natura. Respectarea acestei cerinte va fi avuta în vedere la
fundamentarea deciziei prevazute la art. 14 alin. (2).
CAPITOLUL IV
Transportul international al materialelor UE clasificate care fac obiectul
activitatilor contractuale
Art. 19. - (1) Transportul international al materialelor UE clasificate se
face potrivit prevederilor Ordonantei Guvernului nr.52/2005 privind organizarea
si desfasurarea activitatii de curierat pentru materialele NATO clasificate,
aprobata si modificata prin Legea nr. 342/2005.
(2) Transportul international al materialelor UE clasificate se face cu
respectarea urmatoarelor principii generale:
a) securitatea materialelor UE clasificate va fi asigurata în toate etapele
transportului si în toate conditiile, de la punctul de plecare pâna la destinatia
finala;
b) masurile de protectie aplicabile pe parcursul transportului vor fi
determinate de cel mai înalt nivel de clasificare al materialelor continute;
c) atunci când este necesar, companiile transportatoare vor fi certificate
din punct de vedere al securitatii industriale. În acest caz personalul acestor
companii, implicat în manipularea si transportul materialelor UE clasificate,
va fi autorizat în conformitate cu prevederile referitoare la accesul
persoanelor la informatii UE clasificate;
d) toate etapele transportului vor fi planificate si vor fi realizate în
cel mai scurt timp posibil permis de conditiile de transport;
e) rutele de transport vor fi alese astfel încât sa tranziteze numai
teritoriile statelor membre UE. Transportul pe rute care traverseaza
teritoriile statelor nemembre UE se va face numai dupa autorizarea acestuia de
catre autoritatea competenta din statul expeditorului/destinatarului, dupa caz;
f) înaintea efectuarii unui transport de materiale UE clasificate,
expeditorul trebuie sa elaboreze Planul de transport, aprobat de autoritatile
competente implicate.
CAPITOLUL V
Activitatea de control
Art. 20. - Toate obiectivele industriale care desfasoara activitati
contractuale în care se gestioneaza informatii UE clasificate sau care se afla
în faza de certificare de securitate industriala vor fi incluse în programe de
control.
Art. 21. - (1) ORNISS coordoneaza activitatea de control la obiectivele
industriale solicitante sau detinatoare de CSI-UE.
(2) Activitatea de control are drept scop:
a) evaluarea eficientei masurilor de protectie a informatiilor UE
clasificate, implementate la nivelul obiectivului industrial;
b) identificarea vulnerabilitatilor existente în sistemul de protectie a
informatiilor UE clasificate, care ar putea conduce la compromiterea acestor
informatii, în vederea adoptarii masurilor de prevenire necesare;
c) constatarea cazurilor de nerespectare a prevederilor legale privind
protectia informatiilor UE clasificate.
(3) Obiectivul industrial solicitant sau detinator de CSIUE are obligatia
de a asigura desfasurarea în conditii optime a activitatii de control prin
facilitarea accesului reprezentantilor ORNISS/ADS în locatiile/sediile acestuia
si prin furnizarea, la cerere, a documentelor relevante, daca se considera
necesar pentru evaluarea masurilor de protectie a informatiilor UE clasificate,
gestionate în cadrul activitatilor contractuale.
Art. 22. - Anexele nr. 1-4 fac parte integranta din prezentele cerinte.