Managementul documentelor clasificate

Managementul documentelor clasificate

Managementul documentelor clasificate este o activitate complexa care porneste de la operatia de clasificare a documentelor si continua pe linia pastrarii , gestionarii si prezervarii , prin masurile care se iau privind accesul la acestea , prin masurile de asigurare a unui spatiu corespunzator , prin procedurile de lucru cu documentele , prin modul de reactie in cazul unor incidente de securitate .

In Romania , in functie de domeniul de activitate si de aria de responsabilitate , s-au stabilit cateva autoritati care au structuri proprii si masuri specifice privind coordonarea si controlul activitatilor de protectie a informatiilor secrete de stat si acestea sunt : Ministerul Apararii Nationale , Ministerul Internelor si Reformei Administrative , Ministerul Justitiei , Serviciul Roman de Informatii , Serviciul de Informatii Externe , Serviciul de Protectie si Paza , Serviciul de Telecomunicatii Speciale . Astfel un obiectiv industrial poate intra in sfera de atributii a unei unitati desemnate de securitate sau a alteia in functie de tipul de informatii clasificate la care are acces . O firma de IT care presteaza servicii pentru Serviciul de Telecomunicatii Speciale , intra in sfera acestui serviciu in ceea ce priveste coordonarea activitatii de protectie a informatiilor , ceea ce inseamna ca functionarul de securitate din compartimentul de securitate a acelui obiectiv industrial va colabora cu persoanele desemnate de catre STS . La fel de bine , aceeasi firma de IT poate intra in sfera de coordonare a M.Ap.N , MIRA , SRI , SIE , SPP sau a Ministerului Justitiei , daca aceasta deruleaza contracte ce presupun un anumit nivel de secretizare .

Se observa ca exista o activitate de management asociata documentelor clasificate , dar ce sunt aceste documente , de catre cine se clasifica , care sunt clasificarile , pe ce perioade sunt facute si se pot contesta aceste clasificari

Documentul clasificat nu reprezinta informatia respectiva , ci suportul pe care aceasta se afla , care poate fi :

hartie ;

benzi magnetice , casete audio-video , microfilme ;

medii de stocare o sistemelor informatice ;

dipozitive de procesare portabile .

Un document poate fi clasificat , declasificat , mutat pe diferite trepte de clasificare , pe de-o parte in functie de impactul pe care l-ar avea asupra sigurantei nationale , apararii nationale , ordinii publice sau asupra unor societati divulgarea acelei informatii clasificate . Listele cu categoriile de documente clasificate sunt intocmite de catre autoritatile si institutiile publice si sunt aprobate sau , dupa caz , modificate prin hotarare de Guvern . Pe baza acestor liste , a ghidului de clasificare sunt atribuite apoi documentelor niveluri de clasificare . Pentru documentele care presupun o comasare a continutului altor documente fara nicio prelucrare , se atribuie nivelul de clasificare cel mai inalt dintre nivelurile fiecarui document luat individual , daca insa s-au realizat prelucrari a informatiilor poate rezulta un document superior , ca si clasificare , vechilor documente . Rezumatele , traducerile si extrasele beneficiaza de aceleasi niveluri de clasificare ca si documentele la care fac referire .

Documentele sunt clasificate in secrete de serviciu si secrete de stat , acestea din urma impartindu-se in : secrete , strict secrete si strict secrete de importanta deosebita . Conform terminologiei NATO avem urmatoarea corespondeta :

secret de serviciu = NATO restricted ;

secret  = NATO confidential ;

strict secret = NATO secret ;

strict secret de importanta deosebita = NATO top secret .

Secretele de serviciu sunt acele secrete care , desi nu se incadreaza in categoria secretelor de stat , ar aduce prejudicii bunei functionari a unitatii .

Secretele de stat sunt clasificate din punctul de vedere al duratei astfel :

pana la 30 de ani , documentele secrete ;

pana la 50 de ani , documentele strict secrete ;

pana la 100 de ani , documentele strict secrete de importanta deosebita .

In ceea ce priveste nivelul si perioada de clasificare , trebuie spus ca pot fi contestate de catre persoanele fizice si juridice romane in contencios administrativ .

La nivelul unitatilor care detin informatii clasificate , in functie de volumul acestora exista un functionar de securitate sau o structura de securitate cu atributii specifice pe linia protectiei informatiilor clasificate . Functionarul de securitate sau conducatorul structurii de securitate indeplineste si functia de adjunct al sefului de unitate sau de membru al consiliului de administratie . Fisa postului functionarului de securitate este intocmita de catre seful unitatii si trebuie sa prevada o serie de atributii specifice . Printre indatoririle functionarului de securitate enumar : intocmirea unui plan de protectie a informatiilor clasificate inaintat spre aprobare sefului unitatii , consilierea sefului unitatii cu privire la problemele specifice lucrului cu documente clasificate , inaintarea spre avizare a planului de masuri institutiei cu sarcini in coordonarea masurilor de protectie , instruirea persoanelor care au acces la informatii clasificate , ajutarea institutiei de coordonare in verificarea legala a persoanelor care solicita accesul la documente clasificate , participarea functionarului de securitate la programe de pregatire organizate de catre institutia desemnata cu controlul masurilor de protectie , tine evidenta certificatelor de securitate si a autorizatiilor de acces la informatii clasificate , obligatia detinerii de catre functionarul de securitate a unui certificat de securitate corespunzator celui mai inalt grad de clasificare care se regaseste in randul documentelor avute in evidenta .

Pentru protectia documentelor clasificate se iau cateva tipuri de masuri : de protectie juridica , de protectie prin masuri procedurale , de protectie fizica si de protectie a personalului .

Protectia juridica se refera la o serie de aspecte . Astfel , conducatorul unitatii trebuie sa ofere conditiile ca persoanele care gestioneaza documente clasificate sa ia cunostinta de reglementarile in vigoare , in caz de incident , trebuie instiintata institutia cu rol de coordonare si control , prin cel mai operativ sistem de comunicare , asupra continutului documentelor , nivelului de clasificare , numarului de exemplare , numarului de inregistrare , datei la care s-a intamplat compromiterea si duratei . Instiintarea institutiilor de control si coordonare se face in scopul recuperarii documentelor , evaluarii situatiei si diminuarii sau chiar inlaturarii riscurilor . Pentru prejudiciile aduse detinatorului de informatii secrete de stat , se pot solicita despagubiri , conform dreptului civil .

Protectia prin masuri procedurale are in vedere normele interne de lucru , care sunt cuprinse si in planul de prevenire a scurgerilor de informatii , supus avizarii institutiei cu rol de control si verificare . Angajamentul de confidentialitate , face si el parte din randul masurilor procedurale cu rol in cresterea securitatii .

Protectia fizica abordeaza o serie de aspecte legate de zonele de securitate , permisele de acces si recunoasterea individuala , controalele planificate si inopinate , insemnele si echipamentele specifice , accesul in interiorul unitatii a agentilor economici care efectueaza lucrari , a reprezentantilor institutiilor de control sau a persoanelor care solicita angajarea , fac reclamatii sau sesizari , planul de paza si aparare , containerele de clasa A sau B , incaperile de securitate , cheile si combinatiile incuietorilor , incaperile protejate impotriva ascultarii .

In primul rand masurile de protectie fizica , cum ar fi patrulele de securitate , sistemele automate de supraveghere , gratiile la ferestre , incuietorile , dispozitivele de alarmare , mijloacele de aparare impotriva ascultarii , se iau in functie de cladire si amplasament , de containere , de nivelul de secretizare si de volumul documentelor .

Locurile in care sunt manipulate documentele trebuie sa corespunda caracteristicilor uneia din cele doua tipuri de zone : zone de securitate clasa I sau zone de securitate clasa II . Zona de securitate clasa I , este acea zona in care intra doar persoanele care sunt autorizate a avea acces la informatii strict secrete de importanta deosebita sau strict secrete , spatiul este clar delimitat si exista paza in locurile de acces , paza care verifica daca persoana care solicita sa intre are autorizatia necesara tipului de documente . Sunt indicate clasa si nivelul de secretizare .

Zona de securitate clasa II presupune si ea o delimitare clara a perimetrului , verificarea persoanelor care solicita sa intre , din punct de vedere al autorizatiei corespunzatoare . Pot intra insotite , in anumite conditii , si persoanele care nu au autorizatia de acces la informatii clasificate . Aceasta clasa de zone indica gestionarea de informatii cu caracter secret .

Zonele de securitate este indicat sa fie inconjurate de un spatiu administrativ care sa permita verificarea persoanelor si automobilelor .

Intrarea in aceste zone se face in baza unui permis de acces sau printr-un sistem de recunoastere individuala . Evidenta legitimatiilor , permiselor si a altor insemne este tinuta de catre functionarul/structura de securitate .In cazul in care se pierde o legitimatie , un permis sau un insemn , se anunta imediat seful ierarhic , se dispune investigarea imprejurarilor in care s-a produs acest lucru , se anunta acest fapt institutiei de control si coordonare si se iau masurile necesare ca acel permis sau insemn sa nu poata fi folosit . Aceste permise de acces in zonele de securitate se individualizeaza prin semne destincte , sunt semnate de catre conducatorul unitatii , au valabilitate de 6 luni iar la incetarea contractului de munca acestea se retrag si se anuleaza .

Pe langa personalul unitatii , sunt situatii in care trebuie sa patrunda si persoane din afara cum este cazul celor care lucreaza pentru agenti economici care efectueza lucrari in incinta sau cum este cazul persoanelor desemnate de catre institutia de control . Astfel , in cazul agentilor economici , la propunerea reprezentantilor legali ai acestora se va elibera de catre conducatorii unitatii , pe baza actelor de identitate , permise temporare de acces care vor fi vizate o data la 3 luni . La terminarea lucrarilor , aceste permise se restituie unitatii iar in cazul pierderii lor structura/functionarul de securitate va lua masuri ca permisele pierdute sa nu poata fi folosite .

Persoanele care apartin institutiilor de control si coordonare prezinta pentru acces legitimatia de serviciu si delegatia speciala semnata de conducatorului institutiei pe care o reprezinta .

Alaturi de persoanele enumarate mai sus pot exista si alte categorii de persoane care sa aiba acces : persoane aflate in stagiu de documentare , persoane care solicita angajarea , persoane care fac sesizari , etc .

Documentele se pot pastra in containere securizate sau in incaperi securizate . Containerele pot fi de doua tipuri : containere clasa A si containere clasa B . Containerele clasa A sunt containere autorizate la nivel national pentru a pastra informatiile stricte secrete de importanta deosebita , in zonele de securitate clasa I . Containerele clasa B sunt containere autorizate la nivel national pentru a pastra informatiile secrete si strict secrete in zonele de securitate clasa I si clasa II .

Conditiile care trebuie indeplinite de aceste doua tipuri de containere sunt stabilite de catre ORNISS . Incaperile de securitate sunt spatii in care documentele pot fi pastrate pe rafturi , intrucat incaperile respective indeplinesc conditiile respectate si in cazul containerelor , conform normelor ORNISS . Plafoanele , peretii , podelele , usile , incuietorile respecta normele aprobate pentru categoria de containere corespunzatoare , functie de nivelul de secretizare .

Incuietorile se impart in 3 categorii : grupa A , grupa B , grupa C . Grupa A este data de incuietorile containerelor clasa A , grupa B de incuietorile containerelor clasa B iar grupa C de incuietorile mobilierului de birou . De asemenea , standardele pentru incuietori si cifruri sunt date de catre ORNISS .

Cheile sunt pastrate , la terminarea programului , in zonele de securitate sub paza . Ele sunt lasate si ridicate sub semnatura . Conducerea decide pastrarea sub paza corespunzatoare si a unui rand suplimentar de chei dar si a combinatiilor de cifru pentru situatii deosebite . Cheile si combinatiile de cifru se schimba cand apar fluctuatii de personal , atunci cand se considera ca au aparut situatii care au creat vulnerabilitati si oricum periodic , la intervale cuprinse intre 6 si 12 luni .

Documentele sunt protejate si prin sistemele de alarmare care trebuie sa prezinte si o sursa independenta de energie , trebuie sa indice orice interventie neautorizata asupra sistemului de alarmare si trebuie sa identifice orice incercare de strapungere a peretilor , tavanelor , podelelor si orice miscare in spatiul respectiv .

Un alt factor fata de care trebuie sa se ia masuri de protectie este ascultarea , care poate fi activa sau pasiva . Protectia impotriva ascultarii pasive se realizeaza prin izolarea fonica a spatiilor . Protectia impotiva ascultarii active are in vedere dispozitive care pot fi implantate cum ar fi microfoanele si radio-emitatorii . Acest al doilea tip de protectie se realizeaza de unitati speciale . Incaperile protejate impotriva ascultarii sunt verificate cu prioritate . Se vor efectua controale periodice dar si cand exista suspiciuni in ceea ce priveste accesul neautorizat in acea incapere sau cand se efectueaza lucrari de intretinere cum este cazul cand se face o noua zugraveala . Niciun obiect nu poate intra in acest spatiu fara a fi verificat de catre personalul specializat .

Exista si zone speciale in care se pot purta discutii confidetiale si care , in principiu , nu sunt dotate cu telefoane iar daca acestea sunt necesare , se are grija ca acestea sa aiba si un mecanism de deconectare pasiva . Inaintea oricarei convorbiri se executa o verificare fizica si tehnica care are scopul identificarii oricarui mijloc care ar putea afecta confidentialitatea .

Legat de structura personalului de paza , trebuie spus ca acesta trebuie , la randul lui , sa detina certificate corespunzatoare nivelurilor de secretizare a informatiilor cu care lucreaza .

Protectia personalului are in vedere prevenirea accesului neautorizat la informatii clasificate , acordarea certificatelor de securitate si a autorizatiilor de acces pe baza principiului necesitatii de a cunoaste si identificarea persoanelor prin a caror actiune sau inactiune se pune in pericol securitatea informatiilor .

Aspectele cuprinse in acest cadru mai larg al protectiei personalului sunt : selectionarea , avizarea si autorizarea accesului la informatiile secrete de stat , revalidarea , controlul si instruirea personalului , retragerea certificatului de securitate sau a autorizatiei de acces .

Procedura de avizare , de obtinere a certificatului de securitate sau a autorizatiei de acces este urmatoarea : conducatorul unitatii va solicita avizul ORNISS , solicitare insotita de o serie de formulare tipizate completate de persoana pentru care se solicita si de acordul scris al acesteia privind verificarile care urmeaza sa se faca , ORNISS trimite solicitarea , in termen de 7 zile , catre autoritatea competenta a face verificarile , alaturi de formularele completate de catre candidat , autoritatea de verificare isi desfasoara atributiile specifice si transmite rezultatul catre ORNISS in termen de 30 de zile lucratoare in cazul avizelor de acces la informatii secrete , 60 de zile lucratoare in cazul avizelor de acces la informatii strict secrete si 90 de zile pentru cele strict secrete de importanta deosebita , pe baza acestui rezultat ORNISS ia , in termen de 7 zile , o decizie in trei exemplare , un exemplar este trimis catre autoritatea care a efectuat verificarile si unul catre unitatea solicitanta , in cazul unei decizii favorabile , unitatea solicitanta emite certificatul de securitate sau autorizatia de acces in doua exemplare cu valoare de original , unul este trimis catre ORNISS care informeaya mai departe si autoritatea care a realizat verificarea .

Verificarile de securitate se realizeaza , in functie de competente , de catre Serviciul Roman de Informatii , Ministerul Internelor si Reformei Administrative , Ministerul Apararii Nationale , Ministerul Justitiei , Serviciul de Informatii Externe , Serviciul de Telecomunicatii Speciale sau Serviciul de Protectie si Paza .

Autoritatile care realizeaza verificari coopereaza , atunci cand situatiile impun , in desfasurarea atributiilor , pe baza unor protocoale existente intre ele .

In functie de nivelul informatiilor la care se solicita accesul verificarea are in atentie urmatoarele elemente :

se verifica registrele de stare civila pentru a stabili cu exactitate identitatea persoanei ;

se verifica situatia cazierului judiciar , situatia de la Registrul Comertuilui dar si alte evidente ;

se stabileste nationalitatea prezenta dar si situatia anterioara in aceasta directie ;

se compara documentele , privind pregatirea persoanei , dobandite incepand cu varsta de 18 ani cu situatia concreta ;

evaluarea conduitei la locul actual de munca dar si la cele anterioare ;

se realizeaza discutii cu persoane care pot da detalii privind trecutul persoanei vizate ;

se exploreaza conduita de pe timpul satisfacerii stagiuliu militar ;

vulnerabilitati asociate unor eventuale presiuni din strainatate ;

situatia financiara a persoanei ;

se verifica daca a facut parte din organizatii neconforme cu ordinea de drept .

In cazul in care persoana in cauza detine certificat de securitate/autorizatie de acces la informatii nationale clasificate , se poate acorda , elibera si un certificat de securitate pentru acces la informatii NATO clasificate , daca este vorba de niveluri similare de securitate . Daca se solicita o certificare pentru o categorie superioara de informatii , se vor relua verificarile specifice pentru acea categorie . Certificatul NATO emis pentru aceeasi categorie de informatii este valabil pana la expirarea certificatului initial .

Certificatul de securitate/autorizatia de acces isi inceteaza valabilitatea dupa 4 ani , perioada in care pot interveni noi verificari dar poate fi si cazul anularii certificatului sau autorizatiei .

Certificatul de securitate/autorizatia de acces poate sa-si inceteze valabilitatea prin decizia conducatorului unitatii , la cererea ORNISS , la solicitarea autoritatii de verificare , la plecarea din unitate sau cand preschimba certificatul/autorizatia pentru a obtine accesul la o categorie superioara de informatii .

Bibliografie :

Hotarare nr 353/2002 pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania ;

Hotarare nr 585/2002 pentru aprobarea standardelor nationale de protectie a informatiilor clasificate in Romania ;

Legea nr 182/2002 privind protectia informatiilor clasificate , modificata prin Ordonanta de urgenta 16/2005