I. Consideraţii generale. Definirea informaţiei clasificate compromise şi a incidentului de securitate
Punctul de plecare în definirea incidentului de securitate îl reprezintă înţelesul dat de art. 3 din Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr. 585/2002, termenilor informaţie clasificată compromisă, respectiv incident de securitate.
Informaţia clasificată compromisă este informaţia care şi-a pierdut integritatea, a fost rătăcită, pierdută ori accesată, total sau parţial de persoane neautorizate. Compromiterea poate fi accidentală sau deliberată şi poate determina una sau mai multe dintre consecinţele menţionate (ex. informaţia poate fi rătăcită şi în acelaşi timp accesată de persoane neautorizate). Pentru a se stabili dacă informaţia a fost compromisă este necesar să se aibă în vedere semnificaţiile compromiterii. Spre exemplu, pierderea integrităţii, respectiv alterarea informaţiei clasificate înseamnă atât pierderea suportului material, cât şi pierderea confidenţialităţii, disponibilităţii, autenticităţii informaţiei clasificate (mai ales în cazul celor în format electronic).
Incidentul de securitate este orice acţiune sau inacţiune contrară reglementărilor de securitate a cărei consecinţă a determinat sau este de natură să determine compromiterea informaţiilor clasificate. Prin urmare, orice manifestare prin care o persoană acţionează neconform dispoziţiilor legale în materia protecţiei informaţiilor clasificate, fie că acestea impun sau interzic o anumită conduită, fapt care determină sau este de natură să determine compromiterea unei astfel de informaţii, constituie incident de securitate (ex. diseminarea sau distrugerea neautorizată; nerespectarea normelor privind evidenţa, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea şi distrugerea informaţiilor clasificate).
Pentru ca acţiunea sau inacţiunea contrară reglementărilor de securitate să constituie incident de securitate, este necesar ca aceasta să determine sau să fie de natură să determine compromiterea informaţiei clasificate. Întrucât prima dintre posibilele urmări ale incidentului de securitate, respectiv aceea de a fi determinat compromiterea informaţiei clasificate nu ridică probleme, se va insista asupra celeilalte ipoteze, respectiv cea în care acţiunea sau inacţiunea este de natură să determine compromiterea.
Astfel, chiar dacă rezultatul incidentului de securitate nu s-a “consumat” (informaţia nu şi-a pierdut integritatea, nu a fost rătăcită, pierdută etc.), starea de pericol la adresa valorilor sociale ocrotite s-a produs (subliniem că valorile sociale protejate prin aplicarea dispoziţiilor legale în domeniul protecţiei informaţiilor clasificate secret de stat sunt securitatea naţională şi apărarea ţării). De aceea orice acţiune sau inacţiune care este de natură să determine compromiterea informaţiilor clasificate trebuie tratată ca incident de securitate, în primul rând pentru că legea prevede astfel în mod expres şi în al doilea rând pentru că numai cercetarea administrativă poate stabili împrejurările în care s-a produs incidentul şi urmările sale.
Altfel spus, există posibilitatea ca, aparent, informaţia să nu fi fost compromisă, în vreme ce, în realitate, consecinţele incidentului s-au produs (ex. un document clasificat secret de stat uitat într-o încăpere neprotejată, situată în afara zonelor de securitate, este găsit după câteva ore; chiar şi în acest caz sunt necesare cercetări pentru a se stabili dacă, în respectivul interval de timp, relativ scurt, documentul a fost accesat de o persoană neautorizată).
II. Premise ale producerii incidentelor de securitate
Incidentele de securitate pot să apară pe fondul existenţei unor deficienţe în respectarea dispoziţiilor legale în domeniul protecţiei informaţiilor clasificate, care favorizează sau potenţează producerea incidentelor, constituind premise ale acestora. Enumerăm, cu titlu exemplificativ, unele dintre aceste disfuncţii:
– nerespectarea normelor care prevăd componentele protecţiei informaţiilor clasificate: protecţia juridică, protecţia prin măsuri procedurale, protecţia fizică, protecţia personalului care are acces la informaţii clasificate ori este desemnat să asigure securitatea acestora, protecţia surselor generatoare de informaţii. Altfel spus, implementarea şi respectarea măsurilor de protecţie a informaţiilor clasificate pe toate aceste componente constituie o garanţie împotriva producerii incidentelor de securitate;
– transportul informaţiilor clasificate realizat de către persoane juridice neautorizate ori expedierea documentelor şi materialelor care conţin astfel de informaţii prin poştă, în condiţiile în care dispoziţiile art. 81 alin. (1) din Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr. 585/2002, reglementează obligaţia ca transportul să se realizeze prin intermediul unităţii specializate a SRI;
– tergiversarea îndeplinirii obligaţiilor prevăzute de art. 18 din Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr. 585/2002. Astfel, informaţiile secrete de stat şi secrete de serviciu stabilite astfel potrivit HCM nr. 19/1972 nu sunt înregistrate şi sunt gestionate în condiţii improprii, iar nerespectarea dispoziţiilor art. 18 alin. (1) şi (2), care ar determina inventarierea, aducerea sub incidenţa noilor reglementări în materia protecţiei informaţiilor clasificate şi asigurarea securităţii acestor informaţii, constituie deficienţe des întâlnite în practică. În acest context, subliniem că nerespectarea termenului de 12 luni stabilit de art. 18 alin. (1) nu înseamnă că deţinătorii informaţiilor secrete de stat şi secrete de serviciu stabilite astfel potrivit HCM nr. 19/1972 sunt exoneraţi de obligaţia aducerii la îndeplinire a procedurii de încadrare în noi clase şi niveluri de secretizare, ci, dimpotrivă, reprezintă o circumstanţă agravantă, care va fi avută în vedere în contextul constatării contravenţiei la art. 18 şi al aplicării sancţiunii prevăzute de Standardele naţionale;
– compromisuri în privinţa întocmirii şi implementării programelor de prevenire a scurgerii de informaţii clasificate (ex. superficialitatea în întocmirea programelor, transmiterea acestora în mod repetat şi fără a se ţine cont de observaţiile comunicate în mod oficial de Serviciul Român de Informaţii cu ocazia restituirii, întârzierea implementării concrete a măsurilor prevăzute în programe etc.);
– gestionarea în condiţii de risc, cu încălcarea normelor privind evidenţa, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea şi distrugerea informaţiilor clasificate. Nerespectarea dispoziţiilor menţionate constituie unele dintre situaţiile des întâlnite în practică şi care determină compromiterea informaţiilor clasificate;
– de asemenea, reprezintă premise de producere a incidentelor de securitate supraclasificarea şi, mai ales, subclasificarea informaţiilor (ex. subclasificarea determină ca măsurile de securitate să nu fie dimensionate corect, în raport cu clasa ori nivelul real de secretizare a informaţiilor); – nerespectarea prevederilor Standardelor naţionale de protecţie a informaţiilor clasificate în România, aprobate prin HG nr.585/2002, de către persoanele juridice care participă la procedurile de negociere şi derulare a unor contracte clasificate;
– nerespectarea exigenţelor în materia INFOSEC (utilizarea de suporţi de memorie neautorizaţi, conectarea la medii intranet / internet etc).
Enumerarea circumstanţelor care constituie sau pot constitui premise de producere a incidentelor de securitate este doar exemplificativă, în esenţă orice încălcare a dispoziţiilor legale în vigoare putând avea drept consecinţă compromiterea informaţiilor clasificate.
Cu toate acestea supunem atenţiei câteva situaţii concrete care au generat incidente de securitate urmate de compromiterea informaţiei, la nivelul unor entităţi care gestionează informaţii secrete de stat, astfel:
III. Cercetarea incidentelor de securitate.
Responsabilităţi
1. Înștiințarea conducătorului unității şi a instituțiilor competente
Pornind de la premisa că în practică nu conducătorul unităţii este cel care descoperă producerea unui incident de securitate, un rol important revine şefilor structurilor de securitate care au, în primul rând, obligaţia de a-l încunoştinţa pe conducător despre producerea unui astfel de eveniment, orice compromis putând genera urmări deosebit de grave. La rândul lor, conform art. 88 din Standarde, conducătorii unităţilor deţinătoare de informaţii secrete de stat au obligaţia de a înştiinţa, în scris, instituţiile prevăzute la art. 25 din Legea nr. 182/2002, potrivit competenţelor, prin cel mai operativ sistem de comunicare, despre compromiterea unor astfel de informaţii. Este obligatoriu ca înştiinţarea să conţină:
2. Cercetarea incidentului – scopul, modalitatea de realizare, persoanele implicate, conlucrarea cu reprezentanţii autorităţilor desemnate de securitate, finalizarea cercetării În conformitate cu prevederile art. 90 din Standarde, orice încălcare a reglementărilor de securitate va fi cercetată pentru a se stabili:
a) dacă informaţiile respective au fost compromise;
b) dacă persoanele neautorizate care au avut sau ar fi putut avea acces la informaţii secrete de stat prezintă suficientă încredere şi loialitate, astfel încât rezultatul compromiterii să nu creeze prejudicii;
c) măsurile de remediere – corective, disciplinare sau juridice – care sunt recomandate. În aplicarea acestor dispoziţii, pentru atingerea scopului prevăzut de normele menţionate, cercetarea trebuie să se desfăşoare după un anumit algoritm, prima măsură care trebuie dispusă fiind desemnarea, de către conducătorul instituţiei, a unei comisii din care trebuie să facă parte şeful structurii/funcţionarul de securitate şi care să stabilească circumstanţele producerii incidentului. În acest sens, este necesar să se urmărească circuitul documentului din momentul intrării în unitate, în cazul informaţiilor primite de la alţi emitenţi, respectiv din momentul întocmirii, în cazul informaţiilor proprii, fapt pentru care trebuie consultate registrele de evidenţă şi condicile de predare-primire a documentelor clasificate. Ulterior, sunt necesare cercetări pentru identificarea persoanelor care au avut acces la informaţia clasificată compromisă (mai ales a ultimei persoane care a gestionat informaţia) şi pentru stabilirea deficienţelor în aplicarea dispoziţiilor legale care au determinat producerea incidentului de securitate. În astfel de situaţii se va dovedi importanţa deosebită a respectării principiului necesităţii de a cunoaşte şi a normelor privind evidenţa şi transmiterea documentelor clasificate între utilizatori.
Din practica evaluării incidentelor de securitate produse la nivelul unor entităţi din zona de competenţă a SRI în calitate de ADS, a rezultat că, în unele situaţii, cercetările incidentelor de securitate se realizează în mod formal sau nu îndeplinesc toate cerinţele legale, astfel:
* Nu sunt clarificate împrejurările incidentului de securitate;
* Concluziile cercetării se limitează la simpla constatare a compromiterii urmată de declasificare
* Măsurile corective nu sunt corect dimensionate şi nu sunt de natură să remedieze disfuncţionalităţile sistemului protectiv;
* Nu se clarifică situaţia tuturor informaţiilor care au făcut obiectul incidentului;
* Nu sunt notificaţi alţi eventuali posesori ai informaţiei clasificate compromise;
* Verificările nu au stabilit responsabilităţile pentru producerea incidentului de securitate care a generat compromiterea unor informaţii secrete de stat;
Pe toată durata cercetării este recomandată colaborarea cu reprezentanţii autorităţilor desemnate de securitate competente, care vor acorda sprijinul necesar în limitele atribuţiilor prevăzute de lege, în cadrul activităţilor de asistenţă specializată. În final, supunem atenţiei faptul că cercetarea nu se poate considera încheiată decât atunci când rezultatul ei este prezentat de comisie conducătorului unităţii care va dispune asupra măsurilor adecvate, care includ, în cazul suspiciunilor privind fapte care ar putea constitui infracţiuni la regimul secretului de stat, sesizarea organele de urmărire penală, cărora le vor fi puse la dispoziţie datele şi materialele necesare probării faptelor, în condiţiile legii.
BlogPIC © 2023 | Toate drepturile rezervate
Acest blog este destinat celor care doresc să se informeze despre domeniul securității informațiilor clasificate. În plus contribuie la dezvoltarea unei culturi de securitate adecvate.
Dacă doriți mai multe informații puteți să completați datele de mai jos și vă vom contactat negreșit.
Vă mulțumim că ați trimis formularul.
Vă vom contacta cât de curând.