Drept

Termenii specifici cu aplicabilitate în domeniul INFOSEC, se definesc după cum urmează:[1]

• INFOSEC - ansamblul măsurilor şi structurilor de protecţie a informaţiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaţii şi al altor sisteme electronice, împotriva ameninţărilor şi a oricăror acţiuni care pot aduce atingere confidenţialităţii, integrităţii, disponibilităţii autenticităţii şi nerepudierii informaţiilor clasificate precum şi afectarea funcţionării sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat. Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, a emisiilor, securitatea criptografică, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse informaţiile şi sistemele;
• CSTIC - componenta de securitate pentru tehnologia informaţiei şi comunicaţiilor instituită în unităţile deţinătoare de informaţii clasificate (persoana sau compartimentul cu responsabilitatea delegată de către agenţia de securitate pentru informatică şi comunicaţii de a implementa metodele, mijloacele şi măsurile de securitate şi de a exploata SPAD şi RTD - SIC în condiţii de securitate);
• TIC - tehnologia informaţiei şi comunicaţiilor;
• CSS - cerinţele de securitate specifice.
• informaţiile în format electronic - texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii;
• sistemul de prelucrare automată a datelor - SPAD - ansamblul de elemente interdependente în care se includ: echipamentele de calcul, produsele software de bază şi aplicative, metodele, procedeele şi, dacă este cazul, personalul, organizate astfel încât să asigure îndeplinirea funcţiilor de stocare, prelucrare automată şi transmitere a informaţiilor în format electronic, şi care se află sub coordonarea şi controlul unei singure autorităţi. Un SPAD poate să cuprindă subsisteme, iar unele dintre acestea pot fi ele însele SPAD;
• reţele de transmisii de date - RTD - ansamblul de elemente interdependente în care se includ: echipamente, programe şi dispozitive de comunicaţie, tehnică de calcul hardware şi software, metode şi proceduri pentru transmisie şi recepţie de date şi controlul reţelei, precum şi, dacă este cazul, personalul aferent. Toate acestea sunt organizate astfel încât să asigure îndeplinirea funcţiilor de transmisie a informaţiilor în format electronic între două sau mai multe SPAD sau să permită interconectarea cu alte RTD-uri. O RTD poate utiliza serviciile unuia sau mai multor sisteme de comunicaţii; mai multe RTD pot utiliza serviciile unuia şi aceluiaşi sistem de comunicaţii.
• sistemul informatic şi de comunicaţii - SIC - ansamblu informatic prin intermediul căruia se stochează, se procesează şi se transmit informaţii în format electronic, alcătuit din cel puţin un SPAD, izolat sau conectat la o RTD. Poate avea o configuraţie complexă, formată din mai multe SPAD-uri şi/sau RTD-uri interconectate;
• managementul de risc - are ca scop identificarea, controlul şi minimizarea riscurilor de securitate şi este o activitate continuă de stabilire şi menţinere a unui nivel de securitate în domeniul tehnologiei informaţiei şi comunicaţiilor - TIC - într-o unitate, în sensul că, pornind de la analiza de risc, identifică şi evaluează ameninţările şi vulnerabilităţile şi propune aplicarea măsurilor adecvate de contracarare, proiectate la un preţ de cost corelat cu consecinţele care ar decurge din divulgarea, modificarea sau ştergerea informaţiilor care trebuie protejate;
• regula celor doi - obligativitatea colaborării a două persoane pentru îndeplinirea unei activităţi specifice;
• securitatea calculatoarelor - COMPUSEC - aplicarea la nivelul fiecărui calculator a facilităţilor de securitate (hardware, software), pentru a preveni divulgarea, manevrarea, modificarea sau ştergerea neautorizată a informaţiilor clasificate ori invalidarea neautorizată a unor funcţii;
• securitatea comunicaţiilor - COMSEC - aplicarea măsurilor de securitate în telecomunicaţii, cu scopul de a proteja mesajele dintr-un sistem de telecomunicaţii, care ar putea fi interceptate, studiate, analizate şi, prin reconstituire, pot conduce la dezvăluiri de informaţii clasificate. COMSEC reprezintă ansamblul de proceduri, incluzând:

1. a) măsuri de securitate a transmisiilor;
2. b) măsuri de securitate împotriva radiaţiilor – TEMPEST (ansamblul măsurilor de testare şi de realizare a securităţii împotriva scurgerii de informaţii, prin intermediul emisiilor electromagnetice parazite);
3. c) măsuri de acoperire criptologică;
4. d) măsuri de securitate fizică, procedurală, de personal şi a documentelor;
5. e) măsuri COMPUSEC;

    - zona SPAD - reprezintă o zonă de lucru în care se găsesc şi operează unul sau mai multe calculatoare, unităţi periferice locale şi de stocare, mijloace de control şi echipament specific de reţea şi de comunicaţii. Zona SPAD nu include zona în care sunt amplasate terminale, echipamente periferice sau staţii de lucru la distanţă, chiar dacă aceste echipamente sunt conectate la echipamentul central de calcul din zona SPAD;

    - zona terminal/staţie de lucru la distanţă - reprezintă o zonă, separată de zona SPAD, în care se găsesc: a) elemente de tehnică de calcul; b) echipamentele periferice locale, terminale sau staţii de lucru la distanţă, conectate la echipamentele din zona SPAD; c) echipamente de comunicaţii;

 Informaţiile aflate în format electronic pot fi:

1. a) stocate şi procesate în cadrul SPAD sau transmise prin intermediul RTD;
2. b) stocate şi transportate prin intermediul suporturilor de memorie, dispozitivelor electronice - cipuri de memorie, hârtie perforată sau alte suporturi specifice.

 În fiecare unitate care administrează SPAD şi RTD - SIC în care se stochează, se procesează sau se transmit informaţii clasificate, este necesar să se instituie o componentă de securitate pentru tehnologia informaţiei şi a comunicaţiilor - CSTIC, în subordinea structurii/funcţionarului de securitate. Această structură trebuind să îndeplinească următoarele atribuţii: implementarea metodelor, mijloacelor şi măsurilor necesare protecţiei informaţiilor în format electronic; exploatarea operaţională a SPAD şi RTD - SIC în condiţii de securitate; coordonarea cooperării dintre unitatea deţinătoare a SPAD sau RTD - SIC şi autoritatea care asigură acreditarea; d) implementarea măsurilor de securitate şi protecţia criptografică ale SPAD sau RTD - SIC  În funcţie de volumul de activitate şi de cerinţele de securitate, atribuţiile CSTIC pot fi îndeplinite numai de către funcţionarul de securitate TIC sau pot fi preluate, în totalitate, de către structura/funcţionarul de securitate din unitate.

    Structurile organizatorice ale statului cu atribuţii specifice în domeniul INFOSEC sunt:

• Agenţia de acreditare de securitate este subordonată instituţiei desemnate la nivel naţional pentru protecţia informaţiilor clasificate, are reprezentanţi delegaţi din cadrul ADS implicate, în funcţie de SPAD şi RTD - SIC care trebuie acreditate, şi îndeplineşte următoarele atribuţii principale: asigură, la nivel naţional, acreditarea de securitate şi reacreditarea SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii clasificate, în funcţie de nivelul de clasificare a acestora; asigură evaluarea şi certificarea sistemelor SPAD şi RTD - SIC sau a unor elemente componente ale acestora; stabileşte criteriile de acreditare de securitate pentru SPAD şi RTD - SIC.

• Agenţia de securitate pentru informatică şi comunicaţii este structura subordonată instituţiei desemnate la nivel naţional pentru protecţia informaţiilor electronice clasificate, având reprezentanţi delegaţi din cadrul ADS implicate care acţionează la nivel naţional.  Agenţia este responsabilă de conceperea şi implementarea mijloacelor, metodelor şi măsurilor de protecţie a informaţiilor clasificate care sunt stocate, procesate sau transmise prin intermediul SPAD şi RTD - SIC şi are, în principal, următoarele atribuţii:

1. a) coordonează activităţile de protecţie a informaţiilor clasificate care sunt stocate, procesate sau transmise prin intermediul SPAD şi RTD - SIC;
2. b) elaborează şi promovează reglementări şi standarde specifice;
3. c) analizează cauzele incidentelor de securitate şi gestionează baza de date privind ameninţările şi vulnerabilităţile din sistemele de comunicaţie şi informatice, necesare pentru elaborarea managementului de risc;
4. d) semnalează agenţiei de acreditare de securitate incidentele de securitate în domeniu;
5. e) integrează măsurile privind protecţia fizică, de personal, a documentelor administrative, COMPUSEC, COMSEC, TEMPEST şi criptografică;
6. f) execută inspecţii periodice asupra SPAD şi RTD - SIC în vederea reacreditării;
7. g) supune certificării şi autorizării sistemele de securitate specifice SPAD şi RTD - SIC.

• Agenţia de protecţie criptografică se organizează la nivel naţional, este subordonată instituţiei desemnate la nivel naţional pentru protecţia informaţiilor clasificate şi are următoarele atribuţii principale:

1. a) asigură managementul materialelor şi echipamentelor criptografice;
2. b) realizează distribuirea materialelor şi echipamentelor criptografice;
3. c) raportează instituţiei desemnate la nivel naţional pentru protecţia informaţiilor clasificate incidentele de securitate cu care s-a confruntat;
4. d) cooperează cu agenţia de acreditare de securitate, cu agenţia de concepere şi implementare a metodelor, mijloacelor şi măsurilor de securitate şi cu alte structuri cu atribuţii în domeniu.

Din componentele INFOSEC fac parte: securitatea personalului; securitatea fizică; ecuritatea informaţiilor clasificate în format electronic; controlul şi evidenţa informaţiilor în format electronic.

Componenta de securitate a personalului presupune respectarea unor reguli, astfel:

Utilizatorii SPAD şi RTD - SIC sunt autorizaţi şi li se permite accesul la informaţii clasificate pe baza principiului necesităţii de a cunoaşte şi în funcţie de nivelul de clasificare a informaţiilor stocate, procesate sau transmise prin aceste sisteme.

În proiectarea SPAD şi RTD - SIC trebuie să se aibă în vedere ca atribuirea sarcinilor şi răspunderilor personalului să se facă în aşa fel încât să nu existe o persoană care să aibă cunoştinţă sau acces la toate programele şi cheile de securitate - parole, mijloace de identificare personală, fiind interzis, cu excepţia unor situaţii speciale, ca personalul să facă atât programarea, cât şi operarea sistemelor sau reţelelor.

Pentru orice fel de modificare aplicată unui sistem SPAD sau RTD - SIC este obligatorie colaborarea a cel puţin două persoane (regula celor doi).

Componenta de securitate fizică presupune ca în zonele în care sunt amplasate sisteme SPAD şi terminale la distanţă - staţii de lucru, unde se procesează ori pot fi accesate informaţii clasificate, să se aplice următoarele măsuri generale de securitate:

1. a) intrarea personalului şi a materialelor, precum şi părăsirea acestor zone trebuie controlate;
2. b) zonele şi locurile în care securitatea SPAD sau RTD - SIC sau a terminalelor la distanţă poate fi modificată nu trebuie să fie niciodată ocupate de un singur angajat autorizat (regula celor doi);
3. c) persoanelor care solicită acces temporar sau cu intermitenţe în aceste zone trebuie să li se autorizeze accesul, ca vizitatori, de către responsabilul pe probleme de securitate al zonei, desemnat de către administratorul de securitate al obiectivului, doar după efectuarea verificărilor necesare, urmând ca vizitatorii să fie însoţiţi permanent, pentru a exista garanţia că nu pot avea acces la informaţii clasificate şi nici la echipamentele utilizate.

Pentru a se asigura securitatea informaţiilor clasificate în format electronic este necesar ca acestea să fie controlate conform regulilor INFOSEC, înainte de a fi transmise din zonele SPAD şi RTD - SIC sau din cele cu terminale la distanţă.

Când informaţiile sunt transferate între diverse SPAD sau RTD - SIC, este necesar ca ele să fie protejate atât în timpul transferului, cât şi la nivelul sistemelor informatice ale beneficiarului.

Componenta de control şi evidenţă a informaţiilor în format electronic presupune respectarea următoarelor condiţii :

    - Evidenţa automată a accesului la informaţiile clasificate în format electronic se ţine în registrele de acces şi trebuie realizată necondiţionat prin software.

    - Registrele de acces trebuie păstrate pe o perioadă stabilită de comun acord între agenţia de acreditare de securitate şi CSTIC (perioada minimă de păstrare a registrelor de acces la informaţiile strict secrete de importanţă deosebită fiind de 10 ani, iar a registrelor de acces la informaţiile strict secrete şi secrete, de cel puţin 3 ani).

Pentru a se asigura securitatea comunicaţiilor într-un SPAD - SIC trebuie să existe mijloace de interzicere a accesului la informaţiile clasificate de la toate terminalele/staţiile de lucru la distanţă, atunci când acest lucru este necesar, prin deconectare fizică sau prin proceduri software speciale.

În vederea asigurării securităţii la instalare este imperios ca instalarea iniţială a SPAD sau RTD - SIC sau orice modificare adusă acestora să fi executată de persoane autorizate, lucrările trebuind să fie permanent supravegheate de personal tehnic calificat, care are acces la informaţii de cel mai înalt nivel de clasificare pe care respectivul SPAD sau RTD - SIC le va stoca, procesa sau transmite. Totodată sistemele SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii secrete de stat trebuie să fie protejate corespunzător faţă de vulnerabilităţile de securitate cauzate de radiaţiile compromiţătoare – TEMPEST (emisii electromagnetice).

În scopul asigurării securităţii în timpul procesării informaţiilor clasificate, transmiterea informaţiilor secrete de stat către instalaţii automate, a căror funcţionare nu necesită prezenţa unui operator uman, este interzisă, cu excepţia cazului când se aplică reglementări speciale aprobate de către autoritatea de acreditare de securitate.

Un rol important îl are şi protecţia produselor software şi managementul configuraţiei, care se realizează prin:

• controale periodice, prin care să stabilească dacă toate produsele software originale, sisteme de operare generale, subsisteme şi pachete soft, aflate în folosinţă, sunt protejate;
• conservarea exemplarelor originale, a copiilor - backup sau off-site, precum şi salvările periodice ale datelor obţinute din procesare;
• verificarea prezenţei viruşilor şi a software-ului nociv (versiunile de software noi sau modificate - sisteme de operare, subsisteme, pachete de software şi software de aplicaţie - stocate pe diferite medii care se introduc într-o unitate, trebuie verificate obligatoriu pe sisteme de calcul izolate, în vederea depistării software-ului nociv sau a viruşilor de calculator, înainte de a fi folosite în SPAD sau RTD – SIC, totodată, periodic trebuie verificat şi software-ul instalat).

[1] A se vedea HG. nr.585/2002, art.237;