STANDARD NAȚIONAL din 13 iunie 2002 de protecție a informațiilor clasificate în România
EMITENT
  • GUVERNUL
  • Publicat în  MONITORUL OFICIAL nr. 485 din 5 iulie 2002



    Notă
    Aprobat prin HOTĂRÂREA nr. 585 din 13 iunie 2002, publicată în Monitorul Oficial nr. 485 din 5 iulie 2002.
     +  Capitolul 1 DISPOZIȚII GENERALE  +  Articolul 1Standardele naționale de protecție a informațiilor clasificate în România cuprind normele de aplicare a Legii nr. 182/2002 privind protecția informațiilor clasificate referitoare la:a) clasificările informațiilor secrete de stat și normele privind măsurile minime de protecție în cadrul fiecărei clase;b) obligațiile și răspunderile autorităților și instituțiilor publice, ale agenților economici și ale altor persoane juridice de drept public sau privat privind protecția informațiilor secrete de stat;c) normele privind accesul la informațiile clasificate, precum și procedura verificărilor de securitate;d) regulile generale privind evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea informațiilor secrete de stat;e) regulile de identificare și marcare, inscripționările și mențiunile obligatorii pe documentele secrete de stat, în funcție de nivelurile de secretizare, cerințele de evidență a numerelor de exemplare și a destinatarilor, termenele și regimul de păstrare, interdicțiile de reproducere și circulație;f) condițiile de fotografiere, filmare, cartografiere și executare a unor lucrări de arte plastice în obiective sau locuri care prezintă importanță deosebită pentru protecția informațiilor secrete de stat;g) regulile privitoare la accesul străinilor la informațiile secrete de stat;h) protecția informațiilor clasificate care fac obiectul contractelor industriale secrete - securitatea industrială;i) protecția surselor generatoare de informații - INFOSEC.  +  Articolul 2(1) Prezentele standarde instituie sistemul național de protecție a informațiilor clasificate, în concordanță cu interesul național, cu criteriile și recomandările NATO și sunt obligatorii pentru toate persoanele juridice sau fizice care gestionează astfel de informații.(2) Echivalența informațiilor naționale clasificate, pe niveluri de secretizare, cu informațiile NATO clasificate este:a) Strict secret de importanță deosebită - NATO top secretb) Strict secret - NATO secretc) Secret - NATO confidentiald) Secret de serviciu - NATO restricted  +  Articolul 3Termenii folosiți în prezentele standarde au următorul înțeles:– Autoritate Desemnată de Securitate - ADS - instituție abilitată prin lege să stabilească, pentru domeniul său de activitate și responsabilitate, structuri și măsuri proprii privind coordonarea și controlul activităților referitoare la protecția informațiilor secrete de stat. Sunt autorități desemnate de securitate, potrivit legii: Ministerul Apărării Naționale, Ministerul de Interne, Ministerul Justiției, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Protecție și Pază, Serviciul de Telecomunicații Speciale;– autorizație de acces la informații clasificate - document eliberat cu avizul instituțiilor abilitate, de conducătorul persoanei juridice deținătoare de astfel de informații, prin care se confirmă ca, în exercitarea atribuțiilor profesionale, posesorul acestuia poate avea acces la informații secrete de stat de un anumit nivel de secretizare, potrivit principiului necesității de a cunoaște;– autorizație de securitate industrială - document eliberat de Oficiul Registrului Național al Informațiilor Secrete de Stat - ORNISS - unui obiectiv industrial, prin care se atestă ca este abilitat să participe la procedura de negociere a unui contract clasificat;– autorizație specială - document eliberat de către ORNISS prin care se atestă verificarea și acreditarea unei persoane de a desfășura activități de fotografiere, filmare, cartografiere și lucrări de arte plastice pe teritoriul României, în obiective, zone sau locuri care prezintă importanță deosebită pentru protectia informațiilor secrete de stat;– aviz de securitate industrială - document eliberat de către ADS prin care se atestă că obiectivul industrial contractant a implementat toate măsurile de securitate necesare protecției informațiilor clasificate vehiculate în derularea contractului încheiat;– certificat de securitate - document eliberat persoanei cu atribuții nemijlocite în domeniul protecției informațiilor clasificate, respectiv funcționarului de securitate sau salariatului din structura de securitate, care atestă verificarea și acreditarea de a deține, de a avea acces și de a lucra cu informații clasificate de un anumit nivel de secretizare;– certificat de securitate industrială - document eliberat de ORNISS unui obiectiv industrial, prin care se atestă că este abilitat să deruleze activități industriale și/sau de cercetare ce presupun accesul la informații clasificate;– clasificarea informațiilor - încadrarea informațiilor într-o clasă și nivel de secretizare;– contract clasificat - orice contract încheiat între părți, în condițiile legii, în cadrul căruia se cuprind și se vehiculeaza informații clasificate;– contractant - unitate industrială, comercială, de execuție, de cercetare-proiectare sau prestatoare de servicii în cadrul unui contract clasificat;– contractor - parte dintr-un contract clasificat, care are calitatea de beneficiar al lucrărilor sau serviciilor executate de contractant;– controlul informațiilor clasificate - orice activitate de verificare a modului în care sunt gestionate documentele clasificate;– declasificare - suprimarea mențiunilor de clasificare și scoaterea informației clasificate de sub incidența reglementărilor protective prevăzute de lege;– diseminarea informațiilor clasificate - activitatea de difuzare a informațiilor clasificate către unități sau persoane abilitate să aibă acces la astfel de informații;– document clasificat - orice suport material care conține informații clasificate, în original sau copie, precum:a) hârtie - documente olografe, dactilografiate sau tipărite, schite, hărți, planșe, fotografii, desene, indigo, listing;b) benzi magnetice, casete audio-video, microfilme;c) medii de stocare a sistemelor informatice - dischete, compact-discuri, hard-discuri, memorii PROM și EPROM, riboane;d) dispozitive de procesare portabile - agende electronice, laptop-uri - la care hard-discul este folosit pentru stocarea informațiilor;– funcționar de securitate - persoana care îndeplinește atribuțiile de protecție a informațiilor clasificate în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sau parțial de stat și altor persoane juridice de drept public sau privat;– gestionarea informațiilor clasificate - orice activitate de elaborare, luare în evidență, accesare, procesare, multiplicare, manipulare, transport, transmitere, inventariere, păstrare, arhivare sau distrugere a informațiilor clasificate;– incident de securitate - orice acțiune sau inacțiune contrară reglementărilor de securitate a cărei consecință a determinat sau este de natură să determine compromiterea informațiilor clasificate;– indicator de interdicție text sau simbol care semnalează interzicerea accesului sau derulării unor activități în zone, obiective, sectoare sau locuri care prezintă importanță deosebită pentru protecția informațiilor clasificate;– informație clasificată compromisă - informație clasificată care și-a pierdut integritatea, a fost rătăcită, pierdută ori accesată, total sau parțial, de persoane neautorizate;– instituție cu atribuții de coordonare a activității și de control al măsurilor privitoare la protecția informațiilor clasificate sau instituție abilitată - Ministerul Apărării Naționale, Ministerul de Interne, Ministerul Justiției, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Protecție și Pază, Serviciul de Telecomunicații Speciale, potrivit competențelor stabilite prin lege;– marcare - activitatea de inscripționare a nivelului de secretizare a informației și de semnalare a cerințelor speciale de protecție a acesteia;– material clasificat - document sau produs prelucrat ori în curs de prelucrare, care necesită a fi protejat împotriva cunoașterii neautorizate;– necesitatea de a cunoaște - principiul conform căruia accesul la informații clasificate se acordă în mod individual numai persoanelor care, pentru îndeplinirea îndatoririlor de serviciu, trebuie să lucreze cu astfel de informații sau să aibă acces la acestea;– negocieri - activitățile circumscrise adjudecării unui contract sau subcontract, de la notificarea intenției de organizare a licitației, până la încheierea acesteia;– obiectiv industrial - unitate de cercetare sau cu activitate de producție, care desfășoară activități științifice, tehnologice sau economice ce au legătură cu siguranța sau cu apărarea națională, ori prezintă importanță deosebită pentru interesele economice și tehnico-științifice ale României;– obiectiv, sector sau loc de importanță deosebită pentru protecția informațiilor secrete de stat - incintaă sau perimetru anume desemnat, în care sunt gestionate informații secrete de stat;– parte contractantă - oricare dintre părțile care convin să negocieze, să încheie sau să deruleze un contract clasificat;– protecția surselor generatoare de informații - ansamblul măsurilor destinate protecției informațiilor elaborate, stocate sau transmise prin sisteme ori rețele de prelucrare automată a datelor și/sau de comunicații;– securitate industrială - sistemul de norme și măsuri care reglementează protecția informațiilor clasificate în domeniul activităților contractuale;– sistem de protecție a informațiilor clasificate - ansamblul de măsuri de natură juridică, procedurală, fizică, de protecție a personalului și a surselor generatoare de informații, destinate securității materialelor și documentelor clasificate;– structura de securitate - compartiment specializat în protecția informațiilor clasificate, organizat în cadrul autorităților, instituțiilor publice, agenților economici cu capital integral sau parțial de stat și al altor persoane juridice de drept public sau privat;– subcontractant - parte care își asumă executarea unei părți a contractului clasificat sub coordonarea contractantului;– trecerea la un alt nivel de clasificare sau de secretizare - schimbarea clasificării, respectiv a nivelului de secretizare a informațiilor secrete de stat;– unitate deținatoare de informații clasificate sau unitate - autoritate sau instituție publică, agent economic cu capital integral sau parțial de stat ori o altă persoană juridica de drept public sau privat care, potrivit legii, are dreptul de a deține informații clasificate;– verificare de securitate - totalitatea măsurilor intreprinse de autoritățile desemnate de securitate, conform competențelor, pentru stabilirea onestității și profesionalismului persoanelor, în scopul avizării eliberării certificatului de securitate sau autorizației de acces la informații clasificate;– zona de securitate - perimetru delimitat și special amenajat unde sunt gestionate informații clasificate.  +  Capitolul 2 CLASIFICAREA ȘI DECLASIFICAREA INFORMAȚIILOR. MĂSURI MINIME DE PROTECȚIE SPECIFICE CLASELOR ȘI NIVELURILOR DE SECRETIZARE  +  Secţiunea 1 Clasificarea informațiilor  +  Articolul 4(1) Potrivit legii, informațiile sunt clasificate secrete de stat sau secrete de serviciu, în raport de importanța pe care o au pentru securitatea națională și de consecințele ce s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate.(2) Informațiile secrete de stat sunt informațiile a căror divulgare poate prejudicia siguranța națională și apărarea țării și care, în funcție de importanța valorilor protejate, se includ în urmatoarele niveluri de secretizare prevăzute de lege:a) strict secret de importanță deosebită;b) strict secret;c) secret.(3) Informațiile a căror divulgare este de natură să determine prejudicii unei persoane juridice de drept public sau privat se clasifică secrete de serviciu.  +  Articolul 5(1) Autoritățile publice care elaborează ori lucrează cu informații secrete de stat au obligația să întocmeasca un ghid pe baza căruia se va realiza clasificarea corectă și uniformă a acestora.(2) Ghidul prevăzut la alin. (1) se aprobă personal și în scris de către imputerniciții sau, după caz, funcționarii superiori abilitați să atribuie nivelurile de secretizare, conform legii.  +  Articolul 6Autoritățile și instituțiile publice întocmesc liste proprii cuprinzând categoriile de informații secrete de stat în domeniile lor de activitate, care se aprobă și se actualizează prin hotărâre a Guvernului.  +  Articolul 7Listele cu informații secrete de serviciu se stabilesc de conducătorii unităților deținatoare de astfel de informații.  +  Articolul 8În listele cu informații secrete de serviciu vor fi incluse informațiile care se referă la activitatea unității și care, fără a constitui, în înțelesul legii, secrete de stat, nu trebuie cunoscute decat de persoanele cărora le sunt necesare pentru îndeplinirea atribuțiilor de serviciu, divulgarea lor putând prejudicia interesul unității.  +  Articolul 9Unitățile care gestionează informații clasificate au obligația să analizeze ori de câte ori este necesar listele informațiilor secrete de stat și, după caz, să prezinte Guvernului spre aprobare propuneri de actualizare și completare a acestora, conform legii.  +  Articolul 10Atribuirea clasei și nivelului de secretizare a informațiilor se realizează prin consultarea ghidului de clasificare, a listelor cu informații secrete de stat și a listelor cu informații secrete de serviciu, elaborate potrivit legii.  +  Articolul 11Șeful ierarhic al emitentului are obligația să verifice dacă informațiile au fost clasificate corect și să ia măsuri în consecință, când constată ca au fost atribuite niveluri de secretizare necorespunzătoare.  +  Articolul 12(1) Termenele de clasificare a informațiilor secrete de stat vor fi stabilite de emitent, în funcție de importanța acestora și de consecințele care s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate.(2) Termenele de clasificare a informațiilor secrete de stat, pe niveluri de secretizare, cu excepția cazului când acestea necesită o protecție mai îndelungată, sunt de până la:– 100 de ani pentru informațiile clasificate strict secret de importanță deosebită;– 50 de ani pentru informațiile clasificate strict secret;– 30 de ani pentru informațiile clasificate secret.(3) Termenele prevăzute la alin. (2) pot fi prelungite prin hotărâre a Guvernului, pe baza unei motivații temeinice, la solicitarea conducătorilor unităților deținătoare de informații clasificate sau, după caz, a împuterniciților și funcționarilor superiori abilitați să atribuie nivelurile de secretizare.  +  Articolul 13Fiecare împuternicit ori funcționar superior abilitat să atribuie niveluri de secretizare va dispune verificarea periodică a tuturor informațiilor secrete de stat cărora le-au atribuit nivelurile de secretizare, prilej cu care, dacă este necesar, vor fi reevaluate nivelurile și termenele de clasificare.  +  Articolul 14(1) Documentul elaborat pe baza prelucrarii informațiilor cu niveluri de secretizare diferite va fi clasificat conform noului conținut, care poate fi superior originalelor.(2) Documentul rezultat din cumularea neprelucrată a unor extrase provenite din informații clasificate va primi clasa sau nivelul de secretizare corespunzător conținutului extrasului cu cel mai înalt nivel de secretizare.(3) Rezumatele, traducerile și extrasele din documentele clasificate primesc clasa sau nivelul de secretizare corespunzător conținutului.  +  Articolul 15Marcarea informațiilor clasificate are drept scop atenționarea persoanelor care le gestionează sau le accesează că sunt în posesia unor informații în legătură cu care trebuie aplicate măsuri specifice de acces și protecție, în conformitate cu legea.  +  Articolul 16Cazurile considerate supraevaluări ori subevaluări ale clasei sau nivelului de secretizare vor fi supuse atenției emitentului, iar dacă acesta decide să reclasifice informațiile va informa deținătorii.  +  Articolul 17(1) Informațiile vor fi clasificate numai în cazul în care se impune protecția acestora, iar nivelurile de secretizare și termenele de clasificare subzista atât timp cât dezvăluirea sau diseminarea lor neautorizată ar putea prejudicia siguranța națională, apărarea țării, ordinea publică sau interesele persoanelor juridice de drept public sau privat.(2) Supraevaluarea sau subevaluarea nivelului de secretizare a informațiilor și a duratei pentru care au fost clasificate se pot contesta de către orice persoană fizica sau juridica română, în contencios administrativ.  +  Articolul 18(1) În termen de 12 luni de la intrarea în vigoare a prezentei hotărâri, deținatorii de informații secrete de stat și secrete de serviciu, stabilite astfel potrivit H.C.M. nr. 19 din 14 ianuarie 1972, vor prezenta persoanelor sau autorităților publice împuternicite să atribuie niveluri de secretizare propuneri privind încadrarea acestor informații în noi clase și niveluri de secretizare, după caz.(2) Până la stabilirea noilor niveluri de secretizare, informațiile secrete de stat și secrete de serviciu menționate la alin. (1) își păstrează nivelul și termenul de secretizare și vor fi protejate potrivit prezentelor standarde.  +  Secţiunea a 2-a Declasificarea și trecerea informațiilor clasificate la un nivel inferior de secretizare  +  Articolul 19Informațiile secrete de stat pot fi declasificate prin hotărâre a Guvernului, la solicitarea motivată a emitentului.  +  Articolul 20(1) Informațiile se declasifică dacă:a) termenul de clasificare a expirat;b) dezvaluirea informațiilor nu mai poate prejudicia siguranța națională, apărarea țării, ordinea publică, ori interesele persoanelor de drept public sau privat deținătoare;c) a fost atribuit de o persoană neîmputernicită prin lege.(2) Declasificarea sau trecerea la un alt nivel de secretizare a informațiilor secrete de stat se realizează de împuterniciții și funcționarii superiori abilitați prin lege să atribuie niveluri de secretizare, cu avizul prealabil al instituțiilor care coordonează activitatea și controlul măsurilor privitoare la protecția informațiilor clasificate, potrivit competențelor materiale.(3) Emitenții documentelor secrete de stat vor evalua periodic necesitatea menținerii în nivelurile de secretizare acordate anterior și vor prezenta împuterniciților și funcționarilor superiori abilitați prin lege să atribuie niveluri de secretizare, propuneri în consecință.  +  Articolul 21Ori de câte ori este posibil, emitentul unui document clasificat trebuie să precizeze dacă acesta poate fi declasificat ori trecut la un nivel inferior de secretizare, la o anumită dată sau la producerea unui anumit eveniment.  +  Articolul 22(1) La schimbarea clasei sau nivelului de secretizare atribuit inițial unei informații, emitentul este obligat să încunoștințeze structura/funcționarul de securitate, care va face mențiunile necesare în registrele de evidență.(2) Data și noua clasă sau nivel de secretizare vor fi marcate pe document deasupra sau sub vechea inscripție, care va fi anulată prin trasarea unei linii oblice.(3) Emitentul informațiilor declasificate ori trecute în alt nivel de clasificare se va asigura că gestionarii acestora sunt anunțati la timp, în scris, despre acest lucru.  +  Articolul 23(1) Informațiile clasificate despre care s-a stabilit cu certitudine că sunt compromise sau iremediabil pierdute vor fi declasificate.(2) Declasificarea se face numai în baza cercetării prin care s-a stabilit compromiterea sau pierderea informațiilor respective ori a suportului material al acestora, cu acordul scris al emitentului.  +  Articolul 24Informațiile secrete de serviciu se declasifică de conducătorii unităților care le-au emis, prin scoaterea de pe listele prevăzute la art. 8, care vor fi reanalizate ori de câte ori este necesar.  +  Secţiunea a 3-a Măsuri minime de protecție a informațiilor clasificate  +  Articolul 25Măsurile de protecție a informațiilor clasificate vor fi stabilite în raport cu:a) clasele și nivelurile de secretizare a informațiilor;b) volumul și suportul informațiilor;c) calitatea, funcția și numărul persoanelor care au sau pot avea acces la informații, potrivit certificatului de securitate și autorizației de acces și cu respectarea principiului necesității de a cunoaște;d) amenințările, riscurile și vulnerabilitatile ce pot avea consecințe asupra informațiilor clasificate.  +  Articolul 26Transmiterea informațiilor clasificate către alți utilizatori se va efectua numai dacă aceștia dețin certificate de securitate sau autorizații de acces corespunzător nivelului de secretizare.  +  Articolul 27Certificatele de securitate aparținând persoanelor al căror comportament, atitudini sau manifestări pot crea premise de insecuritate pentru informațiile secrete de stat vor fi imediat retrase, cu încunoștințarea instituțiilor investite cu atribuții de coordonare a activității și de control al măsurilor privitoare la protecția informațiilor clasificate, potrivit competențelor.  +  Articolul 28Conducătorii unităților și persoanele care gestionează informații clasificate au obligația de a aduce la cunoștința instituțiilor cu atribuții de coordonare și control în domeniu orice indicii din care pot rezulta premise de insecuritate pentru astfel de informații.  +  Secţiunea a 4-a Structura/funcționarul de securitate  +  Articolul 29(1) Pentru implementarea măsurilor de protecție a informațiilor clasificate, în unitățile deținătoare de astfel de informații se înființează, în condițiile legii, structuri de securitate cu atribuții specifice.(2) În situația în care unitatea deține un volum redus de informații clasificate, atribuțiile structurii de securitate vor fi îndeplinite de funcționarul de securitate.(3) Structura de securitate se organizează și se încadrează potrivit legii.(4) Seful structurii de securitate, respectiv funcționarul de securitate, este un adjunct al conducătorului persoanei juridice sau un membru al consiliului de administrație al unității.  +  Articolul 30Șeful structurii de securitate, respectiv funcționarul de securitate, deține certificat de securitate corespunzător celui mai înalt nivel de clasificare a informațiilor secrete de stat gestionate de unitate.  +  Articolul 31(1) Structura/funcționarul de securitate are următoarele atribuții generale:a) elaborează și supune aprobării conducerii unității normele interne privind protecția informațiilor clasificate, potrivit legii;b) întocmește programul de prevenire a scurgerii de informații clasificate și îl supune avizării instituțiilor abilitate, iar după aprobare, acționează pentru aplicarea acestuia;c) coordonează activitatea de protecție a informațiilor clasificate, în toate componentele acesteia;d) asigură relaționarea cu instituția abilitată să coordoneze activitatea și să controleze măsurile privitoare la protecția informațiilor clasificate, potrivit legii;e) monitorizează activitatea de aplicare a normelor de protecție a informațiilor clasificate și modul de respectare a acestora;f) consiliază conducerea unității în legătură cu toate aspectele privind securitatea informațiilor clasificate;g) informează conducerea unității despre vulnerabilitatile și riscurile existente în sistemul de protecție a informațiilor clasificate și propune măsuri pentru înlăturarea acestora;h) acordă sprijin reprezentanților autorizați ai instituțiilor abilitate, potrivit competențelor legale, pe linia verificării persoanelor pentru care se solicită accesul la informații clasificate;i) organizează activități de pregătire specifică a persoanelor care au acces la informații clasificate;j) asigură păstrarea și organizează evidența certificatelor de securitate și autorizațiilor de acces la informații clasificate;k) actualizează permanent evidența certificatelor de securitate și a autorizațiilor de acces;l) întocmește și actualizează listele informațiilor clasificate elaborate sau păstrate de unitate, pe clase și niveluri de secretizare;m) prezintă conducătorului unității propuneri privind stabilirea obiectivelor, sectoarelor și locurilor de importanță deosebită pentru protecția informațiilor clasificate din sfera de responsabilitate și, după caz, solicită sprijinul instituțiilor abilitate;n) efectuează, cu aprobarea conducerii unității, controale privind modul de aplicare a măsurilor legale de protecție a informațiilor clasificate;o) exercita alte atribuții în domeniul protectiei informațiilor clasificate, potrivit legii.(2) Atribuțiile personalului din structura de securitate, respectiv ale funcționarului de securitate, se stabilesc prin fișa postului, aprobată de conducătorul unității.  +  Articolul 32Persoanele care lucrează în structura de securitate sau, după caz, funcționarul de securitate vor fi incluse în programe permanente de pregătire organizate de instituțiile investite cu atribuții de coordonare a activității și de control al măsurilor privitoare la protecția informațiilor clasificate, potrivit legii.  +  Secţiunea a 5-a Accesul la informațiile clasificate  +  Articolul 33Accesul la informații clasificate este permis cu respectarea principiului necesității de a cunoaște numai persoanelor care dețin certificat de securitate sau autorizație de acces, valabile pentru nivelul de secretizare al informațiilor necesare îndeplinirii atribuțiilor de serviciu.  +  Articolul 34Persoanele care au acces la informații strict secrete de importanță deosebită, în condițiile prevăzute de prezentele standarde, vor fi înregistrate în fișa de consultare, prevăzută la anexa nr. 1, care va fi păstrată la deținătorul de drept al documentului.  +  Articolul 35(1) Persoanele cărora le-au fost eliberate certificate de securitate sau autorizații de acces vor fi instruite, atât la acordarea acestora, cât și periodic, cu privire la conținutul reglementărilor privind protecția informațiilor clasificate.(2) Activitățile de instruire vor fi consemnate de structura/funcționarul de securitate, sub semnatură, în fișa de pregătire individuală, prezentată la anexa nr. 2.(3) Persoanele prevăzute la alin. (1) vor semna angajamentul de confidențialitate prevăzut la anexa nr. 3.  +  Articolul 36(1) În cazuri excepționale, determinate de situații de criză, calamități sau evenimente imprevizibile, conducătorul unității poate acorda acces temporar la informații clasificate anumitor persoane care nu dețin certificat de securitate sau autorizație de acces, cu condiția asigurării unui sistem corespunzător de evidență.(2) Persoanele care primesc dreptul de acces temporar la informații secrete de stat vor semna angajamentul de confidențialitate și vor fi comunicate la ORNISS, în cel mai scurt timp posibil, pentru efectuarea verificărilor de securitate, potrivit procedurilor.  +  Articolul 37În cazul informațiilor strict secrete de importanță deosebită, accesul temporar va fi acordat, pe cât posibil, persoanelor care dețin deja certificate de securitate pentru acces la informații strict secrete sau secrete.  +  Articolul 38(1) Transmiterea informațiilor clasificate între unități se va efectua cu aprobarea emitentului și cu respectarea principiului necesității de a cunoaște.(2) Predarea-primirea informațiilor clasificate între unitatea deținătoare și unitatea primitoare se face cu respectarea măsurilor de protecție prevăzute în prezentele standarde.  +  Articolul 39Structura/funcționarul de securitate al unității deținătoare se va asigura că reprezentantul unității primitoare deține certificatul de securitate sau autorizația de acces corespunzătoare nivelului de secretizare a informațiilor clasificate ce fac obiectul predării-primirii.  +  Capitolul 3 REGULI GENERALE PRIVIND EVIDENȚA, ÎNTOCMIREA, PĂSTRAREA, PROCESAREA, MULTIPLICAREA, MANIPULAREA, TRANSPORTUL, TRANSMITEREA ȘI DISTRUGEREA INFORMAȚIILOR CLASIFICATE  +  Articolul 40(1) În unitățile deținătoare de informații clasificate se organizează compartimente speciale pentru evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea acestora în condiții de siguranță.(2) Activitatea compartimentelor speciale prevăzute la alin. (1) este coordonată de structura/funcționarul de securitate.  +  Articolul 41La redactarea documentelor ce conțin informații clasificate se vor respecta următoarele reguli:a) menționarea, în antet, a unității emitente, a numărului și datei înregistrării, a clasei sau nivelului de secretizare, a numărului de exemplare și, după caz, a destinatarului;b) numerele de înregistrare se înscriu pe toate exemplarele documentului și pe anexele acestora, fiind precedate de un zero (0) pentru documentele secrete, de două zerouri (00) pentru cele strict secrete, de trei zerouri (000) pentru cele strict secrete de importanță deosebită și de litera "S" pentru secrete de serviciu;c) la sfârșitul documentului se înscriu în clar, după caz, rangul, funcția, numele și prenumele conducătorului unității emitente, precum și ale celui care îl întocmește, urmate de semnăturile acestora și ștampila unității;d) înscrierea, pe fiecare pagină a documentului, a clasei sau nivelului de secretizare atribuit acestuia;e) pe fiecare pagină a documentelor ce conțin informații clasificate se înscriu numărul curent al paginii, urmat de numărul total al acestora.  +  Articolul 42(1) În situația în care documentul de bază este însoțit de anexe, la sfârșitul textului se indică, pentru fiecare anexă, numărul de înregistrare, numărul de file al acesteia și clasa sau nivelul de secretizare.(2) Anexele se clasifică în funcție de conținutul lor și nu de cel al documentelor pe care le însoțesc.(3) Adresa de însoțire a documentului nu va cuprinde informații detaliate referitoare la conținutul documentelor anexate.(4) Documentele anexate se semnează, dacă este cazul, de persoanele care au semnat documentul de bază.(5) Aplicarea, pe documentele anexate, a ștampilei unității emitente este obligatorie.  +  Articolul 43(1) Când documentele ce conțin informații clasificate se semnează de o singură persoană, datele privind rangul, funcția, numele și prenumele acesteia se înscriu sub text, în centrul paginii.(2) Când semneaza două sau mai multe persoane, rangul, funcția, numele și prenumele conducătorului unității se înscriu în partea stângă, iar ale celorlalți semnatari în partea dreaptă, în ordinea rangurilor și funcțiilor.  +  Articolul 44Când documentele care conțin informații clasificate se emit în comun de două sau mai multe unități, denumirile acestora se înscriu separat în antet, iar la sfârșit se semnează de către conducătorii unităților respective, de la stanga la dreapta, aplicându-se ștampilele corespunzătoare.  +  Articolul 45Informațiile clasificate vor fi marcate, inscriptionate și gestionate numai de către persoane care au autorizație sau certificat de securitate corespunzător nivelului de clasificare a acestora.  +  Articolul 46(1) Toate documentele, indiferent de formă, care conțin informații clasificate au înscrise, pe fiecare pagină, nivelul de secretizare.(2) Nivelul de secretizare se marchează prin ștampilare, dactilografiere, tipărire sau olograf, astfel:a) în partea dreaptă sus și jos, pe exteriorul copertelor, pe pagina cu titlul și pe prima pagină a documentului;b) în partea de jos și de sus, la mijlocul paginii, pe toate celelalte pagini ale documentului;c) sub legendă, titlu sau scara de reprezentare și în exterior - pe verso - atunci când acestea sunt pliate, pe toate schemele, diagramele, hărțile, desenele și alte asemenea documente.  +  Articolul 47Porțiunile clar identificabile din documentele clasificate complexe, cum sunt secțiunile, anexele, paragrafele, titlurile, care au niveluri diferite de secretizare sau care nu sunt clasificate, trebuie marcate corespunzător nivelului de clasificare și secretizare.  +  Articolul 48Marcajul de clasificare va fi aplicat separat de celelalte marcaje, cu caractere și/sau culori diferite.  +  Articolul 49(1) Toate documentele clasificate aflate în lucru sau în stadiu de proiect vor avea inscrise mențiunile "Document în lucru" sau "Proiect" și vor fi marcate potrivit clasei sau nivelului de secretizare a informațiilor ce le conțin.(2) Gestionarea documentelor clasificate aflate în lucru sau în stadiu de proiect se face în aceleași condiții ca și a celor în forma definitivă.  +  Articolul 50Documentele sau materialele care conțin informații clasificate și sunt destinate unei persoane strict determinate vor fi inscripționate, sub destinatar, cu mențiunea "Personal".  +  Articolul 51(1) Fotografiile, filmele, microfilmele și negativele lor, rolele, bobinele sau containerele de păstrare a acestora se marchează vizibil cu o etichetă care indică numărul și data înregistrării, precum și clasa sau nivelul de secretizare.(2) Microfilmele trebuie să aibă afișat la cele două capete clasa sau nivelul de secretizare, iar la începutul rolei, lista elementelor de conținut.  +  Articolul 52(1) Clasa sau nivelul de secretizare a informațiilor înregistrate pe benzi audio se imprimă verbal, atât la începutul înregistrării, cât și la sfârșitul acesteia.(2) Marcarea clasei sau a nivelului de secretizare pe benzi video trebuie să asigure afișarea pe ecran a clasei sau a nivelului de secretizare. În cazul în care nu se poate stabili cu exactitate clasa sau nivelul de secretizare, înainte de înregistrarea benzilor, marcajul se aplică prin inserarea unui segment de bandă la începutul și la sfârșitul benzii video.(3) Benzile audio și video care conțin informații clasificate păstrează clasa sau nivelul de secretizare cel mai înalt atribuit până în momentul:a) distrugerii printr-un procedeu autorizat;b) atribuirii unui nivel superior prin adaugarea unei înregistrări cu nivel superior de secretizare.  +  Articolul 53Proiecțiile de imagini trebuie să afișeze, la începutul și sfârșitul acestora, numărul și data înregistrării, precum și clasa sau nivelul de secretizare.  +  Articolul 54(1) Rolele, bobinele sau containerele de păstrare a benzilor magnetice, inclusiv cele video, pe care au fost imprimate informații secrete de stat, vor avea înscris, la loc vizibil, clasa sau nivelul de secretizare cel mai înalt atribuit acestora, care va rămâne aplicat până la distrugerea sau demagnetizarea lor.(2) La efectuarea unei înregistrări pe bandă magnetică, atât la începutul, cât și la sfârșitul fiecărui pasaj, se va menționa clasa sau nivelul de secretizare.(3) În cazul detașării de pe suportul fizic, fiecare capăt al benzii va fi marcat, la loc vizibil, cu clasa sau nivelul de secretizare.  +  Articolul 55În toate cazurile, ambalajele sau suporții în care se păstrează documente sau materiale ce conțin informații clasificate vor avea inscripționat clasa sau nivelul de secretizare, numărul și data înregistrării în evidențe și li se va atașa o listă cu denumirea acestora.  +  Articolul 56(1) Atunci când se utilizează documente clasificate ca surse pentru întocmirea unui alt document, marcajele documentelor sursă le vor determina pe cele ale documentului rezultat.(2) Pe documentul rezultat se vor preciza documentele sursă care au stat la baza întocmirii lui.  +  Articolul 57Numărul și data inițială a înregistrării documentului clasificat trebuie păstrate, chiar dacă i se aduc amendamente, până când documentul respectiv va face obiectul reevaluării clasei sau a nivelului de secretizare.  +  Articolul 58Conducătorii unităților vor asigura măsurile necesare de evidență și control al informațiilor clasificate, astfel încât să se poată stabili, în orice moment, locul în care se află aceste informații.  +  Articolul 59(1) Evidența materialelor și documentelor care conțin informații clasificate se ține în registre speciale, întocmite potrivit modelelor prevăzute în anexele nr. 4, 5 și 6.(2) Fiecare document sau material va fi inscripționat cu numărul de înregistrare și data când este înscris în registrele de evidență.(3) Numerele de înregistrare sunt precedate de numărul de zerouri corespunzător nivelului de secretizare atribuit sau de litera "S" pentru secrete de serviciu.(4) Toate registrele, condicile și borderourile se înregistrează în registrul unic de evidență a registrelor, condicilor, borderourilor și a caietelor pentru însemnări clasificate, conform modelului din anexa nr. 7.(5) Fac excepție actele de gestiune, imprimatele inseriate și alte documente sau materiale cuprinse în forme de evidență specifice.  +  Articolul 60(1) Documentele sau materialele care conțin informații clasificate înregistrate în registrele prevăzute în art. 59 nu vor fi înregistrate în alte forme de evidență.(2) Emitentii și deținătorii de informații clasificate sunt obligați să înregistreze și să țină evidența tuturor documentelor și materialelor primite, expediate sau a celor întocmite de unitatea proprie, potrivit legii.(3) În registrele pentru evidența informațiilor clasificate vor fi menționate numele și prenumele persoanei care a primit documentul, iar aceasta va semna de primire pe condica prevăzută în anexa nr. 8.  +  Articolul 61(1) Atribuirea numerelor de înregistrare în registrele pentru evidență se face consecutiv, pe parcursul unui an calendaristic.(2) Numerele de înregistrare se înscriu obligatoriu pe toate exemplarele documentelor sau materialelor care conțin informații clasificate, precum și pe documentele anexate.(3) Anual, documentele se clasează în dosare, potrivit problematicii și termenelor de păstrare stabilite în nomenclatoare arhivistice, potrivit legii.(4) Clasarea documentelor sau materialelor care conțin informații clasificate se face separat, în funcție de suportul și formatul acestora, cu folosirea mijloacelor de păstrare și protejare adecvate.  +  Articolul 62(1) Informațiile strict secrete de importanță deosebită vor fi compartimentate fizic și înregistrate separat de celelalte informații.(2) Evidența documentelor strict secrete și secrete poate fi operată în același registru.  +  Articolul 63Hărțile, planurile topografice, asamblajele de hărți și alte asemenea documente se înregistrează în registrele pentru evidența informațiilor clasificate prevăzute în anexele nr. 4, 5 și 6.  +  Articolul 64Atribuirea aceluiași număr de înregistrare unor documente cu conținut diferit este interzisă.  +  Articolul 65Registrele de evidență vor fi completate de persoana desemnată care deține autorizație sau certificat de securitate corespunzător.  +  Articolul 66(1) Multiplicarea prin dactilografiere și procesare la calculator a documentelor clasificate poate fi realizată numai de către persoane autorizate să aibă acces la astfel de informații.(2) Multiplicarea documentelor clasificate poate fi realizată de persoane autorizate, numai în încăperi special destinate.  +  Articolul 67(1) Documentelor care conțin informații clasificate rezultate în procesul de multiplicare li se atribuie numere din registrul de evidență a informațiilor clasificate multiplicate, conform modelului din anexa nr. 9.(2) Numerele se atribuie consecutiv, începând cu cifra 1, pe parcursul unui an calendaristic și se înscriu obligatoriu pe toate exemplarele documentului.  +  Articolul 68(1) Evidențierea operațiunii de multiplicare se face prin marcare atât pe original, cât și pe toate copiile rezultate.(2) Pe documentul original marcarea se aplică în partea dreaptă jos a ultimei pagini.(3) Pe copiile rezultate, marcarea se aplică pe prima pagină, sub numărul de înregistrare al documentului.(4) În cazul copierii succesive, la date diferite, a unui document clasificat, documentul original va fi marcat la fiecare operațiune, ce va fi, de asemenea, înscrisă în registru.(5) Exemplarele rezultate în urma copierii documentului secret de stat se numerotează în ordine succesivă, chiar dacă operațiunea se efectuează de mai multe ori și la date diferite.  +  Articolul 69(1) Multiplicarea documentelor clasificate se face în baza aprobării conducătorului unității deținătoare, cu avizul structurii/funcționarului de securitate, ambele înscrise pe cererea pentru copiere sau pe adresa de însoțire în care se menționează necesitatea multiplicării.(2) Parchetele, instanțele și comisiile de cercetare pot multiplica documente care conțin informații clasificate numai în condițiile prezentelor standarde.(3) Extrasul dintr-un document care conține informații clasificate se face în baza cererii pentru copiere, cu aprobarea conducătorului unității, iar documentul rezultat va avea menționat sub numărul de exemplar cuvantul "Extras" și numărul de înregistrare al documentului original.(4) Clasa sau nivelul de secretizare atribuit unui document original se aplică, în mod identic, reproducerilor sau traducerilor.  +  Articolul 70(1) Dacă emitentul dorește să aibă control exclusiv asupra reproducerii, documentul va conține o indicație vizibilă cu următorul conținut: "Reproducerea acestui document, totală sau parțială, este interzisa".(2) Informațiile clasificate înscrise pe documente cu regim restrictiv de reproducere care au mențiunea "Reproducerea interzisă" nu se multiplică.  +  Articolul 71În cazul copierii unui document care conține informații clasificate se procedează astfel:a) se stabilește numărul de exemplare în care va fi multiplicat;b) se completează și se aprobă cererea pentru multiplicare, potrivit art. 69 alin. (1), după care aceasta se înregistrează în registrul de evidență - anexa nr. 4 sau anexa nr. 5, după caz;c) documentul original se predă operatorului pe bază de semnatură;d) după verificarea exemplarelor rezultate, beneficiarul semnează în registrul de evidență a informațiilor clasificate multiplicate, conform modelului din anexa nr. 9;e) repartiția în vederea difuzării exemplarelor copiate se consemnează de către structura/funcționarul de securitate pe spatele cererii pentru copiere;f) cererea pentru copiere împreună cu exemplarele copiate se predau pe bază de semnatură structurii/funcționarului de securitate în vederea difuzării sau expedierii.  +  Articolul 72(1) Când se dactilografiază, se procesează la calculator sau se copiază documente care conțin informații clasificate, în mai mult de două exemplare, pe spatele exemplarului original sau al cererii pentru copiere se înscriu destinatarii documentelor și numărul exemplarelor.(2) Atunci când numărul destinatarilor este mare se întocmește un tabel de difuzare, care se înregistrează ca document anexat la original.(3) Numerotarea exemplarelor copiate se va face consecutiv pentru fiecare copie, indiferent de data executării, avându-se în vedere și numărul de exemplare rezultat în urma dactilografierii sau procesării la calculator.  +  Articolul 73Documentele clasificate pot fi microfilmate sau stocate pe discuri optice ori pe suporți magnetici în următoarele condiții:a) procesul de microfilmare sau stocare să fie realizat cu aprobarea emitentului, de personal autorizat pentru clasa sau nivelul de secretizare a informațiilor respective;b) microfilmelor, discurilor optice sau suporților magnetici de stocare să li se asigure aceeași protecție ca a documentului original;c) toate microfilmele, discurile optice sau suporții magnetici de stocare să fie înregistrate intr-o evidență specifică și supuse, ca și documentele originale, verificării anuale.  +  Articolul 74(1) Difuzarea informațiilor clasificate multiplicate se face obligatoriu cu avizul structurii/ funcționarului de securitate.(2) Informațiile clasificate pot fi redifuzate de către destinatarul inițial la alți destinatari, cu respectarea normelor din prezentele standarde.(3) Emitentul este obligat să indice clar toate restricțiile care trebuie respectate pentru difuzarea unei informații clasificate. Când se impun astfel de restricții, destinatarii pot proceda la o redifuzare numai cu aprobarea scrisă a emitentului.  +  Articolul 75În cazul în care un document secret de stat este studiat de o persoană abilitată, pentru care s-a stabilit necesitatea de a accesa astfel de documente în vederea îndeplinirii sarcinilor de serviciu, această activitate trebuie consemnată în fișa de consultare, conform modelului din anexa nr. 1.  +  Articolul 76(1) Informațiile clasificate iesite din termenul de clasificare se arhivează sau se distrug.(2) Arhivarea sau distrugerea unui document clasificat se menționează în registrul de evidență principal, prin consemnarea cotei arhivistice de regaăsire sau, după caz, a numărului de înregistrare a procesului-verbal de distrugere.(3) Distrugerea informațiilor clasificate înlocuite sau perimate se face numai cu avizul emitentului.(4) Distrugerea documentelor clasificate sau a ciornelor care conțin informații cu acest caracter se face astfel încât să nu mai poată fi reconstituite.  +  Articolul 77(1) Documentele de lucru, ciornele sau materialele acumulate sau create în procesul de elaborare a unui document, care conțin informații clasificate, de regulă, se distrug.(2) În cazul în care se păstrează, acestea vor fi datate, marcate cu clasa sau nivelul de secretizare cel mai înalt al informațiilor conținute, arhivate și protejate corespunzător clasei sau nivelului de secretizare a documentului final.  +  Articolul 78(1) Informațiile strict secrete de importanță deosebită destinate distrugerii vor fi înapoiate unității emitente cu adresa de restituire.(2) Fiecare asemenea informație va fi trecută pe un proces-verbal de distrugere, care va fi aprobat de conducerea unității și semnat de șeful structurii/funcționarul de securitate și de persoana care asistă la distrugere, autorizată să aibă acces la informații strict secrete de importanță deosebită.(3) În situații de urgență, protecția, inclusiv prin distrugere, a materialelor și documentelor strict secrete de importanță deosebită va avea întotdeauna prioritate față de alte documente sau materiale.(4) Procesele-verbale de distrugere și documentele de evidență ale acestora vor fi arhivate și păstrate cel puțin 10 ani.  +  Articolul 79(1) Distrugerea informațiilor strict secrete, secrete și secrete de serviciu va fi evidențiată într-un proces-verbal semnat de două persoane asistente autorizate să aibă acces la informații de acest nivel, avizat de structura/funcționarul de securitate și aprobat de conducătorul unității.(2) Procesele-verbale de distrugere și documentele de evidență a informațiilor strict secrete, secrete și secrete de serviciu vor fi păstrate de compartimentul care a executat distrugerea, o perioadă de cel puțin trei ani, după care vor fi arhivate și păstrate cel puțin 10 ani.  +  Articolul 80(1) Distrugerea ciornelor documentelor secrete de stat se realizează de către persoanele care le-au elaborat.(2) Procesul-verbal de distrugere a ciornelor se întocmește în situația în care acestea au fost înregistrate într-o formă de evidență.  +  Articolul 81(1) Documentele și materialele ce conțin informații clasificate se transportă, pe teritoriul României, prin intermediul unității specializate a Serviciului Român de Informații, potrivit normelor stabilite prin hotărâre a Guvernului.(2) Documentele și materialele care conțin informații clasificate se transportă în străinătate prin valiza diplomatică, de către curierii diplomatici selecționați și pregătiți de Serviciul de Informații Externe.(3) Este interzisă expedierea documentelor și materialelor ce conțin informații clasificate prin S.N. "Poșta Română" ori prin alte societăți comerciale de transport.  +  Articolul 82Conducătorii unităților deținătoare de informații clasificate vor desemna, din structura de securitate proprie, în condițiile prezentelor standarde, cel puțin un delegat împuternicit pentru transportul și executarea operațiunilor de predare-primire a corespondenței clasificate, între aceasta și unitatea specializată a Serviciului Român de Informații.  +  Capitolul 4 PROTECȚIA INFORMAȚIILOR SECRETE DE STAT  +  Secţiunea 1 Obligațiile și răspunderile ce revin autorităților și instituțiilor publice, agenților economici și altor persoane juridice pentru protecția informațiilor secrete de stat  +  Articolul 83Protecția informațiilor secrete de stat reprezintă o obligație ce revine tuturor persoanelor autorizate care le emit, le gestionează sau care intră în posesia lor.  +  Articolul 84(1) Conducătorii unităților deținătoare de informații secrete de stat sunt răspunzatori de aplicarea măsurilor de protecție a informațiilor secrete de stat.(2) Persoanele juridice de drept privat deținătoare de informații secrete de stat au obligația să respecte și să aplice reglementările în vigoare stabilite pentru autoritățile și instituțiile publice, în domeniul lor de activitate.  +  Articolul 85Până la înființarea și organizarea structurii de securitate sau, după caz, până la numirea funcționarului de securitate, conducătorii unităților deținătoare de informații secrete de stat vor desemna o persoană care să îndeplineasca temporar atribuțiile specifice protecției informațiilor clasificate, prin cumul de funcții.  +  Articolul 86(1) Conducătorul unității care gestionează informații secrete de stat este obligat:a) să asigure organizarea activității structurii de securitate, respectiv a funcționarului de securitate și compartimentelor speciale pentru gestionarea informațiilor clasificate, în condițiile legii;b) să solicite instituțiilor abilitate efectuarea de verificări pentru avizarea eliberarii certificatului de securitate și autorizatiei de acces la informații clasificate pentru angajatii proprii;c) să notifice la ORNISS eliberarea certificatului de securitate sau autorizației de acces pentru fiecare angajat care lucrează cu informații clasificate;d) să aprobe listele cu personalul verificat și avizat pentru lucrul cu informațiile secrete de stat și evidența deținătorilor de certificate de securitate și autorizații de acces și să le comunice la ORNISS și la instituțiile abilitate să coordoneze activitatea și controlul măsurilor privitoare la protecția informațiilor clasificate, potrivit legii;e) să întocmească lista informațiilor secrete de stat și a termenelor de menținere în nivelurile de secretizare și să o supună aprobării Guvernului, potrivit legii;f) să stabilească obiectivele, sectoarele și locurile din zona de competență care prezintă importanță deosebită pentru protecția informațiilor secrete de stat și să le comunice Serviciului Român de Informații pentru a fi supuse spre aprobare Guvernului;g) să solicite asistența de specialitate instituțiilor abilitate să coordoneze activitatea și să controleze măsurile privitoare la protecția informațiilor secrete de stat;h) să supună avizării instituțiilor abilitate programul propriu de prevenire a scurgerii de informații clasificate și să asigure aplicarea acestuia;i) să elaboreze și să aplice măsurile procedurale de protecție fizică și de protecție a personalului care are acces la informații clasificate;j) să întocmeasca ghidul pe baza căruia se va realiza încadrarea corectă și uniforma în nivelurile de secretizare a informațiilor secrete de stat, în strictă conformitate cu legea și să îl prezinte, spre aprobare, împuterniciților și funcționarilor superiori abilitați prin lege să atribuie nivelurile de secretizare;k) să asigure aplicarea și respectarea regulilor generale privind evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea informațiilor secrete de stat și a interdicțiilor de reproducere și circulație, în conformitate cu actele normative în vigoare;l) să comunice instituțiilor abilitate, potrivit competențelor, lista funcțiilor din subordine care necesită acces la informații secrete de stat;m) la încheierea contractelor individuale de muncă, a contractelor de colaborare sau convențiilor de orice natură să precizeze obligațiile ce revin părților pentru protecția informațiilor clasificate în interiorul și în afara unității, în timpul programului și după terminarea acestuia, precum și la încetarea activității în unitatea respectivă;n) să asigure includerea personalului structurii/funcționarului de securitate în sistemul permanent de pregătire și perfecționare, conform prezentelor standarde;o) să aprobe normele interne de aplicare a măsurilor privind protecția informațiilor clasificate, în toate componentele acesteia, și să controleze modul de respectare în cadrul unității;p) să asigure fondurile necesare pentru implementarea măsurilor privitoare la protecția informațiilor clasificate, conform legii;q) să analizeze, ori de câte ori este necesar, dar cel puțin semestrial, modul în care structura/funcționarul de securitate și personalul autorizat asigură protecția informațiilor clasificate;r) să asigure inventarierea anuală a documentelor clasificate și, pe baza acesteia, să dispună măsuri în consecință, conform legii;s) să sesizeze instituțiile prevăzute la art. 25 din Legea nr. 182/2002, conform competențelor, în legătură cu incidentele de securitate și riscurile la adresa informațiilor secrete de stat;t) să dispună efectuarea de cercetări și, după caz, să sesizeze organele de urmărire penală în situația compromiterii informațiilor clasificate.(2) De la prevederile alin. (1) lit f) și h) se exceptează instituțiile prevăzute la art. 25 din Legea nr. 182/2002.  +  Secţiunea a 2-a Protecția juridică  +  Articolul 87Conducătorii unităților deținătoare de secrete de stat vor asigura condițiile necesare pentru ca toate persoanele care gestionează astfel de informații să cunoască reglementările în vigoare referitoare la protecția informațiilor clasificate.  +  Articolul 88(1) Conducătorii unităților deținătoare de informații secrete de stat au obligația de a înștiinta, în scris, instituțiile prevăzute la art. 25 din Legea nr. 182/2002, potrivit competențelor, prin cel mai operativ sistem de comunicare, despre compromiterea unor astfel de informații.(2) Înștiințarea prevăzută la alin. (1) se face în scopul obținerii sprijinului necesar pentru recuperarea informațiilor, evaluarea prejudiciilor, diminuarea și înlăturarea consecințelor.(3) Înștiințarea trebuie să conțină:a) prezentarea informațiilor compromise, respectiv clasificarea, marcarea, conținutul, data emiterii, numărul de înregistrare și de exemplare, emitentul și persoana sau compartimentul care le-a gestionat;b) o scurtă prezentare a împrejurărilor în care a avut loc compromiterea, inclusiv data constatării, perioada în care informațiile au fost expuse compromiterii și persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, dacă sunt cunoscute;c) precizări cu privire la eventuala informare a emitentului.(4) La solicitarea instituțiilor competente, înstiințările preliminare vor fi completate pe măsura derulării cercetărilor.(5) Documentele privind evaluarea prejudiciilor și activitățile ce urmează a fi intreprinse ca urmare a compromiterii vor fi prezentate instituțiilor competente.  +  Articolul 89Pentru prejudiciile cauzate deținătorului informației secrete de stat compromise, acesta are dreptul la despăgubiri civile, potrivit dreptului comun.  +  Articolul 90(1) Orice încălcare a reglementărilor de securitate va fi cercetată pentru a se stabili:a) dacă informațiile respective au fost compromise;b) dacă persoanele neautorizate care au avut sau ar fi putut avea acces la informații secrete de stat prezintă suficientă încredere și loialitate, astfel încât rezultatul compromiterii să nu creeze prejudicii;c) masurile de remediere - corective, disciplinare sau juridice - care sunt recomandate.(2) În situația în care informațiile clasificate au fost accesate de persoane neautorizate, acestea vor fi instruite pentru a preveni producerea de eventuale prejudicii.(3) În cazul săvaârșirii de infracțiuni la protecția secretului de stat, unitatile deținătoare au obligația de a sesiza organele de urmărire penală și de a pune la dispoziția acestora datele și materialele necesare probării faptelor.  +  Articolul 91(1) Structura/funcționarul de securitate are obligația de a tine evidența cazurilor de încălcare a reglementărilor de securitate, a documentelor de cercetare și a măsurilor de solutionare și să le pună la dispoziția autorităților desemnate de securitate, conform competențelor ce le revin.(2) Documentele menționate la alin. (1) se păstrează timp de cinci ani.  +  Articolul 92Litigiile cu privire la calitatea de emitent ori deținător sau cele determinate de conținutul informațiilor secrete de stat, inclusiv drepturile patrimoniale ce revin emitentului din contractele de cesiune și licență, precum și litigiile referitoare la nerespectarea dispozițiilor legale privind dreptul de autor și drepturile conexe, invențiile și inovațiile, protecția modelelor industriale, combaterea concurenței neloiale și a celor stipulate în tratatele, acordurile și înțelegerile la care România este parte, sunt de competența instanțelor judecătorești.  +  Secţiunea a 3-a Protecția prin măsuri procedurale  +  Articolul 93Toate unitățile care dețin informații secrete de stat au obligația sa stabilească norme interne de lucru și de ordine interioară destinate protecției acestor informații, potrivit actelor normative în vigoare.  +  Articolul 94(1) Măsurile procedurale de protecție a informațiilor secrete de stat vor fi integrate în programul de prevenire a scurgerii de informații clasificate, întocmit potrivit anexei nr. 10, care va fi prezentat, spre avizare, autorității abilitate să coordoneze activitatea și să controleze măsurile privitoare la protecția informațiilor clasificate, potrivit legii.(2) Sunt exceptate de obligativitatea prezentării, spre avizare, a programului de prevenire a scurgerii de informații, menționat la alin. (1), instituțiile prevăzute la art. 25 alin. (4) din Legea nr. 182/2002.  +  Articolul 95Angajamentele de confidențialitate întocmite potrivit reglementărilor în vigoare vor garanta ca informațiile la care se acordă acces sunt protejate corespunzător.  +  Secţiunea a 4-a Protecția fizică  +  Articolul 96Obiectivele, sectoarele și locurile în care sunt gestionate informații secrete de stat trebuie protejate fizic împotriva accesului neautorizat.  +  Articolul 97Măsurile de protecție fizică - gratii la ferestre, încuietori la uși, pază la intrări, sisteme automate pentru supraveghere, control, acces, patrule de securitate, dispozitive de alarmă, mijloace pentru detectarea observării, ascultării sau interceptării - vor fi dimensionate în raport cu:a) nivelul de secretizare a informațiilor, volumul și localizarea acestora;b) tipul containerelor în care sunt depozitate informațiile;c) caracteristicile clădirii și zonei de amplasare.  +  Articolul 98Zonele în care sunt manipulate sau stocate informații secrete de stat trebuie organizate și administrate în așa fel încât sș corespundă uneia din următoarele categorii:a) zona de securitate clasa I, care presupune ca orice persoană aflată în interiorul acesteia are acces la informații secrete de stat, de nivel strict secret de importanță deosebită și strict secret, și care necesită:– perimetru clar determinat și protejat, în care toate intrarile și iesirile sunt supravegheate;– controlul sistemului de intrare, care să permită numai accesul persoanelor verificate corespunzător și autorizate în mod special;– indicarea clasei și a nivelului de secretizare a informațiilor existente în zona;b) zona de securitate clasa a II-a, care presupune ca gestionarea informațiilor de nivel secret se realizează prin aplicarea unor măsuri specifice de protecție împotriva accesului persoanelor neautorizate și care necesită:– perimetru clar delimitat și protejat, în care toate intrările și ieșirile sunt supravegheate;– controlul sistemului de intrare care să permită accesul neînsoțit numai persoanelor verificate și autorizate să pătrunda în această zonă;– reguli de însoțire, supraveghere și prevenire a accesului persoanelor neautorizate la informații clasificate.  +  Articolul 99Incintele în care nu se lucrează zilnic 24 de ore vor fi inspectate imediat după terminarea programului de lucru, pentru a verifica dacă informațiile secrete de stat sunt asigurate în mod corespunzător.  +  Articolul 100În jurul zonelor de securitate clasa I sau clasa a II-a poate fi stabilită o zonă administrativă, cu perimetru vizibil delimitat, în interiorul căreia să existe posibilitatea de control al personalului și al vehiculelor.  +  Articolul 101(1) Accesul în zonele de securitate clasa I și clasa a II-a va fi controlat prin verificarea permisului de acces sau printr-un sistem de recunoaștere individuală aplicat personalului.(2) Unitățile deținătoare de informații secrete de stat vor institui un sistem propriu de control al vizitatorilor, destinat interzicerii accesului neautorizat al acestora în zonele de securitate.  +  Articolul 102Permisul de acces nu va specifica, în clar, identitatea unității emitente sau locul în care deținătorul are acces.  +  Articolul 103Unitățile vor organiza, la intrarea sau la ieșirea din zonele de securitate clasa I sau clasa a II-a, controale planificate și inopinate ale bagajelor, incluzând colete, genți și alte tipuri de suporți în care s-ar putea transporta materiale și informații secrete de stat.  +  Articolul 104Personalul inclus în sistemul de pază și apărare a obiectivelor, sectoarelor și locurilor în care sunt gestionate informații secrete de stat trebuie să dețină autorizație de acces corespunzător nivelului de secretizare a informațiilor necesare îndeplinirii atribuțiilor ce îi revin.  +  Articolul 105Este interzis accesul cu aparate de fotografiat, filmat, înregistrat audio-video, de copiat din baze de date informatice sau de comunicare la distanță, în locurile în care se află informații secrete de stat.  +  Articolul 106Conducătorii unităților deținătoare de informații secrete de stat vor stabili reguli cu privire la circulația și ordinea interioară în zonele de securitate, astfel încât accesul să fie permis exclusiv posesorilor de certificate de securitate și autorizații de acces, cu respectarea principiului necesității de a cunoaște.  +  Articolul 107Accesul pentru intervenții tehnice, reparații sau activități de deservire în locuri în care se lucrează cu informații secrete de stat ori în care se păstrează, se prelucrează sau se multiplică astfel de informații este permis numai angajaților unității care dețin autorizații de acces, corespunzător celui mai înalt nivel de secretizare a informațiilor pe care le-ar putea cunoaște.  +  Articolul 108(1) Pentru a distinge persoanele care au acces în diferite locuri sau sectoare în care sunt gestionate informații secrete de stat, acestea vor purta însemne sau echipamente specifice.(2) În locurile și sectoarele în care sunt gestionate informații secrete de stat, însemnele și echipamentele distinctive se stabilesc prin regulamente de ordine interioară.(3) Evidența legitimațiilor, permiselor și a altor însemne și echipamente distinctive va fi ținută de structura/funcționarul de securitate al unității.  +  Articolul 109(1) Persoanele care pierd permisele de acces în unitate, însemnele sau echipamentele specifice sunt obligate să anunțe de îndată șeful ierarhic.(2) În situațiile menționate la alin. (1), conducătorul instituției va dispune cercetarea împrejurărilor în care s-au produs și va informa autoritatea desemnată de securitate competentă.(3) Structura/funcționarul de securitate va lua măsurile ce se impun pentru a preveni folosirea permiselor de acces, însemnelor sau echipamentelor specifice de către persoane neautorizate.  +  Articolul 110Accesul fiecărui angajat al unității deținătoare de informații secrete de stat în zone de securitate clasa I sau clasa a II-a se realizează prin intrări anume stabilite, pe baza permisului de acces, semnat de conducătorul acesteia.  +  Articolul 111(1) Permisele de acces vor fi individualizate prin aplicarea unor semne distinctive.(2) Permisele de acces se vizează semestrial.(3) La încetarea angajării permisele de acces vor fi retrase și anulate.  +  Articolul 112Este interzis accesul altor persoane, în afara celor care dispun de permis de acces, în locurile în care sunt gestionate informații secrete de stat.  +  Articolul 113Accesul persoanelor din afara unității în zona administrativă sau în zonele de securitate este permis numai dacă sunt însoțite de persoane anume desemnate, cu bilet de intrare eliberat pe baza documentelor de legitimare de conducătorul unității.  +  Articolul 114(1) Accesul angajaților agenților economici care efectuează lucrări de construcții, reparații și întreținere a clădirilor, instalațiilor sau utilităților în zonele administrative ori în zonele de securitate se realizează cu documente de acces temporar eliberate de conducătorii unităților beneficiare, pe baza actelor de identitate, la solicitarea reprezentanților autorizați ai agenților economici în cauză.(2) Locurile în care se efectuează lucrările menționate la alin. (1) se supraveghează de către persoane anume desemnate din unitatea beneficiară.(3) Documentul de acces temporar are valabilitate pe durata executării lucrărilor și se vizează trimestrial, iar la terminarea activităților se restituie emitentului.(4) Pierderea documentului de acces temporar va fi luată în evidența structurii/funcționarului de securitate care va dispune măsurile necesare de prevenire a folosirii lui de către persoane neautorizate.  +  Articolul 115Reprezentanții instituțiilor care, potrivit competențelor legale, au atribuții de coordonare și control pe linia protecției informațiilor clasificate au acces la obiectivele, sectoarele și locurile în care sunt gestionate informații clasificate, pe baza legitimației de serviciu și a delegației speciale, semnată de conducătorul autorității pe care o reprezintă.  +  Articolul 116Persoanele aflate în practică de documentare, stagii de instruire sau schimb de experiență au acces numai în locurile stabilite de conducătorul unității, pe baza permiselor de acces eliberate în acest sens.  +  Articolul 117Persoanele care solicită angajări, audiențe, ori care prezintă reclamații și sesizări vor fi primite în afara zonelor administrative sau în locuri special amenajate, cu aprobarea conducătorului unității.  +  Articolul 118În afara orelor de program și în zilele nelucrătoare, se vor organiza patrulări pe perimetrul unității, la intervale care vor fi stabilite prin instrucțiuni elaborate pe baza planului de pază și apărare al obiectivului.  +  Articolul 119(1) Sistemele de pază, supraveghere și control-acces trebuie să asigure prevenirea pătrunderii neautorizate în obiectivele, sectoarele și locurile unde sunt gestionate informații clasificate.(2) Timpul de reacție a personalului de pază și apărare va fi testat periodic pentru a garanta intervenția operativă în situații de urgență.  +  Articolul 120(1) Unitățile care gestionează informații secrete de stat vor întocmi planul de pază și apărare a obiectivelor, sectoarelor și locurilor care prezintă importanță deosebită pentru protecția informațiilor clasificate.(2) Planul de pază și apărare menționat la alin. (1) va fi înregistrat potrivit celui mai înalt nivel de secretizare a informațiilor protejate și va cuprinde totalitatea măsurilor de securitate luate pentru prevenirea accesului neautorizat la acestea.(3) Planul de pază și apărare va fi anexat programului de prevenire a scurgerii de informații clasificate și va cuprinde:a) date privind delimitarea și marcarea zonelor de securitate, dispunerea posturilor de pază și măsurile de supraveghere a perimetrului protejat;b) sistemul de control al accesului în zonele de securitate;c) măsurile de avertizare și alarmare pentru situații de urgență;d) planul de evacuare a documentelor și modul de acțiune în caz de urgență;e) procedura de raportare, cercetare și evidență a incidentelor de securitate.  +  Articolul 121Informațiile secrete de stat se păstrează în containere speciale, astfel:a) containere clasa A, autorizate la nivel național pentru păstrarea informațiilor strict secrete de importanță deosebită în zona de securitate clasa I;b) containere clasa B, autorizate la nivel național pentru păstrarea informațiilor strict secrete și secrete în zone de securitate clasa I sau clasa a II-a.  +  Articolul 122(1) Containerele din clasele A și B vor fi construite astfel încât să asigure protecția împotriva pătrunderii clandestine și deteriorării sub orice formă a informațiilor.(2) Standardele în care trebuie să se încadreze containerele din clasele A și B se stabilesc de ORNISS.  +  Articolul 123(1) Încăperile de securitate sunt încăperile special amenajate în zone de securitate clasa I sau clasa a II-a, în care informațiile secrete de stat pot fi păstrate pe rafturi deschise sau pot fi expuse pe hărți, planșe ori diagrame.(2) Pereții, podelele, plafoanele, ușile și încuietorile încăperilor de securitate vor asigura protecția echivalentă clasei containerului de securitate aprobat pentru păstrarea informațiilor clasificate potrivit nivelului de secretizare.  +  Articolul 124(1) Ferestrele încăperilor de securitate dispuse la parter sau ultimul etaj vor fi protejate obligatoriu cu bare incastrate în beton sau asigurate antiefracție.(2) În afara programului de lucru, ușile incaperilor de securitate vor fi sigilate, iar sistemul de aerisire asigurat împotriva accesului neautorizat și introducerii materialelor incendiare.  +  Articolul 125În situații de urgență, dacă informațiile secrete de stat trebuie evacuate, se vor utiliza lăzi metalice autorizate la nivel național din clasa corespunzătoare nivelului de secretizare a acestor informații.  +  Articolul 126Încuietorile folosite la containerele și încăperile de securitate în care sunt păstrate informații secrete de stat se împart în trei grupe, astfel:a) grupa A - încuietori autorizate pentru containerele din clasa A;b) grupa B - încuietori autorizate pentru containerele din clasa B;c) grupa C - încuietori pentru mobilierul de birou.  +  Articolul 127Standardele mecanismelor de închidere, a sistemelor cu cifru și încuietorilor, pe grupe de utilizare, se stabilesc de ORNISS.  +  Articolul 128Cheile containerelor și încăperilor de securitate nu vor fi scoase din zonele de securitate.  +  Articolul 129(1) În afara orelor de program, cheile de la încăperile și containerele de securitate vor fi păstrate în cutii sigilate, de către personalul care asigură paza și apărarea.(2) Predarea și primirea cheilor de la încăperile și containerele de securitate se vor face, pe bază de semnătura, în condica special destinată - anexa nr. 11.  +  Articolul 130(1) Pentru situațiile de urgență, un rând de chei suplimentare sau, după caz, o evidență scrisă a combinațiilor încuietorilor, vor fi păstrate în plicuri mate sigilate, în containere separate, într-un compartiment stabilit de conducerea unității, sub control corespunzător.(2) Evidența fiecărei combinații se va păstra în plic separat.(3) Cheilor și plicurilor cu combinații trebuie să li se asigure același nivel de protecție ca și informațiilor la care permit accesul.  +  Articolul 131Combinațiile încuietorilor de la încăperile și containerele de securitate vor fi cunoscute de un număr restrâns de persoane desemnate de conducerea unității.  +  Articolul 132Cheile și combinațiile încuietorilor vor fi schimbate:a) ori de câte ori are loc o schimbare de personal;b) de fiecare dată când se constată că au intervenit situații de natură să le facă vulnerabile;c) la intervale regulate, de preferință o dată la șase luni, fără a se depăși 12 luni.  +  Articolul 133(1) Sistemele electronice de alarmare sau de supraveghere destinate protecției informațiilor secrete de stat vor fi prevăzute cu surse de alimentare de rezervă.(2) Orice defecțiune sau intervenție neautorizată asupra sistemelor de alarmă sau de supraveghere destinate protecției informațiilor secrete de stat trebuie să avertizeze personalul care le monitorizează.(3) Dispozitivele de alarmare trebuie să intre în funcțiune în cazul penetrării pereților, podelelor, tavanelor și deschizăturilor, sau la mișcări în interiorul încăperilor de securitate.  +  Articolul 134Copiatoarele și dispozitivele telefax se vor instala în încăperi special destinate și se vor folosi numai de către persoanele autorizate, potrivit nivelului de secretizare a informațiilor la care au acces.  +  Articolul 135Unitățile deținătoare de informații secrete de stat au obligația de a asigura protecția acestora împotriva ascultărilor neautorizate, pasive sau active.  +  Articolul 136(1) Protecția împotriva ascultării pasive a discuțiilor confidențiale se realizează prin izolarea fonică a încăperilor.(2) Protecția împotriva ascultărilor active, prin microfoane, radio-emițători și alte dispozitive implantate, se realizează pe baza inspecțiilor de securitate a încăperilor, accesoriilor, instalațiilor, sistemelor de comunicații, echipamentelor și mobilierului de birou, realizate de unitățile specializate, potrivit competențelor legale.  +  Articolul 137(1) Accesul în încăperile protejate împotriva ascultărilor se va controla în mod special.(2) Periodic, personalul specializat în depistarea dispozitivelor de ascultare va efectua inspecții fizice și tehnice.(3) Inspecțiile fizice și tehnice vor fi organizate, în mod obligatoriu, în urma oricărei intrări neautorizate sau suspiciuni privind accesul persoanelor neautorizate și după executarea lucrărilor de reparații, întreținere, zugrăvire sau redecorare.(4) Nici un obiect nu va fi introdus în încăperile protejate împotriva ascultării, fără a fi verificat în prealabil de către personalul specializat în depistarea dispozitivelor de ascultare.  +  Articolul 138(1) În zonele în care se poartă discuții confidențiale și care sunt asigurate din punct de vedere tehnic, nu se vor instala telefoane, iar dacă instalarea acestora este absolut necesară, trebuie prevăzute cu un dispozitiv de deconectare pasiv.(2) Inspecțiile de securitate tehnică în zonele prevăzute în alin. (1) trebuie efectuate, în mod obligatoriu, înaintea începerii convorbirilor, pentru identificarea fizică a dispozitivelor de ascultare și verificarea sistemelor telefonice, electrice sau de alta natură, care ar putea fi utilizate ca mediu de atac.  +  Articolul 139(1) Echipamentele de comunicații și dotările din birouri, în principal cele electrice și electronice, trebuie verificate de specialiști ai autorităților desemnate de securitate competente, înainte de a fi folosite în zonele în care se lucrează ori se discută despre informații strict secrete sau strict secrete de importanță deosebită, pentru a preveni transmiterea sau interceptarea, în afara cadrului legal, a unor informații inteligibile.(2) Pentru zonele menționate la alin. (1) se va organiza o evidență a tipului și numerelor de inventar ale echipamentului și mobilei mutate în/din interiorul încăperilor, care va fi gestionată ca material secret de stat.  +  Secţiunea a 5-a Protecția personalului  +  Articolul 140(1) Unitățile deținătoare de informații secrete de stat au obligația de a asigura protecția personalului desemnat să asigure securitatea acestora ori care are acces la astfel de informații, potrivit prezentelor standarde.(2) Măsurile de protecție a personalului au drept scop:a) să prevină accesul persoanelor neautorizate la informații secrete de stat;b) să garanteze ca informațiile secrete de stat sunt distribuite deținătorilor de certificate de securitate/autorizații de acces, cu respectarea principiului necesității de a cunoaște;c) să permită identificarea persoanelor care, prin acțiunile sau inacțiunile lor, pot pune în pericol securitatea informațiilor secrete de stat și să prevină accesul acestora la astfel de informații.(3) Protecția personalului se realizează prin: selecționarea, verificarea, avizarea și autorizarea accesului la informațiile secrete de stat, revalidarea, controlul și instruirea personalului, retragerea certificatului de securitate sau autorizației de acces.  +  Articolul 141(1) Acordarea certificatului de securitate - anexa nr. 12 - și autorizației de acces la informații clasificate - anexa nr. 13, potrivit nivelului de secretizare, este condiționată de avizul autorității desemnate de securitate.(2) În vederea eliberării certificatului de securitate/autorizației de acces conducătorul unității solicită în scris ORNISS, conform anexei nr. 14, efectuarea verificărilor de securitate asupra persoanei care urmeaza să aibă acces la informații secrete de stat.(3) Solicitarea menționată la alin. (2) va fi însoțită de formularele tip, prevăzute la anexele nr. 15, 16 și 17, potrivit nivelului de secretizare a informațiilor, completate de persoana în cauză, introduse în plic separat, sigilat.(4) În funcție de avizul comunicat de autoritatea desemnată, ORNISS va aproba eliberarea certificatului de securitate sau autorizației de acces și va încunoștiința oficial conducătorul unității.(5) După obținerea aprobării menționate la alin. (4), conducătorul unității va notifica la ORNISS și va elibera certificatul de securitate sau autorizația de acces, conform art. 154.  +  Articolul 142Certificatul de securitate sau autorizația de acces se eliberează numai în baza avizelor acordate de autoritatea desemnată de securitate în urma verificărilor efectuate asupra persoanei în cauză, cu acordul scris al acesteia.  +  Articolul 143În cadrul procedurilor de avizare trebuie acordată atenție specială persoanelor care:a) urmeaza să aibă acces la informații strict secrete și strict secrete de importanță deosebită;b) ocupa funcții ce presupun accesul permanent la un volum mare de informații secrete de stat;c) pot fi vulnerabile la acțiuni ostile, ca urmare a importanței funcției în care vor fi numite, a mediului de relații sau a locului de muncă anterior.  +  Articolul 144(1) Oportunitatea avizării va fi evaluată pe baza verificării și investigării biografiei celui în cauză.(2) Când persoanele urmează să îndeplinească funcții care le pot facilita accesul la informații secrete de stat doar în anumite circumstanțe - paznici, curieri, personal de întreținere - se va acorda atenție primei verificări de securitate.  +  Articolul 145Unitățile care gestionează informații clasificate sunt obligate să țină un registru de evidență a certificatelor de securitate și autorizațiilor de acces la informații clasificate - anexa nr. 18.  +  Articolul 146(1) Ori de câte ori apar indicii că deținătorul certificatului de securitate sau autorizației de acces nu mai îndeplinește criteriile de compatibilitate privind accesul la informațiile secrete de stat, verificările de securitate se reiau la solicitarea conducătorului unității adresată ORNISS.(2) ORNISS poate solicita reluarea verificărilor, la sesizarea autorităților competente, în situația în care sunt semnalate incompatibilități privind accesul la informații secrete de stat.  +  Articolul 147Procedura de verificare în vederea acordării accesului la informații secrete de stat are drept scop identificarea riscurilor de securitate, aferente gestionării informațiilor secrete de stat.  +  Articolul 148(1) Structura/funcționarul de securitate are obligația să pună la dispoziția persoanei selecționate formularele tip corespunzătoare nivelului de acces pentru care se solicită eliberarea certificatului de securitate/autorizației de acces și să acorde asistență în vederea completării acestora.(2) În funcție de nivelul de secretizare a informațiilor pentru care se solicită avizul de securitate, termenele de prezentare a răspunsului de către instituțiile abilitate să efectueze verificările de securitate sunt:a) pentru acces la informații strict secrete de importanță deosebită - 90 de zile lucrătoare;b) pentru acces la informații strict secrete - 60 de zile lucrătoare;c) pentru acces la informații secrete - 30 de zile lucrătoare.  +  Articolul 149ORNISS are obligația ca, în termen de 7 zile lucrătoare de la primirea solicitării, să transmita ADS competente cererea tip de începere a procedurii de verificare - anexa nr. 19, la care va anexa plicul sigilat cu formularele tip completate.  +  Articolul 150(1) După primirea formularelor, instituția abilitată va efectua verificările în termenele prevăzute la art. 148 și va comunica, în scris - anexa nr. 20, la ORNISS, avizul privind acordarea certificatului de securitate sau autorizației de acces la informații clasificate.(2) În cazul în care sunt identificate riscuri de securitate, ADS va evalua dacă acestea constituie un impediment pentru acordarea avizului de securitate.(3) În situația în care sunt semnalate elemente relevante din punct de vedere al protecției informațiilor secrete de stat, în luarea deciziei de acordare a avizului de securitate vor avea prioritate interesele de securitate.  +  Articolul 151(1) În termen de 7 zile lucrătoare de la primirea răspunsului de la autoritatea desemnată de securitate, ORNISS va decide asupra acordării certificatului de securitate/autorizației de acces la informații secrete de stat și va comunica unității solicitante - anexa nr. 21.(2) Adresa de comunicare a deciziei ORNISS se realizează în trei exemplare, din care unul se transmite unității solicitante, iar al doilea instituției care a efectuat verificările.(3) Dacă avizul este pozitiv, conducătorul unității solicitante va elibera certificatul de securitate sau autorizația de acces persoanei în cauză, după notificarea prealabilă la ORNISS - anexa nr. 22.  +  Articolul 152(1) Verificarea în vederea avizării pentru accesul la informații secrete de stat se efectuează cu respectarea legislației în vigoare privind responsabilitatile în domeniul protecției unor asemenea informații, de către următoarele instituții:a) Serviciul Român de Informații, pentru:– personalul propriu;– personalul autorităților și instituțiilor publice din zona de competență, potrivit legii;– personalul agenților economici cu capital integral sau parțial de stat și al persoanelor juridice de drept public sau privat, altele decât cele date în competența instituțiilor menționate la lit. b), c) și d);– personalul din cadrul Parchetului Național Anticorupție. (la 20-12-2004, Litera a) a alin. (1) al art. 152 a fost completată de o liniuță de pct. 1 din HOTĂRÂREA nr. 2.202 din 30 noiembrie 2004, publicată în MONITORUL OFICIAL nr. 1.225 din 20 decembrie 2004. ) b) Ministerul Apărării Naționale, pentru:– personalul militar și civil propriu;– personalul Oficiului Central de Stat pentru Probleme Speciale, Administrației Naționale a Rezervelor de Stat și altor persoane juridice stabilite prin lege și personalul militar care își desfășoară activitatea în străinătate;c) Serviciul de Informații Externe, pentru:– personalul militar sau civil propriu;– personalul român al reprezentanțelor diplomatice, misiunilor permanente, consulare, centrelor culturale, organismelor internaționale și altor reprezentante ale statului român în străinătate;– cetatenii români aflați în străinătate în cadrul unor contracte, stagii de perfecționare, programe de cercetare sau în calitate de angajați la firme;d) Ministerul Administrației și Internelor, Serviciul de Protecție și Pază și Serviciul de Telecomunicații Speciale, pentru personalul propriu și al persoanelor juridice a căror activitate o coordonează.-------------------Litera d) a alin. (1) al art. 152 a fost modificată de pct. 3 din HOTĂRÂREA nr. 2.202 din 30 noiembrie 2004, publicată în MONITORUL OFICIAL nr. 1.225 din 20 decembrie 2004.e) Ministerul Justiției, pentru personalul propriu și al persoanelor juridice a căror activitate o coordonează, altul decât cel pentru care verificarea este de competența Serviciului Român de Informații. (la 20-12-2004, Litera e) a alin. (1) al art. 152 a fost introdusă de pct. 3 din HOTĂRÂREA nr. 2.202 din 30 noiembrie 2004, publicată în MONITORUL OFICIAL nr. 1.225 din 20 decembrie 2004. ) (2) Instituțiile menționate la alin. (1) sunt abilitate să solicite și să primească informații de la persoane juridice și fizice, în vederea acordării avizului de acces la informații clasificate.  +  Articolul 153Instituțiile competente în realizarea verificărilor de securitate cooperează, pe bază de protocoale, în îndeplinirea sarcinilor și obiectivelor propuse.  +  Articolul 154Certificatul de securitate/autorizația de acces se emite în două exemplare originale, unul fiind păstrat de structura/funcționarul de securitate, iar celălalt se trimite la ORNISS, care va informa instituția competentă care a efectuat verificările.  +  Articolul 155Valabilitatea certificatului de securitate/autorizației de acces eliberate unei persoane este de până la patru ani, în această perioadă verificările putând fi reluate oricând sunt îndeplinite condițiile prevăzute la art. 167.  +  Articolul 156Pentru cadrele proprii, Ministerul Apărării Naționale, Ministerul de Interne, Ministerul Justiției, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază vor elabora instrucțiuni interne privind verificarea, avizarea, eliberarea și evidența certificatelor de securitate/autorizațiilor de acces.  +  Articolul 157Decizia privind avizarea eliberării certificatului de securitate/autorizației de acces va fi luată pe baza tuturor informațiilor disponibile și va avea în vedere:a) loialitatea indiscutabilă a persoanei;b) caracterul, obiceiurile, relațiile și discreția persoanei, care să ofere garanții asupra:– corectitudinii în gestionarea informațiilor secrete de stat;– oportunității accesului neînsoțit în compartimente, obiective, zone și locuri de securitate în care se află informații secrete de stat;– respectării reglementărilor privind protecția informațiilor secrete de stat din domeniul său de activitate.  +  Articolul 158(1) Principalele criterii de evaluare a compatibilității în acordarea avizului pentru eliberarea certificatului de securitate/autorizației de acces vizează atât trasăturile de caracter, cât și situațiile sau împrejurările din care pot rezultă riscuri și vulnerabilități de securitate.(2) Sunt relevante și vor fi luate în considerare, la acordarea avizului de securitate, caracterul, conduita profesională sau socială, concepțiile și mediul de viață al soțului/sotiei sau concubinului/concubinei persoanei solicitante.  +  Articolul 159Următoarele situații imputabile atât solicitantului, cât și soțului/soției sau concubinului/concubinei acestuia reprezintă elemente de incompatibilitate pentru acces la informații secrete de stat:a) dacă a comis sau a intenționat să comită, a fost complice, a complotat sau a instigat la comiterea de acte de spionaj, terorism, trădare ori alte infracțiuni contra siguranței statului;b) dacă a încercat, a susținut, a participat, a cooperat sau a sprijinit acțiuni de spionaj, terorism ori persoane suspectate de a se încadra în această categorie sau de a fi membre ale unor organizații ori puteri străine inamice ordinii de drept din țara noastră;c) dacă este sau a fost membru al unei organizații care a încercat, încearcă sau susține răsturnarea ordinii constituționale prin mijloace violente, subversive sau alte forme ilegale;d) dacă este sau a fost un susținător al vreunei organizații prevăzute la lit. c), este sau a fost în relații apropiate cu membrii unor astfel de organizații intr-o formă de natură să ridice suspiciuni temeinice cu privire la încrederea și loialitatea persoanei.  +  Articolul 160Constituie elemente de incompatibilitate pentru accesul solicitantului la informații secrete de stat oricare din următoarele situații:a) dacă în mod deliberat a ascuns, a interpretat eronat sau a falsificat informații cu relevanță în planul siguranței naționale ori a mințit în completarea formularelor tip sau în cursul interviului de securitate;b) are antecedente penale sau a fost sancționat contravențional pentru fapte care indică tendințe infracționale;c) are dificultăți financiare serioase sau există o discordanță semnificativă între nivelul său de trai și veniturile declarate;d) consumă în mod excesiv băuturi alcoolice ori este dependent de alcool, droguri sau de alte substanțe interzise prin lege care produc dependență;e) are sau a avut comportamente imorale sau deviații de comportament care pot genera riscul ca persoana să fie vulnerabilă la șantaj sau presiuni;f) a demonstrat lipsa de loialitate, necinste, incorectitudine sau indiscreție;g) a încălcat reglementările privind protecția informațiilor clasificate;h) suferă sau a suferit de boli fizice sau psihice care îi pot cauza deficiențe de discernământ confirmate prin investigație medicală efectuată cu acordul persoanei solicitante;i) poate fi supus la presiuni din partea rudelor sau persoanelor apropiate care ar putea genera vulnerabilități exploatabile de către serviciile de informații ale căror interese sunt ostile României și aliaților săi.  +  Articolul 161(1) Solicitările pentru efectuarea verificărilor de securitate în vederea avizării eliberării certificatelor de securitate/autorizațiilor de acces la informații secrete vor avea în vedere persoanele care:a) în exercitarea atribuțiilor profesionale lucrează cu date și informații de nivel secret;b) fac parte din personalul de execuție sau administrativ și, în virtutea acestui fapt, pot intra în contact cu date și informații de acest nivel;c) este de presupus că vor lucra cu date și informații de nivel secret, datorită funcției pe care o dețin;d) se presupune că nu pot avansa profesional în funcție, dacă nu au acces la astfel de informații.(2) Avizarea pentru acces la informații secrete de stat, de nivel secret se va baza pe:a) verificarea corectitudinii datelor menționate în formularul de bază, anexa nr. 15;b) referințe de la locurile de muncă și din mediile frecventate, de la cel puțin trei persoane.(3) În situația în care este necesară clarificarea anumitor aspecte sau la solicitarea persoanei verificate, reprezentantul instituției abilitate să efectueze verificările de securitate poate avea o întrevedere cu aceasta.  +  Articolul 162(1) Pentru eliberarea certificatelor de securitate/autorizațiilor de acces la informații strict secrete se efectuează verificări asupra persoanelor care:a) în exercitarea atribuțiilor profesionale lucrează cu date și informații de nivel strict secret;b) fac parte din personalul de execuție sau administrativ și, în virtutea acestui fapt, pot intra în contact cu date și informații de acest nivel;c) este de presupus că vor lucra cu date și informații de nivel strict secret, datorită funcției pe care o dețin;d) se presupune că nu pot avansa profesional în funcție, dacă nu au acces la astfel de informații.(2) Avizarea pentru acces la informații strict secrete se va baza pe:a) verificarea corectitudinii datelor personale menționate în formularul de bază și în formularul suplimentar, anexele nr. 15 și 16;b) referințe minime de la locurile de muncă și din mediile frecventate de la cel puțin trei persoane;c) verificarea datelor prezentate în formular, despre membrii de familie;d) investigații la locul de muncă și la domiciliu, care să acopere o perioadă de zece ani anteriori datei avizului sau începând de la vârsta de 18 ani;e) un interviu cu persoana verificată, dacă se consideră că ar putea clarifica aspecte rezultate din verificările efectuate.  +  Articolul 163(1) Pentru eliberarea certificatelor de securitate/autorizațiilor de acces la informații strict secrete de importanță deosebită se efectuează verificări asupra persoanelor care:a) în exercitarea atribuțiilor profesionale lucrează cu date și informații de nivel strict secret de importanță deosebită;b) fac parte din personalul de execuție sau administrativ și, în virtutea acestui fapt, pot intra în contact cu informații de acest nivel.(2) Avizarea accesului la informațiile strict secrete de importanță deosebită se va baza pe:a) verificarea corectitudinii datelor menționate în formularul de bază, formularul suplimentar și formularul financiar, anexele nr. 15, 16 și 17;b) investigații de cunoaștere a conduitei și antecedentelor la domiciliul actual și cele anterioare, la locul de muncă actual și la cele anterioare, precum și la instituțiile de învățământ urmate, începând de la vârsta de 18 ani, investigații care nu se vor limita la audierea persoanelor indicate de solicitantul avizului;c) verificări ale mediului relațional pentru a identifica existența unor riscuri de securitate în cadrul acestuia;d) un interviu cu persoana solicitantă, pentru a detalia aspectele rezultate din verificările efectuate;e) în cazul în care, din verificările intreprinse, rezultă incertitudini cu privire la sănătatea psihică sau comportamentul persoanei verificate, cu acordul acesteia poate fi supusă unui test psihologic.  +  Articolul 164(1) Dacă în cursul verificărilor, pentru orice nivel, apar informații ce evidențiază riscuri de securitate, se va realiza o verificare suplimentară, cu folosirea metodelor și mijloacelor specifice instituțiilor cu atribuții în domeniul siguranței naționale.(2) În cazul verificării suplimentare menționate la alin. (1) termenele de efectuare a verificărilor vor fi prelungite în mod corespunzător.  +  Articolul 165În funcție de nivelul de secretizare a informațiilor secrete de stat la care se acordă accesul, investigația de cunoaștere a antecedentelor va avea în vedere, gradual, următoarele:a) consultarea registrelor de stare civilă pentru verificarea datelor personale în vederea stabilirii, fără dubiu, a identității persoanei solicitante;b) verificarea cazierului judiciar, în evidențele centrale și locale ale poliției, în baza de date a Registrului Comerțului, precum și în alte evidențe;c) stabilirea naționalității persoanei și cetățeniei prezente și anterioare;d) confirmarea pregătirii în școlile, universitățile și alte instituții de învățământ urmate de titular, de la împlinirea vârstei de 18 ani;e) cunoașterea conduitei la locul de muncă actual și la cele anterioare, cu referințe obținute din dosarele de angajare, aprecierile anuale asupra performanțelor și eficienței activității, ori furnizate de șefii instituțiilor, șefii de compartimente sau colegi;f) organizarea de interviuri și discuții cu persoane care pot face aprecieri asupra trecutului, activității, comportamentului și corectitudinii persoanei verificate;g) cunoașterea comportării pe timpul serviciului militar și a modalității în care a fost trecut în rezervă;h) existența unor riscuri de securitate datorate unor eventuale presiuni exercitate din străinătate;i) solvabilitatea și reputația financiară a persoanei;j) stabilirea indiciilor și obținerea de probe conform cărora persoana solicitantă este sau a fost membru ori afiliat al vreunei organizații, asociații, mișcări, grupări străine sau autohtone, care au sprijinit sau au susținut comiterea unor acte de violență, în scopul afectării drepturilor altor persoane, sau care încearcă să schimbe ordinea de stat prin mijloace neconstituționale.  +  Articolul 166(1) În cazul în care o persoană deține certificat de securitate/autorizație de acces la informații naționale clasificate, acesteia i se poate elibera și certificat de securitate pentru acces la informații NATO clasificate valabil pentru același nivel de secretizare sau pentru un nivel inferior.(2) Dacă informațiile NATO clasificate la care se solicită acces în condițiile alin. (1) sunt de nivel superior celui pentru care persoana în cauză deține certificat de securitate/autorizație de acces se vor efectua verificările necesare, potrivit standardelor în vigoare.(3) Valabilitatea certificatului/autorizației eliberate în condițiile alin. (1) și (2) încetează la expirarea termenului de valabilitate al certificatului/autorizației initiale.  +  Articolul 167(1) Revalidarea avizului privind accesul la informații clasificate presupune reverificarea persoanei deținătoare a unui certificat de securitate/autorizație de acces în vederea menținerii sau retragerii acesteia.(2) Revalidarea poate avea loc la solicitarea unității în care persoana își desfășoară activitatea, sau a ORNISS, în oricare din următoarele situații:a) atunci când pentru îndeplinirea sarcinilor de serviciu ale persoanei deținătoare este necesar accesul la informații de nivel superior;b) la expirarea perioadei de valabilitate a certificatului de securitate/autorizației de acces deținute anterior;c) în cazul în care apar modificări în datele de identificare ale persoanei;d) la apariția unor riscuri de securitate din punct de vedere al compatibilității accesului la informații clasificate.  +  Articolul 168La solicitarea revalidării nu se eliberează un nou certificat de securitate/autorizație de acces, în următoarele situații:a) în cazul în care se constată neconcordanțe între datele declarate în formularele tip și cele reale;b) în cazul în care, pe parcursul perioadei de valabilitate a certificatului de securitate/autorizației de acces s-au evidențiat riscuri de securitate;c) În cazul în care ORNISS solicită acest lucru, în mod expres.  +  Articolul 169Pentru revalidarea accesului la informații secrete de stat se derulează aceleași activități ca și la acordarea avizului inițial, verificările raportându-se la perioada scursă de la eliberarea certificatului de securitate sau autorizației de acces anterioare.  +  Articolul 170(1) Persoanele cărora li se eliberează certificate de securitate/autorizații de acces vor fi instruite, obligatoriu, cu privire la protecția informațiilor clasificate, înaintea începerii activității și ori de câte ori este nevoie.(2) Activitatea de pregătire se efectuează planificat, în scopul prevenirii, contracarării și eliminării riscurilor și amenințărilor la adresa securității informațiilor clasificate.(3) Pregătirea personalului se realizează diferențiat, potrivit nivelului de secretizare a informațiilor la care certificatul de securitate sau autorizația de acces permite accesul și va fi înscrisă în fișa individuală de pregătire, care se păstrează la structura/funcționarul de securitate.(4) Toate persoanele încadrate în funcții care presupun accesul la informații clasificate trebuie să fie instruite temeinic, atât în perioada premergătoare numirii în funcție, cat și la intervale prestabilite, asupra necesității și modalităților de asigurare a protecției acestor informații.(5) După fiecare instruire, persoana care deține certificat de securitate sau autorizație de acces va semna că a luat act de conținutul reglementărilor privind protecția informațiilor secrete de stat.  +  Articolul 171(1) Pregătirea personalului urmărește însușirea corectă a standardelor de securitate și a modului de implementare eficientă a măsurilor de protecție a informațiilor clasificate.(2) Organizarea și coordonarea activității de pregătire a structurilor/funcționarilor de securitate sunt asigurate de autoritățile desemnate de securitate.  +  Articolul 172(1) Planificarea și organizarea activității de pregătire a personalului se realizează de către structura/funcționarul de securitate.(2) Autoritățile desemnate de securitate vor controla, potrivit competențelor, modul de realizare a activității de pregătire a personalului care accesează informații secrete de stat.  +  Articolul 173(1) Pregătirea individuală a persoanelor care dețin certificate de securitate/autorizații de acces se realizează în raport cu atribuțiile profesionale.(2) Toate persoanele care gestionează informații clasificate au obligația să cunoască reglementările privind protecția informațiilor clasificate și procedurile interne de aplicare a măsurilor de securitate specifice.  +  Articolul 174(1) Pregătirea personalului se realizează sub formă de lecții, informări, prelegeri, simpozioane, schimb de experiență, seminarii, ședințe cu caracter aplicativ și se poate finaliza prin verificări sau certificări ale nivelului de cunoștințe.(2) Activitățile de pregătire vor fi organizate de structura/funcționarul de securitate, conform tematicilor cuprinse în programele aprobate de conducerea unității.  +  Articolul 175Certificatul de securitate sau autorizația de acces își încetează valabilitatea și se va retrage în următoarele cazuri:a) la solicitarea ORNISS;b) prin decizia conducătorului unității care a eliberat certificatul/autorizația;c) la solicitarea autorității desemnate de securitate competente;d) la plecarea din unitate sau la schimbarea locului de muncă al deținătorului în cadrul unității, dacă noul loc de muncă nu presupune lucrul cu astfel de informații secrete de stat;e) la schimbarea nivelului de acces.  +  Articolul 176La retragerea certificatului de securitate sau autorizației de acces, în cazurile prevăzute la art. 175 lit. a)-d), angajatului i se va interzice accesul la informații secrete de stat, iar conducerea unității va notifica despre aceasta la ORNISS.  +  Articolul 177După luarea deciziei de retragere, unitatea va solicita ORNISS înapoierea exemplarului 2 al certificatului de securitate sau al autorizației de acces, după care va distruge ambele exemplare, pe bază de proces-verbal.  +  Secţiunea a 6-a Accesul cetățenilor străini, al cetățenilor români care au și cetățenia altui stat, precum și al persoanelor apatride la informațiile secrete de stat și în locurile în care se desfășoară activități, se expun obiecte sau se execută lucrări din această categorie  +  Articolul 178Cetățenii străini, cetățenii români care au și cetățenia altui stat, precum și persoanele apatride pot avea acces la informații secrete de stat, cu respectarea principiului necesității de a cunoaște și a convențiilor, protocoalelor, contractelor și altor înțelegeri încheiate în condițiile legii.  +  Articolul 179(1) Persoanele prevăzute la art. 178 vor fi verificate și avizate conform prezentelor standarde, la solicitarea conducătorului unității în cadrul căreia acestea urmează să desfășoare activități care presupun accesul la informații secrete de stat.(2) Conducătorul unității va elibera persoanelor respective o autorizație de acces corespunzătoare nivelului de secretizare a informațiilor la care urmeaza să aibă acces, valabilă numai pentru perioada desfășurării activităților comune, în baza acordului comunicat de ORNISS.  +  Articolul 180(1) Persoanele prevăzute la art. 178 care desfășoară activități de asistența tehnică, consultanță, colaborare știintifică ori specializare vor purta ecusoane distincte față de cele folosite de personalul propriu și vor fi însoțite permanent de persoane anume desemnate de conducerea unității respective.(2) Conductorul unității este obligat să delimiteze strict sectoarele și compartimentele în care persoanele menționate la art. 178 pot avea acces și va stabili măsuri pentru prevenirea prezentei acestora în alte locuri în care se gestionează informații secrete de stat.  +  Articolul 181(1) Structura/funcționarul de securitate are obligația de a instrui persoanele prevăzute la art. 178 în legătură cu regulile pe care trebuie să le respecte privind protecția informațiilor secrete de stat.(2) Autorizația de acces se va elibera numai după însușirea reglementărilor privind protecția informațiilor clasificate și semnarea angajamentului de confidențialitate.  +  Articolul 182Nerespectarea de către persoanele prevăzute la art. 178 a regulilor privind protecția informațiilor clasificate va determina, obligatoriu, retragerea autorizației de acces.  +  Capitolul 5 CONDIȚIILE DE FOTOGRAFIERE, FILMARE, CARTOGRAFIERE ȘI EXECUTARE A UNOR LUCRĂRI DE ARTE PLASTICE ÎN OBIECTIVE SAU LOCURI CARE PREZINTĂ IMPORTANȚĂ DEOSEBITĂ PENTRU PROTECȚIA INFORMAȚIILOR SECRETE DE STAT  +  Articolul 183(1) Este interzisă fotografierea, filmarea, cartografierea sau executarea de lucrări de arte plastice pe teritoriul României, în obiective, zone sau locuri de importanță deosebită pentru protecția informațiilor secrete de stat, fără autorizație specială eliberată de către ORNISS, care va ține evidența acestora, conform anexei nr. 23.(2) Autorizația specială va fi eliberată de către ORNISS în baza avizului dat de ADS, precum și de autoritățile sau instituțiile care au obiective, zone și locuri de importanță pentru protecția informațiilor clasificate în arealul în care urmează să se desfășoare activități de această natură.(3) Obiectivele și mijloacele prevăzute la art. 17 din Legea nr. 182/2002 pot fi filmate și fotografiate de către personalul militar, pentru nevoile interne ale instituțiilor militare, pe baza aprobării scrise a miniștrilor sau conducătorilor instituțiilor respective, pentru obiectivele, zonele sau locurile din competența lor.  +  Articolul 184Trupele Ministerului Apărării Naționale, Ministerului de Interne și Serviciului Român de Informații, aflate la instructie, în aplicații ori în interiorul obiectivelor prevăzute la art. 17 din Legea nr. 182/2002, pot fi fotografiate sau filmate în scopuri educative și de pregătire militară, cu aprobarea conducătorilor acestor instituții sau a împuterniciților desemnați.  +  Articolul 185Fotografierea, filmarea, cartografierea sau executarea de lucrări de arte plastice în zonele de securitate și administrative ale unităților deținătoare de secrete de stat este permisă numai cu aprobarea scrisă a împuterniciților abilitați să atribuie niveluri de secretizare conform art. 19 din Legea 182/2002, potrivit competențelor materiale.  +  Articolul 186(1) Cererea adresată ORNISS pentru eliberarea autorizației speciale de filmare, fotografiere, cartografiere sau de executare a lucrărilor de arte plastice va cuprinde, obligatoriu, menționarea obiectului și locului activității, aparatura folosită, perioada de timp în care urmează a se realiza, datele de identitate ale persoanei care le va efectua, precum și aprobarea prevăzută la art. 185.(2) Termenul de răspuns este de 60 de zile lucrătoare de la data primirii cererii. Pentru zborurile aerofotogrammetrice efectuate la scări de zbor mai mari de 1:20.000 în scopul realizării pe planuri topografice și cadastrale, termenul este de 30 de zile lucrătoare.-----------Alin. (2) al art. 186 a fost modificat pct. 1 al articolului unic din HOTĂRÂREA nr. 185 din 9 martie 2005, publicată în MONITORUL OFICIAL nr. 247 din 24 martie 2005.(3) Titularii autorizației speciale sunt obligați să se prezinte, înaintea începerii lucrărilor, la conducătorii instituțiilor unde acestea vor fi executate, pentru a se pune de acord cu privire la modalitatea de acțiune și verificarea aparaturii ce va fi folosită.  +  Articolul 187Dacă solicitantul poseda autorizație de nivel corespunzător obiectivului vizat, autorizația specială va fi eliberată în termen de 15 zile lucrătoare de la data primirii solicitării, cu respectarea principiului nevoii de a cunoaște.  +  Articolul 188Obiectivele, zonele și locurile în care fotografierea, filmarea, cartografierea sau executarea de lucrări de arte plastice se efectuează numai cu autorizare vor fi marcate cu indicatoare de interdicție în acest sens, care vor fi instalate prin grija instituțiilor cărora le aparțin, cu avizul de specialitate al organelor administrației publice locale.  +  Articolul 189(1) Emiterea, deținerea sau folosirea de date și documente geodezice, topo-fotogrammetrice și cartografice, ce constituie secrete de stat, urmează, în privința clasificării, marcării, inscripționării, procesării, manipulării, evidenței, întocmirii, multiplicării, transmiterii, păstrării, transportului și distrugerii acestora, regimul prevăzut de reglementările în vigoare privitoare la protecția informațiilor clasificate în România.(2) Ministerele și celelalte organe ale administrației publice centrale și locale, care întocmesc documente geodezice, topo-fotogrammetrice și cartografice cu caracter secret de stat, le vor nominaliza în listele proprii de informații clasificate, potrivit dispozițiilor legale în vigoare.  +  Articolul 190(1) Activitatea de aerofotografiere cu camere fotogrammetrice digitale sau analogice a teritoriului României, la o scară de zbor mai mare de 1:20.000, se efectuează pe baza autorizației speciale eliberate de ORNISS și în prezența reprezentantului Ministerului Apărării Naționale.(2) În vederea eliberării autorizației menționate la alin. (1), cererea adresată ORNISS trebuie să conțină, pe lângă datele prevăzute la art. 186 alin. (1), și scara de zbor la care vor fi efectuate activitățile de aerofotografiere.(3) Activitățile de developare a materialului fotografic și scanarea negativelor, după caz, se pot realiza, în prezența reprezentantului Ministerului Apărării Naționale, de către persoane juridice care îndeplinesc condițiile legale privind protecția informațiilor clasificate.(4) Materialele obținute din activitățile de aerofotografiere prevăzute la alin. (1) se predau persoanelor juridice autorizate, pe bază de documente justificative, în prezența reprezentantului Ministerului Apărării Naționale.(5) ORNISS ține evidența autorizațiilor speciale și dispune retragerea acestora, la propunerea motivată a organelor de control abilitate.(6) Developarea materialului fotografic și scanarea negativelor de către persoanele juridice autorizate se realizează exclusiv pe teritoriul național.(7) Materialele rezultate în urma procesului de developare și scanare, precum și cele rezultate în urma activităților de aerofotografiere cu camere fotogrammetrice digitale sunt declasificate, cu avizul Autorităților Desemnate de Securitate (ADS), de către Ministerul Apărării Naționale, în termen de 30 de zile lucrătoare de la primirea acestora.(8) În termenul prevăzut la alin. (7) produsele finale rezultate în urma declasificării se vor preda la ORNISS, prin grija reprezentantului Ministerului Apărării Naționale, pentru a fi puse la dispoziție beneficiarului.(9) Se exceptează de la obligația îndeplinirii procedurii prevăzute la alin. (1)-(8) activitățile de aerofotografiere, efectuate pe teritoriul României, la o scară de zbor mai mică sau egală cu 1:20.000.----------Art. 190 a fost modificat prin pct. 2 al articolului unic din HOTĂRÂREA nr. 185 din 9 martie 2005, publicată în MONITORUL OFICIAL nr. 247 din 24 martie 2005.  +  Capitolul 6 EXERCITAREA CONTROLULUI ASUPRA MĂSURILOR PRIVITOARE LA PROTECȚIA INFORMAȚIILOR CLASIFICATE  +  Articolul 191(1) Serviciul Român de Informații, prin unitatea sa specializată, are competența generală de exercitare a controlului asupra modului de aplicare a măsurilor de protecție de către instituțiile publice și unitățile deținătoare de informații clasificate.(2) Activitatea de control în cadrul Ministerului Apărării Naționale, Ministerului de Interne, Ministerului de Justiție, Serviciului Român de Informații, Serviciului de Informații Externe, Serviciului de Protecție și Pazâ și Serviciului de Telecomunicații Speciale se reglementează prin ordine ale conducătorilor acestor instituții, potrivit legii.(3) Controlul privind măsurile de protecție a informațiilor clasificate în cadrul Parlamentului, Administrației Prezidențiale, Guvernului și Consiliului Suprem de Apărare a Țării se organizează conform legii.(4) Activitatea de control în cadrul reprezentanțelor României în străinătate se reglementează și se realizează de către Serviciul de Informații Externe.  +  Articolul 192Controlul are ca scop:a) evaluarea eficienței măsurilor concrete de protecție adoptate la nivelul deținătorilor de informații clasificate, în conformitate cu legea, cu prevederile prezentelor standarde și altor norme în materie, precum și cu programele de prevenire a scurgerii de informații clasificate;b) identificarea vulnerabilităților existente în sistemul de protecție a informațiilor clasificate, care ar putea conduce la compromiterea acestor informații, în vederea luării măsurilor de prevenire necesare;c) luarea măsurilor de remediere a deficiențelor și de perfecționare a cadrului organizatoric și funcțional la nivelul structurii controlate;d) constatarea cazurilor de nerespectare a normelor de protecție a informațiilor clasificate și aplicarea sancțiunilor contravenționale sau, după caz, sesizarea organelor de urmărire penală, în situația în care fapta constituie infracțiune;e) informarea Consiliului Suprem de Apărare a Țării și Parlamentului cu privire la modul în care unitățile deținătoare de informații clasificate aplică reglementările în materie.  +  Articolul 193(1) Fiecare acțiune de control se încheie printr-un document de constatare, întocmit de echipa/persoana care l-a efectuat.(2) În cazul în care controlul relevă fapte și disfuncționalități de natură să reprezinte riscuri majore de securitate pentru protecția informațiilor clasificate va fi informat, de îndată, Consiliul Suprem de Apărare a Țării, iar instituția controlată va dispune măsuri imediate de remediere a deficiențelor constatate, va iniția cercetarea administrativă și, după caz, va aplica măsurile sancționatorii și va sesiza organele de urmărire penală, în situația în care rezultă indicii că s-ar fi produs infracțiuni.  +  Articolul 194În funcție de obiectivele urmărite, controalele pot fi:a) controale de fond, care urmăresc verificarea întregului sistem organizatoric, structural și funcțional de protecție a informațiilor clasificate;b) controale tematice, care vizează anumite domenii ale activității de protecție a informațiilor clasificate;c) controale în situații de urgență, care au ca scop verificarea unor aspecte punctuale, stabilite ca urmare a identificării unui risc de securitate.  +  Articolul 195În funcție de modul în care sunt stabilite și organizate, controalele pot fi:a) planificate;b) inopinate;c) determinate de situații de urgență.  +  Articolul 196Conducătorii unităților care fac obiectul controlului au obligația sa pună la dispoziția echipelor de control toate informațiile solicitate privind modul de aplicare a măsurilor prevăzute de lege pentru protecția informațiilor clasificate.  +  Articolul 197Conducătorii unităților deținătoare de informații clasificate au obligația să organizeze anual și ori de câte ori este nevoie controale interne privind gestionarea acestora.  +  Capitolul 7 SECURITATEA INDUSTRIALĂ  +  Secţiunea 1 Dispoziții generale  +  Articolul 198Prevederile prezentului capitol se vor aplica tuturor persoanelor juridice de drept public sau privat care desfășoară ori solicită să desfășoare activități contractuale ce presupun accesul la informații clasificate.  +  Secţiunea a 2-a Atribuțiile Oficiului Registrului Național al Informațiilor Secrete de Stat și ale autorităților desemnate de securitate în domeniul protectiei informațiilor clasificate care fac obiectul activităților contractuale  +  Articolul 199În domeniul protecției informațiilor clasificate care fac obiectul activităților contractuale, ORNISS are următoarele atribuții:a) stabilește strategia de implementare unitară la nivel național a măsurilor de protecție a informațiilor clasificate care fac obiectul activităților contractuale;b) eliberează autorizația și certificatul de securitate industrială, la cererea persoanelor juridice interesate;c) gestionează, la nivel național, evidențele privind: persoanele juridice deținătoare de autorizații de securitate industrială; persoanele juridice deținătoare de certificate de securitate industrială; persoanele fizice care dețin certificate de securitate sau autorizații de acces eliberate în scopul negocierii sau executării unui contract clasificat.  +  Articolul 200În sfera lor de competență legală, autoritățile desemnate de securitate au următoarele atribuții:a) efectuează verificările de securitate necesare acordării avizului de securitate industrială, pe care îl transmite la ORNISS în vederea eliberării autorizației sau, după caz, a certificatului de securitate industrială;b) asigura asistența de specialitate obiectivelor industriale în vederea implementării standardelor de securitate în domeniul protecției informațiilor clasificate vehiculate în cadrul activităților industriale;c) desfășoară activități de pregătire a personalului cu atribuții pe linia protecției informațiilor clasificate, vehiculate în cadrul activităților industriale;d) efectuează verificări în situațiile în care s-au semnalat încălcări ale reglementărilor de protecție, distrugeri, dispariții, dezvăluiri neautorizate de informații clasificate, furnizate sau produse în cadrul unui contract clasificat;e) se asigură că fiecare obiectiv industrial, în cadrul căruia urmeaza să fie gestionate informații clasificate, a desemnat o structură/funcționar de securitate în vederea exercitării efective a atribuțiilor pe linia protecției acestora, în cadrul contractelor clasificate;f) monitorizează, în condițiile legii, modul de asigurare a protecției informațiilor clasificate în procesul de negociere și derulare a contractelor, iar în cazul în care constată factori de risc și vulnerabilități, informează imediat ORNISS și propune măsurile necesare;g) avizează programele de prevenire a scurgerii informațiilor clasificate din obiectivele industriale, anexele de securitate ale contractelor clasificate și monitorizează respectarea prevederilor acestora;h) efectuează controale de securitate și informează ORNISS asupra concluziilor rezultate;i) verifică și prezintă ORNISS propuneri de soluționare a sesizărilor, reclamațiilor și observațiilor referitoare la modul de aplicare și respectare a standardelor de protecție în cadrul contractelor clasificate.  +  Secţiunea a 3-a Protecția informațiilor clasificate care fac obiectul activităților contractuale  +  Articolul 201(1) Clauzele și procedurile de protecție vor fi stipulate în anexa de securitate a fiecărui contract clasificat, care presupune acces la informații clasificate.(2) Anexa de securitate prevăzută la alin. (1) va fi întocmită de partea contractantă deținătoare de informații clasificate ce vor fi utilizate în derularea contractului clasificat.(3) Clauzele și procedurile de protecție vor fi supuse, periodic, inspecțiilor și verificărilor de către autoritatea desemnată de securitate competentă.  +  Articolul 202Partea contractantă deținătoare de informații clasificate ce vor fi utilizate în derularea unui contract este responsabilă pentru clasificarea și definirea tuturor componentelor acestuia, în conformitate cu normele în vigoare, sens în care poate solicita sprijin de la ADS, conform competențelor materiale stabilite prin lege.  +  Articolul 203La clasificarea contractelor se vor aplica următoarele reguli generale:a) în toate stadiile de planificare și execuție, contractul se clasifica pe niveluri corespunzătoare, în functie de conținutul informațiilor;b) clasificările se aplică numai acelor părți ale contractului care trebuie protejate;c) când în derularea unui contract se folosesc informații din mai multe surse, cu niveluri de clasificare diferite, contractul va fi clasificat în funcție de nivelul cel mai înalt al informațiilor, iar măsurile de protecție vor fi stabilite în mod corespunzător;d) declasificarea sau trecerea la o altă clasă sau nivel de secretizare a unei informații din cadrul contractului se aprobă de conducătorul persoanei juridice care a autorizat clasificarea inițială.  +  Articolul 204În cazul în care apare necesitatea protejării informațiilor dintr-un contract care, anterior, nu a fost necesar a fi clasificat, contractorul are obligația declanșării procedurilor de clasificare și protejare conform reglementărilor în vigoare.  +  Articolul 205În cazul în care contractantul cedează unui subcontractant realizarea unei părți din contractul clasificat, se va asigura că acesta deține autorizație sau certificat de securitate industrială și este obligat sa înștiințeze contractorul, iar la încheierea subcontractului să prevadă clauze și proceduri de protecție în conformitate cu prevederile prezentelor standarde.  +  Articolul 206(1) În procesul de negociere a unui contract clasificat pot participa doar reprezentanți autorizați ai obiectivelor industriale care dețin autorizație de securitate industrială eliberată de către ORNISS, care va ține evidența acestora.(2) Autorizațiile de securitate industrială se eliberează pentru fiecare contract clasificat în parte.(3) În cazul în care obiectivul industrial nu deține autorizații de securitate industrială pentru participarea la negocierea acelui contract, este obligatorie inițierea procedurii de autorizare.  +  Articolul 207(1) Invitațiile la licitații sau prezentări de oferte, în cazul contractelor clasificate, trebuie să conțină o clauză prin care potențialul ofertant este obligat sa înapoieze documentele clasificate care i-au fost puse la dispoziție, în cazul în care nu depune oferta până la data stabilită sau nu câștigă competiția într-un termen precizat de organizator, care să nu depășească 15 zile de la comunicarea rezultatului.(2) În situațiile menționate la alin. (1), ofertantul care a pierdut licitația are obligația să păstreze confidențialitatea informațiilor la care a avut acces.  +  Articolul 208Contractorul păstrează evidența tuturor participanților la întâlnirile de negociere, datele de identificare ale acestora și angajamentele de confidențialitate, organizațiile pe care le reprezintă, tipul și scopul întâlnirilor, precum și informațiile la care aceștia au avut acces.  +  Articolul 209Contractanții care intenționează să deruleze activități industriale cu subcontractanți sunt obligați să respecte procedurile prevăzute în acest capitol.  +  Articolul 210Contractantul și subcontractanții sunt obligați să implementeze și să respecte toate măsurile de protecție a informațiilor clasificate puse la dispoziție sau care au fost generate pe timpul derulării contractelor.  +  Articolul 211Autoritățile desemnate de securitate vor verifica, potrivit competențelor, dacă obiectivul industrial îndeplinește următoarele cerințe:a) posedă structura/funcționar de securitate responsabilă cu protecția informațiilor clasificate care fac obiectul activităților contractuale;b) asigură sprijinul necesar pentru efectuarea inspecțiilor de securitate periodice, pe întreaga durată a contractului clasificat;c) nu permite diseminarea, fără autorizație scrisă din partea emitentului, a nici unei informații clasificate ce i-a fost încredințată în cadrul derulării unui contract clasificat;d) aprobă accesul la informațiile vehiculate în cadrul contractului clasificat numai persoanelor care dețin certificat de securitate sau autorizație de acces, în conformitate cu principiul necesității de a cunoaște;e) dispune de posibilitățile necesare pentru a informa asupra oricărei compromiteri, divulgări, distrugeri, sustrageri, sabotaje sau activități subversive ori altor riscuri la adresa securității informațiilor clasificate vehiculate sau a persoanelor angajate în derularea contractului respectiv și orice schimbări privind proprietatea, controlul sau managementul obiectivului industrial cu implicații asupra statutului de securitate al acestuia;f) impune subcontractanților obligații de securitate similare cu cele aplicate contractantului;g) nu utilizează în alte scopuri decât cele specifice contractului informațiile clasificate la care are acces, fără permisiunea scrisă a emitentului;h) înapoiază toate informațiile clasificate ce i-au fost încredințate, precum și pe cele generate pe timpul derulării contractului, cu excepția cazului în care asemenea informații au fost distruse autorizat sau păstrarea lor a fost autorizată de către contractor pentru o perioadă de timp strict determinată;i) respectă procedura stabilită pentru protecția informațiilor clasificate legate de contract.  +  Articolul 212După adjudecarea contractului clasificat, contractantul are obligația de a informa ORNISS, în vederea inițierii procedurii de obținere a certificatului de securitate industrială.  +  Articolul 213Contractul clasificat va putea fi pus în executare numai în condițiile în care:a) ORNISS a emis certificatul de securitate industrială;b) au fost eliberate certificate de securitate sau autorizații de acces pentru persoanele care, în îndeplinirea sarcinilor ce le revin, necesită acces la informații secrete de stat;c) personalul autorizat al contractantului a fost instruit asupra reglementărilor de securitate industrială de către structura/funcționarul de securitate și a semnat fișa individuală de pregătire.  +  Secţiunea a 4-a Procedura de verificare, avizare și certificare a obiectivelor industriale care negociază și derulează contracte clasificate  +  Articolul 214Verificarea, avizarea și eliberarea autorizației și certificatului de securitate industrială reprezintă ansamblul procedural de securitate ce se aplică numai obiectivelor industriale care au sau vor avea acces la informații clasificate în cadrul contractelor sau subcontractelor secrete de stat, încheiate cu deținătorii unor astfel de informații.  +  Articolul 215(1) Pentru participarea la negocieri în vederea încheierii unui contract clasificat, conducătorul obiectivului industrial adresează ORNISS o cerere pentru eliberarea autorizației de securitate industrială - anexa nr. 24, la care anexează chestionarul de securitate industrială - anexa nr. 25.(2) După obținerea avizului de la autoritatea desemnată de securitate competentă, ORNISS eliberează autorizația de securitate industrială - anexa nr. 28.(3) Evidența autorizațiilor de securitate industrială eliberate potrivit alin. (2) se realizează conform anexei nr. 31.  +  Articolul 216(1) Pentru derularea contractelor clasificate, ORNISS eliberează obiectivelor industriale, certificate de securitate industrială - anexa nr. 29.(2) Procedura de avizare a eliberării certificatului de securitate industrială se realizează pe baza cererii pentru eliberarea certificatului de securitate industrială - anexa nr. 30, chestionarului de securitate - anexele nr. 26 și 27 și a copiei anexei de securitate menționată la art. 201.(3) ORNISS va tine evidența certificatelor de securitate industrială potrivit anexei nr. 32.  +  Articolul 217Activitatea de verificare în vederea eliberării autorizației și a certificatelor de securitate trebuie să asigure îndeplinirea următoarelor obiective principale:a) prevenirea accesului persoanelor neautorizate la informații clasificate;b) garantarea că informațiile clasificate sunt distribuite pe baza existenței certificatului de securitate industrială și a principiului necesității de a cunoaște;c) identificarea persoanelor care, prin acțiunile lor, pot pune în pericol protecția informațiilor clasificate și interzicerea accesului acestora la astfel de informații;d) garantarea faptului că obiectivele industriale au capacitatea de a proteja informațiile clasificate în procesul de negociere, respectiv de derulare a contractului.  +  Articolul 218(1) Pentru a i se elibera autorizația și certificatul de securitate, obiectivul industrial trebuie să îndeplinească următoarele cerințe:a) să posede program de prevenire a scurgerii de informații clasificate, avizat conform reglementărilor în vigoare;b) să fie stabil din punct de vedere economic;c) să nu fi înregistrat o greșeală de management cu implicații grave asupra stării de securitate a informațiilor clasificate pe care le gestionează;d) să fi respectat obligațiile de securitate din cadrul contractelor clasificate derulate anterior;e) personalul implicat în derularea contractului să dețină certificat de securitate de nivel egal celui al informațiilor vehiculate în cadrul contractului clasificat.(2) Neîndeplinirea cerințelor menționate la alin. (1), precum și furnizarea intenționată a unor informații inexacte în completarea chestionarului sau în documentele prezentate în vederea certificării constituie elemente de incompatibilitate în procesul de eliberare a autorizației sau certificatului de securitate industrială.  +  Articolul 219Obiectivul industrial nu este considerat stabil din punct de vedere economic dacă:a) este în proces de lichidare;b) este în stare de faliment ori se află în procedura reorganizării judiciare sau a falimentului;c) este implicat într-un litigiu care îi afectează stabilitatea economică;d) nu își îndeplinește obligațiile financiare către stat;e) nu și-a îndeplinit la timp, în mod sistematic, obligațiile financiare către persoane fizice sau juridice.  +  Articolul 220(1) Un obiectiv industrial nu corespunde din punct de vedere al protecției informațiilor clasificate dacă se constată că prezintă riscuri de securitate.(2) Sunt considerate riscuri de securitate:a) derularea unor activități ce contravin intereselor de siguranță națională sau angajamentelor pe care România și le-a asumat în cadrul acordurilor bilaterale sau multinaționale;b) relațiile cu persoane fizice sau juridice străine ce ar putea aduce prejudicii intereselor statului român;c) asociațiile, persoane fizice și juridice, care pot reprezenta factori de risc pentru interesele de stat ale României.  +  Articolul 221(1) Pentru eliberarea autorizației sau certificatului de securitate industrială, solicitantul va transmite la ORNISS următoarele documente:a) cererea de eliberare a autorizației, respectiv a certificatului de securitate industrială;b) chestionarul de securitate completat, introdus într-un plic separat, sigilat.(2) Pentru eliberarea certificatului de securitate industrială, solicitantul va atașa și o copie a anexei de securitate.  +  Articolul 222În termen de 7 zile lucrătoare de la primirea cererii, ORNISS va solicita autorității desemnate de securitate competente să efectueze verificările de securitate.  +  Articolul 223Avizul de securitate eliberat de autoritatea desemnată de securitate competentă trebuie să garanteze că:a) agentul economic nu prezintă riscuri de securitate;b) sunt aplicate în mod corespunzător măsurile de securitate fizică, prevăzute de reglementările în vigoare, precum și normele privind accesul persoanelor la informații clasificate;c) obiectivul industrial este solvabil din punct de vedere financiar;d) obiectivul industrial nu a fost și nu este implicat sub nici o formă în activitatea unor organizații, asociații, mișcări, grupări de persoane străine sau autohtone care au adoptat sau adoptă o politică de sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste.  +  Articolul 224Verificările de securitate se realizează astfel:a) verificarea de securitate de nivel I - pentru eliberarea avizului necesar autorizației de securitate industrială;b) verificarea de securitate de nivel II - pentru eliberarea avizului necesar certificatului de securitate industrială de nivel secret;c) verificarea de securitate de nivel III - pentru eliberarea avizului necesar certificatului de securitate industrială de nivel strict secret;d) verificarea de securitate de nivel IV - pentru eliberarea avizului necesar certificatului de securitate industrială de nivel strict secret de importanță deosebită.  +  Articolul 225În cadrul verificării de securitate se desfășoară următoarele activități:(1) Pentru verificările de securitate de nivel I:a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială, conform anexei nr. 25;b) verificarea modului de aplicare a prevederilor programului de prevenire a scurgerii de informații clasificate;c) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie - asociați/acționari, administratori, persoanele din comitetul director și structura de securitate - ori executiva implicată în negocierea contractului clasificat;d) verificarea datelor minime referitoare la bonitatea și stabilitatea economică a obiectivului industrial - domeniu și obiect de activitate, statut juridic, acționari, garanții bancare.(2) Pentru verificările de securitate de nivel II:a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială - anexa nr. 26;b) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie - asociați/acționari, administratori, persoanele din comitetul director și structura de securitate - ori executivă implicată în derularea contractului clasificat;c) verificarea unor date minime referitoare la bonitatea și stabilitatea economică a obiectivului industrial - domeniu și obiect de activitate, statut juridic, acționari, garanții bancare;d) verificarea modului de implementare și de aplicare a normelor și măsurilor de securitate fizică, de securitate a personalului și a documentelor, prevăzute pentru nivelul secret.(3) Pentru verificarea de securitate de nivel III:a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială - anexa nr. 27;b) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie - asociați/acționari, administratori, persoanele din comitetul director și structura de securitate - ori executivă implicată în derularea contractului clasificat, precum și a celor desemnate să participe la activitățile de negociere a acestuia;c) verificarea datelor referitoare la bonitatea și stabilitatea economică a agentului economic - domeniu și obiect de activitate, statut juridic, acționari, garanții bancare - incluzând și aspecte referitoare la sucursale, filiale, firme la care este asociat, date financiare;d) verificarea existenței autorizării sistemului informatic și de comunicații propriu, pentru nivelul strict secret;e) verificarea modului de implementare și de aplicare a normelor și măsurilor de securitate fizică, de securitate a personalului și a documentelor, prevăzute pentru nivelul strict secret;f) discuții cu proprietarii, membrii consiliului director, funcționarii de securitate, angajații, în vederea clarificării datelor rezultate din chestionar, după caz.(4) Pentru verificarea de securitate de nivel IV:a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială - anexa nr. 27;b) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie - asociați/acționari, administratori, persoanele din comitetul director și structura de securitate - ori executivă implicată în derularea contractului clasificat;c) verificarea informațiilor detaliate referitoare la bonitatea și stabilitatea economică a agentului economic - domeniu și obiect de activitate, statut juridic, acționari, garanții bancare - incluzând și aspecte referitoare la sucursale, filiale, firme la care este asociat, date financiare;d) verificarea existenței autorizării sistemului informatic și de comunicații propriu, pentru nivel strict secret de importanță deosebită;e) verificarea modului de implementare și de aplicare a normelor și măsurilor de securitate fizică, de securitate a personalului și a documentelor, prevăzute pentru nivelul strict secret de importanță deosebită;f) discuții cu proprietarii, membrii consiliului director, funcționarii de securitate, angajații, în vederea clarificării datelor rezultate din chestionar, după caz.  +  Articolul 226În cazul unui obiectiv industrial la al cărui management/acționariat participă cetățeni străini, cetățeni români care au și cetățenia altui stat sau/și persoane apatride, ORNISS, împreună cu ADS competentă, va evalua măsura în care interesul strain ar putea reprezenta o amenințare la adresa protecției informațiilor secrete de stat, care vor fi încredințate acelui obiectiv industrial.  +  Articolul 227În indeplinirea sarcinilor și obiectivelor ce le revin, pe linia protecției informațiilor clasificate, ADS competente cooperează pe baza protocoalelor ce vor fi încheiate între ele cu avizul ORNISS.  +  Articolul 228În vederea desfășurării procedurilor de avizare, obiectivul industrial are obligația de a permite accesul reprezentanților ADS în sediile, la echipamentele, operațiunile și la alte activități, respectiv de a prezenta documentele necesare și de a furniza, la cerere, alte date și informații.  +  Articolul 229(1) Dacă în urma verificării de securitate se constată că sunt îndeplinite cerințele de securitate necesare asigurării protecției la nivelul de clasificare corespunzător informațiilor vehiculate în cadrul contractului clasificat, ORNISS eliberează și transmite obiectivului industrial autorizația sau certificatul de securitate industrială.(2) Dacă se constată că obiectivul industrial nu îndeplinește condițiile de securitate necesare, ORNISS nu eliberează autorizația sau certificatul de securitate industrială și informează obiectivul industrial în acest sens. ORNISS nu este obligat să prezinte motivele refuzului. Refuzul eliberării autorizației sau certificatului de securitate industrială va fi comunicat și la ADS care a efectuat verificările de securitate.(3) Când sunt semnalate elemente care nu constituie riscuri, dar sunt relevante din punct de vedere al securității, în luarea deciziei de eliberare a autorizației sau certificatului de securitate industrială vor avea prioritate interesele de securitate.  +  Articolul 230În termen de 7 zile lucrătoare de la primirea avizului de securitate din partea autorităților desemnate de securitate, ORNISS va elibera autorizația sau certificatul de securitate industrială ori, după caz, va comunica obiectivului industrial refuzul eliberării acestora.  +  Articolul 231Obiectivul industrial are obligația de a comunica ORNISS toate modificările survenite privind datele de securitate incluse în chestionarul completat, pe întreaga durată de valabilitate a autorizației sau certificatului de securitate industrială.  +  Articolul 232Termenele pentru eliberarea autorizației sau certificatului de securitate industrială sunt:a) pentru autorizația de securitate industrială - 60 de zile lucrătoare;b) pentru certificat de securitate industrială de nivel secret - 90 de zile lucrătoare;c) pentru certificat de securitate industrială de nivel strict secret - 120 de zile lucrătoare;d) pentru certificat de securitate industrială de nivel strict secret de importanță deosebită - 180 de zile lucrătoare.  +  Articolul 233(1) Autorizația de securitate are valabilitate până la încheierea contractului sau până la retragerea de la negocieri.(2) Dacă în perioada menționată la alin. (1) contractul clasificat care a făcut obiectul negocierilor este adjudecat, contractantul este obligat să solicite la ORNISS eliberarea certificatului de securitate industrială.(3) Termenul de valabilitate al certificatului de securitate industrială este determinat de perioada derulării contractului clasificat, dar nu mai mult de 3 ani, după care contractantul este obligat să solicite revalidarea acestuia.  +  Articolul 234În situația în care ORNISS decide retragerea autorizației sau certificatului de securitate industrială va înștiința contractantul, contractorul și autoritatea desemnată de securitate competentă.  +  Articolul 235Autorizația sau certificatul de securitate industrială se retrage de ORNISS în următoarele cazuri:a) la solicitarea obiectivului industrial;b) la propunerea motivată a autorității desemnate de securitate competente;c) la expirarea termenului de valabilitate;d) la încetarea contractului;e) la schimbarea nivelului de certificare acordat inițial.  +  Capitolul 8 PROTECȚIA SURSELOR GENERATOARE DE INFORMAȚII - INFOSEC  +  Secţiunea 1 Dispoziții generale  +  Articolul 236Modalitățile și măsurile de protecție a informațiilor clasificate care se prezintă în format electronic sunt similare celor pe suport de hârtie.  +  Articolul 237Termenii specifici, folosiți în prezentul capitol, cu aplicabilitate în domeniul INFOSEC, se definesc după cum urmează:– INFOSEC - ansamblul măsurilor și structurilor de protecție a informațiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicații și al altor sisteme electronice, împotriva amenințărilor și a oricăror acțiuni care pot aduce atingere confidențialității, integrității, disponibilității autenticității și nerepudierii informațiilor clasificate precum și afectarea funcționării sistemelor informatice, indiferent dacă acestea apar accidental sau intenționat. Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, a emisiilor, securitatea criptografică, precum și depistarea și prevenirea amenințărilor la care sunt expuse informațiile și sistemele;– informațiile în format electronic - texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenți, tensiuni sau câmp electromagnetic, în eter sau în rețele de comunicații;– sistemul de prelucrare automată a datelor - SPAD - ansamblul de elemente interdependente în care se includ: echipamentele de calcul, produsele software de bază și aplicative, metodele, procedeele și, dacă este cazul, personalul, organizate astfel încât să asigure îndeplinirea funcțiilor de stocare, prelucrare automată și transmitere a informațiilor în format electronic, și care se află sub coordonarea și controlul unei singure autorități. Un SPAD poate să cuprindă subsisteme, iar unele dintre acestea pot fi ele insele SPAD;– componentele specifice de securitate ale unui SPAD, necesare asigurării unui nivel corespunzător de protecție pentru informațiile clasificate care urmează a fi stocate sau procesate într-un SPAD, sunt:– funcții și caracteristici hardware/firmware/software;– proceduri de operare și moduri de operare;– proceduri de evidență;– controlul accesului;– definirea zonei de operare a SPAD;– definirea zonei de operare a posturilor de lucru/a terminalelor la distanță;– restricții impuse de politica de management;– structuri fizice și dispozitive;– mijloace de control pentru personal și comunicații;– rețele de transmisii de date - RTD - ansamblul de elemente interdependente în care se includ: echipamente, programe și dispozitive de comunicație, tehnică de calcul hardware și software, metode și proceduri pentru transmisie și recepție de date și controlul rețelei, precum și, dacă este cazul, personalul aferent. Toate acestea sunt organizate astfel încât să asigure îndeplinirea funcțiilor de transmisie a informațiilor în format electronic între două sau mai multe SPAD sau să permită interconectarea cu alte RTD-uri. O RTD poate utiliza serviciile unuia sau mai multor sisteme de comunicații; mai multe RTD pot utiliza serviciile unuia și aceluiași sistem de comunicații.Caracteristicile de securitate ale unei RTD cuprind: caracteristicile de securitate ale sistemelor SPAD individuale conectate, împreună cu toate componentele și facilitatile asociate retelei - facilități de comunicatii ale retelei, mecanisme și proceduri de identificare și etichetare, controlul accesului, programe și proceduri de control și revizie - necesare pentru a asigura un nivel corespunzător de protecție pentru informațiile clasificate, care sunt transmise prin intermediul RTD;– RTD locală - rețea de transmisii de date care interconectează mai multe computere sau echipamente de rețea, situate în același perimetru;– sistemul informatic și de comunicații - SIC - ansamblu informatic prin intermediul căruia se stochează, se procesează și se transmit informații în format electronic, alcătuit din cel puțin un SPAD, izolat sau conectat la o RTD. Poate avea o configurație complexă, formată din mai multe SPAD-uri și/sau RTD-uri interconectate;– securitatea SPAD, RTD și SIC - aplicarea măsurilor de securitate la SPAD și RTD - SIC cu scopul de a preveni sau împiedica extragerea sau modificarea informațiilor clasificate stocate, procesate, transmise prin intermediul acestora - prin interceptare, alterare, distrugere, accesare neautorizată cu mijloace electronice, precum și invalidarea de servicii sau funcții, prin mijloace specifice;– confidențialitatea - asigurarea accesului la informații clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informației accesate și a permisiunii rezultate din aplicarea principiului nevoii de a cunoaște;– integritatea - interdicția modificării - prin ștergere sau adăugare - ori a distrugerii în mod neautorizat a informațiilor clasificate;– disponibilitatea asigurarea condițiilor necesare regăsirii și folosirii cu ușurință, ori de câte ori este nevoie, cu respectarea strictă a condițiilor de confidențialitate și integritate a informațiilor clasificate;– autenticitatea - asigurarea posibilității de verificare a identității pe care un utilizator de SPAD sau RTD pretinde că o are;– nerepudierea - măsura prin care se asigură faptul că, după emiterea/recepționarea unei informații într-un sistem de comunicații securizat, expeditorul/destinatarul nu poate nega, în mod fals, că a expediat/primit informații;– risc de securitate - probabilitatea ca o amenințare sau o vulnerabilitate ale SPAD sau RTD - SIC să se materializeze în mod efectiv;– managementul de risc - are ca scop identificarea, controlul și minimizarea riscurilor de securitate și este o activitate continuă de stabilire și menținere a unui nivel de securitate în domeniul tehnologiei informației și comunicațiilor - TIC - într-o unitate, în sensul că, pornind de la analiza de risc, identifică și evaluează amenințările și vulnerabilitățile și propune aplicarea măsurilor adecvate de contracarare, proiectate la un preț de cost corelat cu consecințele care ar decurge din divulgarea, modificarea sau ștergerea informațiilor care trebuie protejate;– regula celor doi - obligativitatea colaborării a două persoane pentru îndeplinirea unei activități specifice;– produs informatic de securitate - componenta de securitate care se incorporeaza într-un SPAD sau RTD - SIC și care servește la sporirea sau asigurarea confidențialității, integrității, disponibilității, autenticității și nerepudierii informațiilor stocate, procesate sau transmise;– securitatea calculatoarelor - COMPUSEC - aplicarea la nivelul fiecărui calculator a facilităților de securitate hardware, software și firmware, pentru a preveni divulgarea, manevrarea, modificarea sau ștergerea neautorizată a informațiilor clasificate ori invalidarea neautorizată a unor funcții;– securitatea comunicațiilor - COMSEC - aplicarea măsurilor de securitate în telecomunicații, cu scopul de a proteja mesajele dintr-un sistem de telecomunicații, care ar putea fi interceptate, studiate, analizate și, prin reconstituire, pot conduce la dezvăluiri de informații clasificate.COMSEC reprezintă ansamblul de proceduri, incluzând :a) măsuri de securitate a transmisiilor;b) măsuri de securitate împotriva radiațiilor - TEMPEST;c) măsuri de acoperire criptologică;d) măsuri de securitate fizică, procedurală, de personal și a documentelor;e) măsuri COMPUSEC;– TEMPEST - ansamblul măsurilor de testare și de realizare a securității împotriva scurgerii de informații, prin intermediul emisiilor electromagnetice parazite;– evaluarea - examinarea detaliată, din punct de vedere tehnic și funcțional, a aspectelor de securitate ale SPAD și RTD - SIC sau a produselor de securitate, de către o autoritate abilitată în acest sens.Prin procesul de evaluare se verifică:a) prezența facilităților/funcțiilor de securitate cerute;b) absența efectelor secundare compromițătoare care ar putea decurge din implementarea facilităților de securitate;c) funcționalitatea globală a sistemului de securitate;d) satisfacerea cerințelor de securitate specifice pentru un SPAD și RTD - SIC;e) stabilirea nivelului de încredere al SPAD sau RTD - SIC ori al produselor informatice de securitate implementate;f) existența performanțelor de securitate ale produselor informatice de securitate instalate în SPAD sau RTD-SIC;– certificarea - emiterea unui document de constatare, la care se atașează unul de analiză, în care sunt prezentate modul în care a decurs evaluarea și rezultatele acesteia, în documentul de constatare se menționează măsurile în care SPAD și RTD - SIC satisfac cerințele de securitate, precum și măsura în care produsele informatice de securitate răspund exigențelor referitoare la protecția informațiilor clasificate în format electronic;– acreditarea - etapa de acordare a autorizării și aprobării unui SPAD sau RTD - SIC de a prelucra informații clasificate, în spațiul/mediul operațional propriu.Etapa de acreditare trebuie să se desfășoare după ce s-au implementat toate procedurile de securitate și după ce s-a atins un nivel suficient de protecție a resurselor de sistem. Acreditarea se face, în principal, pe baza CSS și include următoarele:a) nota justificativă despre obiectivul acreditării sistemului, nivelul/nivelurile de clasificare a informațiilor care urmează să fie procesate și vehiculate; modul/modurile de operare protejată propuse;b) nota justificativă despre managementul riscurilor - modul de tratare, gestionare și rezolvare a riscurilor - în care se specifică pericolele și punctele vulnerabile, precum și măsurile adecvate de contracarare a acestora;c) o descriere detaliată a facilităților de securitate și a procedurilor propuse, destinate SPAD sau RTD - SIC. Această descriere va reprezenta elementul esențial pentru finalizarea procesului de acreditare;d) planul de implementare și întreținere a caracteristicilor de securitate;e) planul de desfășurare a etapelor de testare, evaluare și certificare a securității SPAD sau RTD - SIC;f) certificatul și, acolo unde este necesar, elemente de acreditare suplimentare;– zona SPAD - reprezintă o zonă de lucru în care se gasesc și operează unul sau mai multe calculatoare, unități periferice locale și de stocare, mijloace de control și echipament specific de rețea și de comunicații. Zona SPAD nu include zona în care sunt amplasate terminale, echipamente periferice sau stații de lucru la distanță, chiar dacă aceste echipamente sunt conectate la echipamentul central de calcul din zona SPAD;– zonă terminal/stație de lucru la distanță - reprezintă o zonă, separată de zona SPAD, în care se găsesc :a) elemente de tehnică de calcul;b) echipamentele periferice locale, terminale sau stații de lucru la distanță, conectate la echipamentele din zona SPAD;c) echipamente de comunicații;– amenințarea - posibilitatea de compromitere accidentală sau deliberată a securității SPAD sau RTD -SIC, prin pierderea confidențialității, a integrității sau disponibilității informațiilor în format electronic sau prin afectarea funcțiilor care asigură autenticitatea și nerepudierea informațiilor;– vulnerabilitatea - slăbiciune sau lipsă de control care ar putea permite sau facilita o manevră tehnică, procedurală sau operațională, prin care se amenință o valoare sau țintă specifică.  +  Articolul 238Abrevierile utilizate în prezentul capitol semnifică:a) CSTIC - componenta de securitate pentru tehnologia informației și comunicațiilor instituită în unitățile deținătoare de informații clasificate;b) TIC - tehnologia informației și comunicațiilor;c) CSS - cerințele de securitate specifice.  +  Articolul 239(1) Informațiile care se prezintă în format electronic pot fi:a) stocate și procesate în cadrul SPAD sau transmise prin intermediul RTD;b) stocate și transportate prin intermediul suporturilor de memorie, dispozitivelor electronice - cipuri de memorie, hârtie perforată sau alte suporturi specifice.(2) Încărcarea informațiilor pe mediile prevăzute în alin. (1) lit. b, precum și interpretarea lor pentru a deveni inteligibile, se face cu ajutorul echipamentelor electronice specializate.  +  Articolul 240(1) Sistemele SPAD și RTD - SIC au dreptul să stocheze, să proceseze sau să transmită informații clasificate, numai dacă sunt autorizate potrivit prezentei hotărâri.(2) În vederea autorizării SPAD și RTD - SIC unitățile vor întocmi, cu aprobarea organelor lor de conducere, strategia proprie de securitate, în baza căreia vor implementa sisteme proprii de securitate, care vor include utilizarea de produse specifice tehnologiei informației și comunicațiilor, personal instruit și măsuri de protecție a informației, incluzând controlul accesului la sistemele și serviciile informatice și de comunicatii, pe baza principiului necesității de a cunoaște și al nivelului de secretizare atribuit.(3) SPAD și RTD - SIC vor fi supuse procesului de acreditare, urmat de evaluări periodice, în vederea menținerii acreditării.  +  Articolul 241(1) Aplicarea reglementărilor în vigoare referitoare la protecția informațiilor clasificate în format electronic funcționează unitar la nivel național. Sistemul de emitere și implementare a măsurilor de securitate adresate protecției informațiilor clasificate care sunt stocate, procesate sau transmise de SPAD sau RTD - SIC, precum și controlul modului de implementare a măsurilor de securitate se realizează de către o structură funcțională cu atribuții de reglementare, control și autorizare, care include:a) o agenție pentru acordarea acreditării de funcționare în regim de securitate;b) o agenție care elaborează și implementează metode, mijloace și măsuri de securitate;c) o agenție responsabilă cu protecția criptografică.(2) Agențiile menționate la alin. (1) sunt subordonate instituției desemnate la nivel național, pentru protecția informațiilor clasificate, ORNISS.(3) Măsurile de protecție a informațiilor clasificate în format electronic trebuie reactualizate permanent, prin depistare, documentare și gestionare a amenințărilor și vulnerabilităților la adresa informațiilor clasificate și sistemelor care le prelucrează, stochează și transmit.  +  Articolul 242Măsurile de securitate INFOSEC vor fi structurate după nivelul de clasificare al informațiilor pe care le protejează și în conformitate cu conținutul acestora.  +  Articolul 243Conducatorul unității deținătoare de informații clasificate răspunde de securitatea propriilor informații care sunt stocate, procesate sau transmise în SPAD sau RTD - SIC.  +  Articolul 244(1) În fiecare unitate care administrează SPAD și RTD - SIC în care se stochează, se procesează sau se transmit informații clasificate, se va institui o componentă de securitate pentru tehnologia informației și a comunicațiilor - CSTIC, în subordinea structurii/funcționarului de securitate.(2) În funcție de volumul de activitate și dacă cerințele de securitate permit, atribuțiile CSTIC pot fi îndeplinite numai de către funcționarul de securitate TIC sau pot fi preluate, în totalitate, de către structura/funcționarul de securitate din unitate.(3) CSTIC îndeplinește atribuții privind:a) implementarea metodelor, mijloacelor și măsurilor necesare protecției informațiilor în format electronic;b) exploatarea operațonală a SPAD și RTD - SIC în condiții de securitate;c) coordonarea cooperării dintre unitatea deținătoare a SPAD sau RTD - SIC și autoritatea care asigură acreditarea;d) implementarea măsurilor de securitate și protecția criptografică ale SPAD sau RTD - SIC.(4) CSTIC reprezintă punctul de contact al agențiilor competente cu unitățile care dețin în administrare SPAD sau RTD - SIC și, după caz, poate fi investită, temporar, de către aceste agenții, cu unele dintre atribuțiile lor.(5) Propunerile pe linie de securitate avansate de către CSTIC devin operaționale numai după ce au fost aprobate de către conducerea unității care deține în administrare respectivul SPAD sau RTD - SIC.  +  Articolul 245CSTIC se instituie la nivelul fiecărei SPAD și RTD - SIC și reprezintă persoana sau compartimentul cu responsabilitatea delegată de către agenția de securitate pentru informatică și comunicații de a implementa metodele, mijloacele și măsurile de securitate și de a exploata SPAD și RTD - SIC în condiții de securitate.  +  Articolul 246CSTIC este condusă de către funcționarul de securitate TIC și are în compunere administratorii de securitate și, după caz, și alti specialiști din SPAD sau RTD - SIC. Toata structura CSTIC face parte din personalul unității care administrează SPAD sau RTD - SIC.  +  Articolul 247Exercitarea atribuțiilor CSTIC trebuie să cuprindă întregul ciclu de viață al SPAD sau RTD - SIC, începând cu proiectarea, continuând cu elaborarea specificațiilor, testarea instalării, acreditarea, testarea periodică în vederea reacreditării, exploatarea operațională, modificarea și încheind cu scoaterea din uz. În anumite situații, rolul CSTIC poate fi preluat de către alte componente ale unității, în decursul ciclului de viață.  +  Articolul 248CSTIC mijlocește cooperarea dintre conducerea unității căreia îi aparține SPAD sau RTD - SIC și agenția pentru acreditare de securitate, atunci când unitatea:a) planifică dezvoltarea sau achiziția de SPAD sau RTD;b) propune schimbări ale unei configurații de sistem existente;c) propune conectarea unui SPAD sau a unei RTD - SIC cu un alt SPAD sau RTD - SIC;d) propune schimbări ale modului de operare de securitate ale SPAD sau RTD - SIC;e) propune schimbări în programele existente sau utilizarea de noi programe, pentru optimizarea securității SPAD sau RTD - SIC;f) inițiază proceduri de modificare a nivelului de clasificare a SPAD și RTD - SIC care au fost deja acreditate;g) planifică sau propune intreprinderea oricărei alte activități referitoare la îmbunătățirea securității SPAD sau RTD - SIC deja acreditate.  +  Articolul 249CSTIC, cu aprobarea autorității de acreditare de securitate, stabilesște standardele și procedurile de securitate care trebuie respectate de către furnizorii de echipamente, pe parcursul dezvoltării, instalarii și testării SPAD și RTD - SIC și răspunde pentru justificarea, selecția, implementarea și controlul componentelor de securitate, care constituie parte a SPAD și RTD - SIC.  +  Articolul 250CSTIC stabilește, pentru structurile de securitate și management ale SPAD și RTD - SIC, încă de la înființare, responsabilitățile pe care le vor exercita pe tot ciclul de viață al SPAD și RTD - SIC respective.  +  Articolul 251Activitatea INFOSEC din SPAD și RTD - SIC, desfășurată de către CSTIC, trebuie condusă și coordonată de persoane care dețin certificat de securitate corespunzător, cu pregătire de specialitate în domeniul sistemelor TIC precum și al securității acestora, obtinută în instituții de învățământ acreditate INFOSEC, sau care au lucrat în domeniu cel puțin 5 ani.  +  Articolul 252Protecția SPAD și RTD - SIC din compunerea sistemelor de armament și de detecție va fi definită în contextul general al sistemelor din care acestea fac parte și va fi realizata prin aplicarea prevederilor prezentelor standarde.  +  Secţiunea a 2-a Structuri organizatorice cu atribuții specifice în domeniul INFOSECA. Agenția de acreditare de securitate  +  Articolul 253Agenția de acreditare de securitate este subordonată instituției desemnate la nivel național pentru protecția informațiilor clasificate, are reprezentanți delegați din cadrul ADS implicate, în funcție de SPAD și RTD - SIC care trebuie acreditate, și îndeplinește următoarele atribuții principale:a) asigură, la nivel național, acreditarea de securitate și reacreditarea SPAD și RTD - SIC care stochează, procesează sau transmit informații clasificate, în funcție de nivelul de clasificare a acestora;b) asigură evaluarea și certificarea sistemelor SPAD și RTD - SIC sau a unor elemente componente ale acestora;c) stabilește criteriile de acreditare de securitate pentru SPAD și RTD - SIC.  +  Articolul 254Agenția de acreditare de securitate își exercită atribuțiile în domeniul INFOSEC în numele instituției desemnate la nivel național pentru protecția informațiilor clasificate și are responsabilitatea de a impune standarde de securitate în acest domeniu.B. Agenția de securitate pentru informatică și comunicații  +  Articolul 255Agenția de securitate pentru informatică și comunicații este structura subordonată instituției desemnate la nivel național pentru protecția informațiilor electronice clasificate, având reprezentanți delegați din cadrul ADS implicate care acționează la nivel național.  +  Articolul 256Agentia este responsabilă de conceperea și implementarea mijloacelor, metodelor și masurilor de protecție a informațiilor clasificate care sunt stocate, procesate sau transmise prin intermediul SPAD și RTD - SIC și are, în principal, următoarele atribuții:a) coordonează activitățile de protecție a informațiilor clasificate care sunt stocate, procesate sau transmise prin intermediul SPAD și RTD - SIC;b) elaborează și promovează reglementări și standarde specifice;c) analizeaza cauzele incidentelor de securitate și gestionează baza de date privind amenințările și vulnerabilitatile din sistemele de comunicație și informatice, necesare pentru elaborarea managementul de risc;d) semnalează agenției de acreditare de securitate incidentele de securitate în domeniu;e) integrează măsurile privind protecția fizică, de personal, a documentelor administrative, COMPUSEC, COMSEC, TEMPEST și criptografică;f) execută inspecții periodice asupra SPAD și RTD - SIC în vederea reacreditării;g) supune certificării și autorizării sistemele de securitate specifice SPAD și RTD - SIC.  +  Articolul 257Pentru îndeplinirea atribuțiilor sale, agenția de securitate pentru informatică și comunicații cooperează cu agenția de acreditare de securitate, cu agenția de protecție criptografică și cu alte structuri cu atribuții în domeniu.C. Agenția de protecție criptografică  +  Articolul 258Agentia de protecție criptografica se organizeaza la nivel național, este subordonata institutiei desemnate la nivel național pentru protectia informațiilor clasificate și are urmatoarele atribuții principale:a) asigură managementul materialelor și echipamentelor criptografice;b) realizează distribuirea materialelor și echipamentelor criptografice;c) raportează instituției desemnate la nivel național pentru protectia informațiilor clasificate incidentele de securitate cu care s-a confruntat;d) cooperează cu agenția de acreditare de securitate, cu agenția de concepere și implementare a metodelor, mijloacelor și măsurilor de securitate și cu alte structuri cu atribuții în domeniu.  +  Secţiunea a 3-a Măsuri, cerințe și moduri de operareA. Măsuri și cerințe specifice INFOSEC  +  Articolul 259(1) Măsurile de protecție a informațiilor clasificate în format electronic se aplică sistemelor SPAD și RTD - SIC care stochează, procesează sau transmit asemenea informații.(2) Unitățile deținătoare de informații clasificate au obligația de a stabili și implementa un ansamblu de măsuri de securitate a sistemelor SPAD și RTD - SIC - fizice, de personal, administrative, de tip TEMPEST și criptografic.  +  Articolul 260Măsurile de securitate destinate protecției SPAD și RTD - SIC trebuie să asigure controlul accesului pentru prevenirea sau detectarea divulgării neautorizate a informațiilor. Procesul de certificare și acreditare va stabili dacă aceste măsuri sunt corespunzătoare.B. Cerințe de securitate specifice SPAD și RTD - SIC  +  Articolul 261(1) Cerințele de securitate specifice - CSS se constituie într-un document încheiat între agenția de acreditare de securitate și CSTIC, ce va cuprinde principii și măsuri de securitate care trebuie să stea la baza procesului de certificare și acreditare a SPAD sau RTD - SIC.(2) CSS se elaborează pentru fiecare SPAD și RTD - SIC care stochează, procesează sau transmite informații clasificate, sunt stabilite de către CSTIC și aprobate de către agenția de acreditare de securitate.  +  Articolul 262CSS vor fi formulate încă din faza de proiectare a SPAD sau RTD - SIC și vor fi dezvoltate pe tot ciclul de viață al sistemului.  +  Articolul 263CSS au la bază standardele naționale de protecție, parametrii esențiali ai mediului operațional, nivelul minim de autorizare a personalului, nivelul de clasificare a informațiilor gestionate și modul de operare a sistemului care urmează să fie acreditat.C. Moduri de operare  +  Articolul 264SPAD și RTD - SIC care stochează, procesează sau transmit informații clasificate vor fi certificate și acreditate să opereze, pe anumite perioade de timp, în unul din următoarele moduri de operare:a) dedicat;b) de nivel înalt;c) multi-nivel.  +  Articolul 265(1) În modul de operare dedicat, toate persoanele cu drept de acces la SPAD sau la RTD trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise prin aceste sisteme. Necesitatea de a cunoaște pentru aceste persoane se stabilește cu privire la toate informațiile stocate, procesate sau transmise în cadrul SPAD sau RTD - SIC.(2) În acest mod de operare, principiul necesității de a cunoaște nu impune o separare a informațiilor în cadrul SPAD sau RTD, ca mijloc de securitate a SIC. Celelalte măsuri de protecție prevăzute vor asigura îndeplinirea cerințelor impuse de cel mai înalt nivel de clasificare a informațiilor gestionate și de toate categoriile de informații cu destinație specială stocate, procesate sau transmise în cadrul SPAD sau RTD.  +  Articolul 266(1) În modul de operare de nivel înalt, toate persoanele cu drept de acces la SPAD sau la RTD - SIC trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în cadrul SPAD sau RTD - SIC, iar accesul la informații se va face diferențiat, conform principiului necesității de a cunoaște.(2) Pentru a asigura accesul diferențiat la informații, conform principiului necesității de a cunoaște, se instituie facilități de securitate care să asigure un acces selectiv la informații în cadrul SPAD sau RTD - SIC.(3) Celelalte măsuri de protecție vor satisface cerințele pentru cel mai înalt nivel de clasificare și pentru toate categoriile de informații cu destinație specială stocate, procesate, transmise în cadrul SPAD sau RTD - SIC.(4) Toate informațiile stocate, procesate sau vehiculate în cadrul unui SPAD sau RTD - SIC în acest mod de operare vor fi protejate ca informații cu destinație specială, având cel mai înalt nivel de clasificare care a fost constatat în mulțimea informațiilor stocate, procesate sau vehiculate prin sistem.  +  Articolul 267(1) În modul de operare multi-nivel, accesul la informațiile clasificate se face diferențiat, potrivit principiului necesității de a cunoaște, conform următoarelor reguli:a) nu toate persoanele cu drept de acces la SPAD sau RTD - SIC au certificat de securitate pentru acces la informații de cel mai înalt nivel de clasificare care sunt stocate, procesate sau transmise prin aceste sisteme;b) nu toate persoanele cu acces la SPAD sau RTD - SIC au acces la toate informațiile stocate, procesate sau transmise prin aceste sisteme.(2) Aplicarea regulilor prevăzute la alin. (1) impune instituirea, în compensatie, a unor facilități de securitate care să asigure un mod selectiv, individual, de acces la informațiile clasificate din cadrul SPAD sau RTD - SIC.D. Administratorii de securitate  +  Articolul 268(1) Securitatea SPAD a rețelei și a obiectivului SIC se asigură prin funcțiile de administrator de securitate.(2) Administratorii de securitate sunt:a) administratorul de securitate al SPAD;b) administratorul de securitate al rețelei;c) administratorul de securitate al obiectivului SIC.(3) Funcțiile de administratori de securitate trebuie să asigure îndeplinirea atribuțiilor CSTIC. Dacă este cazul, aceste funcții pot fi cumulate de către un singur specialist.  +  Articolul 269(1) CSTIC desemnează un administrator de securitate al SPAD responsabil cu supervizarea dezvoltării, implementării și administrării măsurilor de securitate dintr-un SPAD, inclusiv participarea la elaborarea procedurilor operaționale de securitate.(2) La recomandarea autorității de acreditare de securitate, CSTIC poate desemna structuri de administrare ale SPAD care îndeplinesc aceleași atribuții.  +  Articolul 270Administratorul de securitate al rețelei este desemnat de CSTIC pentru un SIC de mari dimensiuni sau în cazul interconectării mai multor SPAD și îndeplinește atribuții privind managementul securității comunicațiilor.  +  Articolul 271(1) Administratorul de securitate al obiectivului SIC este desemnat de CSTIC sau de autoritatea de securitate competentă și răspunde de asigurarea implementării și menținerea măsurilor de securitate aplicabile obiectivului SIC respectiv.(2) Responsabilitățile unui administrator de securitate al obiectivului SIC pot fi îndeplinite de către structura/funcționarul de securitate al unității, ca parte a îndatoririlor sale profesionale.(3) Obiectivul SIC reprezintă un amplasament specific sau un grup de amplasamente în care funcționează un SPAD și/sau RTD. Responsabilitatile și măsurile de securitate pentru fiecare zonă de amplasare a unui terminal/stație de lucru care funcționează la distanță trebuie explicit determinate.E. Utilizatorii și vizitatorii  +  Articolul 272(1) Toți utilizatorii de SPAD sau RTD - SIC poartă responsabilitatea în ce privește securitatea acestor sisteme - raportate, în principal, la drepturile acordate și sunt îndrumați de către administratorii de securitate.(2) Utilizatorii vor fi autorizați pentru clasa și nivelul de secretizare a informațiilor clasificate stocate, procesate sau transmise în SPAD sau RTD - SIC. La acordarea accesului la informații, individual, se va urmări respectarea principiului necesității de a cunoaște.(3) Informarea și conștientizarea utilizatorilor asupra îndatoririlor lor de securitate trebuie să asigure o eficacitate sporită a sistemului de securitate.  +  Articolul 273Vizitatorii trebuie să aibă autorizare de securitate de nivel corespunzător și sa îndeplinească principiul necesității de a cunoaște, în situația în care accesul unui vizitator fără autorizare de securitate este considerat necesar, vor fi luate măsuri de securitate suplimentare pentru ca acesta să nu poată avea acces la informațiile clasificate.  +  Secţiunea a 4-a Componentele INFOSECA. Securitatea personalului  +  Articolul 274(1) Utilizatorii SPAD și RTD - SIC sunt autorizați și li se permite accesul la informații clasificate pe baza principiului necesității de a cunoaște și în funcție de nivelul de clasificare a informațiilor stocate, procesate sau transmise prin aceste sisteme.(2) Unitățile deținătoare de informații clasificate în format electronic au obligația de a institui măsuri speciale pentru instruirea și supravegherea personalului, inclusiv a personalului de proiectare de sistem care are acces la SPAD și RTD, în vederea prevenirii și înlăturării vulnerabilităților față de accesarea neautorizată.  +  Articolul 275În proiectarea SPAD și RTD - SIC trebuie să se aibă în vedere ca atribuirea sarcinilor și răspunderilor personalului să se faca în așa fel încât să nu existe o persoană care să aibă cunoștință sau acces la toate programele și cheile de securitate - parole, mijloace de identificare personală.  +  Articolul 276Procedurile de lucru ale personalului din SPAD și RTD - SIC trebuie să asigure separarea între operațiunile de programare și cele de exploatare a sistemului sau rețelei. Este interzis, cu excepția unor situații speciale, ca personalul să facă atât programarea, cât și operarea sistemelor sau rețelelor și trebuie instituite proceduri speciale pentru depistarea acestor situații.  +  Articolul 277Pentru orice fel de modificare aplicată unui sistem SPAD sau RTD - SIC este obligatorie colaborarea a cel puțin două persoane - regula celor doi. Procedurile de securitate vor menționa explicit situațiile în care regula celor doi trebuie aplicată.  +  Articolul 278Pentru a asigura implementarea corectă a măsurilor de securitate, personalul SPAD și RTD - SIC și personalul care răspunde de securitatea acestora trebuie să fie instruit și informat astfel încât să își cunoască reciproc atribuțiile.B. Securitatea fizică  +  Articolul 279Zonele în care sunt amplasate SPAD și/sau RTD - SIC și cele cu terminale la distanță, în care sunt prezentate, stocate, procesate sau transmise informații clasificate ori în care este posibil accesul potențial la astfel de informații, se declară zone de securitate clasa I sau clasa II ale obiectivului și se supun măsurilor de protecție fizică stabilite prin prezentele standarde.  +  Articolul 280În zonele în care sunt amplasate sisteme SPAD și terminale la distanță - stații de lucru, unde se procesează și/sau pot fi accesate informații clasificate, se aplică următoarele măsuri generale de securitate:a) intrarea personalului și a materialelor, precum și plecarea în/din aceste zone sunt controlate prin mijloace bine stabilite;b) zonele și locurile în care securitatea SPAD sau RID - SIC sau a terminalelor la distanță poate fi modificată nu trebuie să fie niciodată ocupate de un singur angajat autorizat;c) persoanelor care solicită acces temporar sau cu intermitențe în aceste zone trebuie să li se autorizeze accesul, ca vizitatori, de către responsabilul pe probleme de securitate al zonei, desemnat de către administratorul de securitate al obiectivului SIC. Vizitatorii vor fi însoțiți permanent, pentru a avea garanția că nu pot avea acces la informații clasificate și nici la echipamentele utilizate.  +  Articolul 281În funcție de riscul de securitate și de nivelul de secretizare al informațiilor stocate, procesate și transmise, se impune cerința de aplicare a regulii de lucru cu două persoane și în alte zone, ce vor fi stabilite în stadiul inițial al proiectului și prezentate în cadrul CSS.  +  Articolul 282Când un SPAD este exploatat în mod autonom, deconectat în mod permanent de alte SPAD, ținând cont de condițiile specifice, de alte măsuri de securitate, tehnice sau procedurale și de rolul pe care îl are respectivul SPAD în funcționarea de ansamblu a sistemului, agenția de acreditare de securitate trebuie să stabilească măsuri specifice de protecție, adaptate la structura acestui SPAD, conform nivelului de clasificare a informațiilor gestionate.C. Controlul accesului la SPAD și/sau la RTD - SIC  +  Articolul 283Toate informațiile și materialele care privesc accesul la un SPAD sau RTD - SIC sunt controlate și protejate prin reglementări corespunzătoare nivelului de clasificare cel mai înalt și specificului informațiilor la care respectivul SPAD sau RTD - SIC permite accesul.  +  Articolul 284Când nu mai sunt utilizate, informațiile și materialele de control specificate la articolul precedent trebuie să fie distruse conform prevederilor prezentelor standarde.D. Securitatea informațiilor clasificate în format electronic  +  Articolul 285Informațiile clasificate în format electronic trebuie să fie controlate conform regulilor INFOSEC, înainte de a fi transmise din zonele SPAD și RTD - SIC sau din cele cu terminale la distanță.  +  Articolul 286Modul în care este prezentată informația în clar, chiar dacă se utilizează codul prescurtat de transmisie sau reprezentarea binară ori alte forme de transmitere la distanță, nu trebuie să influențeze nivelul de clasificare acordat informațiilor respective.  +  Articolul 287Când informațiile sunt transferate între diverse SPAD sau RTD - SIC, ele trebuie să fie protejate atât în timpul transferului, cât și la nivelul sistemelor informatice ale beneficiarului, corespunzător cu nivelul de clasificare al informațiilor transmise.  +  Articolul 288Toate mediile de stocare a informațiilor se păstrează într-o modalitate care să corespundă celui mai înalt nivel de clasificare a informațiilor stocate sau suporților, fiind protejate permanent.  +  Articolul 289Copierea informațiilor clasificate situate pe medii de stocare specifice TIC se execută în conformitate cu prevederile din procedurile operaționale de securitate.  +  Articolul 290Mediile refolosibile de stocare a informațiilor utilizate pentru înregistrarea informațiilor clasificate își mențin cea mai înaltă clasificare pentru care au fost utilizate anterior, până când respectivelor informații li se reduce nivelul de clasificare sau sunt declasificate, moment în care mediile susmenționate se reclasifică în mod corespunzător sau sunt distruse în conformitate cu prevederile procedurilor operaționale de securitate.E. Controlul și evidența informațiilor în format electronic  +  Articolul 291(1) Evidența automată a accesului la informațiile clasificate în format electronic se ține în registrele de acces și trebuie realizată necondiționat prin software.(2) Registrele de acces se păstrează pe o perioadă stabilită de comun acord între agenția de acreditare de securitate și CSTIC.(3) Perioada minimă de păstrare a registrelor de acces la informațiile strict secrete de importanță deosebită este de 10 ani, iar a registrelor de acces la informațiile strict secrete și secrete, de cel puțin 3 ani.  +  Articolul 292(1) Mediile de stocare care conțin informații clasificate utilizate în interiorul unei zone SPAD pot fi manipulate ca unic material clasificat, cu condiția ca materialul să fie identificat, marcat cu nivelul său de clasificare și controlat în interiorul zonei SPAD, până în momentul în care este distrus, redus la o copie de arhivă sau pus într-un dosar permanent.(2) Evidențele acestora vor fi menținute în cadrul zonei SPAD până când sunt supuse controlului sau distruse, conform prezentelor standarde.  +  Articolul 293În cazul în care un mediu de stocare este generat într-un SPAD sau RTD - SIC, iar apoi este transmis într-o zonă cu terminal/stație de lucru la distanță, se stabilesc proceduri adecvate de securitate, aprobate de către agenția de acreditare de securitate. Procedurile trebuie să cuprindă și instrucțiuni specifice privind evidența informațiilor în format electronic.F. Manipularea și controlul mediilor de stocare a informațiilor clasificate în format electronic  +  Articolul 294(1) Toate mediile de stocare secrete de stat se identifică și se controlează în mod corespunzător nivelului de secretizare.(2) Pentru informațiile neclasificate sau secrete de serviciu se aplică regulamente de securitate interne.(3) Identificarea și controalele trebuie să asigure următoarele cerințe:a) Pentru nivelul secret:– un mijloc de identificare - număr de serie și marcajul nivelului de clasificare - pentru fiecare astfel de mediu, în mod separat;– proceduri bine definite pentru emiterea, primirea, retragerea, distrugerea sau păstrarea mediilor de stocare;– evidențele manuale sau tipărite la imprimantă, indicând conținutul și nivelul de secretizare a informațiilor înregistrate pe mediile de stocare.b) Pentru nivelul strict secret și strict secret de importanță deosebită, informațiile detaliate asupra mediului de stocare, incluzând conținutul și nivelul de clasificare, se țin într-un registru adecvat.  +  Articolul 295Controlul punctual și de ansamblu al mediilor de stocare, pentru a asigura compatibilitatea cu procedurile de identificare și control în vigoare, trebuie să asigure îndeplinirea următoarelor cerințe:a) pentru nivelul secret - controalele punctuale ale prezentei fizice și continutului mediilor de stocare se efectueaza periodic, verificandu-se dacă acele medii de stocare nu conțin informații cu un nivel de clasificare superior;b) pentru nivelul strict secret - toate mediile de stocare se inventariaza periodic, controland punctual prezenta lor fizica și conținutul, pentru a verifica dacă pe acele medii nu sunt stocate informații cu un nivel de clasificare superior;c) pentru nivelul strict secret de importanța deosebită, toate mediile se verifica periodic, cel puțin anual și se controlează punctual, în legătură cu prezenta fizica și conținutul lor.G. Declasificarea și distrugerea mediilor de stocare a informațiilor în format electronic  +  Articolul 296Informațiile clasificate înregistrate pe medii de stocare refolosibile se șterg doar în conformitate cu procedurile operaționale de securitate.  +  Articolul 297(1) Când un mediu de stocare urmează sa iasă din uz, trebuie să fie declasificat suprimându-se orice marcaje de clasificare, ulterior putând fi utilizat ca mediu de stocare nesecret. Dacă acesta nu poate fi declasificat, trebuie distrus printr-o procedură aprobată.(2) Sunt interzise declasificarea și refolosirea mediilor de stocare care conțin informații strict secrete de importanță deosebită, acestea putând fi numai distruse, în conformitate cu procedurile operaționale de securitate.  +  Articolul 298Informațiile clasificate în format electronic stocate pe un mediu de unică folosință - cartele, benzi perforate - trebuie distruse conform prevederilor procedurilor operaționale de securitate.  +  Secţiunea a 5-a Reguli generale de securitate TICA. Securitatea comunicațiilor  +  Articolul 299Toate mijloacele folosite pentru transmiterea electromagnetică a informațiilor clasificate se supun instrucțiunilor de securitate a comunicațiilor emise de către instituția desemnată la nivel național pentru protecția informațiilor clasificate.  +  Articolul 300Într-un SPAD - SIC trebuie să se dispună mijloace de interzicere a accesului la informațiile clasificate de la toate terminalele/stațiile de lucru la distanță, atunci când se solicită acest lucru, prin deconectare fizică sau prin proceduri software speciale, aprobate de către autoritatea de acreditare de securitate.B. Securitatea la instalare și față de emisiile electromagnetice  +  Articolul 301Instalarea inițială a SPAD sau RTD - SIC sau orice modificare majoră adusă acestora vor fi executate de persoane autorizate, în condițiile prezentelor standarde. Lucrările vor fi permanent supravegheate de personal tehnic calificat, care are acces la informații de cel mai înalt nivel de clasificare pe care respectivul SPAD sau RTD - SIC le va stoca, procesa sau transmite.  +  Articolul 302Toate echipamentele SPAD și RTD - SIC vor fi instalate în conformitate cu reglementările specifice în vigoare, emise de către instituția desemnată la nivel național pentru protecția informațiilor clasificate, cu directivele și standardele tehnice corespunzătoare.  +  Articolul 303Sistemele SPAD și RTD - SIC care stochează, procesează sau transmit informații secrete de stat vor fi protejate corespunzător față de vulnerabilitățile de securitate cauzate de radiațiile compromițătoare - TEMPEST.C. Securitatea în timpul procesării informațiilor clasificate  +  Articolul 304Procesarea informațiilor se realizează în conformitate cu procedurile operaționale de securitate, prevăzute în prezentele standarde.  +  Articolul 305Transmiterea informațiilor secrete de stat către instalații automate - a căror funcționare nu necesită prezența unui operator uman - este interzisă, cu excepția cazului când se aplică reglementări speciale aprobate de către autoritatea de acreditare de securitate, iar acestea au fost specificate în procedurile operaționale de securitate.  +  Articolul 306În SPAD sau RTD-SIC care au utilizatori - existenți sau potențiali - fără certificate de securitate emise conform prezentelor standarde nu se pot stoca, procesa sau transmite informații strict secrete de importanță deosebită.D. Procedurile operaționale de securitate  +  Articolul 307Procedurile operaționale de securitate reprezintă descrierea implementării strategiei de securitate ce urmează să fie adoptată, a procedurilor operaționale de urmat și a responsabilităților personalului.  +  Articolul 308Procedurile operaționale de securitate sunt elaborate de către agenția de concepere și implementare a metodelor, mijloacelor și măsurilor de securitate, în colaborare cu CSTIC, precum și cu agenția de acreditare de securitate, care are atribuții de coordonare, și alte autorități cu atribuții în domeniu. Agenția de acreditare de securitate va aproba procedurile de operare înainte de a autoriza stocarea, procesarea sau transmiterea informațiilor secrete de stat prin SPAD - RTD - SIC.E. Protecția produselor software și managementul configurației  +  Articolul 309CSTIC are obligația să efectueze controale periodice, prin care să stabilească dacă toate produsele software originale - sisteme de operare generale, subsisteme și pachete soft - aflate în folosință, sunt protejate în condiții conforme cu nivelul de clasificare al informațiilor pe care acestea trebuie să le proceseze. Protecția programelor - software de aplicație se stabilește pe baza evaluării nivelului de secretizare a acestora, ținând cont de nivelul de clasificare a informațiilor pe care urmeaza să le proceseze.  +  Articolul 310(1) Este interzisă utilizarea de software neautorizat de către agenția de acreditare de securitate.(2) Conservarea exemplarelor originale, a copiilor - backup sau off-site, precum și salvările periodice ale datelor obținute din procesare vor fi executate în conformitate cu prevederile procedurilor operaționale de securitate.  +  Articolul 311(1) Versiunile software care sunt în uz trebuie să fie verificate la intervale regulate, pentru a garanta integritatea și funcționarea lor corectă.(2) Versiunile noi sau modificate ale software-ului nu vor fi folosite pentru procesarea informațiilor secrete de stat, până când procedurile de securitate ale acestora nu sunt testate și aprobate conform CSS.(3) Un software care îmbunătățește posibilitățile sistemului și care nu are nici o procedură de securitate nu poate fi folosit înainte de a fi verificat de către CSTIC.F. Verificări pentru depistarea virusilor de calculator și a software-ului nociv  +  Articolul 312Verificarea prezenței virusilor și software-ului nociv se face în conformitate cu cerințele impuse de către agenția de acreditare de securitate.  +  Articolul 313(1) Versiunile de software noi sau modificate - sisteme de operare, subsisteme, pachete de software și software de aplicație - stocate pe diferite medii care se introduc într-o unitate, trebuie verificate obligatoriu pe sisteme de calcul izolate, în vederea depistării software-ului nociv sau a virușilor de calculator, înainte de a fi folosite în SPAD sau RTD - SIC. Periodic se va proceda la verificarea software-ului instalat.(2) Verificările trebuie făcute mai frecvent dacă SPAD sau RTD - SIC sunt conectate la alt SPAD sau RTD -SIC sau la o rețea publică de comunicații.G. Întreținerea tehnică a SPAD sau RTD - SIC  +  Articolul 314(1) În contractele de întreținere a SPAD și RTD - SIC care stochează, procesează sau transmit informații secrete de stat, se vor specifica cerințele care trebuie îndeplinite pentru ca personalul de întreținere și aparatura specifică a acestuia să poată fi introduse în zona de operare a sistemelor respective.(2) Personalul de întreținere trebuie să dețină certificate de securitate de nivel corespunzător nivelului de secretizare a informațiilor la care au acces.  +  Articolul 315Scoaterea echipamentelor sau a componentelor hardware din zona SPAD sau RTD - SIC se execută în conformitate cu prevederile procedurilor operaționale de securitate.  +  Articolul 316Cerințele menționate la art. 314 trebuie stipulate în CSS, iar procedurile de desfășurare a activității respective trebuie stabilite în procedurile operaționale de securitate. Nu se acceptă tipurile de întreținere care constau în aplicarea unor proceduri de diagnosticare ce implică accesul de la distanță la sistem, decât dacă activitatea respectivă se desfășoară sub control strict și numai cu aprobarea agenției de acreditare de securitate.H. Achiziții  +  Articolul 317Sistemele SPAD sau RTD - SIC, precum și componentele lor hardware și software sunt achiziționate de la furnizori interni sau externi selectați dintre cei agreați de către agenția de acreditare de securitate.  +  Articolul 318Componentele sistemelor de securitate implementate în SPAD sau RTD - SIC trebuie acreditate pe baza unei documentații tehnice amănunțite privind proiectarea, realizarea și modul de distribuire al acestora.  +  Articolul 319SPAD sau RTD - SIC care stochează, procesează sau transmit informații secrete de stat sau componentele lor de bază - sisteme de operare de scop general, produse de limitare a funcționării pentru realizarea securității și produse pentru comunicare în rețea - se pot achiziționa numai dacă au fost evaluate și certificate de către agenția de acreditare de securitate.  +  Articolul 320Pentru SPAD și RTD - SIC care stochează, procesează sau transmit informații secrete de serviciu, sistemele și componentele lor de bază vor respecta, pe cât posibil, criteriile prevăzute de prezentele standarde.  +  Articolul 321La închirierea unor componente hardware sau software, în special a unor medii de stocare, se va ține cont ca astfel de echipamente, odată utilizate în SPAD sau RTD - SIC ce procesează, stochează sau transmit informații clasificate, vor fi supuse măsurilor de protecție reglementate prin prezentele standarde. O dată clasificate, componentele respective nu vor putea fi scoase din zonele SPAD sau RTD - SIC decât după declasificare.I. Acreditarea SPAD și RTD - SIC  +  Articolul 322(1) Toate SPAD și RTD - SIC, înainte de a fi utilizate pentru stocarea, procesarea sau transmiterea informațiilor clasificate, trebuie acreditate de către agenția de acreditare de securitate, pe baza datelor furnizate de către CSS, procedurilor operaționale de securitate și altor documentații relevante.(2) Subsistemele SPAD și RTD - SIC și stațiile de lucru cu acces la distanță sau terminalele vor fi acreditate ca parte integrantă a sistemelor SPAD și RTD - SIC la care sunt conectate, în cazul în care un sistem SPAD sau RTD - SIC deservește atât NATO, cât și organizațiile/structurile interne ale țării, acreditarea se va face de către autoritatea națională de securitate, cu consultarea ADS și a agențiilor INFOSEC, potrivit competențelor.J. Evaluarea și certificarea  +  Articolul 323În situațiile ce privesc modul de operare de securitate multi-nivel, înainte de acreditarea propriu-zisă a SPAD sau RTD - SIC, hardware-ul, firmware-ul și software-ul vor fi evaluate și certificate de către agenția de acreditare de securitate, în acest sens, instituția desemnată la nivel național pentru protecția informațiilor clasificate va stabili criterii diferențiate pentru fiecare nivel de secretizare a informațiilor vehiculate de SPAD sau RTD - SIC.  +  Articolul 324Cerințele de evaluare și certificare se includ în planificarea sistemului SPAD și RTD - SIC și sunt stipulate explicit în CSS, imediat după ce modul de operare de securitate a fost stabilit.  +  Articolul 325Următoarele situații impun evaluarea și certificarea de securitate în modul de operare de securitate multi-nivel:a) pentru SPAD sau RTD - SIC care stochează, procesează sau transmite informații clasificate strict secret de importanță deosebită;b) pentru SPAD sau RTD - SIC care stochează, procesează sau transmite informații clasificate strict secret, în cazurile în care:– SPAD sau RTD - SIC este interconectat cu un alt SPAD sau RTD - SIC - de exemplu, aparținând altui CSTIC;– SPAD sau RTD - SIC are un număr de utilizatori posibili care nu poate fi definit exact.  +  Articolul 326Procesele de evaluare și certificare trebuie să se desfășoare, conform principiilor și instrucțiunilor aprobate, de către echipe de expertizare cu pregătire tehnică adecvată și autorizate corespunzător. Aceste echipe vor fi compuse din experți selecționati de către agenția de acreditare de securitate.  +  Articolul 327(1) În procesele de evaluare și certificare se va stabili în ce măsură un SPAD sau RTD - SIC îndeplinește condițiile de securitate specificate prin CSS, avându-se în vedere ca, după încheierea procesului de evaluare și certificare, anumite secțiuni - paragrafe sau capitole - din CSS trebuie să fie modificate sau actualizate.(2) Procesele de evaluare și certificare trebuie să înceapă din stadiul de definire a SPAD sau RTD - SIC și continuă pe parcursul fazelor de dezvoltare.K. Verificări de rutină pentru menținerea acreditării  +  Articolul 328Pentru toate SPAD și RTD - SIC care stochează, procesează sau transmit informații secrete de stat, CSTIC stabilește proceduri de control prin care să se poată stabili dacă schimbările intervenite în SIC sunt de natură a le compromite securitatea.  +  Articolul 329(1) Modificările care implică reacreditarea sau pentru care se solicită aprobarea anterioară a agenției de acreditare de securitate trebuie să fie identificate cu claritate și expuse în CSS.(2) După orice modificare, reparare sau eroare care ar fi putut afecta dispozitivele de securitate ale SPAD sau RTD - SIC, CSTIC trebuie să efectueze o verificare privind funcționarea corectă a dispozitivelor de securitate.(3) Menținerea acreditării SPAD sau RTD - SIC trebuie să depindă de satisfacerea criteriilor de verificare.  +  Articolul 330(1) Toate SPAD și RTD - SIC care stochează, procesează sau transmit informații secrete de stat sunt inspectate și reexaminate periodic de către agenția de acreditare de securitate.(2) Pentru SPAD sau RTD - SIC care stochează, procesează sau transmit informații strict secrete de importanță deosebită, inspecția se va face cel puțin o dată pe an.L. Securitatea microcalculatoarelor sau a calculatoarelor personale  +  Articolul 331(1) Microcalculatoarele sau calculatoarele personale care au discuri fixe sau alte medii nevolatile de stocare a informației, ce operează autonom sau ca parte a unei rețele, precum și calculatoarele portabile cu discuri fixe sunt considerate medii de stocare a informațiilor, în același sens ca și celelalte medii amovibile de stocare a informațiilor.(2) În măsura în care acestea stochează informații clasificate trebuie supuse prezentelor standarde.  +  Articolul 332Echipamentelor prevăzute la art. 331 trebuie să li se acorde nivelul de protecție pentru acces, manipulare, stocare și transport, corespunzător cu cel mai înalt nivel de clasificare a informațiilor care au fost vreodată stocate sau procesate pe ele, până la trecerea la un alt nivel de clasificare sau declasificarea lor, în conformitate cu procedurile legale.M. Utilizarea echipamentelor de calcul proprietate privată  +  Articolul 333(1) Este interzisă utilizarea mediilor de stocare amovibile, a software-ului și a hardware-ului, aflate în proprietate privată, pentru stocarea, procesarea și transmiterea informațiilor secrete de stat.(2) Pentru informațiile secrete de serviciu sau neclasificate, se aplică reglementările interne ale unității.  +  Articolul 334Este interzisă introducerea mediilor de stocare amovibile, a software-ului și hardware-ului, aflate în proprietate privată, în zonele în care se stochează, se procesează sau se transmit informații clasificate, fără aprobarea conducătorului unității.N. Utilizarea echipamentelor contractorilor sau a celor puse la dispoziție de alte instituții  +  Articolul 335Utilizarea într-un obiectiv a echipamentelor și a software-ului contractanților, pentru stocarea, procesarea sau transmiterea informațiilor clasificate este permisă numai cu avizul CSTIC și aprobarea șefului unității.  +  Articolul 336Utilizarea într-un obiectiv a echipamentelor și software-ului puse la dispoziție de către alte institutii poate fi permisă, în acest caz echipamentele sunt evidențiate în inventarul unității, în ambele situații, trebuie obținut avizul CSTIC.O. Marcarea informațiilor cu destinație specială  +  Articolul 337Marcarea informațiilor cu destinație specială se aplică, în mod obișnuit, informațiilor clasificate care necesită o distribuție limitată și manipulare specială, suplimentar față de caracterul atribuit prin clasificarea de securitate.  +  Capitolul 9 CONTRAVENȚII ȘI SANCȚIUNI LA NORMELE PRIVIND PROTECȚIA INFORMAȚIILOR CLASIFICATE  +  Articolul 338(1) Constituie contravenții la normele privind protecția informațiilor clasificate următoarele fapte:a) deținerea fără drept, sustragerea, divulgarea, alterarea sau distrugerea neautorizată a informațiilor secrete de stat;b) neîndeplinirea măsurilor prevăzute în art. 18, 25-28, 29, 96-139 și 140-181;c) neîndeplinirea obligațiilor prevăzute la art. 31, 41-43, 213, 214;d) nerespectarea normelor prevăzute în art. 140-142, 145, 159, 160, 162, 163, 179-181, 183 alin. (1) și 185-190;e) neîndeplinirea sau îndeplinirea defectuoasa a obligațiilor prevăzute în art. 240 alin. (2) și (3), art. 243 și art. 248, precum și nerespectarea regulilor prevăzute în art. 274-336.(2) Contravențiile prevăzute la alin. (1) se sancționează astfel:a) contravențiile prevăzute la alin. (1) lit. a) se sancționează cu amendă de la 500.000 lei la 50.000.000 lei în cazul faptelor de deținere fără drept sau de alterare a informațiilor clasificate și cu amendă de la 10.000.000 lei la 100.000.000 lei, în cazul faptelor de sustragere, divulgare sau distrugere neautorizată a informațiilor clasificate;b) faptele prevăzute în alin. (1) lit. b) și c) se sancționează cu avertisment sau cu amendă de la 500.000 lei la 25.000.000 lei;c) faptele prevăzute în alin. (1) lit. d) se sancționează cu avertisment sau cu amendă de la 1.000.000 lei la 50.000.000 lei;d) faptele prevăzute în alin. 1 lit. e) se sancționează cu amendă de la 5.000.000 lei la 50.000.000 lei.(3) Persoanele sau autoritățile care constată contravențiile pot aplica, după caz, și sancțiunea complementară, constând în confiscarea, în condițiile legii, a bunurilor destinate, folosite sau rezultate din contravenții.(4) Dispozițiile reglementărilor generale referitoare la regimul juridic al contravențiilor se aplică în mod corespunzător.  +  Articolul 339(1) Contravențiile și sancțiunile prevăzute la art. 338 se constată și se aplică, în limitele competențelor ce le revin, de către persoane anume desemnate din Serviciul Român de Informații, Ministerul Apărării Naționale, Ministerul de Interne, Ministerul Justiției, Serviciul de Informații Externe, Serviciul de Protecție și Pază și Serviciul de Telecomunicații Speciale.(2) Pot să constate contravențiile și să aplice sancțiunile prevăzute la art. 338, în limitele competențelor stabilite:a) persoane anume desemnate din ORNISS;b) conducătorii autorităților sau instituțiilor publice, agenților economici cu capital parțial sau integral de stat și ai altor persoane juridice de drept public;c) autoritățile sau persoanele prevăzute de reglementările generale referitoare la regimul juridic al contravențiilor.(3) Plângerile împotriva proceselor-verbale de constatare a contravențiilor și de aplicare a sancțiunilor se soluționeaza potrivit reglementărilor generale privind regimul juridic al contravențiilor.  +  Capitolul 10 DISPOZIȚII FINALE  +  Articolul 340Nomenclatura funcțiilor, condițiile de studii și vechime, precum și salarizarea personalului cu atribuții privind evidența, întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea și distrugerea informațiilor clasificate se stabilesc potrivit actelor normative în vigoare.  +  Articolul 341Conducătorii unităților care gestionează informații clasificate vor lua măsuri ca dispozițiile prezentelor standarde să fie aduse la cunoștința tuturor salariaților și vor intreprinde măsuri pentru:a) crearea structurilor interne specializate cu atribuții în aplicarea prezentelor standarde;b) nominalizarea personalului cu atribuții și funcții privind gestionarea informațiilor clasificate;c) inițierea demersurilor prevăzute de lege și de prezentele standarde, pentru obținerea abilitărilor privind accesul la informații clasificate.  +  Articolul 342La solicitarea persoanelor juridice din sfera de competență a Serviciului Român de Informații, R.A. Rasirom va evalua conformitatea și va prezenta ORNISS propuneri de eliberare a certificatelor de acreditare a calității pentru sistemele și echipamentele de protecție fizică a informațiilor clasificate.  +  Articolul 343(1) Prezentele standarde se interpretează și se aplică în concordanță cuNormele privind protecția informațiilor clasificate ale Organizației Tratatului Atlanticului de Nord în România, aprobate prin Hotărârea Guvernului nr. 353 din 15 aprilie 2002.(2) În eventualitatea unor neconcordanțe între cele două reglementări menționate la alin (1), au prioritate Normele privind protecția informațiilor clasificate ale Organizației Tratatului Atlanticului de Nord în România, aprobate prin Hotărârea Guvernului nr. 353 din 15 aprilie 2002.  +  Articolul 344Dispozițiile prezentelor standarde referitoare la contravențiile și sancțiunile la normele privind protecția informațiilor clasificate se aplică după 60 de zile de la publicarea prezentei hotărâri.  +  Articolul 345Anexele nr. 1-32 fac parte integrantă din prezentele standarde naționale de protecție a informațiilor clasificate.  +  Anexa nr. 1                            FISA DE CONSULTARE               a documentului "Strict secret de importanța deosebită"               nr. ....... din ........... privind .........┌────┬──────────────────┬────────┬──────┬─────────┬──────┬──────┬─────────┬────┐│Nr. │ Numele, prenumele│ Numărul│ Data │Semnatura│Cine a│ Data │ Numele, │ ││crt.│ și functia celor │și seria│și ora│ celui │apro- │ și │prenumele│ ││ │ care au luat │certifi-│primi-│ care a │ bat │ ora │și semna-│ ││ │ cunoștința de │catului │ rii │ primit │con- │resti-│tura ce- │ ││ │ conținutul │de secu-│docu- │ docu- │sulta-│tuirii│lui care │ ││ │ documentului │ritate │mentu-│ mentul │ rea │docu- │a primit │Obs.││ │ │ │ lui │ │docu- │mentu-│documen- │ ││ │ │ │ │ │mentu-│ lui │tul (în │ ││ │ │ │ │ │ lui │ │urma res-│ ││ │ │ │ │ │(nume-│ │tituirii)│ ││ │ │ │ │ │ le, │ │ │ ││ │ │ │ │ │prenu-│ │ │ ││ │ │ │ │ │mele, │ │ │ ││ │ │ │ │ │fun- │ │ │ ││ │ │ │ │ │ctia) │ │ │ │├────┼──────────────────┼────────┼──────┼─────────┼──────┼──────┼─────────┼────┤├────┼──────────────────┼────────┼──────┼─────────┼──────┼──────┼─────────┼────┤├────┼──────────────────┼────────┼──────┼─────────┼──────┼──────┼─────────┼────┤├────┼──────────────────┼────────┼──────┼─────────┼──────┼──────┼─────────┼────┤├────┼──────────────────┼────────┼──────┼─────────┼──────┼──────┼─────────┼────┤└────┴──────────────────┴────────┴──────┴─────────┴──────┴──────┴─────────┴────┘  +  Anexa nr. 2    UNITATEA ............    Compartimentul ......    Nr. ...... din ......                           FISA DE PREGATIRE INDIVIDUALA    NUME:    PRENUME:    FUNCTIA:    COMPARTIMENTUL:┌─────┬─────────────┬─────────┬───────┬─────────┬───────────────────────┬─────┐│Nr. │ Tema │ Forma de│ Locul │ Perioada│ Semnatura titularului │ Obs.││crt. │ pregatirii │pregatire│ │ │ │ │├─────┼─────────────┼─────────┼───────┼─────────┼───────────────────────┼─────┤├─────┼─────────────┼─────────┼───────┼─────────┼───────────────────────┼─────┤├─────┼─────────────┼─────────┼───────┼─────────┼───────────────────────┼─────┤├─────┼─────────────┼─────────┼───────┼─────────┼───────────────────────┼─────┤├─────┼─────────────┼─────────┼───────┼─────────┼───────────────────────┼─────┤├─────┼─────────────┼─────────┼───────┼─────────┼───────────────────────┼─────┤├─────┼─────────────┼─────────┼───────┼─────────┼───────────────────────┼─────┤└─────┴─────────────┴─────────┴───────┴─────────┴───────────────────────┴─────┘  +  Anexa nr. 3ANGAJAMENT DE CONFIDENTIALITATE*)Subsemnatul .............. nascut în localitatea ......... la data de ........., fiul (fiica) lui ...... și a ........ angajat al ........ în functia de ......., cu domiciliul în localitatea ........., strada ......., nr. ......, bl. ....., sc. ....., et. ....., ap. .... județul/sectorul ......, posesor al certificatului/autorizatiei seria ....., nr. ...., declar că am luat cunoștința de dispozitiile legale cu privire la protectia informațiilor clasificate și ma angajez sa pastrez cu strictete secretul de stat și de serviciu, sa respect intocmai normele legale cu privire la evidenta, manipularea și pastrarea informațiilor, datelor și documentelor secrete de stat și de serviciu ce mi-au fost încredințate, inclusiv după încetarea activităților care presupun accesul la aceste informații.Sunt constient ca în cazul în care voi încalcă prevederile normative privind protectia informațiilor clasificate voi raspunde, potrivit legii, administrativ, disciplinar, material, civil ori penal, în raport cu gravitatea faptei.Data ............Semnatura................DAT IN PREZENTA------------------------(numele și prenumele functionarului de securitate)Semnatura-----------*) Pentru persoanele care au acces la informații secrete de stat și de serviciu.  +  Anexa nr. 4    ROMÂNIA    (UNITATEA)    .................    Compartimentul ........                               REGISTRUL DE EVIDENTA             al informațiilor strict secrete de importanța deosebită    INTRARE┌──────┬──────────────┬────────┬──────┬──────────┬───┬─────┬─────┬────┬────────┐│Nr. de│ Data inreg. │Nr. și │De la │Conținutul│ │Nr. │Nr. │Nr. │ Cui i ││inreg.├────┬────┬────┤ data │cine │ pe scurt │Nr.│file/│anexe│file│ s-a ││ │anul│luna│ziua│documen-│ pro- │ al │ex.│ ex. │ │ a- │ repar- ││ │ │ │ │ tului │ vine │ documen- │ │ │ │nexe│ tizat ││ │ │ │ │la expe-│docu- │ tului │ │ │ │ │ docu- ││ │ │ │ │ ditor │mentul│ │ │ │ │ │ mentul │├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼────────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼────────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼────────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼────────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼────────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼────────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼────────┤└──────┴────┴────┴────┴────────┴──────┴──────────┴───┴─────┴─────┴────┴────────┘    IESIRE┌───────────────┬──────┬─────┬─────┬─────┬─────┬────────────┬─────────────┬────┐│Data expedierii│Desti-│Nr. │Nr. │Nr. │ Nr. │ Nr. │Nr. dosarului│ │├────┬────┬─────┤natar │ex. │file/│anexe│file │borderoului │și fila unde │ ││anul│luna│ziu a│ │ │ │ │anexe│de expediere│a fost clasat│Obs ││ │ │ │ │ │ │ │ │ │documentul │ ││ │ │ │ │ │ │ │ │ │ sau nr. │ ││ │ │ │ │ │ │ │ │ │ procesului- │ ││ │ │ │ │ │ │ │ │ │ verbal de │ ││ │ │ │ │ │ │ │ │ │distrugere │ │├────┼────┼─────┼──────┼─────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼─────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼─────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼─────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼─────┼─────┼─────┼─────┼────────────┼─────────────┼────┤└────┴────┴─────┴──────┴─────┴─────┴─────┴─────┴────────────┴─────────────┴────┘  +  Anexa nr. 5    ROMÂNIA    (UNITATEA)    .................    Compartimentul ........                               REGISTRUL DE EVIDENTA                  al informațiilor strict secrete și secrete    INTRARE┌───┬──────────────┬──────┬──────┬───┬───┬───────┬──────────┬─────┬─────┬─────┐│Nr.│ Data inreg. │Nr. și│De la │Nr.│Nr.│Nivelul│Conținutul│Nr. │Nr. │Cui i││de ├────┬────┬────┤ data │cine │ex.│fi.│ de │pe scurt │anexe│file │ s-a││în-│anul│luna│ziua│docu- │ pro- │ │le │ secre-│ al │ │anexe│repar││reg│ │ │ │men- │ vine │ │ex.│ tizare│ documen- │ │ │tizat││ │ │ │ │tului │docu- │ │ │ │ tului │ │ │docu-││ │ │ │ │la ex-│mentul│ │ │ │ │ │ │men- ││ │ │ │ │pedi- │ │ │ │ │ │ │ │tul ││ │ │ │ │tor │ │ │ │ │ │ │ │ │├───┼────┼────┼────┼──────┼──────┼───┼───┼───────┼──────────┼─────┼─────┼─────┤├───┼────┼────┼────┼──────┼──────┼───┼───┼───────┼──────────┼─────┼─────┼─────┤├───┼────┼────┼────┼──────┼──────┼───┼───┼───────┼──────────┼─────┼─────┼─────┤├───┼────┼────┼────┼──────┼──────┼───┼───┼───────┼──────────┼─────┼─────┼─────┤├───┼────┼────┼────┼──────┼──────┼───┼───┼───────┼──────────┼─────┼─────┼─────┤├───┼────┼────┼────┼──────┼──────┼───┼───┼───────┼──────────┼─────┼─────┼─────┤└───┴────┴────┴────┴──────┴──────┴───┴───┴───────┴──────────┴─────┴─────┴─────┘    IESIRE┌───────────────┬───────┬──────┬────┬─────┬─────┬─────┬──────┬─────────────┬──┐│Data expedierii│Nivelul│Desti-│Nr. │Nr. │Nr. │ Nr. │ Nr. │Nr. dosarului│ │├────┬────┬─────┤de se- │natar │ex. │file/│anexe│file │borde-│și fila unde │ ││anul│luna│ziu a│creti- │ │ │ ex. │ │anexe│roului│a fost clasat│O ││ │ │ │zare │ │ │ │ │ │ de │documentul │b ││ │ │ │ │ │ │ │ │ │expe- │ sau nr. │s.││ │ │ │ │ │ │ │ │ │diere │ procesului- │ ││ │ │ │ │ │ │ │ │ │ │ verbal de │ ││ │ │ │ │ │ │ │ │ │ │distrugere │ │├────┼────┼─────┼───────┼──────┼────┼─────┼─────┼─────┼──────┼─────────────┼──┤├────┼────┼─────┼───────┼──────┼────┼─────┼─────┼─────┼──────┼─────────────┼──┤├────┼────┼─────┼───────┼──────┼────┼─────┼─────┼─────┼──────┼─────────────┼──┤├────┼────┼─────┼───────┼──────┼────┼─────┼─────┼─────┼──────┼─────────────┼──┤├────┼────┼─────┼───────┼──────┼────┼─────┼─────┼─────┼──────┼─────────────┼──┤├────┼────┼─────┼───────┼──────┼────┼─────┼─────┼─────┼──────┼─────────────┼──┤├────┼────┼─────┼───────┼──────┼────┼─────┼─────┼─────┼──────┼─────────────┼──┤└────┴────┴─────┴───────┴──────┴────┴─────┴─────┴─────┴──────┴─────────────┴──┘  +  Anexa nr. 6    ROMÂNIA    (UNITATEA)    .................    Compartimentul ........                               REGISTRUL DE EVIDENTA                        al informațiilor secrete de serviciu    INTRARE┌──────┬──────────────┬────────┬──────┬──────────┬───┬─────┬─────┬────┬───────┐│Nr. de│ Data inreg. │Nr. și │De la │Conținutul│ │Nr. │Nr. │Nr. │ Cui i ││inreg.├────┬────┬────┤ data │cine │ pe scurt │Nr.│file/│anexe│file│ s-a ││ │anul│luna│ziua│documen-│ pro- │ al │ex.│ ex. │ │ a- │ repar-││ │ │ │ │ tului │ vine │ documen- │ │ │ │nexe│ tizat ││ │ │ │ │la expe-│docu- │ tului │ │ │ │ │ docu- ││ │ │ │ │ ditor │mentul│ │ │ │ │ │ mentul│├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼───────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼───────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼───────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼───────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼───────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼───────┤├──────┼────┼────┼────┼────────┼──────┼──────────┼───┼─────┼─────┼────┼───────┤└──────┴────┴────┴────┴────────┴──────┴──────────┴───┴─────┴─────┴────┴───────┘    IESIRE┌───────────────┬──────┬────┬─────┬─────┬─────┬────────────┬─────────────┬────┐│Data expedierii│Desti-│Nr. │Nr. │Nr. │ Nr. │ Nr. │Nr. dosarului│ │├────┬────┬─────┤natar │ex. │file │anexe│file │borderoului │și fila unde │ ││anul│luna│ziua │ │ │ │ │anexe│de expediere│a fost clasat│Obs.││ │ │ │ │ │ │ │ │ │documentul │ ││ │ │ │ │ │ │ │ │ │ (nr. │ ││ │ │ │ │ │ │ │ │ │ procesului- │ ││ │ │ │ │ │ │ │ │ │ verbal de │ ││ │ │ │ │ │ │ │ │ │distrugere │ │├────┼────┼─────┼──────┼────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼────┼─────┼─────┼─────┼────────────┼─────────────┼────┤├────┼────┼─────┼──────┼────┼─────┼─────┼─────┼────────────┼─────────────┼────┤└────┴────┴─────┴──────┴────┴─────┴─────┴─────┴────────────┴─────────────┴────┘  +  Anexa nr. 7                          REGISTRU UNIC               de evidenta a registrelor, condicilor, borderourilor               și a caietelor pentru insemnari clasificate┌────┬───┬────────────┬──────────┬───────┬──────────────┬─────────┬─────────┬─┐│Nr. │Nr.│ Denumirea │ Numele, │ Seria │Data distrib. │Semnatura│ Nr. │ ││crt.│fi-│materialelor│prenumele │ și ├────┬────┬────┤celui ca-│dosarului│O││se- │le │distribuite │celui care│numărul│Ziua│Luna│Anul│re a pri-│unde a │b││ria │ │ │a primit │certi- │ │ │ │mit mate-│fost cla-│s││ │ │ │ materi- │fica- │ │ │ │ rialul │sat sau │ ││ │ │ │ alul │tului │ │ │ │ │nr. pro- │ ││ │ │ │ │ de │ │ │ │ │cesului- │ ││ │ │ │ │secu- │ │ │ │ │verbal de│ ││ │ │ │ │ritate │ │ │ │ │distru- │ ││ │ │ │ │ │ │ │ │ │ gere │ │├────┼───┼────────────┼──────────┼───────┼────┼────┼────┼─────────┼─────────┼─┤├────┼───┼────────────┼──────────┼───────┼────┼────┼────┼─────────┼─────────┼─┤├────┼───┼────────────┼──────────┼───────┼────┼────┼────┼─────────┼─────────┼─┤├────┼───┼────────────┼──────────┼───────┼────┼────┼────┼─────────┼─────────┼─┤├────┼───┼────────────┼──────────┼───────┼────┼────┼────┼─────────┼─────────┼─┤├────┼───┼────────────┼──────────┼───────┼────┼────┼────┼─────────┼─────────┼─┤├────┼───┼────────────┼──────────┼───────┼────┼────┼────┼─────────┼─────────┼─┤└────┴───┴────────────┴──────────┴───────┴────┴────┴────┴─────────┴─────────┴─┘  +  Anexa nr. 8    ROMÂNIA    (UNITATEA)    .................    Compartimentul ........                     CONDICA DE PREDARE - PRIMIRE                       a documentelor clasificate┌──┬────────────────────────────────┬─────────────────┬────┬───────┬──────┬───┐│ │ │Numele, prenumele│ │ │ │ ││ │ │seria și nr. cer-│ │Semna- │Semna-│ ││ │ Compunerea documentului │tificatului de │Data│tura │tura │ O ││ │ │securitate ale │ │ de │ de │ b ││N │ │persoanei careia │ │primire│resti-│ s.││r.│ │i-a fost predat │ │ │tuire │ ││ │ │ documentul │ │ │ │ ││c ├────┬────────┬──────┬───┬───────┼─────────────────┼────┼───────┼──────┼───┤│r │Nr. │Denumire│Clasa │Ex.│Nr. de │ │ │ │ │ ││t.│de │document│(nive-│nr.│dosare,│ │ │ │ │ ││ │în- │ │lul de│ │ mape │ │ │ │ │ ││ │reg.│ │secre-│ │ sau │ │ │ │ │ ││ │ │ │tizare│ │ file │ │ │ │ │ │├──┼────┼────────┼──────┼───┼───────┼─────────────────┼────┼───────┼──────┼───┤├──┼────┼────────┼──────┼───┼───────┼─────────────────┼────┼───────┼──────┼───┤├──┼────┼────────┼──────┼───┼───────┼─────────────────┼────┼───────┼──────┼───┤└──┴────┴────────┴──────┴───┴───────┴─────────────────┴────┴───────┴──────┴───┘  +  Anexa nr. 9    ROMÂNIA    (UNITATEA)    .................    Compartimentul ........                                REGISTRUL           de evidenta a informațiilor clasificate multiplicate    INTRARE┌────┬──────────────┬─────────┬──────────┬─────────────────┬────────┬───┬─────┐│ │Compartimentul│Numele și│Numărul de│Data și semnatura│Nivelul │Nr.│ Nr.││Nr. │ care a │prenumele│inregis- │ de primire a │de se- │fi-│anexe││de │ solicitat │ celui │ trare al │ documentului │creti- │le │ ││în- │ copierea │ care a │documen- │ pentru copiat │zare al │ │ ││reg.│ │ predat │tului ori-│ │docu- │ │ ││ │ │ docu- │ginal și │ │mentului│ │ ││ │ │ mentul │al cererii│ │copiat │ │ ││ │ │ │de copiere│ │ │ │ │├────┼──────────────┼─────────┼──────────┼─────────────────┼────────┼───┼─────┤├────┼──────────────┼─────────┼──────────┼─────────────────┼────────┼───┼─────┤├────┼──────────────┼─────────┼──────────┼─────────────────┼────────┼───┼─────┤├────┼──────────────┼─────────┼──────────┼─────────────────┼────────┼───┼─────┤├────┼──────────────┼─────────┼──────────┼─────────────────┼────────┼───┼─────┤└────┴──────────────┴─────────┴──────────┴─────────────────┴────────┴───┴─────┘    IESIRE┌────────────────────┬────────────────────┬──────────────────────────┬────────┐│ Documentul copiat │ │ │ │├─────────┬──────────┤ Forma de copiere │Data, numele și prenumele │ ││ Nr. │Total file│ │ persoanei care a primit │ Obs. ││exemplare│ copiate │ │ originalul și copiile │ ││ │ │ │ │ │├─────────┼──────────┼────────────────────┼──────────────────────────┼────────┤├─────────┼──────────┼────────────────────┼──────────────────────────┼────────┤├─────────┼──────────┼────────────────────┼──────────────────────────┼────────┤├─────────┼──────────┼────────────────────┼──────────────────────────┼────────┤└─────────┴──────────┴────────────────────┴──────────────────────────┴────────┘  +  Anexa nr. 10ANTET CLASIFICAREA(institutia / agentul economic) (după completare, în functie deNr. --------- din -------- nivelul maxim de clasificarea informațiilor pe carele cuprinde)APROB(functia, numele și prenumele conducătoruluiinstitutiei/agentului economic, semnaturași stampila)PROGRAMUL DE PREVENIRE A SCURGERII DE INFORMATIICLASIFICATE DETINUTE DE(unitatea care îl întocmește)─────────────────────────────────────────  +  Capitolul 1 BAZA LEGALASe va menționa cadrul normativ care a stat la baza întocmirii programului.  +  Capitolul 21. GENERALITATISe va face o scurta prezentare a institutiei/agentului economic, sucursalelor și filialelor. Vor fi prezentate elementele de concretizare a identității, statutului juridic, obiectul de activitate.2. OBIECTIVEVor fi prezentate obiectivele urmarite prin masurile prezentate în program.Vor fi vizate urmatoarele obiective minimale:– apararea informațiilor clasificate împotriva acțiunilor de compromitere, sabotaj, sustragere, distrugere neautorizata sau alterare;– prevenirea accesului neautorizat la astfel de informații, a cunoasterii și diseminarii lor ilegale;– înlăturarea riscurilor și vulnerabilitatilor ce pot pune în pericol protectia informațiilor clasificate;– asigurarea cadrului procedural necesar protectiei informațiilor clasificate.3. PRINCIPIISe precizeaza principiile care stau la baza masurilor de prevenire a scurgerii de informații.Masurile de prevenire a scurgerii de informații se bazeaza pe:– autorizarea accesului la informațiile clasificate absolut necesare indeplinirii atribuțiilor de serviciu (principiul "nevoii de a cunoaste");– asigurarea aplicarii masurilor de protecție, în mod diferentiat, pe zone de securitate și în functie de nivelurile de acces la informații clasificate;– accesul la informații clasificate este permis numai în baza verificărilor și abilitarilor legale;– aplicarea, în mod obligatoriu și unitar, a masurilor de protecție atât în locurile în care se depozitează informațiile clasificate și în cazul sistemelor informatice care stocheaza, prelucreaza sau transmit informații de acest fel, cat și al persoanelor care au acces la acestea și utilizatorilor retelelor respective;– raspunderea personala privind aplicarea masurilor de protecție stipulate prin programul de prevenire a scurgerii de informații clasificate.  +  Capitolul 31. ELEMENTE GENERALE PRIVIND INFORMATIILE CLASIFICATE DETINUTE DE INSTITUTIA/AGENTUL ECONOMICSe vor face precizări privind clasele și nivelurile de secretizare a informațiilor clasificate deținute de institutia/agentul economic (în cazul celor primite de la alti emitenti se va menționa baza juridica a detinerii, respectiv tipul contractului și dacă s-au asumat obligații de protejare a secretului prin incheierea de acorduri între părți).2. LISTA INFORMATIILOR CLASIFICATE, APROBATE PRIN HOTĂRÂRE A GUVERNULUI (DOCUMENTE, DATE, OBIECTE SAU ACTIVITĂȚI, INDIFERENT DE SUPORT SAU FORMA), PE CLASE ȘI NIVELURI DE SECRETIZARE, DETINUTE DE UNITATEA IN CAUZAInstituțiile/agentii economici vor întocmi lista cuprinzand categoriile informațiilor clasificate, pe care le dețin, pe clase și niveluri de secretizare.Lista va fi actualizata ori de cate ori situația o impune (clasificarea sau declasificarea unor informații).3. LOCURI UNDE SE CONCENTREAZA, DE REGULA ORI TEMPORAR, DATE, INFORMATII, DOCUMENTE CLASIFICATE SAU SE DESFASOARA ASTFEL DE ACTIVITĂȚI (CONFORM ANEXEI Nr. 10/A)Vor fi menționate:– spatiile destinate pastrarii documentelor clasificate;– spatiul destinat sistemului/retelelor informatice de procesare automata a datelor care preia, prelucreaza, stocheaza și transmite date și informații clasificate;– alte locuri unde se gestioneaza sau se manipuleaza asemenea date, informații și documente clasificate sau se desfășoară astfel de activități.  +  Capitolul 41. LISTA FUNCTIILOR CARE NECESITA ACCES LA INFORMATII CLASIFICATEVor fi precizate functiile care necesita accesarea informațiilor clasificate, pe clase și niveluri de secretizare, cu respectarea stricta a principiului "nevoii de a cunoaste".2. PREZENTAREA PERSOANEI/STRUCTURII DESEMNATE SA INDEPLINEASCA ATRIBUȚII PE LINIA PROTECTIEI ACTIVITĂȚILOR, DATELOR, INFORMATIILOR ȘI DOCUMENTELOR CLASIFICATE2.1. Pentru fiecare persoana în parte se vor preciza:– numele și prenumele;– datele de identificare (prenumele parintilor, nume anterioare, data și locul nasterii, profesia și locul de muncă, domiciliul, telefonul);2.2. Atribuțiile și competentele privind asigurarea protectiei informațiilor clasificate.Nominalizarea se va face de către conducatorul institutiei/agentului economic respectiv, situația fiind prezentată pe niveluri de acces, care va fi acordat numai în urma obtinerii abilitarii.3. PREZENTAREA PERSOANELOR CARE AU SAU URMEAZA SA AIBA ACCES LA INFORMATII CLASIFICATE, PE NIVELURI DE SECRETIZAREVa fi întocmită lista cu persoanele care au sau urmeaza să aibă acces la informații clasificate, nominalizate de către conducatorul institutiei/agentului economic (inclusiv cele care lucreaza în sistemul informatic și de telecomunicatii, destinat preluării, prelucrarii, stocarii și transmiterii de informații clasificate)*)Va fi întocmită, de asemenea, lista cu persoanele cărora li se acordă acces temporar la informații clasificate din cadrul sau din afara institutiei/agentului economic (inclusiv cele aparținând firmelor prestatoare de servicii pentru întreținerea sau instalarea programelor, care vor fi avizate corespunzător nivelului maxim de secretizare a informațiilor din sistemele informatice și de telecomunicatii)**).Accesul la informații clasificate va fi permis numai după obtinerea abilitarii.Pentru fiecare persoana nominalizata vor fi precizate:– numele, prenumele și datele de identificare (prenumele parintilor, nume anterioare, data și locul nasterii, profesia și locul de muncă, domiciliul, telefonul);– informațiile clasificate care îi sunt absolut necesare indeplinirii atribuțiilor de serviciu, cu precizarea clasei și nivelului de secretizare a acestuia.-------------*) Numărul persoanelor nominalizate în lista respectiva va fi cel mult egal cu cel al functiilor ce necesita acces la informațiile clasificate.**) Listele respective vor fi actualizate, cu indeplinirea procedurilor legale de avizare, în raport de necesități (extinderea sau limitarea accesului unor persoane la informații clasificate, în functie de modificarea atribuțiilor de serviciu).  +  Capitolul 51. MASURI DE PROTECTIE FIZICA A CLADIRILOR, SPATIILOR/LOCURILOR UNDE SE PASTREAZA SAU SE CONCENTREAZA INFORMATII CLASIFICATE ORI SE DESFASOARA ASTFEL DE ACTIVITĂȚI (CONFORM ANEXEI Nr. 10/B)Vor fi stipulate măsuri vizand:– securitatea cladirilor;– controlul intrarilor și iesirilor;– paza;– containerele și incaperile de securitate;– incuietorile;– controlul cheilor și combinatiilor;– dispozitivele de detectare a intrusilor;– protectia fizica a copiatoarelor și dispozitivelor telefax;– planurile de urgenta.