Suport de Curs 2023 Manager de Securitate
Suport de Curs 2023 Manager de Securitate
Suport de Curs 2023 Manager de Securitate
SUPORT DE CURS
- MANAGER DE SECURITATE -
- Cod COR 121306 -
COORDONATOR: AUTORI:
Director, Dragoş-Valentin CIREŞ
Col.(r) Vasile CIREŞ Bogdan-Constantin CIREŞ
BUCUREŞTI - 2020
DOMENIUL OCUPAŢIONAL
Administraţie şi servicii publice
CUPRINS
PRELIMINARII NECESARE / 5
LOCUL ŞI ROLUL MANAGERULUI DE SECURITATE / 9
RESPONSABILITĂŢI ŞI COMPETENŢE PROFESIONALE / 17
Capitolul II: G2. Verificarea respectării prevederilor din domeniul sănătăţii şi securităţii în
muncă / 84
Tema 8. Legislaţia aplicabilă şi standarde de sănătate şi securitate a muncii / 84
Tema 9. Managementul riscurilor de natura sănătăţii şi securităţii în muncă / 92
Tema 10. Echipamente de protecţie, de lucru şi materiale igienico-sanitare / 97
Capitolul III: G3. Urmărirea conformităţii cu prevederile din domeniul apărării împotriva
incendiilor şi de protecţie a mediului / 109
Tema 11. Cadrul legislativ specific ce reglementează activităţile de apărare împotriva
incendiilor / 109
Tema 12. Cadrul legislativ şi de protecţie a mediului. Conservarea calităţii factorilor de mediu.
Protecţia resurselor naturale şi conservarea biodiversităţii / 112
Tema 13. Manipularea şi gestiunea deşeurilor / 122
Bibliografie / 299
PRELIMINARII NECESARE
Această lucrare, se doreşte a fi un indreptar util pentru clarificarea unor noţiuni necesare
managerului de securitate, delimitarea rolului acestuia şi învăţarea proceselor specifice activităţii
managerului aplicate la domeniul securităţii. Totodată, încearcă să contribuie la extinderea
literaturii în domeniu, reflectând, pe de o parte, experienţa noastră profesională, împletită cu
dimensiunea livrescă a unor abordări în materie, pe de altă parte.
Obiectivul principal al lucrării este, pur şi simplu, de a face mai bine înţeleasă activitatea
managerului de securitate, pe componenta informativă şi contrainformativă, atât de lucrători şi
profesionişti ai domeniului, cât şi de antreprenorii, interesaţi de cunoaşterea şi protecţia mediului de
afaceri şi de modul în care informaţiile şi securitatea acestora contribuie la starea de echilibru şi la
luarea de decizii în situaţii limită. Este o lucrare care încearcă să facă anumite analize, esenţializări
şi, de ce nu, unele previziuni.
În noile condiţii istorice, într-o lume în care totul este de vânzare, nevoia de informare
completă în mai toate domeniile vieţii politice, sociale şi economice, face din culegerea de
informaţii şi securitatea acestora un “rău necesar”, obligatoriu atât pentru organele de stat, cât şi
pentru firmele, companiile, întreprinderile, băncile şi orice agent/operator economic care se
respectă.
Credem că provocările globale la adresa securităţii sunt multiple şi diverse, iar studiile de
securitate sunt foarte complexe şi interdisciplinare. Cu prioritate, noi ne adresăm unui segment de
piaţă care are în vedere securitatea privată, care impune adaptări de substanţă la condiţiile societăţii
actuale.
Securitatea secolului XXI este una de o mare complexitate. Când vorbim de securitate ne
referim şi la fenomenul terorismului, al migraţiei, al traficului de droguri ori de persoane, care
afectează, în general, securitatea lumii contemporane. Securitate înseamnă şi cea individuală şi
societală şi trebuie să ne apărăm de ameninţările la adresa lor.
E clar că, pe măsură ce lumea devine mai complexă şi mai dificil de înţeles prin prisma
competiţiei care se prefigurează, este nevoie de mai multă informaţie şi securitate, nu de mai puţină.
Una dintre componentele acestei lucrări este centrată pe securitatea afacerilor. O firmă
trebuie să aibă propriul sistem de securitate. Toate multinaţionalele au manageri de securitate.
Managerul de securitate nu este doar un specialist în securitate ci şi în comunicare, în selectarea de
informaţii, în controlul resurselor umane şi un analist în ceea ce priveşte provocările la adresa
firmei: adică, dacă firma pierde etapizat, dacă pierde forţă de muncă, cum este concurată din
Pentru a obţine un sistem de securitate eficient, este necesar să înţelegem, mai întâi, natura
fundamentelor, scopurile şi caracteristicile sale, în acelaşi plan cu comanda şi controlul. Din această
perspectivă, triada informaţie-protecţie-comandă este cheia înţelegerii rolului sistemului de
securitate. Comanda şi controlul reprezintă ceea ce facem, adică strângerea şi analiza datelor, luarea
de decizii, organizarea resurselor şi supravegherea execuţiei. În ecuaţia menţionată, principalul
obiectiv al informaţiilor este acela de a constitui suportul consistent în procesul de luare a deciziei,
de a-i susţine pe decidenţii apropiaţi prin diminuarea incertitudinilor cu privire la situaţia
concurenţei, la un nivel de cunoaştere relativ bun şi, pe această bază, la dirijarea eficientă a
acţiunilor proprii.
informaţii este întotdeauna mai mare decât se poate produce, iar informaţiile culese sunt mai puţine
decât am dori să avem.
Cine este informat poate decide în cunoştinţă de cauză, poate prevedea şi dispune asupra
cunoaşterii unor persoane şi a acţiunilor lor, fiind cu atât mai corecte şi eficiente deciziile luate, cu
cât este mai bine informat cantitativ şi calitativ (ceea ce înseamnă să dispui de informaţii). Tot atât
de important este să ai capacitatea de a împiedica adversarul / concurenţa să te cunoască şi, mai
ales, să cunoască verigile tale slabe (ceea ce înseamnă activitate contrainformativă), dacă nu, vei fi
rău informat şi poţi pierde (ceea ce înseamnă activitate de dezinformare).
În ultima vreme, activităţile de culegere de informaţii şi securitatea privată sunt tratate tot
mai mult ca ştiinţe sociale, iar informaţia economică şi tehnico-ştiinţifică, drept un multiplicator de
putere foarte serios. Fenomenele de “privatizare a activităţii de informaţii” şi “securitatea privată”
reprezintă, la începutul mileniului trei, o realitate din ce în ce mai vizibilă.
deoarece informaţiile economice reprezintă surse şi resurse de putere. Orice scurgere de informaţii
poate afecta grav o societate comercială. Majoritatea societăţilor comerciale care dau faliment ajung
în această situaţie din cauza scurgerii sau a furturilor de informaţii.
Succesul în afaceri este bazat pe două concepte: calitate şi siguranţă. Declinul unui singur
concept duce la declinul companiei. În acelaşi timp, creşterea încrederii şi, totodată, a siguranţei va
duce la creşterea cifrei de afaceri şi, implicit, a profitului. De aceea, este foarte importantă
monitorizarea nivelului de calitate al produselor şi serviciilor unei companii, cât şi al concurenţei,
pentru a realiza un bun raport calitate-client. Această activitate de monitorizare trebuie efectuată în
condiţii de maximă acurateţe, utilizând date certe şi concrete.
Informaţiile pe care le au companiile din interior nu sunt întotdeauna corecte, deoarece
personalul angajat nu poate fi imparţial şi nici nu se află în postura clienţilor pentru a putea furniza
informaţii exacte despre cum este să fii client. În consecinţă, periodic, este recomandabil un audit de
securitate extern, printr-o relaţie contractuală cu o societate specializată (eventual de detectivi
particulari), autorizată şi capabilă de a efectua o serie de investigaţii private, pe anumite zone de
interes.
Pe viitor, nimeni nu mai poate supravieţui fără informaţii, fără bănci de date şi informaţii
specializate, vitale pentru securitatea şi funcţionalitatea mediului de afaceri, bănci capabile să
proceseze informaţii şi să le transforme în produşi de tip intelligence, adică în produşi de
cunoaştere.
Fără informaţii de valoare şi de înaltă calitate, mediile de afaceri nu pot supravieţui sau,
dacă supravieţuiesc, ele vor fi aservite. Acesta-i preţul!
încât, prin adiţionare, să formeze un curs de pregătire cât mai complet. Se face sistematic apel la
specialişti, oameni competenţi în anumite domenii şi se formează deprinderi speciale care reprezintă
segmente ale unui ansamblu coerent. Absenţa manualelor derivă din faptul că practica oferă mai
multă îndemânare decât cunoştinţe, o listă cu cărţi apărute ar putea trece drept manuale de
specialitate, dar veşnica tensiune dintre intuiţie şi experienţă, dintre şcoală şi şcoala vieţii nu poate
fi eliminată niciodată. Sperăm că aceste note de curs vor contribui, la încurajarea unei atari
aprofundări a problemei, pentru “funcţionarii de securitate” din instituţiile publice sau private.
Această carte este dedicată profesioniştilor din domeniu sub aspectul întregirii cunoştinţelor
şi abordării manageriale, dar poate fi foarte utilă şi celor care vin din structurile similare ale statului
şi fac trecerea în economia de piaţă specifică prestatorilor de servicii.
Multe repere documentare în elaborarea acestui Suport de curs le-au oferit lucrările de
specialitate editate până în acest moment, menţionate în lista bibliografică, dar sunt şi rodul
experienţei şi acumulărilor profesionale ale formatorilor şi practicanţilor Şcolii “CONFIDENT”.
Prezentarea ocupaţiei Manager de Securitate - Cod COR 121306 (fost 123906): Manager de
securitate: (Subgrupa majoră 12, Grupa minoră 121, Grupa de bază 1213).
2. Context / Motivaţie:
Ocupaţia de “Manager de securitate” este solicitată pe piaţa muncii în condiţiile creşterii
cererii de servicii de securitate pentru toate tipurile de organizaţii. Este o meserie relativ nouă pe
piaţa muncii de la noi, dar o meserie destul de bine consolidată pe piaţa europeană şi internaţională.
În condiţiile actuale, când expunerea la risc devine tot mai complexă, diversă şi dinamică,
aspectele de management al riscului şi, în particular, al riscului de securitate, devin la fel de
importante ca şi cele de eficienţă economică.
Extinderea gamei de ameninţări, fenomene, precum globalizarea, creşterea integrării şi a
complexităţii sistemelor, creşterea alarmantă a posibilităţii de producere a unor atacuri teroriste,
furtul cu potenţial de afectare a instalaţiilor şi sistemelor complexe ş.a., fac ca gestionarea
aspectelor de securitate să fie avute în vedere de conducerea organizaţiilor încă de la stabilirea
obiectivelor, iar performanţa în securitate să facă parte din portofoliul brand-ului.
Una dintre strategiile tot mai frecvent adoptate pentru asigurarea stabilităţii şi dezvoltării
durabile este rezilienţa. Rezilienţa permite organizaţiei să se adapteze şi să se dezvolte indiferent de
exigenţele, evenimentele şi riscurile din mediul de operare.
Managerul de securitate este persoana desemnată să îmbunătăţească rezilienţa / securitatea
organizaţională prin planificarea, implementarea, evaluarea şi îmbunătăţirea Sistemului de
Management al Securităţii (SMS).
Sistemul de Management al Securităţii trebuie să identifice ameninţările, vulnerabilităţile şi
riscurile, să evidenţieze măsurile care trebuiesc luate pentru a diminua riscurile la un nivel rezonabil
/ acceptat şi să asigure suportul decizional necesar managementului de vârf, astfel încât acesta să
înţeleagă impactul şi să poată determina dacă rezultatele preconizate a fi obţinute sunt acceptabile.
Acesta este mecanismul prin care activitatea managerului de securitate crează valoare adăugată
pentru entitate.
În România, în exercitarea profesiei de manager de securitate sunt aplicabile prevederile
cadrului legislativ specific: legea privind siguranţa naţională a României; legea privind accesul la
informaţiile clasificate; legea privind protecţia informaţiilor clasificate; hotărârea de guvern privind
protecţia informaţiilor secrete de serviciu; hotărârea de guvern privind colectarea, transportul,
distribuirea şi protecţia pe teritoriul României a corespondenţei clasificate; hotărârea de guvern
pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România,
normelor de aplicare a legii privind protecţia informaţiilor clasificate; ordonanţa de urgenţă privind
organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat; legea
privind liberul acces la informaţiile de interes public; legea pentru protecţia persoanelor cu privire la
prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date; legea privind prelucrarea
datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, precum
închis, creat de noi numai pentru noi) ori pază privată sau chiar BC&DR (Business Continuity and
Disaster Recovery – asigurarea continuităţii activităţilor şi recuperare în caz de dezastru) ar trebui
să acţioneze conform legislaţiei cât şi nevoilor de securitate ale societăţii.
Selecţia managerului de securitate trebuie să urmarească identificarea persoanelor puternice,
dominante, cu ascendent asupra altora, capabile să aibă iniţiativă şi să exercite conducerea.
În funcţie de trasăturile cele mai importante de care trebuie să dea dovadă viitorii manageri,
sunt de preferat persoanele pline de forţă şi sigure pe ele, echilibrate emoţional, cu o propensiune
(înclinare naturală) de a conduce şi de a-şi asuma responsabilitatea.
Alte trăsături, cel puţin la fel de importante sunt: persuasivitate şi fluenţă verbală, un aspect
de persistenţă tenace, simţul datoriei, tendinţa de a privi lucrurile în faţă, de a se confrunta cu
realitatea, chiar dacă este neplăcută.
Managerul de securitate trebuie să fie o persoană activă, persistentă, sigură pe sine, care
anticipează, insistă, are încredere şi independenţă.
Astfel, viitorul manager de securitate – bărbat trebuie să fie perceput ca fiind ambiţios,
îndrăzneţ, dominant, puternic, optimist, metodic, descurcăreţ, competent, de încredere, sigur pe
sine, stabil şi sever.
Femeia potrivită pentru această funcţie trebuie să fie percepută ca agresivă, orgolioasă, cu
încredere în sine şi revendicativă, dominantă, puternică, autoritară, energică şi vorbăreaţă.
Cea mai nepotrivită pentru postul de manager de securitate este o persoană retrasă, nesigură,
inhibată, cu un comportament banal, indiferentă, tăcută, neorganizată, lentă în gândire şi acţiune, cu
tendinţa de a evita situaţiile de tensiune şi decizie.
6. În ofertele de angajare, ca manager de securitate, se impun unele cerinţe specifice
postului, şi anume:
- studii superioare;
- persoană dinamică;
- permis de conducere, categoria B;
- experienţă în activitatea de pază şi securitate sau să fie rezervist al unei structuri de
siguranţă naţională;
- bune abilităţi manageriale şi de leadership, orientare către nevoile clienţilor şi lucru în
echipă;
- bune abilităţi de comunicare (reprezintă compania în relaţiile cu autorităţile locale);
- disponibilitate la deplasări prelungite în ţară şi străinătate;
- capacitate de lucru în program prelungit şi situaţii de stress, adaptabilitate şi flexibilitate;
- capacitatea de a dezvolta relaţii personale în scopuri profesionale;
- capacitatea de a folosi calculatorul şi tehnologia modernă de comunicare (e-mail, MS
Office, sms, mms).
Constituie avantaje:
- cunoştinţe şi experienţă în munca operativ-informativă (preferabile persoanele cu pregătire
sau atestare profesională ca detectiv particular);
- cunoştinţe pe linie de securitate şi sănătate în muncă, precum şi, de apărare împotriva
incendiilor şi protecţie a mediului;
- posibilitate de dezvoltare a portofoliului de clienţi;
- cunoaşterea unei limbi stăine - nivel avansat (mediu);
Una din responsabilităţile generale ale managerului de securitate, impune cunoaşterea şi
aplicarea legislaţiei privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor.
În atenţia societăţilor de pază şi protecţie!
Intrarea în vigoare a Hotărârii de Guvern nr. 301 / 11.04.2012 privind Normele
metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi
protecţia persoanelor, aduce noi obligaţii pentru firmele specializate de pază. Printre acestea,
obligaţia societăţilor de a face dovada existenţei unei persoane care are atribuţii de manager de
securitate, conform art. 25, alin. 2, lit. d.
Potrivit H.G. nr. 301 / 2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr.
333 / 2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor – art. 25, alin. 2,
lit. d.: ”În vederea obţinerii/reînnoirii licenţei de funcţionare pentru a desfăşura activităţi de
pază şi protecţie, reprezentantul legal al societăţii trebuie să depună la inspectoratul de poliţie
judeţean competent sau la Direcţia Generală de Poliţie a Municipiului Bucureşti, pe bază de opis,
următoarele documente:
……………………………..;
d) copie a diplomei de licenţă - profilul ştiinţe juridice sau a actului de calificare cu
recunoaştere naţională necesar pentru practicarea ocupaţiilor "manager de securitate" sau
"manager servicii private de securitate", a conducătorului societăţii.
În înţelesul prezentelor norme metodologice, prin conducător al unei societăţi specializate de
pază şi protecţie se înţelege administratorul societăţii comerciale, preşedintele consiliului de
administraţie sau directorul general ori executiv cu atribuţii în coordonarea operativă a personalului
de pază”.
În Nota de fundamentare a H.G. nr. 301 / 2012, se menţionează că prin acest act
normativ, printre altele, se instituie ”condiţiile necesare obţinerii/reînnoirii licenţei de funcţionare
de către societăţile specializate pentru a desfăşura activităţi de pază şi protecţie. Raportat la
atribuţiile ce revin conducătorilor societăţilor specializate în ceea ce priveşte folosirea personalului
în acţiuni legitime fără încălcarea drepturilor şi libertăţilor cetăţeneşti, respectarea dreptului de
proprietate sau de folosinţă asupra bunurilor, conducerea acţiunilor personalului de pază în acţiunile
de intervenţie care necesită folosirea în limitele legale a forţei, armamentului şi mijloacelor din
dotare, reprezentarea intereselor legale ale societăţii specializate în relaţiile contractuale, este
necesar ca aceştia să deţină certificat de competenţe pentru ocupaţia „manager de securitate” sau să
fie licenţiaţi în ştiinţe juridice”.
7. Unele aspecte de deontologie profesională
Pentru fiecare profesie există drepturi şi obligaţii, ceea ce face posibilă şi necesară apariţia
deontologiei profesiei. Doar într-un domeniu profesional concret putem vorbi despre respectarea
drepturilor şi a obligaţiilor, despre un raport de autoritate, despre un mod al vieţuirii profesionale.
Este ceea ce îşi propune şi deontologia managerului de securitate.
Etimologia termenului deontologie este clară şi foarte cunoscută: ”deontos” (ce trebuie
făcut, ce se cade) şi “logos” (ştiinţă, teorie). În deontologie, noţiunile fundamentale, acelea în jurul
cărora se naşte întreaga teorie, sunt drepturi şi obligaţii. Însăşi existenţa omului într-o comunitate
presupune îngemănarea drepturilor şi a îndatoririlor proprii, adică supunerea la norme cu un
conţinut dublu.
Drepturile şi obligaţiile nu sunt împărţite egal într-un spaţiu social, pentru că el este
structurat, din perspectiva resurselor sale umane, în raporturi de autoritate. Pentru ca un spaţiu
social să funcţioneze benefic, în slujba reproducerii sale pozitive, şeful (de pildă) trebuie să respecte
drepturile subordonatului şi să-şi îndeplinească obligaţiile (datoriile), iar subordonatul trebuie să
respecte drepturile şefului şi să-şi îndeplinească obligaţiile. Această problemă a raporturilor
interumane face, de o vreme încoace, obiectul unei ştiinţe care a primit numele deontologie.
Deontologia este ştiinţa care studiază respectarea drepturilor şi îndeplinirea obligaţiilor de
către oamenii cuprinşi în raporturi formale, de regulă raporturi de autoritate, în domeniile de
manifestare a autorităţii.
Obligaţiile şi drepturile (normativitatea) sunt înscrisuri juridico-administrative, specifice
pentru fiecare profesiune, cumulate cu unele care se dezvoltă prin desfăşurarea activităţii (tradiţii,
obiceiuri, practici etc.).
Deontologiile profesiilor construiesc sisteme de norme (coduri) proprii de conduită care
particularizează o profesie în ansamblul celorlalte. Exemplificăm:
Standarde generale ale conduitei morale ale managerului de securitate:
• să afişeze şi să menţină în cadrul colectivităţii, un înalt standard al conduitei sale morale;
• să respecte libertatea de manifestare şi opţiunile fiecărui individ, colectivitate sau grup,
fiind de neconceput orice formă de manipulare;
• să exercite profesia cu demnitate, competenţă, probitate morală şi onestitate;
• să evite în viaţa sa privată tot ceea ce ar dauna imaginii sale profesionale etc.
Managerul de securitate este obligat să aibă o conduită corectă, să fie integru şi incoruptibil
şi să acţioneze cu hotărâre pentru prevenirea şi combaterea oricăror acte de natură să ştirbească
autoritatea şi prestigiul societăţii.
Managerul de securitate răspunde pentru faptele sale săvârşite prin îndeplinirea abuzivă a
atribuţiilor sau neîndeplinirea lor şi poate fi tras la răspundere în condiţiile prevăzute de lege.
8. Diverse
Managerul de securitate îşi desfăşoară activitatea atât la sediul entităţii, cât şi la sediile
filialelor, agenţiilor, reprezentanţelor, punctelor de lucru sau altor structuri din compunerea acesteia
ori potrivit prevederilor contractuale şi/sau cerinţe ale terţilor.
Analizând locul şi rolul managerului de securitate, nu se poate să nu fie abordate problemele
legate de funcţiunile acestuia la nivelul de decizie al agentului economic, unde trebuie să-şi
folosească toate capabilităţile, pentru a soluţiona favorabil ameninţările şi riscurile la adresa
acestuia, cu respectarea strictă a legilor în vigoare.
Managerul de securitate nu va divulga unor terţe persoane (fizice sau juridice) neautorizate
nici un fel de date, fapte sau situaţii pe care le-a constatat în cursul ori în legătură cu îndeplinirea
atribuţiunilor profesionale.
Desigur, există riscul ca şi funcţionarul de securitate să vândă informaţii, să creeze chiar el
insecuritate. De aceea, multinaţionalele îi fidelizează pe oameni, prin salarii foarte mari, prin
prestigiul de care se bucură, participarea la deciziile firmei etc.
Pentru a putea desfăşura activităţile specifice postului, persoanele ce urmează a fi desemnate
ca manageri de securitate sau care deja lucrează pe aceste poziţii, trebuie să parcurgă un curs de
specializare / perfecţionare pentru ocupaţia manager de securitate, ştiut fiind că prin instruire şi
experienţă, omul acumulează cunoştinţe şi deprinderi, în afara impunerii legale în materie.
Nu ne imaginăm că absolvenţii cursurilor noastre vor fi din start capabili de toate acestea,
pentru că este nevoie şi de experienţă. Noi le dăm reperele. (...) Dar degeaba ai specialistul pe
securitate: fie pe IT, fie pe economic, ori instituţional, dacă nu ai o viziune de ansamblu a
instituţiilor care guvernează şi care iau deciziile. Managerul de securitate e o verigă în procesul de
prelucrare a informaţiilor şi de făcut analize, dar nu e la capătul acestui cerc.
O calitate obligatorie a managerului de securitate este comunicarea. De exemplu, sunt
specialiştii în finanţe-bănci. Ei ştiu tot ce se întâmplă acolo, în felia lor, de la A la Z. Dar noi ne
imaginăm managerul de securitate un tip mai dezgheţat, adică să nu vadă numai provocările interne,
constructive, ale instituţiei lui, ci şi cele din exterior. Un specialist de finanţe-bănci îşi vede doar
felia lui. De aceea, spunem că securitatea şi comunicarea merg mână în mână; trăim în era
comunicaţiilor. Când în firmă vine un om nou, managerul general ori şeful de resurse umane ce
face? Se uită dacă CV-ul omului corespunde, pe când managerul de securitate se uită în spatele CV-
ului şi se uită la ce tip de ameninţări pot să vină cu individul acesta.
Aşadar, nu putem pune în aplicare nevoile de securitate ale companiei fără o pregătire
specifică de securitate, care va fi dobândită în urma absolvirii unui curs de specializare sau
perfecţionare cât şi a autoinstruirii teoretice ulterioare. Un curs ne ajută să conştientizăm cât de vast
este domeniul securităţii şi cât de multe avem de acumulat. Pentru început, cursul de specializare
pentru ocupaţia Manager de securitate oferă posibilitatea dobândirii cunoştinţelor teoretice,
abilităţilor operaţionale şi, nu în ultimul rând, a atestării/certificării instituţionale naţionale necesare
angajării şi continuării activităţii profesionale.
Acest capitol conţine opiniile nostre privind locul şi rolul managerului de securitate, potrivit
competenţelor profesionale din Standardul ocupaţional.
N-avem pretenţia de a crede că opiniile noastre sunt cele mai bune, mai puţin încă, de a le
impune cuiva. Din contră ... Scopul nostru este de a veni să lucrăm împreună şi cu toată pasiunea la
consolidarea acestei noi instituţii - a managerului de securitate, capabilă de a transforma ideile noi
în proiecte viabile.
Prin consistenţa ideilor susţinute, lucrarea răspunde unor provocări de actualitate, de interes
general în mediul de afaceri, dar viitorul, care reclamă o serie de clarificări şi decizii în noile
circumstanţe, obligă la şi mai mult.
Contexte:
• cadrul legislativ şi standardele aplicabile; SMS;
• elemente specifice activităţii;
• managementul eficient al riscurilor, al situaţiilor de criză şi al consecinţelor lor;
• evaluarea realistă şi oportună a riscurilor, vulnerabilităţilor şi ameninţărilor.
Probleme în atenţie:
• cerinţe contractuale;
• tipurile şi natura misiunilor;
• echipamente individuale specifice;
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit etc.;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc;
• mediul de lucru: spaţii publice, spaţii private, spaţii deschise amenajate ori neamenajate,
clădiri şi construcţii, încăperi de securitate şi încăperi tip tezaur, containere de securitate, mijloace
de transport specializate etc.;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• documente specifice: programul de prevenire a scurgerii informaţiilor clasificate, planul de
pază, planul de pază şi apărare al obiectivelor, sectoarelor şi locurilor care prezintă importanţă
deosebită, planuri de contingenţă, planuri de evacuare şi/sau distrugere pentru situaţii de urgenţă,
norme şi proceduri interne;
• sisteme tehnice de supraveghere, control şi semnalizare;
• utilizarea resurselor pentru tratarea riscurilor şi maximizarea oportunităţilor;
• calitate - cât de eficient sunt aplicate resursele;
• identificarea oportună, monitorizarea, procesarea datelor de interes şi contracararea pro-
activă a riscurilor, ameninţărilor şi vulnerabilităţilor;
• convergenţa dintre politica de securitate şi politica de dezvoltare economică;
• SMS să confere întregului sistem de securitate un caracter eficient, descurajator şi credibil;
libertăţii persoanelor care, datorită unor raporturi profesionale ori conjuncturale determinate de un
scop legitim, se află temporar în aceleaşi locuri cu bunurile şi valorile protejate.
Contexte:
• cadrul legislativ şi normele aplicabile;
• proceduri de acţiune în caz de pericol grav şi iminent;
• responsabilităţi şi mod de acţiune al personalului aflat în zona de competenţă.
Probleme în atenţie:
• riscuri privind mediul de muncă: factori fizico-chimici, biologici, substanţe ori materiale
periculoase, microclimat etc.;
• riscuri privind securitatea muncii: cădere, alunecare, împiedicare, coliziune, electrocutare
etc.;
Contexte:
• cadrul legislativ şi standardele aplicabile;
• modul de acţiune în situaţii de incendiu sau urgenţă;
• responsabilităţi şi mod de acţiune al personalului aflat în zona de competenţă.
Probleme în atenţie:
•factori de mediu: apa, aerul, solul şi subsolul, habitate naturale, fiinţele vii etc.;
• factori de risc: chimici; mecanici; mişcări funcţionale ale echipamentelor, deplasările
mijloacelor de producţie sub efectul gravitaţiei; termici; electrici; biologici; radiaţii; gaze ori
amestecuri de materiale inflamabile sau explozive etc.;
• tipuri de obiective: uzine, secţii, instalaţii tehnologice, clădiri sociale şi/sau administrative,
depozite, centrale termice, gospodării de apă etc.;
• riscuri de incendiu ori poluare specifice locurilor de muncă: birouri, ateliere, staţii,
instalaţii, centre de calcul, cabinete, laboratoare etc.;
• caracteristicile mediului în zonele de desfăşurare a activităţilor: condiţii generale de mediu,
climă, calitatea apei, solului şi aerului, resurse naturale, floră şi faună;
• poluanţi: orice substanţă solidă, lichidă sau sub formă gazoasă/vapori sau energie-termică,
fonică, vibraţii, radiaţii etc. care modifică mediul şi poate aduce daune organismelor vii şi bunurilor
materiale;
• particularităţile obiectivului: topologie, gradul de încărcare a obiectivului cu persoane,
diverse bunuri şi valori etc.
Obligaţii principale:
a) să stabilească, prin dispoziţii scrise, responsabilităţile şi modul de organizare pentru
apărarea împotriva incendiilor şi de protecţie a mediului în unitatea sa, să le actualizeze ori de câte
ori apar modificări şi să le aducă la cunoştinţă salariaţilor, utilizatorilor şi oricăror persoane
interesate;
b) să asigure identificarea şi evaluarea riscurilor de incendiu din unitatea sa şi să asigure
corelarea măsurilor de apărare împotriva incendiilor cu natura şi nivelul riscurilor;
c) să permită, în condiţiile legii, executarea controalelor şi a inspecţiilor de prevenire
împotriva incendiilor, să prezinte documentele şi informaţiile solicitate şi să nu îngreuneze sau să
obstrucţioneze, în nici un fel, efectuarea acestora;
d) să elaboreze instrucţiunile de apărare împotriva incendiilor şi să stabilească atribuţiile ce
revin salariaţilor la locurile de muncă;
e) să verifice dacă salariaţii cunosc şi respectă instrucţiunile necesare privind măsurile de
apărare împotriva incendiilor şi să verifice respectarea acestor măsuri semnalate corespunzător prin
indicatoare de avertizare de către persoanele din exterior care au acces în unitatea sa;
f) să asigure întocmirea şi actualizarea planurilor de intervenţie şi condiţiile pentru aplicarea
acestora în orice moment;
Contexte:
• managementul formării profesionale continue a adulţilor;
• tehnici de evaluare a cunoştinţelor de: securitate fizică; securitatea personalului; securitatea
documentelor; securitatea industrială; securitatea sistemelor informatice şi de comunicaţii; sănătate
şi securitate în muncă; securitate la incendiu; protecţia mediului;
• transformarea modelelor comportamentale, structurilor cognitive şi atitudinale sub
influenţa mediului şi a propriilor acţiuni;
Probleme în atenţie:
• obiectivele şi politica de securitate a entităţii;
• responsabilităţile angajatului sau categoriei de angajaţi;
• istoricul incidentelor de securitate pe o perioadă relevantă;
• evoluţia cerinţelor profesionale;
• procesul organizaţional de dezvoltare profesională;
• modalităţi de instruire: autoinstruirea, studiul legislaţiei, schimburi de experienţă cu
specialişti, studierea literaturii de specialitate, participarea la cursuri de instruire, de perfecţionare
profesională şi de specializare;
• surse de informare: legislaţie specifică, publicaţii de specialitate, Internet, bune practici în
domeniu, schimburi de informaţii şi de experienţă cu specialişti, participări la conferinţe,
simpozioane, târguri de specialitate etc.
Contexte:
• activitatea se desfăşoară într-un cadru legislativ specific;
• standarde de specialitate aplicabile;
• SMS – sistemul de management al securităţii.
Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit etc.;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc.;
• ameninţări, vulnerabilităţi şi riscuri;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• resurse materiale, financiare, umane, instituţionale, legale, timpul la dispoziţie;
• părţile interesate: clienţi, personal propriu, consultanţi, furnizori, contractori, autorităţi
publice;
• mediul de lucru: spaţii deschise amenajate ori neamenajate, clădiri şi construcţii, încăperi
de securitate şi încăperi tip tezaur, containere de securitate, spaţii publice, spaţii private, mijloace de
transport specializate;
Contexte:
• cadrul legislativ şi standardele de specialitate aplicabile;
• SMS – sistemul de management al securităţii.
Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc.;
• resurse materiale, resurse financiare, resurse umane, instituţionale, legale;
• cuantificarea numărului, caracteristicilor şi impactului incidentelor de securitate;
• informaţii: interne sau externe entităţii, clasificate şi/sau neclasificate;
• proceduri de verificare a personalului, înainte de angajare, pe timpul şi după terminarea
contractului;
• ameninţări, vulnerabilităţi şi riscuri la adresa personalului entităţii;
• produse ale procesului de planificare: proceduri de vetting (care vor atesta loialitatea şi
onestitatea unor persoane precum şi accesul la informaţii cu un anumit nivel de clasificare), planul
de pregătire a personalului, autorizaţii de acces la informaţii clasificate şi certificate de securitate,
proceduri şi instrucţiuni de lucru;
Contexte:
• cadrul legislativ şi standardele de specialitate aplicabile;
• SMS-sistemul de management al securităţii;
• autoritatea desemnată de securitate;
• proceduri, metode de control şi evaluare a implementării prevederilor anexei de securitate.
Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi etc.;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• resurse: materiale, financiare, umane, instituţionale, legale;
• părţile interesate: clienţi, personal propriu, consultanţi, furnizori, contractori, autorităţi
publice;
• limitări ale resurselor: materiale, financiare, umane, ale timpului la dispoziţie,
instituţionale, legale;
• mediul de lucru: spaţii deschise amenajate ori neamenajate; cladiri şi construcţii: uzine,
secţii, instalaţii tehnologice etc.; obiective speciale; elemente critice de infrastructură;
• informaţii: interne sau externe entităţii, clasificate şi/sau neclasificate.
Securitatea Industrială – sistemul de norme şi măsuri care reglementează protecţia
informaţiilor clasificate în cadrul activităţilor contractuale cu agenţi economici şi instituţii publice.
Securitatea industrială se referă la ansamblul măsurilor de protecţie a informaţiilor
clasificate vehiculate în domeniul industrial, în legătură cu licitarea, negocierea şi derularea unor
contracte clasificate.
Asigurarea unei calităţi superioare a managementului informaţiilor clasificate din domeniul
industrial nu este doar un accesoriu obligatoriu, ci constituie o problemă de imagine naţională, una
din căile de acces în clubul select al naţiunilor industrializate.
Reprezintă un contract clasificat, orice contract, încheiat în condiţii legale, în cadrul căruia
se cuprind şi se vehiculează informaţii clasificate.
Participarea la negocieri în vederea încheierii unui contract clasificat este permisă în baza
unei autorizaţii de securitate industrială, eliberată în urma unor verificări specifice, care confirmă
aplicarea măsurilor minime de securitate prevăzute în standarde.
Derularea unui contract clasificat de către un agent economic se realizează în baza unui
certificat de securitate industrială, eliberat în urma verificărilor specifice, care confirmă aplicarea
măsurilor minime de securitate prevăzute în standarde.
Contexte:
• cadrul legislativ incident şi standardele aplicabile;
• SMS-sistemul de management al securităţii;
• proceduri standardizate de testare şi evaluare a SIC, RTD şi paginilor web.
Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit etc.;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc.;
• ameninţări, vulnerabilităţi şi riscuri;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• resurse materiale, financiare, umane, instituţionale, legale, timpul la dispoziţie;
• părţile interesate: clienţi, personal propriu, consultanţi, furnizori, contractori, autorităţi
publice;
• mediul de lucru: spaţii publice, spaţii private, spaţii deschise amenajate ori neamenajate,
cladiri şi construcţii, încăperi de securitate, mijloace de transport;
• documente relevante: programul de prevenire a scurgerii de informaţii clasificate, planuri
pentru implementarea reţelelor de transmisii de date şi aparaturii aferente, cerinţe de securitate
defineşte termenii specifici şi stabileşte obligaţii concrete atât autorităţilor publice în domeniu, cât
şi instituţiilor private legate de securitatea sistemelor informatice.
Astfel, în înţelesul legii, accesul neautorizat constă în accesul fără drept la un sistem
informatic, iar prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive
interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea
automată a datelor, cu ajutorul unui program informatic.
Probabilitatea accesării neautorizate a unui sistem informatic este invers proporţională cu
nivelul de securitate al sistemului respectiv. În consecinţă, adoptarea unor politici de
securitate adecvate şi actualizate pot reduce drastic numărul atacurilor informatice finalizate cu
succes. În acest sens, de altfel acelaşi act normativ defineşte generic măsurile informatice de
securitate ca proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora
accesul la un sistem informatic este restricţionat sau interzis pentru anumite categorii de
utilizatori.
Accesarea neautorizată a unui sistem informatic nu se rezumă la accesarea fizică a
componentelor hardware ale unui calculator sau ale unei reţele de calculatoare ci la câştigarea de
drepturi asupra resurselor gestionate de sistemul respectiv. Acest lucru se poate realiza fără
prezenţa fizică a atacatorului în faţa calculatorului ţintă şi se bazează, de regulă, pe escaladarea
arbitrară a sistemelor informatice de protecţie. Amplificarea numărului de ilegalităţi catalogate
drept acces neautorizat este legată în mod direct de utilizarea la scară largă a reţelei Internet.
c) Blocarea sistemelor informatice prin acţiuni de virusare
Virusul reprezintă un program distructiv parţial sau total al datelor sau al calculatoarelor
şi presupune o pătrundere neautorizată în aplicaţii, unde se multiplică şi invadează alte
programe din spaţiul rezident memoriei sau de pe discuri.
Programele pentru calculator de tip “virus” reprezintă deci, o ameninţare gravă,
permanentă pentru sistemele informatice conectate la Internet sau reţelele locale. Astfel,
alterarea datelor stocate într-un calculator poate fi realizată şi prin activitatea distructivă a
viruşilor informatici (viermi informatici, bombe logice, cai troieni). Consecinţele utilizării unor
astfel de aplicaţii pot avea repercusiuni pecuniare majore, de la distrugerea efectivă a sistemului
de operare, până la compromiterea anumitor baze de date, acces neautorizat şi control de la
distanţă a unui calculator infectat.
România a acordat o atenţie sporită acestui subiect, venind în întâmpinarea unor astfel
de evenimente cu un cadru legislativ adecvat, un act important reprezentându-l Legea
nr.161/2003, care stabileşte prin prevederile art. 45 şi 46 pedepsele aplicabile în cazul
săvârşirii infracţiunilor ce vizează:
• perturbarea gravă, fără drept, a funcţionării unui sistem informatic, prin introducerea,
transmiterea, modificarea, ştergerea sau deteriorarea datelor informatice sau prin restricţionarea
accesului la aceste date, respectiv,
• producerea, vinderea, importul, distribuţia sau punerea la dispoziţie, sub orice altă
formă, fără drept, a unui dispozitiv sau program informatic distructiv.
Viruşii informatici sunt, în esenţă, microprograme care posedă proprietatea de a
introduce copii executabile ale lui însuşi în alte programe, greu de depistat, ascunse în alte
programe şi care aşteaptă un moment favorabil pentru a provoca defecţiuni ale sistemului de
calcul (blocarea acestuia, comenzi sau mesaje neaşteptate, alte acţiuni distructive). Se poate
aprecia că un virus informatic este un microprogram cu acţiune distructivă localizat, în principal,
în memoria internă, unde aşteaptă un semnal pentru a-şi declanşa activitatea. Acest program are,
de regulă, proprietatea că se autoreproduce, ataşându-se altor programe şi executând operaţii
nedorite şi uneori de distrugere.
În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată şi
cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este
uneori şi o activitate de grup, în care sunt selectaţi, antrenaţi şi plătiţi cu sume uriaşe
specialişti de înaltă clasă.
Virusul informatic este, aşadar, un program maliţios, introdus în memoria calculatorului,
care la un moment dat devine activ, atacând prin distrugere sau alterare fişiere sau autocopiindu-
se în fişiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate, la rândul său,
să infecteze alte programe.
Domeniul aplicativ - Securitatea informatică şi a comunicaţiilor, ce presupune protecţia
sistemelor IT&C şi a informaţiilor stocate în aceste sisteme, se realizează prin aplicarea
tehnologiilor de securitate informatică privind culegerea, stocarea, regăsirea, procesarea, analiza şi
transmiterea informaţiei, de către consultanţi de securitate informatică, specialişti în criptografie,
arhitecţi de securitate informatică şi specialişti în firewall, antivirus etc.
Însuşirea temeinică a competenţelor profesionale nu se limitează nicidecum la cunoaşterea
conţinuturilor lor ideatice, a laturii lor teoretice. Accentul se va pune pe îmbinarea judicioasă a
laturii teoretice cu cea aplicativă, pe creşterea gradului de cunoştinţe profesionale şi tehnice,
concomitent cu dezvoltarea capacităţii şi deprinderilor necesare pregătirii şi desfăşurării cu succes a
activităţilor şi acţiunilor specifice ocupaţiei manager de securitate, pe baza organizării minuţioase a
domeniilor de competenţă.
Este evidentă necesitatea ca atât organizarea sistemului de securitate, cât şi formele şi
procedeele de acţiune să fie judicios adaptate realităţilor organizaţiei / firmei / companiei, astfel
încât, dezvoltarea şi perfecţionarea sistemului de securitate să răspundă cât mai eficient
46 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
”Oricine se poate înfuria – asta e uşor. Dar să fii furios pe cine trebuie, în măsura în care
trebuie, în momentul care trebuie, cu un obiectiv corect şi în mod corect - asta e dificil.”
Aristotel
Unitatea de competenţă:
UCG1. Organizarea sistemului de management al securităţii
Tema 1. Politici, strategii, obiective, structuri, procese, bunuri, valori etc. care sunt
relevante pentru securitate într-o organizaţie
Politica de securitate
Existenţa unei viziuni clare a conducerii şi o comunicare efectivă a acesteia către angajaţi
este fundamentală pentru asigurarea eficienţei oricăror proceduri şi măsuri de securitate specifice.
Organizarea securităţii
Existenţa unei structuri organizatorice unitare care să iniţieze şi să controleze
implementarea mecanismelor de securitate în cadrul organizaţiei, presupune un punct central de
coordonare – manager de securitate.
Organizarea securităţii nu se limitează doar la personalul intern, trebuie avute în vedere şi
riscurile induse de terţi sau subcontractori care au acces la sistemul informaţional al organizaţiei.
Securitatea personalului
Cele mai multe incidente de securitate sunt generate de personal din interiorul organizaţiei,
prin erori sau neglijenţă în utilizarea resurselor informaţionale sau chiar acţiuni rău intenţionate.
Sunt stabilite măsuri specifice precum includerea responsabilităţilor legate de securitatea
informaţiilor în descrierea şi sarcinile de serviciu ale postului, implementarea unor politici de
verificare a angajaţilor, încheierea unor acorduri de confidenţialitate şi prin clauze specifice în
contractele de muncă.
Măsură de securitate
Documentul de politică a securităţii informaţiei trebuie să fie aprobat de către management,
trebuie să fie publicat şi comunicat tuturor angajaţilor şi terţelor părţi relevante.
Alte informaţii
Politica de securitate a informaţiei poate fi cuprinsă într-un document de politică generală.
Dacă politica de securitate a informaţiei este distribuită în afara organizaţiei, acest lucru trebuie
făcut cu atenţie pentru a nu se dezvălui informaţii secrete.
Măsură de securitate
Politica de securitate a informaţiei trebuie să fie revizuită la intervalele planificate sau
atunci când apar schimbări semnificative, pentru a se asigura permanenta ei adecvare,
compatibilitate şi eficienţa.
f) schimbări care pot afecta modul în care organizaţia abordează managementul securităţii
informaţiei, inclusiv schimbările suferite de mediul organizaţional, condiţiile de desfăşurare a afacerii,
disponibilitatea resurselor, condiţiile contractuale, normative şi legale, condiţiile tehnice;
g) tendinţele în privinţa ameninţărilor şi vulnerabilităţilor;
h) incidente raportate privind securitatea informaţiei;
i) recomandări furnizate de autorităţile de resort.
Rezultatul analizei managementului trebuie să cuprindă toate deciziile şi acţiunile
referitoare la:
a) îmbunătăţirea abordării de către organizaţie a managementului securităţii informaţiei şi
a proceselor aferente;
b) îmbunătăţirea obiectivelor şi măsurilor de securitate;
c) îmbunătăţiri în alocarea de resurse şi/sau responsabilităţi.
4. Aspecte majore
Se descriu mai jos aspectele esenţiale care trebuie luate în considerare în construirea
scenariilor pentru aplicarea politicilor de securitate.
a. Pierdere de funcţionalitate. Obiectivul central al politicii de securitate al unei organizaţii
(entităţi) este de a proteja organizaţia (entitatea) împotriva avarierii sau distrugerii bunurilor şi
serviciilor critice. Mai exact, să protejeze un bun sau o activitate care este esenţială pentru
menţinerea funcţiilor vitale ale entităţii, sănătate, siguranţă, securitate, iar întreruperea sau
distrugerea acestora ar avea un impact semnificativ. Expresia „pierdere de funcţionalitate/serviciu”
este utilizată cu înţelesul de degradare sub nivelul de serviciu aşteptat să fie furnizat de entitate.
Exemplu: Experienţa a demonstrat că majoritatea organizaţiilor nu ştiu cum să
răspună unui incident legat de securitatea informaţională până când nu au fost
afectate semnificativ de un asemenea incident. Multe dintre ele nu au evaluat apriori
riscul de afaceri asociat lipsei unui sistem bine reglat de detecţie şi de răspuns la
incidentele de securitate. De cele mai multe ori, organizaţiile primesc rapoarte prin
care sunt informate de implicarea acestora în incidente de securitate care au
originea, de obicei, în altă parte, fără a fi implicate în identificarea în sine a
incidentului.
c. Cel mai rău scenariu posibil. Un „cel mai rău scenariu posibil” constituie baza pe care
se calculează consecinţele pentru evaluarea aspectelor esenţiale. „Cel mai rău scenariu posibil” este
cel mai nefavorabil cu putinţă, care conduce la cel mai rău rezultat aşteptat dintre toate scenariile
posibile. „Cele mai rele scenarii posibile” sunt acele scenarii care se pot întâmpla şi care sunt
probabile pe baza cunoştinţelor existente.
De cele mai multe ori organizaţiile neglijează necesitatea de a determina nivelul
riscurilor, de a crea proceduri formale pentru prevenirea, detectarea şi înlăturarea
Un aspect relevant este faptul că, în zilele noastre, organizaţiile devin din ce în ce mai
dependente de buna funcţionare a sistemelor informaţionale, problema securităţii acestor sisteme
fiind din ce în ce mai importantă. Investind în securitate vom putea avea sisteme IT mai sigure. De
multe ori, vom constata ca beneficiile vor fi mai mari, iar investiţiile şi eforturile făcute vor fi mai
mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual, sau, mai rău,
vom acţiona pentru a înlătura efectele abia după producerea unui incident de securitate.
NOTĂ:
Cerinţele privind securitatea fizică sunt detaliate în cadrul
temei „Sistem integrat de securitate fizică”.
Materialul de faţă se va referi, în principal, la cerinţele
privind securitatea informaţiei, în conformitate cu SR
ISO/CEI 27002:2008 .
2. Securitatea informaţiei
Informaţia este o resursă care, asemănător altor resurse importante ale unei organizaţii, are
o importanţă deosebită pentru organizaţie şi, în consecinţă, necesită o protecţie adecvată. Aceasta
prezintă o importanţă deosebită pentru actualul mediu de afaceri ale cărui interconexiuni se
accentuează. Ca urmare a acestui fapt, informaţiile sunt expuse unor ameninţări şi vulnerabilităţi din
ce în ce mai numeroase şi mai diversificate.
Informaţiile pot exista sub diferite forme: tipărite sau scrise pe hârtie, stocate electronic,
transmise prin poştă sau prin echipamente electronice, prezentate pe filme sau comunicate în cadrul
unor conversaţii. Orice formă ar avea informaţiile sau orice metode de stocare ar fi folosite, ele
trebuie să fie întotdeauna protejate corespunzător.
Securitatea informaţiei protejează informaţiile de o gamă largă de ameninţări pentru a se putea
asigura continuitatea activităţii, minimalizarea riscului afacerii şi maximalizarea reinvestiţiei şi
oportunităţilor afacerii.
Securitatea informaţiei este obţinută prin implementarea unui set adecvat de măsuri de
securitate, între care pot fi: politici, procese, proceduri, structuri organizaţionale şi funcţiuni legate
de software şi hardware. Aceste măsuri de securitate trebuie stabilite, implementate, monitorizate,
analizate şi îmbunătăţite, când este cazul, pentru a se asigura atingerea obiectivelor specifice de
securitate ale organizaţiei. Acestea trebuie asociate cu alte procese de management ale afacerii.
Informaţiile şi procesele, sistemele şi reţelele care o susţin sunt resurse importante ale
organizaţiei. Definirea, realizarea, menţinerea şi îmbunătăţirea securităţii informaţiei pot fi esenţiale
pentru menţinerea competitivităţii, a profitabilităţii şi a fluxului de numerar, a legalităţii şi a imaginii
comerciale.
Organizaţiile, sistemele şi reţelele lor de informaţii se confruntă cu ameninţări la adresa
securităţii dintr-o gamă largă de surse, între care: fraudă prin intermediul calculatoarelor, spionaj,
sabotaj, vandalism, incendiu sau inundaţie. Cauzele producătoare de pagube cum ar fi codurile cu
potenţial dăunător, atacuri de tip hacking, precum şi refuzul serviciului au devenit mai frecvente,
mai răspândite şi din ce în ce mai sofisticate.
55 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Securitatea informaţiei este importantă atât pentru sectorul public, cât şi pentru cel privat şi
pentru protejarea infrastructurilor importante. În ambele sectoare, securitatea informaţiei
funcţionează ca un factor care permite, spre exemplu, implementarea electronică a actului
guvernamental, comerţul electronic, precum şi evitarea sau reducerea riscului relevant.
Interconectarea reţelelor publice cu cele private şi folosirea în comun a resurselor informaţionale
sporesc dificultatea realizării unui control adecvat al accesului. Tendinţa de a se apela la sisteme
distribuite de calcul a diminuat eficacitatea unui control centralizat şi specializat.
Multe sisteme informatice nu au fost proiectate pentru a fi sigure. Securitatea care poate fi
obţinută prin metode tehnice este limitată şi ar trebui să fie susţinută de un management şi proceduri
adecvate. Identificarea măsurilor de securitate care ar trebui implementate presupune o planificare
atentă şi atenţie la detalii. O cerinţă minimală pentru asigurarea managementului securităţii
informaţiei o reprezintă participarea tuturor angajaţilor organizaţiei. De asemenea, se poate impune
participarea acţionarilor, furnizorilor, terţilor, clienţilor sau a altor părţi externe. Poate fi, de
asemenea, nevoie de consultanţă specializată din partea unei organizaţii externe.
Este esenţial ca organizaţiile să îşi identifice propriile cerinţe de securitate. Există trei surse
principale de cerinţe de securitate:
1. Prima sursă provine din determinarea riscului la care este expusă organizaţia, ţinând cont
de strategiile şi obiectivele generale ale acesteia. Prin determinarea riscului se identifică
ameninţările la adresa resurselor, se evaluează vulnerabilităţile la aceste ameninţări şi probabilitatea
de concretizare a acestora şi se estimează impactul potenţial.
2. A doua sursă o reprezintă cerinţele legale, statutare, reglementările şi cerinţele
contractuale pe care o organizaţie, partenerii săi comerciali, contractorii şi furnizorii săi de servicii
trebuie să le respecte, precum şi mediul socio-cultural al acestora.
3. A treia sursă o constituie setul specific de principii, obiective şi cerinţe ale afacerii pentru
procesarea informaţiei pe care organizaţia le dezvoltă pentru a-şi susţine activităţile.
Înainte de a aborda tratarea unui anumit risc, organizaţia trebuie să stabilească criterii pe
baza cărora să decidă dacă riscurile pot fi acceptate sau nu. Riscurile pot fi acceptate dacă se
estimează, de exemplu, că riscul este scăzut sau că tratarea nu este eficientă pentru organizaţie din
punct de vedere al costului. Astfel de decizii trebuie înregistrate.
Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesară o decizie
privind tratarea riscului. Opţiunile posibile pentru tratarea riscului cuprind:
a) aplicarea măsurilor adecvate de securitate pentru reducerea riscului;
b) acceptarea conştientă şi obiectivă a riscurilor cu condiţia ca acestea să fie conforme
politicii şi criteriilor organizaţiei privind acceptarea riscului;
c) evitarea riscurilor prin interzicerea acţiunilor care ar putea cauza apariţia de riscuri;
d) transferul riscurilor asociate către terţe părţi, spre exemplu asiguratori sau furnizori.
Odată identificate cerinţele şi riscurile de securitate şi odată luate deciziile privind tratarea
riscului, trebuie selectate şi implementate măsurile necesare asigurării reducerii riscului la un nivel
acceptabil. Măsurile de securitate pot fi selectate din standardul SR ISO/CEI 27002:2008 sau din
alte liste de măsuri de securitate sau pot fi proiectate măsuri de securitate proprii care să
îndeplinească cerinţe specifice în mod adecvat. Selectarea măsurilor de securitate depinde de
deciziile luate la nivelul organizaţiei pe baza criteriilor de acceptare a riscului, a opţiunilor privind
tratarea riscului şi a abordării generale a managementului de risc în cadrul organizaţiei, trebuind să
fie de asemenea supuse legislaţiei şi reglementărilor relevante naţionale şi internaţionale.
Unele dintre măsurile de securitate din acest document pot fi considerate linii directoare
pentru managementul securităţii informaţiei aplicabile majorităţii organizaţiilor. Ele sunt explicate
în continuare sub titlul „Punct de pornire pentru securitatea informaţiei”.
Pentru acele riscuri pentru tratarea cărora s-a luat decizia de aplicare a măsurilor de
securitate adecvate, respectivele măsuri trebuie selectate şi implementate pentru a răspunde
cerinţelor identificate prin determinarea riscului. Măsurile trebuie să asigure reducerea riscurilor la
un nivel acceptabil ţinând cont de:
a) cerinţele şi constrângerile reglementărilor şi legislaţiei internaţionale;
b) obiectivele organizaţiei;
c) cerinţele şi constrângerile operaţionale;
d) costul implementării şi operării în raport cu riscurile care se reduc, păstrând
proporţionalitatea faţă de cerinţele şi limitările specifice organizaţiei;
Este necesar să se recunoască faptul că s-ar putea ca unele măsuri de securitate să nu fie
aplicabile oricărui sistem informaţional sau mediu şi să nu poată fi practicate de orice organizaţie.
Este posibil ca în organizaţiile mici să nu poată fi separate toate sarcinile, fiind, probabil, nevoie de
alte modalităţi de realizare a aceluiaşi obiectiv de control. Măsurile de securitate, cum ar fi
înregistrarea evenimentului, ar putea intra în conflict cu legislaţia aplicabilă, ca de exemplu cea
privitoare la protejarea caracterului privat al informaţiei clienţilor sau la locul de muncă.
Măsurile de securitate a informaţiei trebuie avute în vedere în faza de proiectare a cerinţelor
sistemelor şi proiectelor. În caz contrar, se pot înregistra costuri suplimentare şi soluţii mai puţin
eficiente şi, în cel mai rău caz, se ajunge la incapacitatea de realizare a unei securităţi adecvate.
Trebuie reţinut faptul că niciun set de măsuri de securitate nu poate realiza o securitate
totală şi că sunt necesare acţiuni manageriale suplimentare pentru monitorizarea,
evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate în sprijinul ţelurilor
organizaţiei.
Unele măsuri de securitate pot fi considerate un bun punct de pornire pentru implementarea
securităţii informaţiei. Ele se bazează fie pe cerinţe legislative esenţiale, fie sunt considerate
practică curentă pentru securitatea informaţiei.
Măsurile de securitate considerate esenţiale pentru o organizaţie din punct de vedere
legislativ cuprind, în funcţie de legislaţia aplicabilă:
a) protecţia datelor din domeniu, aplicarea şi păstrarea secretului informaţiei cu caracter
personal;
b) protejarea înregistrărilor organizaţiei;
c) drepturi de proprietate intelectuală.
Experienţa a arătat că, pentru reuşita implementării unui sistem de securitate a informaţiei,
în cadrul unei organizaţii, sunt adesea decisivi următorii factori:
a) politica de securitate, obiectivele şi activităţile care reflectă obiectivele afacerii;
b) o abordare şi un cadru pentru implementarea, menţinerea, monitorizarea şi îmbunătăţirea
securităţii informaţiei în corespondenţă cu cultura organizaţională;
c) o susţinere şi un angajament ferm din partea tuturor nivelurilor de conducere;
d) o bună înţelegere a cerinţelor de securitate, a determinării riscului şi a managementului
riscului;
e) un marketing eficient al securităţii informaţiei pentru toţi directorii, angajaţii şi alte părţi
care contribuie la realizarea conştientizării;
f) distribuirea îndrumărilor privind politica şi standardele de securitate a informaţiei către
toţi directorii, angajaţii şi alte părţi;
g) asigurarea fondurilor necesare activităţilor de management al securităţii informaţiei;
h) asigurarea unei conştientizări, instruiri şi educaţii corespunzătoare;
i) stabilirea unui proces eficient de management al incidentelor de securitate a informaţiei;
j) implementarea unui sistem de măsurare pentru evaluarea performanţei în managementul
securităţii informaţiei precum şi pentru inducerea sugestiilor de îmbunătăţire.
Acest cod de practică poate fi privit ca punct de pornire pentru dezvoltarea unui set de linii
directoare specifice organizaţiei. Nu toate măsurile de securitate şi îndrumările din acest cod de
practică sunt aplicabile. Mai mult, pot fi necesare măsuri de securitate şi îndrumări suplimentare
care nu sunt incluse în standardul SR ISO/CEI 27002:2008.
Când se elaborează documente care cuprind îndrumări sau măsuri de securitate
suplimentare poate fi util să se insereze referiri la articolele standardul SR ISO/CEI 27002:2008,
unde este cazul, pentru uşurarea verificării conformităţii de către auditori şi partenerii de afaceri.
c) Protecţia juridică
- instruirea întregului personal care are acces la informaţiile secrete de serviciu cu
prevederile H.G. nr. 781/2002 şi ale altor acte normative la care acesta face trimitere şi asigurarea
că aceste prevederi sunt cunoscute;
- cercetarea oricărei încălcări a reglementărilor de securitate pentru a se constata dacă
informaţiile respective au fost compromise, dacă s-au creat prejudicii şi stabilirea măsurilor
corective, disciplinare sau juridice necesare;
- instituirea evidenţei tuturor cazurilor de încălcare a reglementărilor de securitate şi punerea
lor şi la dispoziţia Serviciului Român de Informaţii.
d) Măsuri procedurale
- emiterea normelor interne de aplicare a măsurilor privind protecţia informaţiilor clasificate
şi controlul respectării lor;
- asigurarea fondurilor necesare pentru implementarea măsurilor de protecţie a informaţiilor
clasificate;
- întocmirea de către organizaţie şi semnarea angajamentelor de confidenţialitate de către toţi
cei care sunt autorizaţi să aibă acces la informaţii secret de serviciu;
- planul de pază şi apărare va fi clasificat „secret de serviciu” şi va cuprinde totalitatea
măsurilor de securitate întreprinse pentru prevenirea accesului neautorizat la informaţiile protejate.
Planul de pază trebuie să fie anexat la programul de prevenire a scurgerii de informaţii clasificate.
e) Protecţia fizică
- zonele în care se lucrează cu informaţii secrete de serviciu vor fi stabilite ca zone
administrative, delimitate vizibil, în interiorul cărora să existe posibilitatea de control al
personalului şi al autovehiculelor;
f) Protecţia personalului
- selecţionarea, verificarea, avizarea şi autorizarea persoanelor care au acces la informaţiile
secrete de serviciu se realizează de către conducerea organizaţiei prin compartimentul resurse
umane şi trebuie să aibă în vedere ca persoanele care vor ocupa funcţii ce necesită acces la astfel de
informaţii să aibă trăsăturile de caracter şi recomandările care dau garanţii pentru reducerea
riscurilor de securitate.
g) INFOSEC
- instituirea componentei de Securitate pentru Tehnologia Informaţiei şi a Comunicaţiilor
(CSTIC) în subordinea structurii de securitate din organizaţie. Această componentă va fi formată cel
puţin din administratorul de securitate al reţelei;
- înfiinţarea unui sistem de Prelucrare Automată a Datelor (SPAD), în care se stochează şi
procesează informaţiile secrete de serviciu;
- actualizarea listei utilizatorilor autorizaţi în timp cât mai scurt, constant;
- vor exista conturi privilegiate pentru administratorul de sistem şi pentru administratorul de
securitate;
- utilizatorii îşi vor dovedi identitatea înainte de accesarea oricărei aplicaţii;
- parolele utilizatorilor vor avea cel puţin 6 caractere şi vor fi schimbate la 180 de zile;
- schimbarea parolelor de fiecare dată când acestea sunt compromise sau divulgate unor
persoane neautorizate;
- păstrarea parolelor conturilor privilegiate în plicuri sigilate, într-un container sigur,
stabilindu-se procedurile de păstrare şi acces;
- oprirea procesului de iniţiere a sesiunii de lucru şi blocarea contului de utilizator după trei
încercări nereuşite de autentificare;
- întocmirea unei liste a situaţiilor în care un utilizator trebuie să fie autentificat;
- în timpul procesului de autentificare, sistemul va furniza utilizatorului, ca feedback, doar o
cantitate de informaţii limitată;
- auditarea situaţiilor de folosire fără succes a mecanismului de identificare a utilizatorului;
- implementarea mecanismelor de limitare a accesului doar la datele pentru care utilizatorul
are nevoia de a le cunoaşte;
- implementarea privilegiilor de acces pentru restricţionarea drepturilor de acces acordate
unui utilizator (de ex.- citire, scriere, modificare, ştergere);
- înainte de iniţializarea unei sesiuni, va fi afişat un anunţ care va indica faptul că sistemul
este supus controlului pentru detectarea activităţilor neautorizate şi că au acces doar utilizatorii
autorizaţi;
- blocarea unei sesiuni interactive după o perioadă specifică de inactivitate a utilizatorului,
ştergând sau suprascriind imaginea afişată pe monitor şi dezactivând orice activitate a dispozitivelor
de acordare a accesului la datele utilizatorului sau de afişare a acestora, cu excepţia celei de blocare
a sesiunii;
- implementarea mecanismelor de protejare a informaţiilor reziduale pentru ca informaţiile
şterse să nu mai poată fi accesate şi pentru ca noile obiecte create să nu conţină informaţii care nu
trebuie să fie accesibile;
- stabilirea în documentaţia de securitate a evenimentelor care urmează să fie abordate în
procesele de evidenţă şi audit;
- realizarea de înregistrări de audit pentru fiecare din următoarele evenimente, cu asocierea
fiecărui eveniment cu identitatea utilizatorului, data, ora, tipul evenimentului şi rezultatul lui
(succes sau eşec):
- iniţializarea sistemului (inclusiv reiniţializările) şi închiderea;
1. Consideraţii generale
Realităţile începutului de mileniu (descreştere economică, sprijin scăzut acordat statelor în
curs de dezvoltare, sărăcie în ţările dezvoltate, consum dezechilibrat de energie şi resurse materiale,
erori de analiză şi evaluare care duc la politici financiare contraproductive, precum şi revitalizarea
unor ideologii violente) impun o reevaluare a riscurilor şi ameninţărilor la adresa securităţii
naţionale şi internaţionale. O problemă majoră care necesită a fi soluţionată este legată de
perspectivele realiste ale dezvoltării durabile, a căilor şi mijloacelor tehnologice de asigurare a
protecţiei infrastructurilor implicate în această dezvoltare.
Caracterul continuu al provocărilor generate de noi riscuri şi ameninţări, impune noi reguli,
valori şi atitudini/comportamente, acceptate şi asumate de opinia publică şi statele democratice, cât
şi proiectarea de noi tehnici de guvernare/ administrare a resurselor societăţii. Acestea sunt
determinate de:
- progresul ştiinţific accelerat şi inovaţia tehnologică, vulnerabilitatea în continuă creştere a
sistemelor vitale şi riscurile pe scară largă, cu impact transfrontalier;
- interdependenţa sporită între posibile accidente/disfuncţii de ordin tehnic sau la nivelurile
social şi cultural;
- globalizarea în expansiune şi concentrarea unor procese/fenomene; persistenţa
discrepanţelor la nivel mondial; schimbări în domeniul capacităţilor de reglare a acestora, de la
nivelul unui singur guvern, la o multitudine de factori, structuri, instituţii implicate;
- punerea în discuţie a unor orientări/abordări/concepţii de bază şi noile schimbări apărute în
domeniul evaluării riscurilor şi a gestionării acestora;
- abordările tradiţionale sunt depăşite; confruntate cu ineficienţa, inconsistenţa,
incorectitudinea şi lipsa de transparenţă, ele nu mai reprezintă, în mod evident, singurele dileme
majore existente.
Acestea sunt aspecte fundamentale în zilele noastre, care impun cerinţe noi privind
planificarea securităţii cu flexibilitate şi creativitate, ţinând cont de valorile şi activităţile vitale
pentru entitate. În acest sens, tema de faţă îşi propune următoarele obiective:
Să ofere managementului de securitate un instrument de analiză pentru fundamentarea
unor programe de control al riscului – concentrarea resurselor în programe de management al
riscurilor critice, monitorizarea evoluţiei riscurilor prin repetarea periodică a analizei, limitarea
alocării de resurse pentru controlul unor riscuri a căror criticalitate a fost diminuată / eliminată în
urma măsurilor de control implementate, transferul riscurilor prin asigurări;
Să ajute la elaborarea analizei de impact şi la fundamentarea Planului de continuitate a
activităţii, prin identificarea riscurilor cu care se confruntă societatea şi evidenţierea riscurilor
critice pentru care societatea urmează să dezvolte măsuri de prevenire şi diminuare a impactului.
2.1. Definiţii
Ameninţare: se referă la existenţa unei intenţii şi la capacitatea cuiva (sau ceva) de a
provoca consecinţe dezastruoase.
Consecinţă: (în urma producerii unui eveniment) reprezintă gradul de impact asupra
intereselor celor implicaţi.
Bunuri critice: înseamnă acele bunuri ale entităţii prin a căror degradare / distrugere se
ajunge la pierderea de funcţionalitate.
Într-un program de management al riscurilor este necesară parcurgerea mai multor paşi:
a) Estimarea efectului ameninţărilor sau a oponenţilor asupra fiecărui bun critic, luând în
considerare măsurile de protecţie existente şi nivelul lor de eficacitate;
b) Determinarea gradului relativ de risc al obiectivului în cazul efectului asupra fiecărui
bun critic şi probabilitatea unui atac real;
c) Prioritizarea riscurilor pe baza gradului relativ de risc şi a probabilităţii unui atac,
folosind o evaluare integrală.
Fig. 2.1
Ciclul Deming este un model de îmbunătăţire continuă a calităţii. El constă într-o secvenţă
logică de patru paşi, ce se repetă ciclic, pentru a genera îmbunătăţire şi învăţare continuă; este un
instrument util managementului pentru a implementa îmbunătăţiri continue în procesele pe care le
controlează. Acest ciclu permite urmărirea, vizualizarea şi acţiunea procesului real.
Complexitatea activităţilor de analiză a riscurilor impune o abordare bazată pe ciclul
Deming (PDCA), care are avantajul că permite o tratare graduală, repetitivă, asigurând astfel atât
adaptarea la modificările continue, cât şi îmbunătăţirea eficienţei şi eficacităţii sistemului.
PDCA este un proces iterativ cu patru etape de rezolvare a problemelor:
PLAN (PLANIFICARE): În această fază, trebuie trasat un plan de acţiune care conţine
ţinte bine definite, care constituie indicaţii clare pentru stabilirea unui program concret ce poate fi
derulat în timp şi a obiectivelor ce trebuie urmărite. Etapa poate oferi ocazia de a identifica o
oportunitate şi a genera o schimbare. În acest sens, sunt necesari următorii paşi:
- definirea procesului: început, final, în ce constă;
- descrierea procesului: acţiuni, secvenţa paşilor, personal implicat, echipament utilizat,
condiţii de mediu, metode de lucru, materiale folosite;
- descriere părţi implicate: factori externi şi interni, furnizori, operatori de proces;
- definire aşteptări: ce se doreşte, când, unde;
- determinare date istorice disponibile relative la performanţa procesului sau a datelor
suplimentare necesare pentru a înţelege mai bine procesul;
- descrierea problemelor asociate cu procesul aşa cum sunt ele percepute;
- identificarea cauzelor primare ale problemelor şi impactul acestora asupra
performanţelor procesului;
- dezvoltarea potenţialelor elemente de schimbare sau a soluţiilor şi evaluarea modului în
care acestea vor influenţa cauzele identificate;
- selectarea celor mai promiţătoare soluţii.
DO (IMPLEMENTARE): Implementare, schimbare şi execuţie.
- execuţia unui studiu pilot sau experiment pentru a testa impactul soluţiilor potenţiale;
- identificarea sistemelor de măsurare ce pot evidenţia modul în care orice schimbare sau
soluţie are succes în rezolvarea problemei identificate.
CHECK / STUDY (VERIFICARE / STUDIU): În timpul execuţiei, este necesară
urmărirea şi verificarea implementării, pentru a monitoriza evoluţia proiectului şi a utilizării
resurselor în scopul de a acomoda planul iniţial cu condiţiile reale. Analizează modul de
implementare, analizează rezultatele acesteia şi identifică elementele învăţate pentru a le generaliza,
respectiv:
- examinarea rezultatelor studiului pilot sau experimentului;
- stabilirea existenţei unui progres în cadrul procesului;
- determinarea necesarului eventual de extindere a testării şi evaluării schimbării.
ACT (ACŢIUNE): Dacă pe parcursul evaluării sunt identificate elemente care pot pune
în pericol ţintele stabilite, trebuie luate urgent măsuri corective sau de îmbunătăţire. Dacă
schimbarea este utilă, atunci trebuie să poată genera schimbări mai de amploare. În cazul în care
modificările nu sunt un succes, se reia ciclul din nou, respectiv:
- selectarea schimbării/soluţiei optime;
- dezvoltarea unui plan de implementare: ce trebuie făcut, cine trebuie implicat, când trebuie
finalizat planul;
- standardizarea soluţiei, ca efect al învăţării, de exemplu, prin rescrierea procedurii de
operare standard;
- stabilirea unui proces de monitorizare şi control al performanţei.
Apoi Ciclul poate reîncepe.
Consecinţă (conform def. din par. 2.1.): (în urma producerii unui eveniment) reprezintă
gradul de impact asupra intereselor celor implicaţi.
Se pot identifica mai multe criterii de evaluare a impactului:
I. Pagube directe (valoarea de înlocuire) şi indirecte (financiare);
II. Impactul de mediu/vecinătate:
- incendii;
- fum;
- poluare mediu.
III. Pericolul asupra vieţii:
- electrocutare;
- strivire / lovire / cădere etc.;
- intoxicare.
IV. Impactul de conformitate legală (nerespectarea Legii nr.333/2003 privind paza
obiectivelor, bunurilor, valorilor şi protecţia persoanelor, a Legii nr. 182 din 12 aprilie 2002 privind
protecţia informaţiilor clasificate, a H.G. nr. 781 din 25 iulie 2002 privind protecţia informaţiilor
secrete de serviciu etc.):
- revendicări civile;
- despăgubiri.
70 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
PROBABILITATE IMPACT
1 Rar (Rare) A Nesemnificativ (Insignificant)
(0, 2] (0, 2]
2 Improbabil (Unlikely) B Minor (Minor)
(2, 4] (2, 4]
3 Posibil (Possible) C Moderat (Moderate)
(4, 6] (4, 6]
4 Probabil (Likely) D Major (Major)
(6, 8] (6, 8]
5 Aproape cert (Almost certain) E Catastrofic (Catastrophic)
(8, 10] (8, 10]
Risc (conform def. din par. 2.1.): este o evaluare a probabilităţii ca o ameninţare să
folosească cu succes o vulnerabilitate şi să producă o consecinţă dezastruoasă.
Pentru evaluarea riscurilor se pot utiliza metode calitative şi/sau cantitative.
Metoda matricelor de risc este o metodă cantitativă care se bazează pe faptul că un anumit
risc poate fi evaluat numai dacă situaţia concretă a obiectivului este foarte bine cunoscută.
Componentele principale ale acestei metode sunt: aria protejată, ameninţările probabile şi nivelul de
risc (fig. 2.2).
Fig. 2.2
Pentru construirea matricei de risc se determină ariile protejate şi, în special, zonele vitale;
se cuantifică consecinţele în cazul atacurilor reuşite şi se calculează valoarea riscului asumat prin
însumarea ponderată a valorilor cuantificate.
Se va construi matricea riscurilor conform cu tabelul de mai jos (Tabel matrice riscuri) şi cu
diagrama asociată acestuia (fig. 2.3).
Tabel matrice riscuri
PROBABILITATE (P) IMPACT (I) RISC (R)
1 Rar (Rare) A Nesemnificativ R = f(P,I)
(0, 2] (0, 2] (Insignificant)
2 Improbabil B Minor Redus (Low) 1A, 2A, 3A,
(2, 4] (Unlikely) (2, 4] (Minor) 1B, 2B
3 Posibil C Moderat Mediu (Medium) 4A, 5A, 3B,
(4, 6] (Possible) (4, 6] (Moderate) 1C, 2C
4 Probabil D Major Mare (High) 4B, 5B, 3C, 4C,
(6, 8] (Likely) (6, 8] (Major) 1D, 2D, 3D
5 Aproape cert E Catastrofic Critic (Critical) 5C, 4D, 5D,
(8, 10] (Almost certain) (8, 10] (Catastrophic) 1E, 2E, 3E, 4E,
5E
Fig. 2.3
Pentru nivelul de risc s-a utilizat o scală cu 4 niveluri (conform fig. 2.3), a căror semnificaţie este
prezentată în tabelul de mai jos.
Nivel de risc/acceptabilitate:
Nivel Evaluarea şi tratarea riscurilor
Toleranţă risc
risc - răspunsul managementului/acţiune -
Critic Nivelul de risc inacceptabil Entitatea se va asigura faţă de riscurile majore şi
(Critical) dezastre, inacceptabile, pentru contracararea cărora
(C) măsurile de securitate proprii ar costa prea mult sau ar
fi imposibil de adoptat din cauza complexităţii. Aceasta
se referă, în special, la situaţiile catastrofale.
Mare Nivelul de risc inacceptabil Aceste riscuri depăşesc nivelul de toleranţă. Este
(High) necesar să fie atribuite resursele necesare pentru
(H) micşorarea riscurilor într-un interval de timp rezonabil.
Trebuie să fie informat nivelul superior de decizie.
Mediu Nivelul de risc este tolerat Aceste riscuri sunt importante în contextul specificului
(Medium) (atitudine selectivă) entităţii. Se va adopta o atitudine de reducere selectivă,
(M) prin adoptarea de măsuri preventive, prin utilizarea
unor proceduri şi tehnici adecvate de reducere a
consecinţelor.
Redus Nivelul de risc acceptabil Aceste riscuri sunt în zona de acceptabilitate (tolerare),
(Low) neafectând unitatea, dar care trebuie monitorizate şi să
(L) fie luate măsuri potrivite pentru a preveni eventuale
tendinţe de depăşire a pragului de acceptabilitate.
datelor la care s-a facut back-up, utilizarea unor medii de lucru şi a unor manuale aflate în alt loc,
transportarea angajaţilor, a contractelor de distribuţie şi furnizare);
- Redresarea - planul de redresare în caz de dezastru (Disaster Recovery Plan - DRP).
Planul pentru redresare în urma unui dezastru (DRP), este o componentă cheie a planului
pentru continuitatea afacerii (BCP) şi se referă la aspectul tehnic al planului, în timp ce BCP ia în
considerare aspectul general operaţional şi de business.
DRP subliniază pregătirile şi măsurile ce trebuiesc luate dinainte, în aşa fel încât rezultatul
lor să fie minimizarea impactului negativ a unui incident asupra afacerii (cum ar fi pierderea
financiară şi afectarea imaginii), dar şi facilitarea unei redresări mai rapide şi asigurarea
continuităţii funcţiilor vitale pentru activitatea companiei într-un interval de timp acceptabil.
Aspectele-cheie ce trebuiesc revăzute sunt:
- Continuarea/reluarea - reluarea proceselor critice şi extrem de sensibile în raport cu timpul,
imediat după întreruperea actvităţii şi inainte de declararea MTBF (mean time between failures -
intervalul de timp mediu dintre două caderi). În această fază, nu toate operaţiunile sunt redresate;
- Revitalizarea - revitalizarea proceselor esenţiale ale afacerii, dar mai puţin sensibile în
raport cu timpul, pentru ajutarea continuării tuturor proceselor critice ale activităţii;
- Reconstruirea/restaurarea - relocarea activităţii şi proceselor de business în altă parte/în alt
sediu, în mod temporar sau permanent, după întreruperea survenită în activitatea companiei.
Relocarea nu este absolut necesară în toate tipurile de incidente;
- Gestionarea crizei - coordonarea generală a reacţiei organizaţiei la criza care are loc într-o
manieră eficientă, în timp util, cu scopul de a evita sau de a minimiza eventualele pagube aduse
profitabilităţii companiei, reputaţiei sau capacitaţii sale de a opera.
Disaster Recovery & Continuitatea afacerilor
Gândiţi-vă, pentru un moment, ce s-ar întâmpla dacă peste câteva minute infrastructura
informatică a companiei dumneavoastră ar fi oprită din cauza unei probleme, iar această situaţie ar
continua timp de 6 ore.
Dacă vi se pare ceva puţin probabil, gândiţi-vă că doar un singur virus relativ inofensiv, dar
care trece de sistemele de siguranţă ale companiei, şi care poate infecta circa 20% din computerele
societăţii, poate cauza întreruperi ale activităţii pentru perioade chiar mai mari! Iar dacă, între timp,
din compania dumneavoastră au ieşit circa 2-300 de mailuri infectate către partenerii de afaceri,
dimensiunile intregii situaţii capată valenţe noi, nu-i asa?
Din păcate, aceasta este situaţia zilnică din multe companii, şi fără îndoială că, la un moment
dat, vine rândul fiecărei organizaţii să fie confruntată cu astfel de crize. Practic, aceste atacuri nu
pot fi evitate sau respinse cu o rată de succes de 100%, iar cine crede altfel pur şi simplu se înşeală.
Concluzii
Decizia de a plasa continuitatea afacerii în responsabilitatea departamentului de tehnologia
informației este neinspirată și poate deveni păguboasă, deoarece continuitatea afacerii este, în
primul rând, o problemă de afaceri. Chiar dacă departamentele de IT trebuie să joace un rol
important în planificarea continuității afacerii, ele nu trebuie să conducă această activitate.
Nivelul critic al afacerii și al informațiilor manipulate în cadrul afacerii nu poate fi stabilit
de către inginerii de la departamentul de tehnologia informației, oricât de mult ar depinde
organizația de prelucrarea și transmiterea electronică a datelor. Mai mult, lansarea programului de
continuitate a afacerii necesită autoritatea și angajamentul managementului pe care departamentul
TI&C nu le poate asigura.
Cel mai bun mod de a organiza punerea în aplicare a conceptului de continuitate a afacerii
este lansarea unui program în cadrul organizației, prin care fiecare structură organizatorică să își
dezvolte propriul proiect și sa contribuie la elaborarea planului de continuitate a afacerii, la
implementarea și menținerea acestuia. Această abordare ar contribui la conștientizarea angajaților
cu privire la importanța problemei. Departamentele de TI&C dezvoltă planuri și proceduri de
recuperare a informațiilor, ca parte a obligațiilor profesionale curente. Ele vor contribui, oricum, în
cadrul unui astfel de program, cu planuri de recuperare în caz de dezastru.
76 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Criterii de realizare
Elemente de
asociate modului de
competenţă Criterii de realizare asociate rezultatului
îndeplinire a activităţii
ale managerului activităţii descrise de elementul de competenţă
descrise de elementul
de securitate
de competenţă
1. Identifică 1.1. Cerinţele generale ale SMS sunt identificate Identificarea cerințelor
cerințele generale ţinând cont de nevoile, rolurile şi responsabilităţile generale ale SMS se face
ale sistemului de cu privire la securitate. cu corectitudine şi
management al 1.2. Cerinţele generale ale SMS sunt identificate cu creativitate.
securităţii (SMS). definirea schemei organizatorice și dimensionarea
resurselor necesare.
2. Determină 2.1. Cerinţele politicii de securitate sunt determinate Determinarea cerințelor
cerinţele politicii cu definirea şi structurarea obiectivelor pornind de politicii de securitate se
de securitate. la cerinţele identificate şi rezultatele documentarii face cu corectitudine,
despre situaţia existentă. creativitate şi
2.2. Cerințele politicii de securitate sunt flexibilitate.
determinate ținând cont de îndeplinirea
obiectivelor, de asigurarea oportunității,
disponibilității, corectitudinii şi nerepudierii datelor
și informațiilor precum și pentru asigurarea
caracterului neechivoc al comunicării între
componentele SMS.
3. Stabileşte 3.1. Cerinţele planificării securităţii sunt stabilite Stabilirea cerințelor
cerinţele ţinând cont de valorile şi activităţile identificate ca planificării securității se
planificării fiind vitale pentru entitate, de analiza ameninţărilor realizează cu flexibilitate
securității. şi vulnerabilităţilor şi cu întocmirea listei riscurilor și creativitate.
de securitate.
3.2. Cerințele planificării securităţii sunt stabilite cu
identificarea și argumentarea opţiunilor de tratare a
riscurilor de securitate, cu propunerea şi
argumentarea măsurilor pentru reducerea riscurilor,
cu prezentarea şi evaluarea riscurilor reziduale.
3.3. Cerinţele planificării securității sunt stabilite
ținând cont de asigurarea conformității cu
prevederile legale și cerințele contractuale, a
sustenabilității SMS și cu evidențierea rezultatelor
preconizate.
4.Fundamentează 4.1. Cerinţele pentru implementarea securităţii sunt Fundamentarea
cerinţele pentru fundamentate cu asigurarea nivelului de competenţă cerințelor pentru
implementarea şi de instruire al personalului şi cu stabilirea implementarea
securității. procedurilor de comunicare şi documentelor SMS. securității se face cu
4.2. Cerințele pentru implementarea securităţii sunt atenție, acuratețe şi
78 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
DA
Prevenire Pericolul producerii
NU
DA
Detecţie Declanşare
NU
Managementul
DA
Securităţii Întârziere Desfăşurare
NU
DA
Stopare Acţiune ostilă produsă
NU
Analiza postfactum
34
Aşadar, pentru a ajunge la un management performant al unei organizaţii şi, implicit, pentru
a putea introduce schimbarea dictată de nevoia de adecvare la realităţile unui prezent din ce în ce
mai complex şi mai greu de previzionat, trebuie dezvoltate o serie de activităţi conexe, iar
principalele direcţii de activitate trebuiesc concentrate spre îndeplinirea următoarelor obiective:
- crearea condiţiilor pentru administrarea şi utilizarea eficientă a tuturor resurselor existente;
- folosirea judicioasă a resurselor umane şi, în raport de capacitatea reală, asumarea unor
contracte de executare a unor activităţi şi servicii de profil;
- atragerea unui personal competent şi motivat sincer pentru a exercita profesia de manager
de securitate;
- revizuirea periodică a necesarului de personal, pe specializări, concomitent cu întărirea
capacităţii de acţiune a societăţii, prin recrutarea de noi specialişti;
- evaluarea cerinţelor posturilor şi stimularea competitivităţii, prin asigurarea unei salarizări
corecte şi a altor stimulente şi premii motivante;
- evaluarea planului de înnoire a personalului în funcţie de planul de extindere a activităţilor
şi serviciilor puse la dispoziţia clienţilor;
- preocuparea pentru formarea profesională continuă a personalului şi asigurarea unui nivel
de instruire adecvat atribuţiilor şi sarcinilor încredinţate;
- dezvoltarea unor parteneriate şi echipe de lucru elastice, adaptabile şi capabile să facă faţă
la situaţii neprevăzute etc.
Eficacitatea unui element sau sistem poate fi definită drept gradul în care acesta
îndeplineşte o funcţie, satisface o cerinţă funcţională specificată. Eficacitatea poate fi pozitivă, în
măsura în care satisface, într-un anumit grad, respectiva cerinţă funcţională; nulă - nu are nici un
efect asupra acesteia, sau negativă - agravează deficienţa, nesatisfacerea respectivei cerinţe
funcţionale. Dincolo de aceste trei mari tipuri de eficacitate, este însă necesar să distingem gradele
eficacităţii. Eficacitatea pozitivă poate fi maximă - satisface integral cerinţa funcţională în cauză -
sau, deşi pozitivă, submaximală - o satisface într-o măsură care poate varia între maxim şi zero.
Analiza eficacităţii trebuie să ţină seama, totodată, de faptul că un element oarecare are o
mulţime de consecinţe funcţionale atât pentru sistemul din care face parte, cât şi pentru alte sisteme
învecinate, pentru organizaţie.
Costul
În evaluarea funcţionarii unui element sau sistem trebuie să luăm în considerare, pe lângă
eficacitatea sa, şi mijloacele, resursele pe care le consumăm: mijloace economice, energie, materii
prime, timp etc. Pentru a desemna cantitatea de mijloace pe care un element sau sistem le consumă
pentru funcţionarea sa se utilizează, de regulă, conceptul de cost. Ideea de cost, în accepţia sa cea
mai generală se referă la toate situaţiile în care două sau mai multe sisteme utilizează acelaşi tip de
resurse, intrând, în consecinţă, în competiţie pentru obţinerea lor. Resursele sistemelor sociale pot
fi foarte diverse: resurse financiare (bani), materii prime, energie, forţă de muncă, timp uman,
cunoştinţe, capacităţi şi aptitudini umane.
În orice societate există două mari probleme în ceea ce priveşte organizarea. Prima se
referă la eficacitate: colectivitatea trebuie sa-şi imagineze activităţi care să realizeze maximum
posibil de performanţe funcţionale. Cea de a doua problemă se referă la costuri: trebuie imaginate
activităţile care utilizează cât mai puţine resurse, pentru a nu se afecta, printr-un consum excesiv,
celelalte activităţi care au şi ele nevoie de resursele respective. Aceasta din urmă problemă se
referă deci la împărţirea resurselor disponibile între diferitele sisteme şi subsisteme. Este o
problemă de economicitate, în sensul cel mai general al acestui termen: atitudine judicioasă faţă de
resurse, eliminarea risipei, valorificarea cât mai eficientă a resurselor disponibile.
Am putea deci defini costul unui sistem drept cantitatea de resurse (mijloace) consumate
de către acesta. Cu cât resursele de un anumit tip sunt mai rare sau mai solicitate, cu atât costul
respectivului sistem devine o condiţie restrictivă mai importantă. Un element (sistem) poate fi
foarte eficace, dar dacă el consumă o mare cantitate de resurse care sunt solicitate şi de alte
elemente (sisteme), el poate să nu fie selectat. Costul funcţionării unui element sau sistem
reprezintă deci o condiţie restrictivă în alegerea sa.
Eficienţa
Eficienţa este un al treilea concep tot mai mult utilizat pentru a estima gradul de adecvare a
unui element sau sistem. El a fost elaborat pe larg în tehnologie şi economie. În tehnologie,
conceptul de eficienţă se referă la gradul de utilizare de către un sistem a energiei de care dispune:
raportul dintre energia produsă şi energia utilizată. Altfel spus, eficienţa este randamentul cu care
o organizaţie converteşte inputul în output, cantitatea de energie consumată efectiv sau risipită în
procesul de producţie. În această accepţie, eficienţa apare ca un element component al conceptului
mai general de eficacitate. O condiţie a eficacităţii este ca activitatea respectivă să realizeze nu
numai funcţia sa cât mai bine, dar să asigure, totodată, şi un randament energetic cât mai bun. În
economie, eficienţa se defineşte ca un raport valoric: raportul dintre valoarea mijloacelor
consumate şi valoarea produselor realizate. În limbajul comun, găsim o definire mult mai generală
a conceptului de eficienţă: realizarea unui scop cu consumul cel mai mic de resurse, de efort. În
consecinţă, prin eficienţă înţelegem raportul dintre eficacitate şi cost.
Unitatea de competenţă:
UCG2. Verificarea conformităţii cu prevederile din domeniul sănătăţii şi securităţii în muncă
1. Constituţia României
Art. 22 (1) – Dreptul la viaţă, precum şi dreptul la integritatea fizică şi psihică ale
persoanei sunt garantate.
Art. 41 (2) – Salariaţii au dreptul la masuri de protecţie socială. Acestea privesc
securitatea şi sănătatea salariaţilor, regimul de muncă al femeilor şi al tinerilor, instituirea
unui salariu minim brut pe ţară, repausul săptămânal, concediul de odihnă plătit, prestarea
muncii în condiţii deosebite sau speciale, formarea profesională, precum şi alte situaţii
specifice, stabilite prin lege.
Hotărârea de Guvern nr. 1048 din 09/08/2006 privind cerinţele minime de securitate şi
sănătate pentru utilizarea de către lucrători a echipamentelor individuale de protecţie la locul
de muncă;
Hotărârea de Guvern nr. 1049 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de suprafaţă sau subteran;
Hotărârea de Guvern nr. 1050 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de foraj;
Hotărârea de Guvern nr. 1051/9.08.2006 privind cerinţele minime de securitate şi sănătate
pentru manipularea manuală a maselor care prezintă riscuri pentru lucrători, în special de
afecţiuni dorsolombare;
Hotărârea de Guvern nr. 1058 din 09/08/2006 privind cerinţele minime pentru îmbunătăţirea
securităţii şi protecţia sănătăţii lucrătorilor care pot fi expuşi unui potenţial risc datorat
atmosferelor explozive;
Hotărârea de Guvern nr. 1091 din 16/08/2006 privind cerinţele minime de securitate şi
sănătate pentru locul de muncă;
Hotărârea de Guvern nr. 1092 din 16/08/2006 privind protecţia lucrătorilor împotriva
riscurilor legate de expunerea la agenţi biologici în muncă;
Hotărârea de Guvern nr. 1093 din 16/08/2006 privind stabilirea cerinţelor minime de
securitate şi sănătate pentru protecţia lucrătorilor împotriva riscurilor legate de expunerea la
agenţi cancerigeni sau mutageni la locul de muncă;
Hotărârea de Guvern nr. 1135 din 30/08/2006 privind cerinţele minime de securitate şi
sănătate în muncă la bordul navelor de pescuit;
Hotărârea de Guvern nr. 1875 din 22 decembrie 2005 privind protecţia sănătăţii şi securităţii
lucrătorilor faţă de riscurile datorate expunerii la azbest;
Hotărârea de Guvern nr. 1876 din 22 decembrie 2005 privind cerinţele minime de securitate
şi sănătate referitoare la expunerea lucrătorilor la riscurile generate de vibraţii;
Hotărârea de Guvern nr. 355/2007 privind supravegherea sănătăţii lucrătorilor;
Hotărârea de Guvern nr. 1136 din 30/08/2006 privind cerinţele minime de securitate şi
sănătate referitoare la expunerea lucrătorilor la riscuri generate de câmpuri electromagnetice
Hotărârea de Guvern nr. 493 din 12.04.2006 privind cerinţele minime de securitate şi
sănătate referitoare la expunerea lucrătorilor la riscurile generate de zgomot;
Hotărârea de Guvern nr. 752 din 14/05/2004 privind stabilirea condiţiilor pentru
introducerea pe piaţă a echipamentelor şi sistemelor protectoare destinate utilizării în
atmosfere potenţial explozive.
Legea nr. 346/2002 - Legea privind asigurarea pentru accidente de muncă şi boli
profesionale modificată prin OUG nr. 107 din 24/10/2003 pentru modificarea şi completarea
Legii nr. 346/2002 şi aprobată prin Legea nr. 598/2003 privind aprobarea OUG nr. 107/2003
Legea nr. 100/1998 privind asistenţa de sănătate publică;
Legea nr. 145/1997 - Legea asigurărilor sociale de sănătate, abrogată şi înlocuită prin OUG
nr. 150 din 31/10/2002;
Legea nr. 263/2010 - Legea privind sistemul unitar de pensii publice.
Ordonanţa de Urgenţă a Guvernului 137/1999 pentru modificarea Legii nr. 108/1999 (MO
nr. 461/23.09.1999);
Ordonanţa de Urgenţă a Guvernului nr. 136/1999 pentru modificarea şi completarea Legii
nr. 130/1999 privind unele măsuri de protecţie pentru persoanele încadrate în muncă.
Hotărârea de Guvern nr. 1050 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de foraj;
Hotărârea de Guvern nr. 1049 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de suprafaţă sau subteran;
Hotărârea de Guvern nr. 971/26.07.2006 privind cerinţele minime pentru semnalizarea de
securitate şi/sau de sănătate la locul de muncă;
Hotărâre de Guvern nr. 752 din 14/05/2004 privind stabilirea condiţiilor pentru introducerea
pe piaţă a echipamentelor şi sistemelor protectoare destinate utilizării în atmosfere potenţial
explozive;
Hotărâre de Guvern nr. 300/02.03.2006 privind cerinţele minime de securitate şi sănătate
pentru şantierele temporare sau mobile;
Hotărâre de Guvern nr. 1875/22.12.2005 privind protecţia sănătăţii şi securităţii lucrătorilor
faţă de riscurile datorate expunerii la azbest (MO nr. 64/24.01.2006);
Hotărâre de Guvern nr. 1022/10.09.2002 privind regimul produselor şi serviciilor care pot
pune în pericol viaţa, sănătatea, securitatea muncii şi protecţia mediului (MO nr.
711/30.09.2002);
Hotărâre de Guvern nr. 613/13.06.2002 pentru prorogarea termenului prevăzut la art. 16 din
Hotărârea Guvernului nr. 261/2001 privind criteriile şi metodologia de încadrare a locurilor
de muncă în condiţii deosebite;
Hotărâre de Guvern nr. 676/2001 pentru modificarea şi completarea Hotărâre de Guvern nr.
261/2001 privind criteriile şi metodologia de încadrare a locurilor de muncă în condiţii
deosebite (MO nr. 424/30.07.2001);
Hotărâre de Guvern nr. 625/06.07.2001 privind procedura de autorizare a comercianţilor
(MO nr. 358/04.07.2001);
Norme de aplicare a Hotărârii de Guvern nr. 261/2001 (MO nr. 300/07.06.2001);
Hotărâre de Guvern nr. 261/22.02.2001 privind criteriile şi metodologia de încadrare a
locurilor de muncă în condiţii deosebite (MO nr.114/06.03.2001);
Hotărâre de Guvern nr. 1337/2001 pentru modificarea şi completarea Hotărâre de Guvern
nr. 261/2001 privind criteriile şi metodologia de încadrare a locurilor de muncă în condiţii
deosebite (MO nr. 36/21.01.2002);
Hotărâre de Guvern nr. 580 din 6/07/2000 pentru aprobarea Normelor metodologice de
aplicare a prevederilor Ordonanţei de urgenţă a Guvernului nr. 99/2000 privind măsurile ce
pot fi aplicate în perioadele cu temperaturi extreme pentru protecţia persoanelor încadrate în
muncă.
4. Ordine
Ordine emise de Ministrul Muncii şi Solidarităţii Sociale
Ordinul Minstrului Muncii şi Solidarităţii Sociale nr. 153 din 19 martie 2002 pentru
modificarea Ordinului ministrului industriei şi resurselor şi al ministrului muncii şi
solidarităţii sociale nr. 184/395/2001 privind aprobarea Listei cuprinzând standardele
române pentru asigurarea securităţii utilizatorilor de echipamente electrice de joasă tensiune
(MO nr. 323 16.05.2002);
Ordinul Ministrului Muncii şi Solidarităţii Sociale nr. 352 pentru aprobarea Normelor de
aplicare a Hotărârii Guvernului nr. 261/2001 privind criteriile şi metodologia de încadrare a
locurilor de muncă în condiţii deosebite (MO nr. 300/07.06.2001);
Ordinul Ministrului Muncii şi Solidarităţii Sociale nr. 184/395/2001 privind aprobarea Listei
cuprinzând standardele române pentru asigurarea securităţii utilizatorilor de echipamente de
joasă tensiune (MO nr. 381/12.07.2001);
Ordinul Ministrului Muncii şi Solidarităţii Sociale nr. 352/2001 pentru aprobarea Normelor
de aplicare a Hotărârii Guvernului nr. 261/2001 privind criteriile şi metodologia de
încadrare a locurilor de muncă în condiţii deosebite (MO nr. 300/07.06.2001);
Ordinul Ministrului Muncii şi Protecţiei Sociale nr. 187/1998 privind aprobarea
Regulamentului de organizare şi funcţionare a Comitetului de securitate şi sănătate în muncă
(MO nr. 169/29.04.1998).
5. Standarde
Asociaţia de Standardizare din România (ASRO) este organismul abilitat de către Guvernul
României pentru coordonarea activităţii de elaborare a standardelor române, precum şi
pentru editarea şi distribuirea acestora;
ILO-OSH:2001, Principii directoare privind sistemele de management al securităţii şi
sănătăţii în muncă, elaborat de Organizaţia Internaţională a Muncii;
OHSAS 18001:2004, Sisteme de management al sănătăţii şi securităţii ocupaţionale;
OHSAS 18002:2004, Linii directoare pentru implementarea OHSAS 18001:2004.
Evaluarea postaccident este utilă din punct de vedere al statisticilor de accidente, care pot
caracteriza organizaţia din punct de vedere cantitativ şi calitativ prin indicele de frecvenţă şi de
gravitate. În anumite situaţii, aceste informaţii sunt de mare ajutor pentru aprecierea calităţii unor
locuri de muncă din punct de vedere al securităţii, în vederea implementării îmbunătăţirilor
necesare.
Evaluarea preaccident ia în considerare posibilitatea de producere a accidentelor într-un
sistem. Oferă soluţii înainte de a se întâmpla accidentul.
Noţiunea fundamentală utilizată este riscul de accidentare/îmbolnăvire profesională. Având
în vedere importanţa evaluării preaccident, în Europa au fost dezvoltate mai multe metode apriorice:
- controale, verificări - la nivelul locurilor de muncă, secţii, ateliere etc.;
- metode directe (comparative);
- metode indirecte (analitice) - analiza riscurilor pe baza: ergonomiei sistemelor sau
fiabilităţii sistemelor.
Oricare ar fi metoda de evaluare, aceasta conduce la rezultate concrete şi operaţionale dacă
se bazează pe recunoaşterea a patru criterii fundamentale:
- rigurozitate ştiinţifică – să decurgă dintr-o teorie coerentă şi completă;
- criteriul finalităţii – scopul urmărit este realizarea securităţii, prin diferite obiective
parţiale, care conferă particularitate metodelor de analiză;
- criteriul complexităţii – metoda să fie adaptată pentru sistemul dat;
- criteriul economic – în funcţie de importanţa şi de gravitatea consecinţelor posibile.
Componentă intrinsecă a strategiei manageriale, activitatea de prevenire reprezintă un
ansamblu de procedee şi măsuri luate sau planificate la toate stadiile de concepere, proiectare şi
desfăşurare a proceselor de muncă, menită să asigure desfăşurarea proceselor de muncă în condiţii
de maximă securitate pentru sănătatea şi integritatea participanţilor la proces, prin care se elimină
riscurile de accidentare sau îmbolnăvire profesională. Astfel, aceasta se constituie ca o ştiinţă de
interfaţă, îmbinând cunoştinţe şi tehnici de strictă specialitate în domeniul de aplicare cu tehnici şi
cunoştinţe din domeniul ergonomiei, igienei industriale, psihosociologiei muncii, medicinii muncii
şi toxicologiei industriale. În acest context, se poate afirma că sarcina principală a activităţii de
prevenire o reprezintă obţinerea maximumului de eficienţă şi de calitate a muncii în condiţiile
reducerii numărului de accidente către zero.
De aici rezultă că sunt două obiective majore ale prevenirii, care suscită interes în principal:
a) pe plan uman: - reducerea numărului accidentelor de muncă şi a îmbolnăvirilor
profesionale;
b) pe plan financiar: - reducerea costurilor legate de accidentele de muncă şi îmbolnăvirile
profesionale.
Aceste deziderate se pot realiza numai prin eliminarea sau reducerea riscurilor profesionale,
în care scop trebuie întreprins un demers global care să cuprindă:
- evaluarea riscurilor profesionale;
- punerea în conformitate a echipamentelor tehnice;
- stabilirea procedurilor de lucru;
- ameliorarea condiţiilor de mediu de muncă;
- selecţia, formarea şi informarea personalului;
- stabilirea strategiei manageriale.
Punctul de plecare în optimizarea activităţii de prevenire a accidentelor de muncă şi
îmbolnăvirilor profesionale într-un sistem îl constituie evaluarea riscurilor din sistemul respectiv.
Indiferent dacă este vorba de un loc de muncă, un atelier, secţie sau o societate comercială în
ansamblul său, o asemenea analiză permite cunoaşterea, cuantificarea şi ierarhizarea pericolelor în
funcţie de dimensiunea lor şi alocarea eficientă a resurselor pentru măsurile prioritare.
Evaluarea riscurilor presupune identificarea tuturor factorilor de risc din sistemul analizat şi
cuantificarea dimensiunii lor pe baza combinaţiei dintre doi parametri: probabilitatea de manifestare
şi gravitatea consecinţei maxime posibile (cea mai frecventă) asupra organismului uman. Se obţin
astfel niveluri de risc parţiale pentru fiecare factor de risc, respectiv, niveluri de risc global pentru
fiecare loc de muncă şi nivel de risc global agregat pentru întregul sistem analizat.
Acest principiu de evaluare a riscurilor este cuprins în standardele europene (CEI812’85,
respectiv, proiect CEN 1992) şi stă la baza diferitelor metode cu aplicabilitate practică.
Obiectivul evaluării riscurilor este să permită angajatorului adoptarea măsurilor de
prevenire/protecţie adecvate referitoare la:
- prevenirea riscurilor profesionale;
- formarea muncitorilor;
- informarea muncitorilor;
- implementarea unui sistem de management care să permită aplicarea efectivă a măsurilor
necesare de prevenire/protecţie.
Scopul de bază al evaluării riscurilor rămâne întodeauna prevenirea riscurilor profesionale.
Eliminarea acestora nu este posibilă întotdeauna şi atunci acestea trebuiesc reduse, până la valoarea
unor riscuri reziduale care trebuiesc şi pot fi controlate.
Evaluarea riscurilor trebuie astfel realizată (structurată), încât să permită angajatorilor,
persoanelor din compartimentul de S. S. M. şi lucrătorilor să:
- identifice pericolele existente şi să evalueze riscurile asociate lor;
- evalueze riscurile în scopul selectării adecvate a echipamentelor, substanţelor utilizate şi
organizării locurilor de muncă;
- verifice dacă măsurile de prevenire sunt adecvate;
- observe dacă toţi factorii, relevanţi sau ascunşi, legaţi de procesul de muncă au fost luaţi în
considerare;
- contribuie efectiv la ameliorarea stării de securitate şi sănătate în muncă.
Reevaluarea riscurilor profesionale se face şi de ori de câte ori intervin modificări în
sistemul de muncă (organizarea muncii, introducerea de noi materiale, echipamente, metode,
proceduri etc.) sau ori de câte ori se solicită de cei implicaţi.
Pe timpul evaluării şi după, trebuie urmărit ca riscul să nu fie transferat în alte zone ale
sistemului de muncă şi eliminarea unui risc să nu creeze probleme noi.
Principiile de bază ale evaluării riscurilor
Evaluarea riscurilor constă în studiul sistematic a tuturor elementelor procesului de muncă
susceptibil de a genera daune, al mijloacelor de eliminare a pericolelor şi al măsurilor de prevenire/
protecţie a acestor riscuri.
Indiferent de metoda aplicată, evaluarea riscurilor trebuie să urmărească următoarele etape
obligatorii:
- identificarea pericolelor existente şi riscurilor;
- identificarea persoanelor care pot fi expuse acestor pericole;
- estimarea calitativă şi/sau cantitativă a riscurilor;
- examinarea posibilităţilor de eliminare sau diminuare a riscurilor;
- adoptarea altor măsuri care să vizeze prevenirea riscurilor.
Evaluarea trebuie axată pe riscurile profesionale evidenţiate sau previzibile în mod raţional,
luând în calcul şi riscurile nesemnificative (riscuri din activităţi cotidiene) numai în cazul când
există posibilitatea agravării lor.
Evaluarea riscurilor trebuie să vizeze toate locurile de muncă: fixe (birouri, ateliere, maşini
unelte etc.); evolutive (şantiere, docuri etc); mobile (temporare).
Evaluarea riscurilor la locurile de muncă fixe, unde procesul de muncă se derulează după o
schemă permanentă se va face ţinând cont de condiţiile existente uzuale, nu va fi reiterată pentru
locurile de muncă comparabile şi se va revizui numai când circumstanţele se modifică.
Evaluarea riscurilor la locurile de muncă evolutive sau mobile se va face luând în
considerare toate etapele succesive ale locurilor de muncă, ţinându-se seama de toate schimbările
elementelor sistemului de muncă.
Evaluarea riscurilor profesionale nu se va demara exclusiv de către angajator sau de
reprezentanţii acestora, ci în acest demers vor fi antrenaţi muncitorii sau reprezentanţii lor, care
trebuie consultaţi pe tot parcursul evaluării şi informaţi cu privire la măsurile de prevenire/protecţie
adoptate şi la concluziile obţinute.
La evaluarea riscurilor se va ţine cont obligatoriu de prescripţiile legale şi de normele şi
recomandările publicate (norme tehnice, coduri de bună practică, nivelele de expunere, norme ale
asociaţilor profesionale etc.)
Evaluarea riscurilor va ţine cont de eventuale prezenţe la locul de muncă analizat şi a altor
categorii de personal din afara sistemului de muncă care pot fi expuşi riscurilor existente sau pot
provoca riscuri suplimentare personalului prezent. Aceste categorii de personal (personal din alte
sectoare ale unităţii, persoane din alte societăţi, vizitatori, studenţi, clienţi, elevi, public etc.) nefiind
conştienţi de riscuri, ignoră măsurile de protecţie şi se expun pericolelor, de aceea ele trebuiesc
informate în prealabil de măsurile de protecţie ce se impun.
Evaluarea riscurilor se va face prioritar la locurile de muncă cu pericol deosebit şi iminent
de accidentare urmărindu-se:
- identificarea factorilor de risc precum şi consecinţele acţiunii lor asupra organismului
uman (deces sau invaliditate);
- nivelul cantitativ al factorilor de risc în cazul îmbolnăvirilor profesionale;
- durata de expunere la acţiunea factorilor de risc;
- numărul persoanelor expuse;
- nivelul morbidităţii prin accidente şi îmbolnăviri profesionale.
Locurile de muncă cu pericol deosebit şi/sau iminent conţin factori de risc care generează
explozii, incendii, factori de risc mecanic, termic, electric, biologic, psihic, factori de risc naturali şi
speciali ai mediului de muncă.
La locurile de muncă ce presupun activităţi în condiţii de risc deosebit, timpul de lucru poate
fi redus sub 8 ore/zi.
Principiile care stau la baza ierarhizării măsurilor de prevenire/protecţie a riscurilor sunt:
- evitarea riscurilor;
- înlocuirea elementelor periculoase;
- combaterea riscurilor la sursă;
- prioritatea măsurilor de protecţie colectivă;
- considerarea evoluţiei tehnico – ştiinţifice;
- ameliorarea continuă a nivelului S.S.M.
1. Protecţia capului
2. Protecţie la zgomot
3. Protecţia respiratorie
4. Protecţia mâinii şi braţului
5. Protecţia picioarelor, gambelor
6. Protecţia întregului corp
7. Unica folosinţă
8. Lucrul la înălţime
1. Protecţia capului
Căşti de protecţie
Cască de protecţie 440V
Cască de protecţie din polietilenă, 6 puncte de fixare, greutate 310 g, rezistenţă electrică la
440 V, garanţie 5 ani
Cască de protecţie din polietilenă, greutate 330 g, rezistenţă electrică la 440 V, dispozitiv de
fixare rapidă, 4 puncte de fixare
Cască de protecţie 1200V
Cască de protecţie forestier
Cască de protecţie
Ochelari de protecţie
Ochelari de protecţie cu rame ajustabile
Ochelari de protecţie cu aerisire indirectă
Ochelari de protecţie pentru sudori (BN 24)
Ochelari cu vizor din policarbonat
Ecrane faciale
Vizieră de protecţie
Vizieră de protecţie din policarbonat
Vizieră de protecţie 105
Vizieră de protecţie 85
Vizieră de protecţie cu antifoane
Vizieră de protecţie 180
2. Protecţie la zgomot
Antifoane externe
Antifoane externe comfortabile, SNR 25 db Cod 300
Antifoane externe comfortabile, SNR 25dB Cod 400
Antifoane interne
Antifoane interne cu şnur, SNR 36
Antifoane interne refolosibile, SNR 28
EAR Dispenser
Antifoane interne
Antifoane interne 15
Antifoane interne 7
Antifoane interne 9
3. Protecţia respiratorie
Semimăşti
Masca medicinală 3 pliuri
Semimasca de unică folosinţă
Semimasca de protecţie 710 FFP1 S
Semimasca cu supapă FFP1
Semimasca cu racord filetat
Semimasca cu supapă FFP2 S
Semimasca cu supapă FFP2
Semimasca de protecţie FFP3S
Semimasca cu un cartuş filtrant
Semimasca cu 2 cartuşe filtrante
Măşti de protecţie
Masca industrială tip cagulă, model P 2085
Masca izolantă cu aspiraţie liberă a aerului curat – Model P 200
Masca industrială cu bretele
Masca cu vizor panoramic
Sac portmască
Mănuşi antităiere
Mănuşi din zale
Mănuşi îmblănite
Mănuşi îmblănite
Pantofi
Pantofi de protecţie (basic low)
Pantofi de protecţie clasici
Pantofi de protecţie tip sport
Pantofi de protecţie (mickey)
Sandale de protecţie
Pantofi de protecţie fără bombeu metalic
Pantofi cu bombeu metalic şi inserţie metalică
Pantofi de protecţie tip sport cu bombeu metalic
Bocanci
Bocanci de protecţie clasici
Bocanci de protecţie (basic ankle)
Bocanci de protecţie (cepnr strong)
Bocanci de protecţie (cepnr strong s3)
Bocanci de protecţie (flow h s3)
Bocanci sanitari
Bocanci de protecţie fără bombeu metalic
Pantofi de protecţie cu bombeu metalic
Pantofi de lucru
Bocanci de protecţie cu bombeu metalic
Bocanci cu bombeu metalic şi inserţie metalică
Bocanci de lucru
Bocanci de protecţie înalţi
Cizme PVC albe
Cizme
Cizme din PVC
Cizme de protecţie (kraken)
Cizme din PVC/nitril
Cizme sold (fish)
Cizme cu bombeu metalic
Cizme salopetă pescuit
Cizme de protecţie îmblănite
Cizme cu bombeu metalic şi inserţie metalică
Cizme îmblănite
Saboţi şi sandale
Saboţi damă
Papuci medicinali damă
Papuci medicinali bărbăteşti
Saboţi bărbăteşti
Galoshe
100 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Sandale de protecţie
Saboţi profesionali
Saboţi profesionali damă cu baretă
Îmbrăcăminte gastro
Costum pantaloni talie şi tunică
Pantaloni bucătar
Pantaloni damă
Tunică bucătar
Costum industria alimentară
Îmbrăcăminte medicală
Halat damă (M4)
Halat damă (M44)
Halat damă, mânecă lungă (m6)
Costum îmbrăcăminte medicală
Costum medical
Jachete
Jachetă de iarnă, impermeabilă
Jachetă din tercot (Desman)
Jachetă din tercot (Emerton)
Jachetă cu elemente reflectorizante
Bluzon cu fermoar
Jachetă tercot
Jachetă impermeabilă cu glugă
Geacă de iarnă
Haină vătuită cu glugă
Jachetă de iarnă
Pantaloni
Pantaloni cu pieptar din tercot
Pantaloni talie din tercot (Desman)
Pantaloni talie din tercot (Emerton)
Pantaloni cu pieptar din tercot (Desman)
Pantaloni cu pieptar din tercot (Emerton)
Pantaloni scurţi din tercot (Emerton S)
Pantaloni scurţi din tercot (Desman)
Pantaloni cu pieptar din tercot (Viali)
Pantaloni talie (Viali)
Pantaloni scurţi (Viali)
Tricouri
Tricou Desman
Tricou Emerton
Tricou Stenso
Tricou Asimo
Cămaşă Emerton
Tricou bumbac - polo
Bluză
Bluzon
Bluzon bărbătesc
Bluzon damă
Jachetă impermeabilă
Veste
Vestă Asimo
Vestă vătuită
Vestă Emerton
Vestă Desman
Vestă de protecţie
Vestă damă
Vestă vătuită din polyester
Vestă de protecţie
Vestă de protecţie cu 2 feţe
Costume (salopete)
Costum pază şi protecţie din tercot
Salopetă - costum pantalon talie şi jachetă
Salopetă - costum pantalon cu pieptar şi jachetă
Costum antistatic
Costum de iarnă din fâş
Costum de protecţie îmblănit
Costum de protecţie de iarnă
Salopetă de lucru pentru sudori
Salopetă de lucru
Combinezon de protecţie
Salopetă de lucru (Viali)
Costum de iarnă vătuit
Salopetă de lucru (Emerton)
Combinezoane / pelerine
Combinezon bumbac 100%
Combinezon din tercot (Desman)
Combinezon din tercot (Emerton)
Combinezon antichimic
Combinezon de protecţie
Halate şi şorturi
Halat bumbac 100%
Halat damă din tercot
Şort bumbac 100%
Şort de protecţie apă /noroi
Îmbrăcăminte impermeabilă
Pelerină de ploaie din PVC
Poncho impermeabil
Costum impermeabil (hydra)
Costum impermeabil
Îmbrăcăminte reflectorizantă
Vestă de iarnă
Costum reflectorizant
Haină reflectorizantă
Jachetă de iarnă impermeabilă
Pantaloni reflectorizanţi
Vestă reflectorizantă cu benzi reflectorizante
Costum reflectorizant
Geacă reflectorizantă
Pelerină de ploaie
Pelerină de ploaie din PVC
Tricou reflectorizant
7. Unică folosinţă
Protecţia capului
Bonetă bucătar din hârtie
Cagule de unică folosinţă din polipropilenă
Capeline de unică folosinţă din polipropilenă
Bonetă bucătar
Bonetă
Capeline
Costum unică folosinţă
Şort de unică folosinţă - set 100 buc.
Protecţia mâinii
Mânecuţe de unică folosinţă din polietilenă
Mânecuţe de unică folosinţă din polipropilenă
Protecţia picioarelor
Botoşei de unică folosinţă din polietilenă
Botoşei de unică folosinţă din polipropilenă
8. Lucrul la înălţime
Hamuri
Easy Belt cu lonja reglabilă
Ham Rapida Light 1264.02
Vestă Golden Chest Alu 930.01
Scaunel Golden Swing 942
Centura Easy Belt 1268
Ham Liberty 907
Ham Basic Plus 2 cod 1298.02
Ham Basic Plus 1 cod 1298.01
Ham Basic 1298
Ham Basic Evo 1298.03
Ham Vertical 2 Plus cod 106
Ham Vertical 2 cod 1247.02
Ham Vertical 1247
Ham Empire 922
Ham Rapida Plus 1264.01
Ham Golden Top 921
Ham Golden Top Plus 921.01
Ham Rapida 1264
Ham_Golden_Top_Evo_921-02
Ham Golden Top Seat Alu 941.05
Ham Golden Top Evo Alu 941.02
Ham Golden Top Comfort Alu 941.04
Ham Golden Top Plus Alu 941.01
Ham Gravity 1265
Ham Vertical 2 Alu Vest 1348.03
Ham Vertical 2 Alu 1348.02
Ham Vertical 2 Vest 1247.03
Ham Basic Duo 1275
Vesta 1362
Întărituri Golden Padding cod 944
Carabiniere şi conectori
Carabinieră ovală
Carabinieră D cu siguranţă
Carabinieră D mare cu siguranţă
Carabinieră HMS Bet Lock
Carabinieră Hercules
Carabinieră HMS Twist Lock
Conector din aluminiu 984.01
Verigă rapidă delta 955
Verigă rapidă 934
Carabinieră D cu închidere automată
Sisteme anticădere
Paw
Sistem anticădere 1398 - TRFA
Sistem anticădere 1395 - RFA 10
Sistem anticădere 1396 - RFA 20
Sistem anticădere 1390
Sistem anticădere 1389
Sistem anticădere 1317
Kit Sistem Anticădere 1317.01
ASAP
Sistem anticădere 1319 - RFA 15
Corzi
Coardă HOTLINE
Coardă North Sea
Coardă Top Work
Coardă Antipodes 11 mm
Coardă Contract
Coardă Industrie
Coardă Antipodes 11,5 mm
Coardă Antipodes 10,5 mm
Coardă Antipodes 10 mm
Căşti
Cască Armour 190
Cască Safety Star 211
Kit vizor cască 1272
Cască Silver Star cu vizor 1271
Cască Silver Star Work 220
Accesorii
Pistol de tăiat coardă
Detergent pentru coardă şi hamuri
Perie coardă
Buclă plată
Buclă tubulară
Cordelină
Protecţie coardă
Caraba de ţinut scule. Hub
Sac transport 970
Mănuşi de rapel şi via ferată 1601
Mănuşi de rapel 1602
Întărituri Golden Padding 944
Sac transport 971
Rucsac transport Rox 450
Sisteme de iluminare
Frontală cu 7 leduri
Frontală cu 3 leduri
Frontală Duo Led 14
Frontală E-lite
Frontală Tikka XP
Frontală Tikka Plus
Frontală Myo XP
Frontală Petzl Ultra
Mijloace de legătură
Mijloc de legătură 2030.08
Mijloc de legătură 2030.05
Mijloc de legătură 2030.04
Mijloc de legătură 2030.03
Mijloc de legătură 2030.02
Mijloc de legătură 2030.100
Mijloc de legătură 2030.07
Mijloc de legătură reglabil 2031.200
Dispozitiv GERONIMO
Dispozitiv salvare Geronimo
9. Materiale igienico-sanitare
Unitatea de competenţă:
UCG3. Urmărirea conformităţii cu prevederile din domeniul apărării împotriva
incendiilor şi de protecţie a mediului
22. Ordinul MIRA/MADR nr. 605/579/2008 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor pe timpul utilizării focului deschis la arderea de mirişti, vegetaţie
uscată şi resturi vegetale;
23. Ordinul MAI nr. 88/2012 privind aprobarea Metodologiei de certificare a conformităţii în
vederea introducerii pe piaţă a mijloacelor tehnice pentru apărarea împotriva incendiilor;
24. Ordinul MAI nr. 14/2009 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la amenajări temporare în spaţii închise sau în aer liber;
25. Ordinul MAI/MCCPN nr. 28/2338/2009 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor la obiective de cult;
26. Ordinul MDRL/MAI nr. 1.078/326/2009 pentru aprobarea Reglementării tehnice "Normativ
de securitate la incendiu a parcajelor subterane pentru autoturisme", indicativ NP 127:2009;
27. Ordinul MAI/MDRT nr. 118/1709/2010 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor la structuri de primire turistice, unitaţi de alimentaţie publică şi unitaţi
de agrement;
28. Ordinul MAI nr. 166/2010 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la construcţii şi instalaţii aferente;
29. Ordinul MAI nr. 187/2010 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la spaţii pentru comerţ;
30. Ordinul MAI nr. 211/2010 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la ateliere şi spaţii de întreţinere şi reparaţii;
31. Ordinul MAI nr. 262/2010 privind aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la spaţii şi construcţii pentru birouri;
32. Ordinul MAI/MS nr. 146/1427/2013 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor la unităţi sanitare;
33. Ordinul MAI nr. 234/2010 pentru aprobarea Procedurii de determinare a riscului de arson.
Legislaţia mediului este un domeniu foarte vast, alcătuit din nenumărate acte normative
(hotărâri şi ordonanţe de Guvern, ordine emise de diferite autorităţi, regulamente UE etc.). Vom
enumera cele mai relevante/importante acte normative în materie, în forma lor actualizată.
Legea nr. 265/2006 pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 195/2005
privind protecţia mediului;
Legea apelor nr. 107/1996 cu modificările şi completările ulterioare;
Legea nr. 214/2011 pentru organizarea, administrarea şi exploatarea pajiştilor (ultima
modificare Legea 16/2016);
Legea nr. 178/2000 – republicată în 2011 privind produsele cosmetice;
Legea nr. 289/2002 – republicată în 2014 privind perdelele forestiere de protecţie;
Legea nr. 458/2002 privind calitatea apei potabile;
Legea minelor nr. 85/2003 cu modificările şi completările ulterioare;
Legea petrolului nr. 238/2004 cu modificările şi completările ulterioare;
Legea muntelui nr. 347/2004 cu modificările şi completările ulterioare;
Legea vânătorii şi a protecţiei fondului cinegetic nr. 407/2006 modificată şi completată prin
Legea nr. 149/2015;
Legea nr. 46/2008 Codul Silvic cu modificările şi completările ulterioare prin Legea nr.
133/2015 şi O.U.G. nr. 51/2016;
Legea nr. 171/2010 privind stabilirea contravenţiilor silvice şi a sancţionării acestora
actualizată prin O.U.G. nr. 51/2016;
Legea nr. 132/2010, privind colectarea selectivă a deşeurilor în instituţiile publice;
Legea nr. 211/2011 – republicată în 2014, privind regimul deşeurilor;
Legea nr. 249/2013 privind răspunderea de mediu cu referire la prevenirea şi repararea
prejudiciului asupra mediului.
Problemele hidrosferei:
Reducerea cantităţii de apă dulce disponibilă;
Anual volumul de apă dulce se diminuează cu 400 km3.
Poluarea apei de suprafaţă;
Poluarea mărilor şi oceanelor;
Reducerea nivelului pânzei de apă freatică, ca urmare a pompărilor excesive;
Organismele vii- în special plantele au un rol major în circuitul apei;
• Evapotranspiraţia;
• Locul pădurii în economia apei;
• Adaptarea organismelor la regimuri hidrice diferite:
- plante de apă;
- plante xerofite.
3. ATMOSFERA
• Învelişul de aer al planetei;
Masa= 0,000001 din masa globului pământesc.
• Are o grosime de cca. 1.000 km dar, pe măsură ce ne depărtăm de pământ, atmosfera este tot mai
rarefiată, aşa că, de fapt, contează numai stratul de la 0-10 km înalţime.
Straturile atmosferice
0 - 10 km TROPOSFERA - amestec omogen de gaze.
Temperatura scade cu înălţimea (10C la fiecare 180 m).
10 - 100 km STRATOSFERA - gazele sunt stratificate.
Temperatura creşte până la 50 km, apoi scade puternic.
100 - 1.000 km IONOSFERA - gazele sunt sub formă de ioni.
Temperatura creşte până la câteva sute de grade C.
1.000 - 10.000 km MAGNETOSFERA - gaze extrem de rare.
Magnetosfera are rolul de a proteja pământul de radiaţiile care vin din spaţiul cosmic.
Caracteristicile atmosferei
În TROPOSFERǍ oxigenul are o pondere de 20,9%, azotul 78,09%, neonul 0,93%, iar CO2
(dioxid de carbon) ≈ 0,03%. Pe măsură ce înaintăm în înălţime, creşte proporţia de hidrogen (peste
96% la 100 km altitudine).
Problemele atmosferei
• Creşterea conţinutului în CO2 (dioxid de carbon), CH4 (metan) şi alte gaze cu efect de seră;
• Scăderea cantităţii de ozon (O3) din STRATOSFERǍ;
• Îmbogăţirea TROPOSFEREI cu gaze poluante, cu capacitate mare de oxidare (ozon troposferic);
• Scăderea pH-ului în masele de nori - apariţia ploilor acide;
• Scăderea nivelului de transparenţă;
• Creşterea numărului de zone şi zile cu smog.
Concluzie:
Deşi aparent simplă, strategia celor 3 R presupune numeroase dificultăţi:
- Managementul circuitelor de recuperare;
- Atitudinea consumatorului faţă de percepţia calităţii;
- Procedee tehnice de prelucrare performante.
Deţinătorii de suprafeţe terestre sau acvatice limitrofe ariilor protejate, monumentelor naturii
sau pe ale căror terenuri s-au identificat elemente susceptibile de a fi ocrotite sunt obligaţi să
respecte statutul acestora pentru a asigura transmiterea lor generaţiilor viitoare.
Culegerea şi comercializarea plantelor, capturarea prin orice mijloace, deţinerea şi
comercializarea animalelor declarate monumente ale naturii, precum şi dislocarea, deţinerea şi
comercializarea unor piese mineralogice, speologice şi paleontologice, provenite din locuri
declarate monumente ale naturii, sunt interzise.
Introducerea pe teritoriul ţării, cu excepţia cazurilor prevăzute de lege, de culturi de
microorganisme, plante şi animale vii, fără acordul eliberat de autoritatea centrală pentru protecţia
mediului, cu consultarea Academiei Române, este interzisă.
3.5. - Protecţia aşezărilor umane
În procesul de dezvoltare social-economică, al planurilor de urbanism şi amenajare a
teritoriului şi a localităţilor este obligatorie respectarea principiilor ecologice, pentru asigurarea unui
mediu de viaţă sănătos. În acest scop, consiliile locale, precum şi, după caz, persoanele fizice şi
juridice, răspund pentru:
a) îmbunătăţirea microclimatului urban, prin amenajarea şi intreţinerea izvoarelor şi a
luciilor de apă din interiorul localităţilor şi din zonele limitrofe acestora, infrumuseţarea şi protecţia
peisajului şi menţinerea curăţeniei stradale;
b) amplasarea obiectivelor industriale, a căilor şi mijloacelor de transport, a reţelelor de
canalizare, a staţiilor de epurare, a depozitelor de deşeuri menajere, stradale şi industriale şi a altor
obiective şi activităţi, fără a se prejudicia salubritatea, ambientul, spaţiile de odihnă, tratament şi
recreere, starea de sănătate şi de confort a populaţiei;
c) respectarea regimului de protecţie specială a localităţilor balneoclimaterice, a zonelor de
interes turistic şi de agrement, a monumentelor istorice, a ariilor protejate şi a monumentelor
naturii. Este interzisă amplasarea de obiective şi desfăşurarea unor activităţi cu efecte dăunătoare în
perimetrul şi în zonele de protecţie a acestora;
d) adoptarea elementelor arhitecturale adecvate, optimizarea densităţii de locuire,
concomitent cu menţinerea, întreţinerea şi dezvoltarea spaţiilor verzi, a parcurilor, a aliniamentelor
de arbori şi a perdelelor de protecţie stradală, a amenajamentelor peisagistice cu funcţie ecologică,
estetică şi recreativă;
e) reglementarea, inclusiv prin interzicerea, temporară sau permanentă, a accesului anumitor
tipuri de autovehicule sau a desfăşurării unor activităţi generatoare de disconfort pentru populaţie în
anumite zone ale localităţilor cu predominanţă spaţiilor de locuit, zone destinate tratamentului,
odihnei, recreerii şi agrementului;
f) adoptarea de măsuri obligatorii, pentru toate persoanele fizice şi juridice, cu privire la
intreţinerea şi înfrumuseţarea clădirilor, a curţilor şi împrejurimilor acestora, a spaţiilor verzi din
curţi şi dintre clădiri, a arborilor şi arbuştilor decorativi;
g) iniţierea pe plan local a unor proiecte de amenajare a grupurilor igienico-sanitare şi de
intreţinere şi dezvoltare a canalizării stradale.
Autorităţile pentru protecţia mediului precizează, la eliberarea acordului de mediu pentru
planurile de urbanism şi amenajarea teritorului, măsurile de menţinere şi ameliorare a fondului
peisagistic natural şi antropic al fiecărei zone şi localităţi, zonele deteriorate şi condiţiile de refacere
peisagistică şi ecologică a acestora şi de dezvoltare a spaţiilor verzi şi controlează realizarea
acestora.
Schimbarea destinaţiei terenurilor amenajate ca spaţii verzi prevăzute în planurile
urbanistice se face potrivit legii.
Autorităţile pentru protecţia mediului şi consiliile locale vor iniţia acţiuni de informare şi
participare, prin dezbatere publică privind programele de dezvoltare urbanistică şi gospodărie
comunală, asupra importanţei măsurilor destinate protecţiei mediului şi aşezărilor umane.
1. Legislaţie
2. Principiile şi obiectivele strategice ale gestionării deşeurilor
3. Opţiunile de gestionare a deşeurilor
4. Obiectivele generale ale gestionării deşeurilor
5. Priorităţi în abordarea gestionării deşeurilor
6. Probleme generate de deşeuri sub aspect ecologic şi economic
7. Factorii care influenţează gestionarea deşeurilor
8. Gestionarea deşeurilor în U.E.
9. Gestionarea deşeurilor în România
10. Tendinţe
11. Cantităţile, caracteristicile şi tendinţa de evoluţie a deşeurilor pe plan mondial şi în
România
12. Eliminarea deşeurilor
13. Organizarea gestionării deşeurilor
14. Gestionarea deşeurilor periculoase
15. Aspecte ce trebuie luate în consideraţie pentru elaborarea unei gestionări integrate a
deşeurilor
16. Obiective strategice specifice anumitor fluxuri de deşeuri
1. Legislaţie
Ierarhia priorităţilor în abordarea gestiunii deşeurilor în România este cea care stă la baza
legislaţiei şi politicii europene, recunoscută şi pe plan internaţional, şi anume:
- prevenirea şi minimizarea generării de deşeuri;
- valorificarea materială prin reutilizare şi reciclare;
- valorificarea energetică;
- tratarea deşeurilor în vederea scăderii cantităţii şi a potenţialului lor periculos;
- eliminarea prin incinerare sau depozitare;
Prevenire / Minimizare
generare deşeuri
Reutilizare / Reciclare
Valorificare
Energetică
Tratare
Depozitare
Obiectivul general al SNGD este dezvoltarea unui sistem integrat de gestionare a deşeurilor
eficient din punct de vedere economic şi care să asigure protecţia sănătăţii populaţiei şi a mediului.
Trebuie împiedicată sau diminuată formarea deşeurilor încă de la sursă (producător).
Cea mai eficientă cale de acţiune este prevenirea, deoarece neproducând (negenerând)
deşeuri, se elimină astfel şi ameninţările la adresa mediului.
Atât evitarea formării, cât şi valorificarea deşeurilor conduc la o reducere a cantităţii de
deşeuri finale, măsurile fiind complementare.
Valorificarea deşeurilor se aplică cel mai eficient acolo unde evitarea formării lor nu este
posibilă din punct de vedere economic şi ecologic.
Valorificarea deşeurilor presupune prelucrarea unui deşeu deja prelucrat.
Măsurile de valorificare trebuie să faciliteze creşterea duratei de viaţă a deşeului în circuitul
economic sau reintroducerea lui în acest circuit.
Trebuie remarcat faptul că valorificarea deşeurilor:
- necesită consum de energie;
- poluează mediul;
- implică costuri pentru colectare (selectivă), transport, valorificare.
Valorificarea deşeurilor nu se poate realiza la nesfârşit.
De exemplu, hârtia îşi pierde caracteristicile utile după valorificarea deşeurilor.
Evitarea formării deşeurilor nu introduce costuri, fiind din acest motiv preferată.
Conform Normelor juridice europene şi naţionale, valorificarea deşeurilor trebuie realizată
ecologic, adică:
- nu trebuie puse în pericol apa, aerul, solul, flora, fauna;
- trebuie evitată poluarea fonică şi disiparea mirosurilor neplăcute;
- să nu fie afectate zonele adiacente şi nici cadrul peisagistic.
Reintroducerea în circuitul economic a unor componente utile ale deşeurilor presupune o
separare prealabilă a acestuia (selectivă), care implică cheltuieli semnificative.
Valorificarea materială şi energetică prezintă acelaşi interes economic, alegerea unei căi sau
a alteia fiind dictată de compatibilitatea cu factorii de mediu.
Valorificarea energetică a deşeurilor depinde într-o măsură foarte importantă de puterea
calorică a acestora.
La stabilirea obiectivelor gestionării deşeurilor trebuie luate în consideraţie aspectele:
a) nu toate bunurile (mărfurile) folosite sunt reintroduse complet în circuitul economic;
b) refolosirea unor deşeuri implică consum ridicat de energie (exemplu: spălatul sticlelor cu
apă caldă);
c) reciclarea deşeurilor este justificată numai atunci când rentabilitatea şi bilanţul ecologic
sunt favorabile;
d) reciclarea unor deşeuri este limitată de bariere tehnologice (ex: folosirea hârtiei vechi
pentru a produce hârtie nouă, necesită aport de fibre noi, pentru că lungimea fibrelor hârtiei
refolosite scade);
e) existenţa unei pieţe funcţionale pentru produsele obţinute din reciclarea deşeurilor.
Valorificarea / reciclarea deşeurilor nu pot fi aplicate la nesfârşit unui deşeu; întotdeauna va
exista un deşeu final care trebuie eliminat prin incinerare, piroliză, depozitare ecologică controlată.
Evitarea formării (producerii) de deşeuri presupune ca procesele de producţie şi structura
produselor trebuie astfel concepute, încât să genereze cât mai puţine deşeuri.
Trebuie alese în mod corect materiile prime şi materialele, astfel încât să fie redus conţinutul
de substanţe toxice, atât al produselor, cât şi al reziduurilor (deşeurilor).
Se impune ca numai reziduurile generate din procesele de producţie care nu pot fi evitate şi
nici reciclate să fie salubrizate ca deşeuri.
Conform legii 426/2001:
- trebuie încurajată folosirea tehnologiilor curate;
- trebuie să se asigure posibilităţile de vindere a deşeurilor valorificabile;
- trebuie să se asigure valorificarea responsabilă şi eliminarea corectă a deşeurilor;
- trebuie să se ia măsurile necesare pentru a limita formarea deşeurilor.
Factori generali:
Tehnica de gestionare a deşeurilor în ţările membre ale U.E. s-a dezvoltat şi adaptat la
condiţiile concrete existente în fiecare ţară, iar în funcţie de specificul deşeurilor produse este
organizată diferit (cota de raliere la colectarea selectivă a deşeurilor organice a crescut în Olanda, în
decursul a trei ani de la 0% la cca 95%; în Austria, Belgia, Danemarca, Germania şi Luxemburg
procedeele de reciclare, compostare şi depozitare finală au luat amploare).
Brichetarea deşeurilor menajere combustibile este o practică relativ nouă şi vizează
pregătirea deşeurilor pentru incinerare (atunci când acest procedeu este indicat) în vederea reducerii
spaţiului de depozitare a deşeurilor menajere.
Preocupările pentru valorificarea cât mai completă a deşeurilor menajere fac să apară tot mai
frecvent diferite tehnologii şi instalaţii care separă şi pregătesc aproape toate componentele
deşeurilor menajere şi energia potenţială existentă în acestea. Dintre acestea amintim: procedeul
Flakt, procedeele Trisoc – Combusoc şi procedeul Cechini.
Un alt procedeu, deloc de neglijat în valorificarea deşeurilor, este compostarea (fermentarea)
acestora.
Referitor la procedeul de compostare, pentru a fi un component viabil al Sistemului Integrat
de Gestionare a Deşeurilor, acest procedeu implică o stimulare guvernamentală a pieţei de compost,
existenţa unor standarde de compostare şi aplicare pe teren, astfel încât să se poată utiliza compostul
în sectorul public.
Politica de bază a U.E., în prezent, este de a micşora la minimum posibil cantităţile de
deşeuri organice care sunt depozitate în gropile de gunoi, prin tratarea lor cu metode aerobice sau
anaerobice şi utilizarea produsului solid remanent în agricultură, iar gazele combustibile pentru
producerea căldurii.
În Comunitatea Europeană există deja o industrie de reciclare la un nivel care duce la o
creştere permanentă a materialelor recuperate din deşeuri.
Această industrie se bazează pe subvenţii adoptate la nivel guvernamental şi realizează
reducerea la nivel minimal de folosire de gropi pentru deşeuri organice.
Realizarea staţiilor de reciclare se impune cu acuitate în conjunctura economică actuală a
României, deoarece se realizează o valorificare superioară a unor resurse secundare, în condiţiile în
care ponderea modernizărilor de locuinţe şi de construcţie a unora noi este într-o continuă creştere.
Preţurile mici de achiziţie a acestor produse reciclate, calitatea deosebită a lor, proprietăţile
bune indicate de producători, fac din acestea o opţiune sigură în ceea ce priveşte găsirea pieţei de
desfacere.
10. Tendinţe
Hârtia şi plasticul au prezentat creşterea cea mai importantă de-a lungul acestei perioade,
precum şi o creştere continuă în generarea acestora până în anul 2010.
Deşeurile biodegradabile (alimente/gospodării) pe de-o parte şi sticla şi hârtia pe de altă
parte au avut doar o creştere normală în perioada 1960 – 1998 şi nu se întrevăd creşteri
spectaculoase ale acestora.
Studiile au arătat că, în anul 2010, cantitatea totală de deşeuri solide urbane a fost de
aproximativ 250 mil. tone (cca 2,61 kg/loc.zi), ceea ce înseamnă o creştere cu cca 21% faţă de anul
1988 (la nivelul SUA).
În România, potrivit datelor existente în evidenţa Agenţiei Naţionale de Protecţia mediului,
se constată o tendinţă de creştere a deşeurilor menajere generate (cu cca 0,8 kg/loc.an) şi în paralel
cu acestea a deşeurilor colectate de Societăţile Comerciale de profil.
Din punct de vedere al compoziţiei deşeurilor menajere, cele biodegradabile se află în
ponderea cea mai ridicată, urmată de sticlă şi hârtie. Dacă la plastic (datorită reciclării acestuia)
trendul este în scădere, la sticlă acesta este în creştere.
În ceea ce priveşte recuperarea şi valorificarea materialelor refolosibile din deşeuri pe plan
mondial şi în România, actuala politică comunitară a mediului din statele membre U.E. îşi găseşte
punctul de rezistenţă în “Directiva cadru despre deşeuri 91/156/UE.
Conform Directivei 91/156/UE, eliminarea deşeurilor trebuie să fie realizată de aşa manieră,
încât să se obţină un nivel înalt de protecţie a mediului.
Ţările membre trebuie să aibă capacitatea să-şi salubrizeze deşeurile în propriul teritoriu.
Trebuie evitată înlăturarea deşeurilor în afara graniţelor.
Este interzisă înlăturarea peste graniţă a deşeurilor, chiar în interiorul U.E.
- Ţările dezvoltate achită preţuri mari pentru a asigura un nivel ridicat de slubrizare, care să
conducă la o igienă avansată şi o protecţie a mediului şi resurselor de cea mai înaltă calitate;
- În domeniul deşeurilor industriale (ex: fier vechi) au început să activeze antreprenori de
transport şi comercianţi de lucruri vechi;
- Activitatea de recuperare şi reciclare a deşeurilor a creat numeroase locuri de muncă.
15. Aspecte ce trebuie luate în consideraţie pentru elaborarea unei gestionări integrate a
deşeurilor
1. Deşeuri vegetale:
- eficientizarea controlului privind depozitarea deşeurilor netratate;
- încurajarea valorificării prin procedee aerobe şi anaerobe;
- susţinerea valorificării energetice, în condiţii de siguranţă pentru sănătatea populaţiei
şi pentru mediu.
2. Nămoluri provenite de la staţiile de epurare a apelor uzate:
- asigurarea recuperării şi utilizării ca fertilizant sau amendament agricol a nămolurilor
ce corespund calităţii stabilite de cerinţele legale;
- deshidratarea şi pretratarea prin coincinerare în cuptoarele din fabricile de ciment;
- prevenirea eliminării necontrolate pe soluri;
- prevenirea eliminării nămolurilor în apele de suprafaţă.
3. Ambalaje:
- creşterea gradului de reutilizare şi reciclabilitate a ambalajelor;
- optimizarea cantităţii de ambalaje pe produs ambalat (prin reproiectare);
- reducerea cantităţii de deşeuri de amabalaje prin valorificare;
129 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Unitatea de competenţă:
UCG4. Dezvoltarea profesională de securitate
Instruirea nou-angajatului într-o funcţie care necesită acces, va urmări câteva aspecte
generale de securitate:
a. securitatea fizică – informaţii despre sistemul de control acces, structura de securitate;
b. securitatea informaţiilor – nivelurile de clasificare, controlul şi gestionarea informaţiilor.
Persoana nou-angajată trebuie să aibă acces la instrucţiunile de securitate internă/normele
metodologice în vigoare, iar după citirea acestora să semneze o fişă de luare la cunoştinţă.
Paralel cu pregătirea/instruirea de securitate, sunt necesare activităţi pe linia conştientizării
necesităţii şi importanţei protecţiei informaţiilor clasificate de către persoanele care, într-un fel
sau altul, vin în contact cu astfel de informaţii.
Programul de conştientizare de securitate are următoarele scopuri:
- să asigure faptul că persoanele, în momentul preluării postului, conştientizează importanţa
securităţii în instituţie, precum şi valoarea informaţiilor pe care le vor gestiona;
- să asigure că persoanele, pe perioada ocupării postului respectiv, continuă să conştientizeze
şi să respecte cerinţele de securitate ale instituţiei;
- să asigure că, la plecarea lor din posturile respective, persoanele conştientizează în
continuare responsabilităţile referitoare la securitate.
Obligaţii şi răspunderi:
Persoanele cărora li se eliberează certificate de securitate/autorizaţii de acces vor fi
instruite, obligatoriu, cu privire la protecţia informaţiilor clasificate, înaintea începerii activităţii şi
ori de câte ori este nevoie.
Pregătirea personalului se realizează diferenţiat, potrivit nivelului de secretizare a
informaţiilor la care certificatul de securitate sau autorizaţia de acces permite accesul şi va fi
înscrisă în fişa individuală de pregătire, care se păstrează la structura/funcţionarul de securitate.
Toate persoanele încadrate în funcţii care presupun accesul la informaţii clasificate trebuie
să fie instruite temeinic, atât în perioada premergătoare numirii în funcţie, cât şi la intervale
prestabilite, asupra necesităţii şi modalităţilor de asigurare a protecţiei acestor informaţii.
După fiecare instruire, persoana care deţine certificat de securitate sau autorizaţie de acces
va semna că a luat act de conţinutul reglementărilor privind protecţia informaţiilor secrete de stat.
Pregătirea personalului urmăreşte însuşirea corectă a standardelor de securitate şi a
modului de implementare eficientă a măsurilor de protecţie a informaţiilor clasificate
Organizarea şi coordonarea activităţii de pregătire a structurilor/funcţionarilor de securitate
sunt asigurate de autorităţile desemnate de securitate.
Autorităţile desemnate de securitate vor controla, potrivit competenţelor, modul de
realizare a activităţii de pregătire a personalului care accesează informaţii secrete de stat.
Pregătirea individuală a persoanelor care deţin certificate de securitate/autorizaţii de acces
se realizează în raport cu atribuţiile profesionale.
Toate persoanele care gestionează informaţii clasificate au obligaţia să cunoască
reglementările privind protecţia informaţiilor clasificate şi procedurile interne de aplicare a
măsurilor de securitate specifice.
Una din atribuţiile structurii de securitate o reprezintă elaborarea normelor interne prin care
se pun la dispoziţia emitenţilor şi utilizatorilor regulile obligatoriu de urmat în realizarea
activităţilor de clasificare şi declasificare, evidenţă, întocmire, păstrare, procesare, multiplicare,
transport, transmitere şi distrugere a informaţiilor.
Structura/funcţionarul de securitate are obligaţia de a ţine evidenţa cazurilor de încălcare a
reglementărilor de securitate, a documentelor de cercetare şi a măsurilor de soluţionare şi să le
Unitatea de competenţă:
UCS1. Organizarea securităţii fizice
Introducere
Indiferent de valorile sociale sau bunurile care trebuiesc protejate, aici vorbind fie de
instituții guvernamentale, fie de alte structuri organizaționale, cum ar fi instituții financiar-bancare,
industriale sau companii de utilități, comerciale, educaționale, rezidențiale ș.a. sunt necesare
identificarea unor soluții de securitate flexibile și care să poată face față noilor vulnerabilități de
securitate ce pot apărea în timp, pornind de la sisteme mecano-fizice, electromecanice și ajungând
la forme complexe, cu gestiune digitală și management folosind inteligența artificială.
Proiectarea și implementarea unui sistem de protecție fizică trebuie să țină cont, pe de-o
parte, de necesitatea asigurării condițiilor de upgradare în concordanță cu noile tehnologii din
domeniu, iar pe de altă parte, și de evoluțiile și perspectivele de dezvoltare instituționale.
Domeniile de aplicabilitate sunt dintre cele mai variate, începând cu instituții
guvernamentale și continuând cu bănci, case de schimb valutar, casierii, magazine, depozite,
companii de utilități - locații administrative și zone de lucru cu publicul, școli, licee, universități,
campusuri, apartamente și cartiere rezidențiale ș.a.
Protecția mecano-fizică vizează protecția exterioară (uși, pereți, ferestre), zone de acces
pentru public (grilaje, garduri, vitrine), zone administrative și operaționale (uși, pereți, safe-uri de
tip cash box), zone de depozitare valori (tezaure, seif-uri) ş.a. Safe-urile de înaltă securitate
reprezintă ultima barieră mecano-fizică în calea unui atacator asupra securităţii sistemului fizic de
securitate. Alegerea safe-ului potrivit devine o decizie de foarte mare importanţă, deoarece în aceste
incinte "blindate" se păstrează deobicei majoritatea bunurilor şi valorilor care trebuie protejate.
O a doua fază în proiectarea unui sistem de securitate privește exteriorul clădirilor, iar în
acest sens pot fi precizate următoarele variante de protecție mecano-fizice: grilaje la ferestre, uși
metalice, sisteme de încuietori antiefracție, lacăte ş.a.
Faza a treia a proiectării vizează spațiile interioare ale clădirii, iar sistemul de securitate
poate cuprinde și următoarele elemente: turnichete, seif-uri, cutii de valori, uși de tezaur, ferestre
blindate ş.a.
Sistemele de securitate fizică impun alegerea unor variante redundante, astfel încât între
valoarea de protejat şi un eventual agresor să existe mai multe bariere. În acest sens, sistemele
mecano-fizice se dublează prin mijloace electronice de alarmă la efracție, control acces şi
supraveghere video perimetrală.
Rolul sistemelor antiefracţie este acela de protecţie prin prevenţie a punctelor vulnerabile ale
unei clădiri. Sistemele antiefracţie pot fi cablate, wireless sau mixte.
Sistemul antiefracţie poate fi folosit şi pentru supravegherea izbucnirii unui incendiu sau
pentru sesizarea unor scurgeri de gaze, prin conectarea detectoarelor de fum, respectiv a celor de
141 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
gaz la sistem în zonele de pericol. Avertizarea în caz de alarmă se va face local (pe sirenă), pe linia
telefonică fixă, pe terminalul GSM sau prin intermediul unui emiţător radio.
Instalarea unui sistem de alarmă este cea mai bună alegere în cazul în care se doreşte
protecţia şi siguranţa anumitor bunuri, a locuinţei şi familiei sau, de ce nu, a unei întregi companii.
Ţinând cont de nivelul de risc la efracţie, de locurile sau bunurile protejate şi de evaluarea
conţinutului acestora, sistemele de alarmă pot fi clasificate prin grade de securitate. Prin urmare,
configuraţia optimă a sistemului de alarmă contra efracţiilor este dată de acest grad de securitate şi
de clasa de mediu. În general, elementele care necesită protecţie sunt, în primul rând, căile de acces
în locuinţa personală sau firmă: uşile şi geamurile şi, în al doilea rând, spaţiile interioare.
-
Sistem de alarmă la efracţie
Principalele componente ale unui sistem de control acces sunt următoarele (exemplificate în
figura de mai jos):
În componenţa sistemelor de supraveghere video, aşa cum se prezintă şi în figura de mai jos,
se află următoarele elemente:
- camere video clasice - captează imaginea prin transformarea luminii ce cade pe senzorul de
imagine - CCD în semnal electric;
- camere video tip dome - se folosesc mai ales în interiorul spaţiilor publice şi asigură o
supraveghere mai discretă a spaţiului;
- camere video compacte - sunt camere economice, uşor de instalat, nu necesită nici un fel de
reglaj. Conţin: lentila fixă, carcasa, suport şi leduri în infraroşu pentru vedere pe timp de
noapte;
- camere IP - furnizează ca ieşire de semnal un port standard Ethernet, ceea ce permite
conectarea într-o reţea fără nici un alt echipament suplimentar;
- obiective sau lentile - sunt sisteme optice convergente pentru lumina care se îndreaptă spre
senzorul camerei. Pot fi: obiective fixe, varifocale (ajustarea manuală a distanţei focale şi
implicit a unghiului de vedere), cu iris manual, autoiris (dimensiunea irisului se modifică în
funcţie de lumina incidentă pe CCD), cu zoom motorizat (distanţa focală se modifică
manual de la distanţă sau în funcţie de alţi parametri);
- incinte şi suporţi - au rolul de protecţie a camerei, obiectivului şi cablurilor la sabotaj, dar şi
la intemperii;
- speed-dome - este format dintr-o cameră de înaltă rezoluţie, un obiectiv cu zoom motorizat,
un mecanism pan & tilt care permite mişcarea camerei pe orizontală 360° şi pe verticală 90°,
toate dispuse într-o carcasă metalică sau din plastic, prevăzută cu un semiglob fumuriu sau
transparent. Modificarea poziţiei camerei pe orizontală şi verticală şi modificarea zoom-ului
se efectuează fie manual, de către operator cu ajutorul unei console cu joystick sau de la
tastatura unui PC, fie automat, în cazul în care speed-dome-ul efectuează un program cu
poziţii presetate;
- înregistratoare video digitale (DVR) - imaginile sunt transformate digital, compresate şi
stocate pe unul sau mai multe harddisk-uri;
- plăci de achiziţie video - reprezintă o soluţie ieftină pentru realizarea unui sistem de
supraveghere video. Necesită un PC, care în majoritatea cazurilor va fi destinat pentru
aplicaţia video;
- monitoare - sunt cu intrare video complex sau VGA;
- echipamente de transmitere a semnalului video pe cablu torsadat - transmiterea semnalelor
video se efectuează, de regulă, pe cablu coaxial, echipamente de transmitere a semnalului
video pe fibră optică - practic pierderile de semnal sunt nule. Se folosesc doar pentru
distanţe mari, undeva până la 60 km.;
- echipamente de transmisie IP - videoservere - majoritatea DVR-urilor (în particular şi
camerele IP) permit setarea unei adrese IP, astfel încât pot fi accesate prin reţea;
- UPS-uri - ca orice alt sistem de securitate, sistemul video trebuie conceput cu o soluţie de
back-up în cazul lipsei tensiunii de reţea.
Instalarea unui sistem de detecţie şi avertizare a incediului este o modalitate folosită pentru
limitarea atât a pagubelor umane, cât şi a celor materiale. Pentru locuinţele particulare este
suficientă conectarea detectorilor de fum la centrala de alarmă, folosită în mod special impotriva
efracţiei. Pentru clădiri de birouri, spaţii comerciale mari, depozite, bănci, clădiri aglomerate, este
utilă folosirea de sisteme dedicate pentru detecţia şi semnalizarea începutului de incendiu.
Componentele unui sistem de alarmă contra incendiilor sunt următoarele (conform şi figurii
de mai jos):
Sistemul de alarmă rămâne un simplu dispozitiv de alarmare dacă acesta nu este conectat la
un dispecerat, beneficiind astfel de serviciul de monitorizare.
Pentru eficacitate absolută este recomandat ca aceste sisteme de alarmare să fie deservite de
serviciul de monitorizare sau de cel de pază umană.
În funcţie de dimensiunea şi importanţa obiectivului ce trebuie protejat acest serviciu se
poate organiza în interiorul organizaţiei sau poate fi externalizat către o instituţie de stat sau firmă
privată care prestează astfel de activităţi de dispecerizare, monitorizare centrală şi zonală şi de
intervenţie antiinfracţională operativă.
Conform legislaţiei în vigoare, personalul destinat acestui tip de activităţi este echipat cu
uniforma specifică, este dotat cu aparatura de comunicaţie şi localizare radio, GSM şi GPRS,
precum şi cu armament şi mijloace de autoapărare moderne în conformitate cu prevederile
legislative în vigoare.
Concluzii
1. Securitatea fizică a persoanelor, obiectivului, bunurilor sau valorilor, alături de
măsurile procedurale, reprezintă componente fundamentale în asigurarea condiţiilor optime pentru
existenţa şi funcţionarea oricărei entităţi instituţionale.
2. Securitatea fizică este complementară cu celelalte laturi manageriale, îndeosebi cu
procedurile de lucru, normele interne, regulamentele de ordine interioară, regulamentele de
organizare şi funcţionare, politicile de resurse umane etc., pe care în nici un caz nu le exclud.
3. Deşi este o consumatoare importantă de resurse materiale şi umane, eficienţa
măsurilor de implementare a securităţii fizice se manifestă prin crearea acelui climat optim de
lucru şi manifestare a creativităţii umane.
Tot prin respectiva Lege, conducătorii unităţilor care deţin bunuri, valori şi suporturi de
stocare a documentelor, a datelor şi informaţiilor cu caracter secret de stat sunt obligaţi să asigure
paza, mijloacele mecano-fizice de protecţie şi sistemele de alarmare impotriva efracţiei în locurile
de păstrare, depozitare şi manipulare a acestora, precum şi în locurile unde se desfăşoară activităţi
care au un asemenea caracter.
Proiectele ce vizează măsurile menţionate mai sus se avizează de către instituţiile abilitate,
potrivit actelor normative ce privesc protecţia informaţiilor clasificate. Instalarea, modificarea,
inclusiv punerea în funcţiune a sistemelor de alarmare împotriva efracţiei potrivit aceluiași act
normativ, se avizează şi se controlează de către instituţiile menţionat mai sus.
Potrivit Cap. IV, Secţiunea 1, din Lege, proiectele sistemelor de alarmare împotriva efracţiei
se întocmesc în conformitate cu normele tehnice stabilite prin hotărâre a Guvernului. Tot acest
capitol prevede că în cadrul măsurilor de pază a obiectivelor, bunurilor şi valorilor, conducătorii
unităţilor prestatoare, precum şi ai unităţilor beneficiare sunt obligaţi să asigure numai folosirea
mijloacelor de protecţie mecano-fizice şi de alarmare împotriva efractiei care sunt certificate.
Proiectarea şi instalarea sistemelor de alarmă se poate face conform Art. 31 alin. (1) din
Lege, numai de către societăți specializate în baza licenţei eliberate de Inspectoratul General al
Poliţiei Române, reînnoită la fiecare 3 ani, şi cu avizul prealabil al Serviciului Român de Informaţii,
eliberat în termen de 30 de zile.
În Art. 27 alin. (4) şi (5) din Lege, sunt definite conceptele de protecţie mecano-fizică
(ziduri, plase, blindaje, case de fier, seifuri, dulapuri metalice, geamuri şi folie de protecţie, grilaje,
uşi şi încuietori) şi sistem de alarmare împotriva efracţiei (ansamblul de echipamente electronice
care poate fi compus din centrală de comandă şi semnalizare optică şi acustică, detectoare, butoane
şi pedale de panică, control de acces şi televiziune cu circuit închis cu posibilităţi de înregistrare şi
stocare a imaginilor şi datelor, corespunzător gradului de siguranţă impus de caracteristicile
obiectivului păzit).
Conform prevederilor Art. 19 alin. (1) din Legea nr. 333/2003, societăţile specializate de pază
şi protecţie sunt societăţi reglementate de Legea nr. 31/1990, republicată, cu modificările şi completările
ulterioare, private care se constituie şi funcţionează potrivit legislaţiei comerciale şi prevederilor
prezentei legi, având ca obiect de activitate paza obiectivelor, bunurilor sau valorilor, paza
transporturilor de bunuri şi valori, în condiţii de maximă siguranţă a acestora, precum şi protecţia
persoanelor.
În art. 19, alin. (5) se detaliază spectrul activităților care intră în competenţa societăţilor
specializate de pază. Astfel, în serviciile de pază sunt cuprinse:
a) paza proprietăţii împotriva accesului neautorizat sau a ocupării abuzive;
b) paza proprietăţii împotriva furturilor, a distrugerilor, incendiilor, precum şi a altor
acţiuni producătoare de pagube materiale;
c) detectarea substanţelor, armelor, explozibililor sau a materialelor de orice natură care
pot provoca o pagubă;
d) paza proprietăţii intelectuale;
e) paza mediului înconjurător;
f) furnizarea către autorităţile competente a informaţiilor legate de incidentele apărute
în timpul activităţii de pază.
Conducătorii societăţilor specializate de pază şi protecţie, conform Art. 21 din Lege, sunt
obligaţi să asigure respectarea prevederilor legale şi a regulamentelor proprii în organizarea şi
funcţionarea acestei forme de pază, în angajarea, pregătirea şi controlul personalului, portul
uniformei şi al însemnelor distinctive, precum şi în dotarea cu mijloace de intervenţie şi apărare
individuală, conform legii.
Legea, prin Art. 35 definește personalul cu atribuţii de pază care se compune din: agenţi de
pază/securitate, portari, controlori de acces, supraveghetori, însoţitori de valori sau alte persoane
stabilite de conducerea unităţii ori desemnate să asigure instruirea, controlul şi coordonarea
activităţii de pază.
Angajarea personalului cu atribuţii de pază sau gardă de corp se face pe baza atestatului
eliberat de poliţie, a certificatului de absolvire a cursului de calificare profesională, a certificatului
de cazier judiciar şi, după caz, a avizului poliţiei pentru portarmă, așa cum este stipulat în Art. 37
din Lege.
În ceea ce privește dotarea personalului cu atribuții de pază, în Art. 43 din Lege, în raport cu
importanţa şi natura obiectivelor, bunurilor şi valorilor păzite, cu avizul poliţiei sau al jandarmeriei,
după caz, acesta poate fi dotat cu arme de foc, bastoane de cauciuc sau tomfe, pulverizatoare iritant-
lacrimogene de capacitate mică şi alte mijloace de apărare, autorizate prin lege.
Personalul de pază este obligat, conform Art. 45 din lege, să cunoască şi să respecte
îndatoririle ce-i revin, fiind direct răspunzător pentru paza şi integritatea obiectivelor, bunurilor şi
valorilor încredinţate. În Art. 46 sunt definite principalele obligații ale acestuia, iar în Art. 47 ale
şefului formaţiei de pază.
Societăţile specializate de pază şi protecţie se pot asocia cu societăţi sau firme străine de
profil, cu respectarea prevederilor legii.
Concluzii
Având în vedere importanţa activităţilor de pază şi protecţie a persoanelor, obiectivelor,
bunurilor sau valorilor, cadrul legislativ creat aşează acest domeniu într-un plan integrat şi
coerent prin care societăţile specializate pot presta servicii la un nivel de exigenţă ridicat în
conformitate şi cu cerinţele pieţei.
Tot prin această Lege, se protejează şi valorile sociale şi creează premisele unei funcţionări
corespunzătoare societății în ansamblul său.
Fundamentarea şi susţinerea
În etapa de fundamentare a proiectului se pornește de la prezentarea necesităţii asigurării
securității fizice a obiectivului, dată pe de-o parte de persoanele, bunurile şi valorile ce trebuie
ocrotite, iar pe de altă parte, de respectarea prevederilor legale din actele normative ce
reglementează acest domeniu.
În continuare, este necesar să se prezinte stadiul implementării măsurilor de securitate cu
definirea clară a obiectivelor avute în vedere prin transpunerea proiectului. De asemenea, se
prezintă variantele propuse în proiect şi costurile estimative aferente.
Potrivit Art. 41 din Lege, atestarea personalului pentru executarea activităţilor de pază a
obiectivelor, bunurilor, valorilor şi de gardă de corp se face de către Direcţia Generală de Poliţie a
Municipiului Bucureşti sau, după caz, de inspectoratul de poliţie judeţean în raza căruia persoana îşi are
domiciliul sau reşedinţa, după absolvirea cursurilor de calificare profesională de bază şi promovarea
examenului, pe baza documentelor care atestă îndeplinirea condiţiilor prevăzute la art. 36 lit. a) - c).
Concluzii
După efectuarea analizei de risc de securitate, planificarea măsurilor de asigurare a
securității fizice în cadrul unei organizații reprezintă o etapă importantă în implementarea
acestora.
Introducere
Asigurarea securităţii la nivelul unei companii ori a unei organizaţii reprezintă o aliniere la
cerinţele actuale ale dezvoltării societăţii.
Determinarea politicii de securitate pentru o organizaţie depinde masiv de complexitatea
acesteia.
Previzional, mult înainte să aibă loc un incident previzibil catastrofal se pot iniţia două tipuri
de activităţi care să preîntâmpine, să prevină, şi să gestioneze, la nivelul organizaţiei, scenariul unui
posibil dezastru:
- analiza riscurilor la adresa securităţii (şi nu numai);
- evaluarea costurilor procedeelor de prevenire a dezastrelor şi / sau costurile pentru
depăşirea dezastrului, odată produs, şi recuperarea funcţionalităţii pierdute.
Ameninţările la adresa integrităţii şi securităţii unei organizaţii se pot exercita prin mai
mulţi vectori. O parte dintre aceştia, cei mai frecvenţi, sunt:
- spionii;
- organizaţiile criminale şi teroriste;
- utilizatorii răutăcioşi sau răuvoitori;
- anumite persoane din interiorul organizaţiei, care au acces la date şi procedee utilizate în
sistemul de securitate al organizaţiei respective;
- persoane din afara organizaţiei dar care au acces la anumite informaţii extrem de sensibile
pentru securitatea organizaţiei;
- cataclismele naturale.
Riscul poate fi definit ca o ameninţate care poate să exploateze eventualele slăbiciuni ale
unui sistem ori a unei întregi organizaţii. Riscul este un eveniment care este posibil să se întâmple,
fiind considerat, adesea, un eveniment aleator. Pentru a se preîntâmpina apariţia unui eveniment
care să afecteze securitatea unei organizaţii ori a unui sistem, este necesară elaborarea unei politici
de măsuri specifice.
O metodă recunoscută pe plan internaţional şi relativ des utilizată pentru evaluarea riscului
în securitate este Metoda modelului în cascadă ASIS (American Society for Industrial Security).
De regulă, valorile, pe categorii, se înscriu în liste (matrice) ca articole ordonate (după cost
sau relevanţă) descrise de atribute (caracteristici), astfel încât să se poată determina pagubele
produse de evenimentele nedorite care afectează valorile.
Evenimentele de natură informaţională cuprind acele evenimente care pot facilita accesul
neautorizat la informaţiile confidenţiale ale organizaţiei, blocarea activităţii informaţionale,
atacurile asupra integrităţii informaţiilor, renumelui, reputaţiei şi imaginii organizaţiei, dar şi
derularea unor relaţii cu colaboratori, clienţi sau furnizori.
Reflectarea imaginii negative a unei organizaţii asupra unei alte organizaţii colaboratoare
sau din acelaşi grup de interese ori reţea este edificatoare în acest sens.
influenţa activitatea organizaţiei şi favoriza producerea de evenimente nedorite (plasarea într-o zonă
inundabilă sau de coastă – valuri şi furtuni, ori seismică, într-un cartier rău famat etc.).
Este de preferat ca mărimile pierderilor să fie exprimate în aceeaşi unitate de măsură, la fel
şi valorile de comparaţie, folosindu-se, pentru toată matricea, fie valori absolute, fie relative.
Deoarece riscul reprezintă o variabilă de securitate analitică, rezultată din conjuncția a doi
factori (ameninţări şi vulnerabilităţi) sau exprimată printr-o diferenţă de utilitate ( , u*
utilitatea soluţiei optime şi ui utilitatea soluţiei curente, adoptate), minimizarea riscului este un
proces analitic şi material complex, care nu presupune numai micşorarea maxim posibilă a valorii
sale, ci şi identificarea celor mai eficiente metode şi soluţii de tratare raţională a riscului (reducere,
acoperire-asigurare, transfer, acceptare).
Opţiunile pentru soluţiile de securitate se subînscriu atât nivelurilor de risc determinate, cât
şi dinamicii acestora în timpul desfăşurării activităţii organizaţiei.
În esenţă, atitudinea faţă de risc se diferenţiază în trei categorii: a tolera riscul, a acţiona
selectiv faţă de acesta sau a-l considera inacceptabil; atitudinea de tolerare (evitare) a riscului se
referă la riscurile neglijabile, cu valori, a căror „realizare” produce pagube calificate suportabile. În
funcţie de costurile ce se pot suporta şi de caracteristicile de evitare sau compensare ale
mecanismelor de securitate, faţă de aceste riscuri se poate adopta o atitudine pasivă de ignorare,
suportându-se pagubele produse fără măsuri de compensare funcţională sau o atitudine activă de
compensare funcţională (prin reglarea şi intervenţia mecanismelor de securitate), astfel încât
pierderile suportate să fie cât mai mici posibile.
Atitudinea selectivă față de unele riscuri neglijabile, minore şi medii, cu valori cuprinse
între 0,5 şi 3,05, presupune adoptarea unor măsuri preventive şi tehnici de reducere a consecinţelor
„realizării” unor astfel de riscuri. Este o atitudine activă de anticipaţie, cu caracteristici de sistem
cibernetic în regim dinamic pe timpul compensării efective sau post factum. Intră în funcţiune de la
o anumită valoare de program de selecție (de prevenire a realizării evenimentelor nedorite cu o
anumită valoare de risc), funcţionează apoi după o anumită funcţie de compensare, pe baza reacţiei
negative de reglare a regimului dinamic şi iese din funcţiune la o valoare minimă, considerată de
siguranţă sau de aşteptare.
Adoptarea uneia sau alteia dintre atitudini este condiţionată atât de costul ce poate fi
suportat pentru realizarea mediului şi mecanismelor de securitate ale procesului, cât şi de
caracteristicile fizice, funcţionale, informaţionale şi de personal ale procesului, care presupun o
anumită independenţă de acţiune ce nu trebuie să fie stingherită de praguri de selecţie prea severe.
O atitudine prea tolerantă poate prejudicia grav obiectivul, în timp ce o atitudine prea severă
nu poate decât perturba funcţionalitatea acestuia.
La fel ca în orice alt domeniu, şi în securitate atitudinile sau manifestările extremiste nu dau
rezultate pozitive.
În esenţa sa, etapa a şasea reprezintă procesul recursiv al determinării mediului de securitate,
condiţionat de riscurile asumate (tratate), de strategia de securitate şi de costurile suportate.
Acceptarea riscurilor evaluate (determinate) se face în concordanță cu caracteristicile de proces, de
viabilitatea obiectivelor suport pentru proces, utilităţile stabilite şi cu prevederile legale în materie.
, unde
Devenirea strategiilor globale poate fi realizată fie printr-o abordare conceptuală unitară
iniţială, fie printr-o dezvoltare succesivă, adoptându-se mecanisme şi măsuri de protecţie pe
elemente disparate, care apoi vor fi integrate conform concepţiei de securitate.
Concluzii
Metoda modelului în cascadă pentru determinarea riscului de securitate este, în esenţă, o
metodă calitativă, având destul de multe elemente de interpretare subiective, dar se finalizează
printr-un proces de optimizare a eficienţei mediului de securitate, ca raport direct între costurile
realizării mediului de securitate şi beneficiul securităţii.
Din acest punct de vedere, poate fi apreciată ca un exerciţiu eficient de logică de securitate,
recursivă, interactivă şi reactivă, constituind o bună bază de fundamentare a structurii şi
operaţionalităţii unui mediu de securitate.
Metoda, în sine, poate constitui un element atât de început al construcţiei de securitate, cât şi
de finalizare a acestuia şi poate fi utilizată de sine stătătoare, ori în complementaritate cu alte
metode.
Ameninţările la adresa securităţii fizice a unităţilor, care pun în pericol viaţa, integritatea
corporală sau libertatea persoanelor sunt tratate cu prioritate, indiferent de importanţa bunurilor sau
valorilor ce pot fi afectate la producerea unui incident de securitate.
Analizele de risc se elaborează de către:
a) experţi în evaluare, înscrişi în RNERSF, în calitate de persoane fizice autorizate;
b) persoane juridice înscrise în RNERSF, prin intermediul experţilor în evaluare cu care au
raporturi de muncă.
Persoanele fizice sau persoanele juridice nu pot efectua analize de risc la securitate fizică
pentru unităţile cu care au încheiate contracte pentru asigurarea serviciilor de pază a obiectivelor,
bunurilor şi valorilor, servicii de proiectare, instalare, modificare sau întreţinere a componentelor
sau sistemelor de alarmare împotriva efracţiei, sau servicii de consultanţă în domeniu.
Introducere
Implementarea unui proiect de securitate fizică a unui obiectiv aprobat şi avizat conform
prevederilor legale în vigoare, integrat în planurile de investiţii şi de finanţare se face în baza unui
program structurat pe etape ţinând cont atât de latura tehnologică, cât şi de cea de planificare a
resurselor materiale şi umane.
Totuşi, unele modificări ale cerinţelor de afaceri pot surveni pe parcursul implementării, iar
acestea trebuie monitorizate şi evaluate.
Fiecare problemă este documentată prin intermediul unui “Formular de Problemă” (Issue
Form). În acest formular se alocă un cod unic problemei, se descrie problema, se evaluează gradul
de severitate, se asignează (destină) o persoană responsabilă, se fixează un termen de rezolvare etc.
O atenție specială este acordată resurselor umane. Pentru a gestiona adecvat resursele
umane, se determină mai întâi rolurile care sunt necesare în realizarea proiectului, iar rolurilor le
sunt asociate activităţile din cadrul Planului de Proiect.
Fiecare resursă umană poate avea unul sau mai multe roluri. Rolurile definesc abilităţile
unei persoane şi responsabilităţile ei în cadrul proiectului – atât din partea implementatorului, cât şi
a clientului. Exemple de roluri: Manager de Proiect, Consultant de Aplicaţie, Utilizator Principal,
Manager IT etc.
generează riscuri suplimentare pentru proiect şi de aceea este necesară şi o monitorizare a activităţii
subcontractanţilor.
Monitorizarea ajută să se efectueze o verificare regulată a ceea ce se face în mod curent, iar
informaţiile pot reprezenta indicatori atât cantitativi, cât şi calitativi.
Monitorizarea şi evaluarea sunt instrumente utile pentru a identifica punctele tari şi punctele
slabe şi a lua cele mai oportune decizii.
Monitorizarea
În această etapă, sunt urmărite variaţiile faţă de planul iniţial în ceea ce priveşte cele patru
dimensiuni ale oricărui proiect:
- costurile/resursele;
- termenele de îndeplinire a sarcinilor şi de finalizare a activităţilor;
- aria de cuprindere a proiectului;
- calitatea produselor.
Obiectivele monitorizării sunt:
- de a actualiza şi revizui planul iniţial, astfel încât eventualele schimbări să fie încorporate;
- de a oferi informaţiile pe baza cărora sunt iniţiate acţiuni de corectare, în cazul în care
variaţiile faţă de planul iniţial sunt atât de mari, încât pun în pericol reuşita proiectului.
Se pot lua în considerare două tipuri de monitorizare :
- Monitorizarea procesului: măsoară mijloacele prin care obiectivele sunt atinse: aceasta
include utilizarea datelor culese până în prezent, informaţii asupra progresului activităţilor şi a
modului în care activităţile sunt conduse;
- Monitorizarea impactului: examinează impactul activităţilor proiectului asupra
obiectivelor.
173 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Evaluarea
Evaluarea unui proiect se concentrează asupra a patru aspecte principale: resurse investite,
activităţi desfăşurate, rezultate obţinute şi impactul realizat şi trebuie să răspundă la următoarele
întrebări:
- În ce măsură proiectul şi-a atins obiectivele şi dacă nu, de ce?
- În ce măsură munca (activitatea) a meritat să fie prestată?
- În ce măsură a fost bine făcută?
- În ce măsură resursele au fost utilizate în mod eficient?
- Ce anume a rămas nerezolvat?
Pentru ca o evaluare să fie întreprinsă, este nevoie de următoarele elemente :
- Obiective clare şi măsurabile ;
- Indicatori cheie care să arate progresul înregistrat (ca şi la Monitorizare);
- Informaţii care să permită, cu ajutorul indicatorilor, să se stabilească eventuale modificări
(ca şi la Monitorizare).
În mare, obiectivul evaluării este de a estima impactul şi analiza etapelor unui proiect.
Fiecare evaluare trebuie să se concentreze asupra unui element esenţial. Dacă sunt prea
multe obiective, ele trebuie clasate în ordinea priorităţilor. Alegerea perioadelor de evaluare trebuie
decisă în momentul concepţiei proiectului. Ele sunt, în general, plasate la jumătatea desfăşurării
proiectului, şi la sfârşit. Evaluările ex-post trebuie realizate la un anumit interval după sfârşitul
proiectului, pentru a se asigura că impactul asupra proiectului a avut efect.
Odată obiectul şi obiectivele evaluării stabilite, este util să defineşti elementele specifice
cărora evaluarea trebuie să-i răspundă. Acest lucru ajută la ţintirea evaluării şi evidenţierea
elementelor care solicită o atenţie specială.
Pentru evaluarea nivelului de securitate fizică a unei unităţi, se stabilesc două domenii ale
riscului de securitate fizică, respectiv riscul de securitate acceptabil asociat riscurilor de securitate,
cu valori estimate sub pragul critic de 55%, şi riscul inacceptabil asociat valorilor estimate peste
pragul critic.
Se consideră că sunt îndeplinite cerinţele legale de securitate fizică pentru o unitate, dacă
riscul evaluat se încadrează în domeniul riscului de securitate acceptabil.
CONCLUZII
Implementarea securității fizice prin materializarea proiectului avizat de autoritățile
competente este un proces riguros cu componente tehnice și financiare, necesitând participarea
nemijlocită a unui grup multidisciplinar de specialişti.
Introducere
În urma analizei de risc de securitate efectuată asupra unui obiectiv, se reliefează măsurile
necesare diminuării riscurilor și vulnerabilităților care-i pot afecta funcţionarea. Ulterior, după
alegerea şi avizarea proiectului tehnic, în concordanţă cu acesta şi cu planurile de investiţii şi
finanţare, sistemul de securitate fizică este implementat şi pus în funcţiune.
Practic, din acest moment, începe managementul, îşi intră în rol managementul structurii de
securitate.
Atunci când se optează pentru contractarea unor categorii de servicii de pază şi protecție de
la societăţile de profil este necesară efectuarea şi a următoarelor categorii de activităţi:
- Studii de (pre)fezabilitate, inclusiv asistenţă tehnică pentru prevederea unor măsuri de
securitate din etapele iniţiale de proiectare a obiectivelor sau tehnologiilor;
Dispeceratele pot fixe sau mobile. Dispeceratele mobile sunt, de regulă, amenajate în
containere sau pe autovehicule cu scopul de a putea fi mutate cu rapiditate în sau din zona afectată.
V. Proceduri de lucru
În conformitate cu structura sistemului de securitate fizică şi a planului de pază aprobat de
autorităţile competente, managerul sistemului instituie proceduri de lucru pentru fiecare categorie
de activităţi specifice ce se desfăşoară în condiţiile legii, în vederea asigurării unui serviciu operativ,
coerent şi eficace.
Procedurile de lucru trebuie să definească în mod clar obiective de îndeplinit, modalităţile
de rezolvare, responsabilităţi şi termene de executare. În acelaşi timp, este necesară includerea şi a
tuturor forţelor participante.
Obiectivele şi responsabilităţile, dezvoltate în cadrul procedurilor de lucru, trebuie să se
găsească obligatoriu şi în fişele posturilor persoanelor angajate în activităţile de asigurare a
securităţii fizice a obiectivelor.
În cazul în care, în aceste activităţi, sunt angrenate mai multe instituţii/societăţi, este
necesară întocmirea unor planuri de cooperare, cu definirea clară a coordonatelor (sarcini,
responsabilităţi, mijloace şi metode de comunicare etc.).
Concluzii
Odată implementat şi pus în funcţiune, un sistem de securitate fizică a unui obiectiv intră în
faza exploatării. Scopul acestor activităţi este, în final, acela de a diminua riscurilor de securitate
până la un nivel considerat şi evaluat ca fiind acceptabil, în raport cu, pe de o parte, bunurile şi
valorile ce necesită să fie protejate, iar pe de altă parte, dimensiunea investiţiilor şi bugetului
alocat pentru aceasta.
Din momentul activării sistemului de securitate, în funcţie de modul în care acesta răspunde
nevoilor pentru care a fost proiectat, în timp, asupra sa vor mai interveni modificări şi actualizări
atât din punct de vedere tehnic, cât şi procedural, în concordanţă şi cu evoluţia structurală a
obiectivului.
În acest sens, este de subliniat rolul important al schimbului de informaţii privind modul în
care sistemul de securitate răspunde cerinţelor impuse, astfel încât feed-back-ul la proiectant să-l
ajute pe acesta să aducă îmbunătăţiri de substanţă acestuia.
- planul de pază;
- planul de pază al transporturilor, bunurilor şi valorilor;
- scenariul la incendiu;
- proiecte tehnice de execuţie;
- graficele de realizare a mentenanţei;
- jurnalele de service;
- planuri de evacuare şi/sau distrugere pentru situaţii de urgenţă;
- planuri de contingenţă;
- proceduri de securitate;
- planul general de securitate.
Introducere
În conformitate cu prevederile Legii nr. 333/2003 privind paza obiectivelor, bunurilor,
valorilor şi protecţia persoanelor, cu modificările şi completările ulterioare şi a Hotărârii de Guvern
nr. 301 din 11 aprilie 2012 pentru aprobarea Normelor metodologice de aplicare a legii menţionate,
paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor prin forţe şi mijloace civile se
realizează cu sprijinul şi sub coordonarea, îndrumarea şi controlul Inspectoratului General al Poliţiei
Române şi al unităţilor subordonate, care urmăresc respectarea prevederilor legale în acest domeniu
de activitate.
Instituţiile, indiferent de natura capitalului social, forma de organizare ori asociere sau
modul de deţinere a bunurilor ori valorilor, trebuie să adopte măsuri de securitate în formele
prevăzute de Lege, completate cu măsuri procedurale.
Paza se organizează şi se efectuează potrivit planului de pază, întocmit de unitatea ale cărei
bunuri sau valori se păzesc, cu avizul de specialitate al poliţiei. Acest aviz este obligatoriu pentru
fiecare caz de modificare a planului de pază.
Procesul-verbal este semnat de cel care predă serviciul, de cel care îl preia şi, după caz, se
contrasemnează de șeful de schimb sau altă persoană împuternicită.
Acest registru respectă tipologia registrului prezentat la cap. I.3, la care se adaugă
mențiunile cu privire la arma, seria, muniţia aferentă şi accesoriile cu care este dotat agentul
conform planului de pază şi consemnului postului.
Registrul în cauză înregistrează toate mișcările armamentului şi muniţiei aferente din spaţiul
anume destinat acestora. Se vor consemna denumirea şi seria armei, numărul de cartuşe, data şi ora
predării/restituirii, numele persoanei care primeşte/restituie armamentul şi muniţia, obiectivul la
care se află armamentul.
Modelul Registrului de evidenţă a mişcării armamentului este prezentat în Anexa 2g, din
H.G. 301/2012.
trece în registru data şi ora controlului, identitatea persoanelor care au exercitat controlul, funcţia
lor, precum şi constatările rezultate în urma acestuia.
Modelul Registrului de control este prezentat în Anexa 2h, din H.G. 301/2012.
În registrul de evenimente se înscriu, sub formă de raport, evenimentele care au avut loc în
timpul serviciului. Astfel, vor fi detaliate toate circumstanţele producerii acestuia, participanţii şi ce
aspecte de interes au rezultat. De asemenea, în funcţie de natura evenimentului şi consemnului
postului vor fi menţionate persoanele/instituţiile sesizate.
Modelul Registrului de evenimente / Raport de eveniment este prezentat în Anexa 2i, din
H.G. 301/2012.
Planurile de evacuare în situaţii de urgenţă trebuie să fie afişate în mod corespunzător, la loc
vizibil, în toate spaţiile de lucru şi pe căile de acces.
Jurnalele de service sunt acele documente care servesc la consemnarea tuturor intervenţiilor
asupra elementelor sistemului de securitate fizică şi de persoanele care au efectuat acele lucrări.
Cele două documente sunt necesare pentru urmărirea în timp sau în cazul producerii unor
evenimente a stării tehnice a sistemului de securitate fizică.
1. Planul de pază
asigură cu efective de jandarmi sau cu cele aparţinând unor instituţii cu atribuţii în domeniul
apărării şi siguranţei naţionale.
Prin planul de pază se stabilesc, în principal:
bunurile şi valorile de transportat;
condiţiile de mediu adecvate naturii bunurilor şi valorilor care se transportă;
situaţia operativă;
durata transportului;
mijloacele de transport folosite;
variantele de transport;
dispozitivul de pază;
consemnul general şi particular pentru personalul implicat;
dotarea cu mijloace tehnice şi de autoapărare;
modul de acţiune în diferite situaţii potrivit reglementărilor legale în vigoare.
Actualizarea planului de pază al transportului se face numai în situaţia modificării
dispozitivului de pază sau a regulilor de efectuare a pazei, precum şi în cazul schimbării
prestatorului ori a autovehiculelor prevăzute în planul de pază.
În cazul indisponibilităţii temporare a unui prestator, beneficiarul poate contracta
serviciile de transport de valori de la o altă societate licenţiată care va respecta în mod
corespunzător prevederile planului de pază iniţial. Dacă prelungirea indisponibilităţii durează mai
mult de 24 de ore se va proceda la actualizarea planului de pază conform alin. de mai sus.
Unitatea de poliţie competentă teritorial analizează planul de pază al transporturilor şi
acordă avizul de specialitate în cel mult 15 zile de la data înregistrării solicitării.
Avizul poliţiei pentru planul de pază se retrage când nu mai sunt îndeplinite condiţiile
care au stat la baza acordării.
În vederea asigurării securităţii personalului şi a valorilor transportate, autovehiculele
blindate şi semiblindate se echipează cu dispozitive tehnice de pază, localizare şi supraveghere,
precum şi sisteme de alarmare şi de comunicaţii care să asigure legătura cu dispeceratul de
monitorizare şi alertare a poliţiei sau jandarmeriei, după caz.
Autovehiculele special amenajate se dotează cu dispozitive tehnice de pază şi alarmare
pe compartimentul de valori, precum şi cu mijloace de comunicaţii, iar sistemul de alarmă se
conectează la un centru de monitorizare şi intervenţie avizat de poliţie.
Prin monitorizare se înţelege posibilitatea tehnică de stabilire, în orice moment, a
poziţiei autospecialei şi a direcţiei de deplasare şi de semnalare a stării de pericol în caz de
necesitate, precum şi de înregistrare a parametrilor vectorilor de deplasare.
Monitorizarea şi localizarea autovehiculelor de transport blindate şi semiblindate se fac
prin dispecerat cu operator care deserveşte o platformă tehnică special destinată.
Pentru protecţia bancnotelor transportate pot fi folosite soluţii alternative care asigură
posibilitatea de neutralizare a acestora în caz de efracţie sau la deschidere neautorizată şi
descurajarea agresării personalului însoţitor.
Personalul care asigură paza transportului de valori se dotează cu arme de foc şi, după
caz, cu bastoane din cauciuc sau tip tomfe, spray-uri iritant-lacrimogene, precum şi mijloace de
protecţie individuală.
Mijloacele din dotarea efectivă se stabilesc în funcţie de bunurile şi valorile
transportate, prin planul de pază.
Membrii echipajului unui vehicul care nu este blindat, dar care este amenajat şi utilizat
pentru transportul bancnotelor, bijuteriilor sau metalelor preţioase se dotează cu mijloace de
protecţie individuală, de autoapărare şi intervenţie.
3. Planul de protecţie
B. Se fac referiri privind profilul de activitate şi, după caz, privind programul de lucru al
obiectivului, în funcţie de situaţia în care se elaborează scenariul de securitate la incendiu.
1.2. Destinaţia
Se menţionează funcţiunile principale, secundare şi conexe ale construcţiei/amenajării,
potrivit situaţiei pentru care se întocmeşte scenariul de securitate la incendiu.
1.3. Categoria şi clasa de importanţă
A. Se precizează categoria de importanţă a construcţiei, stabilită conform Regulamentului
privind stabilirea categoriei de importanţă a construcţiilor, aprobat prin Hotărârea Guvernului nr.
766/1997 pentru aprobarea unor regulamente privind calitatea în construcţii, publicată în Monitorul
Oficial al României, Partea I, nr. 352 din 10 decembrie 1997, cu modificările şi completările
ulterioare, şi în conformitate cu metodologia specifică.
B. Se precizează clasa de importanţă a construcţiei potrivit reglementărilor tehnice,
corelată cu categoria de importanţă.
1.4. Particularităţi specifice construcţiei/amenajării
A. Se prezintă principalele caracteristici ale construcţiei/amenajării privind:
a) tipul clădirii: civilă, înaltă, foarte înaltă, cu săli aglomerate, de producţie sau depozitare,
monobloc, blindată, cu funcţiuni mixte etc., precum şi regimul de înălţime şi volumul construcţiei;
b) aria construită şi desfăşurată, cu principalele destinaţii ale încăperilor şi ale spaţiilor
aferente construcţiei;
c) numărul compartimentelor de incendiu şi ariile acestora;
d) precizări referitoare la numărul maxim de utilizatori: persoane, animale etc.;
e) prezenţa permanentă a persoanelor, capacitatea de autoevacuare a acestora;
f) capacităţi de depozitare sau adăpostire;
g) caracteristicile proceselor tehnologice şi cantităţile de substanţe periculoase, potrivit
clasificării din Hotărârea Guvernului nr. 95/2003 privind controlul activităţilor care prezintă
pericole de accidente majore în care sunt implicate substanţe periculoase, publicată în Monitorul
Oficial al României, Partea I, nr. 120 din 25 februarie 2003;
h) numărul căilor de evacuare şi, după caz, al refugiilor.
B. Precizări privind instalaţiile utilitare aferente clădirii sau amenajării: de încălzire,
ventilare, climatizare, electrice, gaze, automatizare etc., precum şi a componentelor lor, din care să
rezulte că acestea nu contribuie la iniţierea, dezvoltarea şi propagarea unui incendiu, nu constituie
risc de incendiu pentru elementele de construcţie sau obiectele din încăperi ori adiacente acestora,
iar în cazul unui incendiu se asigură condiţii pentru evacuarea persoanelor.
2. Riscul de incendiu
A. Identificarea şi stabilirea nivelurilor de risc de incendiu se fac potrivit reglementărilor
tehnice specifice, luându-se în considerare:
a) densitatea sarcinii termice;
b) clasele de reacţie la foc, stabilite potrivit criteriilor din Regulamentul privind
clasificarea şi încadrarea produselor pentru construcţii pe baza performanţelor de comportare la foc,
aprobat prin Ordinul comun al ministrului transporturilor, construcţiilor şi turismului şi al
ministrului administraţiei şi internelor nr. 1.822/394/2004, publicat în Monitorul Oficial al
României, Partea I, nr. 90 din 27 ianuarie 2005, din reglementările tehnice specifice, precum şi din
caracteristicile şi proprietăţile fizico-chimice ale materialelor şi substanţelor utilizate;
c) sursele potenţiale de aprindere şi împrejurările care pot favoriza aprinderea şi, după caz,
timpul minim de aprindere, precum şi timpul de atingere a fazei de incendiu generalizat.
B. Nivelurile riscului de incendiu se stabilesc pentru fiecare încăpere, spaţiu, zonă,
compartiment, potrivit reglementărilor tehnice, în funcţie de densitatea sarcinii termice, funcţiunea
spaţiilor, încăperilor, respectiv de natura activităţilor desfăşurate, de comportarea la foc a
elementelor de construcţii şi de caracteristicile de ardere a materialelor şi substanţelor utilizate,
prelucrate, manipulate sau depozitate, şi se precizează în scenariul de securitate la incendiu întocmit
pentru clădirea în ansamblu, amenajarea ori compartimentul de incendiu.
C. Pentru situaţiile prevăzute la art. 10 alin. (1) din metodologie se stabilesc, după caz,
măsuri alternative pentru reducerea riscului de incendiu, pentru încadrarea în nivelul prevăzut în
reglementările tehnice.
3. Nivelurile criteriilor de performanţă privind securitatea la incendiu
3.1. Stabilitatea la foc
Stabilitatea la foc se estimează potrivit prevederilor normelor generale de apărare
împotriva incendiilor şi reglementărilor tehnice, în funcţie de:
a) rezistenţa la foc a principalelor elemente de construcţie (în special a celor portante sau
cu rol de compartimentare), stabilită potrivit criteriilor din Regulamentul privind clasificarea şi
încadrarea produselor pentru construcţii pe baza performanţelor de comportare la foc,
reglementărilor tehnice şi standardelor europene de referinţă;
b) gradul de rezistenţă la foc a construcţiei sau a compartimentului de incendiu, conform
reglementărilor tehnice.
3.2. Limitarea apariţiei şi propagării focului şi fumului în interiorul construcţiei
Pentru asigurarea limitării propagării incendiului şi efluenţilor incendiului în interiorul
construcţiei/compartimentului de incendiu se precizează:
a) compartimentarea antifoc şi elementele de protecţie a golurilor funcţionale din
elementele de compartimentare;
b) măsurile constructive adaptate la utilizarea construcţiei, respectiv acţiunea termică
estimată în construcţie, pentru limitarea propagării incendiului în interiorul compartimentului de
incendiu şi în afara lui: pereţii, planşeele rezistente la foc şi elementele de protecţie a golurilor din
acestea, precum şi posibilitatea de întrerupere a continuităţii golurilor din elementele de construcţii;
c) sistemele de evacuare a fumului şi, după caz, a gazelor fierbinţi;
d) instalarea de bariere contra fumului, de exemplu uşi etanşe la fum;
e) sistemele şi instalaţiile de detectare, semnalizare şi stingere a incendiului;
f) măsurile de protecţie la foc pentru instalaţiile de ventilare-climatizare, de exemplu:
canale de ventilare rezistente la foc, clapete antifoc etc.;
g) măsurile constructive pentru faţade, pentru împiedicarea propagării focului la părţile
adiacente ale aceleiaşi clădiri.
3.3. Limitarea propagării incendiului la vecinătăţi
Pentru asigurarea limitării propagării incendiilor la vecinătăţi se precizează:
a) distanţele de siguranţă asigurate conform reglementărilor tehnice sau măsurile
alternative conforme cu reglementările tehnice, atunci când aceste distanţe nu pot fi realizate;
b) măsurile constructive pentru limitarea propagării incendiului pe faţade şi pe acoperiş,
de exemplu performanţa la foc exterior a acoperişului/învelitorii de acoperiş;
c) după caz, măsuri de protecţie activă.
3.4. Evacuarea utilizatorilor
A. Pentru căile de evacuare a persoanelor în caz de incendiu se precizează:
a) alcătuirea constructivă a căilor de evacuare, separarea de alte funcţiuni prin elemente
de separare la foc şi fum, protecţia golurilor din pereţii ce le delimitează;
b) măsuri pentru asigurarea controlului fumului, de exemplu prevederea de instalaţii de
presurizare şi alte sisteme de control al fumului;
c) tipul scărilor, forma şi modul de dispunere a treptelor: interioare, exterioare deschise,
cu rampe drepte sau curbe, cu trepte balansate etc.;
d) geometria căilor de evacuare: gabarite - lăţimi, înălţimi, pante etc.;
e) timpii/lungimile de evacuare;
f) numărul fluxurilor de evacuare;
g) existenţa iluminatului de siguranţă, tipul şi sursa de alimentare cu energie electrică de
rezervă;
h) prevederea de dispozitive de siguranţă la uşi;
i) timpul de siguranţă a căilor de evacuare şi, după caz, a refugiilor;
j) marcarea căilor de evacuare.
A. Arhitectura
B. Structura
C. Instalaţii
1. plan electrică, instalaţii sanitare, instalaţii electrice pentru fiecare nivel sc. 1:50;
2. secţiuni caracteristice şi locale pentru clarificarea soluţiei sc. 1:50;
3. memorii explicative;
4. planuri racorduri la aducţiunea de apă, canalizare, electrică sc. 1:50;
5. planuri pentru realizarea sistemului de încălzire/climatizare sc. 1:50;
6. note de calcul pentru instalaţii electrice, sanitare, termice.
Notă:
* Detaliile de execuţie elaborate se vor completa ulterior cu orice alt detaliu necesar
pentru constructor pentru realizarea construcţiei;
* Vizitele pe şantier se vor stabili de comun acord cu beneficiarul şi se plătesc separat;
* Supravegherea de şantier se realizează de echipa de proiectare şi se plăteşte separat;
* Dirigenţia de şantier se efectuează de către un inginer constructor numit de către
constructor sau echipa de proiectare sau beneficiar.
Evacuarea este o măsură de protecţie civilă luată înainte, pe timpul sau după producerea
unei situaţii de urgenţă, la declararea stării de alertă şi constă în scoaterea din zonele afectate sau
potenţial a fi afectate, în mod organizat, a populaţiei, a unor instituţii publice, operartori economici,
animalelor, bunurilor materiale şi în dispunerea lor în zone sau localităţi care asigură condiţii de
protecţie şi supravieţuire.
Acţiunile de evacuare se planifică şi se organizează în funcţie de tipul de risc, avându-se
în vedere parametrii specifici ce caracterizează evoluţia şi amplorea consecinţelor acestuia.
În situaţii de urgenţă, acţiunea de evacuare începe imediat după identificarea pericolului
ori după producerea acestuia, acordându-se prioritate evacuării populaţiei.
Evacuarea în situaţii de urgenţă se execută în scopul:
- realizării măsurilor preventive de scoatere în afara zonelor de risc prognozate a
persoanelor şi bunurilor materiale;
- asigurării protecţiei personalului şi bunurilor materiale în cazul producerii unor
dezastre care pun în pericol sănătatea, viaţa şi integritatea acestora;
- asigurării continuităţii funcţionării activităţii;
- asigurării înştiinţării şi alarmării populaţiei din zona de planificare la urgenţă;
- asigurării mijloacelor de protecţie individuală pentru persoane.
Concepţia acţiunilor de evacuare cuprinde:
- organizarea şi planificarea acţiunilor de evacuare;
- situaţii şi variante de evacuare;
- executarea acţiunilor de evacuare;
- executarea evacuării pe tipuri de risc specifice.
Măsurile de asigurare a acţiunilor de evacuare sunt:
- recunoaşterea şi cercetarea;
- ordinea şi siguranţa;
- protecţia NBC;
- asigurarea psihologică;
- logistica acţiunilor de evacuare.
Organizarea conducerii şi a cooperării
Starea de alertă se declară de către preşedintele Comitetului Judeţean pentru Situaţii
de Urgenţă. Trecerea la executarea evacuării se face la ordin. Ordinul de evacuare se transmite
folosindu-se mijloace fir şi radio, conform “Planului de înştiinţare şi alarmare”.
Conducerea acţiunilor de evacuare se execută de către Celula de Urgenţă în
cooperare cu Comitetul Local pentru Situaţii de Urgenţă.
După încetarea manifestării efectelor dezastrului, Celula pentru Situaţii de Urgenţă
va lua măsuri pentru:
- refacerea infrastructurii;
- reabilitarea reţelelor de alimentare cu apă, gaze, energie electrică, combustibil,
canalizare, telecomunicaţii etc.;
- verificarea nivelului de siguranţă în exploatare a clădirilor afectate;
- executarea dezinfecţiei şi dezinsecţiei zonei afectate;
7. Planuri de contigenţă
8. Proceduri de securitate
Pază
1. Conţinutul şi modul de întocmire a planului de pază
2. Documente de organizare, executare şi evidenţă a serviciului de pază
3. Executarea recunoaşterilor în vederea instalării pazei
4. Conţinutul consemnelor general şi particular
5. Organizarea şi executarea accesului în obiectivele păzite
6. Obligaţiile agenţilor de securitate la intrarea şi ieşirea din serviciu
Atribuţiile agentului de securitate în executarea serviciului de pază în post fix, mobil, itinerariul
7.
de patrulare şi la control acces
194 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Elementele obligatorii care trebuie cuprinse în planul general de securitate sunt următoarele:
a) delimitarea şi marcarea zonelor de securitate;
b) sistemul de control al accesului;
c) sistemul de avertizare şi alarmare;
d) sistemul de pază şi apărare;
e) planul de evacuare a documentelor în caz de urgenţă;
f) modul de acţiune în situaţii de urgenţă (măsuri de evacuare/distrugere a documentelor);
g) modul de raportare, investigare şi evidenţă a încălcărilor măsurilor de securitate;
h) modalităţile de realizare a pregătirii şi instruirii personalului;
i) responsabilităţile privind verificarea sistemului de securitate al obiectivului;
j) modalităţile de realizare a inspecţiilor asupra măsurilor de securitate aplicate în cadrul
obiectivului.
Concluzii
Documentele prezentate în acest capitol trebuie să se regăsească la orice instituţie/societate
comercială, răspunderea existenţei/inexistenţei lor, actualizarea şi corectitudinea datelor înscrise
în acestea fiind o obligaţie a conducătorului acestora.
De asemenea, trebuie stabilite reguli clare privind păstrarea şi manipularea acestora.
Introducere
Un sistem de asigurare a securităţii fizice a unui obiectiv este proiectat în baza analizei de
risc, prin care sunt identificate riscurile şi vulnerabilităţile acestuia şi, în funcţie de valorile şi
bunurile ce trebuie protejate, sunt propuse soluţii în vederea diminuării lor.
Odată cu implementarea acestui sistem şi punerea sa în funcţiune, periodic sau ori de câte
ori este necesar, este obligatoriu să se efectueze testări şi analize de risc post implementare prin care
să fie evaluat modul în care respectivul sistem răspunde cerinţelor şi să fie identificate măsurile
corective sau suplimentare în vederea îmbunătăţirii gradului de acoperire a necesarului de securitate
pentru obiectiv.
2. Evaluarea de risc
Analiza de risc la securitate fizică trebuie să asigure identificarea vulnerabilităţilor şi a
riscurilor, determinarea nivelului de expunere la producerea unor incidente de securitate fizică şi să
indice măsurile de protecţie necesare obiectivului analizat (H.G. nr. 301/2012 art. 2 alin. 5).
Configurarea unui sistem de securitate optim trebuie să plece întotdeauna de la o analiză
riguroasă a elementelor şi condiţiilor care influenţează starea de securitate a obiectivului vizat.
Optimizarea securităţii fizice vizează:
Stabilirea principiilor şi modului de organizare şi administrare a securităţii pe toate
domeniile securităţii alese de beneficiar (securitatea fizică, securitatea personalului,
securitatea/protecţia informaţiilor, securitatea informatică, securitatea comercială);
Stabilirea zonelor de securitate şi a standardului minim pentru fiecare zonă în parte;
Întocmirea documentelor specifice (plan de pază, documente tip, proceduri de autorizare,
de acces în incintă/zone de securitate, la documente etc.).
Proiectarea unui sistem de securitate optim şi măsurile corective, presupun că:
În funcţie de rezultatele evaluării, de nevoile de securitate, de obiectivele conducerii
obiectivului şi de bugetul alocat, se va proiecta un sistem de securitate care să corespundă
criteriilor stabilite de comun acord;
La cererea beneficiarului, se poate institui şi un sistem de urmărire a rezultatului şi
eficienţei măsurilor derulate.
Concluzii
Evaluarea periodică sau ori de câte ori se impune a sistemului de securitate fizică este
imperios necesară în vederea stabilirii modului în care acesta răspunde cerinţelor şi pentru
stabilirea măsurilor corective.
Unitatea de competenţă:
UCS2. Organizarea securităţii personalului
Modul de acţiune a personalului care execută serviciul de gardă de corp se stabileşte prin
planul de protecţie întocmit de societatea specializată de pază, avizat de unitatea de poliţie
competentă teritorial.
Măsurile procedurale stabilesc cadrul de acţiune atât pentru personalul specializat, cât şi
pentru subiectul activităţilor de protecţie fizică, prin identificarea scenariilor posibile de desfășurare
a unor eventuale evenimente care se pot constitui ca riscuri şi ameninţări pentru persoanele
importante dintr-o organizaţie.
Dotarea cu arme de foc a gărzii de corp se face numai după avizarea, după caz, de către
poliţie sau jandarmerie a planului de pază/protecţie a obiectivului/persoanei ori a transportului de
bunuri şi valori speciale sau a produselor cu caracter special.
Armamentul şi munitia se asigură prin închiriere, contra cost, de către unitatea de poliţie sau
jandarmi competentă teritorial.
Cel puţin semestrial, sub supravegherea unităţilor de poliţie sau jandarmi competente
teritorial, se vor organiza trageri de antrenament cu garda de corp dotată cu arme de foc.
Concluzii
Protecţia persoanelor importante dintr-o organizaţie reprezintă o latură importantă a
securităţii fizice a unui obiectiv, prin aceasta instituind un climat optim pentru desfăşurarea în
condiţii corespunzătoare a activităţilor instituţiei respective.
Introducere
Resursa umană într-o organizaţie este un potenţial invizibil, dificil de identificat, intangibil
şi nemăsurabil care contribuie mereu la şi fără de care conceptul organizaţional nu poate exista.
Acest capital nu este măsurat şi este aproape imposibil de cuantificat.
Într-o lume modernă supusă şanselor aleatoare ale riscului, multe organizaţii nu investesc în
capitalul uman. Majoritatea maşinilor, utilajelor se dezintegrează printr-o utilizare repetată, se
uzează, iar capitalul uman neutilizat la adevărata sa valoare tinde să se atrofieze şi să fie scos din uz.
Un manager care a luat câteva decizii de-a lungul carierei lui este adesea mai puţin valoros
ca un manager a cărui viziune de ansamblu asupra managementului firmei l-a făcut să păstreze şi să
atragă un personal competent căruia i-a acordat o libertate suficientă, încredinţându-i diverse
răspunderi, rezistând astfel schimbărilor mai mult sau mai puţin favorabile.
În ceea ce priveşte riscurile cauzate de personal pe linia securităţii fizice a unui obiectiv este
necesară o politică corespunzătoare de securitate pe segmentul resurselor umane.
2. Încurajarea disputelor
Unii manageri excelează prin promovarea rivalităţilor, avantajelor finale sau a
recompenselor finale pe care le acordă anumitor angajaţi privilegiaţi. Ei caută să-şi asigure succesul
eliminând pe cel care a greşit într-un grup, chiar dacă, cumulate, în final, rezultatele au fost
pozitive. Ei promovează viziuni limitate, distrugând psihicul subordonaţilor lor.
5. Protecţia informaţiei
Schimbarea unei afaceri, luarea unei decizii rapide presupune o anumită discreţie în
păstrarea unui secret.
Protecţia unei organizaţii implică şi păstrarea datelor / informaţiilor care se vehiculează şi
care au un caracter confidenţial. Personalul firmei trebuie protejat pe principiul need to know,
fiecărui nivel ierarhic al unei firme trebuind să i se acorde o anumită doză de încredere, pentru că
cea mai apreciată expunere pentru decizia de management va fi atunci când se implică personalul,
dăruindu-le o anumită doză de cunoaştere.
Oamenii au nevoie de informaţie, chiar şi de o informaţie neesenţială, care promovează
interesele lor generale şi reafirmă abilitatea de a deţine mai multă cunoaştere decât computerele sau
maşinile cele mai sofisticate.
6. Eliminarea pedepselor
Majoritatea managerilor consideră oamenii o generaţie de roboţi - roboţi umani, care
realizează grafice, schiţe, instrucţii speciale, procese pentru cazul static al unui automat. "Pericolul
trecutului a fost că oamenii deveneau sclavi, pericolul viitorului este că omul devine robot".
Este foarte normal ca managementul să fie un exerciţiu de judecată, discreţie, dar restricţiile
ce cauzează diverse conflicte trebuie eliminate.
Managerul nu trebuie să fie un birocrat bine reglat, care favorizează un anumit grup şi are
mereu acordul acestui grup, pentru că acest grup distruge întreaga creativitate care este sub
comanda lui.
7. Stilul de lucru
Este dificil să vedem calităţile personalului, partea riscantă intervine în cazul în care nu
recunoaştem talentele, capacităţile pe care le conducem şi vedem doar strategia de a obţine profit,
sau de a ne dubla capitalul.
8. Stările de tensiune
Tensiunile conflictuale între sindicate şi manageriat agravează condiţiile existente în
evoluţia firmei. Managerii nu trebuie să refuze cunoaşterea, ei trebuie să se acomodeze schimbării şi
să găsească mereau soluţii favorabile, să aibă viziune în afaceri într-o lume ce stagnează şi stopează
progresul.
Documentele menţionate constituie o bază solidă pentru realizarea unui dialog formal între
companiile din piaţă în sensul obţinerii de date necesare verificării candidaţilor sau angajaţilor.
Concluzii
Diminuarea riscurilor generate de personal trebuie să stea în atenţia managerului oricărei
organizaţii/instituţii în aceiaşi măsură ca şi cele de securitate fizică.
În acest sens, este necesară o abordare sistemică a politicii de resurse umane, pornind de la
selecţia şi verificarea personalului şi continuând cu activităţi de educare şi specializare a acestuia.
Noul Cod de Procedură penală defineşte proba şi mijloacele de probă (Art. 97)
(1) Constituie probă orice element de fapt care serveşte la constatarea existenţei sau
inexistenţei unei infracţiuni, la identificarea persoanei care a săvârşit-o şi la cunoaşterea
împrejurărilor necesare pentru justa soluţionare a cauzei şi care contribuie la aflarea adevărului în
procesul penal.
În definiţia probei, NCpp impune condiţia ca elementul de fapt să contribuie la aflarea
adevărului în procesul penal.
(2) Proba se obţine în procesul penal prin următoarele mijloace:
a) declaraţiile suspectului sau ale inculpatului;
b) declaraţiile persoanei vătămate;
c) declaraţiile părţii civile sau ale părţii responsabile civilmente;
d) declaraţiile martorilor;
e) înscrisuri, rapoarte de expertiză sau constatare, procese-verbale, fotografii, mijloace
materiale de probă;
f) orice alt mijloc de probă care nu este interzis prin lege.
(3) Procedeul probatoriu este modalitatea legală de obţinere a mijlocului de probă.
În concluzie, proba se obţine prin mijloace de probă, iar mijloacele de probă se obţin prin
procedee probatorii.
Art. 101 NCpp - Principiul loialităţii administrării probelor
(1) Este oprit a se întrebuinţa violenţe, ameninţări ori alte mijloace de constrângere, precum
şi promisiuni sau îndemnuri în scopul de a se obţine probe.
(2) Nu pot fi folosite metode sau tehnici de ascultare care afectează capacitatea persoanei de
aşi aminti şi de a relata în mod conştient şi voluntar faptele care constituie obiectul probei.
Interdicţia se aplică chiar dacă persoana ascultată îşi dă consimţământul la utilizarea unei asemenea
metode sau tehnici de ascultare.
Probele obţinute în mod nelegal nu pot fi folosite în procesul penal.
Unitatea de competenţă:
UCS3. Asigurarea securităţii documentelor
H.G. nr. 585 din 13 iunie 2002 pentru aprobarea Standardelor naţionale de protecţie a
informaţiilor clasificate în România
Normele de aplicare a legii 182/2002:
- clasificările informaţiilor secrete de stat şi normele privind măsurile minime de protecţie în
cadrul fiecărei clase;
- obligaţiile şi răspunderile autorităţilor şi instituţiilor publice, ale agenţilor economici şi a
altor persoane juridice de drept public sau privat privind protecţia informaţiilor secrete de stat;
- normele privind accesul la informaţiile clasificate, precum şi procedura verificărilor de
securitate;
- regulile generale privind evidenţa, întocmirea, păstrarea, procesarea, multiplicarea,
manipularea, transportul, transmiterea şi distrugerea informaţiilor clasificate.
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/
679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal şi privind libera circulaţie a acestor date
- protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special dreptul
la viaţă intimă, familială şi privată;
- nu poate fi restrânsă decât în cazuri expres şi limitativ prevăzute de lege și Regulament.
Dreptul de a avea acces la informatiile de interes public este garantat prin lege. Accesul la
informaţiile clasificate este permis numai în cazurile, în condiţiile şi prin respectarea procedurilor
prevăzute de lege.
a) protecţia juridică;
b) protecţia prin măsuri procedurale;
c) protecţia fizică;
d) protecţia personalului;
e) protecţia surselor generatoare de informaţii;
f) protecţia documentelor.
a. PROTECŢIA JURIDICĂ
Conducătorii agenţilor economici sau ai altor persoane juridice de drept privat, precum şi
persoanele fizice cărora le-au fost încredinţate sau accesează informaţii clasificate, în cadrul
raporturilor de colaborare, au obligaţia să respecte prevederile legale privind protecţia acestora.
Obligaţii, răspunderi şi sancţiuni
1. Conducătorii unităţilor deţinătoare de secrete de stat vor asigura condiţiile necesare
pentru ca toate persoanele care gestionează astfel de informaţii să cunoască reglementările în
vigoare referitoare la protecţia informaţiilor clasificate.
2. Conducătorii unităţilor deţinătoare de informaţii secrete de stat au obligaţia de a înştiinţa,
în scris, instituţiile prevăzute la art. 25 din Legea nr. 182/2002, potrivit competenţelor, prin cel mai
operativ sistem de comunicare, despre compromiterea unor astfel de informaţii.
3. Înştiinţarea prevăzută la pct. 2 se face în scopul obţinerii sprijinului necesar pentru
recuperarea informaţiilor, evaluarea prejudiciilor, diminuarea şi înlăturarea consecinţelor.
Înştiinţarea trebuie să conţină:
a. prezentarea informaţiilor compromise, respectiv clasificarea, marcarea, conţinutul,
data emiterii, numărul de înregistrare şi de exemplare, emitentul şi persoana sau
compartimentul care le-a gestionat;
b. o scurtă prezentare a împrejurărilor în care a avut loc compromiterea, inclusiv data
constatării, perioada în care informaţiile au fost expuse compromiterii şi persoanele
neautorizate care au avut sau ar fi putut avea acces la acestea, dacă sunt cunoscute;
c. precizări cu privire la eventuala informare a emitentului.
4. Orice încălcare a reglementărilor de securitate va fi cercetată pentru a se stabili:
a. dacă informaţiile respective au fost compromise;
b. dacă persoanele neautorizate care au avut sau ar fi putut avea acces la informaţii
secrete de stat prezintă suficientă încredere şi loialitate, astfel încât rezultatul
compromiterii să nu creeze prejudicii;
c. măsurile de remediere - corective, disciplinare sau juridice - care sunt recomandate.
5. Persoanele fizice cărora le-au fost încredinţate informaţii clasificate sunt obligate sa
asigure protecţia acestora, potrivit legii, şi să respecte prevederile programelor de prevenire a
scurgerii de informţii clasificate.
6. Obligaţiile se menţin şi după încetarea raporturilor de muncă, de serviciu sau
profesionale, pe întreaga perioadă a menţinerii clasificării informaţiei.
7. Persoana care urmează să desfăşoare o activitate sau să fie încadrată într-un loc de muncă
ce presupune accesul la informaţii clasificate va prezenta conducătorului societăţii un angajament
scris de păstrare a secretului.
8. Încălcarea normelor privind protecţia informaţiilor clasificate atrage răspunderea
disciplinară, contraventională, civilă sau penală, după caz.
9. Structura/funcţionarul de securitate are obligaţia de a ţine evidenţa cazurilor de
încălcare a reglementărilor de securitate, a documentelor de cercetare şi a măsurilor de
soluţionare şi să le pună la dispoziţia autorităţilor desemnate de securitate, conform
competenţelor ce le revin.
c. PROTECŢIA FIZICĂ
Sediile, sectoarele şi locurile în care sunt gestionate informaţii clasificate trebuie protejate
fizic împotriva accesului neautorizat. În acest scop, se realizează şi funcţionează sisteme de
securitate fizică constituite din echipamente tehnice, personal de specialitate şi proceduri
operaţionale destinate prevenirii, descurajării, detecţiei, întârzierii şi stopării accesului neautorizat
în obiectiv (locaţie, zone de securitate sau restricţionate etc).
Zona de securitate reprezintă un perimetru (încăpere) clar definit şi protejat, în care se
gestionează informaţii clasificate sau se desfăşoară activităţi confidenţiale şi unde toate intrările şi
ieşirile sunt supravegheate (TVCI), iar accesul este controlat şi ierarhizat.
Cerinţe de securitate fizică :
- controlul acesului şi circulaţia persoanelor proprii şi a vizitatorilor;
- controlul accesului în zonele restricţionate;
- supravegherea perimetrală generală a obiectivului;
- detecţia şi alarmarea pătrunderii în obiectiv prin locuri neautorizate sau nerespectarea
procedurilor şi a drepturilor de acces;
Unul din domeniile care se pot constitui în surse de insecuritate a informaţiilor îl reprezintă
domeniul resurselor umane, adică personalul existent în cadrul unei instituţii care deţine informaţii
clasificate.
Măsurile prevăzute de legislaţia în vigoare vizează tocmai identificarea, combaterea,
minimizarea, îndepărtarea vulnerabilităţilor în ce priveşte persoanele care accesează informaţii
clasificate fie pentru a le gestiona, fie pentru a-şi îndeplini sarcinile profesionale. Aceasta se
realizează printr-o procedură complexă de selecţie a persoanelor care vor accesa informaţii
clasificate, procedură care are la bază verificările de securitate executate de autorităţi anume
desemnate, la solicitarea conducerii instituţiei.
Prima persoană care face selecţia celor pentru care urmează să se solicite verificări de
securitate este chiar managerul instituţiei, în sensul că nu va propune persoane cunoscute ca având
trăsături de caracter din care pot rezulta riscuri şi vulnerabilităţi de securitate.
În cadrul verificărilor de securitate întreprinse de către autorităţile desemnate de securitate,
principalele criterii de evaluare a compatibilităţii în acordarea avizului pentru eliberarea
certificatului de securitate/autorizaţiei de acces vizează atât trăsăturile de caracter, cât şi situaţiile
sau împrejurările din care pot rezulta riscuri şi vulnerabilităţi de securitate.
Sunt relevante şi vor fi luate în considerare, la acordarea avizului de securitate, caracterul,
conduita profesională sau socială, concepţiile şi mediul de viaţă al soţului/soţiei sau
concubinului/concubinei persoanei solicitante.
Următoarele situaţii imputabile atât solicitantului, cât şi soţului/soţiei sau concubinului/
concubinei acestuia reprezintă elemente de incompatibilitate pentru acces la informaţii secrete de
stat:
- dacă a comis sau a intenţionat să comită, a fost complice, a complotat sau a instigat la
comiterea de acte de spionaj, terorism, trădare ori alte infracţiuni contra siguranţei statului;
- dacă a încercat, a susţinut, a participat, a cooperat sau a sprijinit acţiuni de spionaj,
terorism ori persoane suspectate de a se încadra în această categorie sau de a fi membre ale unor
organizaţii ori puteri străine inamice ordinii de drept din ţara noastră;
- dacă este sau a fost membru al unei organizaţii care a încercat, încearcă sau susţine
răsturnarea ordinii constituţionale prin mijloace violente, subversive sau alte forme ilegale;
- dacă este sau a fost un susţinător al vreunei organizaţii prevăzute la lit. c), este sau a fost în
relaţii apropiate cu membrii unor astfel de organizaţii într-o formă de natură să ridice suspiciuni
temeinice cu privire la încrederea şi loialitatea persoanei.
Constituie elemente de incompatibilitate pentru accesul solicitantului la informaţii secrete
de stat oricare din următoarele situaţii:
- dacă în mod deliberat a ascuns, a interpretat eronat sau a falsificat informaţii cu relevanţă
în planul siguranţei naţionale ori a minţit în completarea formularelor tip sau în cursul interviului de
securitate;
- are antecedente penale sau a fost sancţionat contravenţional pentru fapte care indică
tendinţe infracţionale;
- are dificultăţi financiare serioase sau există o discordanţă semnificativă între nivelul său de
trai şi veniturile declarate;
- consumă în mod excesiv băuturi alcoolice ori este dependent de alcool, droguri sau de alte
substanţe interzise prin lege care produc dependenţă;
- are sau a avut comportamente imorale sau deviaţii de comportament care pot genera riscul
ca persoana să fie vulnerabilă la şantaj sau presiuni;
- a demonstrat lipsa de loialitate, necinste, incorectitudine sau indiscreţie;
- a încălcat reglementările privind protecţia informaţiilor clasificate;
- suferă sau a suferit de boli fizice sau psihice care îi pot cauza deficienţe de discernământ
confirmate prin investigaţie medicală efectuată cu acordul persoanei solicitante;
- poate fi supus la presiuni din partea rudelor sau persoanelor apropiate care ar putea genera
vulnerabilităţi exploatabile de către serviciile de informaţii ale căror interese sunt ostile României şi
aliaţilor săi.
Retragerea autorizaţiei de acces are loc la eliberarea funcţiei care necesită acces la
informaţii clasificate prin :
- plecarea salariatului din unitate;
- decizia conducătorului instituţiei de mutare a persoanei pe o altă funcţie;
- pentru încălcarea cerinţelor de securitate sau săvârşirea unor activităţi incompatibile
accesului la informaţii clasificate.
În cazul retragerii documentului de acces, angajatului i se va interzice accesul la informaţii
clasificate.
La eliberarea autorizaţiei de acces, titularul semnează angajamentul de confidenţialitate care
se păstrează în cadrul structurii de securitate. Cu aceeaşi ocazie, persoanelor cărora li se eliberează
documente de acces li se va asigura instruirea cu privire la protecţia informaţiilor clasificate.
Aceste măsuri sunt menite, pe de o parte, să contribuie la cunoaşterea de către posesorii
autorizaţiilor de acces a legislaţiei în vigoare referitoare la protecţia informaţiilor clasificate iar, pe
de altă parte, aceştia să conştientizeze riscurile la care se expun atât pe ei, cât şi documentele pe
care le gestionează, în situaţia nerespectării prevederilor normative.
III. STANDARDE
NAŢIONALE DE PROTECŢIE A INFORMAŢIILOR CLASIFICATE ÎN ROMÂNIA
A. CLASIFICAREA
1. Potrivit legii, informaţiile sunt clasificate secrete de stat sau secrete de serviciu, în raport de
importanţa pe care o au pentru securitatea naţională şi de consecinţele ce s-ar produce ca
urmare a dezvăluirii sau diseminării lor neautorizate.
2. Informaţiile secrete de stat sunt informaţiile a căror divulgare poate prejudicia siguranţa
naţională şi apărarea ţării şi care, în funcţie de importanţa valorilor protejate, se includ în
următoarele niveluri de secretizare prevăzute de lege:
a. strict secret de importanţă deosebită;
b. strict secret;
c. secret.
3. Informaţiile a căror divulgare este de natură să determine prejudicii unei persoane juridice
de drept public sau privat se clasifică secrete de serviciu.
9. Marcarea informaţiilor clasificate are drept scop atenţionarea persoanelor care le gestionează
sau le accesează că sunt în posesia unor informaţii în legătură cu care trebuie aplicate măsuri
specifice de acces şi protecţie, în conformitate cu legea.
10. Informaţiile vor fi clasificate numai în cazul în care se impune protecţia acestora, iar
nivelurile de secretizare şi termenele de clasificare subzistă atât timp cât dezvăluirea sau
diseminarea lor neautorizată ar putea prejudicia siguranţa naţională, apărarea ţării, ordinea
publică sau interesele persoanelor juridice de drept public sau privat.
ROMÂNIA
S.C.................... .S.A.
Nr. din
Nivel clasificare
Exemplarul nr. ___
APROB
DIRECTOR GENERAL
PROGRAMUL
DE PREVENIRE A SCURGERII DE
INFORMAŢII CLASIFICATE DEŢINUTE DE
S.C. .............................. S.A.
(model)
CUPRINS
Capitolul I
BAZA LEGALĂ
S.C. ................. S.A. implementează prin acest program, un sistem concret de protecţie a
informaţiilor clasificate în baza prevederilor Legii nr. 182/2002 privind protecţia informaţiilor
clasificate, ale H.G. nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a
informaţiilor clasificate în România, H.G. nr. 781/2002 privind protecţia informaţiilor secrete de
serviciu, precum şi a H.G. 1349/27.11.2002 referitoare la colectarea, transportul, distribuirea şi
protecţia pe teritoriul României a corespondenţei clasificate.
Prezentul program a fost întocmit în scopul prevenirii scurgerii de informaţii clasificate din
cadrul societăţii, prin utilizarea neautorizată sau accidentală a documentelor şi/sau datelor care, prin
conţinutul lor, constituie informaţii clasificate. După avizarea de către organele abilitate, Programul
va fi prezentat, sub semnătură, personalului autorizat al companiei, în raport de atribuţiile
profesionale şi potrivit „principiului necesităţii de a cunoaşte” în cadrul activităţilor de pregătire
protectivă, şi consemnat în fişa personală de pregătire, în conformitate cu prevederile legale.
S.C. .......................... S.A. la data de ..................... prin adresa nr. ................ a primit
invitaţia de la ...................... din cadrul ............................ de a participa la procedura de ..................
pentru achiziţionarea unui .................................. Selectarea candidaţilor se va efectua pe baza
criteriilor referitoare la capacitatea tehnică, profesională şi economico-financiară, conform
cerinţelor anexate invitaţiei de participare. Procedura de achiziţie are nivel de clasificare ”strict
secret”, iar accesul la informaţii clasificate se va efectua în baza prevederilor Legii nr.182/2002 şi
H.G. nr. 585/2002, cu modificările şi completările ulterioare.
Precizăm că, în conformitate cu prevederile art. 3 din H.G. nr. 585/2002 societatea noastră
a declanşat operaţiunile necesare obţinerii „Autorizaţiei de Securitate Industrială”, depunînd, în
acest sens, documentele necesare la ORNISS, cu adresa nr. ....................
CAPITOLUL II
Generalităţi
În continuare prezentăm sintetic unele date şi informaţii despre S.C. ........................ S.A.
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
OBIECTIVE
PRINCIPII
CAPITOLUL III
INFORMAŢII CLASIFICATE ŞI LOCURI DE CONCENTRARE
Lista informaţiilor clasificate „secrete de serviciu” la care poate avea acces personalul
autorizat al societăţii cu ocazia derulării contractelor menţionate este următoarea:
1. Lista persoanelor care urmează să aibă acces la informaţii clasificate ”secrete de serviciu” - proiect
2. Lista funcţiilor care necesită acces la informaţii clasificate „secrete de serviciu” - proiect
3. Lista persoanelor care urmează să aibă acces la informaţii clasificate ”secrete de serviciu” - proiect
4. Lista funcţiilor care necesită acces la informaţii clasificate „secrete de seviciu” - proiect
5. Lista persoanelor care urmează să aibă acces la informaţii clasificate „secrete de serviciu” - proiect
6. Lista funcţiilor care necesită acces la informaţii clasificate ”secret de serviciu’ - proiect
Lista va fi actualizată ori de cîte ori situaţia o impune (clasificarea sau declasificarea unor informaţii).
S.C. ................. S.A. are sediul în …………….., ................., clădire ce aparţine ...................
Accesul în firmă este realizat prin uşa principală, asigurată cu sistem antiefracţie, sistem de
control a accesului persoanelor pe bază de card individualizat, pe scări sau cu ajutorul
ascensoarelor, în proximitatea cărora sunt angajaţii de la Recepţie şi cei ai firmei de pază.
În cadrul S.C. .....................S.A., informaţiile clasificate se vor păstra numai în încăperile
destinate Compartimentului documente clasificate (camerele: .................), care reprezintă Zona de
securitate şi cam ............. Zona administrativă.
Compartimentul informaţii clasificate se află în locaţia deţinută de societate, are pereţii
exteriori din beton armat şi sticlă pentru birouri - regim Demisol - Parter - Etaj ...........
Ferestrele Compartimentului, cu vizibilitatea (Zona administrativă) în curtea interioară,
prevăzute cu jaluzele, protejate prin dispozitiv de alarmă conectat la sistemul propriu şi central al
societăţii.
Uşa Compartimentului documente clasificate este din metal şi se deschide numai prin
intermediul cardului de către Funcţionarul de securitate sau Responsabilul cu documente clasificate
iar pentru restul personalului autorizat doar cu anunţarea prin telefon. Una din cartele se păstrează la
personalul de pază într-o cutie sigilată.
Totodată, în Compartimentul documente clasificate au fost instalate detectoare de mişcare şi
fum în infraroşu care folosesc proprietatea corpurilor calde de a emite radiaţii infraroşii pe care le
detectează şi le prelucrează digital în funcţie de amplitudinea şi densitatea semnalelor receptate,
astfel încît să poată elimina posibilitatea alarmelor false. Distanţa maximă de detecţie a acestuia este
de 12 m, sub un unghi în plan orizontal de 900, corpurile avînd viteza cuprinsă între 0,2-7 m/s.
Aceste tipuri de detectoare sunt amplasate la o înălţime cuprinsă între 2,1 şi 2,5 m, în colţurile
încăperilor, permiţind astfel o detecţie optimă.
Sistemul care realizează protejarea Compartimentului documentelor clasificate respectă
normele de securitate europene, fiind structurat în 4 subsisteme:
- subsistem de detecţie automată a prezenţei persoanelor neautorizate în zonele protejate;
- subsistem de detecţie a tentativei de sabotaj asupra echipamentelor de securitate;
- subsistemul de retranslaţie automată a tuturor evenimentelor;
- subsistemul de semnalizare, alarmare acustică şi optică a efracţiei.
În incinta Compartimentului documente clasificate se află un post telefonic pentru
comunicaţii urbane/interurbane şi pentru uz intern, precum şi două calculatoare pentru activităţi
curente/clasificate, fără conexiuni la intranet şi internet, accesibile după utilizarea parolei personale
şi a sistemului de protecţie instituit.
Documentele clasificate, indiferent de suportul acestora, sunt păstrate în două containere
metalice care îndeplinesc cerinţele stabilite de ORNISS şi instituţiile abilitate.
În cadrul societăţii sau în afara acesteia nu există alte locuri în care să fie stocate sau să se
gestioneze documente sau informaţii clasificate.
Accesul în Zona de securitate/administrativă este permis exclusiv persoanelor abilitate, cu
respectarea principiului „necesităţii de a cunoaşte” şi sub controlului Funcţionarului de securitate.
Ţinînd cont de cele prevăzute, Zona de securitate/administrativă îndeplineşte următoarele
cerinţe:
- perimetrul este clar definit şi protejat, în care intrarea/ieşirea sunt monitorizate print-un
sistem de supraveghere video;
- intrarea este monitorizată pentru a permite accesul neînsoţit numai persoanelor verificate şi
autorizate să pătrundă în această zonă, pentru toate celelalte persoane operează regulile de însoţire,
supraveghere şi prevenire a accesului neautorizat la informaţii clasificate;
- incinta în care nu se lucrează 24 de ore, este asigurată de Funcţionarul de securitate.
CAPITOLUL IV
2. MANAGER .. 3 DA 21.........
3. .............. 7 DA .........
4. 5 DA
5. CONSILIER 1 DA
6. ............. 2 DA
7. 1 DA
Total funcţii: 30
2. Lista persoanelor care urmează să aibă acces la informaţii clasificate ”STRICT SECRET”
2.
3.
4.
CNP
Nr. Nume, Prenume Data, loc Domiciliu Nivel de
Seria, Nr. Obs.
crt. Prenume părinţi naştere acces
BI/CI
În cadrul S.C. ................ S.A. prin Decizia nr. ............ din ............. emisă de Director
General, dl. (a) .................... a fost desemnat (ă) să îndeplinească atribuţiile specifice Funcţionarului
de securitate pe linia protecţiei activităţilor, datelor, informaţiilor şi documentelor clasificate, în
conformitate cu normele legale în domeniu.
Nume:
Prenume:
Prenume părinţi:
Data naşterii:
Locul naşterii:
Profesia:
Funcţia:
Loc de muncă: S.C. ........................ S.A.
Domiciliul: ……………., ........................
Nivel de secretizare: ..............., Nr. certificat: ....................
Atribuţii de serviciu:
Responsabil documete clasificate prin Decizia nr. ....... din ………... a ............. Directorului
General – Autorizaţie de acces la informaţii clasificate ”Secret de serviciu”, Seria....., Nr. … / …...
În curs de autorizare pentru a avea acces la informaţii clasificate de nivel „STRICT
SECRET”.
Nume:
Penume:
Prenume părinţi:
Locul naşterii:
Data naşterii:
Prifesia:
Funcţia:
Loc de muncă: S.C. …………… S.A.
Domiciliul: ………………, ...........................
Telefon:
Atribuţii de serviciu:
CAPITOLUL V
MĂSURI DE PROTECŢIE FIZICĂ
Securitatea clădirilor
Sediul S.C. ............. S.A. se află situat la adresa din …….. Str. ……, Nr. ..... Sector/Jud. ….
Această clădire se încadrează în categoria construcţiilor civile (publice) pentru birouri -
regim Demisol-Parter-Etaj .......
Clădirea corpului ........ are două uşi – una de intrare şi una care nu se foloseşte, deschizîndu-
se numai în caz de incendiu. Uşa frontală este folosită pentru intrarea-ieşirea în/din imobil, aceasta
fiind asigurată cu sistem de alarmă antiefracţie. De asemenea, uşa de la intrare este în spaţiul de
vizibilitate al punctului de pază acces şi a personalului de la Recepţie.
Accesul în spaţiul firmei este controlat prin intermediul angajaţilor permanenţi ai societăţii
noastre de la Recepţie şi prin angajaţii firmei de pază şi protecţie.
Încăperea destinată Compartimentului documente clasificate, în care se păstrează şi
manipulează informaţii clasificate de nivel „secret de serviciu” se află amplasată la et. 4 al
imobilului menţionat şi este acceaşi cu Zona de securitate instituită conform reglementărilor legale.
Uşa de la intrare în Zona de securitate Clasa I este metalică şi se sigilează, aceste încăperi nu sunt
prevăzute cu ferestre.
În spaţiul destinat Compartimentului documente clasificate s-au montat senzori de detectare
a prezenţei persoanelor, fum/incendiu, iar pentru uşa de la intrare/ieşire în (din) Zona adminstrativă
s-a montat o cameră video pentru monitorizarea persoanelor care intră/ies, senzori de „geam spart”
conectaţi la sistemul de alarmă.
În interiorul Compartimentului documente clasificate sunt montate camere video îndreptate
către uşa de acces. În aceste încăperi, informaţiile clasificate sunt păstrate în două containere
metalice, în conformitate cu normele în vigoare emise de ORNISS.
Copartimentul documente clasificate are pereţii exteriori din beton armat, sticlă, izolaţi
termic şi fonic.
Cheile de la Compartimentul documente clasificate, precum şi cele ale birourilor firmei
(toate numerotate) sunt păstrate în cutii sigilate, depuse la personalul de pază şi protecţie, evidenţa
lor ţinîndu-se în registre de evidenţă a cheilor de acces. Cheia de la containerele metalice pentru
păstrarea documentelor clasificate este păstrată în cutie sigilată, în cadrul Compartimentului
documente clasificate (în fichetul metalic), prin grija Funcţionarului de securitate, iar dublura chiar
în containerul metalic.
Securitatea spaţiilor este asigurată suplimentar de un sistem de supraveghere video-acustic a
cărui monitorizare se face în postul fix de pază de personalul specializat care are ca atribuţii şi
verificarea periodică a întegrităţii acestui spaţiu în afara orelor de program.
Intrarea angajaţilor societăţii noastre în sediu se face direct din curtea interioară a
imobilului, apoi pe holul de la parter, iar către etaje prin folosirea lifturilor sau pe scări, prin
intermediul cartelei magnetice prin sistemul de turnikeţi sau cititorul de cartele instalat la nivelul
fiecărui etaj pentru accesul pe scări. Sistemul de control al vizitatorilor impune accesul acestora
numai în baza ecusonului, după înregistrarea prealabilă în Registrul de evidenţă, însoţiţi de personal
abilitat, pentru prevenirea accesului neautorizat la informaţiile clasificate, iar în Zona de securitate
clasa -I numai dacă posedă autorizaţie de acces/certificat de securitate pentru acces la informaţii
clasificate şi însoţiti de funcţionarul de securitate.
Controlul intrărilor este însoţit de un sistem de identificare automată prin programul
informatic care este instalat pe un calculator.
Paza
Personalul de pază este destinat şi pentru asigurarea Zonei administrative, scop în care s-a
efectuat pregătirea de specialitate de către Funcţionarul de securitate.
Personalul de pază are rolul de a nu permite intrarea in firmă a persoanelor
străine/neautorizate, iar în afara orelor de program, de a verifica integritatea spaţiilor societăţii, atât
din punct de vedere al securităţii, cât şi al protecţiei în contextul unor evenimente, cum ar fi accesul
prin efracţie, incendii, inundaţii etc. şi de a lua măsurile corespunzătoare situaţiei existente.
În timpul orelor de program, are rolul de a controla accesul personalului şi vizitatorilor, în
conformitate cu fişa postului şi atribuţiile prevăzute în consemn.
În afara orelor de program şi în zilele nelucrătoare, în intervalele stabilite, personalul de
pază va verifica prin patrulare integritatea încuietorilor de la punctele de acces în firmă şi va
inspecta fiecare încăpere (dacă uşa de la intrare este asigurată/încuiată).
Înainte de încuierea şi sigilarea încăperii din Zona Administrativă, Funcţionarul de securitate
va verifica situaţia alimentării cu energie electrică, starea încuietorilor.
Monitorizarea/supravegherea deplasărilor în proximitatea Compartimentului documente
clasificate se face prin intermediul camerei video, a cărei vizualizare se face pe monitorul instalat la
personalul de pază/acces.
Controlul cheilor
Măsuri de urgenţă
Pentru asigurarea protecţiei informaţiilor clasificate în situaţii de urgenţă, se iau următoarele
măsuri:
- anunţarea imediată a Funcţionarului de securitate;
- anunţarea conducerii societăţii;
- evacuarea rapidă şi dispunerea în locuri sigure a documentelor (materialelor) clasificate, în
conformitate cu măsurile prevăzute în planul de protecţie.
235 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Când evacuarea nu este posibilă, documentele şi materialele care conţin informaţii secrete
sau strict secrete vor fi distruse de urgenţă, prin tocare sau ardere. La operaţiunile de distrugere vor
participa cel puţin două persoane care, ulterior, vor întocmi un document (proces-verbal) în care vor
consemna atât activitatea desfăşurată, cât şi conţinutul documentelor care au fost distruse.
La sediul S.C. ............. S.A. s-a constituit un compartiment pentru documente clasificate -
pentru întocmirea, păstrarea, multiplicarea, manipularea, transmiterea şi distrugerea informaţiilor cu
caracter clasificate.
CAPITOLUL VI
PREZENTAREA SISTEMULUI/SUBSISTEMULUI INFORMATIC ŞI DE
TELECOMUNICAŢII DESTINAT PRELUĂRII, PRELUCRĂRII, STOCĂRII ŞI
TRANSMITERII DE DATE ŞI INFORMAŢII CLASIFICATE
CAPITOLUL VII
MĂSURI DE PROTECŢIE ÎMPOTRIVA OBSERVĂRII ŞI ASCULTĂRII
Compartimentul informaţii clasificate constituit la sediul S.C. ............. S.A. este destinat
gestionării/ vehiculării informaţiilor clasificate. Este dispus la et. 4, nu permite observarea/
ascultarea din exterior. Pereţii interiori ai Compartimentului documente clasificate/Zona
administrativă sunt izolaţi fonic cu rigips. Pentru protecţia împotriva ascultării active se va apela la
serviciile abilitate, ori de câte ori vor exista indicii sau suspiciuni în acest sens.
În încăperea în care se păstrează documentele (materialele) clasificate - Compartimentul
informaţii clasificate - echipamentul utilizat pentru elaborarea/procesarea informaţiilor clasificate
nu este conectat la Internet sau Intranet. Comunicaţiile telefonice (urban/interurban şi intern) sunt
conectate la centrala automată a S.C. ................ S.A. Mobilierul şi obiectele existente în această
încăpere vor fi verificate periodic.
Încăperea Compartimentului documentelor clasificate va fi permanent încuiată şi asigurată,
inclusiv prin sisteme electronice de monitorizare video-acustice, corespunzător standardelor de
securitate fizică în domeniu. Inspecţiile se vor organiza în mod obligatoriu ca urmare a oricărei
suspiciuni/intruziuni neautorizate ori după executarea unor lucrări de reparaţii, întreţinere,
zugrăvire, redecorare etc.
CAPITOLUL VIII
CONTROLUL, ANALIZA ŞI EVALUAREA SECURITĂŢII
În urma cercetărilor, dacă au putut fi stabilite atât împrejurările, cât şi gradul de implicare a
unor persoane, se vor putea trage concluzii cu privire la:
- gradul de compromitere a anumitor informaţii (date) clasificate;
- încrederea care se poate avea, în continuare, în persoanele care au fost implicate în
incident.
Pe baza acestor concluzii şi, eventual, a sugestiilor organelor de specialitate, Directorul
General al firmei, împreună cu Funcţionarul de securitate, va lua toate măsurile care se impun, atât
pentru lichidarea urmărilor, cât şi pentru prevenirea repetării, în viitor, a unor situaţii similare.
Încălcările reglementărilor de securitate se vor înscrie în partea a II-a a Registrului de
controale, intitulată „Evidenţa încălcărilor reglementărilor de securitate”.
Pentru fiecare situaţie, se vor înscrie faptele şi rapoartele de investigare, precum şi
măsurile corective luate.
Despre compromiterea unor informaţii clasificate, dacă acestea sunt emise de alte instituţii,
vor fi înştiinţate atât emitentul informaţiei, cât şi instituţiile abilitate.
În situaţia în care persoanele care au luat la cunoştinţă de conţinutul informaţiilor
clasificate prezintă încredere, vor fi instruite în mod corespunzător pentru a preveni diseminarea lor,
iar în funcţie de situaţie, vor semna şi un angajament de confidenţialitate. În caz contrar, se va
proceda la evaluarea prejudiciului rezultat şi vor fi întreprinse măsurile necesare diminuării
acestuia. Când există indicii certe, confirmate în scris, de instituţiile abilitate cu atribuţii de control
şi investigare a compromiterii informaţiilor clasificate, că documentul dat în răspundere este
iremediabil pierdut, acesta va fi scos din evidenţa compartimentului care l-a gestionat (numai după
finalizarea cercetărilor), cu avizul instituţiilor abilitate.
CAPITOLUL IX
MĂSURI DE INSTRUIRE ŞI EDUCAŢIE PROTECTIVĂ A PERSOANELOR CARE AU
ATRIBUŢII PE LINIA PROTECŢIEI INFORMAŢIILOR CLASIFICATE ŞI A CELOR
CARE AU ACCES LA ASTFEL DE INFORMAŢII
În acest sens:
- se va aduce la cunoştinţa personalului conţinutul prezentului ”Program de prevenire a
scurgerii de informaţii clasificate” în părţile ce îl privesc, precum şi modul de îndeplinire a acestuia;
- se vor purta discuţii, pe colective şi individual, asupra modului în care trebuie acţionat
pentru asigurarea protecţiei informaţiilor clasificate;
- se vor valorifica rezultatele controalelor şi analizelor efectuate, precum şi ale măsurilor
luate.
Toate măsurile de instruire şi educaţie protectivă, aprobate de Directorul General al
societăţii, vor fi înscrise în Planul de activităţi al Compartimentului de documente clasificate,
precum şi în Fişa de pregătire individuală.
Instruirea şi educarea protectivă a personalului firmei, angajat în activităţi ce presupun
accesul la informaţii clasificate, vor constitui preocupări prioritare ale Funcţionarului de securitate.
Întocmit,
………………………..
A. Evidenţa documentelor
Creatorii de documente sunt obligaţi să înregistreze toate documentele intrate, ieşite ori
întocmite pentru uz intern
Înregistrarea documentelor se face la registratura generală, fie într-un singur registru de
intrare-ieşire, fie, concomitent, în mai multe, fără ca numerele de înregistrare date documentelor să
se repete.
Când creatorul de documente primeşte, emite şi întocmeşte pentru uz intern un număr mare
de documente, înregistrarea acestora se poate face şi la fiecare compartiment de muncă. În această
situaţie, la registratura generală se înscrie numărul de înregistrare atribuit de expeditor şi denumirea
compartimentului la care se repartizează spre înregistrare şi rezolvare.
Înregistrarea documentelor se efectuează cronologic, în ordinea primirii lor.
Înregistrarea documentelor începe de la l ianuarie şi se încheie la 31 decembrie ale fiecărui
an.
La înregistrarea documentelor se vor preciza următoarele clemente: numărul de înregistrare,
data înregistrării, numărul şi data documentului date de emitent, numărul filelor documentului,
numărul anexelor, emitentul, conţinutul documentului în rezumat, compartimentul căruia i s-a
repartizat, data expedierii, modul rezolvării, destinatarul, numărul de înregistrare al documentului la
care se conexează şi indicativul dosarului după nomenclator, care se va stabili şi completa în
registru după rezolvarea documentului.
Documentele care se referă la aceeaşi problemă se conexează la primul document înregistrat;
în dreptul fiecărui document conexat se trece, în rubrica corespunzătoare, numărul de înregistrare al
documentului la care se face conexarea.
Documentele expediate din oficiu şi cele întocmite pentru uz intern se înregistrează ca şi
documentele intrate, completându-se coloanele adecvate.
În cazul documentelor expediate ca răspuns, acestea vor primi numărul de înregistrare al
documentului la care se răspunde.
Unitatea de competenţă:
UCS4. Stabilirea securităţii industriale
f) obiectivul industrial a fost şi este implicat sub orice formă în activitatea unor organizaţii,
asociaţii, mişcări, grupări de persoane străine sau autohtone care au adoptat sau adoptă o politică de
sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste.
RISCURI DE SECURITATE
a) derularea unor activităţi ce contravin intereselor de siguranţă naţională sau
angajamentelor pe care România şi le-a asumat în cadrul acordurilor bilaterale sau multinaţionale;
b) relaţiile cu persoane fizice sau juridice străine ce ar putea aduce prejudicii intereselor
statului român;
c) derularea de activităţi contractuale în asociere cu persoane fizice sau juridice, semnalate
cu activităţi sau legături cu organizaţii sau elemente teroriste sau de proliferare a armelor nucleare.
GARANŢII DE SECURITATE
a) agentul economic nu prezintă riscuri de securitate;
b) sunt aplicate în mod corespunzător măsurile de securitate fizică, prevăzute de
reglementările în vigoare, precum şi normele privind accesul persoanelor la informaţii clasificate;
c) obiectivul industrial este solvabil din punct de vedere financiar;
d) obiectivul industrial nu a fost şi nu este implicat sub nici o formă în activitatea unor
organizaţii, asociaţii, mişcări, grupări de persoane străine sau autohtone care au adoptat sau adoptă
o politică de sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste.
vor avea acces la informaţii clasificate în cadrul contractelor sau subcontractelor secrete de stat,
încheiate cu deţinătorii unor astfel de informaţii.
Activitatea de verificare în vederea eliberării autorizaţiei şi a certificatelor de securitate
trebuie să asigure îndeplinirea următoarelor obiective principale:
a) prevenirea accesului persoanelor neautorizate la informaţii clasificate,
b) garantarea că informaţiile clasificate sunt distribuite pe baza existenţei certificatului de
securitate industrială şi a principiului necesităţii de a cunoaşte;
c) identificarea persoanelor care, prin acţiunile lor, pot pune în pericol protecţia informaţiilor
clasificate şi interzicerea accesului acestora la astfel de informaţii;
d) garantarea faptului că obiectivele industriale au capacitatea de a proteja informaţiile
clasificate în procesul de negociere, respectiv de derulare a contractului.
Pentru a i se elibera autorizaţia şi certificatul de securitate, obiectivul industrial trebuie să
îndeplinească următoarele cerinţe:
a) să posede program de prevenire a scurgerii de informaţii clasificate, avizat conform
reglementărilor în vigoare;
b) să fie stabil din punct de vedere economic;
c) să nu fi înregistrat o greşeală de management cu implicaţii grave asupra stării de
securitate a informaţiilor clasificate pe care le gestionează;
d) să fi respectat obligaţiile de securitate din cadrul contractelor clasificate derulate anterior;
e) personalul implicat în derularea contractului să deţină certificat de securitate de nivel egal
celui al informaţiilor vehiculate în cadrul contractului clasificat.
Neîndeplinirea cerinţelor menţionate mai sus, precum şi furnizarea intenţionată a unor
informaţii inexacte în completarea chestionarului sau în documentele prezentate în vederea
certificării constituie elemente de incompatibilitate în procesul de eliberare a autorizaţiei sau
certificatului de securitate industrială.
angajaţi.
Alte 15 până la 20% provin din partea consultanţilor şi contractorilor externi.
eficient de securitate;
Dezvoltarea şi susţinerea periodică de seminarii pentru management cu tematică de
securitate.
CORECŢIA NECONFORMITĂŢILOR
Care este diferența dintre corecție și acțiune corectivă?
La identificarea unei neconformități trebuie stabilit un plan de tratare. Trebuie analizat dacă
neconformitatea poate fi corectată, care sunt cauzele neconformității pentru a le putea elimina și
preveni repetarea neconformității. Dacă în procesul de analiză au fost identificate contexte similare
expuse la eroare atunci trebuie inițiate și acțiuni preventive.
Acțiunea corectivă este definită de standardul ISO 9000 ca acțiune întreprinsă pentru
eliminarea cauzelor unei neconformități (defect, situație critică etc.) existente, cu scopul de a
preveni reapariția acesteia. O definiție similară are și acțiunea preventivă doar că aceasta nu se
referă la neconformității existente ci la cele potențiale.
Spre deosebire de acțiunea corectivă, corecția se referă la repararea, refacerea sau ajustarea
unui obiect neconform. Eliminarea defectului fără eliminarea cauzei defectului nu poate preveni
reapariția acestuia.
Din perspectiva afacerii corecția rezolvă punctual un produs sau o problemă detectată în
timp ce acțiunea corectivă/preventivă poate rezolva loturi întregi de produse sau poate aduce
îmbunătățiri în funcționarea întregii organizații.
Terminologie
Conformitate = Îndeplinirea unei cerinţe.
Neconformitate = Neîndeplinirea unei cerinţe.
Corecţie = Acţiune de eliminare a unei neconformităţi detectate.
Reprelucrare = Acţiune asupra unui produs neconform, pentru a-l face conform cu cerinţele.
(ex. reeditare, refacere etc.)
Acţiune corectivă = Acţiune de eliminare a cauzei unei neconformităţi detectate sau a altei
situaţii nedorite.
Identificare = Stabilirea pe baza însuşirilor caracteristice specifice unui produs/serviciu şi
posibilitatea de diferenţiere între acestea şi alte produse/servicii similare.
Documente de referinţă
SR EN ISO 9001: 2008 – Sisteme de management al calităţii. Cerinţe.
Manualul calitǎţii – MSMC-01
Regulamentul de organizare şi funcţionare – ROF şi Regulamentul intern – RI ale unităţii.
Elemente de Criterii de
competenţă realizare asociate
modului de
pentru Criterii de realizare asociate rezultatului activităţii
îndeplinire a
managerul de descrise de elementul de competenţă
activităţii descrise
securitate de elementul de
competenţă
1. Asigură 1.1 Securitatea industrială este asigurată cu transpunerea în Asigurarea
securitatea norme interne de securitate industrială a prevederilor legale securității
industrială. referitoare la protecţia informaţiilor clasificate, cu stipularea industriale este
în anexa de securitate a contractelor clasificate a clauzelor de realizată cu
protecţie a informațiilor și cu precizarea protocoalelor de corectitudine,
verificare de către autoritatea desemnată de securitate. flexibilitate,
1.2. Securitatea industrială este asigurată cu stabilirea acuratețe şi
competențelor, responsabilităților și atribuțiunilor specifice responsabilitate.
în domeniul securității industriale și cu stabilirea cadrului
organizațional, atribuţiunilor şi modului de acţiune ale
componentelor SMS la incidentele de securitate industrială.
Unitatea de competenţă:
UCS5. Organizarea securităţii sistemelor informatice şi de comunicaţii
Introducere
Lumea în care trăim este într-o permanentă schimbare şi se complică pe zi ce trece.
Numărul de incidente legate de securitatea sistemelor de calcul şi de comunicaţii şi costul
rezultat al întreruperilor şi restaurării serviciilor continuă să crească.
Securitatea sistemelor informatice şi a reţelelor de comunicaţii este un subiect care intervine
din ce în ce mai des în problemele cu care se confruntă organizaţiile.
Evoluţia spectaculoasă din secolul anterior a mijloacelor de comunicare în masă, fenomenul
globalizării și apariţia noilor tehnologii de comunicare au spart barierele dintre state, în acest
context informaţia a devenit, uneori, mult mai periculoasă şi distructivă decât armele de foc, iar
securitatea informatică a devenit una din componentele majore ale internetului.
Analiştii acestui concept au sesizat o contradicţie între nevoia de comunicaţii şi
conectivitate, pe de o parte, şi necesitatea asigurării confidențialității, integrității şi autenticității
informațiilor, pe de altă parte.
Domeniul relativ nou al securității informatice caută soluții tehnice pentru rezolvarea acestei
contradicții aparente.
Viteza şi eficiența comunicațiilor “instantanee” de documente şi mesaje conferă numeroase
atuuri actului decizional într-o societate modernă, bazată pe economie concurențială.
Însă utilizarea serviciilor de poştă electronică, web, transfer de fonduri etc., se bazează pe un
sentiment, adeseori fals de securitate a comunicațiilor, care poate transforma potențialele câştiguri
generate de accesul rapid la informații, în pierderi majore, cauzate de furtul de date sau de inserarea
de date false ori denaturate.
Astfel, pe măsură ce societatea se bazează tot mai mult pe calculatoare, infracţiunile legate
de acest aspect se proliferează proporţional.
Toată lumea foloseşte sisteme informatice, dar foarte puţini sunt aceia care cunosc riscurile
şi vulnerabilităţile acestora şi mai puţini sunt cei care ştiu să se protejeze.
Amenințările sistemelor informatice:
- Sistemele informatice sunt amenințate atât din interior cât şi din exterior.
- Pot fi persoane bine intenționate care fac diferite erori de operare sau persoane rău
intenționate, care sacrifică timp şi bani pentru penetrarea sistemelor informatice.
- Oamenii care administrează sistemul sau doar folosesc calculatorul reprezintă cea mai
mare vulnerabilitate pentru securitatea acestuia.
- Securitatea sistemului se află de cele mai multe ori în mâna unui administrator de sistem,
care dacă nu este instruit corespunzător, sau dacă se va decide să profite, în mod fraudulos, de
oportunităţile sale, pentru obţinerea unor beneficii nemeritate, amplifică probabilitatea unor breşe
de securitate în sistemul de calcul, care se va afla în pericol.
- De asemenea şi utilizatorii obişnuiţi, operatorii, programatorii sau oamenii care întreţin
sistemul pot fi corupţi sau forţaţi să divulge parole, informaţii sau căi de acces, cu alte cuvinte să
compromită securitatea computerelor.
253 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Securitatea şi în special caracterul privat trebuie să constituie obiectul unei analize atente în
cazul rețelelor.
Rețelele sunt ansabluri complexe de calculatoare. Este foarte dificil să se obțină o schemă
completă a tuturor entităților şi operațiilor existente la un moment dat, astfel încât rețelele sunt
vulnerabile la diferite tipuri de atacuri sau abuzuri.
În viitorul imediat, rețelele de calculatoare vor deveni o parte esențială din viața socială şi
individuală.
De funcționarea lor corectă depinde activitatea guvernamentală, comercială, industrială şi
chiar personală.
Pe măsură ce calculatoarele personale pot fi conectate de acasă în rețele, o serie de activități
pot fi făcute de persoane particulare.
Trebuie avute în vedere tipurile de date pe care persoanele le pot citi, care sunt celelalte
persoane cu care pot comunica și la ce programe au acces.
Tot mai multe informații memorate în fişiere devin posibil de corelat prin intermediul
rețelelor. Această asociere de fişiere privind persoanele poate avea consecințe nefaste asupra
caracterului privat, individual.
Informația este vulnerabilă la atac, în orice punct al unei rețele, de la introducerea ei până la
destinația finală.
Ca urmare, se face doar analiza traficului, prin citirea identității parților care comunică şi
“învățând” lungimea şi frecvența mesajelor vehiculate pe un anumit canal logic, chiar
dacă conținutul este neinteligibil.
Atacurile pasive au următoarele caracteristici comune:
1. nu cauzează pagube (nu se şterg sau se modifică datele);
2. încalcă regulile de confidențialitate;
3. obiectivul este de a “asculta” datele schimbate prin rețea;
4. pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legăturilor telefonice
sau radio, exploatarea radiațiilor electromagnetice emise, rutarea datelor prin noduri adiționale mai
puţin protejate.
Atacurile active – sunt acelea în care intrusul se angajează fie în furtul mesajelor, fie în
modificarea, reluarea sau inserarea de mesaje false.
Aceasta înseamnă că el poate şterge, întârzia sau modifica mesaje, poate să facă inserarea
unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumită direcție, fie pe
ambele direcții ale unui canal logic.
Aceste atacuri sunt serioase deoarece modifică starea sistemelor de calcul, a datelor sau a
sistemelor de comunicații.
Criminalitatea informatică
În cazul atacurilor active, se înscriu şi unele programe create cu scop distructiv şi care
afectează, uneori esențial, securitatea calculatoarelor.
Există o terminologie care poate fi folosită pentru a prezenta diferitele posibilitați de atac
asupra unui sistem.
Acest vocabular este bine popularizat de “poveştile” despre “hackeri”.
Atacurile presupun, în general, fie citirea informațiilor neautorizate, fie distrugerea parţială
sau totală a datelor sau chiar a calculatoarelor.
Ce este mai grav este posibilitatea potențială de infestare, prin rețea sau chiar copieri de pe
suport optic sau magnetic a unui mare număr de maşini.
În lumea reală există persoane care pătrund în case şi pot fura tot ce găsesc valoros.
În lumea virtuală există indivizi care pătrund în sistemele informatice şi „fură” toate
datele valoroase.
La fel cum în lumea reală există oaspeţi nepoftiţi şi persoane care simt plăcere atunci când
îşi însuşesc sau distrug proprietatea altcuiva, lumea calculatoarelor nu putea fi lipsită de acest
fenomen nefericit.
Este cu adevărat detestabilă perfidia acestor atacuri.
Căci dacă se poate observa imediat lipsa cutiei cu bijuterii, o penetrare a serverului de
contabilitate poate fi depistată după câteva luni, atunci când toţi clienţii au renunţat la serviciile
firmei deoarece datele furate şi ajunse la concurenţă au ajutat-o pe aceasta să le facă oferte mai
bune.
În ceea ce priveşte securitatea, o persoană din interior este cineva care este familiarizat cu
procedurile şi operaţiunile organizaţiei, are prieteni în interiorul grupului, având totodată acces la
resursele şi sistemele oferite de această organizaţie.
Ceea ce face ca persoanele din interior să fie şi mai periculoase este că ele sunt greu de
detectat.
Un străin este uşor observat atunci când încearcă să treacă una din barierele dintre
organizaţie şi lumea exterioară, lucru pe care un membru al organizaţiei nu are nevoie să îl facă.
În multe cazuri, autorul este chiar salariat al întreprinderii atacate sau cunoaşte modul de
funcţionare a sistemului atacat.
Au fost numeroase încercări de realizare a unei tipologii a făptuitorilor, criteriile de
delimitare a acestor tipologii sunt în principal două: motivaţiile autorilor, precum şi consecinţele
legale ale acestora.
Cel de-al doilea criteriu introduce o distincţie între acţiunile care au scop fie producerea de
pagube, fie un folos necuvenit, şi acţiunile justificate de curiozitate, sau explicate de motive
pedagogice.
Unii specialişti în domeniu enumeră următoarele categorii de autori:
Hackerii sunt pasionați ai informaticii, care, de obicei au ca scop „spargerea” anumitor
coduri, baze de date, pagini web etc.
Hackeri – persoane, mai ales tineri, care pătrund în sistemele informatice din motivaţii
legate mai ales de provocare intelectuală sau de obţinerea şi menţinerea unui anumit statut în
comunitatea prietenilor.
Ei sunt considerăți infractori, în majoritatea statelor lumii.
Hackerii adevărăți nu „distrug”, de obicei, pagini inofensive, cum ar fi paginile personale.
Țintele obişnuite ale atacurilor hackerilor sunt sistemele importante, care au protecții
avansate şi conțin informații strict secrete, cum ar fi bazele de date ale Pentagonului.
Există „hackeri” care atacă ținte aleatoare, oriunde şi oricând au ocazia.
De exemplu, atacurile tot mai frecvente asupra Yahoo şi Hotmail au blocat motoarele de
căutare şi conturile de mail respective pentru câteva zile, aducând prejudicii de milioane de dolari.
Aceste atacuri (care reprezintă o încălcare destul de gravă a „Codul de legi al hackerilor”) au
de obicei în spate persoane care „au fost curioşi numai să vadă ce se întâmplă” sau „au dorit să se
distreze”.
Aceşti atacatori virtuali nu sunt hackeri adevărați, pentru că nu-şi scriu singuri programele
cu care atacă, procurându-le de pe Internet sau din alte surse.
Aceşti hackeri amatori sunt singurii care ajung în fața justiției.
Motivul este simplu. Acei hackeri adevărați care îşi pot scrie singuri programele cu care
atacă, sunt, de obicei destul de inteligenți pentru a face anumite sisteme care să inducă în eroare pe
toți aceia care ar încerca să determine sursa atacului.
Crackerii reprezintă un stil anumit de hacker, care sunt specializați în „spargerea”
programelor shareware sau care necesită un anumit cod serial.
Singurii care sunt prejudiciați de această categorie de hackeri sunt cei care scriu şi
proiectează programele respective, care apoi sunt „sparte”.
Deşi pare ciudat, cracking-ul este considerată „piraterie computerizată”, reprezentând o
infracțiune foarte serioasă.
Totuşi, foarte rar sunt depistați cei care plasează patch-uri şi coduri seriale pe Internet.
Spioni – persoane ce pătrund în sistemele informatice pentru a obţine informaţii care să le
permită câştiguri de natură politică.
Terorişti – persoane ce pătrund în sistemele informatice cu scopul de a produce teamă, în
scopuri politice.
Atacatori cu scop economic – pătrund în sistemele informatice ale concurenţei, cu scopul
obţinerii de câştiguri financiare.
Criminali de profesie – pătrund în sistemele informatice ale întreprinderilor pentru a obţine
câştig financiar, în interes personal.
Vandali – persoane ce pătrund în sistemele informatice cu scopul de a produce pagube.
Metode de atacuri
Pentru a obţine rezultatele pe care le doreşte, un atacator trebuie să se folosească de o
vulnerabilitate a calculatorului sau a reţelei, care este definită după cum urmează:
Vulnerabilitatea (vulnerability) este o slăbiciune a sistemului care permite o acţiune
neautorizată.
Acestea sunt erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor.
Unealta este o modalitate de a exploata vulnerabilitatea unui computer sau a unei reţele.
Atacatorii adevăraţi utilizează de asemenea mai multe metode.
Ca rezultat, dezvoltarea unei liste complete de metode de atac nu furnizează o schemă bună
de clasificare.
Când informaţia este citită şi copiată de cineva neautorizat, rezultatul este cunoscut ca
pierderea confidenţialităţii.
Pentru câteva tipuri de informaţii, confidenţialitatea este un atribut foarte important.
Informaţia poate fi alterată când este disponibilă pe o reţea nesigură.
Când informaţia este modificată în moduri neaşteptate, rezultatul e cunoscut drept pierderea
integrităţii.
Aceasta înseamnă că datele suferă modificări neautorizate fie ca urmare a unei greşeli
umane, fie prin modificare intenţionată.
Integritatea este importantă în mod particular pentru siguranţa critică şi datele financiare
utilizate în activităţi ca transferuri electronice de fonduri, controlul traficului aerian şi contabilitate
financiară.
Informaţia poate fi ştearsă sau poate deveni inaccesibilă, rezultând o lipsă de disponibilitate.
Aceasta înseamnă că persoanele care sunt autorizate să obţină informaţii nu pot obţine ceea
ce doresc.
Conceptul de autorizat contra neautorizat este cheia pentru a înţelege ce diferenţiază un
atac, de evenimentele normale care au loc.
Incident de Securitate
În termeni informatici, incidentul de securitate este definit ca un eveniment prin care se
încearcă sau se realizează accesul la un sistem informatic, un atac asupra integrităţii şi/sau
confidenţialităţii informaţiei de pe un sistem informatic automatizat.
Aceasta include examinarea sau navigarea neautorizată, întreruperea sau anularea unui
serviciu, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea informaţiilor,
modificarea informaţiilor sistemului referitoare la caracteristicile componentelor hardware,
firmware sau software, cu sau fără ştiinţa ori intenţia utilizatorului.
Dintre cele mai semnificative și grave evenimente, pot fi enumerate:
acces neautorizat şi transfer de date cu grade diferite de confidenţialitate;
modificarea, ştergerea sau deteriorarea datelor;
perturbarea sistemelor informatice;
producerea, vânzarea, procurarea pentru utilizare şi distribuţie fără drept a dispozitivelor
care pot perturba grav sistemele informatice;
interceptarea parolelor şi a codurilor de acces în scopul sabotării sistemelor şi reţelelor de
calculatoare;
falsificarea datelor cu intenţia de a fi folosite ulterior ca date autentice;
înşelătorii sau fraude comise prin intermediul computerelor;
utilizarea neautorizată a programelor protejate prin dreptul de autor.
Implementarea unor regulamente/norme interne privind securitatea echipamentelor, blocarea
şi filtrarea accesului la resurse în funcţie de necesităţi, conştientizarea aspectelor legate de securitate
de către utilizatori, detectarea în timp util a incidentelor de securitate pentru atenuarea efectelor lor
sunt câteva măsuri ce pot fi luate pentru a reduce riscul şi costul asociate.
Introducere
Astăzi, trăim într-o lume din ce în ce mai interdependentă, iar acest lucru este, în mare parte,
datorat evoluției TIC. Există numeroase beneficii ale acestei interdependențe, însă și multe
dezavantaje, luând în considerare faptul că instituțiile publice și întreprinderile private au devenit
dependente aproape în întregime de sistemele IT.
În prezent, spațiul cibernetic a devenit coloana vertebrală a ceea se numește Societatea
Cunoașterii, concepută ca un mediu diferit, în care implementarea noutăților tehnologice trebuie să
fie efectuată împreună cu noi soluții juridice pentru reglementarea efectelor negative ale impactului
utilizării TIC.
Având în vedere că activităţile şi activele organizaţionale sunt într-o permanentă
restructurare, că tehnologia informaţiei este unul dintre cele mai efervescente domenii ale
economiei moderne şi că resursele umane şi tehnologice ale unei organizaţii sunt ajustate frecvent,
şi activităţile asociate minimizării riscurilor informaţionale trebuie revăzute şi actualizate periodic,
pentru a se analiza aceste modificări şi pentru a se determina gradul curent de eficienţă a
controalelor implementate.
De-a lungul timpului, a existat o modificare de paradigmă în tratarea riscurilor, în acest
moment atenţia specialiştilor în securitate informaţională fiind concentrată asupra managementului
riscurilor şi nu în evitarea acestora.
Având în vedere vulnerabilitățile și riscurile care vizează Sistemele Informatice și de
Comunicații, cu repercusiuni grave asupra bunei funcționări a unei organizații, este necesară
implementarea unor măsuri de securitate a acestor sisteme în vederea menținerii acestora în limite
admisibile.
Toate aceste activități se vor desfășura după efectuarea unor analize de risc care vor evalua
sistemele informatice și de comunicații, riscurile și amenințările, măsuri de asigurare a securității
etc.
Ariile de analiză SIC includ:
- Audit de sisteme IT interne/externe;
- Audit Internet şi firewall;
- Reţea şi securitatea datelor;
- Securitatea calculatorelor;
- Sisteme de calcul de mare putere;
- Servere, clienţi, reţele locale şi regionale;
- Proceduri şi politici ale sistemelor informaţionale;
- Planificare pentru recuperarea datelor în caz de dezastru (disaster recovery) şi continuitate
operaţională (business continuity);
- Iniţiative E-commerce;
- Procesare de date de către terţi.
Managementul riscurilor în IT
Managementul riscurilor reprezintă procesul de implementare şi actualizare a unor metode şi
instrumente de minimizare a riscurilor asociate sistemului informaţional al unui organizaţii, precum
Politicile de Securitate Informaţională, procedurile şi practicile formalizate asociate acesteia,
precum şi alte mijloace adoptate cu scopul aducerii acestor riscuri la niveluri acceptabile. Acest
proces implică identificarea, analiza, evaluarea, tratarea şi monitorizarea riscurilor asociate
securităţii informaţionale la nivel organizaţional.
Concluzii
Diminuarea riscurilor în sistemele informatice şi de comunicaţii la o dimensiune tolerabilă
se poate realiza printr-un complex de măsuri tehnice, procedurale şi educaţionale. Soluţiile alese
depind de importanţa acestor sisteme în cadrul organizaţiei şi de resursele bugetare şi de natură
umană ce pot fi alocate în acest scop.
Orice organizaţie, chiar dacă nu are un SMSI documentat şi certificat, întreprinde anumite
măsuri de securitate în baza unor cerinţe legale, a experienţei manageriale a conducătorilor şi a altor
factori. Obiectivul acestui pas este de a evalua gradul de corespundere a sistemului de management
existent cu prevederile standardului de referinţă. În cadrul acestei evaluări se stabileşte contextul
organizatiei dpdv al securităţii informaţiei, interesele părţilor externe şi interne privind SMSI. Tot la
această fază se stabileşte domeniul de aplicare al sistemului (procese, locaţii, activităţi, măsuri de
control aplicabile/neaplicabile din Anexa A ISO/IEC 27001:2013. Evaluarea urmează să fie
finalizată cu un raport, în care să fie reflectată starea curentă a SMSI în comparaţie cu cerinţele
referenţialului.
Elaborarea documentelor necesare SMSI
Informaţiile documentate care, conform cerinţelor standardului, trebuie să fie elaborate în
cadrul SMSI, sunt:
- Declaraţia de aplicabilitate (clauza 4.3 a standardului);
- Declaraţia de Politică a securităţii informaţiei (5.2);
- Procedura de evaluare a riscurilor (6.1.2);
- Procedura de tratare a riscurilor (6.1.3);
- Obiectivele în domeniul securităţii informaţiei (6.2);
- Înregistrări referitoare la competenţa personalului care activează în domeniul SMSI (7.2);
- Documente de planificare şi control operaţional (8.1);
- Rezultatele evaluării riscurilor (8.2);
- Deciziile de tratare a riscurilor (8.3);
- Înregistrări referitoare la monitorizări şi măsurări în cadrul SMSI (9.1);
- Programul de audit intern al SMSI şi rezultatele auditurilor (9.2);
- Înregistrările referitoare la Analiza SMSI efectuată de management. (9.3);
- Înregistrările referitoare la neconformităţi şi acţiunile corective întreprinse (10.1);
- Alte documente SMSI identificate de organizaţie ca necesare pentru funcţionarea SMSI
(7.5.1b), cum ar fi cele care ar putea facilita aplicarea controalelor de securitate stabilite în anexa A
a standardului, fişele de post, regulamentele interne şi altele.
Aplicarea efectivă a procedurilor necesare SMSI
Punerea în practică a documentelor dezvoltate anterior se face de către fiecare responsabil
de proces. Aplicarea documentelor este în stransă legatură cu implementarea măsurilor de securitate
descrise în Planul de tratare a riscului.
Conducerea organizaţională ignoră, în majoritatea cazurilor, procesul de management al
riscurilor, ca şi riscurile asociate securităţii informaţionale a organizaţiei, în ansamblul lor.
În general, activităţile care nu sunt în mod direct cuantificabile şi pentru care un nivel al
profitului generat nu poate fi în mod direct prezentat, tind să fie ignorate de către conducerea
superioară, motiv pentru care activităţile de management al riscurilor necesită o activitate de
conştientizare, atât printre managerii organizaţiei, cât şi la nivelul angajaţilor.
Ce este auditul ?
„O examinare metodică realizată în vederea determinării dacă activităţile şi rezultatele
relative la subiectul examinat satisfac dispoziţiile prestabilite şi dacă aceste dispoziţii sunt puse în
operă într-un mod eficace şi apt în vederea atingerii obiectivelor ”. (ISO 8402)
Auditarea internă al oricărui agent economic include şi auditul informatic. De cele mai
multe ori, se produce o confuzie între auditul intern şi controlul intern, iar auditul informatic
(auditul tehnologiilor informaţiei şi ale comunicaţiilor, IT/&C) sau auditul sistemelor (aplicaţiilor)
informatice ale agentului economic este considerat, în mod restrictiv, ca fiind limitat la latura
tehnică a auditului intern.
În aceeaşi idee, auditul sistemelor informatice ale agentului economic trebuie privit ca audit
al sistemului informatic integrat al agentului economic, care conţine şi componenta de subsistem
informatic financiar-contabil.
265 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Practica comună pentru monitorizarea sistemului informatic este cea a auditului intern.
Astfel se poate vedea nivelul de implementare al măsurilor de securitate.
Auditul intern trebuie efectuat în toate compartimentele implicate în SMSI şi se desfășoară
prin interviuri ale angajaţilor, observaţie directă, testarea sistemelor.
O componentă necesară în verificarea implementării măsurilor tehnice este auditul tehnic,
care se desfăşoară cu instrumente speciale operate de personal calificat în domeniu.
Auditurile interne se concretizează cu nişte concluzii, care sunt incluse în Rapoartele de
audit intern (RAI). Constatările sunt comunicate parţilor implicate pentru a fi rezolvate.
Auditul intern se efectuează având la bază date şi informaţii obţinute în format electronic, în
condiţiile existenţei unui sistem informatic integrat al agentului economic; auditul intern nu exclude
auditul informatic, pentru care sunt necesare substanţiale eforturi de conceptualizare, reglementare
şi implementare.
Auditarea externă
- în sectorul privat, auditorii externi sunt numiţi de acţionarii care le stabileşte şi perioada de
timp pe care să o auditeze şi tot lor le raportează;
- în sectorul public, se solicită o certificare în numele contribuabilului.
Auditul extern reprezintă procesul desfăşurat de persoane fizice/juridice, legal abilitate
numite auditori, prin care se analizează şi evaluează în mod profesionist informaţiile legate de o
anumită entitate, utilizând tehnici şi procedee specifice în scopul obţinerii de dovezi, numite probe
de audit, pe baza cărora emit într-un document numit raport de audit, o opinie independentă şi
responsabilă prin apelarea la criteriile de evaluare care rezultă din reglementările legale şi buna
practică, unanim recunoscute în domeniul în care îşi desfăşoară activitatea entitatea auditată.
Există şi instrumente informatice de audit, cunoscute sub numele de CAATs Computer
Assisted Audit Techniques (CAATs) = Tehnici de Audit Asistat de Calculator
Activitățile de audit acoperă azi o arie largă de probleme:
sunt utilizate pentru a verifica corectitudinea prelucrărilor contabile;
testează măsurile de securitate într-un sistem;
verifică integritatea fişierelor;
totalizări;
stratificări;
extrageri;
eşantionări pentru audit.
Instrumentele informatice de audit s-au dezvoltat odată cu tehnologia IT și s-au impus
datorită următoarelor avantaje:
au înlocuit multe din procedurile manuale;
economisesc timp şi costuri de audit;
contribuie la reducerea numărului de teste de audit;
permit interogări complexe ale bazelor de date;
menţin integritatea probelor de audit;
oferă posibilitatea verificării integrităţii sistemului.
Modalități de efectuare a auditului
Auditul şi monitorizarea procesului presupune testarea continuă a programului de securitate
al firmei. Aceste procese vor ajuta firma să prevină stagnarea, să se doteze cu cele mai recente
instrumente şi tehnici şi, în felul acesta, să pregătească afacerea periodic pentru schimbări relevante.
Procesul de audit şi monitorizare trebuie să prevadă, într-o primă fază, controlul şi evaluarea
configuraţiei hardware, controlul şi evaluarea software, iar apoi monitorizarea intruziunilor,
scanarea vulnerabilităţilor şi răspunsul la intruziuni.
Controlul anumitor opţiuni de configurare hardware ale fiecărui calculator din firmă trebuie
să permită o mai bună securitate. Închiderea de către un utilizator sau administrator de reţea a unei
266 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
funcţii de securitate, fără ca acest lucru să fie sesizat, va face ca toate celelalte măsuri de securitate
luate să fie limitate sau inutile.
Informaţiile despre configuraţii de calculatoare, echipamente şi dispozitive relaţionate cu
securitatea sunt disponibile pe majoritatea site-urilor de profil. Responsabilul de securitate ar trebui
să stabilească politici care să definească configuraţiile de securitate adecvate. Monitorizarea
frecventă a realizării acestor politici este necesară. Furnizorii de echipamente sunt numeroşi. Pentru
unii afacerea se încheie la efectuarea plăţii. Alţii ţin legătura cu beneficiarul şi-l avertizează asupra
unor funcţionări defectuoase sau a posibilităţilor de upgrade.
Dotarea firmei cu programe care să satisfacă politicile de securitate impuse reprezintă o
cerinţă care nu trebuie ignorată. Degeaba componenta hardware satisface cerinţele de securitate
dacă programele au nevoie de regulă de patch-uri şi fix-uri. Cele două componente, sistemele de
operare şi programele de aplicaţii, trebuie să fie în aşa fel alese, încât să asigure o securitate sporită.
Iar dacă acest lucru nu este posibil, poate din motive financiare, atunci măcar să fie complementare
în asigurarea securităţii.
Monitorizarea intruziunilor şi scanarea vulnerabilităţilor în reţelele de calculatoare sau chiar
la calculatoarele neconectate reprezintă un proces continuu şi uneori laborios. Instrumentele pentru
a realiza această monitorizare pot oferi informaţii importante despre comportament necorespunzător
sau încercări de acces neautorizat. Scanere de vulnerabilitate desfăşoară teste din afara reţelei firmei
pentru a identifica calculatoarele expuse riscurilor, înainte ca hackerii să poată descoperi acele
vulnerabilităţi. Aceste scanări trebuie făcute de către persoane care au ca sarcină acest lucru în
cadrul firmei sau care sunt din exteriorul firmei, dar care sunt angajate să facă acest lucru.
Instalarea, configurarea şi utilizarea acestor instrumente presupune o continuă monitorizare a
serviciilor şi mai ales raportarea incidentelor. Responsabilul cu securitatea trebuie să fie informat
permanent despre incidentele apărute pentru a putea să ia în timp util măsurile care se impun (altele
decât cele luate automat sau impuse de politică). De asemenea, trebuie informată şi conducerea
firmei despre incidente şi rezolvarea acestora.
O încercare de intruziune într-un calculator al firmei va trebui să fie urmată de măsuri de
răspuns la aceasta. Răspunsul este procesul prin care incidentele sunt abordate şi rezolvate. Dacă se
monitorizează intruziunile, ar trebui ca firma să dispună de un plan pentru situaţia în care se
descoperă o intruziune serioasă. O intruziune serioasă reprezintă o încercare de intruziune folosind
metode noi sau o intruziune cu o virulenţă crescută.
Răspunsul la acest tip de intruziuni este de multe ori sortit eşecului (cel puţin într-o primă
fază). Analiza intruziunii va permite crearea unei posibilităţi de răspuns la o astfel de intruziune sau
la una similară acesteia. Periodic trebuie efectuate măsurători şi teste pentru a verifica performanţa
serviciilor de securitate. Aceste măsurători şi teste pot include numărul de incidente, nivelul la care
au ajuns în procesul de extindere şi anumite tipuri de cuantificare a costurilor asociate cu programul
de securitate şi atacurile curente.
Certificarea reprezintă o modalitate de atestare a faptului că o entitate îndeplineşte din
punct de vedere al calităţii, condiţiile considerate optime ale unui standard de referinţă. Certificarea
conformităţii se aplică: produselor; serviciilor; personalului; sistemului de management al calităţii şi
se realizează de către organisme autorizate independente.
Standardele europene EN 45000 definesc certificarea ca fiind acţiunea unei terţe părţi care
dovedeşte existenţa încrederii adecvate ca un produs, proces sau serviciu, corespunzător
identificat, este în conformitate cu un anumit standard sau cu un alt document normativ.
Pentru a asigura o activitate continuă şi eficientă în companie, este nevoie de o evaluare
corectă a sistemelor IT. În două cuvinte: de un audit IT.
Auditul tehnic de securitate IT este o soluţie din ce în ce mai importantă pentru
companiile şi organizaţiile zilelor noastre. Auditul de securitate IT are ca scop determinarea tuturor
vulnerabilităţilor sistemului informatic. Rezultatul acestei acţiuni este evaluarea obiectivă a
267 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
necesităţilor sistemului informatic al companiei precum şi sugerarea unei soluţii viabile pentru
eliminarea vulnerabilităţilor sale.
Multe companii la ora actuală alocă un buget consistent departamentului IT, făcând risipă de
resurse financiare. Companiile pot evita risipa de resurse financiare printr-o strategie IT corectă.
Prin outsourcing IT au acces la ultimele tehnologii din domeniu şi beneficiază de experienţa unei
echipe de specialişti care pot face faţă oricăror probleme iminente.
Într-o economie globalizată şi interconectată, a cărei complexitate tehnică sporeşte
permanent, informaţia este una dintre proprietăţile cele mai valoroase ale unei companii. În fiecare
zi se procesează şi se combină informaţii cu scopul de a crea alte informaţii de valoare şi a spori
avantajul competitiv. Dacă informaţia deţinută nu este securizată, înlocuirea ei presupune costuri
ridicate financiare, de timp şi energie.
Procedura de audit de securitate IT cuprinde următorii paşi:
interviuri cu departamentul tehnic al companiei;
observarea modului de lucru al angajaţilor;
analiza configuraţiilor hardware/software ale echipamentelor;
conceptul şi designul unei politici de securitate IT&C;
implementarea celor mai potrivite soluţii de securitate a reţelelor;
sisteme de acces protejat, local sau la distanţă;
soluţii firewall şi VPN;
detectarea intruziunilor (IDS) şi evaluarea vulnerabilităţii;
securitatea conţinutului (soluţii antivirus, filtrare web şi e-mail);
soluţii de autentificare;
soluţii de criptare şi semnături digitale;
soluţii de management al securităţii;
elaborarea unui raport complet privind infrastructura IT şi a securităţii existente.
Concluzii
În prezent, nu există standarde recunoscute internaţional pentru măsurători de securitate,
aşa că vor trebui să fie specifice fiecărei firme şi să fie actualizate de la an la an. De asemenea, o
dată descoperită o intruziune şi găsit făptaşul, trebuie culese dovezi solide, pentru ca acesta să
poată fi acţionat în justiţie.
Scopul principal nu este însă acela de a pedepsi vinovaţii, ci de a descoperi cum a fost
posibil atacul şi de a se acoperi golul de securitate pentru ca acest tip de atac să nu mai aibă loc.
Introducere
Obiectivul principal al acreditării de securitate este acceptarea riscului de securitate rezidual
asociat unui sistem informatic și de comunicații (SIC) şi autorizarea operării acestuia în
conformitate cu termenii stabiliţi.
CSS se elaborează pentru fiecare SPAD şi RTD - SIC care stochează, procesează sau
transmite informaţii clasificate, sunt stabilite de către componenta de securitate pentru tehnologia
informaţiei şi comunicaţiilor instituită în unităţile deţinătoare de informaţii clasificate (CSTIC) şi
aprobate de către agenţia de acreditare de securitate.
A. Securitatea personalului
Utilizatorii SPAD şi RTD - SIC sunt autorizaţi şi li se permite accesul la informaţii
clasificate pe baza principiului necesităţii de a cunoaşte şi în funcţie de nivelul de clasificare a
informaţiilor stocate, procesate sau transmise prin aceste sisteme.
proiectare de sistem care are acces la SPAD şi RTD, în vederea prevenirii şi înlăturării
vulnerabilităţilor faţă de accesarea neautorizată.
Procedurile de lucru ale personalului din SPAD şi RTD - SIC trebuie să asigure
separarea între operaţiunile de programare şi cele de exploatare a sistemului sau reţelei. Este
interzis, cu excepţia unor situaţii speciale, ca personalul să facă atât programarea, cât şi operarea
sistemelor sau reţelelor şi trebuie instituite proceduri speciale pentru depistarea acestor situaţii.
Pentru orice fel de modificare aplicată unui sistem SPAD sau RTD - SIC este
obligatorie colaborarea a cel puţin două persoane - regula celor doi. Procedurile de securitate vor
menţiona explicit situaţiile în care regula celor doi trebuie aplicată.
B. Securitatea fizică
Zonele în care sunt amplasate SPAD şi/sau RTD - SIC şi cele cu terminale la distantă,
în care sunt prezentate, stocate, procesate sau transmise informaţii clasificate ori în care este posibil
accesul potenţial la astfel de informaţii, se declară zone de securitate clasa I sau clasa II ale
obiectivului şi se supun măsurilor de protecţie fizică stabilite prin prezentele standarde.
În zonele în care sunt amplasate sisteme SPAD şi terminale la distanţă - staţii de lucru,
unde se procesează şi/sau pot fi accesate informaţii clasificate, se aplică următoarele măsuri
generale de securitate:
a) intrarea personalului şi a materialelor, precum şi plecarea în/din aceste zone sunt
controlate prin mijloace bine stabilite;
b) zonele şi locurile în care securitatea SPAD sau RTD - SIC sau a terminalelor la
distanţă poate fi modificată nu trebuie să fie niciodată ocupate de un singur angajat autorizat;
c) persoanelor care solicită acces temporar sau cu intermitenţe în aceste zone trebuie să
li se autorizeze accesul, ca vizitatori, de către responsabilul pe probleme de securitate al zonei,
desemnat de către administratorul de securitate al obiectivului SIC. Vizitatorii vor fi însoţiţi
permanent, pentru a avea garanţia că nu pot avea acces la informaţii clasificate şi nici la
echipamentele utilizate.
În funcţie de riscul de securitate şi de nivelul de secretizare al informaţiilor stocate,
procesate şi transmise, se impune cerinţa de aplicare a regulii de lucru cu două persoane şi în alte
zone, ce vor fi stabilite în stadiul iniţial al proiectului şi prezentate în cadrul CSS.
Când un SPAD este exploatat în mod autonom, deconectat în mod permanent de alte
SPAD, ţinând cont de condiţiile specifice, de alte măsuri de securitate, tehnice sau procedurale şi de
rolul pe care îl are respectivul SPAD în funcţionarea de ansamblu a sistemului, agenţia de acreditare
de securitate trebuie să stabilească măsuri specifice de protecţie, adaptate la structura acestui SPAD,
conform nivelului de clasificare a informaţiilor gestionate.
Când nu mai sunt utilizate, informaţiile şi materialele de control specificate mai sus
trebuie să fie distruse conform prevederilor standardului.
Modul în care este prezentată informaţia în clar, chiar dacă se utilizează codul prescurtat
de transmisie sau reprezentarea binară ori alte forme de transmitere la distanţă, nu trebuie să
influenţeze nivelul de clasificare acordat informaţiilor respective.
Când informaţiile sunt transferate între diverse SPAD sau RTD - SIC, ele trebuie să fie
protejate atât în timpul transferului, cât şi la nivelul sistemelor informatice ale beneficiarului,
corespunzător cu nivelul de clasificare al informaţiilor transmise.
Mediile de stocare care conţin informaţii clasificate utilizate în interiorul unei zone
SPAD pot fi manipulate ca unic material clasificat, cu condiţia ca materialul să fie identificat,
marcat cu nivelul său de clasificare şi controlat în interiorul zonei SPAD, până în momentul în care
este distrus, redus la o copie de arhivă sau pus într-un dosar permanent.
Evidenţele acestora vor fi menţinute în cadrul zonei SPAD până când sunt supuse
controlului sau distruse, conform standardelor.
În cazul în care un mediu de stocare este generat într-un SPAD sau RTD - SIC, iar apoi
este transmis într-o zonă cu terminal/staţie de lucru la distanţă, se stabilesc proceduri adecvate de
securitate, aprobate de către agenţia de acreditare de securitate. Procedurile trebuie să cuprindă şi
instrucţiuni specifice privind evidenţa informaţiilor în format electronic.
1. Generalităţi
Termenii specifici, folosiţi în domeniu sunt definiţi în HG 585/2002 cap. VIII şi “Dicţionar cu
termeni folosiţi în protecţie şi securitate”
Încărcarea informaţiilor pe mediile prevăzute mai sus, precum şi interpretarea lor pentru a
deveni inteligibile, se face cu ajutorul echipamentelor electronice specializate.
Sistemele SPAD şi RTD - SIC au dreptul să stocheze, să proceseze sau să transmită informaţii
clasificate, numai dacă sunt autorizate potrivit legii.
În vederea autorizării SPAD şi RTD - SIC unităţile vor întocmi, cu aprobarea organelor lor de
conducere, strategia proprie de securitate, în baza căreia vor implementa sisteme proprii de
securitate, care vor include utilizarea de produse specifice tehnologiei informaţiei şi
comunicaţiilor, personal instruit şi măsuri de protecţie a informaţiei, incluzând controlul
accesului la sistemele şi serviciile informatice şi de comunicaţii, pe baza principiului necesităţii
de a cunoaşte şi al nivelului de secretizare atribuit.
SPAD şi RTD - SIC vor fi supuse procesului de acreditare, urmat de evaluări periodice, în
vederea menţinerii acreditării.
în fiecare unitate care administrează SPAD şi RTD - SIC în care se stochează, se procesează
sau se transmit informaţii clasificate, se va institui o componentă de securitate pentru
tehnologia informaţiei şi a comunicaţiilor - CSTIC, în subordinea structurii/funcţionarului de
securitate.
În funcţie de volumul de activitate şi dacă cerinţele de securitate permit, atribuţiile CSTIC pot
fi îndeplinite numai de către funcţionarul de securitate TIC sau pot fi preluate, în totalitate, de
către structura/funcţionarul de securitate din unitate.
- propune conectarea unui SPAD sau a unei RTD - SIC cu un alt SPAD sau RTD -
SIC;
- propune schimbări ale modului de operare de securitate ale SPAD sau RTD -
SIC;
- propune schimbări în programele existente sau utilizarea de noi programe, pentru
optimizarea securităţii SPAD sau RTD - SIC;
- iniţiază proceduri de modificare a nivelului de clasificare a SPAD şi RTD - SIC
care au fost deja acreditate;
- planifică sau propune întreprinderea oricărei alte activităţi referitoare la
îmbunătăţirea securităţii SPAD sau RTD - SIC deja acreditate.
CSTIC, cu aprobarea autorităţii de acreditare de securitate, stabileşte standardele şi
procedurile de securitate care trebuie respectate de către furnizorii de echipamente, pe
parcursul dezvoltării, instalării şi testării SPAD şi RTD - SIC şi răspunde pentru justificarea,
selecţia, implementarea şi controlul componentelor de securitate, care constituie parte a
SPAD şi RTD - SIC.
CSTIC stabileşte, pentru structurile de securitate şi management ale SPAD şi RTD - SIC,
încă de la înfiinţare, responsabilităţile pe care le vor exercita pe tot ciclul de viaţă al SPAD
şi RTD - SIC respective.
Activitatea INFOSEC din SPAD şi RTD - SIC, desfăşurată de către CSTIC, trebuie condusă
şi coordonată de persoane care deţin certificat de securitate corespunzător, cu pregătire de
specialitate în domeniul sistemelor TIC, precum şi al securităţii acestora, obţinută în
instituţii de învăţământ acreditate INFOSEC sau care au lucrat în domeniu cel puţin 5 ani.
Protecţia SPAD şi RTD - SIC din compunerea sistemelor de armament şi de detecţie va fi
definită în contextul general al sistemelor din care acestea fac parte şi va fi realizată prin
aplicarea prevederilor prezentelor standarde.
C. Moduri de operare
SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii clasificate vor fi
certificate şi acreditate să opereze, pe anumite perioade de timp, în unul din următoarele
moduri de operare:
a. dedicat;
b. de nivel înalt;
c. multi-nivel.
În modul de operare dedicat, toate persoanele cu drept de acces la SPAD sau la RTD
trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor
stocate, procesate sau transmise prin aceste sisteme. Necesitatea de a cunoaşte pentru aceste
persoane se stabileşte cu privire la toate informaţiile stocate, procesate sau transmise în
cadrul SPAD sau RTD - SIC.
În acest mod de operare, principiul necesităţii de a cunoaşte nu impune o separare a
informaţiilor în cadrul SPAD sau RTD, ca mijloc de securitate a SIC. Celelalte măsuri de
protecţie prevăzute vor asigura îndeplinirea cerinţelor impuse de cel mai înalt nivel de
clasificare a informaţiilor gestionate şi de toate categoriile de informaţii cu destinaţie
specială stocate, procesate sau transmise în cadrul SPAD sau RTD.
În modul de operare de nivel înalt, toate persoanele cu drept de acces la SPAD sau la RTD
- SIC trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a
informaţiilor stocate, procesate sau transmise în cadrul SPAD sau RTD - SIC, iar accesul la
informaţii se va face diferenţiat, conform principiului necesităţii de a cunoaşte.
Pentru a asigura accesul diferenţiat la informaţii, conform principiului necesităţii de a
cunoaşte, se instituie facilităţi de securitate care să asigure un acces selectiv la informaţii în
cadrul SPAD sau RTD - SIC.
Celelalte măsuri de protecţie vor satisface cerinţele pentru cel mai înalt nivel de clasificare şi
pentru toate categoriile de informaţii cu destinaţie specială stocate, procesate, transmise în
cadrul SPAD sau RTD - SIC.
Toate informaţiile stocate, procesate sau vehiculate în cadrul unui SPAD sau RTD - SIC în
acest mod de operare vor fi protejate ca informaţii cu destinaţie specială, având cel mai înalt
nivel de clasificare care a fost constatat în mulţimea informaţiilor stocate, procesate sau
vehiculate prin sistem.
În modul de operare multi-nivel, accesul la informaţiile clasificate se face diferenţiat,
potrivit principiului necesităţii de a cunoaşte, conform următoarelor reguli:
a. nu toate persoanele cu drept de acces la SPAD sau RTD - SIC au certificat de
securitate pentru acces la informaţii de cel mai înalt nivel de clasificare care sunt
stocate, procesate sau transmise prin aceste sisteme;
b. nu toate persoanele cu acces la SPAD sau RTD - SIC au acces la toate informaţiile
stocate, procesate sau transmise prin aceste sisteme.
Aplicarea regulilor prevăzute mai sus impune instituirea, în compensaţie, a unor facilităţi de
securitate care să asigure un mod selectiv, individual, de acces la informaţiile clasificate din
cadrul SPAD sau RTD - SIC.
D. Administratorii de securitate
Securitatea SPAD a reţelei şi a obiectivului SIC se asigură prin funcţiile de administrator de
securitate.
Administratorii de securitate sunt:
a. administratorul de securitate al SPAD;
b. administratorul de securitate al reţelei;
c. administratorul de securitate al obiectivului SIC.
Funcţiile de administratori de securitate trebuie să asigure îndeplinirea atribuţiilor CSTIC.
Dacă este cazul, aceste funcţii pot fi cumulate de către un singur specialist.
E. Utilizatorii şi vizitatorii
Toţi utilizatorii de SPAD sau RTD - SIC poartă responsabilitatea în ce priveşte securitatea
acestor sisteme - raportate, în principal, la drepturile acordate şi sunt îndrumaţi de către
administratorii de securitate
Utilizatorii vor fi autorizaţi pentru clasa şi nivelul de secretizare a informaţiilor clasificate
stocate, procesate sau transmise în SPAD sau RTD - SIC. La acordarea accesului la
informaţii, individual, se va urmări respectarea principiului necesităţii de a cunoaşte.
Informarea şi conştientizarea utilizatorilor asupra îndatoririlor lor de securitate trebuie să
asigure o eficacitate sporită a sistemului de securitate.
Vizitatorii trebuie să aibă autorizare de securitate de nivel corespunzător şi să îndeplinească
principiul necesităţii de a cunoaşte, în situaţia în care accesul unui vizitator fără autorizare
de securitate este considerat necesar, vor fi luate măsuri de securitate suplimentare pentru
ca acesta să nu poată avea acces la informaţiile clasificate.
A. Securitatea comunicaţiilor
Toate mijloacele folosite pentru transmiterea electromagnetică a informaţiilor clasificate se
supun instrucţiunilor de securitate a comunicaţiilor emise de către instituţia desemnată la nivel
naţional pentru protecţia informaţiilor clasificate.
Într-un SPAD - SIC trebuie să se dispună mijloace de interzicere a accesului la informaţiile
clasificate de la toate terminalele/staţiile de lucru la distanţă, atunci când se solicită acest lucru,
prin deconectare fizică sau prin proceduri software speciale, aprobate de către autoritatea de
acreditare de securitate.
Sistemele SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii secrete de
stat vor fi protejate corespunzător faţă de vulnerabilităţile de securitate cauzate de radiaţiile
compromiţătoare - TEMPEST.
nociv sau a viruşilor de calculator, înainte de a fi folosite în SPAD sau RTD - SIC. Periodic
se va proceda la verificarea software-ului instalat.
Verificările trebuie făcute mai frecvent dacă SPAD sau RTD - SIC sunt conectate la alt
SPAD sau RTD - SIC sau la o reţea publică de comunicaţii.
H. Achiziţii
Sistemele SPAD sau RTD - SIC, precum şi componentele lor hardware şi software sunt
achiziţionate de la furnizori interni sau externi selectaţi dintre cei agreaţi de către agenţia de
acreditare de securitate.
Componentele sistemelor de securitate implementate în SPAD sau RTD - SIC trebuie
acreditate pe baza unei documentaţii tehnice amănunţite privind proiectarea, realizarea şi
modul de distribuire al acestora.
SPAD sau RTD - SIC care stochează, procesează sau transmit informaţii secrete de stat sau
componentele lor de bază - sisteme de operare de scop general, produse de limitare a
funcţionării pentru realizarea securităţii şi produse pentru comunicare în reţea - se pot
achiziţiona numai dacă au fost evaluate şi certificate de către agenţia de acreditare de
securitate.
Pentru SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii secrete de
serviciu, sistemele şi componentele lor de bază vor respecta, pe cât posibil, criteriile
prevăzute de prezentele standarde.
La închirierea unor componente hardware sau software, în special a unor medii de stocare,
se va ţine cont că astfel de echipamente, odată utilizate în SPAD sau RTD - SIC ce
procesează, stochează sau transmit informaţii clasificate, vor fi supuse măsurilor de protecţie
reglementate prin standardele în vigoare. O dată clasificate, componentele respective nu vor
putea fi scoase din zonele SPAD sau RTD - SIC decât după declasificare.
J. Evaluarea şi certificarea
În situaţiile ce privesc modul de operare de securitate multi-nivel, înainte de acreditarea
propriu-zisă a SPAD sau RTD - SIC, hardware-ul, firmware-ul şi software-ul vor fi evaluate
şi certificate de către agenţia de acreditare de securitate, în acest sens, instituţia desemnată la
nivel naţional pentru protecţia informaţiilor clasificate va stabili criterii diferenţiate pentru
fiecare nivel de secretizare a informaţiilor vehiculate de SPAD sau RTD - SIC.
Cerinţele de evaluare şi certificare se includ în planificarea sistemului SPAD şi RTD - SIC
şi sunt stipulate explicit în CSS, imediat după ce modul de operare de securitate a fost
stabilit.
Următoarele situaţii impun evaluarea şi certificarea de securitate în modul de operare de
securitate multi-nivel:
a. pentru SPAD sau RTD - SIC care stochează, procesează sau transmite informaţii
clasificate strict secret de importanţă deosebită;
b. pentru SPAD sau RTD - SIC care stochează, procesează sau transmite informaţii
clasificate strict secret, în cazurile în care:
٠ SPAD sau RTD - SIC este interconectat cu un alt SPAD sau RTD - SIC - de
exemplu, aparţinând altui CSTIC;
٠ SPAD sau RTD - SIC are un număr de utilizatori posibili care nu poate fi
definit exact.
٠ Procesele de evaluare şi certificare trebuie să se desfăşoare, conform
principiilor şi instrucţiunilor aprobate, de către echipe de expertizare cu
pregătire tehnică adecvată şi autorizate corespunzător. Aceste echipe vor fi
compuse din experţi selecţionaţi de către agenţia de acreditare de
securitate.
În procesele de evaluare şi certificare se va stabili în ce măsură un SPAD sau RTD - SIC
îndeplineşte condiţiile de securitate specificate prin CSS, avându-se în vedere că, după
încheierea procesului de evaluare şi certificare, anumite secţiuni - paragrafe sau capitole -
din CSS trebuie să fie modificate sau actualizate.
Procesele de evaluare şi certificare trebuie să înceapă din stadiul de definire a SPAD sau
RTD - SIC şi continuă pe parcursul fazelor de dezvoltare.
Organizarea securității
sistemelor informatice și de comunicații
3. Evaluează 3.1. INFOSEC este evaluată ținând cont de Evaluarea INFOSEC este
INFOSEC compararea capabilităților existente cu realizată cu atenție acuratețe,
obiectivele în materie de INFOSEC și cu corectitudine, exigență şi
monitorizarea, testarea și controlul în responsabilitate.
condiţiile legii a modului de utilizare a
SPAD, RTD și SIC pe întreaga durată a
activităților desfășurate de către personalul
entității.
3.2. INFOSEC este evaluată cu desfășurarea
de proceduri standardizate, cu înregistrarea
datelor, informațiilor și constatărilor, cu
analiza datelor astfel obținute și cu
redactarea raportului de control.
3.3. INFOSEC este evaluată cu prezentarea
în format standardizat a rezultatelor și
măsurilor propuse pentru remedierea
deficienţelor.
Concluzii
Cadrul legislativ din domeniul protecției informațiilor clasificate creează cadrul de
reglementare necesar dezvoltării unui set de măsuri care au drept scop asigurarea securității
informațiilor clasificate vehiculate în sisteme electronice.
În loc de încheiere,
Generalităţi
Istoria omenirii a consemnat modalităţi dintre cele mai diverse de materializare a
preocupărilor pentru asigurarea securităţii, de la nivelul individului, pentru satisfacerea protecţiei
proprii şi până la cel global, la nivelul grupurilor sociale, care, în zilele noastre, sunt angajate în
efortul de a accede sub diferite umbrele de securitate.
Securitatea privată a apărut pe o anumită treaptă a evoluţiei sociale, ca o necesitate impusă
de dezvoltarea proprietăţii asupra bunurilor, societatea umană fiind nevoită să-şi creeze structuri
adecvate menite să-i apere avuţia împotriva oricăror acţiuni ilicite, ivite chiar în interiorul ei.
Astăzi, când în societatea modernă s-au acumulat mari cantităţi de bunuri şi valori, problema
protejării lor împotriva riscurilor de orice fel se pune cu şi mai mare acuitate, mai ales că agresiunea
elementelor infractoare înregistrează cote ascendente.
În acest context, trăsătura principală a securităţii private este aceea că reprezintă o
componentă socială importantă pe care societatea o desfăşoară în folosul său, prin structuri
specializate, alese în funcţie de importanţa bunurilor şi valorilor ce trebuie protejate şi de riscul la
care acestea sunt expuse, înfăptuindu-se prin metode adecvate şi mijloace specifice.
Industria securităţii private este, în acest moment, implicată în toate sferele societăţii
moderne, îndeplinind atribuţii specifice, care ţin de securitatea şi siguranţa obiectivelor, bunurilor şi
valorilor, de securitatea şi protecţia persoanelor, de gestionarea, în limitele legii, a unor activităţi şi
fenomene sociale, în condiţiile progresului tehnic tot mai accelerat din toate aceste domenii.
Societatea modernă are tot mai mult nevoie de siguranţă pentru evoluţia sa. Industria
securităţii private este şi continuă să fie un furnizor major de servicii pentru îndeplinirea acestui
deziderat.
Adevărata mutaţie, la început de mileniu trei, s-a produs la nivelul tehnologiilor
informaţionale. Energia şi informaţia trăiesc într-o adevărată simbioză. A obţine o informaţie este o
artă, care îţi oferă posibilitatea să câştigi energie, adică putere calitativ superioară. Stăpânind arta
informaţiei, poţi atinge mai uşor scopul şi, în consecinţă, să economiseşti energie.
Se trăieşte din plin o eră informaţională, informaţiile sunt recunoscute că reprezintă cheia
succesului în aproape orice domeniu.
Activitatea informativă are ca scop principal avertizarea oportună a agenţilor economici cu
privire la riscurile şi ameninţările care crează sau pot genera pericole la adresa valorilor şi
intereselor lor economice, prevenirea acestora, precum şi protecţia adecvată împotriva unor astfel de
pericole şi ameninţări.
Serviciile de securitate private au dreptul să evolueze atât în domeniul privat, cât şi în cel
public. Procesele de externalizare a serviciilor, impuse de UE, vor determina instituţiile publice, tot
mai mult, să facă apel şi la firmele private de securitate, ca alternativă profitabilă sub raportul cost-
eficienţă.
Autorităţile specializate ale statului şi serviciile private de securitate sunt într-o relaţie de
complementaritate, ambele contribuind la realizarea unui mediu naţional de securitate favorabil
dezvoltării economice şi realizării securităţii publice.
Într-o altă accepţiune, Securitatea privată reprezintă ansamblul măsurilor de pază,
protecţie, intervenţie şi managementul acestora, adoptate în timp şi spaţiu, de către persoane fizice
şi juridice, prin forţe şi mijloace private, în scopul îndepărtării unor pericole la adresa existenţei sau
integrităţii persoanelor, bunurilor şi valorilor aflate în proprietate, administrare sau folosinţă.
Securitatea privată se asigură şi se menţine prin activităţi specifice, care reunesc într-o
combinaţie optimizată, resurse umane, materiale şi procedurale, la nivel de sistem sau pentru un
obiectiv individualizat.
Dreptul la securitate privată reprezintă o premisă pentru asigurarea libertăţilor individuale şi
colective, precum şi pentru protecţia proprietăţii publice sau a celei private.
Definiţia cea mai des întâlnită şi acceptată de majoritatea analiştilor este:
„Securitatea privată reprezintă ansamblul de activităţi, de servicii, de măsuri şi de
dispozitive destinate protecţiei bunurilor, informaţiilor şi persoanelor şi care sunt oferite şi
asigurate pe baza unui contract privat de servicii.”
Activităţile de securitate privată se desfăşoară numai cu personal care deţine competenţe
profesionale în domeniu şi cu mijloace tehnice certificate.
De regulă, există două moduri de organizare a securităţii private:
Securitatea internă, care corespunde serviciilor cu care se dotează o întreprindere sau un
organism pentru a răspunde nevoilor exclusive de securitate şi care angajează, în acest scop,
personalul necesar şi îşi procură produsele şi dispozitivele de securitate adecvate;
Securitatea contractuală, care presupune servicii oferite pe piaţa de profil de către agenţii
specializate sau indivizi, pe bază de contract.
Aceste definiţii regrupează un larg evantai de servicii, de activităţi şi de funcţii asumate de
către sectorul de securitate privată, cum sunt:
paza unor obiective;
supravegherea unor sedii sau a unor subiecţi;
patrularea şi controlul unor perimetre;
intervenţie la evenimente;
monitorizare şi dispecerare;
288 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE
Pentru a face faţă acestor ameninţări, este necesar să se ia măsuri concrete, în special să se
intensifice lupta împotriva crimei organizate, cu tot ceea ce comportă ea, şi să se dezvolte
parteneriate reale şi eficace între cetăţeni, servicii de poliţie, organisme publice şi întreprinderi
private, pentru ca, împreună, să vizeze prevenirea criminalităţii.
În ciuda măsurilor luate şi chiar atunci când implicarea tuturor factorilor responsabili este
vizibilă, sentimentul de siguranţă al cetăţenilor nu poate fi deplin şi nici măsurile, ca atare, nu pot
avea întreaga eficienţă scontată şi dorită, aşa că aici intervin şi îşi au rostul lor, serviciile private,
respectiv agenţiile şi birourile de detectivi particulari, de agenţi de pază şi securitate, care sporesc,
prin activităţile lor, nivelul de siguranţă şi linişte civică de care orice comunitate are nevoie.
în general, nu rezistă pe piaţă, fiind repede “achiziţionate” de către alte companii mai puternice. De
cele mai multe ori, companiile care le “achiziţionează” sunt chiar acelea care le-au spionat şi le-au
adus intenţionat într-un stadiu în care cota de piaţă să fie scăzută, implicit “preţul de achiziţie” al
acestora fiind mai mic. Pentru a se evita astfel de situaţii, companiile pot recurge la încadrarea unor
specialişti în informaţii şi securitate privată sau pot solicita sprijinul unor firme specializate de
detectivi particulari, care să le identifice documentele ce pot avea relevanţă pentru concurenţă şi să
creeze infrastructura necesară protejării acestora.
Există companii care percep riscul scurgerii de informaţii, dar consideră că domeniul de
activitate al companiei nu este atât de important încât să necesite cheltuieli pe linia protecţiei
anumitor date şi se bazează pe faptul că angajaţii nu au niciun motiv să divulge date ale companiei
către terţi. Nimic mai greşit. Concurenţa există în orice domeniu, ceea ce duce inevitabil la
spionajul economic. Acest tip de managenent este periculos pentru companie, deorece sub iluzia că
respectiva companie îşi creşte profitul, diminuând cheltuielile prin reducerea numărului de
departamente conexe domeniului principal de activitate, se ajunge la eliminarea firmei de pe piaţă,
chiar şi pentru simplul motiv că există încă o firmă concurentă. Un exemplu care arată că
neprotejarea acestor informaţii poate duce la pierderi majore, este cel al unei companii care a
investit o sumă considerabilă într-o reclamă televizată, strategie ce preconiza o creştere substanţială
a câştigurilor. Din păcate, din cauza faptului că nu au protejat datele cu privire la această strategie,
inclusiv cu privire la conţinutul reclamei, o companie concurentă a difuzat o reclamă identică, chiar
cu câteva zile înainte de momentul în care aceasta urma să fie televizată. Binenţeles, compania a
înregistrat pierderi foarte mari, reclama lor nemaiputând fi difuzată. Rolul detectivilor particulari în
aceste firme este acela de a identifica care sunt scăpările sistemului informatic, departamentele şi
persoanele care prelucrează date ce necesită secretizarea, efectuarea de cursuri pe linie de
contracarare a fenomenului de spionaj economic, verificări asupra unor angajaţi şi, nu în ultimul
rând, efectuarea de teste de bonitate a angajaţilor aflaţi în poziţii cheie, în raport cu angajatorul.
Oamenii de afaceri au, din ce în ce mai mult, sentimentul existenţei unor fisuri în sistemul
de securitate al firmelor lor şi iau măsuri corespunzătoare de protecţie.
Creşterea numărului acţiunilor de spionaj şi metodele tot mai rafinate folosite de indivizii
angajaţi în aceste acţiuni au impus marilor companii numirea unui responsabil cu problemele de
securitate, altul decât responsabilul pazei, responsabilul cu paza contra incendiilor sau şeful
personalului, care să răspundă în exclusivitate de acest domeniu. Experienţa ulterioară a arătat că
responsabilul cu probleme de securitate trebuie să fie superiorul tuturor celor enumeraţi mai sus şi
să aibă o pregătire specială în ceea ce priveşte mijloacele şi metodele specifice folosite în activitatea
pe care este chemat să o desfăşoare.
printre unele fictive, preîntâmpinarea supravegherii exercitate de eventuale echipe special plătite de
concurent ş.a.m.d.
Documentele secrete şi secretele de producţie, în general, sunt protejate printr-o organizare
similară unei fortăreţe, în care bastionul principal este înconjurat de obstacole şi valuri succesive de
apărare. Acest sistem se dovedeşte uneori destul de bun pentru a zădărnici pătrunderea agenţilor
“spioni” sau cel puţin pentru a întârzia cât mai mult acestă pătrundere.
Printre măsurile de precauţie elementare ce sunt luate în legătură cu securitatea
documentelor secrete, figurează, în mod obligatoriu, şi întomirea unei evidenţe stricte a copiilor
xerox ce se fac după acestea. În legătură cu operaţia respectivă, copiatoarele moderne sunt
prevăzute nu numai cu un contor, ci şi cu un sistem de blocare, care să împiedice folosirea lor de
către oricine.
Protejarea secretelor tehnico-economice implică, de asemenea, printre altele, activitatea
desfăşurată atât de responsabilul pentru problemele de securitate, cât şi de conducerea companiei în
scopul realizării unui climat propice “apărării morale”. Această “apărare morală” presupune
determinarea întregului personal să participe în mod activ şi conştient la acţiunea de păstrare a
secretelor de producţie şi de cercetare. Problema realizării unui asemenea climat se rezumă la faptul
că oamenii trebuie să fie mulţumiţi, adică bine plătiţi.
În afara celor menţionate, multe măsuri de apărare fac parte din aşa-zisa “protecţie
materială”, care operează, concomitent cu supravegherea oamenilor, prin mijlocirea unor aparate
tehnice sau prin decizii administrative categorice, cum ar fi:
• promulgarea unui regulament sever de supraveghere a salariaţilor şi vizitatorilor;
• la ieşirea din firmă toţi salariaţii şi vizitatorii sunt “bombardaţi” cu un fascicul de raze X
pentru a distruge eventualele filme din aparatele de fotografiat pe care oamenii le-ar avea asupra
lor;
• documentele importante sunt asigurate, atât prin organizarea pazei exterioare a încăperilor,
cât şi prin mijloace tehnice speciale: camere / aparate de filmat sau de fotografiat mascate, care
declanşează automat în momentul când cineva se apropie de locul de depozitare a documentelor /
produselor protejate;
• organizarea de “capcane chimice”, prin presărarea documentelor în cauză cu pudră
sensibilă la radiaţii ultraviolete, urmând ca, în cazuri suspecte, cei bănuiţi să fie trecuţi pe sub o
sursă de radiaţii ce poate evidenţia că cel sau cei suspecţi au pus mâna, în mod neautorizat, pe
documentele respective;
• deciziile administrative vizează, îndeosebi, interdicţiile de acces în anumite zone sau
încăperi ale companiei / firmei;
• dispoziţii ferme ale conducerii firmei cu privire la necesitatea distrugerii ciornelor şi a altor
hârtii confidenţiale ce se dovedesc a fi de prisos, despre nevoia de a evita aruncarea unor astfel de
hârtii la coşul de gunoi, precum şi alte detalii care să ducă la întărirea măsurilor de prevenire a
“scurgerii” de informaţii secrete;
• luarea unor măsuri severe de apărare a unor “fisuri” de pătrundere a concurenţei ori care să
prevină apariţia lor;
Ca şi spionajul economic, apărarea secretelor marilor firme a devenit, la rându-i, o adevărată
industrie guvernată de legile concurenţei.
Apărarea secretelor firmelor, deşi reprezintă un business al unor agenţii de investigare
privată, este privită de cele mai multe ori cu seriozitate, intenţia fiind cea declarată, respectiv,
prevenirea oricăror “scurgeri” de informaţii şi date secrete. În acest scop, multe dintre societăţile
constituite pentru apărarea secretelor caută să înlăture neîncrederea în ele, să încadreze specialişti
verificaţi în materie şi nu se jenează să-şi facă reclamă proprie după toate legile concurenţei.
În acest real şi îndelungat “război al inteligenţelor”, se caută permanent noi soluţii de atac şi
apărare. Între altele, în ultimul timp, cele mai multe firme au pus un accent tot mai mare pe
compartimentarea muncii. S-au instituit, în acest scop, restricţii de circulaţie în birourile şi secţiile
firmelor, documentele secrete s-au concentrat în încăperi speciale, unde accesul, la anumite
informaţii, este permis doar în baza unor autorizaţii speciale, nominalizate, paza electronică a
încăperilor a fost generalizată, documentele sunt multiplicate în locuri şi în regimuri speciale,
exemplarele de prisos sunt distruse imediat prin tocare sau ardere în prezenţa a cel puţin două
persoane, vehiculele au rezervate – în incinta firmelor – spaţii speciale de circulaţie şi parcare. La
acestea s-au adăugat zeci de alte măsuri pentru asigurarea securitătii informaţiilor importante, între
care montarea în încăperi de celule fotoelectrice, a detectoarelor de fum şi a instalaţilor automate de
stingere a incendiilor, interdicţii de a se efectua călătorii cu documente importante fără însoţitori
speciali, interzicerea de a se lucra cu astfel de documente la domiciliu sau în alte locuri
neautorizate, interdicţia de a se discuta la telefon sau în locuri publice despre secretele firmei şi
multe altele asemănătoare. Desigur, ele nu sunt aplicate peste tot, uniform şi nu toate firmele dispun
de un arsenal atât de complex. Elementele de bază, însă, care le unesc în materie de apărare sunt
concepţiile potrivit cărora, orice sistem tehnic de securitate trebuie să aibă cel puţin un element de
surpriză pentru un eventual agresor, iar orice secret, indiferent de natura lui, trebuie cunoscut de un
număr foarte restrâns de persoane, competente şi verificate.
După cum se constată, apărarea secretelor economice a devenit o preocupare constantă a
firmelor, a conducerilor acestora, conştiente tocmai de agresivitatea spionajului. În acest scop, în
multe firme se fac şi eforturi pentru crearea şi menţinerea unui climat bun în întreprindere, pentru
prevenirea apariţiei de reacţii negative, prin înlocuirea metodelor autoritare de conducere cu cele
pretinse “democratice”, de apropiere faţă de oameni, de abordare a unei politici ”obiective” faţă de
personal, acordându-se cu mai multă largheţe împrumuturi, concedii, învoiri, sarcini mobilizatoare
şi diverse responsabilităţi, care să-i facă pe oameni mai cointeresaţi şi “legaţi” de firmă. Un accent
deosebit a început să se pună pe perfecţionarea pregătirii profesionale a salariaţilor, fireşte, pentru
ridicarea performanţelor economice ale firmei, dar şi pentru obţinerea recunoaşterii celor în cauză
că doar ... ”patronul i-a făcut oameni”, precum şi pe ”legarea” de firmă, prin semnarea unor
angajamente ferme de confidenţialitate, în care angajatul îşi ia obligaţia să nu divulge secrete
economice pe care le va cunoaşte. Se aplică şi alte metode de prevenire, considerate utile şi
necesare. Periodic, în unele firme, se fac instruiri generale cu privire la amploarea spionajului
economic şi măsurile de apărare ce se impun, rolul pe care îl au cei prezenţi în a asigura securitatea
secretelor pe care le cunosc. Asemenea instruiri specializate fac şi obiectul unor întâlniri dintre
conducerile unor firme şi personalul profilat pe un anumit domeniu (aprovizionare, desfacere,
comerţ, pază, dactilografe etc.), în virtutea motivaţiei că antrenarea tuturor factorilor pentru
apărarea secretelor firmei nu poate fi neglijată niciodata.
Conducerea firmei / companiei trebuie să reamintească permanent personalului însemnătatea
pe care o are informaţia confidenţială, deoarece dacă un concurent obţine informaţii confidenţiale
despre ei, poate fi ameninţată nu numai firma, ci şi posturile salariaţilor.
În condiţiile arătate, educarea salariaţilor, instruirea lor permanentă sunt considerate
elemente de bază în orice sistem de securitate.
Militând pentru creşterea vigilenţei firmelor faţă de ofensiva spionajului economic al
concurenţei, conducerile multor firme, trusturi sau concerne au elaborat – şi continuă să elaboreze –
norme, instrucţiuni şi reglementări care să conducă la o mai bună organizare a apărării secretelor
economice, având în vedere următoarele măsuri prioritare:
- întregul sistem de prevenire şi apărare din cadrul oricărei firme trebuie conceput nu în
general, ci în raport de pericolele reale cu care se confruntă – sau se poate confrunta – firma în
cauză, ca şi filialele ce îi sunt subordonate. În această idee, complexul de măsuri profilactice trebuie
să vizeze, punctual, zonele, locurile şi persoanele ce necesită apărare, instituindu-se măsuri
concrete;
- la nivelul conducerii firmei, să se facă periodic o evaluare a documentelor secrete şi o
clasificare mai realistă a lor, pentru a nu se face nici o confuzie între cele efectiv secrete şi cele de
altă natură. Tot periodic, aceste clasificări vor fi reanalizate pentru eventuale completări şi
reaşezări;
- la nivelul conducerii oricărei firme, vor fi stabilite persoanele ce pot avea acces la
documente secrete, mergându-se până la individualizare, astfel încât, oricând, să se poată răspunde
la întrebarea: “Cine şi la ce secrete a avut acces?”;
care faptele infracţionale sunt comise cu complicitatea personalului de pază, protecţie şi securitate,
care, cunoscând cu exactitate cum să ocolească alarmele montate, profită de acest fapt.
Accesul la informaţiile cu caracter personal şi manipularea lor oneroasă sau stocarea ori
folosirea ilegală pot duce, uneori, la şantaj politic, economic, la concurenţă neloială etc., soldate
chiar cu sinucideri ale unor persoane importante sau cu asasinate.
Pornind de la aceste realităţi, nevoia, acut resimţită de către cetăţeni, de suplimentare a
siguranţei publice, justifică recursul la sistemul privat de pază şi protecţie, implicit, de investigaţii
particulare, însă statul, ca garant al respectării drepturilor şi libertăţilor fundamentale ale omului,
este obligat să ia măsurile de prevenire a oricăror deviaţii şi abuzuri comise de astfel de structuri.
În toate statele, tradiţional democratice şi cu o economie de piaţă funcţională şi bine
articulată, serviciile private de securitate reclamă, uneori, lipsa reglementărilor de ordin juridic
adecvate noilor realităţi şi, în egală măsură, serviciile de securitate clasice, aflate sub tutela statului,
reclamă ingerinţele celor particulare, în arii de activitate consacrate, până nu de mult, doar lor.
Concluziv, atât în aceste state, cât şi în cele est-europene, se poate vorbi despre un cadru
legislativ neadaptat, iar primul argument în acest sens îl reprezintă faptul că iniţiativele de
colaborare şi de cooperare dintre sectoarele privat şi public nu fac obiectul unei reglementări
formale. Implicarea securităţii private în atribuţiile date, în mod normal, în sarcina poliţiştilor este
susceptibilă de a avea consecinţe importante, dacă ariile nu se delimitează în mod clar.
În practică, agenţii de ordine din sistemul de stat, respectiv jandarmi sau poliţişti, şi cei din
cadrul firmelor private de investigaţie, pază, protecţie şi securitate, deja îşi impart funcţiile şi
activează complementar. În egală măsură, cazurile în care trebuie să coopereze şi să colaboreze sunt
tot mai frecvente, ilustrativ în acest sens fiind investigaţiile şi verificările în bazele de date,
patrularea şi paza unor obiective, supravegherea şi transportul valorilor, căutarea şi adunarea
elementelor probatorii necesare în stabilirea adevărului sau în desfăşurarea unor procese civile
şi/sau penale. Aplicarea însă a legii, cu trimitere la sistemul penal şi de justiţie, rămân numai în
sarcina structurilor oficiale, care fac parte integrantă din sistemul de securitate asigurată de stat.
Cu titlul de exemplu, trebuie menţionate interacţiunile reale care există între serviciile de
securitate şi siguranţă asigurate de stat şi cele din domeniul serviciilor furnizate de sistemul privat.
Interferenţele sunt, în majoritate, informale, frecvenţa cea mai mare revenind cazurilor în care se
procedează la: schimburi de informaţii; verificări în baze de date; informaţii privind cazierul
judiciar; schimburi de expertiză şi de servicii.
De asemenea, în timpul unor anchete sau al unor evenimente particulare, se ridică destule
întrebări în ceea ce priveşte metodele de colectare şi de utilizare a informaţiilor, în legătură cu
modalităţile de colaborare în vederea schimbului de date, informaţii şi observaţii, precum şi cu
privire la sistemul de supraveghere.
BIBLIOGRAFIE
1. Constituţia României;
2. Strategia de securitate naţională a României, adoptată de către Consiliul Suprem de
Apărare a Ţării, prin Hotărârea nr. 62 din 17 aprilie 2006;
3. Doctrina naţională a informaţiilor pentru securitate, CSAT, 23.06.2004;
4. Noul Cod penal, Noul Cod de procedură penală;
5. Standardul ocupaţional: „Manager de securitate”, ediţia 2011, verificat şi validat de către
membrii Comitetului Sectorial Administraţie și Servicii Publice;
6. Programa-cadru pentru ocupaţia ”Manager de securitate”, avizată de Inspectoratul
General al Poliţiei Române - Direcţia de Ordine Publică şi aprobată de către Autoritatea Naţională
pentru calificări, 2012;
7. Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, publicată în
Monitorul Oficial al României, Partea I, Nr. 663/23.10.2001;
8. Legea nr. 182/2002 privind protecţia informaţiilor clasificate, publicată în Monitorul
Oficial al României, Partea I, Nr. 248/12.04.2002;
9. Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor Naţionale de
protecţie a informaţiilor clasificate în România, publicată în Monitorul Oficial al României,
Partea I, Nr. 485/05.07.2002;
10. Hotărârea Guvernului nr. 781/2002 privind protecţia informaţiilor secrete de serviciu,
publicată în Monitorul Oficial al României, Partea I, Nr. 575/ 05.08.2002;
11. Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea
Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, publicată în Monitorul Oficial al
României, Partea I, Nr. 826/15.11.2002, aprobată prin Legea nr. 101/24.03.2003, publicată în
Monitorul Oficial al României, Partea I, Nr. 207/31.03.2003;
12. Legea nr. 333/2003 (*republicată*) privind paza obiectivelor, bunurilor, valorilor şi
protecţia persoanelor, republicată în Monitorul Oficial al României, Partea I, Nr. 189/18.03.2014;
13. Hotărârea de Guvern Nr. 301 / 11.04.2012 privind Normele metodologice de aplicare a
Legii Nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, publicată
în Monitorul Oficial al României, Partea I, Nr. 335/17.05.2012; Text actualizat în baza actelor
normative modificatoare, publicate în Monitorul Oficial al României, Partea I, până la 13 ianuarie
2016;
14. Legea nr. 329/2003 privind exercitarea profesiei de detectiv particular, republicată în
Monitorul Oficial al României, Partea I, Nr. 178/12.03.2014, modificată și completată;
15. Colecţie - Revista Securitatea Privată, publicaţie a Editurii Detectiv;
16. Colecţia revistei ALARMA, revistă editată de Asociaţia Română pentru Tehnică de
Securitate (ARTS);
17. Însemnări despre spionajul tehnico-economic – Ion Mocanu, Ed. Militară, Bucureşti,
1975;
18. Spionajul Economic – Petre Hladchi Bucovineanu, Ed. Politică, Bucureşti, 1985;
19. Spionajul high-tech şi afacerile – Dr. Francisc Tobă, Daniela Tobă, Ed. Detectiv,
Bucureşti, 2006;
20. Despre intelligence: spionaj-contraspionaj, Stan Petrescu, Editura Militară, Bucureşti,
2007;
21. Lucrarea - Contribuţia Oficiului Registrului Naţional al Informaţiilor Secrete de Stat la
promovarea imaginii României în perioada postaderare - Gl. bg.(r) conf. univ. dr. Neculae
Năbârjoiu;
22. Rezumat – teză de doctorat, Terorismul cibernetic, Gigi Giurcan, 2010;
23. http://www.ornis.ro.