Suport de Curs 2023 Manager de Securitate

Descărcați ca pdf sau txt
Descărcați ca pdf sau txt
Sunteți pe pagina 1din 300

Suport de curs MANAGER DE SECURITATE

S.D.D.P.”CONFIDENT” FURNIZOR DE FORMARE


- BUCUREŞTI - PROFESIONALĂ

CURS DE SPECIALIZARE “MANAGER DE SECURITATE”


www.cursurisecuritate.ro
[email protected]

SUPORT DE CURS
- MANAGER DE SECURITATE -
- Cod COR 121306 -

Ediţia a II-a (revizuită şi adăugită)

COORDONATOR: AUTORI:
Director, Dragoş-Valentin CIREŞ
Col.(r) Vasile CIREŞ Bogdan-Constantin CIREŞ

BUCUREŞTI - 2020

1 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Prezentul Suport de curs, Ediţia a II-a (revizuită şi adăugită),


are la bază Standardul ocupaţional cod R 86 şi Programa-cadru pentru ocupaţia ”Manager de
securitate” - Cod COR: 121306, avizată de I.G.P.R. – D.O.P. şi aprobată de către Autoritatea
Naţională pentru Calificări / Comitetul Sectorial Administraţie şi Servicii Publice, cu prevederile
legale în materie şi solicitările societăţilor de pază şi protecţie, societăţilor specializate în sisteme
de alarmare împotriva efracţiei, precum şi cele ale beneficiarilor serviciilor de securitate, precum
şi cele metodologice de elaborare a unei programe de pregătire, în formarea profesională a
adulţilor, astfel încât să răspundă cerinţelor reale existente în domeniu.

DOMENIUL OCUPAŢIONAL
Administraţie şi servicii publice

2 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

CUPRINS

PRELIMINARII NECESARE / 5
LOCUL ŞI ROLUL MANAGERULUI DE SECURITATE / 9
RESPONSABILITĂŢI ŞI COMPETENŢE PROFESIONALE / 17

A. UNITĂŢI DE COMPETENŢE GENERALE / 5

Capitolul I: G1. Organizarea sistemului de management al securităţii / 49


Tema 1. Politici, strategii, obiective, structuri, procese, bunuri, valori etc. care sunt relevante
pentru securitate într-o organizaţie / 49
Tema 2. Cerinţe de securitate relevante pentru organizaţie, induse de legi, standarde etc. / 53
Tema 3. Procesul de management al riscurilor de securitate / 63
Tema 4. Procesul de management al continuităţii afacerii / 74
Tema 5. Definirea sistemului de management al securităţii într-o organizaţie / 77
Tema 6. Monitorizarea, controlul si îmbunătăţirea continuă a securităţii unei organizaţii / 80
Tema 7. Relaţia dintre costuri, beneficii şi eficienţa în securitate / 82

Capitolul II: G2. Verificarea respectării prevederilor din domeniul sănătăţii şi securităţii în
muncă / 84
Tema 8. Legislaţia aplicabilă şi standarde de sănătate şi securitate a muncii / 84
Tema 9. Managementul riscurilor de natura sănătăţii şi securităţii în muncă / 92
Tema 10. Echipamente de protecţie, de lucru şi materiale igienico-sanitare / 97

Capitolul III: G3. Urmărirea conformităţii cu prevederile din domeniul apărării împotriva
incendiilor şi de protecţie a mediului / 109
Tema 11. Cadrul legislativ specific ce reglementează activităţile de apărare împotriva
incendiilor / 109
Tema 12. Cadrul legislativ şi de protecţie a mediului. Conservarea calităţii factorilor de mediu.
Protecţia resurselor naturale şi conservarea biodiversităţii / 112
Tema 13. Manipularea şi gestiunea deşeurilor / 122

Capitolul IV: G4. Dezvoltarea profesională de securitate / 131


Tema 14. Identificarea şi evaluarea nivelului şi a necesităţilor de pregătire a personalului în
domeniul securităţii / 131
Tema 15. Dezvoltarea profesională pentru personalul cu atribuţii de securitate / 134

3 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

B. UNITĂŢI DE COMPETENŢE SPECIFICE / 137

Capitolul V: S1. Organizarea securităţii fizice / 137


Tema 16. Componentele securităţii fizice / 137
Tema 17. Respectarea legislaţiei specifice şi organizarea securităţii fizice / 149
Tema 18. Planificarea măsurilor de asigurare a securităţii fizice în cadrul unei organizaţii / 154
Tema 19. Efectuarea analizelor de riscuri de securitate la nivel de sistem sau obiectiv / 156
Tema 20. Implementarea securităţii fizice conform documentelor specifice elaborate / 171
Tema 21. Administrarea curentă a securităţii fizice / 176
Tema 22. Documente de administrare a securităţii fizice / 180
Tema 23. Evaluarea securităţii fizice / 196

Capitolul VI: S2. Organizarea securităţii personalului / 200


Tema 24. Securitatea persoanelor importante împotriva riscurilor de securitate / 200
Tema 25. Riscurile de securitate generate de personal / 202
Tema 26. Colectarea, evaluarea şi păstrarea elementelor cu caracter probatoriu / 209

Capitolul VII: S3. Asigurarea securităţii documentelor / 211


Tema 27. Identificarea necesităţilor de protecţie a informaţiilor / 211
Tema 28. Protecţia documentelor. Programul de prevenire al scurgerii de informaţii / 223
Tema 29. Protecţia documentelor în uz şi a documentelor arhivate / 241

Capitolul VIII: S4. Stabilirea securităţii industriale / 244


Tema 30. Identificarea necesităţilor de securitate specifice activităţilor productive / 244
Tema 31. Stabilirea modalităţilor de asigurare a securităţii industriale / 247

Capitolul IX: S5. Organizarea securităţii sistemelor informatice şi de comunicaţii / 253


Tema 32. Ameninţări la adresa securităţii informaţiei în S.I.C. / 253
Tema 33. Analiza SIC şi stabilirea direcţiilor de acţiune pentru menţinerea riscurilor de
securitate IT în zona tolerabilă / 262
Tema 34. Sisteme de management al securităţii informaţiei. Auditarea internă, auditarea
externă şi certificarea. Auditul tehnic de securitate / 264
Tema 35. Cerinţe legale privind securitatea sistemelor informatice şi de comunicaţii clasificate.
Elemente specifice INFOSEC. Acreditarea SIC clasificate / 269
În loc de încheiere, SECURITATEA PRIVATĂ A AGENTULUI ECONOMIC / 285

Bibliografie / 299

4 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

PRELIMINARII NECESARE

Această lucrare, se doreşte a fi un indreptar util pentru clarificarea unor noţiuni necesare
managerului de securitate, delimitarea rolului acestuia şi învăţarea proceselor specifice activităţii
managerului aplicate la domeniul securităţii. Totodată, încearcă să contribuie la extinderea
literaturii în domeniu, reflectând, pe de o parte, experienţa noastră profesională, împletită cu
dimensiunea livrescă a unor abordări în materie, pe de altă parte.
Obiectivul principal al lucrării este, pur şi simplu, de a face mai bine înţeleasă activitatea
managerului de securitate, pe componenta informativă şi contrainformativă, atât de lucrători şi
profesionişti ai domeniului, cât şi de antreprenorii, interesaţi de cunoaşterea şi protecţia mediului de
afaceri şi de modul în care informaţiile şi securitatea acestora contribuie la starea de echilibru şi la
luarea de decizii în situaţii limită. Este o lucrare care încearcă să facă anumite analize, esenţializări
şi, de ce nu, unele previziuni.

În noile condiţii istorice, într-o lume în care totul este de vânzare, nevoia de informare
completă în mai toate domeniile vieţii politice, sociale şi economice, face din culegerea de
informaţii şi securitatea acestora un “rău necesar”, obligatoriu atât pentru organele de stat, cât şi
pentru firmele, companiile, întreprinderile, băncile şi orice agent/operator economic care se
respectă.

Credem că provocările globale la adresa securităţii sunt multiple şi diverse, iar studiile de
securitate sunt foarte complexe şi interdisciplinare. Cu prioritate, noi ne adresăm unui segment de
piaţă care are în vedere securitatea privată, care impune adaptări de substanţă la condiţiile societăţii
actuale.

Securitatea secolului XXI este una de o mare complexitate. Când vorbim de securitate ne
referim şi la fenomenul terorismului, al migraţiei, al traficului de droguri ori de persoane, care
afectează, în general, securitatea lumii contemporane. Securitate înseamnă şi cea individuală şi
societală şi trebuie să ne apărăm de ameninţările la adresa lor.

E clar că, pe măsură ce lumea devine mai complexă şi mai dificil de înţeles prin prisma
competiţiei care se prefigurează, este nevoie de mai multă informaţie şi securitate, nu de mai puţină.

Una dintre componentele acestei lucrări este centrată pe securitatea afacerilor. O firmă
trebuie să aibă propriul sistem de securitate. Toate multinaţionalele au manageri de securitate.
Managerul de securitate nu este doar un specialist în securitate ci şi în comunicare, în selectarea de
informaţii, în controlul resurselor umane şi un analist în ceea ce priveşte provocările la adresa
firmei: adică, dacă firma pierde etapizat, dacă pierde forţă de muncă, cum este concurată din

5 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

exterior etc. Eforturile contrainformative de a preveni furtul secretelor comerciale şi industriale


private de către „alţii” trebuie de asemenea intensificate.

Dacă anumiţi agenţi de informaţii străini penetrează o companie pentru cunoaşterea


secretelor economice ale acesteia, în scopul de a câştiga un avantaj în competiţia economică cu
aceasta, toate companiile ţintă trebuie să fie pregătite pentru a aborda tactici de contracarare sau de
ascundere a acestor secrete.

Pe măsură ce companiile doresc să obţină ascendentul şi dominaţia informaţională a pieţii,


va creşte exponenţial cererea de informaţii şi nevoia de securitate proprie. Sistemul de informaţii
reprezintă componenta centrală a comenzii şi controlului, sprijinindu-se pe componentele
observare-orientare-analiză-decizie-acţiune, în scopul primordial de susţinere a deciziei.

Pentru a obţine un sistem de securitate eficient, este necesar să înţelegem, mai întâi, natura
fundamentelor, scopurile şi caracteristicile sale, în acelaşi plan cu comanda şi controlul. Din această
perspectivă, triada informaţie-protecţie-comandă este cheia înţelegerii rolului sistemului de
securitate. Comanda şi controlul reprezintă ceea ce facem, adică strângerea şi analiza datelor, luarea
de decizii, organizarea resurselor şi supravegherea execuţiei. În ecuaţia menţionată, principalul
obiectiv al informaţiilor este acela de a constitui suportul consistent în procesul de luare a deciziei,
de a-i susţine pe decidenţii apropiaţi prin diminuarea incertitudinilor cu privire la situaţia
concurenţei, la un nivel de cunoaştere relativ bun şi, pe această bază, la dirijarea eficientă a
acţiunilor proprii.

Managerul de securitate intervine la nivelul consiliului de administraţie al firmei şi îi


prezintă managerului general problemele din zonă pe care le descoperă. El trebuie să fie un
specialist nu numai pe probleme de afaceri, de business, ci şi pe comunicare şi selectare de
informaţii.

Prin urmare, niciunei construcţii acţionale / companii naţionale sau multinaţionale, nu


trebuie să-i lipsească structuri informative şi de securitate în măsură să creeze capacităţi necesare
ducerii confruntării informaţionale, în raport cu circumstanţele oferite de mediul informaţional
intern şi internaţional.

Compartimentul informativ al societăţii comerciale trebuie să elaboreze planuri de căutare a


informaţiilor precise şi să producă o informaţie mai bună la un cost mai scăzut. Toate informaţiile
provenite dintr-o varietate de surse, în urma prelucrării, pot constitui un sistem de informaţii care
trebuie bine gestionat şi gândit nu numai ca produs al cunoaşterii, ci şi ca activitate care produce
„cunoaştere”, oferind soluţii nevoii de a şti. Este necesar să amintim că, în general, necesarul de

6 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

informaţii este întotdeauna mai mare decât se poate produce, iar informaţiile culese sunt mai puţine
decât am dori să avem.

Structura / managerul de securitate, prin activităţile desfăşurate, trebuie să poată asigura


conducerii societăţii comerciale informaţiile necesare şi cunoştinţe suficiente despre cadrul de
desfăşurare al managementului securităţii, astfel încât obiectivele organizaţiei să poată fi atinse.
Administrarea securităţii, privită la modul său general, trebuie să identifice ameninţările,
vulnerabilităţile şi riscurile, să evidenţieze măsurile care trebuiesc luate pentru a diminua riscurile la
un nivel acceptat şi să implice managementul de vârf în proces astfel încât acesta să înţeleagă
impactul şi să poată elabora decizii printr-un proces de management al riscului bazat pe principii de
eficienţă. În acest context, activitatea managerului de securitate este o componentă de o importanţă
vitală pentru organizaţie.

Cine este informat poate decide în cunoştinţă de cauză, poate prevedea şi dispune asupra
cunoaşterii unor persoane şi a acţiunilor lor, fiind cu atât mai corecte şi eficiente deciziile luate, cu
cât este mai bine informat cantitativ şi calitativ (ceea ce înseamnă să dispui de informaţii). Tot atât
de important este să ai capacitatea de a împiedica adversarul / concurenţa să te cunoască şi, mai
ales, să cunoască verigile tale slabe (ceea ce înseamnă activitate contrainformativă), dacă nu, vei fi
rău informat şi poţi pierde (ceea ce înseamnă activitate de dezinformare).

În ultima vreme, activităţile de culegere de informaţii şi securitatea privată sunt tratate tot
mai mult ca ştiinţe sociale, iar informaţia economică şi tehnico-ştiinţifică, drept un multiplicator de
putere foarte serios. Fenomenele de “privatizare a activităţii de informaţii” şi “securitatea privată”
reprezintă, la începutul mileniului trei, o realitate din ce în ce mai vizibilă.

Globalizarea a permis ca marile companii transnaţionale şi multinaţionale să ocupe poziţii


strategice importante, deţinând sume, în bugetele lor, comparabile cu cele ale statelor şi, pentru a-şi
securiza afacerile, au nevoie de servicii de informaţii şi securitate, mai ales în domeniile economic
şi tehnico-ştiinţific, bine înzestrate, cu operatori pregătiţi, foarte bine retribuiţi, lipsiţi de orice
inhibiţii în modul lor de acţiune. Globalizarea comunicaţiilor, perfecţionarea computerelor,
digitalizarea televiziunii au revoluţionat sistemul de procesare, stocare şi întrebuinţare a
informaţiilor.

Procesarea şi gestionarea corectă a informaţiilor constituie elementul esenţial în obţinerea


datelor de cunoaştere şi, pe această bază, obţinerea de succese economice în orice fel de afaceri.
Informaţiile constituie materia folosită pentru prelucrare de către analişti, pentru înţelegerea esenţei,
în sensul desfăşurării în bune condiţii a tuturor acţiunilor, fenomenelor şi proceselor în mediile de
afaceri. Prin urmare, păstrarea în secret şi apărarea informaţiilor economice sunt fundamentale,

7 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

deoarece informaţiile economice reprezintă surse şi resurse de putere. Orice scurgere de informaţii
poate afecta grav o societate comercială. Majoritatea societăţilor comerciale care dau faliment ajung
în această situaţie din cauza scurgerii sau a furturilor de informaţii.

Spionajul economic se practică cu obstinaţie şi ostentaţie, întrebuinţându-se din plin


mijloacele activităţii informative, adică surse de interes operativ, recrutate într-o companie străină
sau întreprindere cu preocupări economice. Spionii şi-au completat pregătirea de profil în aşa fel,
încât să poată plia acţiunea informaţională pe informaţia economică de interes. Spionajul economic
devine tot mai agresiv şi nu mai cunoaşte frontiere.

Succesul în afaceri este bazat pe două concepte: calitate şi siguranţă. Declinul unui singur
concept duce la declinul companiei. În acelaşi timp, creşterea încrederii şi, totodată, a siguranţei va
duce la creşterea cifrei de afaceri şi, implicit, a profitului. De aceea, este foarte importantă
monitorizarea nivelului de calitate al produselor şi serviciilor unei companii, cât şi al concurenţei,
pentru a realiza un bun raport calitate-client. Această activitate de monitorizare trebuie efectuată în
condiţii de maximă acurateţe, utilizând date certe şi concrete.
Informaţiile pe care le au companiile din interior nu sunt întotdeauna corecte, deoarece
personalul angajat nu poate fi imparţial şi nici nu se află în postura clienţilor pentru a putea furniza
informaţii exacte despre cum este să fii client. În consecinţă, periodic, este recomandabil un audit de
securitate extern, printr-o relaţie contractuală cu o societate specializată (eventual de detectivi
particulari), autorizată şi capabilă de a efectua o serie de investigaţii private, pe anumite zone de
interes.
Pe viitor, nimeni nu mai poate supravieţui fără informaţii, fără bănci de date şi informaţii
specializate, vitale pentru securitatea şi funcţionalitatea mediului de afaceri, bănci capabile să
proceseze informaţii şi să le transforme în produşi de tip intelligence, adică în produşi de
cunoaştere.
Fără informaţii de valoare şi de înaltă calitate, mediile de afaceri nu pot supravieţui sau,
dacă supravieţuiesc, ele vor fi aservite. Acesta-i preţul!

Profesionalizarea structurii / managerului de securitate impune, încetul cu încetul,


formularea de reguli normalizate şi însuşirea de cunoştinţe şi deprinderi temeinice. Dobândirea unei
profesii veritabile implică o perioadă de formare, sau, cu alte cuvinte, construcţia competenţei
profesionale presupuse de accesul la un grup profesional. Or, această evoluţie este lentă, progresivă,
contradictorie.

Însă şcolarizarea în acest domeniu nu poate beneficia încă decât de un minimum de


experienţe disponibile şi mobilizabile; încă nu există un manual atotcuprinzător. Acest tip de
învăţământ este organizat sub forma unor cursuri scurte şi elementare, concepute, totuşi, în aşa fel
8 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

încât, prin adiţionare, să formeze un curs de pregătire cât mai complet. Se face sistematic apel la
specialişti, oameni competenţi în anumite domenii şi se formează deprinderi speciale care reprezintă
segmente ale unui ansamblu coerent. Absenţa manualelor derivă din faptul că practica oferă mai
multă îndemânare decât cunoştinţe, o listă cu cărţi apărute ar putea trece drept manuale de
specialitate, dar veşnica tensiune dintre intuiţie şi experienţă, dintre şcoală şi şcoala vieţii nu poate
fi eliminată niciodată. Sperăm că aceste note de curs vor contribui, la încurajarea unei atari
aprofundări a problemei, pentru “funcţionarii de securitate” din instituţiile publice sau private.

Această carte este dedicată profesioniştilor din domeniu sub aspectul întregirii cunoştinţelor
şi abordării manageriale, dar poate fi foarte utilă şi celor care vin din structurile similare ale statului
şi fac trecerea în economia de piaţă specifică prestatorilor de servicii.

Multe repere documentare în elaborarea acestui Suport de curs le-au oferit lucrările de
specialitate editate până în acest moment, menţionate în lista bibliografică, dar sunt şi rodul
experienţei şi acumulărilor profesionale ale formatorilor şi practicanţilor Şcolii “CONFIDENT”.

LOCUL ŞI ROLUL MANAGERULUI DE SECURITATE

Prezentarea ocupaţiei Manager de Securitate - Cod COR 121306 (fost 123906): Manager de
securitate: (Subgrupa majoră 12, Grupa minoră 121, Grupa de bază 1213).

Nivelul de instruire: studii superioare.


Domeniul: Administraţie şi servicii publice.
Managerul de securitate nu trebuie privit numai ca pe o impunere legală ci ca pe un post
necesar ce produce beneficii directe organizaţiei.
Prezentul capitol a fost elaborat ca rezultat al dezvoltării analizei ocupaţionale pentru aria
ocupaţională „alţi conducători de compartimente cu activităţi nelucrative din unităţile economico-
sociale mari - grupa COR 1213”. Ocupaţia avută în vedere în stabilirea ariei ocupaţionale este:
COR 121306 -Manager de securitate; Standardul ocupaţional Manager de securitate cod R 86.
1. Descriere:
Managerul de securitate, sub conducerea managerului general şi în colaborare cu alţi
conducători, organizează activitatea compartimentului de specialitate, avizează recrutarea şi
formarea personalului din subordine, urmăreşte randamentul şi eficienţa activităţilor, reprezintă
organizaţia în relaţiile cu terţi (conform “Standardului ocupaţional”).
Activitatea managerului de securitate este o activitate obiectivă, care asigură echipei de
conducere cunoştinţe suficiente şi informaţiile necesare despre contextul de securitate, astfel încât
obiectivele entităţii să fie îndeplinite.

9 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

2. Context / Motivaţie:
Ocupaţia de “Manager de securitate” este solicitată pe piaţa muncii în condiţiile creşterii
cererii de servicii de securitate pentru toate tipurile de organizaţii. Este o meserie relativ nouă pe
piaţa muncii de la noi, dar o meserie destul de bine consolidată pe piaţa europeană şi internaţională.
În condiţiile actuale, când expunerea la risc devine tot mai complexă, diversă şi dinamică,
aspectele de management al riscului şi, în particular, al riscului de securitate, devin la fel de
importante ca şi cele de eficienţă economică.
Extinderea gamei de ameninţări, fenomene, precum globalizarea, creşterea integrării şi a
complexităţii sistemelor, creşterea alarmantă a posibilităţii de producere a unor atacuri teroriste,
furtul cu potenţial de afectare a instalaţiilor şi sistemelor complexe ş.a., fac ca gestionarea
aspectelor de securitate să fie avute în vedere de conducerea organizaţiilor încă de la stabilirea
obiectivelor, iar performanţa în securitate să facă parte din portofoliul brand-ului.
Una dintre strategiile tot mai frecvent adoptate pentru asigurarea stabilităţii şi dezvoltării
durabile este rezilienţa. Rezilienţa permite organizaţiei să se adapteze şi să se dezvolte indiferent de
exigenţele, evenimentele şi riscurile din mediul de operare.
Managerul de securitate este persoana desemnată să îmbunătăţească rezilienţa / securitatea
organizaţională prin planificarea, implementarea, evaluarea şi îmbunătăţirea Sistemului de
Management al Securităţii (SMS).
Sistemul de Management al Securităţii trebuie să identifice ameninţările, vulnerabilităţile şi
riscurile, să evidenţieze măsurile care trebuiesc luate pentru a diminua riscurile la un nivel rezonabil
/ acceptat şi să asigure suportul decizional necesar managementului de vârf, astfel încât acesta să
înţeleagă impactul şi să poată determina dacă rezultatele preconizate a fi obţinute sunt acceptabile.
Acesta este mecanismul prin care activitatea managerului de securitate crează valoare adăugată
pentru entitate.
În România, în exercitarea profesiei de manager de securitate sunt aplicabile prevederile
cadrului legislativ specific: legea privind siguranţa naţională a României; legea privind accesul la
informaţiile clasificate; legea privind protecţia informaţiilor clasificate; hotărârea de guvern privind
protecţia informaţiilor secrete de serviciu; hotărârea de guvern privind colectarea, transportul,
distribuirea şi protecţia pe teritoriul României a corespondenţei clasificate; hotărârea de guvern
pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România,
normelor de aplicare a legii privind protecţia informaţiilor clasificate; ordonanţa de urgenţă privind
organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat; legea
privind liberul acces la informaţiile de interes public; legea pentru protecţia persoanelor cu privire la
prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date; legea privind prelucrarea
datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, precum

10 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

şi Ordinele directorului general ORNISS ca autoritate la nivel naţional în domeniul securităţii


informaţiilor clasificate.
3. Profil socio-ocupaţional:
Valorile pe care managerul de securitate trebuie să le posede cuprind valori etice, valori
morale şi valori personale.
Etica profesională – datorită faptului că managerul de securitate trebuie să lucreze la
standarde înalte de profesionalism pentru a asigura calitatea serviciilor şi a menţine încrederea
publicului, este nevoie să se conformeze standardelor etice. Acestea includ: integritatea,
independenţa şi obiectivitatea, confidenţialitatea şi competenţa profesională.
Valorile morale trebuie să fie cel puţin la nivelul celor etice, iar managerul de securitate să
poată să discearnă între ce este bine şi ce este rău, corect sau greşit din punct de vedere moral.
Valorile personale – reprezintă unul din cei mai buni predictori pe termen lung ai
potenţialului profesional şi ai valorii personale adăugate. Acestea solicită managerului să fie:
echilibrat, ambiţios, entuziast, persuasiv, devotat, motivat, flexibil, adaptabil.
4. Condiţii de acces în profesie:
Potrivit Standardului Ocupaţional <<Manager de securitate>> cod R 86, “Persoana care
doreşte să devină manager de securitate trebuie să facă dovada unei experienţe profesionale
relevante (recomandări profesionale, dovada apartenenţei la o organizaţie profesională naţională/
internaţională, studii post-universitare de specialitate, programe de formare profesională în ţară
şi/sau străinătate, lucrări publicate etc.), să fi absolvit cel puţin un program de specializare/
perfecţionare autorizat şi organizat în conformitate cu standardul ocupaţional în vigoare, să nu aibă
cazier judiciar, să fie clinic sănătoasă şi aptă din punct de vedere psihic”.
Nivelul de studii minim necesar: Studii superioare de lungă durată (conform Standardului
ocupaţional) sau minim studii superioare (potrivit Programei-cadru a I.G.P.R. / D.O.P.).
Cerinţe legislative specifice: Nu există.
Managementul securităţii persoanelor juridice cu necesităţi ridicate de securizare se asigură
prin personal specializat, organizat în structuri proprii de securitate, subordonate direct
conducătorilor instituţiilor sau asigurat prin prestatori licenţiaţi.
5. Selecţia de personal
Toate companiile naţionale, multinaţionale şi orice BUSSINES CENTER sau societate care
doreşte să prevină anumite anomalii în sistemul propriu de securitate are ca angajat un Security
Manger sau Director de Securitate.
Aceştia pentru a preveni apariţia unor neconformităţi în buna funcţionare a întregului sistem
de securitate, fie că este vorba de monitorizare angajaţi, implementare sistem de CCTV (CCTV -
closed circuit television - TVCI televiziune cu circuit închis - transmite imaginile într-un circuit

11 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

închis, creat de noi numai pentru noi) ori pază privată sau chiar BC&DR (Business Continuity and
Disaster Recovery – asigurarea continuităţii activităţilor şi recuperare în caz de dezastru) ar trebui
să acţioneze conform legislaţiei cât şi nevoilor de securitate ale societăţii.
Selecţia managerului de securitate trebuie să urmarească identificarea persoanelor puternice,
dominante, cu ascendent asupra altora, capabile să aibă iniţiativă şi să exercite conducerea.
În funcţie de trasăturile cele mai importante de care trebuie să dea dovadă viitorii manageri,
sunt de preferat persoanele pline de forţă şi sigure pe ele, echilibrate emoţional, cu o propensiune
(înclinare naturală) de a conduce şi de a-şi asuma responsabilitatea.
Alte trăsături, cel puţin la fel de importante sunt: persuasivitate şi fluenţă verbală, un aspect
de persistenţă tenace, simţul datoriei, tendinţa de a privi lucrurile în faţă, de a se confrunta cu
realitatea, chiar dacă este neplăcută.
Managerul de securitate trebuie să fie o persoană activă, persistentă, sigură pe sine, care
anticipează, insistă, are încredere şi independenţă.
Astfel, viitorul manager de securitate – bărbat trebuie să fie perceput ca fiind ambiţios,
îndrăzneţ, dominant, puternic, optimist, metodic, descurcăreţ, competent, de încredere, sigur pe
sine, stabil şi sever.
Femeia potrivită pentru această funcţie trebuie să fie percepută ca agresivă, orgolioasă, cu
încredere în sine şi revendicativă, dominantă, puternică, autoritară, energică şi vorbăreaţă.
Cea mai nepotrivită pentru postul de manager de securitate este o persoană retrasă, nesigură,
inhibată, cu un comportament banal, indiferentă, tăcută, neorganizată, lentă în gândire şi acţiune, cu
tendinţa de a evita situaţiile de tensiune şi decizie.
6. În ofertele de angajare, ca manager de securitate, se impun unele cerinţe specifice
postului, şi anume:
- studii superioare;
- persoană dinamică;
- permis de conducere, categoria B;
- experienţă în activitatea de pază şi securitate sau să fie rezervist al unei structuri de
siguranţă naţională;
- bune abilităţi manageriale şi de leadership, orientare către nevoile clienţilor şi lucru în
echipă;
- bune abilităţi de comunicare (reprezintă compania în relaţiile cu autorităţile locale);
- disponibilitate la deplasări prelungite în ţară şi străinătate;
- capacitate de lucru în program prelungit şi situaţii de stress, adaptabilitate şi flexibilitate;
- capacitatea de a dezvolta relaţii personale în scopuri profesionale;
- capacitatea de a folosi calculatorul şi tehnologia modernă de comunicare (e-mail, MS
Office, sms, mms).

12 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Constituie avantaje:
- cunoştinţe şi experienţă în munca operativ-informativă (preferabile persoanele cu pregătire
sau atestare profesională ca detectiv particular);
- cunoştinţe pe linie de securitate şi sănătate în muncă, precum şi, de apărare împotriva
incendiilor şi protecţie a mediului;
- posibilitate de dezvoltare a portofoliului de clienţi;
- cunoaşterea unei limbi stăine - nivel avansat (mediu);
Una din responsabilităţile generale ale managerului de securitate, impune cunoaşterea şi
aplicarea legislaţiei privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor.
În atenţia societăţilor de pază şi protecţie!
Intrarea în vigoare a Hotărârii de Guvern nr. 301 / 11.04.2012 privind Normele
metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi
protecţia persoanelor, aduce noi obligaţii pentru firmele specializate de pază. Printre acestea,
obligaţia societăţilor de a face dovada existenţei unei persoane care are atribuţii de manager de
securitate, conform art. 25, alin. 2, lit. d.
Potrivit H.G. nr. 301 / 2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr.
333 / 2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor – art. 25, alin. 2,
lit. d.: ”În vederea obţinerii/reînnoirii licenţei de funcţionare pentru a desfăşura activităţi de
pază şi protecţie, reprezentantul legal al societăţii trebuie să depună la inspectoratul de poliţie
judeţean competent sau la Direcţia Generală de Poliţie a Municipiului Bucureşti, pe bază de opis,
următoarele documente:
……………………………..;
d) copie a diplomei de licenţă - profilul ştiinţe juridice sau a actului de calificare cu
recunoaştere naţională necesar pentru practicarea ocupaţiilor "manager de securitate" sau
"manager servicii private de securitate", a conducătorului societăţii.
În înţelesul prezentelor norme metodologice, prin conducător al unei societăţi specializate de
pază şi protecţie se înţelege administratorul societăţii comerciale, preşedintele consiliului de
administraţie sau directorul general ori executiv cu atribuţii în coordonarea operativă a personalului
de pază”.
În Nota de fundamentare a H.G. nr. 301 / 2012, se menţionează că prin acest act
normativ, printre altele, se instituie ”condiţiile necesare obţinerii/reînnoirii licenţei de funcţionare
de către societăţile specializate pentru a desfăşura activităţi de pază şi protecţie. Raportat la
atribuţiile ce revin conducătorilor societăţilor specializate în ceea ce priveşte folosirea personalului
în acţiuni legitime fără încălcarea drepturilor şi libertăţilor cetăţeneşti, respectarea dreptului de
proprietate sau de folosinţă asupra bunurilor, conducerea acţiunilor personalului de pază în acţiunile
de intervenţie care necesită folosirea în limitele legale a forţei, armamentului şi mijloacelor din

13 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

dotare, reprezentarea intereselor legale ale societăţii specializate în relaţiile contractuale, este
necesar ca aceştia să deţină certificat de competenţe pentru ocupaţia „manager de securitate” sau să
fie licenţiaţi în ştiinţe juridice”.
7. Unele aspecte de deontologie profesională
Pentru fiecare profesie există drepturi şi obligaţii, ceea ce face posibilă şi necesară apariţia
deontologiei profesiei. Doar într-un domeniu profesional concret putem vorbi despre respectarea
drepturilor şi a obligaţiilor, despre un raport de autoritate, despre un mod al vieţuirii profesionale.
Este ceea ce îşi propune şi deontologia managerului de securitate.
Etimologia termenului deontologie este clară şi foarte cunoscută: ”deontos” (ce trebuie
făcut, ce se cade) şi “logos” (ştiinţă, teorie). În deontologie, noţiunile fundamentale, acelea în jurul
cărora se naşte întreaga teorie, sunt drepturi şi obligaţii. Însăşi existenţa omului într-o comunitate
presupune îngemănarea drepturilor şi a îndatoririlor proprii, adică supunerea la norme cu un
conţinut dublu.
Drepturile şi obligaţiile nu sunt împărţite egal într-un spaţiu social, pentru că el este
structurat, din perspectiva resurselor sale umane, în raporturi de autoritate. Pentru ca un spaţiu
social să funcţioneze benefic, în slujba reproducerii sale pozitive, şeful (de pildă) trebuie să respecte
drepturile subordonatului şi să-şi îndeplinească obligaţiile (datoriile), iar subordonatul trebuie să
respecte drepturile şefului şi să-şi îndeplinească obligaţiile. Această problemă a raporturilor
interumane face, de o vreme încoace, obiectul unei ştiinţe care a primit numele deontologie.
Deontologia este ştiinţa care studiază respectarea drepturilor şi îndeplinirea obligaţiilor de
către oamenii cuprinşi în raporturi formale, de regulă raporturi de autoritate, în domeniile de
manifestare a autorităţii.
Obligaţiile şi drepturile (normativitatea) sunt înscrisuri juridico-administrative, specifice
pentru fiecare profesiune, cumulate cu unele care se dezvoltă prin desfăşurarea activităţii (tradiţii,
obiceiuri, practici etc.).
Deontologiile profesiilor construiesc sisteme de norme (coduri) proprii de conduită care
particularizează o profesie în ansamblul celorlalte. Exemplificăm:
Standarde generale ale conduitei morale ale managerului de securitate:
• să afişeze şi să menţină în cadrul colectivităţii, un înalt standard al conduitei sale morale;
• să respecte libertatea de manifestare şi opţiunile fiecărui individ, colectivitate sau grup,
fiind de neconceput orice formă de manipulare;
• să exercite profesia cu demnitate, competenţă, probitate morală şi onestitate;
• să evite în viaţa sa privată tot ceea ce ar dauna imaginii sale profesionale etc.

14 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Standarde generale ale conduitei profesionale:


• să fie activ în depistarea problemelor la care s-a angajat, să folosească toate cunoştinţele
profesionale şi mijloacele de care dispune pentru reuşita acţiunilor sale;
• să-şi perfecţioneze continuu pregătirea profesională;
• să protejeze interesele clienţilor, susţinându-le în luarea propriilor decizii în cunoştinţă de
cauză;
• să evite acele situaţii care pot dăuna imaginii publice favorabile profesiei; să nu permită
denigrarea profesiei;
• să fie responsabil pentru calitatea şi conţinutul serviciului oferit;
• să reziste oricăror tentaţii, ori presiuni sau altor influenţe care pot interfera cu exercitarea
normală a profesiei;
• să respecte principiul confidenţialităţii şi să folosească în mod responsabil informaţiile
obţinute în timpul şi din cauza serviciului;
• să nu permită ca problemele sale personale să influenţeze judecăţile şi activitatea sa
concretă;
• să persevereze permanent pentru dezvoltarea capacităţii de autocunoaştere şi de cunoaştere
a celor pe care se sprijină în demersurile pe care le face;
• să supună unei critici constructive profesia, teoriile, metodele şi practicile profesionale;
• să susţină activitatea de cercetare ştiinţifică în domeniul securităţii, fie prin angajament
direct, fie colaborând sau sprijinind ceilalţi colegi angajaţi într-o astfel de activitate;
• să respecte Regulamentul (Normele) de Ordine Interioară (de funcţionare) al societăţii din
care face parte şi dispoziţiile scrise ale autoritaţilor publice care îi îndrumă şi controlează activitatea
etc.
Standarde referitoare la relaţiile managerului de securitate cu colegii de profesie şi alţi
specialişti în domeniu:
• să colaboreze cu colegii atunci când se impune, pentru rezolvarea sarcinilor asumate;
• să militeze în aceste relaţii pentru promovarea şi respectarea standardelor profesiei;
• să promoveze şi să-şi împărtăşească ideile sale cu colegii şi alţi specialişti în domeniu, în
scopul perfecţionării reciproce;
• să accepte, să respecte şi să recunoască meritele, diferenţele de opinie şi de practică ale
colegilor;
• să contribuie la realizarea climatului de colegialitate, de respect şi sprijin reciproc, iar la
apariţia unor stări conflictuale trebuie să participe activ la rezolvarea lor etc.

15 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Managerul de securitate este obligat să aibă o conduită corectă, să fie integru şi incoruptibil
şi să acţioneze cu hotărâre pentru prevenirea şi combaterea oricăror acte de natură să ştirbească
autoritatea şi prestigiul societăţii.
Managerul de securitate răspunde pentru faptele sale săvârşite prin îndeplinirea abuzivă a
atribuţiilor sau neîndeplinirea lor şi poate fi tras la răspundere în condiţiile prevăzute de lege.
8. Diverse
Managerul de securitate îşi desfăşoară activitatea atât la sediul entităţii, cât şi la sediile
filialelor, agenţiilor, reprezentanţelor, punctelor de lucru sau altor structuri din compunerea acesteia
ori potrivit prevederilor contractuale şi/sau cerinţe ale terţilor.
Analizând locul şi rolul managerului de securitate, nu se poate să nu fie abordate problemele
legate de funcţiunile acestuia la nivelul de decizie al agentului economic, unde trebuie să-şi
folosească toate capabilităţile, pentru a soluţiona favorabil ameninţările şi riscurile la adresa
acestuia, cu respectarea strictă a legilor în vigoare.
Managerul de securitate nu va divulga unor terţe persoane (fizice sau juridice) neautorizate
nici un fel de date, fapte sau situaţii pe care le-a constatat în cursul ori în legătură cu îndeplinirea
atribuţiunilor profesionale.
Desigur, există riscul ca şi funcţionarul de securitate să vândă informaţii, să creeze chiar el
insecuritate. De aceea, multinaţionalele îi fidelizează pe oameni, prin salarii foarte mari, prin
prestigiul de care se bucură, participarea la deciziile firmei etc.
Pentru a putea desfăşura activităţile specifice postului, persoanele ce urmează a fi desemnate
ca manageri de securitate sau care deja lucrează pe aceste poziţii, trebuie să parcurgă un curs de
specializare / perfecţionare pentru ocupaţia manager de securitate, ştiut fiind că prin instruire şi
experienţă, omul acumulează cunoştinţe şi deprinderi, în afara impunerii legale în materie.
Nu ne imaginăm că absolvenţii cursurilor noastre vor fi din start capabili de toate acestea,
pentru că este nevoie şi de experienţă. Noi le dăm reperele. (...) Dar degeaba ai specialistul pe
securitate: fie pe IT, fie pe economic, ori instituţional, dacă nu ai o viziune de ansamblu a
instituţiilor care guvernează şi care iau deciziile. Managerul de securitate e o verigă în procesul de
prelucrare a informaţiilor şi de făcut analize, dar nu e la capătul acestui cerc.
O calitate obligatorie a managerului de securitate este comunicarea. De exemplu, sunt
specialiştii în finanţe-bănci. Ei ştiu tot ce se întâmplă acolo, în felia lor, de la A la Z. Dar noi ne
imaginăm managerul de securitate un tip mai dezgheţat, adică să nu vadă numai provocările interne,
constructive, ale instituţiei lui, ci şi cele din exterior. Un specialist de finanţe-bănci îşi vede doar
felia lui. De aceea, spunem că securitatea şi comunicarea merg mână în mână; trăim în era
comunicaţiilor. Când în firmă vine un om nou, managerul general ori şeful de resurse umane ce
face? Se uită dacă CV-ul omului corespunde, pe când managerul de securitate se uită în spatele CV-
ului şi se uită la ce tip de ameninţări pot să vină cu individul acesta.

16 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Responsabilul de securitate (care poate fi şi o persoană pregătită sau atestată profesional ca


detectiv particular, aspect recomandabil) este omul capabil să dispună de abilitatea şi capacitatea de
a detecta şi urmări fapte, acţiuni, împrejurări, fenomene de interes pentru cunoaşterea şi protecţia
mediului de afaceri. Punctul de plecare în analiza corelaţiei dintre responsabilul de securitate şi
detectivul particular îl constituie faptul că ambele ocupaţii aplică cerinţele legilor specifice
securităţii naţionale şi private, care au o valabilitate universală, în condiţiile concrete, în raport cu
particularităţile fiecărui agent economic.

Aşadar, nu putem pune în aplicare nevoile de securitate ale companiei fără o pregătire
specifică de securitate, care va fi dobândită în urma absolvirii unui curs de specializare sau
perfecţionare cât şi a autoinstruirii teoretice ulterioare. Un curs ne ajută să conştientizăm cât de vast
este domeniul securităţii şi cât de multe avem de acumulat. Pentru început, cursul de specializare
pentru ocupaţia Manager de securitate oferă posibilitatea dobândirii cunoştinţelor teoretice,
abilităţilor operaţionale şi, nu în ultimul rând, a atestării/certificării instituţionale naţionale necesare
angajării şi continuării activităţii profesionale.

Acest capitol conţine opiniile nostre privind locul şi rolul managerului de securitate, potrivit
competenţelor profesionale din Standardul ocupaţional.

N-avem pretenţia de a crede că opiniile noastre sunt cele mai bune, mai puţin încă, de a le
impune cuiva. Din contră ... Scopul nostru este de a veni să lucrăm împreună şi cu toată pasiunea la
consolidarea acestei noi instituţii - a managerului de securitate, capabilă de a transforma ideile noi
în proiecte viabile.
Prin consistenţa ideilor susţinute, lucrarea răspunde unor provocări de actualitate, de interes
general în mediul de afaceri, dar viitorul, care reclamă o serie de clarificări şi decizii în noile
circumstanţe, obligă la şi mai mult.

RESPONSABILITĂŢI ŞI COMPETENŢE PROFESIONALE


A. Responsabilităţile principalele ale managerului de securitate sunt:
1. Stabileşte / elaborează concepţia, obiectivele, planurile şi procedurile de securitate, în
conformitate cu:
• legislaţia cu aplicabilitate în domeniul securităţii;
• obiectivele entităţii;
• contractele în care aceasta este parte.
2. Propune echipei de management variante de proiecte de securitate, cu evidenţierea
ierarhizării eficienţei acestora din punctul de vedere al raportului efect/efort.
3. Conduce structura de securitate a entităţii în realizarea sarcinilor şi atribuţiilor curente şi
pentru îndeplinirea obiectivelor:
17 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

• răspunde de efectuarea analizelor în domeniul securităţii pentru un imobil, locaţie, rută de


transport, proces tehnologic, eveniment etc.;
• elaborează sau, după caz, coordonează elaborarea şi aprobă rapoartele de audit de
securitate sau revizuire a constatărilor anterioare;
• elaborează recomandări / planul de măsuri în materie de securitate adresate
managementului entităţii;
• răspunde de planificarea, dezvoltarea şi punerea în aplicare a planurilor de securitate, cum
ar fi: planul de prevenire a scurgerii de informaţii clasificate, planul de protecţie fizică, planuri
pentru situaţii de urgenţă, proceduri operaţionale de securitate etc.;
• obţine avizele şi acreditările impuse de prevederile legale;
• efectuează periodic analize de risc şi propune proiecte pe termen scurt, mediu şi lung
pentru arealul în care îşi desfăşoară activitatea entitatea, cu privire la nivelul de criminalitate,
terorism, delincvenţă la locul de muncă, ameninţări de dezastre naturale şi artificiale;
• conduce desfăşurarea cercetării administrative interne în ceea ce priveşte securitatea
entităţii şi sprijină personalul autorizat în investigarea incidentelor de securitate în limita
mandatului încredinţat şi a competenţelor legale;
• monitorizează şi evaluează performanţele entităţii pe probleme şi programe de securitate,
recomandă măsuri adecvate de corecţie.
4. Consiliază echipa de management în scopul asigurării conformităţii deciziilor şi măsurilor
cu prevederile legale, conţinutul standardelor internaţionale şi prevederile reglementărilor
interne/cerinţelor contractuale, în materie de securitate.
5. Oferă consultanţă şi consiliere conducerii cu privire la alocarea şi utilizarea de resurse
suplimentare pentru protecţia personalului, activelor sau informaţiilor entităţii în cazul în care
compromiterea sau pierderea acestora ar implica riscuri majore cu impact semnificativ în
desfăşurarea activităţii entităţii.
6. Stabileşte şi menţine relaţii corecte cu clienţii ori partenerii entităţii, pentru a asigura
înţelegerea completă a nevoilor acestora în materie de securitate şi a propune soluţii eficiente.
7. Se informează şi se documentează permanent asupra evoluţiilor industriei şi tehnologiei
de securitate, soluţiilor de actualitate în domeniu, ameninţărilor şi riscurilor noi ce ar putea avea
impact asupra activităţilor entităţii.
8. Organizează şi desfăşoară instruirea şi educaţia preventivă a personalului pe linia
activităţii de securitate, prin dezvoltarea educaţiei de securitate şi instruirea unitară a întregului
personal pentru asigurarea securităţii în conformitate cu prevederile legislaţiei naţionale şi
procedurilor interne ale entităţii.

18 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

B. Structura / funcţionarul de securitate (H.G. Nr.781/2002)


Pentru implementarea măsurilor de protecţie a informaţiilor clasificate, în unităţile
deţinătoare de astfel de informaţii se înfiinţează, în condiţiile legii, structuri de securitate cu atribuţii
specifice.
În situaţia în care unitatea deţine un volum redus de informaţii clasificate, atribuţiile
structurii de securitate vor fi îndeplinite de funcţionarul de securitate.
Şeful structurii de securitate, respectiv funcţionarul de securitate, este un adjunct al
conducătorului persoanei juridice sau un membru al consiliului de administraţie al unităţii.
Şeful structurii de securitate, respectiv funcţionarul de securitate, deţine certificat de
securitate corespunzător celui mai înalt nivel de clasificare a informaţiilor secrete de stat gestionate
de unitate.
Structura/funcţionarul de securitate are următoarele atribuţii generale:
a) elaborează şi supune aprobării conducerii unităţii normele interne privind protecţia
informaţiilor clasificate, potrivit legii;
b) întocmeşte programul de prevenire a scurgerii de informaţii clasificate şi îl supune
avizării instituţiilor abilitate, iar după aprobare, acţionează pentru aplicarea acestuia;
c) coordonează activitatea de protecţie a informaţiilor clasificate, în toate componentele
acesteia;
d) asigură relaţionarea cu instituţia abilitată să coordoneze activitatea şi să controleze
măsurile privitoare la protecţia informaţiilor clasificate, potrivit legii;
e) monitorizează activitatea de aplicare a normelor de protecţie a informaţiilor clasificate şi
modul de respectare a acestora;
f) consiliază conducerea unităţii în legătură cu toate aspectele privind securitatea
informaţiilor clasificate;
g) informează conducerea unităţii despre vulnerabilităţile şi riscurile existente în sistemul de
protecţie a informaţiilor clasificate şi propune măsuri pentru înlăturarea acestora;
h) acordă sprijin reprezentanţilor autorizaţi ai instituţiilor abilitate, potrivit competenţelor
legale, pe linia verificării persoanelor pentru care se solicită accesul la informaţii clasificate;
i) organizează activităţi de pregătire specifică a persoanelor care au acces la informaţii
clasificate;
j) asigură păstrarea şi organizează evidenţa certificatelor de securitate şi autorizaţiilor de
acces la informaţii clasificate;
k) actualizează permanent evidenţa certificatelor de securitate şi a autorizaţiilor de acces;
l) întocmeşte şi actualizează listele informaţiilor clasificate elaborate sau păstrate de unitate,
pe clase şi niveluri de secretizare;

19 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

m) prezintă conducătorului unităţii propuneri privind stabilirea obiectivelor, sectoarelor şi


locurilor de importanţă deosebită pentru protecţia informaţiilor clasificate din sfera de
responsabilitate şi, după caz, solicită sprijinul instituţiilor abilitate;
n) efectuează, cu aprobarea conducerii unităţii, controale privind modul de aplicare a
măsurilor legale de protecţie a informaţiilor clasificate;
o) exercită alte atribuţii în domeniul protecţiei informaţiilor clasificate, potrivit legii.
Atribuţiile personalului din structura de securitate, respectiv ale funcţionarului de securitate,
se stabilesc prin fişa postului, aprobată de conducătorul unităţii.
Persoanele care lucrează în structura de securitate sau, după caz, funcţionarul de securitate
vor fi incluse în programe permanente de pregătire organizate de instituţiile investite cu atribuţii de
coordonare a activităţii şi de control al măsurilor privitoare la protecţia informaţiilor clasificate,
potrivit legii.
Deasemenea, funcţionarul / structura de securitate trebuie să cunoască ansamblul măsurilor
sistematice şi coerente adoptate pentru:
• protejarea intereselor firmei, în contextul legal în vigoare;
• impiedicarea accesului neautorizat, în spaţii anume delimitate sau identificarea unor
asemenea tentative reuşite;
• prevenirea pierderii, deteriorării, distrugerii ori divulgării unor informaţii, precum şi
recuperarea acestora, în cazul în care aceste evenimente s-au produs;
• prevenirea afectării securităţii firmei, ca urmare a acţiunii personalului acesteia.

C. Activităţi şi competenţe profesionale


Unităţi de competenţă generale
G1. Organizarea sistemului de management al securităţii
G2. Verificarea conformităţii cu prevederile din domeniul sănătăţii şi securităţii în muncă
G3. Urmărirea conformităţii cu prevederile din domeniul apărării împotriva incendiilor şi de
protecţie a mediului
G4. Dezvoltarea profesională de securitate
Unităţi de competenţă specifice
S1. Organizarea securităţii fizice
S2. Organizarea securităţii personalului
S3. Asigurarea securităţii documentelor
S4. Stabilirea securităţii industriale
S5. Organizarea securităţii sistemelor informatice şi de comunicaţii

20 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Competenţa: G1. Organizarea sistemului de management al securităţii


Responsabilităţi Cunoştinţe / Activităţi
1. Identifică cerinţele generale ale Sistemului de ‐ cadrul legislativ şi standardele
Management al Securităţii (SMS) cu corectitudine şi aplicabile;
creativitate ţinând cont de nevoile, rolurile şi - politici şi sisteme de securitate;
responsabilităţile cu privire la securitate, cu definirea ‐ ameninţări, vulnerabilităţi şi riscuri;
schemei organizatorice şi dimensionarea resurselor ‐ standarde de management al
necesare. securităţii;
2. Determină cerinţele politicii de securitate cu ‐ sisteme integrate de securitate;
corectitudine, creativitate şi flexibilitate, cu structurarea ‐ tipuri de incidente de securitate;
obiectivelor pornind de la rezultatele documentării despre ‐ colectarea, evaluarea şi păstrarea
situaţia existentă şi cerinţele identificate ţinând cont de elementelor cu caracter probatoriu;
asigurarea oportunităţii, disponibilităţii, corectitudinii şi ‐ cuantificarea numărului,
nerepudierii datelor şi informaţiilor, precum şi de caracteristicilor şi impactului
caracterul neechivoc al comunicării între componentele incidentelor de securitate;
SMS. ‐ metode şi echipamente de testare şi
3. Stabileşte cerinţele planificării securităţii cu evaluare;
flexibilitate şi creativitate, ţinând cont de valorile şi ‐ resurse materiale, financiare,
activităţile vitale pentru entitate, de analiza ameninţărilor, umane, instituţionale, legale;
vulnerabilităţilor şi riscurilor, cu întocmirea listei ‐ părţi interesate: clienţi, personal
riscurilor de securitate, identificarea şi argumentarea propriu, consultanţi, furnizori,
opţiunilor şi măsurilor pentru reducerea riscurilor, cu autorităţi publice;
evaluarea riscurilor reziduale şi evidenţierea rezultatelor - utilizarea echipamentelor de
preconizate. comunicaţie şi semnalizare;
4. Fundamentează cerinţele pentru implementarea - utilizarea sistemelor informatice;
securităţii cu atenţie, acurateţe şi responsabilitate, ţinând ‐ documente specifice: programul de
cont de documentele SMS, măsurile de conducere şi prevenire a scurgerii informaţiilor
coordonare, planurile şi procedurile de acţiune în situaţii clasificate, planul de pază, planul de
speciale şi de urgenţă, precum şi cu asigurarea nivelului pază şi apărare al obiectivelor,
de competenţă al personalului. sectoarelor şi locurilor care prezintă
5. Realizează cerinţele în materie de control al importanţă deosebită, planuri de
securităţii cu responsabilitate şi exigenţă, cu evaluarea contingenţă, planuri de evacuare
SMS ţinând cont de programele de monitorizare şi control şi/sau distrugere pentru situaţii de
ale securităţii şi de modul de tratare al incidentelor de urgenţă, norme şi proceduri interne;
securitate. - costuri, beneficii şi eficienţă în

21 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

6. Elaborează cerinţele pentru îmbunătăţirea securităţii materie de securitate.


cu adaptabilitate şi flexibilitate ţinând cont de rezultatele
auditului de securitate, de evaluarea eficacităţii acţiunilor
corective, de periodicitatea revizuirii SMS şi cu
prezentarea către părţile interesate în format standardizat
a concluziilor şi propunerilor de eficientizare.

 Contexte:
• cadrul legislativ şi standardele aplicabile; SMS;
• elemente specifice activităţii;
• managementul eficient al riscurilor, al situaţiilor de criză şi al consecinţelor lor;
• evaluarea realistă şi oportună a riscurilor, vulnerabilităţilor şi ameninţărilor.
 Probleme în atenţie:
• cerinţe contractuale;
• tipurile şi natura misiunilor;
• echipamente individuale specifice;
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit etc.;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc;
• mediul de lucru: spaţii publice, spaţii private, spaţii deschise amenajate ori neamenajate,
clădiri şi construcţii, încăperi de securitate şi încăperi tip tezaur, containere de securitate, mijloace
de transport specializate etc.;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• documente specifice: programul de prevenire a scurgerii informaţiilor clasificate, planul de
pază, planul de pază şi apărare al obiectivelor, sectoarelor şi locurilor care prezintă importanţă
deosebită, planuri de contingenţă, planuri de evacuare şi/sau distrugere pentru situaţii de urgenţă,
norme şi proceduri interne;
• sisteme tehnice de supraveghere, control şi semnalizare;
• utilizarea resurselor pentru tratarea riscurilor şi maximizarea oportunităţilor;
• calitate - cât de eficient sunt aplicate resursele;
• identificarea oportună, monitorizarea, procesarea datelor de interes şi contracararea pro-
activă a riscurilor, ameninţărilor şi vulnerabilităţilor;
• convergenţa dintre politica de securitate şi politica de dezvoltare economică;
• SMS să confere întregului sistem de securitate un caracter eficient, descurajator şi credibil;

22 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

• concordanţa dintre concluziile rezultate din evaluarea mediului de securitate, opţiunea


factorilor de decizie şi acţiunea practică.
Terminologia utilizată are următorul înţeles:
Ameninţare – factor intern sau extern ce are capacitatea de a exploata vulnerabilitatea unei
obiectiv prin acte sau fapte ce creează dezechilibre sau instabilităţi şi generează stări de pericol
asupra vieţii, integrităţii persoanelor ori valorilor deţinute;
Vulnerabilitate – caracteristică a arhitecturii, implementării sau operării activităţii unei
entităţi prin care aceasta este expusă distrugerii, agresiunii ori disfuncţionalităţii în faţa unei
ameninţări;
Sisteme de securitate – soluţii la nivel de sistem pentru persoane juridice cu multiple
obiective de securitate distribuite geografic în locaţii diferite;
Incident de securitate – este evenimentul produs cu evoluţie necontrolată care generează
efecte distructive asupra stării de normalitate şi necesită o acţiune imediată pentru restabilirea
situaţiei anterioare;
Analiza de risc – document asumat de persoane cu competenţe profesionale, prin care se
identifică ameninţările şi vulnerabilităţile care pot pune în pericol viaţa, integritatea corporală ori
libertatea persoanei sau pot afecta integritatea bunurilor şi valorilor, în scopul determinării
impactului şi evaluării riscurilor de securitate şi stabilirii măsurilor necesare pentru limitarea sau
eliminarea acestora;
Plan de securitate – documentul întocmit de către beneficiar împreună cu prestatorul de
servicii de securitate, pe baza clauzelor contractuale şi a concluziilor analizei de risc, prin care se
stabilesc măsurile ce se adoptă pentru asigurarea securităţii persoanelor şi a bunurilor, precum şi
dispozitivul de securitate instituit;
Măsuri de securitate – componenta de bază a unei soluţii de securitate, corespunzătoare
uneia sau mai multor vulnerabilităţi identificate conform analizei de risc a unui obiectiv de
securitate;
Mecanisme de securitate – soluţii care cuprind mai multe măsuri de securitate, care
funcţionează conform unor scenarii predefinite, pentru securizarea unuia sau mai multor obiective
de securitate, atunci când sunt amplasate în acelaşi perimetru.
Mecanismele şi măsurile de securitate pentru un obiectiv şi modul de interacţiune a acestora
se stabilesc în baza analizei de risc de securitate şi se implementează prin planul de securitate.
In funcţie de necesităţile de securizare şi de tipul obiectului activităţilor de securitate,
soluţiile de securitate sunt implementate prin măsuri, mecanisme şi / sau sisteme de securitate.
Măsurile de securitate adoptate de persoanele fizice şi juridice, vizează cu prioritate pe cele
care privesc evitarea sau îndepărtarea unor pericole la adresa vieţii, integrităţii corporale sau

23 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

libertăţii persoanelor care, datorită unor raporturi profesionale ori conjuncturale determinate de un
scop legitim, se află temporar în aceleaşi locuri cu bunurile şi valorile protejate.

Competenţa: G2. Verificarea respectării prevederilor din domeniul sănătăţii şi


securităţii în muncă
Responsabilităţi Cunoştinţe / Activităţi
1. Verifică respectarea prevederilor din - legislaţia aplicabilă;
domeniul sănătăţii şi securităţii în muncă ‐ standarde de securitate a muncii;
cu responsabilitate, atenţie şi exigenţă, ‐ riscuri privind mediul de muncă;
ţinând cont de activităţile şi documentele ‐ riscuri privind securitatea muncii;
specifice prevăzute de reglementările în ‐ managementul riscurilor de natura sănătăţii şi
vigoare, de riscurile identificate, de securităţii în muncă;
procedurile de acţiune în caz de pericol ‐ întocmirea şi completarea corectă a documentelor
grav şi iminent şi de modul de acţiune al de organizare şi conducere a activităţii de securitate
personalului. şi sănătate în muncă;
2. Controlează, împreună cu personalul ‐ organizarea acţiunilor personalului în caz de pericol
desemnat, starea şi modul de utilizare al grav şi iminent;
mijloacelor materiale şi tehnice cu ‐ proceduri de acţiune în caz de pericol grav şi
acurateţe, corectitudine şi exigenţă, iminent;
ţinând cont de cerinţele de securitate şi ‐ materiale şi mijloace de semnalizare şi avertizare;
sănătate în muncă, de asigurarea ‐ criterii funcţionale şi caracteristici ale mijloacelor
desfăşurării activităţilor în condiţii de tehnice;
siguranţă, de criteriile funcţionale şi ‐ echipamente de protecţie, de lucru şi materiale
caracteristicile tehnice ale acestora. igienico‐sanitare.

 Contexte:
• cadrul legislativ şi normele aplicabile;
• proceduri de acţiune în caz de pericol grav şi iminent;
• responsabilităţi şi mod de acţiune al personalului aflat în zona de competenţă.
 Probleme în atenţie:
• riscuri privind mediul de muncă: factori fizico-chimici, biologici, substanţe ori materiale
periculoase, microclimat etc.;
• riscuri privind securitatea muncii: cădere, alunecare, împiedicare, coliziune, electrocutare
etc.;

24 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

• situaţii cu potenţial de risc: pericol de incendiu, avarii la instalaţii, conducte sau


rezervoare, la reţele electrice, de transmitere a datelor, telefonice, calamităţi naturale, elemente de
siguranţă deteriorate;
• mijloacele de avertizare şi semnalizare: panouri, culori de securitate, etichete, semnale
luminoase, semnale acustice, atenţionare verbală etc.;
• particularităţile obiectivului: topologie, gradul de încărcare a obiectivului cu persoane,
diverse bunuri şi valori etc.
Conceptul de securitate şi sănătate constituie un ansamblu de activităţi instituţionalizate
având ca scop asigurarea celor mai bune condiţii în desfăşurarea procesului de muncă, apărarea
vieţii, integrităţii corporale şi sănătăţii lucrătorilor şi a altor persoane participante la procesul de
muncă.
Activitatea de prevenire şi protecţie are ca scop asigurarea celor mai bune condiţii de
muncă, prevenirea accidentelor şi a îmbolnăvirilor profesionale în rândul lucratorilor.
 Activităţi de prevenire şi protecţie:
a) identificarea pericolelor şi evaluarea riscurilor pentru fiecare componentă a sistemului de
muncă, respectiv executant, sarcină de muncă, mijloace / echipamente de muncă şi mediul de
muncă, pe locuri de muncă / posturi de lucru;
b) elaborarea şi actualizarea planului de prevenire şi protecţie;
c) elaborarea de instrucţiuni proprii pentru completarea şi/sau aplicarea reglementărilor de
securitate şi sănătate în muncă, ţinând seama de particularităţile activităţilor societăţii, precum şi ale
locurilor de muncă/posturilor de lucru;
d) stabilirea atribuţiilor şi răspunderilor în domeniul securităţii şi sănătăţii în muncă, ce
revin lucrătorilor;
e) verificarea cunoaşterii şi aplicării de către toţi lucrătorii a măsurilor prevăzute în planul de
prevenire şi protecţie, precum şi a atribuţiilor şi responsabilităţilor ce le revin în domeniul securităţii
şi sănătăţii în muncă, stabilite în fişa postului;
f) întocmirea unui necesar de documentaţii cu caracter tehnic de informare şi instruire a
lucrătorilor în domeniul securităţii şi sănătăţii în muncă;
g) elaborarea tematicii pentru toate fazele de instruire, stabilirea periodicităţii adecvate
pentru fiecare loc de muncă, asigurarea informării şi instruirii lucrătorilor în domeniul securităţii şi
sănătăţii în muncă şi verificarea cunoaşterii şi aplicării de către lucrători a informaţiilor primite;
h) elaborarea programului de instruire-testare la nivelul societăţii;
i) informarea angajatorului, în scris, asupra deficienţelor constatate în timpul controalelor
efectuate la locul de muncă şi propunerea de măsuri de prevenire şi protecţie;
j) participarea la cercetarea evenimentelor, conform competenţelor stabilite de lege;

25 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

k) urmărirea realizării măsurilor dispuse de către inspectorii de muncă, cu prilejul vizitelor


de control şi al cercetării evenimentelor;
l) urmărirea actualizării planului de avertizare, a planului de protecţie şi prevenire şi a
planului de evacuare;
m) stabilirea de sancţiuni şi stimulente pentru lucrători, pe criteriul îndeplinirii atribuţiilor în
domeniul securităţii şi sănătăţii în muncă.

Competenţa: G3. Urmărirea conformităţii cu prevederile din domeniul apărării


împotriva incendiilor şi de protecţie a mediului
Responsabilităţi Cunoştinţe / Activităţi
1. Verifică, împreună cu personalul de - cadrul legislativ specific ce reglementează
specialitate respectarea prevederilor din activităţile de apărare împotriva incendiilor şi
domeniul apărării împotriva incendiilor cu de protecţie a mediului;
responsabilitate, acurateţe şi exigenţă, ţinând ‐ factori de mediu;
cont de corelarea măsurilor de apărare ‐ factori de risc;
împotriva incendiilor cu riscurile identificate, ‐ poluanţi;
de avizele, autorizaţiile şi documentele ‐ riscuri de incendiu ori poluare specifice;
prevăzute în reglementările incidente, de ‐ tipuri de mijloace tehnice de apărare
criteriile funcţionale şi de caracteristicile împotriva incendiilor;
mijloacelor tehnice existente. ‐ caracteristici tehnice şi funcţionale ale
2. Controlează respectarea prevederilor din mijloacelor de apărare împotriva incendiilor;
domeniul protecţiei mediului cu acurateţe, ‐ conţinutul activităţilor de apărare împotriva
responsabilitate şi exigenţă, ţinând cont de incendiilor;
avizele, autorizările şi documentaţiile ‐ caracteristicile mediului în zonele de
aferente, de măsurile de protecţie a mediului, desfăşurare a activităţilor;
de gestionarea eficientă a deşeurilor, în ‐ conservarea calităţii factorilor de mediu;
special a celor toxice şi periculoase, cu ‐ protecţia resurselor naturale şi conservarea
testarea şi evaluarea planurilor pentru situaţii biodiversităţii;
de urgenţă şi capacitatea de răspuns şi al ‐ manipularea şi gestiunea deşeurilor.
modului de acţiune a personalului.

 Contexte:
• cadrul legislativ şi standardele aplicabile;
• modul de acţiune în situaţii de incendiu sau urgenţă;
• responsabilităţi şi mod de acţiune al personalului aflat în zona de competenţă.

26 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Probleme în atenţie:
•factori de mediu: apa, aerul, solul şi subsolul, habitate naturale, fiinţele vii etc.;
• factori de risc: chimici; mecanici; mişcări funcţionale ale echipamentelor, deplasările
mijloacelor de producţie sub efectul gravitaţiei; termici; electrici; biologici; radiaţii; gaze ori
amestecuri de materiale inflamabile sau explozive etc.;
• tipuri de obiective: uzine, secţii, instalaţii tehnologice, clădiri sociale şi/sau administrative,
depozite, centrale termice, gospodării de apă etc.;
• riscuri de incendiu ori poluare specifice locurilor de muncă: birouri, ateliere, staţii,
instalaţii, centre de calcul, cabinete, laboratoare etc.;
• caracteristicile mediului în zonele de desfăşurare a activităţilor: condiţii generale de mediu,
climă, calitatea apei, solului şi aerului, resurse naturale, floră şi faună;
• poluanţi: orice substanţă solidă, lichidă sau sub formă gazoasă/vapori sau energie-termică,
fonică, vibraţii, radiaţii etc. care modifică mediul şi poate aduce daune organismelor vii şi bunurilor
materiale;
• particularităţile obiectivului: topologie, gradul de încărcare a obiectivului cu persoane,
diverse bunuri şi valori etc.
 Obligaţii principale:
a) să stabilească, prin dispoziţii scrise, responsabilităţile şi modul de organizare pentru
apărarea împotriva incendiilor şi de protecţie a mediului în unitatea sa, să le actualizeze ori de câte
ori apar modificări şi să le aducă la cunoştinţă salariaţilor, utilizatorilor şi oricăror persoane
interesate;
b) să asigure identificarea şi evaluarea riscurilor de incendiu din unitatea sa şi să asigure
corelarea măsurilor de apărare împotriva incendiilor cu natura şi nivelul riscurilor;
c) să permită, în condiţiile legii, executarea controalelor şi a inspecţiilor de prevenire
împotriva incendiilor, să prezinte documentele şi informaţiile solicitate şi să nu îngreuneze sau să
obstrucţioneze, în nici un fel, efectuarea acestora;
d) să elaboreze instrucţiunile de apărare împotriva incendiilor şi să stabilească atribuţiile ce
revin salariaţilor la locurile de muncă;
e) să verifice dacă salariaţii cunosc şi respectă instrucţiunile necesare privind măsurile de
apărare împotriva incendiilor şi să verifice respectarea acestor măsuri semnalate corespunzător prin
indicatoare de avertizare de către persoanele din exterior care au acces în unitatea sa;
f) să asigure întocmirea şi actualizarea planurilor de intervenţie şi condiţiile pentru aplicarea
acestora în orice moment;

27 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

g) să permită, la solicitare, accesul forţelor inspectoratului pentru situaţii de urgenţă (I.S.U.)


în unitatea sa în scop de recunoaştere, instruire sau de antrenament şi să participe la exerciţiile şi
aplicaţiile tactice de intervenţie organizate de acesta;
h) să asigure utilizarea, verificarea, întreţinerea şi repararea mijloacelor de apărare împotriva
incendiilor cu personal atestat, conform instrucţiunilor furnizate de proiectant;
i) să informeze de îndată, prin orice mijloc, I.S.U. despre izbucnirea şi stingerea cu forţe şi
mijloace proprii a oricărui incendiu, iar în termen de trei zile lucrătoare să completeze şi să trimită
acestuia raportul de intervenţie;
j) să utilizeze în unitatea sa numai mijloace tehnice de apărare împotriva incendiilor,
certificate conform legii;
k) să îndeplinească orice alte atribuţii prevăzute de lege privind apărarea împotriva
incendiilor şi de protecţie a mediului;
l) să asigure identificarea, monitorizarea şi evaluarea factorilor de risc specifici, generatori
de evenimente periculoase;
m) să asigure instruirea şi pregătirea întregului personal angajat în domeniul situaţiilor de
urgenţă.

Competenţa: G4. Dezvoltarea profesională de securitate


Responsabilităţi Cunoştinţe / Activităţi
1. Evaluează nivelul de instruire profesională cu ‐ legislaţia generală şi specifică în
atenţie şi exigenţă, ţinând cont de obiectivele şi politica domeniul securităţii;
de securitate, de responsabilităţile angajatului, de ‐ managementul formării
istoricul incidentelor de securitate pe o perioadă profesionale continue a adulţilor;
relevantă şi de procesul organizaţional de dezvoltare ‐ structura entităţii şi cultura
profesională. organizaţională;
2. Identifică necesităţile de instruire şi de ‐ performanţa organizaţională şi
perfecţionare profesională cu corectitudine şi factori care o afectează;
responsabilitate, cu respectarea cerinţelor legale privind ‐ tehnici de evaluare a cunoştintelor;
pregătirea profesională, în funcţie de rezultatele ‐ tehnici şi metode pentru educarea
evaluării şi de noutăţile din domeniul de activitate. eficientă a persoanelor adulte;
3. Stabileşte modalităţile de instruire şi de perfecţionare ‐ modalităţi de instruire;
profesională cu acurateţe şi realism, în funcţie de ‐ surse de informare;
necesităţile identificate şi de posibilităţile existente, ‐ tehnici şi metode de comunicare.
astfel încât să asigure o eficienţă maximă a pregătirii.

28 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Contexte:
• managementul formării profesionale continue a adulţilor;
• tehnici de evaluare a cunoştinţelor de: securitate fizică; securitatea personalului; securitatea
documentelor; securitatea industrială; securitatea sistemelor informatice şi de comunicaţii; sănătate
şi securitate în muncă; securitate la incendiu; protecţia mediului;
• transformarea modelelor comportamentale, structurilor cognitive şi atitudinale sub
influenţa mediului şi a propriilor acţiuni;
 Probleme în atenţie:
• obiectivele şi politica de securitate a entităţii;
• responsabilităţile angajatului sau categoriei de angajaţi;
• istoricul incidentelor de securitate pe o perioadă relevantă;
• evoluţia cerinţelor profesionale;
• procesul organizaţional de dezvoltare profesională;
• modalităţi de instruire: autoinstruirea, studiul legislaţiei, schimburi de experienţă cu
specialişti, studierea literaturii de specialitate, participarea la cursuri de instruire, de perfecţionare
profesională şi de specializare;
• surse de informare: legislaţie specifică, publicaţii de specialitate, Internet, bune practici în
domeniu, schimburi de informaţii şi de experienţă cu specialişti, participări la conferinţe,
simpozioane, târguri de specialitate etc.

Competenţa: S1. Organizarea securităţii fizice


Responsabilităţi Cunoştinţe / Activităţi
1. Planifică securitatea fizică cu acurateţe şi ‐ legislaţia aplicabilă;
responsabilitate, ţinând cont de obiectivele entităţii, ‐ identificarea şi evaluarea valorilor şi
de transpunerea cu acurateţe în norme interne de componentelor critice ale unei
securitate fizică a prevederilor legale, a cerinţelor organizaţii;
părţilor interesate, cu elaborarea unui ansamblu ‐ identificarea şi evaluarea
coerent de planuri, proceduri şi măsuri, integrarea ameninţărilor, vulnerabilităţilor şi
acestora în Sistemul de Management al Securităţii, cu riscurilor;
asigurarea fezabilităţii, sustenabilităţii şi eficienţei. ‐ managementul riscurilor;
2. Implementează securitatea fizică cu ‐ sisteme integrate de securitate;
responsabilitate şi exigenţă, cu stabilirea explicit a ‐ produse ale procesului de planificare:
responsabilităţilor individuale şi termenelor de programul de prevenire a scurgerii de
execuţie, cu asigurarea înţelegerii corecte a informaţii clasificate, planul de pază şi
planurilor, procedurilor şi măsurilor de către apărare a obiectivelor, sectoarelor şi

29 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

persoanele desemnate, cu stabilirea explicită a locurilor care prezintă importanţă


protocoalelor de evaluare şi a documentelor deosebită, planuri de contingenţă,
relevante, ţinând cont de neconformităţile planuri de evacuare şi/sau distrugere
identificate, de măsurile corective adoptate, precum pentru situaţii de urgenţă;
şi cu informarea oportună a părţilor interesate asupra ‐managementul neconformităţilor;
desfăşurării procesului. ‐ proceduri de evaluare;
3. Evaluează securitatea fizică cu atenţie şi ‐ echipamente de testare;
corectitudine, ţinând cont de capabilităţile existente şi ‐ tipuri şi forme de contracte,
procedurile standardizate, cu compararea cu documentaţii tehnice şi de execuţie,
scopurile şi obiectivele entităţii, cu analiza unui rapoarte;
volum suficient de date pentru stabilirea eficienţei - costuri, beneficii şi eficienţă în materie
planurilor, procedurilor şi măsurilor existente, cu de securitate fizică;
elaborarea imediată de măsuri pentru remedierea - sisteme integrate de securitate;
unor eventuale slăbiciuni critice, precum şi - gestiunea economico-financiară a
prezentarea în format standardizat a rezultatelor şi bunurilor şi serviciilor.
măsurilor propuse pentru remedierea deficienţelor.

 Contexte:
• activitatea se desfăşoară într-un cadru legislativ specific;
• standarde de specialitate aplicabile;
• SMS – sistemul de management al securităţii.
 Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit etc.;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc.;
• ameninţări, vulnerabilităţi şi riscuri;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• resurse materiale, financiare, umane, instituţionale, legale, timpul la dispoziţie;
• părţile interesate: clienţi, personal propriu, consultanţi, furnizori, contractori, autorităţi
publice;
• mediul de lucru: spaţii deschise amenajate ori neamenajate, clădiri şi construcţii, încăperi
de securitate şi încăperi tip tezaur, containere de securitate, spaţii publice, spaţii private, mijloace de
transport specializate;

30 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

• produse ale procesului de planificare: programul de prevenire a scurgerii de informaţii


clasificate, planul de pază şi apărare a obiectivelor, sectoarelor şi locurilor care prezintă importanţă
deosebită, planuri de contingenţă, planuri de evacuare şi/sau distrugere pentru situaţii de urgenţă;
• documente relevante: planul şi fişele cu obiectivele de control, raportul de audit al
securităţii fizice;
• proceduri şi metode de testare şi evaluare a încăperilor şi sistemelor mecanice, electronice
sau de altă natură folosite;
• sisteme tehnice de semnalizare, supraveghere şi alarmare;
• echipamente individuale specifice;
• sisteme informatice şi de comunicaţii.
Securitatea fizică – reprezintă ansamblul de reglementări şi măsuri de protecţie adoptate la
nivelul entităţilor, sectoarelor, locurilor, echipamentelor, instalaţiilor şi în cadrul activităţilor în care
acestea sunt gestionate în scopul de a: interzice accesul neautorizat, clandestin sau prin forţă la
acestea; detecta şi împiedica acţiunile subversive, inclusiv cele de spionaj; contribui la realizarea
accesului la informaţii numai pe baza principiului “necesităţii de a cunoaşte”; detecta şi înlătura
slăbiciunile ascunse ale sistemului de securitate adoptat; preveni orice alte situaţii, împrejurări sau
fapte de natură a periclita ori compromite securitatea entităţii.
Securitatea fizică reprezintă un domeniu expresiv, greu de eludat, privind promovarea
imaginii. Ansamblul măsurilor de protecţie aplicate în spaţiile în care sunt gestionate informaţii
clasificate ce trebuie protejate împotriva accesului neautorizat, deteriorării, distrugerii, pierderii sau
compromiterii, se află, de regulă, la vedere.
Măsurile de securitate fizică, aplicate în cadrul programelor de protecţie fizică, urmăresc:
- să prevină pătrunderea neautorizată a persoanelor în spaţiile protejate;
- să prevină, să descopere şi să împiedice acţiunile ostile, de natură să afecteze securitatea
informaţiilor clasificate;
- să asigure condiţii ca persoanele autorizate să intre în contact numai cu acele informaţii la
care au dreptul pe baza certificatului de securitate şi a principiului „nevoia de a cunoaşte”.
Programele vizând securitatea fizică cuprind măsurile active şi pasive de protecţie a
informaţiilor clasificate, care se referă la:
- stabilirea şi delimitarea zonelor speciale de securitate;
- reglementarea şi controlul accesului în zonele de securitate;
- paza şi supravegherea zonelor de securitate.
Unităţile (inclusiv societăţile comerciale, indiferent de natura capitalului social) prevăzute
la art. 2 alin. (1) din Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia

31 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

persoanelor, trebuie să adopte măsuri de securitate în formele prevăzute de Lege, completate cu


măsuri procedurale.
Potrivit H.G. Nr. 301/2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr.
333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, adoptarea
măsurilor de securitate a obiectivelor, bunurilor şi valorilor prevăzute de lege se realizează pe baza
unei analize de risc la securitate fizică. Elaborarea analizei de risc la securitate fizică se face
potrivit Instrucţiunilor nr. 9 din 01 februarie 2013, emise de ministrul administraţiei şi internelor.
Conducătorii unităţilor deţinătoare de bunuri şi valori au obligaţia de a identifica şi stabili
zonele funcţionale, corespunzător activităţii desfăşurate, şi de a adopta măsuri necesare asigurării
protecţiei vieţii, integrităţii persoanelor şi siguranţei valorilor.
Zonele funcţionale pentru care este necesară adoptarea unor măsuri de securitate sunt:
a) zona de acces în unitate şi zona perimetrală;
b) zona de tranzacţionare;
c) zona de depozitare;
d) zona de expunere;
e) zona de transfer;
f) zona de procesare;
g) zona echipamentelor de securitate;
h) zona de tranzacţii cu automate bancare;
i) alte zone cu regim de securitate ridicat.
Prin zona de acces în unitate se înţelege locul amenajat cu elemente de închidere
nestructurale destinate intrării sau ieşirii persoanelor. Căile de acces pot fi dedicate clienţilor,
angajaţilor, transferului valorilor sau mixte.
Zona perimetrală reprezintă limita fizică a construcţiei, constituită din elemente fixe sau
mobile, cum ar fi: pereţi, vitraje sau ferestre.
Zona de tranzacţionare reprezintă spaţiul în care operatorii manipulează valorile monetare
sau bunurile în relaţia cu clienţii.
Zona de depozitare reprezintă spaţiul special amenajat pentru păstrarea în siguranţă a
valorilor monetare ori a bunurilor.
Zona de expunere reprezintă spaţiul amenajat pentru prezentarea către public, în condiţii de
siguranţă, a bunurilor sau valorilor.
Zona de transfer reprezintă spaţiile prin care se vehiculează valorile între locul de depozitare
şi alte zone interioare sau exterioare în cazul transportului.

32 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Zona de procesare reprezintă spaţiul special destinat şi amenajat pentru prelucrarea,


numărarea şi pregătirea pentru depozitare, alimentarea automatelor bancare sau transport al
valorilor monetare.
Zona echipamentelor de securitate reprezintă spaţiul restricţionat accesului persoanelor
neautorizate, destinat amplasării, funcţionării sau monitorizării unor astfel de echipamente.
Zona de tranzacţii cu automate bancare reprezintă spaţiul în care clienţii pot face operaţiuni
cu numerar prin intermediul unui automat bancar, care nu presupune existenţa unui operator.
Alte zone cu regim de securitate ridicat reprezintă spaţiile care necesită restricţii sau
protecţie specială datorită valorilor de protejat ori a activităţii.
Adoptarea măsurilor de securitate prevăzute mai sus se realizează în conformitate cu analiza
de risc efectuată de unitate, prin structuri de specialitate sau prin experţi abilitaţi, care deţin
competenţe profesionale dobândite pentru ocupaţia de evaluator de risc la securitatea fizică.
Analiza de risc la securitate fizică trebuie să asigure identificarea vulnerabilităţilor şi a
riscurilor, determinarea nivelului de expunere la producerea unor incidente de securitate fizică şi să
indice măsurile de protecţie necesare obiectivului analizat.
Planul de securitate este documentul întocmit de beneficiar pe baza concluziilor analizei de
risc la securitate fizică, prin care se stabilesc modul concret de organizare şi executare a pazei şi/sau
amenajările de protecţie realizate în scopul asigurării securităţii persoanelor şi bunurilor din unitatea
respectivă.
Asocierea măsurilor şi a mijloacelor de siguranţă prin introducerea mijloacelor mecanofizice
de protecţie şi a sistemelor de detecţie, supraveghere şi alarmare se face în baza analizei de risc la
efracţie.
Deţinătorul sistemelor de supraveghere are obligaţia afişării în unitate a unor semne de
avertizare cu privire la existenţa acestora.
Beneficiarul subsistemului de televiziune cu circuit închis are obligaţia punerii la dispoziţia
organelor judiciare, la solicitarea scrisă a acestora, a înregistrărilor video şi/sau audio în care este
surprinsă săvârşirea unor fapte de natură penală.

Competenţa: S2. Organizarea securităţii personalului


Responsabilităţi Cunoştinţe / Activităţi
1. Implementează securitatea personalului cu ‐ cadrul legislativ şi standardele de
acurateţe şi responsabilitate, cu transpunerea în specialitate aplicabile;
norme interne a prevederilor legale şi ‐ programul de prevenire a scurgerii
contractuale, cu stabilirea responsabilităţilor, de informaţii clasificate;
cadrului conceptual, organizaţional şi modului ‐ planul de protecţie fizică;

33 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

de acţiune al componentelor SMS pentru ‐ procesarea informaţiilor, algoritmi


asigurarea unui răspuns oportun şi eficient la şi baze de date;
incidentele de securitate a personalului, ţinând ‐ analiza de risc, a vulnerabilităţilor,
cont de procedurile operaţionale pentru avizarea analiză de impact;
şi atestarea personalului şi de stabilirea de ‐ clasificarea incidentelor de securitate;
obiective explicite pentru activităţile de educare ‐ colectarea, evaluarea şi păstrarea
de securitate a personalului. elementelor cu caracter probatoriu;
2. Evaluează securitatea personalului cu - organizarea securităţii şi protecţiei
corectitudine şi exigenţă, ţinând cont de personalului;
organizarea controalelor, consemnarea - metode şi procedee pentru educarea
informaţiilor şi constatărilor, analizarea datelor, eficientă a persoanelor adulte;
redactarea raportului de control şi prezentarea în ‐ costuri, beneficii şi eficienţă în
format standardizat către părţile interesate a materie de securitatea personalului;
rezultatelor şi măsurilor pentru remedierea ‐ utilizarea documentelor specifice
deficienţelor. pentru analiza şi evaluarea îndeplinirii
cerinţelor de securitate a personalului.

 Contexte:
• cadrul legislativ şi standardele de specialitate aplicabile;
• SMS – sistemul de management al securităţii.
 Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc.;
• resurse materiale, resurse financiare, resurse umane, instituţionale, legale;
• cuantificarea numărului, caracteristicilor şi impactului incidentelor de securitate;
• informaţii: interne sau externe entităţii, clasificate şi/sau neclasificate;
• proceduri de verificare a personalului, înainte de angajare, pe timpul şi după terminarea
contractului;
• ameninţări, vulnerabilităţi şi riscuri la adresa personalului entităţii;
• produse ale procesului de planificare: proceduri de vetting (care vor atesta loialitatea şi
onestitatea unor persoane precum şi accesul la informaţii cu un anumit nivel de clasificare), planul
de pregătire a personalului, autorizaţii de acces la informaţii clasificate şi certificate de securitate,
proceduri şi instrucţiuni de lucru;

34 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

• metode, materiale şi suporturi educaţionale specifice;


• documente relevante: planul de control şi fişele cu obiectivele de control, raport de audit al
securităţii personalului;
• proceduri, metode şi mijloace de testare şi evaluare a personalului.
 Securitatea personalului – ansamblul măsurilor / procedurilor de protecţie legate de
accesul persoanelor la informaţii clasificate; care se aplică persoanelor ce urmează a deţine, a avea
acces şi a lucra cu informaţii clasificate.
Obiectivele măsurilor de protecţie privind accesul persoanelor la informaţii clasificate
urmăresc:
- să prevină accesul persoanelor neautorizate la informaţii clasificate;
- să permită identificarea persoanelor care, prin acţiunile lor, pot afecta securitatea
informaţiilor clasificate;
- să asigure accesul persoanelor la informaţii clasificate numai pe baza unui document
special de acces (denumit generic certificat de securitate) şi a respectării principiului „nevoia de a
cunoaşte”.
Principiul „nevoia de a cunoaşte” se referă la necesitatea imperioasă ca o persoană să aibă
acces numai la informaţiile clasificate exclusiv în scopul realizării atribuţiilor sale de serviciu,
numai în momentul şi numai pe durata în care accesul este absolut necesar. Nici o persoană nu este
îndreptăţită, doar prin rang, funcţie sau prin deţinerea unui certificat de securitate, să aibă acces la o
anumită informaţie clasificată dacă acest lucru nu este absolut necesar pentru îndeplinirea sarcinilor
de serviciu.
Procedurile privind securitatea personalului urmăresc acordarea accesului la informaţii
clasificate numai persoanelor care se dovedesc loiale, oneste şi demne de încredere. Certificatul de
securitate, atestând aceste calităţi, se eliberează în urma unor verificări specifice de securitate,
efectuate de autorităţile abilitate prin lege, şi reprezintă corolarul muncii acestora pentru gestionarea
imaginii celor implicaţi.
Referitor la obiectul verificărilor, art.7, alin (1) din Legea nr. 182/2002 prevede că
„…persoanele care vor avea acces la informaţii clasificate secrete de stat vor fi verificate, în
prealabil, cu privire la onestitatea şi profesionalismul lor…”.
Autorităţile abilitate pentru efectuarea verificărilor de securitate pentru personalul propriu,
precum şi pentru personalul altor autorităţi şi instituţii publice, agenţi economici etc. (stabilit, în
condiţiile legii, în competenţa acestora), denumite prin lege autorităţi desemnate de securitate, sunt:
Serviciul Român de Informaţii; Serviciul de Informaţii Externe; Ministerul Apărării, prin Direcţia
Generală de Informaţii a Apărării; Ministerul Administraţiei şi Internelor, prin Direcţia Generală de
Informaţii şi Protecţie Internă; Serviciul de Protecţie şi Pază; Serviciul de Telecomunicaţii Speciale.

35 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Legislaţia prevede că verificările de securitate se fac cu aprobarea Oficiului Registrului


Naţional al Informaţiilor Secrete de Stat (ORNISS) şi cu acordul persoanei pentru care se solicită
accesul la informaţii clasificate. Aşadar, dacă ştie că sunt probleme, persoana nu-şi dă acordul
pentru verificări, i se protejează imaginea, dar nu mai poate lucra cu informaţii clasificate. Datele
privind persoanele sunt clasificate şi, ca atare, nu fac obiectul comentariilor.
Conţinutul verificărilor este stabilit prin standardele naţionale de protecţie a informaţiilor
clasificate. Criteriile principale relevante în acordarea avizului de securitate au în vedere aspectele
ce pot genera riscuri de securitate.
În urma verificărilor, autoritatea abilitată eliberează un aviz de securitate.
ORNISS, pe baza analizei concluziilor prezentate în avizul de securitate, decide cu privire la
eliberarea certificatului de securitate - document care atestă verificarea şi acreditarea persoanei de a
deţine, de a avea acces şi de a lucra cu informaţii clasificate.
O procedură de reverificare se impune ori de câte ori este necesar să se garanteze
menţinerea condiţiilor în baza cărora s-a eliberat certificatul de securitate pentru acces la informaţii
clasificate.
Reverificarea este obligatorie de fiecare dată când apar indicii că menţinerea certificatului
nu mai este compatibilă cu interesele de securitate.
Neacordarea certificatului de securitate sau retragerea motivată a acestuia determină
interdicţia de acces la informaţii clasificate.
Domeniul aplicativ - Securitatea persoanei, ce presupune măsuri pentru protecţie împotriva
riscurilor de securitate asociate persoanelor, se realizează prin verificările pentru angajare,
verificarea de securitate, managementul identităţii, protecţia datelor personale, practici pentru
protecţia persoanelor, de către profesionişti în resurse umane, ofiţeri pentru verificare persoane,
instalatori de sisteme biometrice etc.

Competenţa: S3. Asigurarea securităţii documentelor


Responsabilităţi Cunoştinţe / Activităţi
1. Implementează securitatea documentelor cu ‐ cadrul legislativ şi standardele de
flexibilitate şi responsabilitate, ţinând cont de specialitate aplicabile;
transpunerea cu acurateţe în norme interne a ‐ liste cu informaţii clasificate;
prevederilor legale şi cerinţelor contractuale ‐ programul de prevenire a scurgerii
referitoare la protecţia informaţiilor clasificate, cu de informaţii clasificate;
organizarea funcţionării compartimentului ‐ planul de protecţie fizică;
documente clasificate, cu stabilirea responsabilităţilor ‐ redactarea, dactilografierea /
şi modului de acţiune al componentelor SMS la procesarea, evidenţa, multiplicarea,

36 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

incidentele de securitate a documentelor şi cu manipularea, păstrarea, transmiterea,


identificarea obiectivelor pentru educarea împachetarea, transportul şi
personalului pe linia protecţiei informaţiilor distrugerea documentelor clasificate;
clasificate. ‐ redactarea şi aprobarea
2. Verifică securitatea documentelor cu nomenclatorului unităţilor arhivistice;
corectitudine şi exigenţă ţinând cont de modul în care ‐ ameninţări, vulnerabilităţi şi riscuri
este organizat controlul securităţii documentelor, cu în materie de securitate a
consemnarea informaţiilor şi constatărilor, analizarea documentelor;
datelor, redactarea raportului de control şi - coordonarea activităţii de protecţie a
prezentarea în format standardizat către părţile informaţiilor clasificate;
interesate a rezultatelor şi măsurilor propuse pentru ‐ sisteme electronice şi de altă natură
remedierea deficienţelor. specifice lucrului cu documente.
 Contexte:
• cadrul legislativ şi standardele de specialitate aplicabile;
• SMS-sistemul de management al securităţii;
• proceduri standardizate de testare şi evaluare a lucrului cu documente;
• planuri pentru verificarea anuală a existenţei documentelor, proceduri de lucru cu
documentele clasificate şi neclasificate.
 Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc.;
• ameninţări, vulnerabilităţi şi riscuri;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• resurse materiale, resurse financiare, resurse umane, instituţionale, legale;
• părţile interesate: clienţi, personal propriu, consultanţi, furnizori, contractori, autorităţi
publice;
• limitări ale resurselor: materiale, financiare, umane, ale timpului la dispoziţie;
instituţionale, legale;
• sisteme electronice şi de altă natură specifice întocmirii, procesării, multiplicării,
manipulării, transportului şi transmiterii documentelor;
• mijloace de protecţie, de păstrare, aparatură de măsură, control şi reglare a
microclimatului;
• metode, materiale şi suporturi educaţionale specifice.

37 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Securitatea documentelor clasificate – ansamblul procedurilor, cerinţelor şi a măsurilor


privind gestionarea şi controlul documentelor clasificate.
Securitatea documentelor reprezintă aplicarea măsurilor şi procedurilor de protecţie pentru
prevenirea sau detectarea acţiunilor ce pot conduce la pierderea sau compromiterea informaţiilor
clasificate, precum şi pentru recuperarea informaţiilor care au făcut obiectul unor asemenea acţiuni.
Domeniul „securitatea documentelor” stabileşte măsurile ce trebuie aplicate de către toţi cei
ce utilizează informaţii clasificate, pe întreaga durată a ciclului de viaţă al acestora, corespunzător
cu nivelul lor de clasificare, cu privire la aspectele presupuse de gestionarea informaţiilor
clasificate.

Competenţa: S4. Stabilirea securităţii industriale


Responsabilităţi Cunoştinţe / Activităţi
1. Asigură securitatea industrială cu corectitudine şi ‐ cadrul legislativ şi standardele de
responsabilitate ţinând cont de transpunerea în norme specialitate aplicabile;
interne a prevederilor legale incidente, cu stabilirea ‐ autoritate desemnată de securitate;
competenţelor, responsabilităţilor şi atribuţiunilor ‐ proceduri de evaluare a
specifice, cu stipularea în anexa de securitate a implementării prevederilor anexei de
contractelor clasificate a clauzelor de protecţie a securitate;
informaţiilor, cu precizarea protocoalelor de verificare ‐ tipuri de organizaţii;
de către autoritatea desemnată de securitate şi cu ‐ liste cu informaţii clasificate;
stabilirea cadrului organizaţional, atribuţiunilor şi ‐ programul de prevenire a scurgerii de
modului de acţiune ale componentelor SMS la informaţii clasificate;
incidentele de securitate industrială. ‐ redactarea, dactilografierea /
2. Evaluează securitatea industrială cu exigenţă şi procesarea, evidenţa, multiplicarea,
corectitudine, ţinând cont de modul în care este manipularea, păstrarea, transmiterea,
organizat controlul, de monitorizarea şi verificarea împachetarea, transportul şi
periodică a modului de utilizare a informaţiilor distrugerea documentelor clasificate;
clasificate în procesul de negociere şi derulare a - principiul necesităţii de a cunoaşte;
contractelor, cu consemnarea informaţiilor şi ‐ compromiteri, divulgări, distrugeri,
constatărilor, analizarea datelor, redactarea raportului sustrageri, sabotaje, activităţi
de control şi prezentarea în format standardizat către subversive ori alte riscuri la adresa
părţile interesate a rezultatelor şi măsurilor propuse securităţii industriale.
pentru remedierea deficienţelor.

38 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Contexte:
• cadrul legislativ şi standardele de specialitate aplicabile;
• SMS-sistemul de management al securităţii;
• autoritatea desemnată de securitate;
• proceduri, metode de control şi evaluare a implementării prevederilor anexei de securitate.
 Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi etc.;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• resurse: materiale, financiare, umane, instituţionale, legale;
• părţile interesate: clienţi, personal propriu, consultanţi, furnizori, contractori, autorităţi
publice;
• limitări ale resurselor: materiale, financiare, umane, ale timpului la dispoziţie,
instituţionale, legale;
• mediul de lucru: spaţii deschise amenajate ori neamenajate; cladiri şi construcţii: uzine,
secţii, instalaţii tehnologice etc.; obiective speciale; elemente critice de infrastructură;
• informaţii: interne sau externe entităţii, clasificate şi/sau neclasificate.
 Securitatea Industrială – sistemul de norme şi măsuri care reglementează protecţia
informaţiilor clasificate în cadrul activităţilor contractuale cu agenţi economici şi instituţii publice.
Securitatea industrială se referă la ansamblul măsurilor de protecţie a informaţiilor
clasificate vehiculate în domeniul industrial, în legătură cu licitarea, negocierea şi derularea unor
contracte clasificate.
Asigurarea unei calităţi superioare a managementului informaţiilor clasificate din domeniul
industrial nu este doar un accesoriu obligatoriu, ci constituie o problemă de imagine naţională, una
din căile de acces în clubul select al naţiunilor industrializate.
Reprezintă un contract clasificat, orice contract, încheiat în condiţii legale, în cadrul căruia
se cuprind şi se vehiculează informaţii clasificate.
Participarea la negocieri în vederea încheierii unui contract clasificat este permisă în baza
unei autorizaţii de securitate industrială, eliberată în urma unor verificări specifice, care confirmă
aplicarea măsurilor minime de securitate prevăzute în standarde.
Derularea unui contract clasificat de către un agent economic se realizează în baza unui
certificat de securitate industrială, eliberat în urma verificărilor specifice, care confirmă aplicarea
măsurilor minime de securitate prevăzute în standarde.

39 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Verificările de securitate urmăresc ca:


- angajaţii, managerii sau proprietarii să deţină certificat de securitate corespunzător
nivelului de clasificare al informaţiilor la care vor avea acces;
- spaţiile în care se vor gestiona informaţii clasificate să fie protejate corespunzător
standardelor specifice;
- obiectivul industrial să fie stabil din punct de vedere economic, să nu fie implicat în litigii
care îi pot afecta stabilitatea economică, să-şi plătească obligaţiile financiare şi să nu prezinte riscuri
de securitate.

Competenţa: S5. Organizarea securităţii sistemelor informatice şi de comunicaţii


(INFOSEC)
Responsabilităţi Cunoştinţe / Activităţi
1. Implementează securitatea sistemelor ‐ cadrul legislativ incident şi standardele
informatice şi de comunicaţii cu creativitate, aplicabile;
flexibilitate şi responsabilitate, cu transpunerea ‐ analiza de risc, a vulnerabilităţilor, de
în norme interne a prevederilor legale impact;
incidente, elaborarea unui ansamblu coerent de ‐ managementul riscului în sisteme
politici de securitate şi măsuri tehnice în scopul informatice şi de comunicaţii;
protecţiei sistemelor informatice, de ‐ documente: programul de prevenire a
comunicaţii, altor mijloace electronice, precum scurgerii de informaţii clasificate, planuri
şi a datelor şi informaţiilor prelucrate, stocate pentru implementarea reţelelor de transmisii
ori transmise cu ajutorul acestora, ţinând cont de date şi aparaturii aferente, cerinţe de
de corelarea cu obiectivele entităţii, asigurarea securitate globale şi specifice, proceduri
unui nivel rezonabil al protecţiei şi a operaţionale de securitate, rapoarte de
posibilităţii de a fi actualizate, completate, analiză, de risc şi de zonare, buletine pentru
îmbunătăţite şi dezvoltate. măsurători TEMPEST (măsurători pentru
2. Asigură disponibilitatea sistemelor caracterizarea camerelor ecranate şi/sau
informatice şi de comunicaţii pentru incintelor tratate electromagnetic; teste
continuarea activităţilor ulterior producerii unui pentru identificarea emisiilor
dezastru cu responsabilitate şi acurateţe, ţinând electromagnetice parazite), planuri de
cont de obiectivele entităţii, de identificarea control, proceduri şi fişe cu obiective de
nevoilor pe criterii de eficienţă, cu stabilirea control;
procedurilor operaţionale, a măsurilor tehnice ‐ proceduri standardizate de testare şi
şi etapelor de implementare, a evaluare a SIC, RTD şi paginilor web;
responsabilităţilor privind punerea în funcţiune ‐ sisteme informatice şi de comunicaţii

40 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

şi graficului de asigurare a disponibilităţii, (SIC);


precum şi cu integrarea în planul de activitate ‐ sisteme de prelucrare automată a datelor
al entităţii. (SPAD);
3. Evaluează INFOSEC cu acurateţe, ‐ reţele de transmisii de date (RTD);
corectitudine şi exigenţă, ţinând cont de - securitatea SPAD, RTD şi SIC;
compararea capabilităţilor existente cu ‐ securitatea sistemelor informatice şi de
obiectivele entităţii, cu desfăşurarea de comunicaţii (INFOSEC);
proceduri standardizate pentru monitorizarea, ‐ securitatea calculatoarelor (COMPUSEC);
testarea şi controlul modului de utilizare al ‐ securitatea comunicaţiilor (COMSEC);
SPAD, RTD şi SIC, cu înregistrarea - medii de stocare;
informaţiilor şi constatărilor, analiza datelor, - liste cu informaţii clasificate;
redactarea raportului de control şi prezentarea ‐ costuri, beneficii şi eficienţă în materie de
în format standardizat către părţile interesate a asigurare a disponibilităţii SIC pentru
rezultatelor şi măsurilor propuse pentru continuarea activităţilor entităţii ulterior
remedierea deficienţelor. producerii unui dezastru.

 Contexte:
• cadrul legislativ incident şi standardele aplicabile;
• SMS-sistemul de management al securităţii;
• proceduri standardizate de testare şi evaluare a SIC, RTD şi paginilor web.
 Probleme în atenţie:
• tipuri de organizaţii: societăţi comerciale de stat, publice sau private, unităţi ale
administraţiei centrale şi locale, organizaţii nonprofit etc.;
• domenii de activitate: industrial, prestări servicii, regii şi companii de utilităţi, unităţi de
învăţământ, culturale, artistice, sportive, sanitare etc.;
• ameninţări, vulnerabilităţi şi riscuri;
• topologii: clădiri, perimetre, instalaţii, infrastructuri etc.;
• resurse materiale, financiare, umane, instituţionale, legale, timpul la dispoziţie;
• părţile interesate: clienţi, personal propriu, consultanţi, furnizori, contractori, autorităţi
publice;
• mediul de lucru: spaţii publice, spaţii private, spaţii deschise amenajate ori neamenajate,
cladiri şi construcţii, încăperi de securitate, mijloace de transport;
• documente relevante: programul de prevenire a scurgerii de informaţii clasificate, planuri
pentru implementarea reţelelor de transmisii de date şi aparaturii aferente, cerinţe de securitate

41 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

globale şi specifice, proceduri operaţionale de securitate, rapoarte de analiză, de risc şi de zonare,


buletine pentru măsurători TEMPEST, planuri de control, proceduri şi fişe cu obiective de control;
• sisteme electronice şi de comunicaţii: reţelele de transmisii de voce şi date, servere şi
echipamente de reţea aferente; dispozitive auxiliare specifice întocmirii, procesării, multiplicării şi
transmiterii informaţiilor; echipamente de criptare/decriptare; surse principale şi de rezervă pentru
alimentarea cu energie electrică;
• aparatură de măsură, control şi reglare a microclimatului.
 Securitatea Sistemelor Informatice şi de Comunicaţii - INFOSEC - principii de bază şi
cerinţele minime de securitate în domeniul protecţiei Sistemelor Informatice şi de Comunicaţii.
INFOSEC reprezintă totalitatea măsurilor de securitate destinate protecţiei informaţiei
procesate, stocate ori transmise prin sisteme informatice şi de comunicaţii sau alte sisteme
electronice, împotriva pierderii confidenţialităţii, integrităţii, disponibilităţii, autenticităţii şi non-
repudierii în mod accidental sau intenţionat, precum şi destinate prevenirii pierderii integrităţii ori
disponibilităţii sistemelor, a serviciilor şi resurselor acestora.
Domeniile de activitate specifice activităţii INFOSEC sunt: COMSEC (securitatea
comunicaţiilor), COMPUSEC (securitatea calculatoarelor), CRIPTO (securitatea criptografică) şi
TEMPEST (protecţia împotriva radiaţiilor ce pot compromite informaţia clasificată), precum şi
depistarea şi prevenirea ameninţărilor la care sunt expuse informaţiile şi sistemele respective.
Modalităţile şi măsurile de protecţie a informaţiilor clasificate din Sistemele Informatice şi
de Comunicaţii – INFOSEC, sunt prezentate în Cap. VIII al H.G. nr. 585/2002.
Securitatea informaţiei, element de bază al comunicării
Informaţia este un produs care, ca şi alte importante produse rezultate din activitatea
umană, are valoare pentru o organizaţie şi în consecinţă, este necesar să fie protejată
corespunzător.
În timp ce informaţia şi transmiterea ei au fost întotdeauana importante - în toate
societăţile şi timpurile – şi nu este nimic nou în interconectare ca atare, impactul logicii
interconectării în societate, ca întreg ajutat de folosirea tehnologiilor informaţiei şi a reţelelor de
calculatoare este un fenomen al timpurilor noastre.
Tehnologiile de securitate a informaţiei au mai multe componente şi atribute care trebuie
avute în consideraţie când se analizează riscul potenţial. În linii mari, acestea pot fi clasificate în
trei mari categorii:
Confidenţialitatea – protecţia informaţiilor în sistem, astfel încât persoane neautorizate să
nu le poată accesa. Este vorba despre controlarea dreptului de a citi informaţiile. Aproape fiecare
organizaţie are informaţii care, dacă sunt divulgate sau furate, ar putea avea un impact

42 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

semnificativ asupra avantajului competiţional, valorii de piaţă sau a veniturilor. Adiţional, o


firmă poate fi făcută responsabilă pentru divulgarea de informaţii private.
Aspectele cruciale ale confidenţialităţii sunt identificarea şi autentificarea utilizatorilor.
Integritatea – protecţia informaţiilor împotriva modificărilor intenţionate sau accidentale
neautorizate; condiţia ca informaţia din sau produsă într-un mediu informatic reflectă sursa sau
procesele pe care le reprezintă. Este vorba despre nevoia de a asigura că informaţia şi programele
sunt modificate numai în maniera specificată şi autorizată şi că datele prezentate sunt originale,
nealterate sau şterse în tranzit. Ca şi în cazul confidenţialităţii, identificarea şi autentificarea
utilizatorilor sunt elemente cheie ale unei politici de integritate a informaţiilor.
Disponibilitatea – se referă la asigurarea că sistemele de calcul sunt accesibile
utilizatorilor autorizaţi când şi unde aceştia au nevoie şi în forma necesară (condiţia ca
informaţia stocată electronic este unde trebuie să fie, când trebuie să fie acolo şi în forma
necesară).
Domeniul aplicativ - Securitatea informaţiei, ce presupune protecţia informaţiei şi a
proprietăţii intelectuale de la distrugere sau compromitere de către actori umani, se realizează
printr-un cadrul organizatoric adecvat de clasificare, protecţia capitalului intelectual, a
cunoştinţelor organizaţionale, a informaţiilor clasificate sau senzitive, a relaţiilor financiare, a
relaţiilor comerciale şi a reputaţiei, de către consultanţi de securitate a informaţiei, managerul cu
securitatea informaţiei, şeful structurii de securitate.
Pentru a înţelege mai bine care sunt mecanismele de asigurare a unei bune securităţi a
informaţiei este necesar să clarificăm care sunt tipurile de ameninţări asupra celor trei
caracteristici esenţiale ale informaţiei.
a) Problematica vulnerabilităţii informaţiei, riscurile comunicării
“Cunoaşterea”, ca atare, a devenit o “armă” de apărare împotriva riscurilor, ale noilor
vulnerabilităţi ce vor apărea cu siguranţă în societatea deceniilor viitoare.
Prin vulnerabilitate se înţelege identificarea unui ansamblu de evenimente externe
sistemelor tehnice care pun în pericol existenţa infrastructurilor tehnice, ale sistemelor
informatice, cu precădere şi reprezintă elemente de iniţiere în cadrul analizelor de risc
specializate, cu luarea în considerare a probabilităţilor apariţiei elementelor de hazard şi
consecinţele negative ale propagării dezastrelor.
Vulnerabilitatea reprezintă caracteristica hardware-ului sau software-ului de a permite
utilizatorilor neautorizaţi să obţină accesul sau să-şi mărească nivelul de acces.

43 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

De asemenea, vulnerabilitatea se poate manifesta ca o slăbiciune a mediului informatic


care conduce la posibilitatea exercitării unui acces neautorizat, putând fi clasificate în funcţie de
nivelul la care se manifestă:
• vulnerabilitate de proiectare, manifestată de eroarea apărută în faza conceperii şi
configurării sistemului informatic, atât în ceea ce priveşte componenta hardware, cât şi
componenta software;
• vulnerabilitate de implementare, manifestată ca urmare a deficienţelor de punere în
practică a soluţiilor de securitate aferente sistemelor;
• vulnerabilitate de configurare, manifestată ca urmare a erorilor realizate cu ocazia
configurării sistemelor pe nivele de acces, precum folosirea codurilor de acces implicite sau a
drepturilor de scriere a fişierelor cu parole;
• vulnerabilitatea componentei umane, manifestată pe fondul slabei pregătiri în domeniul
securităţii informatice a utilizatorilor mediului informatic;
• vulnerabilitatea managerială, manifestată pe fondul unor carenţe manageriale de
securitate, lipsa de preocupare pentru securitate, lipsa unor activităţi de audit intern etc.;
• vulnerabilitatea juridică, manifestată pe fondul necunoaşterii sau nerespectării
dispoziţiilor legale în domeniu.
Ceea ce numim astăzi, tot mai des, pericole cibernetice (cyberthreats) vor deveni mai
prezente în etapele noi de tranziţie către o societate informatică – societate a cunoaşterii.
Diminuarea vulnerabilităţii la nivel microsistem se poate face prin măsuri de control al
accesului şi creşterea robusteţii programelor. Toate acestea se fac cu un anumit cost, care este
cu atât mai mic cu cât măsurile sunt luate mai din timp, în fazele de proiectare şi realizare
a sistemului.
Există numeroase metode de reducere a vulnerabilităţii microsistemelor prin proiectare cu
elemente de securitate, separarea funcţiilor, controale de reţea, criptare şi creare de firewall-uri.
În bună măsură, folosirea acestor metode contribuie la creşterea rezistenţei la perturbaţii şi
atacuri ale sistemelor.
b) Accesul neautorizat

Cadrul legislativ de bază care reglementează şi incriminează activităţile şi operaţiunile


caracteristice accesului informatic neautorizat este stipulat în Titlul III din Legea nr. 161 /
2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a
funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei. Titlul III, intitulat
„Prevenirea şi combaterea criminalităţii informatice” prezintă în detaliu infracţiunile informatice,

44 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

defineşte termenii specifici şi stabileşte obligaţii concrete atât autorităţilor publice în domeniu, cât
şi instituţiilor private legate de securitatea sistemelor informatice.
Astfel, în înţelesul legii, accesul neautorizat constă în accesul fără drept la un sistem
informatic, iar prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive
interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea
automată a datelor, cu ajutorul unui program informatic.
Probabilitatea accesării neautorizate a unui sistem informatic este invers proporţională cu
nivelul de securitate al sistemului respectiv. În consecinţă, adoptarea unor politici de
securitate adecvate şi actualizate pot reduce drastic numărul atacurilor informatice finalizate cu
succes. În acest sens, de altfel acelaşi act normativ defineşte generic măsurile informatice de
securitate ca proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora
accesul la un sistem informatic este restricţionat sau interzis pentru anumite categorii de
utilizatori.
Accesarea neautorizată a unui sistem informatic nu se rezumă la accesarea fizică a
componentelor hardware ale unui calculator sau ale unei reţele de calculatoare ci la câştigarea de
drepturi asupra resurselor gestionate de sistemul respectiv. Acest lucru se poate realiza fără
prezenţa fizică a atacatorului în faţa calculatorului ţintă şi se bazează, de regulă, pe escaladarea
arbitrară a sistemelor informatice de protecţie. Amplificarea numărului de ilegalităţi catalogate
drept acces neautorizat este legată în mod direct de utilizarea la scară largă a reţelei Internet.
c) Blocarea sistemelor informatice prin acţiuni de virusare
Virusul reprezintă un program distructiv parţial sau total al datelor sau al calculatoarelor
şi presupune o pătrundere neautorizată în aplicaţii, unde se multiplică şi invadează alte
programe din spaţiul rezident memoriei sau de pe discuri.
Programele pentru calculator de tip “virus” reprezintă deci, o ameninţare gravă,
permanentă pentru sistemele informatice conectate la Internet sau reţelele locale. Astfel,
alterarea datelor stocate într-un calculator poate fi realizată şi prin activitatea distructivă a
viruşilor informatici (viermi informatici, bombe logice, cai troieni). Consecinţele utilizării unor
astfel de aplicaţii pot avea repercusiuni pecuniare majore, de la distrugerea efectivă a sistemului
de operare, până la compromiterea anumitor baze de date, acces neautorizat şi control de la
distanţă a unui calculator infectat.
România a acordat o atenţie sporită acestui subiect, venind în întâmpinarea unor astfel
de evenimente cu un cadru legislativ adecvat, un act important reprezentându-l Legea
nr.161/2003, care stabileşte prin prevederile art. 45 şi 46 pedepsele aplicabile în cazul
săvârşirii infracţiunilor ce vizează:

45 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

• perturbarea gravă, fără drept, a funcţionării unui sistem informatic, prin introducerea,
transmiterea, modificarea, ştergerea sau deteriorarea datelor informatice sau prin restricţionarea
accesului la aceste date, respectiv,
• producerea, vinderea, importul, distribuţia sau punerea la dispoziţie, sub orice altă
formă, fără drept, a unui dispozitiv sau program informatic distructiv.
Viruşii informatici sunt, în esenţă, microprograme care posedă proprietatea de a
introduce copii executabile ale lui însuşi în alte programe, greu de depistat, ascunse în alte
programe şi care aşteaptă un moment favorabil pentru a provoca defecţiuni ale sistemului de
calcul (blocarea acestuia, comenzi sau mesaje neaşteptate, alte acţiuni distructive). Se poate
aprecia că un virus informatic este un microprogram cu acţiune distructivă localizat, în principal,
în memoria internă, unde aşteaptă un semnal pentru a-şi declanşa activitatea. Acest program are,
de regulă, proprietatea că se autoreproduce, ataşându-se altor programe şi executând operaţii
nedorite şi uneori de distrugere.
În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată şi
cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este
uneori şi o activitate de grup, în care sunt selectaţi, antrenaţi şi plătiţi cu sume uriaşe
specialişti de înaltă clasă.
Virusul informatic este, aşadar, un program maliţios, introdus în memoria calculatorului,
care la un moment dat devine activ, atacând prin distrugere sau alterare fişiere sau autocopiindu-
se în fişiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate, la rândul său,
să infecteze alte programe.
Domeniul aplicativ - Securitatea informatică şi a comunicaţiilor, ce presupune protecţia
sistemelor IT&C şi a informaţiilor stocate în aceste sisteme, se realizează prin aplicarea
tehnologiilor de securitate informatică privind culegerea, stocarea, regăsirea, procesarea, analiza şi
transmiterea informaţiei, de către consultanţi de securitate informatică, specialişti în criptografie,
arhitecţi de securitate informatică şi specialişti în firewall, antivirus etc.
Însuşirea temeinică a competenţelor profesionale nu se limitează nicidecum la cunoaşterea
conţinuturilor lor ideatice, a laturii lor teoretice. Accentul se va pune pe îmbinarea judicioasă a
laturii teoretice cu cea aplicativă, pe creşterea gradului de cunoştinţe profesionale şi tehnice,
concomitent cu dezvoltarea capacităţii şi deprinderilor necesare pregătirii şi desfăşurării cu succes a
activităţilor şi acţiunilor specifice ocupaţiei manager de securitate, pe baza organizării minuţioase a
domeniilor de competenţă.
Este evidentă necesitatea ca atât organizarea sistemului de securitate, cât şi formele şi
procedeele de acţiune să fie judicios adaptate realităţilor organizaţiei / firmei / companiei, astfel
încât, dezvoltarea şi perfecţionarea sistemului de securitate să răspundă cât mai eficient
46 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

particularităţilor efortului factorilor decizionali, pentru ca acestea să fie ancorate puternic în


realităţile mediului de afaceri, să fie deci, adaptate condiţiilor concrete, cât şi particularităţilor de
pregătire şi comportament ale personalului / angajaţilor agentului economic.
Aşadar, managerul de securitate se ocupă, în principal, cu organizarea sistemului de
management al securităţii, securitatea informaţiilor, securitatea în situaţii de urgenţă, securitatea şi
sănătatea în muncă, securitatea fizică a organizaţiei, organizarea securităţii personalului şi
documentelor, asigurarea securităţii industriale, organizarea securităţii sistemelor informatice şi de
comunicaţii, securitatea datelor cu caracter personal, securitatea afacerilor, securitatea proprietăţii,
securitatea bunurilor materiale.
O componentă importantă ţine şi de securitatea tehnologică. Avem o dimensiune şi pe
securitatea IT. Sunt destui specialişti în informatică, dar prea puţini în securitate informatică. Ei
trebuie să protejeze firma de orice atac informatic. Trebuie să ştie toate soft-urile de pe piaţă,
trebuie să cunoască şi din ce medii provin hackerii etc., etc.
Recomandări practice:
Stabileşte proceduri clare pentru coordonarea colaboratorilor din subordine - solicitând
periodic şi la terminarea fiecărei lucrări, rapoarte scrise;
Promovează un stil de conducere prin care să slujeşti colectivul şi comunitatea ta
profesională, dar şi clientul;
Acţionează întotdeauna din perspectiva unei autorităţi percepute;
Păstrează confidenţialitatea faptelor şi aspectelor de care ai luat cunoştintă în
îndeplinirea atribuţiilor;
Creează o atmosferă de încredere şi confidenţialitate între membrii societăţii;
Păstrează în permanenţă echilibrul între ascultare şi auzire, pentru a face o comunicare
eficientă şi reciproc profitabilă;
Stabileşte standarde educaţionale şi de comportament minime în cadrul societăţii /
companiei;
În situaţiile când cineva îţi prezintă o problemă şi te întreabă ce este cel mai bine să
facă, răspunsul managerului de securitate trebuie să fie cel corect după experienţa şi priceperea sa.
Dar, nu uita: poţi îndruma pe cineva să facă ceea ce este corect, numai dacă şi tu faci ceea ce este
corect;
Evaluează-ţi permanent propriile performanţe şi pe cele ale colaboratorilor şi / sau
concurenţilor;
Aduceţi-vă aminte, de fiecare dată, că stilul, tonul şi buna dispoziţie pot fi la fel de
importante ca şi conţinutul acţiunii. Cuvintele, prin ele însele, nu reprezintă comunicarea în întreaga
ei dimensiune socială. Folosiţi activ intonaţia, discuţia şi bunul gust cu măsură.

47 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

”Oricine se poate înfuria – asta e uşor. Dar să fii furios pe cine trebuie, în măsura în care
trebuie, în momentul care trebuie, cu un obiectiv corect şi în mod corect - asta e dificil.”
Aristotel

48 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

A. UNITĂŢI DE COMPETENŢE GENERALE

Unitatea de competenţă:
UCG1. Organizarea sistemului de management al securităţii

Tema 1. Politici, strategii, obiective, structuri, procese, bunuri, valori etc. care sunt
relevante pentru securitate într-o organizaţie
Politica de securitate
Existenţa unei viziuni clare a conducerii şi o comunicare efectivă a acesteia către angajaţi
este fundamentală pentru asigurarea eficienţei oricăror proceduri şi măsuri de securitate specifice.

Organizarea securităţii
Existenţa unei structuri organizatorice unitare care să iniţieze şi să controleze
implementarea mecanismelor de securitate în cadrul organizaţiei, presupune un punct central de
coordonare – manager de securitate.
Organizarea securităţii nu se limitează doar la personalul intern, trebuie avute în vedere şi
riscurile induse de terţi sau subcontractori care au acces la sistemul informaţional al organizaţiei.

Securitatea personalului
Cele mai multe incidente de securitate sunt generate de personal din interiorul organizaţiei,
prin erori sau neglijenţă în utilizarea resurselor informaţionale sau chiar acţiuni rău intenţionate.
Sunt stabilite măsuri specifice precum includerea responsabilităţilor legate de securitatea
informaţiilor în descrierea şi sarcinile de serviciu ale postului, implementarea unor politici de
verificare a angajaţilor, încheierea unor acorduri de confidenţialitate şi prin clauze specifice în
contractele de muncă.

Politica de securitate conform Standardului SR ISO/CEI 27002:2008

1. Politica de securitate a informaţiei

Obiectiv: Să asigure orientarea generală de management şi sprijinul pentru securitatea


informaţiei în conformitate cu cerinţele afacerii, legislaţia şi reglementările aplicabile.
Managementul trebuie să stabilească o direcţie clară a politicii de securitate şi să demonstreze
susţinerea şi angajamentul său pentru securitatea informaţiei, prin stabilirea şi menţinerea politicii
de securitate a informaţiei în cadrul organizaţiei.

2. Document de politică a securităţii informaţiei

Măsură de securitate
Documentul de politică a securităţii informaţiei trebuie să fie aprobat de către management,
trebuie să fie publicat şi comunicat tuturor angajaţilor şi terţelor părţi relevante.

Îndrumări pentru implementare


Documentul trebuie să cuprindă:
a) o definiţie a securităţii informaţiei, domeniul de aplicare şi obiectivele generale şi
importanţa securităţii informaţiei ca mecanism de facilitare a partajării informaţiei;
49 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Securitatea informaţiei protejează informaţiile de o gamă largă de ameninţări pentru a se putea


asigura continuitatea activităţii, minimalizarea riscului afacerii şi maximalizarea reinvestiţiei şi
oportunităţilor afacerii.
b) o declaraţie de intenţie a conducerii în sprijinul ţintelor şi principiilor securităţii
informaţiei conform strategiei şi obiectivelor organizaţiei;
c) un cadru pentru stabilirea obiectivelor şi măsurilor de securitate, inclusiv structura
determinării de risc şi a managementului riscului;
d) o scurtă explicaţie privind politica de securitate, principiile, standardele şi cerinţele de
conformitate de importanţă deosebită pentru organizaţie, care să includă:
1) conformitatea cu cerinţele legislative, normative şi contractuale;
2) cerinţele privind educaţia, instruirea şi conştientizarea în domeniul securităţii;
3) managementul continuităţii afacerii;
4) consecinţele încălcării politicii de securitate a informaţiei.
e) o definiţie a responsabilităţilor generale şi specifice în realizarea managementului
securităţii informaţiei, inclusiv raportarea incidentelor de securitate;
f) referiri la documentaţii care sprijină politica de securitate, ca de exemplu politici de
securitate mai detaliate şi proceduri pentru sisteme informatice specifice sau reguli de securitate pe
care utilizatorii trebuie să le respecte.
Această politică de securitate a informaţiei trebuie comunicată utilizatorilor din cadrul întregii
organizaţii într-o formă relevantă, accesibilă şi inteligibilă pentru cei cărora li se adresează.

Alte informaţii
Politica de securitate a informaţiei poate fi cuprinsă într-un document de politică generală.
Dacă politica de securitate a informaţiei este distribuită în afara organizaţiei, acest lucru trebuie
făcut cu atenţie pentru a nu se dezvălui informaţii secrete.

3. Revizuirea politicii de securitate a informaţiei

Măsură de securitate
Politica de securitate a informaţiei trebuie să fie revizuită la intervalele planificate sau
atunci când apar schimbări semnificative, pentru a se asigura permanenta ei adecvare,
compatibilitate şi eficienţa.

Îndrumări pentru implementare


Politica de securitate a informaţiei trebuie să aibă un responsabil care să răspundă oficial
de dezvoltarea, analiza şi evaluarea politicii de securitate. Analiza trebuie să cuprindă evaluarea
oportunităţilor de îmbunătăţire a politicii organizaţiei de securitate a informaţiei şi modul de
abordare a managementului securităţii informaţiei ca răspunsuri la schimbările intervenite în mediul
organizaţional, condiţiile de desfăşurare a afacerii, condiţiile juridice sau condiţiile tehnice.

Revizuirea politicii de securitate a informaţiei trebuie să ţină cont de rezultatele analizei de


management în acest domeniu. Trebuie să existe proceduri bine stabilite de analiză a
managementului care să cuprindă o planificare sau intervale pentru aceste analize.

Informaţiile pe care trebuie să se bazeze analiza managementului trebuie să cuprindă:


a) reacţia de răspuns provenind de la părţile interesate;
b) rezultatele analizelor efectuate de către părţi independente;
c) situaţia acţiunilor preventive şi corective;
d) rezultatele analizelor anterioare de management;
e) performanţa procesului şi conformitatea cu politica de securitate a informaţiei;

50 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

f) schimbări care pot afecta modul în care organizaţia abordează managementul securităţii
informaţiei, inclusiv schimbările suferite de mediul organizaţional, condiţiile de desfăşurare a afacerii,
disponibilitatea resurselor, condiţiile contractuale, normative şi legale, condiţiile tehnice;
g) tendinţele în privinţa ameninţărilor şi vulnerabilităţilor;
h) incidente raportate privind securitatea informaţiei;
i) recomandări furnizate de autorităţile de resort.
Rezultatul analizei managementului trebuie să cuprindă toate deciziile şi acţiunile
referitoare la:
a) îmbunătăţirea abordării de către organizaţie a managementului securităţii informaţiei şi
a proceselor aferente;
b) îmbunătăţirea obiectivelor şi măsurilor de securitate;
c) îmbunătăţiri în alocarea de resurse şi/sau responsabilităţi.

Trebuie să se păstreze evidenţa analizelor managementului.


Trebuie obţinută aprobarea managementului pentru politica revizuită.

4. Aspecte majore

Se descriu mai jos aspectele esenţiale care trebuie luate în considerare în construirea
scenariilor pentru aplicarea politicilor de securitate.
a. Pierdere de funcţionalitate. Obiectivul central al politicii de securitate al unei organizaţii
(entităţi) este de a proteja organizaţia (entitatea) împotriva avarierii sau distrugerii bunurilor şi
serviciilor critice. Mai exact, să protejeze un bun sau o activitate care este esenţială pentru
menţinerea funcţiilor vitale ale entităţii, sănătate, siguranţă, securitate, iar întreruperea sau
distrugerea acestora ar avea un impact semnificativ. Expresia „pierdere de funcţionalitate/serviciu”
este utilizată cu înţelesul de degradare sub nivelul de serviciu aşteptat să fie furnizat de entitate.
Exemplu: Experienţa a demonstrat că majoritatea organizaţiilor nu ştiu cum să
răspună unui incident legat de securitatea informaţională până când nu au fost
afectate semnificativ de un asemenea incident. Multe dintre ele nu au evaluat apriori
riscul de afaceri asociat lipsei unui sistem bine reglat de detecţie şi de răspuns la
incidentele de securitate. De cele mai multe ori, organizaţiile primesc rapoarte prin
care sunt informate de implicarea acestora în incidente de securitate care au
originea, de obicei, în altă parte, fără a fi implicate în identificarea în sine a
incidentului.

b. Analiză ex-ante (înainte de producerea evenimentului). Evaluarea aspectelor esenţiale


necesită o analiză ex-ante sau înainte de eveniment, în opoziţie cu ex-post sau după eveniment. Pe
parcursul unei analize ex-ante se va folosi o abordare a tuturor hazardelor. Cu alte cuvinte, ar trebui
luate în considerare în analiza ex-ante consecinţele tuturor hazardelor naturale, actelor teroriste,
accidentelor deliberate sau non-deliberate cauzate de om, care ar putea conduce la o pierdere de
funcţionalitate.
Din păcate, multe organizaţii nu au în vedere nevoia stringentă pentru o
infrastructură cuprinzătoare a sistemului de securitate. De obicei, impactul şi riscul
de afaceri a lipsei unui asemenea sistem este constatat doar după un incident grav.

c. Cel mai rău scenariu posibil. Un „cel mai rău scenariu posibil” constituie baza pe care
se calculează consecinţele pentru evaluarea aspectelor esenţiale. „Cel mai rău scenariu posibil” este
cel mai nefavorabil cu putinţă, care conduce la cel mai rău rezultat aşteptat dintre toate scenariile
posibile. „Cele mai rele scenarii posibile” sunt acele scenarii care se pot întâmpla şi care sunt
probabile pe baza cunoştinţelor existente.
De cele mai multe ori organizaţiile neglijează necesitatea de a determina nivelul
riscurilor, de a crea proceduri formale pentru prevenirea, detectarea şi înlăturarea

51 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

incidentelor de securitate. De pildă, se neglijează faptul că, persoane cu putere de


decizie care interpretează absenţa unei breşe mari în sistemul de asigurare a
securităţii ca o confirmare a faptului că securitatea TI (spre exemplu) este adecvată
– aceasta fiind însă o ipoteză periculoasă privind securitatea.

d. Durata evenimentului şi escaladarea. Bazat pe evenimentele care se pot întâmpla prin


pierderea funcţionalităţii, ar trebui să se stabilească un scenariu de escaladare, ca parte a unei
estimări „cel mai rău caz posibil”, luând în considerare timpul. Trebuie să se evalueze durata
pierderii de funcţionalitate şi evoluţia evenimentelor.

e. Existenţa alternativelor. În legătură strânsă cu durata evenimentului, vor fi luate în


considerare redundanţele potenţiale existente, capacitatea de stocare şi alte măsuri care ar diminua
sau întârzia impactul. De exemplu, dacă o conductă cedează şi poate fi reparată în trei zile în timp
ce utilizatorul-final are la dispoziţie o cantitate depozitată care durează patru zile, consecinţele
adverse ale avariei conductei nu vor fi considerate critice. În mod similar, în situaţia în care
combustibilul pentru generarea de energie electrică în caz de urgenţă ar putea fi îndeajuns numai
pentru o zi, iar o pană de curent ar dura mai mult de o zi, situaţia devine critică (de ex. spitale
rămase fără electricitate).

f. Efecte în cascadă. Este important să se ia în considerare dependenţele trans-sectoriale şi


posibilele efecte în cascadă asupra altor bunuri/servicii care pot duce la impacte mai severe. Pentru
a fi eficientă, evaluarea ex-ante a efectelor unei pierderi de funcţionalitate iniţială va trebui să pună
în balanţă eforturile depuse pentru modelarea consecinţelor şi incertitudinilor. Cu alte cuvinte,
trebuie să ia în considerare acele evenimente care pot fi de aşteptat să urmeze după o pierdere de
serviciu şi a căror magnitudine în acel caz poate fi previzionată în mod rezonabil.

g. Structura bunurilor/serviciilor şi desemnarea compenentelor critice. O analiză de


criticitate poate stabili anumite componente care să fie identificate şi desemnate ca bun sau serviciu
critic.

h. Măsuri de protecţie existente. Existenţa măsurilor de protecţie pentru o entitate nu


trebuie să constituie un motiv de „linişte” pentru management. Exemple tipice de asemenea măsuri
includ împrejmuirea cu gard, porţi de securitate, „ziduri de foc” pentru computere, protecţie
împotriva incendiilor, bariere de inundaţii şi alte forme de întărire a infrastructurii împotriva
avarierii sau distrugerii cauzate de atacuri sau hazarde naturale.

Odată identificate cerinţele şi riscurile de securitate şi odată luate deciziile privind


tratarea riscului, trebuie selectate şi implementate măsurile necesare asigurării
reducerii riscului la un nivel acceptabil. Măsurile de securitate pot fi selectate din
liste de măsuri de securitate sau pot fi proiectate măsuri de securitate proprii care
să îndeplinească cerinţe specifice în mod adecvat. Selectarea măsurilor de securitate
depinde de deciziile luate la nivelul organizaţiei pe baza criteriilor de acceptare a
riscului, a opţiunilor privind tratarea riscului şi a abordării generale a
managementului de risc în cadrul organizaţiei, cu respectarea legislaţiei şi
reglementărilor relevante naţionale şi internaţionale.

Un aspect relevant este faptul că, în zilele noastre, organizaţiile devin din ce în ce mai
dependente de buna funcţionare a sistemelor informaţionale, problema securităţii acestor sisteme
fiind din ce în ce mai importantă. Investind în securitate vom putea avea sisteme IT mai sigure. De
multe ori, vom constata ca beneficiile vor fi mai mari, iar investiţiile şi eforturile făcute vor fi mai
mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual, sau, mai rău,
vom acţiona pentru a înlătura efectele abia după producerea unui incident de securitate.

52 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 2. Cerinţe de securitate relevante pentru organizaţie, induse de legi,


standarde, contracte, normative interne etc.

1. Legislaţia care reglementează cerinţele de securitate


Identificarea şi evaluarea cerinţelor de securitate pentru o organizaţie, trebuie să aibă în
vedere, pe lângă cerinţele legale, cerinţele specifice determinate de importanţa organizaţiei, de
aşezarea şi structura construcţiei, de configuraţia şi performanţele echipamentelor din reţeaua de
prelucrare automată a datelor, de interconexiunile acesteia, de calitatea oamenilor şi de alţi factori
care pot influenţa nivelul de securitate al informaţiilor prelucrate şi stocate.

1.1 Cerinţe legale privind securitatea fizică


Aceste cerinţe sunt stipulate în:
o Legea nr.333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor;
o H.G. nr. 301/2012 pentru aprobarea normelor metodologice de aplicare a Legii nr. 333/2003
privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor;
o Legea nr. 307 /2006 privind Apărarea împotriva incendiilor;
o Legea 481/2004 privind Protecţia civilă;
o SREN 54-1: 1998: Sisteme de detectare şi de alarmă la incendiu.
Introducere.
o SREN 54-11: 2002: Sisteme de detectare şi de alarmă la incendiu.
Butoane de semnalizare manuală.
o SREN 54-12: 2003: Sisteme de detectare şi de alarmă la incendiu.
Detectoare de fum. Detectoare liniare care utilizează
principiul transmisiei unui fascicul de unde optice.
o SREN 54-13: 2005: Sisteme de detectare şi de alarmă la incendiu.
Evaluarea compatibilităţii componentelor sistemului.
o SREN 54-2+AC: 2000 Sisteme de detectare şi de alarmă la incendiu.
Echipament de control şi semnalizare.
o SREN 54-3: 2002/A1: 2003 Sisteme de detectare şi de alarmă la incendiu.
Dispozitive sonore de alarmă la incendiu.
o SREN 54-4+AC: 2000/A1: 2003 Sisteme de detectare şi de alarmă la incendiu.
Echipament de alimentare electrică.
o SREN 54-5: 2002/A1: 2003 Sisteme de detectare şi de alarmă la incendiu.
Detectoare de căldură. Detectoare punctuale.
o SREN 54-7: 2002/A1: 2003 Sisteme de detectare şi de alarmă la incendiu.
Detectoare de fum. Detectoare punctuale care
utilizează dispersia luminii, transmisia luminii sau
ionizarea.
o SREN 50131-1: 2001 Sisteme de alarmă la efracţie. Partea 1:
Prescripţii generale.
o SREN 50131-6: 2002 Sisteme de alarmă împotriva efracţiei. Partea 6:
Alimentarea.
o SREN 50132-4-1: 2004 Sisteme de alarmă. Sisteme de supraveghere TVCI
care se utilizează în aplicaţiile de securitate.
Partea 4-1: Camere negru şi alb.
o SREN 50132-5: 2004 Sisteme de alarmă. Sisteme de supraveghere TVCI
care se utilizează în aplicaţiile de securitate.
Partea 5: Transmisia video.

53 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

o SREN 50133-1: 2002/A1: 2004 Sisteme de alarmă. Sisteme de control al


accesului utilizate în aplicaţii de securitate.
Partea 1: Prescripţii pentru sisteme.
o SREN 50133-2-1: 2004 Sisteme de alarmă. Sisteme de control al accesului
utilizate în aplicaţii de securitate. Partea 2-1:
Prescripţii generale pentru componente.
o SREN 50133-7: 2004 Sisteme de alarmă. Sisteme de control al accesului
utilizate în aplicaţii de securitate. Partea 7:
Ghid de aplicare.
o SREN 50136-1-1: 2004/A1:2004 Sisteme de alarmă. Sisteme şi echipamente
de transmisie a alarmei. Partea 1-1: Prescripţii
generale pentru sisteme de transmisie a alarmei.
o SREN 50136-1-2: 2004 Sisteme de alarmă. Sisteme şi echipamente de
transmisie a alarmei. Partea 1-2: Prescripţii referitoare la
sisteme care utilizează canale de alarmă dedicate.
o SREN 50136-1-3: 2003 Sisteme de alarmă. Sisteme şi echipamente de
transmisie a alarmei. Partea 1-3: Prescripţii referitoare la
sisteme cu comunicatoare digitale pe reţeaua telefonică
publică cu comutare.
o SREN 50136-1-4: 2003 Sisteme de alarmă. Sisteme şi echipamente de
transmisie a alarmei. Partea 1-4: Prescripţii referitoare la
sisteme utilizând comunicatoare vocale pe reţeaua telefonică
publică cu comutare.
o SREN 50136-2-1: 2004/A1:2004 Sisteme de alarmă. Sisteme şi echipamente
de transmisie a alarmei. Partea 2-1: Prescripţii
generale pentru echipamente de transmisie a
alarmei.
o SREN 50136-2-2: 2003 Sisteme de alarmă. Sisteme şi echipamente de
transmisie a alarmei. Partea 2-2: Prescripţii referitoare la
echipamente pentru sisteme utilizând canale de alarmă
dedicate.
o SREN 50136-2-3: 2003 Sisteme de alarmă. Sisteme şi echipamente de
transmisie a alarmei. Partea 2-3: Prescripţii referitoare la
echipamente utilizate în sisteme cu comunicatoare digitale pe
reţeaua telefonică publică cu comutare.
o SREN 50136-2-4: 2003 Sisteme de alarmă. Sisteme şi echipamente de
transmisie a alarmei. Partea 2-4: Prescripţii referitoare la
echipamente utilizate în sisteme cu transmisie vocală pe
reţeaua telefonică publică cu comutare.
o Normativul I18/1-01 pentru Proiectarea şi executarea instalaţiilor electrice interioare de
curenţi slabi aferente clădirilor civile şi de producţie;
o Normativul I18/2-02 pentru Proiectarea şi executarea instalaţiilor de semnalizare a
incendiilor şi a sistemelor contra efracţiei din clădiri;
o Normativul de siguranţă la foc a construcţiilor, P 118/1999;
o Metodologia de identificare şi evaluare a riscurilor de incendiu aprobată cu O.M.I.
nr.210/2007;
o Calculul sarcini termice, STAS nr. 10903/2;
o Calitatea în construcţii, Legea nr. 10/1995, cu modificările ulterioare;
o Metodologia de elaborare a scenariilor de securitate la incendiu aprobată cu O.M.I
nr.130/2007;

54 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

1.2 Cerinţele legale privind operarea cu informaţii secrete de serviciu şi informaţii


secrete de stat
Aceste cerinţe sunt stipulate în:
o Legea nr. 182/2002 privind protecţia informaţiilor clasificate;
o Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie
a informaţiilor clasificate în România;
o Hotărârea Guvernului nr. 781/2002 privind protecţia informaţiilor secrete de serviciu;
o Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) privind
protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;
o Legea nr. 544/2001 privind accesul la informaţiile publice precum şi în Ordinele
Directorului Oficiului Naţional al Informaţiilor Secrete de Stat.
o SR ISO/CEI 27002:2008 Tehnologia informaţiei.Tehnici de securitate. Cod de bună
practică pentru managementul securităţii informaţiei.

NOTĂ:
Cerinţele privind securitatea fizică sunt detaliate în cadrul
temei „Sistem integrat de securitate fizică”.
Materialul de faţă se va referi, în principal, la cerinţele
privind securitatea informaţiei, în conformitate cu SR
ISO/CEI 27002:2008 .

2. Securitatea informaţiei

Informaţia este o resursă care, asemănător altor resurse importante ale unei organizaţii, are
o importanţă deosebită pentru organizaţie şi, în consecinţă, necesită o protecţie adecvată. Aceasta
prezintă o importanţă deosebită pentru actualul mediu de afaceri ale cărui interconexiuni se
accentuează. Ca urmare a acestui fapt, informaţiile sunt expuse unor ameninţări şi vulnerabilităţi din
ce în ce mai numeroase şi mai diversificate.
Informaţiile pot exista sub diferite forme: tipărite sau scrise pe hârtie, stocate electronic,
transmise prin poştă sau prin echipamente electronice, prezentate pe filme sau comunicate în cadrul
unor conversaţii. Orice formă ar avea informaţiile sau orice metode de stocare ar fi folosite, ele
trebuie să fie întotdeauna protejate corespunzător.
Securitatea informaţiei protejează informaţiile de o gamă largă de ameninţări pentru a se putea
asigura continuitatea activităţii, minimalizarea riscului afacerii şi maximalizarea reinvestiţiei şi
oportunităţilor afacerii.
Securitatea informaţiei este obţinută prin implementarea unui set adecvat de măsuri de
securitate, între care pot fi: politici, procese, proceduri, structuri organizaţionale şi funcţiuni legate
de software şi hardware. Aceste măsuri de securitate trebuie stabilite, implementate, monitorizate,
analizate şi îmbunătăţite, când este cazul, pentru a se asigura atingerea obiectivelor specifice de
securitate ale organizaţiei. Acestea trebuie asociate cu alte procese de management ale afacerii.

2.1 De ce este necesară securitatea informaţiei

Informaţiile şi procesele, sistemele şi reţelele care o susţin sunt resurse importante ale
organizaţiei. Definirea, realizarea, menţinerea şi îmbunătăţirea securităţii informaţiei pot fi esenţiale
pentru menţinerea competitivităţii, a profitabilităţii şi a fluxului de numerar, a legalităţii şi a imaginii
comerciale.
Organizaţiile, sistemele şi reţelele lor de informaţii se confruntă cu ameninţări la adresa
securităţii dintr-o gamă largă de surse, între care: fraudă prin intermediul calculatoarelor, spionaj,
sabotaj, vandalism, incendiu sau inundaţie. Cauzele producătoare de pagube cum ar fi codurile cu
potenţial dăunător, atacuri de tip hacking, precum şi refuzul serviciului au devenit mai frecvente,
mai răspândite şi din ce în ce mai sofisticate.
55 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Securitatea informaţiei este importantă atât pentru sectorul public, cât şi pentru cel privat şi
pentru protejarea infrastructurilor importante. În ambele sectoare, securitatea informaţiei
funcţionează ca un factor care permite, spre exemplu, implementarea electronică a actului
guvernamental, comerţul electronic, precum şi evitarea sau reducerea riscului relevant.
Interconectarea reţelelor publice cu cele private şi folosirea în comun a resurselor informaţionale
sporesc dificultatea realizării unui control adecvat al accesului. Tendinţa de a se apela la sisteme
distribuite de calcul a diminuat eficacitatea unui control centralizat şi specializat.
Multe sisteme informatice nu au fost proiectate pentru a fi sigure. Securitatea care poate fi
obţinută prin metode tehnice este limitată şi ar trebui să fie susţinută de un management şi proceduri
adecvate. Identificarea măsurilor de securitate care ar trebui implementate presupune o planificare
atentă şi atenţie la detalii. O cerinţă minimală pentru asigurarea managementului securităţii
informaţiei o reprezintă participarea tuturor angajaţilor organizaţiei. De asemenea, se poate impune
participarea acţionarilor, furnizorilor, terţilor, clienţilor sau a altor părţi externe. Poate fi, de
asemenea, nevoie de consultanţă specializată din partea unei organizaţii externe.

2.2 Cum se stabilesc cerinţele de securitate

Este esenţial ca organizaţiile să îşi identifice propriile cerinţe de securitate. Există trei surse
principale de cerinţe de securitate:
1. Prima sursă provine din determinarea riscului la care este expusă organizaţia, ţinând cont
de strategiile şi obiectivele generale ale acesteia. Prin determinarea riscului se identifică
ameninţările la adresa resurselor, se evaluează vulnerabilităţile la aceste ameninţări şi probabilitatea
de concretizare a acestora şi se estimează impactul potenţial.
2. A doua sursă o reprezintă cerinţele legale, statutare, reglementările şi cerinţele
contractuale pe care o organizaţie, partenerii săi comerciali, contractorii şi furnizorii săi de servicii
trebuie să le respecte, precum şi mediul socio-cultural al acestora.
3. A treia sursă o constituie setul specific de principii, obiective şi cerinţe ale afacerii pentru
procesarea informaţiei pe care organizaţia le dezvoltă pentru a-şi susţine activităţile.

2.3 Determinarea riscurilor de securitate

Cerinţele de securitate sunt identificate printr-o evaluare metodică a riscurilor de securitate.


Cheltuielile destinate măsurilor de securitate trebuie să fie proporţionale cu daunele care ar putea
rezulta în urma breşelor de securitate.
Rezultatul acestei determinări de risc va ajuta la indicarea şi stabilirea acţiunilor de
management adecvate şi a priorităţilor managementului riscului de securitate a informaţiei, precum
şi la implementarea măsurilor de securitate selectate în scopul asigurării protecţiei împotriva acestor
riscuri.
Determinarea riscului trebuie repetată periodic pentru abordarea oricăror schimbări care ar
putea influenţa rezultatul activităţii de determinare a riscului.

2.3.1 Determinarea riscului de securitate conform standardului SR ISO/CEI


27002:2008

Determinarea riscului trebuie să identifice, să cuantifice şi să stabilească prioritatea riscului


prin prisma criteriilor de risc acceptabil şi a obiectivelor relevante pentru organizaţie. Acţiunile de
management şi priorităţile adecvate pentru managementul riscurilor de securitate a informaţiei şi
pentru implementarea măsurilor de securitate selecţionate pentru protecţia împotriva riscurilor
trebuie orientate şi stabilite pe baza acestor rezultate. S-ar putea să fie necesar ca procesul de
determinare a riscului şi de selecţie a măsurilor de securitate să fie reluat de câteva ori pentru a fi
acoperite diverse zone ale organizaţiei sau sisteme de informaţii individuale.

56 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Determinarea riscului trebuie să cuprindă abordarea sistematică a estimării mărimii


riscurilor (analiza de risc) şi procesul de comparare a riscurilor estimate faţă de criteriile de risc,
pentru stabilirea semnificaţiei riscurilor (evaluarea riscului).
Determinările de risc trebuie efectuate periodic pentru a se răspunde schimbărilor
înregistrate de cerinţele de securitate şi de situaţiile de risc, spre exemplu în privinţa resurselor,
ameninţărilor, vulnerabilităţilor, impacturilor, evaluării riscului, precum şi în cazul unor schimbări
semnificative. Aceste determinări de risc trebuie realizate într-o manieră metodică capabilă să
producă rezultate comparabile şi reproductibile.
Determinarea riscului privind securitatea informaţiei trebuie să vizeze un domeniu precis
pentru a fi eficientă şi trebuie să cuprindă legături cu determinările de risc din alte domenii, dacă
este cazul.
Domeniul unei determinări de risc poate cuprinde fie întreaga organizaţie, părţi din acea
organizaţie, un sistem individual de informaţii, componente specifice de sistem sau servicii unde
acest lucru este realizabil, realist şi util.

2.3.2 Tratarea riscurilor de securitate conform standardului SR ISO/CEI 27002:200

Înainte de a aborda tratarea unui anumit risc, organizaţia trebuie să stabilească criterii pe
baza cărora să decidă dacă riscurile pot fi acceptate sau nu. Riscurile pot fi acceptate dacă se
estimează, de exemplu, că riscul este scăzut sau că tratarea nu este eficientă pentru organizaţie din
punct de vedere al costului. Astfel de decizii trebuie înregistrate.
Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesară o decizie
privind tratarea riscului. Opţiunile posibile pentru tratarea riscului cuprind:
a) aplicarea măsurilor adecvate de securitate pentru reducerea riscului;
b) acceptarea conştientă şi obiectivă a riscurilor cu condiţia ca acestea să fie conforme
politicii şi criteriilor organizaţiei privind acceptarea riscului;
c) evitarea riscurilor prin interzicerea acţiunilor care ar putea cauza apariţia de riscuri;
d) transferul riscurilor asociate către terţe părţi, spre exemplu asiguratori sau furnizori.

2.4 Selectarea măsurilor de securitate

Odată identificate cerinţele şi riscurile de securitate şi odată luate deciziile privind tratarea
riscului, trebuie selectate şi implementate măsurile necesare asigurării reducerii riscului la un nivel
acceptabil. Măsurile de securitate pot fi selectate din standardul SR ISO/CEI 27002:2008 sau din
alte liste de măsuri de securitate sau pot fi proiectate măsuri de securitate proprii care să
îndeplinească cerinţe specifice în mod adecvat. Selectarea măsurilor de securitate depinde de
deciziile luate la nivelul organizaţiei pe baza criteriilor de acceptare a riscului, a opţiunilor privind
tratarea riscului şi a abordării generale a managementului de risc în cadrul organizaţiei, trebuind să
fie de asemenea supuse legislaţiei şi reglementărilor relevante naţionale şi internaţionale.
Unele dintre măsurile de securitate din acest document pot fi considerate linii directoare
pentru managementul securităţii informaţiei aplicabile majorităţii organizaţiilor. Ele sunt explicate
în continuare sub titlul „Punct de pornire pentru securitatea informaţiei”.

Pentru acele riscuri pentru tratarea cărora s-a luat decizia de aplicare a măsurilor de
securitate adecvate, respectivele măsuri trebuie selectate şi implementate pentru a răspunde
cerinţelor identificate prin determinarea riscului. Măsurile trebuie să asigure reducerea riscurilor la
un nivel acceptabil ţinând cont de:
a) cerinţele şi constrângerile reglementărilor şi legislaţiei internaţionale;
b) obiectivele organizaţiei;
c) cerinţele şi constrângerile operaţionale;
d) costul implementării şi operării în raport cu riscurile care se reduc, păstrând
proporţionalitatea faţă de cerinţele şi limitările specifice organizaţiei;

57 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

e) necesitatea de realizare a unui echilibru între investiţia în implementarea şi operarea


măsurilor de securitate şi pagubele probabile de pe urma breşelor de securitate.

Este necesar să se recunoască faptul că s-ar putea ca unele măsuri de securitate să nu fie
aplicabile oricărui sistem informaţional sau mediu şi să nu poată fi practicate de orice organizaţie.
Este posibil ca în organizaţiile mici să nu poată fi separate toate sarcinile, fiind, probabil, nevoie de
alte modalităţi de realizare a aceluiaşi obiectiv de control. Măsurile de securitate, cum ar fi
înregistrarea evenimentului, ar putea intra în conflict cu legislaţia aplicabilă, ca de exemplu cea
privitoare la protejarea caracterului privat al informaţiei clienţilor sau la locul de muncă.
Măsurile de securitate a informaţiei trebuie avute în vedere în faza de proiectare a cerinţelor
sistemelor şi proiectelor. În caz contrar, se pot înregistra costuri suplimentare şi soluţii mai puţin
eficiente şi, în cel mai rău caz, se ajunge la incapacitatea de realizare a unei securităţi adecvate.

Trebuie reţinut faptul că niciun set de măsuri de securitate nu poate realiza o securitate
totală şi că sunt necesare acţiuni manageriale suplimentare pentru monitorizarea,
evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate în sprijinul ţelurilor
organizaţiei.

2.5 Punct de pornire pentru securitatea informaţiei

Unele măsuri de securitate pot fi considerate un bun punct de pornire pentru implementarea
securităţii informaţiei. Ele se bazează fie pe cerinţe legislative esenţiale, fie sunt considerate
practică curentă pentru securitatea informaţiei.
Măsurile de securitate considerate esenţiale pentru o organizaţie din punct de vedere
legislativ cuprind, în funcţie de legislaţia aplicabilă:
a) protecţia datelor din domeniu, aplicarea şi păstrarea secretului informaţiei cu caracter
personal;
b) protejarea înregistrărilor organizaţiei;
c) drepturi de proprietate intelectuală.

Măsurile de securitate considerate a fi practică curentă pentru securitatea informaţiei sunt:


a) documentul în care este prezentată politica de securitate a informaţiei;
b) alocarea responsabilităţilor în domeniul securităţii informaţiei;
c) conştientizarea, educarea şi instruirea în domeniul securităţii informaţiei;
d) procesarea corectă în cadrul aplicaţiilor;
e) managementul vulnerabilităţii tehnice;
f) managementul asigurării continuităţii afacerii;
g) managementul incidentelor şi îmbunătăţirilor legate de securitatea informaţiei.

Aceste măsuri de securitate se pot aplica în majoritatea organizaţiilor şi în majoritatea


mediilor.
Ar trebui evidenţiat că, deşi toate măsurile de securitate din standardul SR ISO/CEI
27002:2008 sunt importante şi trebuie avute în vedere, relevanţa fiecărei măsuri de securitate
trebuie determinată prin prisma riscurilor specifice cu care se confruntă organizaţia. De aceea, deşi
abordarea de mai sus este considerată ca fiind un punct bun de plecare, ea nu înlocuieşte selecţia
măsurilor de securitate pe baza unei determinări de risc în fiecare organizaţie.

58 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

2.6 Factori decisivi pentru asigurarea succesului

Experienţa a arătat că, pentru reuşita implementării unui sistem de securitate a informaţiei,
în cadrul unei organizaţii, sunt adesea decisivi următorii factori:
a) politica de securitate, obiectivele şi activităţile care reflectă obiectivele afacerii;
b) o abordare şi un cadru pentru implementarea, menţinerea, monitorizarea şi îmbunătăţirea
securităţii informaţiei în corespondenţă cu cultura organizaţională;
c) o susţinere şi un angajament ferm din partea tuturor nivelurilor de conducere;
d) o bună înţelegere a cerinţelor de securitate, a determinării riscului şi a managementului
riscului;
e) un marketing eficient al securităţii informaţiei pentru toţi directorii, angajaţii şi alte părţi
care contribuie la realizarea conştientizării;
f) distribuirea îndrumărilor privind politica şi standardele de securitate a informaţiei către
toţi directorii, angajaţii şi alte părţi;
g) asigurarea fondurilor necesare activităţilor de management al securităţii informaţiei;
h) asigurarea unei conştientizări, instruiri şi educaţii corespunzătoare;
i) stabilirea unui proces eficient de management al incidentelor de securitate a informaţiei;
j) implementarea unui sistem de măsurare pentru evaluarea performanţei în managementul
securităţii informaţiei precum şi pentru inducerea sugestiilor de îmbunătăţire.

2.7 Dezvoltarea propriilor linii directoare

Acest cod de practică poate fi privit ca punct de pornire pentru dezvoltarea unui set de linii
directoare specifice organizaţiei. Nu toate măsurile de securitate şi îndrumările din acest cod de
practică sunt aplicabile. Mai mult, pot fi necesare măsuri de securitate şi îndrumări suplimentare
care nu sunt incluse în standardul SR ISO/CEI 27002:2008.
Când se elaborează documente care cuprind îndrumări sau măsuri de securitate
suplimentare poate fi util să se insereze referiri la articolele standardul SR ISO/CEI 27002:2008,
unde este cazul, pentru uşurarea verificării conformităţii de către auditori şi partenerii de afaceri.

3. Cerinţe suplimentare pentru organizaţiile care operează cu informaţiile clasificate

În conformitate cu prevederile legale, organizaţia trebuie să întocmească Programul de


prevenire a scurgerii de informaţii clasificate, pe care să-l supună spre aprobare Serviciului Român
de Informaţii şi să asigure aplicarea acestuia.
De asemenea, organizaţia trebuie să numească, prin decizie internă, structura de securitate,
dimensionată în funcţie de volumul de informaţii secrete de serviciu gestionate.
Structura de securitate trebuie să fie formată din persoane specializate în implementarea
procedurilor şi normelor de protecţie a informaţiilor clasificate în toate componentele acestora, şi
anume:
- protecţia juridică;
- protecţia prin măsuri procedurale;
- protecţia personalului;
- protecţia fizică;
- protecţia sistemelor informatice şi de comunicaţii (INFOSEC).

Structura de securitate are atribuţii conform H.G. nr. 585/2002, şi anume:

a) Principii şi cerinţe generale


- apărarea informaţiilor clasificate împotriva acţiunilor de compromitere, sabotaj, sustragere,
distrugere neautorizată sau alterare;

59 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- prevenirea accesului neautorizat la astfel de informaţii, a cunoaşterii şi diseminării lor


ilegale;
- înlăturarea riscurilor şi vulnerabilităţilor ce pot pune în pericol protecţia informaţiilor
clasificate;
- asigurarea cadrului procedural necesar protecţiei informaţiilor clasificate.
Normele proprii stabilite în aplicarea cerinţelor legale privind protecţia informaţiilor
clasificate şi măsurile cuprinse în programul pentru prevenirea scurgerilor de informaţii clasificate
se aplică în mod obligatoriu şi unitar atât în locurile în care se depozitează aceste informaţii, cât şi
în sistemul informatic care stochează, prelucrează sau transmite astfel de informaţii, precum şi
persoanelor care au acces şi utilizează sistemul.

b) Accesul la informaţii clasificate


- întocmirea unei liste cu toate informaţiile secret de serviciu din organizaţie şi actualizarea
ei când este cazul;
- întocmirea listei cu funcţiile care necesită acces la informaţiile secret de serviciu. În listă se
vor prevedea numai acele funcţii (persoane) care pentru a-şi îndeplini atribuţiile de serviciu au
nevoie de aceste informaţii;
- accesul la informaţii secret de serviciu este permis numai personalului autorizat de
directorul general al organizaţiei, în baza verificărilor şi abilităţilor legale. Cei autorizaţi vor primi
„Autorizaţie de acces la informaţii secrete de serviciu”;
- înfiinţarea registrului pentru evidenţa autorizaţiilor de acces la informaţii secrete de
serviciu;
- transmiterea informaţiilor secret de serviciu numai acelor organizaţii (entităţi) care au
program de prevenire a scurgerilor de informaţii clasificate avizat de Serviciul Român de Informaţii
şi numai prin poşta militară sau curier special.

c) Protecţia juridică
- instruirea întregului personal care are acces la informaţiile secrete de serviciu cu
prevederile H.G. nr. 781/2002 şi ale altor acte normative la care acesta face trimitere şi asigurarea
că aceste prevederi sunt cunoscute;
- cercetarea oricărei încălcări a reglementărilor de securitate pentru a se constata dacă
informaţiile respective au fost compromise, dacă s-au creat prejudicii şi stabilirea măsurilor
corective, disciplinare sau juridice necesare;
- instituirea evidenţei tuturor cazurilor de încălcare a reglementărilor de securitate şi punerea
lor şi la dispoziţia Serviciului Român de Informaţii.

d) Măsuri procedurale
- emiterea normelor interne de aplicare a măsurilor privind protecţia informaţiilor clasificate
şi controlul respectării lor;
- asigurarea fondurilor necesare pentru implementarea măsurilor de protecţie a informaţiilor
clasificate;
- întocmirea de către organizaţie şi semnarea angajamentelor de confidenţialitate de către toţi
cei care sunt autorizaţi să aibă acces la informaţii secret de serviciu;
- planul de pază şi apărare va fi clasificat „secret de serviciu” şi va cuprinde totalitatea
măsurilor de securitate întreprinse pentru prevenirea accesului neautorizat la informaţiile protejate.
Planul de pază trebuie să fie anexat la programul de prevenire a scurgerii de informaţii clasificate.

e) Protecţia fizică
- zonele în care se lucrează cu informaţii secrete de serviciu vor fi stabilite ca zone
administrative, delimitate vizibil, în interiorul cărora să existe posibilitatea de control al
personalului şi al autovehiculelor;

60 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- cerinţele de protecţie fizică pentru zonele în care se păstrează, manipulează sau se


accesează informaţii secrete de serviciu sunt acoperite de „Sistemul integrat de securitate fizică” al
organizaţiei (v. tema Cerinţe ale sistemului integrat de securitate).

f) Protecţia personalului
- selecţionarea, verificarea, avizarea şi autorizarea persoanelor care au acces la informaţiile
secrete de serviciu se realizează de către conducerea organizaţiei prin compartimentul resurse
umane şi trebuie să aibă în vedere ca persoanele care vor ocupa funcţii ce necesită acces la astfel de
informaţii să aibă trăsăturile de caracter şi recomandările care dau garanţii pentru reducerea
riscurilor de securitate.

g) INFOSEC
- instituirea componentei de Securitate pentru Tehnologia Informaţiei şi a Comunicaţiilor
(CSTIC) în subordinea structurii de securitate din organizaţie. Această componentă va fi formată cel
puţin din administratorul de securitate al reţelei;
- înfiinţarea unui sistem de Prelucrare Automată a Datelor (SPAD), în care se stochează şi
procesează informaţiile secrete de serviciu;
- actualizarea listei utilizatorilor autorizaţi în timp cât mai scurt, constant;
- vor exista conturi privilegiate pentru administratorul de sistem şi pentru administratorul de
securitate;
- utilizatorii îşi vor dovedi identitatea înainte de accesarea oricărei aplicaţii;
- parolele utilizatorilor vor avea cel puţin 6 caractere şi vor fi schimbate la 180 de zile;
- schimbarea parolelor de fiecare dată când acestea sunt compromise sau divulgate unor
persoane neautorizate;
- păstrarea parolelor conturilor privilegiate în plicuri sigilate, într-un container sigur,
stabilindu-se procedurile de păstrare şi acces;
- oprirea procesului de iniţiere a sesiunii de lucru şi blocarea contului de utilizator după trei
încercări nereuşite de autentificare;
- întocmirea unei liste a situaţiilor în care un utilizator trebuie să fie autentificat;
- în timpul procesului de autentificare, sistemul va furniza utilizatorului, ca feedback, doar o
cantitate de informaţii limitată;
- auditarea situaţiilor de folosire fără succes a mecanismului de identificare a utilizatorului;
- implementarea mecanismelor de limitare a accesului doar la datele pentru care utilizatorul
are nevoia de a le cunoaşte;
- implementarea privilegiilor de acces pentru restricţionarea drepturilor de acces acordate
unui utilizator (de ex.- citire, scriere, modificare, ştergere);
- înainte de iniţializarea unei sesiuni, va fi afişat un anunţ care va indica faptul că sistemul
este supus controlului pentru detectarea activităţilor neautorizate şi că au acces doar utilizatorii
autorizaţi;
- blocarea unei sesiuni interactive după o perioadă specifică de inactivitate a utilizatorului,
ştergând sau suprascriind imaginea afişată pe monitor şi dezactivând orice activitate a dispozitivelor
de acordare a accesului la datele utilizatorului sau de afişare a acestora, cu excepţia celei de blocare
a sesiunii;
- implementarea mecanismelor de protejare a informaţiilor reziduale pentru ca informaţiile
şterse să nu mai poată fi accesate şi pentru ca noile obiecte create să nu conţină informaţii care nu
trebuie să fie accesibile;
- stabilirea în documentaţia de securitate a evenimentelor care urmează să fie abordate în
procesele de evidenţă şi audit;
- realizarea de înregistrări de audit pentru fiecare din următoarele evenimente, cu asocierea
fiecărui eveniment cu identitatea utilizatorului, data, ora, tipul evenimentului şi rezultatul lui
(succes sau eşec):
- iniţializarea sistemului (inclusiv reiniţializările) şi închiderea;

61 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- conectările (inclusiv încercările de conectare) şi deconectările fiecărui utilizator;


- schimbări ale permisiunilor şi privilegiilor utilizatorilor şi grupurilor;
- schimbări ale informaţiilor referitoare la managementul de securitate al sistemului
(inclusiv funcţiile de audit);
- iniţializarea şi închiderea funcţiei de audit.
- instalarea pe toate serverele şi staţiile de lucru a unui produs software de detectare a
viruşilor/codurilor nocive, configurat pentru verificarea automată la iniţializarea sistemului şi pentru
verificarea automată la introducerea mediilor de stocare amovibile;
- actualizarea, în mod regulat, a software-ului de detectare a viruşilor/codurilor nocive;
- elaborarea de proceduri pentru realizarea copiilor de siguranţă, în care se vor stabili:
- frecvenţa realizării copiilor de siguranţă;
- cerinţele de stocare, aplicabile în interiorul zonei de securitate (containere
ignifuge) sau în exteriorul ei;
- controlul accesului autorizat la copiile de siguranţă.
- raportarea către structura de securitate a funcţionării necorespunzătoare a produselor
hardware şi software;
- elaborarea de proceduri de întreţinere a produselor hardware şi software.

62 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 3. Procesul de management al riscurilor de securitate

1. Consideraţii generale
Realităţile începutului de mileniu (descreştere economică, sprijin scăzut acordat statelor în
curs de dezvoltare, sărăcie în ţările dezvoltate, consum dezechilibrat de energie şi resurse materiale,
erori de analiză şi evaluare care duc la politici financiare contraproductive, precum şi revitalizarea
unor ideologii violente) impun o reevaluare a riscurilor şi ameninţărilor la adresa securităţii
naţionale şi internaţionale. O problemă majoră care necesită a fi soluţionată este legată de
perspectivele realiste ale dezvoltării durabile, a căilor şi mijloacelor tehnologice de asigurare a
protecţiei infrastructurilor implicate în această dezvoltare.
Caracterul continuu al provocărilor generate de noi riscuri şi ameninţări, impune noi reguli,
valori şi atitudini/comportamente, acceptate şi asumate de opinia publică şi statele democratice, cât
şi proiectarea de noi tehnici de guvernare/ administrare a resurselor societăţii. Acestea sunt
determinate de:
- progresul ştiinţific accelerat şi inovaţia tehnologică, vulnerabilitatea în continuă creştere a
sistemelor vitale şi riscurile pe scară largă, cu impact transfrontalier;
- interdependenţa sporită între posibile accidente/disfuncţii de ordin tehnic sau la nivelurile
social şi cultural;
- globalizarea în expansiune şi concentrarea unor procese/fenomene; persistenţa
discrepanţelor la nivel mondial; schimbări în domeniul capacităţilor de reglare a acestora, de la
nivelul unui singur guvern, la o multitudine de factori, structuri, instituţii implicate;
- punerea în discuţie a unor orientări/abordări/concepţii de bază şi noile schimbări apărute în
domeniul evaluării riscurilor şi a gestionării acestora;
- abordările tradiţionale sunt depăşite; confruntate cu ineficienţa, inconsistenţa,
incorectitudinea şi lipsa de transparenţă, ele nu mai reprezintă, în mod evident, singurele dileme
majore existente.

Acestea sunt aspecte fundamentale în zilele noastre, care impun cerinţe noi privind
planificarea securităţii cu flexibilitate şi creativitate, ţinând cont de valorile şi activităţile vitale
pentru entitate. În acest sens, tema de faţă îşi propune următoarele obiective:
 Să ofere managementului de securitate un instrument de analiză pentru fundamentarea
unor programe de control al riscului – concentrarea resurselor în programe de management al
riscurilor critice, monitorizarea evoluţiei riscurilor prin repetarea periodică a analizei, limitarea
alocării de resurse pentru controlul unor riscuri a căror criticalitate a fost diminuată / eliminată în
urma măsurilor de control implementate, transferul riscurilor prin asigurări;
 Să ajute la elaborarea analizei de impact şi la fundamentarea Planului de continuitate a
activităţii, prin identificarea riscurilor cu care se confruntă societatea şi evidenţierea riscurilor
critice pentru care societatea urmează să dezvolte măsuri de prevenire şi diminuare a impactului.

2. Managementul riscurilor de securitate

2.1. Definiţii
Ameninţare: se referă la existenţa unei intenţii şi la capacitatea cuiva (sau ceva) de a
provoca consecinţe dezastruoase.

Vulnerabilitate: este o slăbiciune care poate fi folosită pentru a conduce la consecinţe


dezastruoase.

Consecinţă: (în urma producerii unui eveniment) reprezintă gradul de impact asupra
intereselor celor implicaţi.

63 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Protecţie: înseamnă toate activităţile îndreptate spre asigurarea funcţionalităţii, continuităţii


şi integrităţii valorilor şi activităţilor vitale pentru entitate, pentru a împiedica, a atenua şi a
neutraliza o ameninţare, un risc sau o vulnerabilitate.

Pierdere de funcţionalitate: se foloseşte pentru a desemna o degradare inacceptabilă, sub


nivelul de funcţionare critic pe care ar trebui să îl asigure valorile şi activităţile vitale pentru
entitate.

Bunuri critice: înseamnă acele bunuri ale entităţii prin a căror degradare / distrugere se
ajunge la pierderea de funcţionalitate.

Informaţii clasificate legate de protecţia valorilor şi activităţilor vitale: înseamnă date,


informaţii despre acestea, prin a căror dezvăluire, ar putea fi utilizate pentru a plănui sau a acţiona
în vederea afectării grave a valorilor şi activităţilor vitale pentru entitate.

Risc: este o evaluare a probabilităţii ca o ameninţare să folosească cu succes o


vulnerabilitate şi să producă o consecinţă dezastruoasă. Totuşi, trebuie precizat că noţiunea de risc
este foarte complexă şi poate avea multiple înţelesuri. Specialiştii nu s-au pus încă de acord
asupra semnificaţiei termenului “risc”. Una dintre cele mai frecvente interpretări este cea din
această definiţie.

Analiză de risc: înseamnă luarea în considerare a scenariilor de ameninţare relevante, pentru


a evalua vulnerabilitatea şi potenţialul impact avut în cazul unei avarieri sau distrugeri a valorilor şi
activităţilor vitale pentru entitate.

2.2. Etape ale unui program de management al riscurilor

Rezolvarea unei probleme de securitate implică, înainte de toate, o analiză amănunţită a


aspectelor actuale şi viitoare dependente de risc. Concluziile analizei trebuie să evidenţieze
posibile căi şi modalităţi de manifestare a pericolelor, măsurile care trebuie luate pentru
contracararea acestora precum şi metodologia de aplicarea a acestor măsuri.

Într-un program de management al riscurilor este necesară parcurgerea mai multor paşi:

Pasul 1. Identificarea bunurilor critice şi a impactului pierderii lor

a) Identificarea funcţiilor critice ale obiectivului (entităţii);


b) Determinarea bunurilor ce îndeplinesc sau susţin funcţiile critice;
c) Evaluarea consecinţelor sau a impactului asupra funcţiilor critice, datorate sciziunii sau
pierderii fiecăruia dintre aceste bunuri critice.

Pasul 2. Identificarea a ceea ce protejează şi susţin bunurile critice

a) Identificarea componentelor sistemului de securitate ce protejează fiecare bun;


b) Identificarea infrastructurilor interne şi externe critice (de ex., curentul electric,
telecomunicaţiile, sistemele de urgenţă, sistemele de calculatoare, sistemele
semnalizare / stingere incendiu etc.) care susţin operaţiile critice ale fiecărui bun;
c) Identificarea informaţiilor şi a operaţiilor ce trebuie protejate.

64 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Pasul 3. Identificarea şi caracterizarea ameninţărilor

a) Strângerea de informaţii asupra eventualelor ameninţări şi identificarea categoriilor de


ameninţări şi a potenţialilor adversari;
b) Identificarea tipurilor de evenimente nedorite sau de incidente ce pot fi iniţiate de
fiecare ameninţare sau oponent;
c) Estimarea frecvenţei şi a probabilităţii fiecărui eveniment nedorit sau incident, pe baza
unor informaţii din trecut.

Pasul 4. Identificarea şi analizarea vulnerabilităţilor

a) Identificarea potenţialelor vulnerabilităţi ale fiecărui bun, la fiecare ameninţare;


b) Identificarea măsurilor existente luate pentru a proteja bunurile critice şi estimarea
nivelului lor de eficacitate în reducerea vulnerabilităţii fiecărui bun supus oricăreia
dintre ameninţări sau oponenţi (pasul 2 asigură un punct de susţinere pentru această
activitate);
c) Estimarea gradului de vulnerabilitate al fiecărui bun critic pentru fiecare eveniment
nedorit sau incident.

Pasul 5. Evaluarea riscurilor şi determinarea priorităţilor pentru protecţia bunurilor

a) Estimarea efectului ameninţărilor sau a oponenţilor asupra fiecărui bun critic, luând în
considerare măsurile de protecţie existente şi nivelul lor de eficacitate;
b) Determinarea gradului relativ de risc al obiectivului în cazul efectului asupra fiecărui
bun critic şi probabilitatea unui atac real;
c) Prioritizarea riscurilor pe baza gradului relativ de risc şi a probabilităţii unui atac,
folosind o evaluare integrală.

Pasul 6. Identificarea opţiunilor de diminuare, costuri şi raporturi

a) Identificarea posibilelor opţiuni de reducere a vulnerabilităţilor, respectiv a riscurilor;


b) Identificarea capacităţii şi eficacităţii acestor opţiuni de diminuare;
c) Identificarea costurilor opţiunilor de diminuare;
d) Analize asupra rapoartelor costuri-profit etc. pentru diversele opţiuni;
e) Prioritizarea alternativelor pentru implementarea variatelor opţiuni şi pregătirea
recomandărilor pentru luarea unor decizii.

2.2.1. Abordarea managementului riscurilor sub formă de proces Deming


O abordare similară, în care se regăsesc
etapele (paşii) menţionate mai sus este a Ciclului
Deming, cunoscut şi sub numele de: Shewhart
ciclu, roti Deming, sau Plan-Do-Check-Act (fig.
2.1), care a fost introdus în Japonia de către forţele
aliate, după al doilea război mondial, dovedindu-se
un factor de primă importanţă pentru rezultatele de
înaltă calitate obţinute de Japonia în toate
domeniile (inclusiv pentru planificarea strategică în
afaceri).

Fig. 2.1

65 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Ciclul Deming este un model de îmbunătăţire continuă a calităţii. El constă într-o secvenţă
logică de patru paşi, ce se repetă ciclic, pentru a genera îmbunătăţire şi învăţare continuă; este un
instrument util managementului pentru a implementa îmbunătăţiri continue în procesele pe care le
controlează. Acest ciclu permite urmărirea, vizualizarea şi acţiunea procesului real.
Complexitatea activităţilor de analiză a riscurilor impune o abordare bazată pe ciclul
Deming (PDCA), care are avantajul că permite o tratare graduală, repetitivă, asigurând astfel atât
adaptarea la modificările continue, cât şi îmbunătăţirea eficienţei şi eficacităţii sistemului.
PDCA este un proces iterativ cu patru etape de rezolvare a problemelor:
 PLAN (PLANIFICARE): În această fază, trebuie trasat un plan de acţiune care conţine
ţinte bine definite, care constituie indicaţii clare pentru stabilirea unui program concret ce poate fi
derulat în timp şi a obiectivelor ce trebuie urmărite. Etapa poate oferi ocazia de a identifica o
oportunitate şi a genera o schimbare. În acest sens, sunt necesari următorii paşi:
- definirea procesului: început, final, în ce constă;
- descrierea procesului: acţiuni, secvenţa paşilor, personal implicat, echipament utilizat,
condiţii de mediu, metode de lucru, materiale folosite;
- descriere părţi implicate: factori externi şi interni, furnizori, operatori de proces;
- definire aşteptări: ce se doreşte, când, unde;
- determinare date istorice disponibile relative la performanţa procesului sau a datelor
suplimentare necesare pentru a înţelege mai bine procesul;
- descrierea problemelor asociate cu procesul aşa cum sunt ele percepute;
- identificarea cauzelor primare ale problemelor şi impactul acestora asupra
performanţelor procesului;
- dezvoltarea potenţialelor elemente de schimbare sau a soluţiilor şi evaluarea modului în
care acestea vor influenţa cauzele identificate;
- selectarea celor mai promiţătoare soluţii.
 DO (IMPLEMENTARE): Implementare, schimbare şi execuţie.
- execuţia unui studiu pilot sau experiment pentru a testa impactul soluţiilor potenţiale;
- identificarea sistemelor de măsurare ce pot evidenţia modul în care orice schimbare sau
soluţie are succes în rezolvarea problemei identificate.
 CHECK / STUDY (VERIFICARE / STUDIU): În timpul execuţiei, este necesară
urmărirea şi verificarea implementării, pentru a monitoriza evoluţia proiectului şi a utilizării
resurselor în scopul de a acomoda planul iniţial cu condiţiile reale. Analizează modul de
implementare, analizează rezultatele acesteia şi identifică elementele învăţate pentru a le generaliza,
respectiv:
- examinarea rezultatelor studiului pilot sau experimentului;
- stabilirea existenţei unui progres în cadrul procesului;
- determinarea necesarului eventual de extindere a testării şi evaluării schimbării.
 ACT (ACŢIUNE): Dacă pe parcursul evaluării sunt identificate elemente care pot pune
în pericol ţintele stabilite, trebuie luate urgent măsuri corective sau de îmbunătăţire. Dacă
schimbarea este utilă, atunci trebuie să poată genera schimbări mai de amploare. În cazul în care
modificările nu sunt un succes, se reia ciclul din nou, respectiv:
- selectarea schimbării/soluţiei optime;
- dezvoltarea unui plan de implementare: ce trebuie făcut, cine trebuie implicat, când trebuie
finalizat planul;
- standardizarea soluţiei, ca efect al învăţării, de exemplu, prin rescrierea procedurii de
operare standard;
- stabilirea unui proces de monitorizare şi control al performanţei.
Apoi Ciclul poate reîncepe.

66 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Beneficiile aplicării Ciclului Deming:


- crearea unei rutine zilnice pentru individ şi echipă;
- structurarea procesului de rezolvare a problemelor;
- control în procesul de management;
- stimularea dezvoltării continue;
- dezvoltarea echilibrată a resurselor umane;
- testarea proceselor.

2.3. Evaluarea ameninţărilor


Ameninţarea (conform def. din par. 2.1.): se referă la existenţa unei intenţii şi la
capacitatea cuiva (sau ceva) de a provoca consecinţe dezastruoase. Ameninţările sunt caracterizate
atât prin mijloacele prin care se produc, cât şi prin probabilitatea apariţiei lor. Un sistem poate fi
confruntat cu mai multe ameninţări. Categoriile de adversari care provoacă ameninţări sunt de trei
tipuri:
- din interior;
- din exterior;
- din exterior în colaborare cu elemente interne.
Prin urmare, ameninţările sunt de o mare diversitate, în funcţie de factorii care le determină.
Se încearcă, mai departe, o sistematizare a acestora şi a riscurilor generate. Pentru elaborarea
analizelor de riscuri, ameninţările (A) se vor cuantifica într-o plajă valorică:
A Є (0, 10]

2.3.1. Ameninţări de mediu


 inundaţii provenite din ploi torenţiale, revărsări de ape, terenuri mlăştinoase: pot provoca
avarii mari la bunurile din teren, dar şi la instalaţiile şi bunurile din corpurile de clădiri;
 incendii datorate caniculei sau trăsnetelor: sunt afectate bunurile din teren;
 furtuni de vară însoţite de fulgere, trăsnete, rupere de nori (căderi mari de apă), vânt
puternic sau foarte puternic, tornadă: sunt afectate, în principal, bunurile din teren;
 furtuni de iarnă cu viscolirea şi troienirea zăpezilor, căderi masive de zăpadă: sunt
afectate, în principal, bunurile din teren;
 alunecări de teren: pot provoca avarii mari la bunurile din teren, dar şi la instalaţiile şi
bunurile din corpurile de clădiri şi clădirile însele;
 poluare cu agenţi de risc: particule conductive, corosive, substanţe toxice, CO etc.: pot
afecta sănătatea persoanelor, dar şi instalaţiile;
 cutremur: se pot produce efecte dezastruoase.
 Alte riscuri generate de ameninţări diverse din mediul înconjurător:
o trafic greu în proximitate: trepidaţii, poluare cu CO;
o alte ameninţări din imediata vecinătate (cămine de nefamilişti, restaurante, locuinţe
improvizate ale unor grupuri de infractori etc.);
o accidente auto, aviatice;
o epidemii;
o scurgere de gaz;
o grevă, revoltă;
o grupuri agresive.

2.3.2. Ameninţări din zona furnizorilor de servicii


 întreruperea furnizării de energie electrică;
 întreruperea sau diminuarea alimentării cu apă: efecte grave în caz de incendii;
 întreruperea sau deficienţe în sistemele informatice şi de comunicaţii;
 servicii de mentenanţă şi întreţinere instalaţii (ex. tehnologice);
 servicii de pază, prin nerespectarea sau încălcarea atribuţiilor.

67 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

2.3.3. Ameninţări generate de factorul uman neintenţionate


Pot apărea ameninţări generate de: starea temporară de boală, afecţiuni mentale (psihopaţi,
nebuni), înclinarea spre glume proaste.
a. Din partea angajaţilor proprii:
o neglijenţă: producere de accidente grave, distrugeri etc.;
o neatenţie: producere de accidente;
o lipsă personal;
o divulgare informaţii.
b. Din partea vizitatorilor:
o pătrundere în zone periculoase: accidente, provocarea unor distrugeri;
o neatenţie: producere de accidente.
c. Din partea vecinilor sau trecătorilor:
o pătrundere în zone periculoase (prin zone vulnerabile ale perimetrului): accidente,
provocarea unor distrugeri;
o aruncare de obiecte: pot fi afectate bunurile din teren.

2.3.4. Ameninţări generate de factorul uman intenţionate


Pot apărea ameninţări generate de: nemulţumiri, dorinţă de răzbunare, înclinarea spre glume
proaste.
a. Din partea angajaţilor proprii:
o sabotaj: riscuri diverse şi de niveluri diferite;
o fraudă: pagube materiale;
o vandalism; distrugeri de bunuri, instalaţii etc.;
o furt;
o divulgare de informaţii;
o lăsare echipamente deschise nesupravegheate: producere de accidente grave,
distrugeri etc.
b. Din partea colaboratorilor:
o furt;
o fraudă;
o vandalism: distrugeri de bunuri, instalaţii etc.;
o şantaj.
c. Din partea vizitatorilor:
o spionaj;
o fraudă;
o atac biologic: pune în pericol viaţa personalului.
d. Din partea atacatorilor:
o furt;
o atac terorist: atac cu bombă, sabotaj, ocupare obiectiv etc. (consecinţe extrem de
grave);
o interceptare date, comunicaţii: pot provoca perturbări grave în sistemul
informaţional;
o haking.
e. Din partea vandalilor:
o aruncare cu pietre, obiecte metalice etc.: distrugeri de bunuri, deteriorare instalţii
etc.
f. Din partea hoţilor:
o furturi de bunuri şi/sau materiale diverse: pagube materiale, accidente etc.;
o furturi de subansambluri echipamente rezervă; distrugeri de bunuri, accidente etc.
2.3.5. Ameninţări tehnice
În această categorie se pot încadra:

68 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

o deranjamente la instalaţii (defecte ascunse sau echipamente vechi): pot afecta


funcţionarea normală;
o incendii (funcţionare necorespunzătoare a instalaţiilor de stingere sau lipsa acestora):
- pagube mari;
- poluarea mediului (fum, compuşi chimici toxici rezultaţi prin ardere);
- punerea în pericol a sănătăţii oamenilor.
o prăbuşire clădiri (consolidate necorespunzător): distrugerea bunurilor pe care le
adăpostesc – pagube, riscuri multiple;
o scurgeri de gaz (formare de pungi – pericol de explozii), de carburanţi etc.: distrugeri
mari - greu de estimat.

2.3.6. Ameninţări informatice


În prezent, trebuie avută în vedere o nouă gamă de ameninţări de securitate generate de
folosirea sistemelor informatice şi comunicaţii şi a tehnologiilor de reţea din cadrul sistemelor
complexe.
În această situaţie, apar ameninţări, precum:
o utilizare neautorizată software;
o utilizare neautorizată media;
o utilizare software neautorizat;
o utilizare software maliţios;
o accesarea neautorizată a reţelei;
o gâtuire de trafic;
o supraîncărcare trafic;
o documente stocate în mediu neprotejat.
Ameniţările informatice amintite mai sus pot genera riscuri de niveluri ridicate, precum:
 afectare gravă a funcţiilor vitale ale entităţii;
 impact major asupra imaginii Societăţii (Companiei etc.).

2.4. Evaluarea vulnerabilităţilor


Vulnerabilitate (conform def. din par. 2.1.): este o slăbiciune care poate fi folosită pentru a
conduce la consecinţe dezastruoase.
De exemplu, vulnerabilitatea unui element de infrastructură este o funcţie a însăşi proiectării
sistemelor de protecţie (fizică sau de altă natură) şi a schimbărilor ce intervin pe parcursul timpului.
Proiectarea unui element de infrastructură defineşte punctele forte şi punctele slabe asociate cu un
anumit atac. Aceste puncte forte şi slăbiciuni pot fi evaluate odată cu evaluarea elementelor şi
parametrilor de proiectare. Sistemele de protecţie sunt proiectate să protejeze infrastructura faţă de o
gamă de ameninţări. Aceste sisteme sunt caracterizate de: capacitatea lor de a detecta apariţia unei
ameninţări, capacitatea de a întârzia ameninţarea sau de a răspunde la ameninţare cu forţe de
protecţie sau cu contramăsuri. Schimbările care se produc pe măsura trecerii timpului, cum ar fi
îmbătrânirea, uzura morală sau automulţumirea pot influenţa vulnerabilitatea unui element de
infrastructură.
Atacurile dau la iveală sau chiar exploatează vulnerabilităţi din interiorul infrastructurii, care
sunt ascunse în profunzime sau care devin vizibile numai în condiţii extreme sau circumstanţe
neobişnuite. Sistemele de protecţie pot provoca vulnerabilităţi în interiorul infrastructurii sau chiar a
sistemului de protecţie dacă furnizează informaţii greşite respondenţilor sau factorilor de decizie,
cum ar fi sugerarea că totul este normal, când, de fapt, un atac este foarte probabil sau prin
identificarea greşită a locului unde se produce un atac.
Pentru elaborarea analizelor de riscuri, vulnerabilităţile (V) se vor cuantifica într-o plajă
valorică:
V Є (0, 1]

69 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

2.4.1. Analiza nivelului de securitate al proceselor

Prin analiza nivelului de securitate al proceselor se înţelege procesul sistematic de a nu-i


permite unui adversar potenţial (inclusiv concurenţei sau agenţilor ei) accesul la informaţiile,
capacităţile şi intenţiile organizaţiei gazdă. Aceasta implică identificarea, controlul şi protecţia
activităţilor generale privind planificarea şi execuţia unor activităţi sensibile (confidenţiale).
Evaluarea trece în revistă toate procesele şi practicile folosite pentru a nu se permite unui
adversar potenţial accesul la informaţii sensibile sau nesensibile care în mod inadecvat ar putea
ajuta sau facilita unui individ sau unei organizaţii să aibă o influenţă nejustificată asupra operării
unui sistem. Această evaluare trebuie să includă şi o trecere în revistă a pregătirii de securitate şi a
programelor de alertă, discuţii cu angajaţii-cheie şi inspecţii ale principalelor facilităţi. Informaţiile
care sunt accesibile prin accesul public trebuie şi ele revizuite.

2.4.2. Evaluarea securităţii fizice

Scopul evaluării securităţii fizice îl constitue examinarea şi evaluarea sistemelor deja


instalate sau a celor ce sunt planificate a fi instalate şi identificarea posibilelor îmbunătăţiri pentru
eliminarea sau diminuarea vulnerabilităţilor în acest domeniu.
Prin securitate fizică se înţelege: sisteme de control acces, bariere, sisteme de închidere şi
chei, permise de trecere, dispozitive de detectare a efracţiei şi dispozitivele asociate de alarmare sau
de afişare, televiziune cu circuit închis (evaluare şi supraveghere), iluminat (interior şi exterior),
echipamente de comunicaţii (telefoane, staţii radio, intercomunicaţii, celulare etc.), surse de energie
(linii, baterii, generatoare), semne de avertizare, forţe de protecţie şi intervenţie. La sistemele fizice
de protecţie se urmăreşte proiectarea, instalarea, operarea, întreţinerea şi testarea acestora.
Nivelurile securităţii fizice sunt corelate cu valoarea activelor entităţii, cu nivelul de
ameninţare şi cu costurile asociate protecţiei acestor active. Odată ce a fost stabilit costul
implementării / menţinerii securităţii fizice, acestea pot fi comparate cu valoarea activelor pentru a
furniza conducerii informaţiile necesare pentru luarea unor decizii. Sarcina evaluării securităţii
fizice se focalizează pe ierarhizarea activelor societăţii; ceea ce înseamnă că majoritatea activităţilor
de evaluare vizează activele cele mai importante.

2.4.3. Evaluarea consecinţelor

Consecinţă (conform def. din par. 2.1.): (în urma producerii unui eveniment) reprezintă
gradul de impact asupra intereselor celor implicaţi.
Se pot identifica mai multe criterii de evaluare a impactului:
I. Pagube directe (valoarea de înlocuire) şi indirecte (financiare);
II. Impactul de mediu/vecinătate:
- incendii;
- fum;
- poluare mediu.
III. Pericolul asupra vieţii:
- electrocutare;
- strivire / lovire / cădere etc.;
- intoxicare.
IV. Impactul de conformitate legală (nerespectarea Legii nr.333/2003 privind paza
obiectivelor, bunurilor, valorilor şi protecţia persoanelor, a Legii nr. 182 din 12 aprilie 2002 privind
protecţia informaţiilor clasificate, a H.G. nr. 781 din 25 iulie 2002 privind protecţia informaţiilor
secrete de serviciu etc.):
- revendicări civile;
- despăgubiri.
70 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

V. Afectarea reputaţiei Societăţii (Companiei etc.):


- afectarea relaţiilor Societăţii (Companiei etc.);
- scăderea preţului acţiunilor;
- impact psihologic.

Pentru elaborarea analizelor de riscuri, impactul (I) la producerea unui eveniment se


cuantifică într-o plajă valorică:
I Є (0, 10]
Se defineşte probabilitatea (P) de producere a unui eveniment ca funcţie de ameninţări (A) şi
vulnerabilităţi (V): P=f(A,V), respectiv: P=A*V. Rezultă pentru probabilitate o cuantificare într-o
plajă valorică:
P Є (0, 10]
Probabilitatea de producere a unui eveniment se poate estima pe o scală cu 5 niveluri. Pentru
evaluarea impactului la producerea unui eveniment se va folosi, de asemenea, tot o scală cu 5
niveluri, respectiv:

PROBABILITATE IMPACT
1 Rar (Rare) A Nesemnificativ (Insignificant)
(0, 2] (0, 2]
2 Improbabil (Unlikely) B Minor (Minor)
(2, 4] (2, 4]
3 Posibil (Possible) C Moderat (Moderate)
(4, 6] (4, 6]
4 Probabil (Likely) D Major (Major)
(6, 8] (6, 8]
5 Aproape cert (Almost certain) E Catastrofic (Catastrophic)
(8, 10] (8, 10]

2.5. Evaluarea riscurilor

Risc (conform def. din par. 2.1.): este o evaluare a probabilităţii ca o ameninţare să
folosească cu succes o vulnerabilitate şi să producă o consecinţă dezastruoasă.
Pentru evaluarea riscurilor se pot utiliza metode calitative şi/sau cantitative.

Metodele calitative se bazează pe evidenţierea situaţiilor de pericol şi condiţiile în care


acestea se pot produce. În acest sens, se stabilesc măsurile de contracarare sau de diminuare a
riscurilor.
O astfel de metodă presupune următoarele etape:
 enunţarea scopului urmărit;
 identificarea tuturor ameninţărilor posibile la adresa scopului definit;
 identificarea tuturor condiţiilor şi premiselor corespunzătoare fiecărei ameninţări;
 stabilirea măsurilor concrete pentru ca aceste premise să nu se poată realiza.

Metodele cantitative, apreciate pentru calitatea de a furniza valori numerice determinate


prin calcul, sunt mai greu de utilizat din cauza dificultăţii de a identifica sau estima valori unanim
acceptate pentru probabilităţi şi consecinţe. Aceste metode pot fi utilizate, însă, pentru analize
parţiale sau pentru analize cost-efect.

71 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

2.5.1. Estimarea riscurilor prin metoda matricelor de risc

Metoda matricelor de risc este o metodă cantitativă care se bazează pe faptul că un anumit
risc poate fi evaluat numai dacă situaţia concretă a obiectivului este foarte bine cunoscută.
Componentele principale ale acestei metode sunt: aria protejată, ameninţările probabile şi nivelul de
risc (fig. 2.2).

Fig. 2.2

Pentru construirea matricei de risc se determină ariile protejate şi, în special, zonele vitale;
se cuantifică consecinţele în cazul atacurilor reuşite şi se calculează valoarea riscului asumat prin
însumarea ponderată a valorilor cuantificate.

Aşa cum s-a precizat mai înainte:


o Ameninţarea (A) se cuantifică într-o plajă valorică: A Є (0, 10]
o Vulnerabilitate (V) se cuantifică într-o plajă valorică: V Є (0, 1]
o Impactul (I) la producerea unui eveniment se cuantifică într-o plajă valorică: I Є (0, 10]
o Probabilitatea (P) de producere a unui eveniment (P=A*V) va rezulta într-o plajă valorică:
P Є (0, 10]
Formalizând riscul, funcţie de probabilitate (P) şi impact (I): R=f(P,I), respectiv: R=P*I
rezultă pentru nivelul de risc o cuantificare într-o plajă valorică: R Є (0, 100]

Se va construi matricea riscurilor conform cu tabelul de mai jos (Tabel matrice riscuri) şi cu
diagrama asociată acestuia (fig. 2.3).
Tabel matrice riscuri
PROBABILITATE (P) IMPACT (I) RISC (R)
1 Rar (Rare) A Nesemnificativ R = f(P,I)
(0, 2] (0, 2] (Insignificant)
2 Improbabil B Minor Redus (Low) 1A, 2A, 3A,
(2, 4] (Unlikely) (2, 4] (Minor) 1B, 2B
3 Posibil C Moderat Mediu (Medium) 4A, 5A, 3B,
(4, 6] (Possible) (4, 6] (Moderate) 1C, 2C
4 Probabil D Major Mare (High) 4B, 5B, 3C, 4C,
(6, 8] (Likely) (6, 8] (Major) 1D, 2D, 3D
5 Aproape cert E Catastrofic Critic (Critical) 5C, 4D, 5D,
(8, 10] (Almost certain) (8, 10] (Catastrophic) 1E, 2E, 3E, 4E,
5E

72 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Fig. 2.3

Pentru nivelul de risc s-a utilizat o scală cu 4 niveluri (conform fig. 2.3), a căror semnificaţie este
prezentată în tabelul de mai jos.

Nivel de risc/acceptabilitate:
Nivel Evaluarea şi tratarea riscurilor
Toleranţă risc
risc - răspunsul managementului/acţiune -
Critic Nivelul de risc inacceptabil Entitatea se va asigura faţă de riscurile majore şi
(Critical) dezastre, inacceptabile, pentru contracararea cărora
(C) măsurile de securitate proprii ar costa prea mult sau ar
fi imposibil de adoptat din cauza complexităţii. Aceasta
se referă, în special, la situaţiile catastrofale.
Mare Nivelul de risc inacceptabil Aceste riscuri depăşesc nivelul de toleranţă. Este
(High) necesar să fie atribuite resursele necesare pentru
(H) micşorarea riscurilor într-un interval de timp rezonabil.
Trebuie să fie informat nivelul superior de decizie.
Mediu Nivelul de risc este tolerat Aceste riscuri sunt importante în contextul specificului
(Medium) (atitudine selectivă) entităţii. Se va adopta o atitudine de reducere selectivă,
(M) prin adoptarea de măsuri preventive, prin utilizarea
unor proceduri şi tehnici adecvate de reducere a
consecinţelor.
Redus Nivelul de risc acceptabil Aceste riscuri sunt în zona de acceptabilitate (tolerare),
(Low) neafectând unitatea, dar care trebuie monitorizate şi să
(L) fie luate măsuri potrivite pentru a preveni eventuale
tendinţe de depăşire a pragului de acceptabilitate.

Evaluarea riscurilor se va efectua pe baza identificării principalelor scenarii de ameninţare şi


impact asociate cu identificarea şi evaluarea vulnerabilităţilor pentru fiecare dintre acestea.

Important: În situaţia în care, în urma măsurilor propuse şi a acţiunilor întreprinse, se


obţin niveluri de risc în zona de acceptabilitate, nu trebuie nicidecum „îngheţate” activităţile de
analiză şi evaluare a riscurilor, ci acestea trebuie să aibă continuitate pentru a face faţă
dinamicii şi diversităţii factorilor interni şi externi generatori de pericole.

73 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 4. Procesul de management al continuităţii afacerii

Ce este managementul continuităţii afacerii?


Definiţii
O căutare pe Internet şi în dicţionare pentru a ne lămuri ce înseamnă “continuitatea afacerii”
scoate la iveală definiții destul de omogene. Astfel, potrivit Wikipedia.org continuitatea afacerii
este "activitatea desfășurată de către o organizație pentru a se asigura că funcțiile esențiale ale unei
afaceri sunt disponibile permanent pentru clienți, furnizori, regulatori economici și alte entități care
trebuie să aibă acces la aceste funcții".
Mai toate definițiile publicate pe diferite situri Internet descriu continuitatea afacerii ca un
ansamblu de procese și proceduri implementate de către o organizație pentru a se asigura că
funcțiile esențiale ale afacerii pot continua în timpul și după apariția unui dezastru. Ele sunt
consistente cu definiția dată de standardul britanic pentru managementul continuității afacerii,
potrivit căruia continuitatea afacerii reprezintă "capacitatea strategică şi tactică a unei organizaţii de
a planifica şi de a răspunde la incidente şi întreruperi ale activității, în scopul de a continua
operaţiunile de afaceri la un nivel predefinit ca fiind acceptabil".
Definițiile publicate pe Internet pentru recuperarea în caz de dezastru sunt mai puțin clare,
fapt care a indus și un anumit nivel de confuzie. Astfel, conform dicționarului pentru afaceri,
recuperarea în caz de dezastru este procesul de “întoarcere a unei organizaţii, societăți sau a unui
sistem la o stare de normalitate, după producerea unui eveniment dezastruos”.
În ciuda ambiguităților din definițiile de mai sus, rezultă că recuperarea în caz de dezastru
este un concept orientat tehnic și are legătură cu asigurarea stării de funcționare a infrastructurii
tehnice a unei organizații, în timp ce continuitatea afacerii este un concept orientat operațional și
are legătură cu asigurarea condițiilor pentru exercitarea funcțiilor de afaceri. Prin urmare,
recuperarea în caz de dezastru este o componentă a continuităţii afacerii. Pentru afacerile care
depind esențial de tehnologie, această componentă reprezintă o parte importantă a Planului de
continuitate a afacerii.
Pentru a ne convinge că cele două concepte, deși legate, au semnificație diferită, ar trebui să
ne întrebăm ce s-ar întâmpla dacă, pentru o insfrastructură tehnică complet funcțională nu ar exista
operațiuni de afaceri. O afacere însemnă mult mai mult decât tehnologie funcțională. Înseamnă
asigurarea unui mediu corespunzător de lucru, a serviciilor suport și, nu în ultimul rând, a resurselor
umane. Principala problemă în cazul unor dezastre naturale de proporții sau a unor atacuri teroriste
este asigurarea forței de muncă pentru reînceperea operațiunilor din cadrul organizației.
Între continuitatea afacerii și recuperarea în caz de dezastru trebuie să existe raporturi de
condiționalitate, în sensul că planul de recuperare în caz de dezastru trebuie să răspundă cerințelor
de continuitate a afacerii. Dacă nu se ține cont de acest lucru, consumul de resurse financiare pe
diverse soluții de recuperare nu va fi de nici un folos. O soluție tehnică, oricât de modernă și
ambițioasă ar fi nu poate garanta prin sine continuitatea afacerii.
Managementul Business Continuity (BCM) este un proces de management care identifică
impacturile potențiale care amenință o organizație și oferă un cadru pentru reziliență, capacitatea
de construcție și pentru un răspuns eficient, care protejează interesele deținătorilor săi, interese
cheie, reputația de brand și crearea de valoare activității.
Managementul continuității afacerii (BCM) este definit mai sus. Acest lucru înseamnă că
BCM este, prin urmare, inclusiv de recuperare în caz de dezastru, recuperarea de afaceri,
gestionarea crizelor, managementul incidentelor, managementul situaţiilor de urgenţă şi planificarea
de urgenţă.
Capacitatea de a putea relua şi continua activitatea la parametrii aşteptaţi într-un timp cât
mai scurt în urma unui dezastru de proporţii sau a unui incident minor reprezintă o cerinţă adresată
din ce în ce mai des organizaţiilor din toate ramurile de activitate.

74 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Managementul continuităţii afacerii este un concept creat în scopul de a ajuta organizaţiile


să întreprindă măsurile necesare pentru a minimiza efectul oricăror perturbări.
Cum stabiliţi dacă organizaţia dumneavoastră este pregătită proactiv pentru un eveniment
neplanificat şi nedorit sau are flexibilitatea necesară pentru a răspunde la aşa ceva? Afacerea în care
dumneavoastră credeţi, v-aţi pus toate speranţele şi eforturile pentru a atinge succesul, are rezistenţa
necesară pentru a reacţiona rapid la un eveniment neprevăzut produs de unul din angajaţii firmei sau
de o persoană străină sau la o catastrofă naturală? Merită să vă asumaţi riscul de pierdere sau
afectare majoră a afacerii în cazul apariţiei unui dezastru, în condiţiile în care puteţi să acoperiţi un
risc major contra unui cost bugetat?
De ce aveţi nevoie de un Business Continuity Plan?
Dacă la întrebările de mai sus nu aveţi un răspuns, precizăm faptul că, în urma unui studiu
realizat în 2001 în SUA, dintre companiile care au fost afectate de un dezastru ce a dus la
întreruperea activităţii sau la o pierdere majoră de date, 43% nu au mai redeschis niciodată afacerea,
iar 51% au închis afacerea în mai puţin de 2 ani.
Dezastrele se pot produce oricând, prin urmare trebuie să fim mereu pregătiţi. În funcţie de
mărimea companiei şi domeniul în care ne desfăşurăm activitatea, dezvoltarea unui plan ce va
minimiza efectele negative ale dezastrului, menţinând afacerea la un nivel competitiv, este absolut
necesar.
Datorită dezvoltării continue a tehnologiilor, afacerile din zilele noastre depind într-o
măsură tot mai ridicată de tot ce înseamnă IT. Dintre acestea, cele de tip e-business ce trebuie să fie
disponibile clienţilor 24 ore/zi, 7 zile/săptămână, nici măcar nu pot supravieţui fără un astfel de
plan. Un singur moment de downtime poate însemna dezastru pentru afacere.
Când aveţi nevoie de un Business Continuity Plan?
Un astfel de plan ar trebui să acopere următoarele evenimente nedorite:
- eroarea anumitor echipamente (ex: disk crash);
- căderile de electricitate sau întreruperile canalelor de telecomunicaţii;
- erorile aplicaţiilor sau coruperea bazelor de date;
- greşelile angajaţilor sau sabotaj;
- atacuri de software-uri maliţioase (viruşi, worms, trojan horses);
- hacking sau alte atacuri prin intermediul Internetului;
- incendiu;
- dezastre naturale (inundaţii, cutremure) etc.
Business Continuity Planning (BCP) este un proces creat pentru redresarea automată a
activităţii companiei în urma unor situaţii neprevăzute. BCP asigură reintegrarea procedurilor,
aplicaţiilor, operaţiunilor, sistemelor, reţelelor şi facilităţilor critice pentru continuarea afacerii.
Componentele unui plan pentru continuitatea afacerii includ:
- Prevenirea - prevenirea sau minimizarea probabilităţii ca incidentul să aibă loc;
- Detectarea - identificarea circumstanţelor în care organizaţia determină intrarea în stare de
urgenţă;
- Declararea - specificarea condiţiilor în care starea de urgenţă este declarată şi identificarea
persoanei/persoanelor care o pot declara oficial;
- Extinderea - specificarea condiţiilor în care starea de urgenţă este considerată ca s-a extins
şi identificarea persoanei/persoanelor şi a ordinii în care acestea sunt informate cu privire la starea
de urgenţă;
- Reprimarea - specificarea măsurilor de acţiune imediată, necesare pentru limitarea sau
minimizarea efectelor incidentului asupra clienţilor, furnizorilor, presatatorilor de servicii,
angajaţilor, activelor, publicului larg şi asupra procesului de business;
- Implementarea BCP - specificarea listei complete de acţiuni ce trebuie urmate în cazul în
care este declarată starea de urgenţă (precum procesarea activităţii dintr-un alt loc, recuperarea

75 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

datelor la care s-a facut back-up, utilizarea unor medii de lucru şi a unor manuale aflate în alt loc,
transportarea angajaţilor, a contractelor de distribuţie şi furnizare);
- Redresarea - planul de redresare în caz de dezastru (Disaster Recovery Plan - DRP).
Planul pentru redresare în urma unui dezastru (DRP), este o componentă cheie a planului
pentru continuitatea afacerii (BCP) şi se referă la aspectul tehnic al planului, în timp ce BCP ia în
considerare aspectul general operaţional şi de business.
DRP subliniază pregătirile şi măsurile ce trebuiesc luate dinainte, în aşa fel încât rezultatul
lor să fie minimizarea impactului negativ a unui incident asupra afacerii (cum ar fi pierderea
financiară şi afectarea imaginii), dar şi facilitarea unei redresări mai rapide şi asigurarea
continuităţii funcţiilor vitale pentru activitatea companiei într-un interval de timp acceptabil.
Aspectele-cheie ce trebuiesc revăzute sunt:
- Continuarea/reluarea - reluarea proceselor critice şi extrem de sensibile în raport cu timpul,
imediat după întreruperea actvităţii şi inainte de declararea MTBF (mean time between failures -
intervalul de timp mediu dintre două caderi). În această fază, nu toate operaţiunile sunt redresate;
- Revitalizarea - revitalizarea proceselor esenţiale ale afacerii, dar mai puţin sensibile în
raport cu timpul, pentru ajutarea continuării tuturor proceselor critice ale activităţii;
- Reconstruirea/restaurarea - relocarea activităţii şi proceselor de business în altă parte/în alt
sediu, în mod temporar sau permanent, după întreruperea survenită în activitatea companiei.
Relocarea nu este absolut necesară în toate tipurile de incidente;
- Gestionarea crizei - coordonarea generală a reacţiei organizaţiei la criza care are loc într-o
manieră eficientă, în timp util, cu scopul de a evita sau de a minimiza eventualele pagube aduse
profitabilităţii companiei, reputaţiei sau capacitaţii sale de a opera.
Disaster Recovery & Continuitatea afacerilor
Gândiţi-vă, pentru un moment, ce s-ar întâmpla dacă peste câteva minute infrastructura
informatică a companiei dumneavoastră ar fi oprită din cauza unei probleme, iar această situaţie ar
continua timp de 6 ore.
Dacă vi se pare ceva puţin probabil, gândiţi-vă că doar un singur virus relativ inofensiv, dar
care trece de sistemele de siguranţă ale companiei, şi care poate infecta circa 20% din computerele
societăţii, poate cauza întreruperi ale activităţii pentru perioade chiar mai mari! Iar dacă, între timp,
din compania dumneavoastră au ieşit circa 2-300 de mailuri infectate către partenerii de afaceri,
dimensiunile intregii situaţii capată valenţe noi, nu-i asa?
Din păcate, aceasta este situaţia zilnică din multe companii, şi fără îndoială că, la un moment
dat, vine rândul fiecărei organizaţii să fie confruntată cu astfel de crize. Practic, aceste atacuri nu
pot fi evitate sau respinse cu o rată de succes de 100%, iar cine crede altfel pur şi simplu se înşeală.
Concluzii
Decizia de a plasa continuitatea afacerii în responsabilitatea departamentului de tehnologia
informației este neinspirată și poate deveni păguboasă, deoarece continuitatea afacerii este, în
primul rând, o problemă de afaceri. Chiar dacă departamentele de IT trebuie să joace un rol
important în planificarea continuității afacerii, ele nu trebuie să conducă această activitate.
Nivelul critic al afacerii și al informațiilor manipulate în cadrul afacerii nu poate fi stabilit
de către inginerii de la departamentul de tehnologia informației, oricât de mult ar depinde
organizația de prelucrarea și transmiterea electronică a datelor. Mai mult, lansarea programului de
continuitate a afacerii necesită autoritatea și angajamentul managementului pe care departamentul
TI&C nu le poate asigura.
Cel mai bun mod de a organiza punerea în aplicare a conceptului de continuitate a afacerii
este lansarea unui program în cadrul organizației, prin care fiecare structură organizatorică să își
dezvolte propriul proiect și sa contribuie la elaborarea planului de continuitate a afacerii, la
implementarea și menținerea acestuia. Această abordare ar contribui la conștientizarea angajaților
cu privire la importanța problemei. Departamentele de TI&C dezvoltă planuri și proceduri de
recuperare a informațiilor, ca parte a obligațiilor profesionale curente. Ele vor contribui, oricum, în
cadrul unui astfel de program, cu planuri de recuperare în caz de dezastru.
76 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Tema 5. Definirea sistemului de management al securităţii într-o


organizaţie: politica, structura, resurse, relaţionare, modele de management al
securităţii
Consideraţii generale
Sistemul de Management al Securităţii trebuie implementat pentru a asigura pregătirea,
adoptarea şi actualizarea procedurilor pentru toate activităţile din organizaţie legate de securitate,
precum şi pentru îndeplinirea obiectivelor şi principiilor de intervenţie definite prin politica de
prevenire a accidentelor şi incidentelor majore.
Acesta:
a) defineşte şi documentează politica, obiectivele şi angajamentele;
b) garantează că politica este înţeleasă, implementată şi susţinută la toate nivelurile;
c) verifică obiectivele şi stabileşte acţiunile de corectare.
Operatorul economic informează şi consultă atât lucrătorii, cât şi responsabilul în domeniul
securităţii pentru stabilirea, implementarea, gestionarea şi monitorizarea schimbărilor intervenite în
sistemul de management al securităţii.
Sistemul de management al securităţii trebuie să includă partea din sistemul general de
management care se referă la structura organizatorică, responsabilităţi, testări, proceduri şi resurse.

1. Cerinţe minime pentru sistemul de management al securităţii


1.1 Politica
O politică bine întocmită trebuie să:
· definească principiile generale care stau la baza ei;
· indice obiectivele care se doresc a fi atinse în procesul de prevenire şi control a
accidentelor majore, protecţie a lucrătorilor, populaţiei şi mediului;
· includă angajamentele asumate pentru atingerea obiectivelor. Pentru fiecare angajament,
operatorul economic trebuie să stabilească un responsabil, un buget şi termene;
· includă angajamentul de punere în aplicare, adoptare şi întreţinere a sistemului de
management al securităţii.
Implementarea iniţială a sistemului de management al securităţii trebuie să fie planificată în
timp (program de măsuri şi acţiuni), iar această planificare trebuie să fie cuprinsă în cadrul politicii.
Responsabilul în domeniul managementului securităţii va fi implicat în elaborarea politicii
de prevenire a accidentelor majore.
1.2 Organizare şi personal
Sistemul de management al securităţii, prin intermediul repartizării resurselor necesare,
trebuie să ţină seama de organizare şi personal pentru a asigura un nivel de securitate corespunzător
complexităţii organizaţiei.
Sistemul de management al securităţii trebuie să identifice toate funcţiile importante de la
toate nivelurile organizaţiei, să definească, în mod clar şi explicit, rolurile, sarcinile,
responsabilităţile, autorităţile şi disponibilitatea resurselor. De asemenea, trebuie să stabilească şi
interfeţele dintre poziţiile cheie şi personalul cu experienţă, precum şi implicarea întregului personal
participant la activităţi legate de securitate, inclusiv cea a responsabilului în domeniul
managementului securităţii.
Sistemul de management al securităţii trebuie să stabilească nivelul minim de pregătire şi
informare a întregului personal angajat sau ocazional participant la activităţile privind securitatea, şi
să asigure disponibilitatea şi utilizarea corectă a echipamentului de protecţie. Trebuie, de asemenea,
să definească acţiuni ţintă şi să menţină cerinţele în termeni de îndemânări / abilităţi şi capacităţi
operaţionale. Sistemul de management al securităţii are în vedere compatibilitatea interfeţei dintre
lucrător şi echipament.
1.3 Identificarea şi evaluarea pericolelor majore
Sistemul de management al securităţii trebuie să includă proceduri de identificare şi evaluare

77 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

a pericolelor majore, de adoptare a măsurilor de reducere a riscului, precum şi de asigurare a


aplicării şi menţinerii corespunzătoare a acestora.
Identificarea şi evaluarea pericolelor majore trebuie privite din punct de vedere al
probabilităţii şi al magnitudinii, pe care acestea le pot avea, în condiţii normale şi de avarie, precum
şi pentru fiecare etapă de existenţă a organizaţiei.
Identificarea şi evaluarea pericolelor majore trebuie utilizate în gestionarea situaţiei şi
schimbările de organizare, precum şi pentru identificarea sistemelor critice din cadrul organizaţiei.

2. Organizarea sistemului de management al securităţii într-o organizaţie

Criterii de realizare
Elemente de
asociate modului de
competenţă Criterii de realizare asociate rezultatului
îndeplinire a activităţii
ale managerului activităţii descrise de elementul de competenţă
descrise de elementul
de securitate
de competenţă
1. Identifică 1.1. Cerinţele generale ale SMS sunt identificate Identificarea cerințelor
cerințele generale ţinând cont de nevoile, rolurile şi responsabilităţile generale ale SMS se face
ale sistemului de cu privire la securitate. cu corectitudine şi
management al 1.2. Cerinţele generale ale SMS sunt identificate cu creativitate.
securităţii (SMS). definirea schemei organizatorice și dimensionarea
resurselor necesare.
2. Determină 2.1. Cerinţele politicii de securitate sunt determinate Determinarea cerințelor
cerinţele politicii cu definirea şi structurarea obiectivelor pornind de politicii de securitate se
de securitate. la cerinţele identificate şi rezultatele documentarii face cu corectitudine,
despre situaţia existentă. creativitate şi
2.2. Cerințele politicii de securitate sunt flexibilitate.
determinate ținând cont de îndeplinirea
obiectivelor, de asigurarea oportunității,
disponibilității, corectitudinii şi nerepudierii datelor
și informațiilor precum și pentru asigurarea
caracterului neechivoc al comunicării între
componentele SMS.
3. Stabileşte 3.1. Cerinţele planificării securităţii sunt stabilite Stabilirea cerințelor
cerinţele ţinând cont de valorile şi activităţile identificate ca planificării securității se
planificării fiind vitale pentru entitate, de analiza ameninţărilor realizează cu flexibilitate
securității. şi vulnerabilităţilor şi cu întocmirea listei riscurilor și creativitate.
de securitate.
3.2. Cerințele planificării securităţii sunt stabilite cu
identificarea și argumentarea opţiunilor de tratare a
riscurilor de securitate, cu propunerea şi
argumentarea măsurilor pentru reducerea riscurilor,
cu prezentarea şi evaluarea riscurilor reziduale.
3.3. Cerinţele planificării securității sunt stabilite
ținând cont de asigurarea conformității cu
prevederile legale și cerințele contractuale, a
sustenabilității SMS și cu evidențierea rezultatelor
preconizate.
4.Fundamentează 4.1. Cerinţele pentru implementarea securităţii sunt Fundamentarea
cerinţele pentru fundamentate cu asigurarea nivelului de competenţă cerințelor pentru
implementarea şi de instruire al personalului şi cu stabilirea implementarea
securității. procedurilor de comunicare şi documentelor SMS. securității se face cu
4.2. Cerințele pentru implementarea securităţii sunt atenție, acuratețe şi
78 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

fundamentate ținând cont de măsurile de conducere responsabilitate.


și coordonare ale SMS, de planurile și procedurile
de acțiune ale componentelor SMS în situații
speciale și de urgență.
5. Realizează 5.1. Cerinţele în materie de control al securităţii Realizarea cerințelor în
cerinţele în sunt realizate cu stabilirea programelor de materie de control al
materie de monitorizare şi control ale securităţii şi cu stabilirea securității se face cu
control al modului de tratare a incidentelor de securitate. responsabilitate și
securității. 5.2. Cerinţele în materie de control al securității exigență.
sunt realizate cu evaluarea SMS.
6. Elaborează 6.1. Cerinţele pentru îmbunătăţirea securităţii sunt Elaborarea cerințelor
cerinţele pentru elaborate ţinând cont de periodicitatea revizuirii pentru îmbunătățirea
îmbunătățirea SMS, realizarea auditului de securitate, precum şi securității se face cu
securității. de evaluarea eficacităţii acţiunilor corective. adaptabilitate,
6.2. Cerinţele pentru îmbunătățirea securității sunt creativitate şi
elaborate cu evaluarea rezultatelor auditului de flexibilitate.
securitate și prezentarea în format standardizat a
concluziilor și propunerilor de eficientizare.

Managementul securităţii pentru asigurarea continuităţii afacerii cuprinde măsuri de


securitate pentru identificarea şi reducerea riscurilor, pe lângă procesul general de estimare a
riscurilor, pentru limitarea consecinţelor incidentelor de securitate care pot produce pagube şi
pentru asigurarea disponibilităţii informaţiilor necesare proceselor afacerii.

Funcţionalitatea managementului securităţii


Activarea
evenimentului nedorit

DA
Prevenire Pericolul producerii
NU

DA
Detecţie Declanşare
NU
Managementul
DA
Securităţii Întârziere Desfăşurare
NU

DA
Stopare Acţiune ostilă produsă
NU

Reluare activităţi Efecte negative produse

Analiza postfactum
34

79 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 6. Monitorizarea, controlul si îmbunătăţirea continuă a securităţii


unei organizaţii. Managementul schimbării.
Folosirea unui management modern, adaptat la specificul oricărui tip de întreprindere (mică,
mijlocie sau mare), constituie condiţia esenţială a creării/intrării pe piaţă, supravieţuirii şi creşterii/
dezvoltării ei cu succes.
În sens general, procesele de management al securităţii ale oricărui tip de organizaţie sunt
similare cu ale managementului general. Toate cer exercitarea aceloraşi atribute manageriale
(previziune, organizare, coordonare-antrenare, decizie, control).

Funcţiile managementului securităţii:


1. Funcţia de previziune / planificare - constă în totalitatea lucrărilor prin care se realizează
sarcinile firmei pe baza componentelor sistemului şi resurselor. Se materializează prin următoarele
instrumente: prognoze, planuri şi programe.
Această funcţie reprezintă un prim atribut esenţial pentru managementul firmei.
Managementul eficient începe întotdeauna cu planificarea, adică cu stabilirea obiectivelor, a
planurilor, a programelor de acţiune.
2. Funcţia de organizare - stabileşte procesele de muncă fizică şi intelectuală; răspunde
dezideratului: cine şi în ce mod contribuie la realizarea sarcinilor firmei?
3. Decizia şi delegarea de autoritate. Decizia, definită drept funcţia de comandă, reprezintă
o funcţie esenţială pentru managementul organizaţiei.
Decizia de conducere reprezintă procesul de alegere a unei căi de acţiune, în vederea
realizării unor obiective, prin a cărei aplicare se influenţează activitatea a cel puţin unei alte
persoane decât decidentul.
4. Funcţia de coordonare-antrenare – reprezintă un domeniu important pentru manageri,
care îi ajută să înţeleagă şi să folosească mai bine cea mai importantă resursă a organizaţiei.
Indiferent de tipul de întreprindere, resursele umane de calitate reprezintă cel mai important activ al
firmei.
5. Funcţia de evaluare-control: presupune ca realizările firmei, subsistemelor şi
personalului care o compun, comparate cu sarcinile de îndeplinit şi standardele existente să conducă
permanent la diminuarea neajunsurilor şi efectuarea de noi organizări.
De altfel, managementul participativ înseamnă: - previziune; - organizare; - coordonare; -
antrenare; - control-evaluare.
Decizia adoptată va reflecta: identificarea şi definirea problemei; stabilirea criteriilor şi
obiectivelor decizionale; determinarea opţiunilor posibile; alegerea variantei optime; aplicarea
soluţiei alese; evaluarea rezultatelor şi eventuale retuşuri.
De calitatea managementului aplicat depind reuşita şi succesul oricărei activităţi. Iată de ce,
este esenţial ca persoana aflată în postura de manager de securitate să cunoască bine specificul
activităţii, personalul de bază de care dispune şi pe care trebuie să-l capaciteze, coordoneze şi
îndrume pentru a duce la bun sfârşit sarcinile asumate.
A conduce nu mai trebuie privit ca un proces de a ordona, a cere şi a controla angajaţii
dintr-o societate, adică “de a-i pune la muncă”. A conduce trebuie să însemne, de fapt, în primul
rând, “a explica”, “a ajuta” şi “a sprijini”, pentru a obţine rezultatele dorite. Eficacitatea unui
manager se poate evalua nu atât prin rezultatele propriilor sale decizii, cât mai ales prin efectele
acţiunilor şi conduitelor adoptate de subordonaţii săi. Eficienţa implică un efort constant de
înţelegere reciprocă a cerinţelor angajatorului şi a capacităţii de răspuns a angajatului.

80 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Aşadar, pentru a ajunge la un management performant al unei organizaţii şi, implicit, pentru
a putea introduce schimbarea dictată de nevoia de adecvare la realităţile unui prezent din ce în ce
mai complex şi mai greu de previzionat, trebuie dezvoltate o serie de activităţi conexe, iar
principalele direcţii de activitate trebuiesc concentrate spre îndeplinirea următoarelor obiective:
- crearea condiţiilor pentru administrarea şi utilizarea eficientă a tuturor resurselor existente;
- folosirea judicioasă a resurselor umane şi, în raport de capacitatea reală, asumarea unor
contracte de executare a unor activităţi şi servicii de profil;
- atragerea unui personal competent şi motivat sincer pentru a exercita profesia de manager
de securitate;
- revizuirea periodică a necesarului de personal, pe specializări, concomitent cu întărirea
capacităţii de acţiune a societăţii, prin recrutarea de noi specialişti;
- evaluarea cerinţelor posturilor şi stimularea competitivităţii, prin asigurarea unei salarizări
corecte şi a altor stimulente şi premii motivante;
- evaluarea planului de înnoire a personalului în funcţie de planul de extindere a activităţilor
şi serviciilor puse la dispoziţia clienţilor;
- preocuparea pentru formarea profesională continuă a personalului şi asigurarea unui nivel
de instruire adecvat atribuţiilor şi sarcinilor încredinţate;
- dezvoltarea unor parteneriate şi echipe de lucru elastice, adaptabile şi capabile să facă faţă
la situaţii neprevăzute etc.

Managementul schimbării / pentru modernizare


Sistemul de management al securităţii trebuie să asigure adoptarea şi implementarea
procedurilor pentru a asigura gestionarea corespunzătoare a modificărilor intervenite într-o
organizaţie. Orice schimbări, permanente sau temporare a sistemelor, componentelor, parametrilor
proceselor, organizării sau procedurilor de funcţionare vor fi analizate pentru a stabili posibila
influenţă asupra securităţii procesului şi operate ca o modificare.
Trebuie stabilit un termen pentru modificările temporare.
Analiza securităţii trebuie luată în considerare în fiecare moment al schimbării din faza de
proiectare şi până în faza finală.
Modificările trebuie să se supună mecanismelor de aprobare pentru fiecare etapă importantă,
în special în legătură cu evaluările proiectării şi securităţii.
Toată documentaţia va fi actualizată împreună cu analiza nevoilor şi instruirii personalului
implicat în procesul schimbării.
Sistemul de management al securităţii trebuie să verifice realizarea obiectivelor generale
stabilite prin politică. Detectarea oricărei abateri va conduce la identificarea şi adoptarea corecţiei
necesare, a cărei eficienţă va fi supusă verificării şi analizei/revizuirii.
Sistemul de management al securităţii trebuie să asigure implementarea procedurilor pentru
evaluarea periodică sistematică a politicii de prevenire a accidentelor majore şi a eficienţei şi
adaptabilităţii sistemului de management al securităţii.

81 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 7. Relaţia dintre costuri, beneficii şi eficienţa în securitate


Activitatea de protecţie a organizaţiei presupune un efort conjugat şi multidisciplinar în
planul resurselor umane şi materiale ce vor fi alocate conform competenţelor în domeniu de către
autorităţile responsabile şi, potrivit Cerinţelor minimale de securitate, pe zone funcţionale şi
categorii de unităţi.
Realizările unei organizaţii depend, într-o oarecare măsură, de resursele disponibile şi de
modul în care sunt administrate şi folosite.

Planificarea bugetului şi analiza costurilor


Există o planificare a bugetului în funcţie de programele propuse? Când are loc?
Există un control care să prevină depăşirea sumelor bugetare?
Se întocmesc rapoarte care să prezinte situaţia bugetului în comparaţie cu cheltuielile
efectuate?
Face organizaţia dvs. o analiză financiară a costurilor (ca de exemplu cheltuielile în cazul
SMS), astfel încât să măsoare sau să îmbunătăţească eficienţa costurilor?

Eficacitatea unui element sau sistem poate fi definită drept gradul în care acesta
îndeplineşte o funcţie, satisface o cerinţă funcţională specificată. Eficacitatea poate fi pozitivă, în
măsura în care satisface, într-un anumit grad, respectiva cerinţă funcţională; nulă - nu are nici un
efect asupra acesteia, sau negativă - agravează deficienţa, nesatisfacerea respectivei cerinţe
funcţionale. Dincolo de aceste trei mari tipuri de eficacitate, este însă necesar să distingem gradele
eficacităţii. Eficacitatea pozitivă poate fi maximă - satisface integral cerinţa funcţională în cauză -
sau, deşi pozitivă, submaximală - o satisface într-o măsură care poate varia între maxim şi zero.
Analiza eficacităţii trebuie să ţină seama, totodată, de faptul că un element oarecare are o
mulţime de consecinţe funcţionale atât pentru sistemul din care face parte, cât şi pentru alte sisteme
învecinate, pentru organizaţie.

Costul
În evaluarea funcţionarii unui element sau sistem trebuie să luăm în considerare, pe lângă
eficacitatea sa, şi mijloacele, resursele pe care le consumăm: mijloace economice, energie, materii
prime, timp etc. Pentru a desemna cantitatea de mijloace pe care un element sau sistem le consumă
pentru funcţionarea sa se utilizează, de regulă, conceptul de cost. Ideea de cost, în accepţia sa cea
mai generală se referă la toate situaţiile în care două sau mai multe sisteme utilizează acelaşi tip de
resurse, intrând, în consecinţă, în competiţie pentru obţinerea lor. Resursele sistemelor sociale pot
fi foarte diverse: resurse financiare (bani), materii prime, energie, forţă de muncă, timp uman,
cunoştinţe, capacităţi şi aptitudini umane.
În orice societate există două mari probleme în ceea ce priveşte organizarea. Prima se
referă la eficacitate: colectivitatea trebuie sa-şi imagineze activităţi care să realizeze maximum
posibil de performanţe funcţionale. Cea de a doua problemă se referă la costuri: trebuie imaginate
activităţile care utilizează cât mai puţine resurse, pentru a nu se afecta, printr-un consum excesiv,
celelalte activităţi care au şi ele nevoie de resursele respective. Aceasta din urmă problemă se
referă deci la împărţirea resurselor disponibile între diferitele sisteme şi subsisteme. Este o
problemă de economicitate, în sensul cel mai general al acestui termen: atitudine judicioasă faţă de
resurse, eliminarea risipei, valorificarea cât mai eficientă a resurselor disponibile.
Am putea deci defini costul unui sistem drept cantitatea de resurse (mijloace) consumate
de către acesta. Cu cât resursele de un anumit tip sunt mai rare sau mai solicitate, cu atât costul
respectivului sistem devine o condiţie restrictivă mai importantă. Un element (sistem) poate fi
foarte eficace, dar dacă el consumă o mare cantitate de resurse care sunt solicitate şi de alte

82 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

elemente (sisteme), el poate să nu fie selectat. Costul funcţionării unui element sau sistem
reprezintă deci o condiţie restrictivă în alegerea sa.

Eficienţa
Eficienţa este un al treilea concep tot mai mult utilizat pentru a estima gradul de adecvare a
unui element sau sistem. El a fost elaborat pe larg în tehnologie şi economie. În tehnologie,
conceptul de eficienţă se referă la gradul de utilizare de către un sistem a energiei de care dispune:
raportul dintre energia produsă şi energia utilizată. Altfel spus, eficienţa este randamentul cu care
o organizaţie converteşte inputul în output, cantitatea de energie consumată efectiv sau risipită în
procesul de producţie. În această accepţie, eficienţa apare ca un element component al conceptului
mai general de eficacitate. O condiţie a eficacităţii este ca activitatea respectivă să realizeze nu
numai funcţia sa cât mai bine, dar să asigure, totodată, şi un randament energetic cât mai bun. În
economie, eficienţa se defineşte ca un raport valoric: raportul dintre valoarea mijloacelor
consumate şi valoarea produselor realizate. În limbajul comun, găsim o definire mult mai generală
a conceptului de eficienţă: realizarea unui scop cu consumul cel mai mic de resurse, de efort. În
consecinţă, prin eficienţă înţelegem raportul dintre eficacitate şi cost.

Eficienţă = Eficacitate / Cost


Eficienţa este deci direct proporţională cu eficacitatea unui element sau a unui sistem şi
invers proporţională cu costul funcţionării acestuia. Conceptul de energie utilizat în tehnică,
dincolo de semnificaţia sa strict fizică, este o metaforă. Valoarea economică reprezintă pentru
economie singura resursă a activităţilor economice. Conceptul de eficienţă, în sensul definit aici,
este un concept sintetic. El face sinteza între cele două aspecte fundamentale ale funcţionării unui
element sau sistem: totalitatea consecinţelor sale funcţionale, pe de o parte, şi resursele consumate,
pe de alta.
În ultimele decenii, s-au încercat analize de eficienţă şi dincolo de sfera proceselor
economice propriu-zise. Ele pot fi găsite şi sub denumirea de analiză cost-beneficiu sau analiză
eficacitate-cost.

83 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unitatea de competenţă:
UCG2. Verificarea conformităţii cu prevederile din domeniul sănătăţii şi securităţii în muncă

Tema 8. Legislaţia aplicabilă şi standarde de sănătate şi securitate a muncii


1. Constituţia României;
2. Legi în domeniul securităţii şi sănătăţii în muncă;
3. Ordonanţe şi Hotărâri de Guvern;
4. Ordine;
5. Standarde;
6. Evoluţia sistemelor de management al securităţii şi sănătăţii în muncă.

1. Constituţia României
 Art. 22 (1) – Dreptul la viaţă, precum şi dreptul la integritatea fizică şi psihică ale
persoanei sunt garantate.
 Art. 41 (2) – Salariaţii au dreptul la masuri de protecţie socială. Acestea privesc
securitatea şi sănătatea salariaţilor, regimul de muncă al femeilor şi al tinerilor, instituirea
unui salariu minim brut pe ţară, repausul săptămânal, concediul de odihnă plătit, prestarea
muncii în condiţii deosebite sau speciale, formarea profesională, precum şi alte situaţii
specifice, stabilite prin lege.

2. Legi şi H.G. în domeniul securităţii şi sănătăţii în muncă


 Legea nr. 319 din 14 iulie 2006 - Legea securităţii şi sănătăţii în muncă, modificată;
 Hotărârea de Guvern nr. 1425/2006 pentru aprobarea normelor metodologice de aplicare a
prevederilor Legii nr. 319/2006;
 Hotărârea de Guvern nr. 955 din 2010 pentru modificarea şi completarea Normelor
metodologice de aplicare a prevederilor Legii nr. 319 din 2006;
 Codul muncii - Legea nr. 53 din 2003, actualizată;
 Legea nr. 436/2001 pentru aprobarea Ordonanţei de urgenţă a Guvernului 99/2000 privind
măsurile ce pot fi aplicate în perioadele cu temperaturi extreme pentru protecţia persoanelor
încadrate în muncă;
 Hotărârea de Guvern nr. 300/02.03.2006 privind cerinţele minime de securitate şi sănătate
pentru şantierele temporare sau mobile;
 Hotărârea de Guvern nr. 971/26.07.2006 privind cerinţele minime pentru semnalizarea de
securitate şi/sau de sănătate la locul de muncă;
 Hotărârea de Guvern nr. 1007 din 02/08/2006 privind cerinţele minime de securitate şi
sănătate referitoare la asistenţa medicală la bordul navelor;
 Hotărârea de Guvern nr. 1028 din 09/08/2006 privind cerinţele minime de securitate şi
sănătate în muncă referitoare la utilizarea echipamentelor cu ecran de vizualizare;

84 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Hotărârea de Guvern nr. 1048 din 09/08/2006 privind cerinţele minime de securitate şi
sănătate pentru utilizarea de către lucrători a echipamentelor individuale de protecţie la locul
de muncă;
 Hotărârea de Guvern nr. 1049 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de suprafaţă sau subteran;
 Hotărârea de Guvern nr. 1050 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de foraj;
 Hotărârea de Guvern nr. 1051/9.08.2006 privind cerinţele minime de securitate şi sănătate
pentru manipularea manuală a maselor care prezintă riscuri pentru lucrători, în special de
afecţiuni dorsolombare;
 Hotărârea de Guvern nr. 1058 din 09/08/2006 privind cerinţele minime pentru îmbunătăţirea
securităţii şi protecţia sănătăţii lucrătorilor care pot fi expuşi unui potenţial risc datorat
atmosferelor explozive;
 Hotărârea de Guvern nr. 1091 din 16/08/2006 privind cerinţele minime de securitate şi
sănătate pentru locul de muncă;
 Hotărârea de Guvern nr. 1092 din 16/08/2006 privind protecţia lucrătorilor împotriva
riscurilor legate de expunerea la agenţi biologici în muncă;
 Hotărârea de Guvern nr. 1093 din 16/08/2006 privind stabilirea cerinţelor minime de
securitate şi sănătate pentru protecţia lucrătorilor împotriva riscurilor legate de expunerea la
agenţi cancerigeni sau mutageni la locul de muncă;
 Hotărârea de Guvern nr. 1135 din 30/08/2006 privind cerinţele minime de securitate şi
sănătate în muncă la bordul navelor de pescuit;
 Hotărârea de Guvern nr. 1875 din 22 decembrie 2005 privind protecţia sănătăţii şi securităţii
lucrătorilor faţă de riscurile datorate expunerii la azbest;
 Hotărârea de Guvern nr. 1876 din 22 decembrie 2005 privind cerinţele minime de securitate
şi sănătate referitoare la expunerea lucrătorilor la riscurile generate de vibraţii;
 Hotărârea de Guvern nr. 355/2007 privind supravegherea sănătăţii lucrătorilor;
 Hotărârea de Guvern nr. 1136 din 30/08/2006 privind cerinţele minime de securitate şi
sănătate referitoare la expunerea lucrătorilor la riscuri generate de câmpuri electromagnetice
 Hotărârea de Guvern nr. 493 din 12.04.2006 privind cerinţele minime de securitate şi
sănătate referitoare la expunerea lucrătorilor la riscurile generate de zgomot;
 Hotărârea de Guvern nr. 752 din 14/05/2004 privind stabilirea condiţiilor pentru
introducerea pe piaţă a echipamentelor şi sistemelor protectoare destinate utilizării în
atmosfere potenţial explozive.

Legi în domeniul asigurărilor sociale


 Legea nr. 598/2003 privind aprobarea Ordonanţei de Urgenţă a Guvernului nr. 107/2003
pentru modificarea şi completarea Legii nr. 346/2002 privind asigurarea pentru accidente de
muncă şi boli profesionale;

85 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Legea nr. 346/2002 - Legea privind asigurarea pentru accidente de muncă şi boli
profesionale modificată prin OUG nr. 107 din 24/10/2003 pentru modificarea şi completarea
Legii nr. 346/2002 şi aprobată prin Legea nr. 598/2003 privind aprobarea OUG nr. 107/2003
 Legea nr. 100/1998 privind asistenţa de sănătate publică;
 Legea nr. 145/1997 - Legea asigurărilor sociale de sănătate, abrogată şi înlocuită prin OUG
nr. 150 din 31/10/2002;
 Legea nr. 263/2010 - Legea privind sistemul unitar de pensii publice.

Legi în domeniul materialelor şi substanţelor periculoase


 Legea nr. 360/02.09.2003 privind regimul substanţelor şi preparatelor chimice periculoase;
 Legea nr. 451/18.07.2001 pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.
200/2000 privind clasificarea, etichetarea şi ambalarea substanţelor şi preparatelor chimice
periculoase;
 Legea nr. 426/18.07.2001 pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 78/2000
privind regimul deşeurilor;
 Legea nr. 99/26.03.2001 pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 173/1999
privind suportarea de la bugetul de stat a cheltuielilor de ecologizare a procesului de
reciclare a deşeurilor;
 Legea nr. 126/1995 privind regimul materiilor explosive.

Legi în domeniul evaluării conformităţii


 Legea nr. 608/2001 privind evaluarea conformităţii produselor;
 Legea nr. 245 din 29 aprilie 2002 pentru aprobarea Ordonanţei Guvernului nr. 38/1998
privind acreditarea şi infrastructura pentru evaluarea conformităţii.

3. Ordonanţe şi Hotărâri de Guvern

Ordonanţe în domeniul protecţiei muncii, condiţii de muncă


 Ordonanţa de Urgenţă a Guvernului nr. 96/2003 privind protecţia maternităţii la locurile de
muncă, actualizată şi aprobată prin Legea nr. 25 din 05 martie 2004;
 Ordonanţa de Urgenţă a Guvernului nr. 60/2002 pentru modificarea art.16, alin. (1) din
Ordonanţa de Urgenţă a Guvernului nr. 76/2001 privind simplificarea unor formalităţi
administrative pentru înregistrarea şi autorizarea funcţionării comercianţilor;
 Ordonanţa de Urgenţă a Guvernului nr. 76/2001 privind simplificarea unor formalităţi
administrative pentru înregistrarea şi autorizarea funcţionării comercianţilor (MO nr.
283/31.05.2001);
 Ordonanţa de Urgenţă a Guvernului nr. 99/2000 privind măsurile ce pot fi aplicate în
perioadele cu temperaturi extreme pentru protecţia persoanelor încadrate în muncă (MO nr.
304/04.07.2000);
 Ordonanţa de Urgenţă a Guvernului nr. 16/2000 privind ratificarea unor convenţii adoptate
de OIM;

86 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Ordonanţa de Urgenţă a Guvernului 137/1999 pentru modificarea Legii nr. 108/1999 (MO
nr. 461/23.09.1999);
 Ordonanţa de Urgenţă a Guvernului nr. 136/1999 pentru modificarea şi completarea Legii
nr. 130/1999 privind unele măsuri de protecţie pentru persoanele încadrate în muncă.

Ordonanţe în domeniul materialelor şi substanţelor periculoase


 Ordonanţa de Urgenţă a Guvernului nr.16/26.01.2001 privind gestionarea deşeurilor
industriale reciclabile;
 Ordonanţa de urgenţă nr. 200/2000 privind clasificarea, etichetarea şi ambalarea substanţelor
şi preparatelor chimice periculoase, aprobată prin Legea nr. 451 din 18 iulie 2001;
 Ordonanţa de Guvern nr. 78/2000 privind regimul deşeurilor;
 Ordonanţa de Guvern nr. 33/18.08.1995 privind măsurile pentru colectarea, reciclarea şi
reintroducerea în circuitul productiv a deşeurilor refolosibile.

Ordonanţe în domeniul asigurărilor sociale


 Ordonanţa de Urgenţă a Guvernului nr. 107/24.10.2003 pentru modificarea şi completarea
Legii nr. 346/2002 privind asigurarea pentru accidente de muncă şi boli profesionale;
 Ordonanţa de Urgenţă a Guvernului nr. 150/31.10.2002 privind organizarea şi funcţionarea
sistemului de asigurări sociale de sănătate.

Ordonanţe în domeniul evaluării conformităţii


 Ordonanţa Guvernului nr. 3/08.01.2004 pentru modificarea şi completarea Ordonanţei
Guvernului nr. 38/1998 privind activitatea de acreditare a laboratoarelor şi organismelor
pentru evaluarea conformităţii.

Hotărâri de Guvern în domeniul protecţiei muncii


 Hotărârea de Guvern nr. 600 din 13/06/2007 privind protecţia tinerilor la locul de muncă;
 Hotărârea nr. 355 din 11/04/2007 privind supravegherea sănătăţii lucrătorilor;
 Hotărârea nr. 1218 din 06/09/2006 privind stabilirea cerinţelor minime de securitate şi
sănătate în muncă pentru asigurarea protecţiei lucrătorilor împotriva riscurilor legate de
prezenţa agenţilor chimici;
 Hotărârea de Guvern nr. 1146 din 30/08/2006 privind cerinţele minime de securitate şi
sănătate pentru utilizarea în muncă de către lucrători a echipamentelor de muncă;
 Hotărârea de Guvern nr. 1135 din 30/08/2006 privind cerinţele minime de securitate şi
sănătate în muncă la bordul navelor de pescuit;
 Hotărârea de Guvern nr. 1058 din 09/08/2006 privind cerinţele minime pentru îmbunătăţirea
securităţii şi protecţia sănătăţii lucrătorilor care pot fi expuşi unui potenţial risc datorat
atmosferelor explozive;
 Hotărârea de Guvern nr. 1051/9.08.2006 privind cerinţele minime de securitate şi sănătate
pentru manipularea manuală a maselor care prezintă riscuri pentru lucrători, în special de
afecţiuni dorsolombare;
87 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

 Hotărârea de Guvern nr. 1050 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de foraj;
 Hotărârea de Guvern nr. 1049 din 09/08/2006 privind cerinţele minime pentru asigurarea
securităţii şi sănătăţii lucrătorilor din industria extractivă de suprafaţă sau subteran;
 Hotărârea de Guvern nr. 971/26.07.2006 privind cerinţele minime pentru semnalizarea de
securitate şi/sau de sănătate la locul de muncă;
 Hotărâre de Guvern nr. 752 din 14/05/2004 privind stabilirea condiţiilor pentru introducerea
pe piaţă a echipamentelor şi sistemelor protectoare destinate utilizării în atmosfere potenţial
explozive;
 Hotărâre de Guvern nr. 300/02.03.2006 privind cerinţele minime de securitate şi sănătate
pentru şantierele temporare sau mobile;
 Hotărâre de Guvern nr. 1875/22.12.2005 privind protecţia sănătăţii şi securităţii lucrătorilor
faţă de riscurile datorate expunerii la azbest (MO nr. 64/24.01.2006);
 Hotărâre de Guvern nr. 1022/10.09.2002 privind regimul produselor şi serviciilor care pot
pune în pericol viaţa, sănătatea, securitatea muncii şi protecţia mediului (MO nr.
711/30.09.2002);
 Hotărâre de Guvern nr. 613/13.06.2002 pentru prorogarea termenului prevăzut la art. 16 din
Hotărârea Guvernului nr. 261/2001 privind criteriile şi metodologia de încadrare a locurilor
de muncă în condiţii deosebite;
 Hotărâre de Guvern nr. 676/2001 pentru modificarea şi completarea Hotărâre de Guvern nr.
261/2001 privind criteriile şi metodologia de încadrare a locurilor de muncă în condiţii
deosebite (MO nr. 424/30.07.2001);
 Hotărâre de Guvern nr. 625/06.07.2001 privind procedura de autorizare a comercianţilor
(MO nr. 358/04.07.2001);
 Norme de aplicare a Hotărârii de Guvern nr. 261/2001 (MO nr. 300/07.06.2001);
 Hotărâre de Guvern nr. 261/22.02.2001 privind criteriile şi metodologia de încadrare a
locurilor de muncă în condiţii deosebite (MO nr.114/06.03.2001);
 Hotărâre de Guvern nr. 1337/2001 pentru modificarea şi completarea Hotărâre de Guvern
nr. 261/2001 privind criteriile şi metodologia de încadrare a locurilor de muncă în condiţii
deosebite (MO nr. 36/21.01.2002);
 Hotărâre de Guvern nr. 580 din 6/07/2000 pentru aprobarea Normelor metodologice de
aplicare a prevederilor Ordonanţei de urgenţă a Guvernului nr. 99/2000 privind măsurile ce
pot fi aplicate în perioadele cu temperaturi extreme pentru protecţia persoanelor încadrate în
muncă.

Hotărâri de Guvern în domeniul materialelor şi substanţelor periculoase


 Hotărâre de Guvern nr. 92/23.01.2003 pentru aprobarea Normelor metodologice privind
clasificarea, etichetarea şi ambalarea preparatelor chimice periculoase;
 Hotărâre de Guvern nr. 1300/20.11.2002 privind notificarea substanţelor chimice;

88 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Hotărâre de Guvern nr. 536/30.05.2002 pentru aprobarea Normelor tehnice privind


deţinerea, prepararea, experimentarea, distrugerea, transportul, depozitarea, mânuirea şi
folosirea materiilor explozive utilizate în orice alte operaţiuni specifice în activităţile
deţinătorilor, precum şi autorizarea artificierilor şi a pirotehniştilor (MO nr. 479 04.07.2002)
 Hotărâre de Guvern nr. 162/20.02.2002 privind depozitarea deşeurilor;
 Hotărâre de Guvern nr. 128/14.02.2002 privind incinerarea deşeurilor;
 Hotărâre de Guvern nr. 340/20.06.1992 privind regimul de import al deşeurilor şi
reziduurilor de orice natură.

Hotărâri de Guvern în domeniul asigurărilor sociale


 Hotărâre de Guvern nr. 13/08.01.2004 privind aprobarea Statutului Casei Naţionale de
Pensii şi Alte Drepturi de Asigurări Sociale.

Hotărâri de Guvern în domeniul evaluării conformităţii


 Hotârârea de Guvern nr. 809 din 14 iulie 2005 pentru modificarea Hotărârii Guvernului nr.
115/2004 privind stabilirea cerinţelor esenţiale de securitate ale echipamentelor individuale
de protecţie şi a condiţiilor pentru introducerea lor pe piaţă;
 Hotărâre de Guvern nr. 119/05.02.2004 privind stabilirea condiţiilor pentru introducerea pe
piaţă a maşinilor industriale;
 Hotărâre de Guvern nr. 115/05.02.2004 privind stabilirea cerinţelor esenţiale de securitate
ale echipamentelor individuale de protecţie şi a condiţiilor pentru introducerea lor pe piaţă
(MO nr. 166/26.02.2004);
 Hotărâre de Guvern nr. 1605/23.12.2003 privind modificarea şi completarea Hotărârii
Guvernului nr. 71/2002 pentru aprobarea Normelor metodologice privind stabilirea
procedurilor ce se utilizează în procesul de evaluare a conformităţii produselor din
domeniile reglementate, prevăzute în Legea nr. 608/2001 privind evaluarea conformităţii
produselor, şi a regulilor de aplicare şi utilizare a marcajului naţional de conformitate CS;
 Hotărâre de Guvern nr. 1514/18.12.2003 pentru modificarea şi completarea Hotărârii
Guvernului nr. 457/2003 privind asigurarea securităţii utilizatorilor de echipamente electrice
de joasă tensiune;
 Hotărâre de Guvern nr. 457/18.04.2003 privind asigurarea securităţii utilizatorilor de
echipamente electrice de joasă tensiune modificată şi completată prin Hotărârea de Guvern
1514/2003.

Hotarari de Guvern in domeniul reglementarilor tehnice


 Hotărâre de Guvern nr. 1587/18.12.2002 privind măsurile pentru organizarea şi realizarea
schimbului de informaţii în domeniul standardelor şi reglementărilor tehnice, precum şi al
regulilor referitoare la serviciile societăţii informaţionale între România şi statele membre
ale Uniunii Europene, precum şi Comisia Europeană.

89 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

4. Ordine
Ordine emise de Ministrul Muncii şi Solidarităţii Sociale
 Ordinul Minstrului Muncii şi Solidarităţii Sociale nr. 153 din 19 martie 2002 pentru
modificarea Ordinului ministrului industriei şi resurselor şi al ministrului muncii şi
solidarităţii sociale nr. 184/395/2001 privind aprobarea Listei cuprinzând standardele
române pentru asigurarea securităţii utilizatorilor de echipamente electrice de joasă tensiune
(MO nr. 323 16.05.2002);
 Ordinul Ministrului Muncii şi Solidarităţii Sociale nr. 352 pentru aprobarea Normelor de
aplicare a Hotărârii Guvernului nr. 261/2001 privind criteriile şi metodologia de încadrare a
locurilor de muncă în condiţii deosebite (MO nr. 300/07.06.2001);
 Ordinul Ministrului Muncii şi Solidarităţii Sociale nr. 184/395/2001 privind aprobarea Listei
cuprinzând standardele române pentru asigurarea securităţii utilizatorilor de echipamente de
joasă tensiune (MO nr. 381/12.07.2001);
 Ordinul Ministrului Muncii şi Solidarităţii Sociale nr. 352/2001 pentru aprobarea Normelor
de aplicare a Hotărârii Guvernului nr. 261/2001 privind criteriile şi metodologia de
încadrare a locurilor de muncă în condiţii deosebite (MO nr. 300/07.06.2001);
 Ordinul Ministrului Muncii şi Protecţiei Sociale nr. 187/1998 privind aprobarea
Regulamentului de organizare şi funcţionare a Comitetului de securitate şi sănătate în muncă
(MO nr. 169/29.04.1998).

Ordine emise de Ministrul Sănătăţii şi Familiei


 Ordinul Ministrului Sănătăţii şi Familiei nr. 803/2001 privind aprobarea unor indicatori de
expunere şi/sau de efect biologic relevanţi pentru stabilirea răspunsului specific al
organismului la factori de risc de îmbolnăvire profesională (MO nr. 811/18.12.2001).
 Ordinul Ministrului Sănătăţii şi Familiei nr. 840/2001 pentru abrogarea Ordinului
ministrului sănătăţii nr. 328/2000 privind modificarea şi completarea Normelor de avizare
sanitară a proiectelor obiectivelor şi de autorizare sanitară a obiectivelor cu impact asupra
sănătăţii publice, aprobate prin Ordinul ministrului sănătăţii nr. 331/1999 (MO nr.
814/18.12.2001).

5. Standarde
 Asociaţia de Standardizare din România (ASRO) este organismul abilitat de către Guvernul
României pentru coordonarea activităţii de elaborare a standardelor române, precum şi
pentru editarea şi distribuirea acestora;
 ILO-OSH:2001, Principii directoare privind sistemele de management al securităţii şi
sănătăţii în muncă, elaborat de Organizaţia Internaţională a Muncii;
 OHSAS 18001:2004, Sisteme de management al sănătăţii şi securităţii ocupaţionale;
 OHSAS 18002:2004, Linii directoare pentru implementarea OHSAS 18001:2004.

90 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

6. Evoluţia sistemelor de management al securităţii şi sănătăţii în muncă

91 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 9. Managementul riscurilor de natura sănătăţii şi securităţii în muncă

Conform Legii Securităţii şi Sănătăţii în Muncă 319/2006, conducătorii unităţilor economice


sunt singurii responsabili de sănătatea şi securitatea salariaţilor, ei se află în centrul activităţii de
prevenire a riscurilor şi asigurare a sănătăţii şi securităţii în muncă. Au obligaţia legală de a asigura
starea de securitate şi de a proteja sănătatea salariaţilor.
Obligativitatea evaluării riscurilor profesionale în ţara noastră decurge din legislaţia actuală
în domeniu, care a fost armonizată cu legislaţia Uniunii Europene privind securitatea şi sănătatea în
muncă. Astfel, Legea 319/2006, în capitolul III "Obligaţiile angajatorilor", care transpune Directiva
Consiliului nr. 89/391/CEE/1989, prevede:
Art. 7 al. 3 – Angajatorul are obligaţia să implementeze măsurile prevăzute la alineatele 1 şi
2, pe baza următoarelor principii de prevenire:
- evitarea riscurilor;
- evaluarea riscurilor care nu pot fi evitate;
- combaterea riscurilor la sursă.
al. 4. Fără a aduce atingere altor prevederi ale prezentei legi, ţinând seama de natura
activităţilor din întreprindere şi/sau unitate, angajatorul are obligaţia:
a) să evalueze riscurile pentru securitatea şi sănătatea lucrătorilor, inclusiv la alegerea
echipamentelor de muncă, a substanţelor sau a preparatelor chimice utilizate şi la amenajarea
locurilor de muncă;
b) ca, ulterior evaluării prevăzute la lit. a) şi dacă este necesar, măsurile de prevenire,
precum şi metodele de lucru şi de producţie aplicate de către angajator să asigure îmbunătăţirea
nivelului securităţii şi al protecţiei sănătăţii lucrătorilor şi să fie integrate în ansamblul activităţilor
întreprinderii şi/sau unităţii respective şi la toate nivelurile ierarhice.
Art. 12. al. 1. Angajatorul are următoarele obligaţii:
a) să realizeze şi să fie în posesia unei evaluări a riscurilor pentru securitatea şi sănătatea în
muncă, inclusiv pentru acele grupuri sensibile la riscuri specifice.
Legislaţia actuală obligă conducătorii de societăţi să introducă conceptul de securitate în
însăşi organizarea muncii. Aceştia pot să intervină pentru:
- lucrul în echipe succesive;
- limitarea numărului de lucrători expuşi la produse şi procedee periculoase;
- luarea de măsuri organizatorice atunci când o societate terţă intervine pe teritoriul alteia;
- limitarea timpului de expunere la minimum necesar;
- alegerea celor mai adecvate mijloace de protecţie individuală;
- impunerea supravegherii medicale permanente şi periodice a celor mai expuşi muncitori;
- impunerea de restricţii privind munca tinerilor şi a femeilor.
Metodele şi mijloacele de analiză a sistemelor de muncă sub aspectul securităţii muncii sunt
necesare pentru identificarea rapidă şi realistă a situaţiilor deficitare din punctul de vedere al
prevenirii accidentelor şi a bolilor profesionale.
Eliminarea totală a pericolelor, respectiv a accidentelor şi a bolilor profesionale din sistemul
de muncă este, în mod practic, imposibilă.
În realitate, există niveluri acceptabile de securitate a muncii, a căror punere în evidenţă
necesită eforturi serioase de apreciere calitativă şi încercări de evaluare cantitativă.
În principiu, există două posibilităţi de evaluare a nivelului de securitate a muncii într-un
sistem:
- evaluare postaccident / boală profesională;
- evaluare preaccident / boală profesională.

92 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Evaluarea postaccident este utilă din punct de vedere al statisticilor de accidente, care pot
caracteriza organizaţia din punct de vedere cantitativ şi calitativ prin indicele de frecvenţă şi de
gravitate. În anumite situaţii, aceste informaţii sunt de mare ajutor pentru aprecierea calităţii unor
locuri de muncă din punct de vedere al securităţii, în vederea implementării îmbunătăţirilor
necesare.
Evaluarea preaccident ia în considerare posibilitatea de producere a accidentelor într-un
sistem. Oferă soluţii înainte de a se întâmpla accidentul.
Noţiunea fundamentală utilizată este riscul de accidentare/îmbolnăvire profesională. Având
în vedere importanţa evaluării preaccident, în Europa au fost dezvoltate mai multe metode apriorice:
- controale, verificări - la nivelul locurilor de muncă, secţii, ateliere etc.;
- metode directe (comparative);
- metode indirecte (analitice) - analiza riscurilor pe baza: ergonomiei sistemelor sau
fiabilităţii sistemelor.
Oricare ar fi metoda de evaluare, aceasta conduce la rezultate concrete şi operaţionale dacă
se bazează pe recunoaşterea a patru criterii fundamentale:
- rigurozitate ştiinţifică – să decurgă dintr-o teorie coerentă şi completă;
- criteriul finalităţii – scopul urmărit este realizarea securităţii, prin diferite obiective
parţiale, care conferă particularitate metodelor de analiză;
- criteriul complexităţii – metoda să fie adaptată pentru sistemul dat;
- criteriul economic – în funcţie de importanţa şi de gravitatea consecinţelor posibile.
Componentă intrinsecă a strategiei manageriale, activitatea de prevenire reprezintă un
ansamblu de procedee şi măsuri luate sau planificate la toate stadiile de concepere, proiectare şi
desfăşurare a proceselor de muncă, menită să asigure desfăşurarea proceselor de muncă în condiţii
de maximă securitate pentru sănătatea şi integritatea participanţilor la proces, prin care se elimină
riscurile de accidentare sau îmbolnăvire profesională. Astfel, aceasta se constituie ca o ştiinţă de
interfaţă, îmbinând cunoştinţe şi tehnici de strictă specialitate în domeniul de aplicare cu tehnici şi
cunoştinţe din domeniul ergonomiei, igienei industriale, psihosociologiei muncii, medicinii muncii
şi toxicologiei industriale. În acest context, se poate afirma că sarcina principală a activităţii de
prevenire o reprezintă obţinerea maximumului de eficienţă şi de calitate a muncii în condiţiile
reducerii numărului de accidente către zero.
De aici rezultă că sunt două obiective majore ale prevenirii, care suscită interes în principal:
a) pe plan uman: - reducerea numărului accidentelor de muncă şi a îmbolnăvirilor
profesionale;
b) pe plan financiar: - reducerea costurilor legate de accidentele de muncă şi îmbolnăvirile
profesionale.
Aceste deziderate se pot realiza numai prin eliminarea sau reducerea riscurilor profesionale,
în care scop trebuie întreprins un demers global care să cuprindă:
- evaluarea riscurilor profesionale;
- punerea în conformitate a echipamentelor tehnice;
- stabilirea procedurilor de lucru;
- ameliorarea condiţiilor de mediu de muncă;
- selecţia, formarea şi informarea personalului;
- stabilirea strategiei manageriale.
Punctul de plecare în optimizarea activităţii de prevenire a accidentelor de muncă şi
îmbolnăvirilor profesionale într-un sistem îl constituie evaluarea riscurilor din sistemul respectiv.
Indiferent dacă este vorba de un loc de muncă, un atelier, secţie sau o societate comercială în
ansamblul său, o asemenea analiză permite cunoaşterea, cuantificarea şi ierarhizarea pericolelor în
funcţie de dimensiunea lor şi alocarea eficientă a resurselor pentru măsurile prioritare.

93 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Evaluarea riscurilor presupune identificarea tuturor factorilor de risc din sistemul analizat şi
cuantificarea dimensiunii lor pe baza combinaţiei dintre doi parametri: probabilitatea de manifestare
şi gravitatea consecinţei maxime posibile (cea mai frecventă) asupra organismului uman. Se obţin
astfel niveluri de risc parţiale pentru fiecare factor de risc, respectiv, niveluri de risc global pentru
fiecare loc de muncă şi nivel de risc global agregat pentru întregul sistem analizat.
Acest principiu de evaluare a riscurilor este cuprins în standardele europene (CEI812’85,
respectiv, proiect CEN 1992) şi stă la baza diferitelor metode cu aplicabilitate practică.
Obiectivul evaluării riscurilor este să permită angajatorului adoptarea măsurilor de
prevenire/protecţie adecvate referitoare la:
- prevenirea riscurilor profesionale;
- formarea muncitorilor;
- informarea muncitorilor;
- implementarea unui sistem de management care să permită aplicarea efectivă a măsurilor
necesare de prevenire/protecţie.
Scopul de bază al evaluării riscurilor rămâne întodeauna prevenirea riscurilor profesionale.
Eliminarea acestora nu este posibilă întotdeauna şi atunci acestea trebuiesc reduse, până la valoarea
unor riscuri reziduale care trebuiesc şi pot fi controlate.
Evaluarea riscurilor trebuie astfel realizată (structurată), încât să permită angajatorilor,
persoanelor din compartimentul de S. S. M. şi lucrătorilor să:
- identifice pericolele existente şi să evalueze riscurile asociate lor;
- evalueze riscurile în scopul selectării adecvate a echipamentelor, substanţelor utilizate şi
organizării locurilor de muncă;
- verifice dacă măsurile de prevenire sunt adecvate;
- observe dacă toţi factorii, relevanţi sau ascunşi, legaţi de procesul de muncă au fost luaţi în
considerare;
- contribuie efectiv la ameliorarea stării de securitate şi sănătate în muncă.
Reevaluarea riscurilor profesionale se face şi de ori de câte ori intervin modificări în
sistemul de muncă (organizarea muncii, introducerea de noi materiale, echipamente, metode,
proceduri etc.) sau ori de câte ori se solicită de cei implicaţi.
Pe timpul evaluării şi după, trebuie urmărit ca riscul să nu fie transferat în alte zone ale
sistemului de muncă şi eliminarea unui risc să nu creeze probleme noi.
Principiile de bază ale evaluării riscurilor
Evaluarea riscurilor constă în studiul sistematic a tuturor elementelor procesului de muncă
susceptibil de a genera daune, al mijloacelor de eliminare a pericolelor şi al măsurilor de prevenire/
protecţie a acestor riscuri.
Indiferent de metoda aplicată, evaluarea riscurilor trebuie să urmărească următoarele etape
obligatorii:
- identificarea pericolelor existente şi riscurilor;
- identificarea persoanelor care pot fi expuse acestor pericole;
- estimarea calitativă şi/sau cantitativă a riscurilor;
- examinarea posibilităţilor de eliminare sau diminuare a riscurilor;
- adoptarea altor măsuri care să vizeze prevenirea riscurilor.
Evaluarea trebuie axată pe riscurile profesionale evidenţiate sau previzibile în mod raţional,
luând în calcul şi riscurile nesemnificative (riscuri din activităţi cotidiene) numai în cazul când
există posibilitatea agravării lor.
Evaluarea riscurilor trebuie să vizeze toate locurile de muncă: fixe (birouri, ateliere, maşini
unelte etc.); evolutive (şantiere, docuri etc); mobile (temporare).

94 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Evaluarea riscurilor la locurile de muncă fixe, unde procesul de muncă se derulează după o
schemă permanentă se va face ţinând cont de condiţiile existente uzuale, nu va fi reiterată pentru
locurile de muncă comparabile şi se va revizui numai când circumstanţele se modifică.
Evaluarea riscurilor la locurile de muncă evolutive sau mobile se va face luând în
considerare toate etapele succesive ale locurilor de muncă, ţinându-se seama de toate schimbările
elementelor sistemului de muncă.
Evaluarea riscurilor profesionale nu se va demara exclusiv de către angajator sau de
reprezentanţii acestora, ci în acest demers vor fi antrenaţi muncitorii sau reprezentanţii lor, care
trebuie consultaţi pe tot parcursul evaluării şi informaţi cu privire la măsurile de prevenire/protecţie
adoptate şi la concluziile obţinute.
La evaluarea riscurilor se va ţine cont obligatoriu de prescripţiile legale şi de normele şi
recomandările publicate (norme tehnice, coduri de bună practică, nivelele de expunere, norme ale
asociaţilor profesionale etc.)
Evaluarea riscurilor va ţine cont de eventuale prezenţe la locul de muncă analizat şi a altor
categorii de personal din afara sistemului de muncă care pot fi expuşi riscurilor existente sau pot
provoca riscuri suplimentare personalului prezent. Aceste categorii de personal (personal din alte
sectoare ale unităţii, persoane din alte societăţi, vizitatori, studenţi, clienţi, elevi, public etc.) nefiind
conştienţi de riscuri, ignoră măsurile de protecţie şi se expun pericolelor, de aceea ele trebuiesc
informate în prealabil de măsurile de protecţie ce se impun.
Evaluarea riscurilor se va face prioritar la locurile de muncă cu pericol deosebit şi iminent
de accidentare urmărindu-se:
- identificarea factorilor de risc precum şi consecinţele acţiunii lor asupra organismului
uman (deces sau invaliditate);
- nivelul cantitativ al factorilor de risc în cazul îmbolnăvirilor profesionale;
- durata de expunere la acţiunea factorilor de risc;
- numărul persoanelor expuse;
- nivelul morbidităţii prin accidente şi îmbolnăviri profesionale.
Locurile de muncă cu pericol deosebit şi/sau iminent conţin factori de risc care generează
explozii, incendii, factori de risc mecanic, termic, electric, biologic, psihic, factori de risc naturali şi
speciali ai mediului de muncă.
La locurile de muncă ce presupun activităţi în condiţii de risc deosebit, timpul de lucru poate
fi redus sub 8 ore/zi.
Principiile care stau la baza ierarhizării măsurilor de prevenire/protecţie a riscurilor sunt:
- evitarea riscurilor;
- înlocuirea elementelor periculoase;
- combaterea riscurilor la sursă;
- prioritatea măsurilor de protecţie colectivă;
- considerarea evoluţiei tehnico – ştiinţifice;
- ameliorarea continuă a nivelului S.S.M.

95 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Verificarea conformităţii cu prevederile din domeniul sănătăţii şi securităţii în muncă

Elemente de Criterii de realizare asociate rezultatului Criterii de realizare


competenţă activităţii descrise de elementul de asociate modului de
ale managerului de competenţă îndeplinire a activităţii
descrise de elementul de
securitate
competenţă
1. Verifică respectarea 1.1. Respectarea prevederilor din domeniul Verificarea respectării
prevederilor din securităţii şi sănătăţii în muncă este prevederilor din domeniul
domeniul sănătăţii şi verificată ţinând cont de riscurile identificate sănătăţii şi securității în
securității în muncă. şi de activităţile şi documentele specifice muncă se realizează cu
prevăzute de reglementările în vigoare. responsabilitate, atenție,
1.2. Respectarea prevederilor din domeniul exigență.
securităţii și sănătății în muncă este
verificată ținând cont de procedurile de
acțiune în caz de pericol grav și iminent și
de modul de acțiune al personalului.
2. Controlează starea şi 2.1. Starea şi modul de utilizare al Controlul stării și modului
modul de utilizare al mijloacelor tehnice este controlată împreună de utilizare al mijloacelor
mijloacelor tehnice și cu personalul desemnat ţinând cont de tehnice și al
al echipamentului criteriile funcţionale şi caracteristicile echipamentului individual
individual de lucru și tehnice ale acestora. de lucru și protecție se
protecție. 2.2. Starea şi modul de utilizare al face cu acuratețe,
echipamentului individual de protecție și de corectitudine și exigență.
lucru este controlată ținând cont de cerințele
de securitate și sănatate în muncă și pentru
asigurarea desfășurării activităților în
condiții de siguranță.

96 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 10. Echipamente de protecţie, de lucru şi materiale igienico-sanitare

1. Protecţia capului
2. Protecţie la zgomot
3. Protecţia respiratorie
4. Protecţia mâinii şi braţului
5. Protecţia picioarelor, gambelor
6. Protecţia întregului corp
7. Unica folosinţă
8. Lucrul la înălţime

1. Protecţia capului

Acoperământ pentru cap


Fes
Şapcă bumbac
Şapcă polyester
Bonetă bucătar
Şapcă iarnă din fâş

Căşti de protecţie
Cască de protecţie 440V
Cască de protecţie din polietilenă, 6 puncte de fixare, greutate 310 g, rezistenţă electrică la
440 V, garanţie 5 ani
Cască de protecţie din polietilenă, greutate 330 g, rezistenţă electrică la 440 V, dispozitiv de
fixare rapidă, 4 puncte de fixare
Cască de protecţie 1200V
Cască de protecţie forestier
Cască de protecţie

Ochelari de protecţie
Ochelari de protecţie cu rame ajustabile
Ochelari de protecţie cu aerisire indirectă
Ochelari de protecţie pentru sudori (BN 24)
Ochelari cu vizor din policarbonat

Ecrane faciale
Vizieră de protecţie
Vizieră de protecţie din policarbonat
Vizieră de protecţie 105
Vizieră de protecţie 85
Vizieră de protecţie cu antifoane
Vizieră de protecţie 180

2. Protecţie la zgomot

Antifoane externe
Antifoane externe comfortabile, SNR 25 db Cod 300
Antifoane externe comfortabile, SNR 25dB Cod 400

97 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Antifoane externe profesionale


Antifoane externe
Antifoane externe 100
Antifoane externe 50
Antifoane externe 700
Antifoane externe 4300

Antifoane interne
Antifoane interne cu şnur, SNR 36
Antifoane interne refolosibile, SNR 28
EAR Dispenser
Antifoane interne
Antifoane interne 15
Antifoane interne 7
Antifoane interne 9

3. Protecţia respiratorie

Filtre / cartuşe filtrante


Cartuş filtrant Tip SX- P 2440 (vopsitor)
Cartuş filtrant antiaerosoli
Cartuş filtrant polivalent SX P 2433 fără filtru antiaerosoli
Cartuş filtrant polivalent SX P 2435-P3
Cartuş filtrant industrial, Grupa A, vapori organici
Cartuş filtrant industrial, Grupa B - gaze acide
Cartuş filtrant industrial, Grupa K-amoniac
Cartuş filtrant industrial, Grupa oxizi de azot
Cartuş filtrant industrial, Grupa E - bioxid de sulf
Filtru combinat ABEK1
Filtru combinat ABEK1 - 3M
Filtru combinat ABEK1 - A
Masca de protecţie - 3M
Masca de protecţie

Semimăşti
Masca medicinală 3 pliuri
Semimasca de unică folosinţă
Semimasca de protecţie 710 FFP1 S
Semimasca cu supapă FFP1
Semimasca cu racord filetat
Semimasca cu supapă FFP2 S
Semimasca cu supapă FFP2
Semimasca de protecţie FFP3S
Semimasca cu un cartuş filtrant
Semimasca cu 2 cartuşe filtrante

98 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Măşti de protecţie
Masca industrială tip cagulă, model P 2085
Masca izolantă cu aspiraţie liberă a aerului curat – Model P 200
Masca industrială cu bretele
Masca cu vizor panoramic
Sac portmască

4. Protecţia mâinii şi braţului

Mănuşi antităiere
Mănuşi din zale

Mănuşi de protecţie - agresiuni mecanice


Mănuşi din canvas
Mănuşi din KEVLAR (chiff)
Mănuşi din KEVLAR (teal)
Mănuşi din piele
Manuşi din piele spalt bovină
Manuşi multicolore
Manuşi piele box bovină
Manuşi sudor
Manuşi antivibraţie

Mănuşi de protecţie - substanţe chimice


Mănuşi antichimice din PVC
Mănuşi antichimce din PVC/nitri
Mănuşi antichimice şi antiacide din PVC
Mănuşi de unică folosinţă
Mănuşi din bumbac cu nitril impregnat
Mănuşi din cauciuc natural
Mănuşi din latex natural 100%
Mănuşi din latex pe suport textil
Mănuşi din nitril
Mănuşi din nylon tricotat
Mănuşi menaj din latex

Mănuşi de protecţie - material textil


Mănuşi din bumbac cu aplicaţii PVC
Mănuşi textile din bumbac gros
Mănuşi textile din denim
Mănuşi tricot
Mănuşi din poliester

Mănuşi de protecţie - împotriva căldurii


Mănuşi de protecţie
Mănuşi din bumbac gros
Mănuşi din material special
99 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Mănuşi îmblănite
Mănuşi îmblănite

5. Protecţia picioarelor, gambelor

Pantofi
Pantofi de protecţie (basic low)
Pantofi de protecţie clasici
Pantofi de protecţie tip sport
Pantofi de protecţie (mickey)
Sandale de protecţie
Pantofi de protecţie fără bombeu metalic
Pantofi cu bombeu metalic şi inserţie metalică
Pantofi de protecţie tip sport cu bombeu metalic

Bocanci
Bocanci de protecţie clasici
Bocanci de protecţie (basic ankle)
Bocanci de protecţie (cepnr strong)
Bocanci de protecţie (cepnr strong s3)
Bocanci de protecţie (flow h s3)
Bocanci sanitari
Bocanci de protecţie fără bombeu metalic
Pantofi de protecţie cu bombeu metalic
Pantofi de lucru
Bocanci de protecţie cu bombeu metalic
Bocanci cu bombeu metalic şi inserţie metalică
Bocanci de lucru
Bocanci de protecţie înalţi
Cizme PVC albe

Cizme
Cizme din PVC
Cizme de protecţie (kraken)
Cizme din PVC/nitril
Cizme sold (fish)
Cizme cu bombeu metalic
Cizme salopetă pescuit
Cizme de protecţie îmblănite
Cizme cu bombeu metalic şi inserţie metalică
Cizme îmblănite

Saboţi şi sandale
Saboţi damă
Papuci medicinali damă
Papuci medicinali bărbăteşti
Saboţi bărbăteşti
Galoshe
100 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Sandale de protecţie
Saboţi profesionali
Saboţi profesionali damă cu baretă

6. Protecţia întregului corp

Îmbrăcăminte gastro
Costum pantaloni talie şi tunică
Pantaloni bucătar
Pantaloni damă
Tunică bucătar
Costum industria alimentară

Îmbrăcăminte medicală
Halat damă (M4)
Halat damă (M44)
Halat damă, mânecă lungă (m6)
Costum îmbrăcăminte medicală
Costum medical

Jachete
Jachetă de iarnă, impermeabilă
Jachetă din tercot (Desman)
Jachetă din tercot (Emerton)
Jachetă cu elemente reflectorizante
Bluzon cu fermoar
Jachetă tercot
Jachetă impermeabilă cu glugă
Geacă de iarnă
Haină vătuită cu glugă
Jachetă de iarnă

Pantaloni
Pantaloni cu pieptar din tercot
Pantaloni talie din tercot (Desman)
Pantaloni talie din tercot (Emerton)
Pantaloni cu pieptar din tercot (Desman)
Pantaloni cu pieptar din tercot (Emerton)
Pantaloni scurţi din tercot (Emerton S)
Pantaloni scurţi din tercot (Desman)
Pantaloni cu pieptar din tercot (Viali)
Pantaloni talie (Viali)
Pantaloni scurţi (Viali)

Tricouri
Tricou Desman
Tricou Emerton

101 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tricou Stenso
Tricou Asimo
Cămaşă Emerton
Tricou bumbac - polo
Bluză
Bluzon
Bluzon bărbătesc
Bluzon damă
Jachetă impermeabilă

Veste
Vestă Asimo
Vestă vătuită
Vestă Emerton
Vestă Desman
Vestă de protecţie
Vestă damă
Vestă vătuită din polyester
Vestă de protecţie
Vestă de protecţie cu 2 feţe

Costume (salopete)
Costum pază şi protecţie din tercot
Salopetă - costum pantalon talie şi jachetă
Salopetă - costum pantalon cu pieptar şi jachetă
Costum antistatic
Costum de iarnă din fâş
Costum de protecţie îmblănit
Costum de protecţie de iarnă
Salopetă de lucru pentru sudori
Salopetă de lucru
Combinezon de protecţie
Salopetă de lucru (Viali)
Costum de iarnă vătuit
Salopetă de lucru (Emerton)

Combinezoane / pelerine
Combinezon bumbac 100%
Combinezon din tercot (Desman)
Combinezon din tercot (Emerton)
Combinezon antichimic
Combinezon de protecţie

Halate şi şorturi
Halat bumbac 100%
Halat damă din tercot
Şort bumbac 100%
Şort de protecţie apă /noroi

102 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Şort de protecţie din vinilin


Şort de protecţie sudori
Şort protecţie antităiere

Îmbrăcăminte impermeabilă
Pelerină de ploaie din PVC
Poncho impermeabil
Costum impermeabil (hydra)
Costum impermeabil

Îmbrăcăminte reflectorizantă
Vestă de iarnă
Costum reflectorizant
Haină reflectorizantă
Jachetă de iarnă impermeabilă
Pantaloni reflectorizanţi
Vestă reflectorizantă cu benzi reflectorizante
Costum reflectorizant
Geacă reflectorizantă
Pelerină de ploaie
Pelerină de ploaie din PVC
Tricou reflectorizant

7. Unică folosinţă

Protecţia capului
Bonetă bucătar din hârtie
Cagule de unică folosinţă din polipropilenă
Capeline de unică folosinţă din polipropilenă
Bonetă bucătar
Bonetă
Capeline
Costum unică folosinţă
Şort de unică folosinţă - set 100 buc.

Protecţia întregului corp


Combinezon de unică folosinţă din polipropilenă
Halat impermeabil de unică folosinţă
Halat medical unică folosinţă
Şort de unică folosinţă

Protecţia mâinii
Mânecuţe de unică folosinţă din polietilenă
Mânecuţe de unică folosinţă din polipropilenă

103 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Protecţia picioarelor
Botoşei de unică folosinţă din polietilenă
Botoşei de unică folosinţă din polipropilenă

8. Lucrul la înălţime

Hamuri
Easy Belt cu lonja reglabilă
Ham Rapida Light 1264.02
Vestă Golden Chest Alu 930.01
Scaunel Golden Swing 942
Centura Easy Belt 1268
Ham Liberty 907
Ham Basic Plus 2 cod 1298.02
Ham Basic Plus 1 cod 1298.01
Ham Basic 1298
Ham Basic Evo 1298.03
Ham Vertical 2 Plus cod 106
Ham Vertical 2 cod 1247.02
Ham Vertical 1247
Ham Empire 922
Ham Rapida Plus 1264.01
Ham Golden Top 921
Ham Golden Top Plus 921.01
Ham Rapida 1264
Ham_Golden_Top_Evo_921-02
Ham Golden Top Seat Alu 941.05
Ham Golden Top Evo Alu 941.02
Ham Golden Top Comfort Alu 941.04
Ham Golden Top Plus Alu 941.01
Ham Gravity 1265
Ham Vertical 2 Alu Vest 1348.03
Ham Vertical 2 Alu 1348.02
Ham Vertical 2 Vest 1247.03
Ham Basic Duo 1275
Vesta 1362
Întărituri Golden Padding cod 944

Carabiniere şi conectori
Carabinieră ovală
Carabinieră D cu siguranţă
Carabinieră D mare cu siguranţă
Carabinieră HMS Bet Lock
Carabinieră Hercules
Carabinieră HMS Twist Lock
Conector din aluminiu 984.01
Verigă rapidă delta 955
Verigă rapidă 934
Carabinieră D cu închidere automată

104 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Carabinieră 50 kN din oţel


Conector 986
Carabinieră ovală cu închidere automată
Conector 985
Conector 983
Conector 984
Carabinieră ovală din oţel
Conector 1158.01/02/03
Conector 2017
Carabinieră D TWIST LOCK
Carabinieră D TRIPLE LOCK
Carabinieră HMS Twist Lock
Carabinieră HMS TRIPLE Lock
Carabinieră ovală Twist Lock
Demirond din oţel cod 691

Sisteme anticădere
Paw
Sistem anticădere 1398 - TRFA
Sistem anticădere 1395 - RFA 10
Sistem anticădere 1396 - RFA 20
Sistem anticădere 1390
Sistem anticădere 1389
Sistem anticădere 1317
Kit Sistem Anticădere 1317.01
ASAP
Sistem anticădere 1319 - RFA 15

Corzi
Coardă HOTLINE
Coardă North Sea
Coardă Top Work
Coardă Antipodes 11 mm
Coardă Contract
Coardă Industrie
Coardă Antipodes 11,5 mm
Coardă Antipodes 10,5 mm
Coardă Antipodes 10 mm

Căşti
Cască Armour 190
Cască Safety Star 211
Kit vizor cască 1272
Cască Silver Star cu vizor 1271
Cască Silver Star Work 220

105 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Dispozitive de urcare şi coborâre


Accesoriu troliu 284
Troliu 283
SHUNT
Dispozitiv de asigurare ID
Gri Gri
Scripete tandem
Scripete dublu 1097
Scripete mare mobil 1098
Scripete mic mobil
Scripete mic fix 1229
Coborâtor STOP
Coborâtor SIMPLU
Coborâtor Spyder
Blocator Climber
Blocator Croll
Blocator Cirano
Blocator Basic
Blocator Ascension
Scripete mare ROLLER 641
Scripete mic fix 606
Scripete dublu 651

Accesorii
Pistol de tăiat coardă
Detergent pentru coardă şi hamuri
Perie coardă
Buclă plată
Buclă tubulară
Cordelină
Protecţie coardă
Caraba de ţinut scule. Hub
Sac transport 970
Mănuşi de rapel şi via ferată 1601
Mănuşi de rapel 1602
Întărituri Golden Padding 944
Sac transport 971
Rucsac transport Rox 450

Sisteme de iluminare
Frontală cu 7 leduri
Frontală cu 3 leduri
Frontală Duo Led 14
Frontală E-lite
Frontală Tikka XP
Frontală Tikka Plus
Frontală Myo XP
Frontală Petzl Ultra

106 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Mijloace de legătură
Mijloc de legătură 2030.08
Mijloc de legătură 2030.05
Mijloc de legătură 2030.04
Mijloc de legătură 2030.03
Mijloc de legătură 2030.02
Mijloc de legătură 2030.100
Mijloc de legătură 2030.07
Mijloc de legătură reglabil 2031.200

Dispozitiv GERONIMO
Dispozitiv salvare Geronimo
9. Materiale igienico-sanitare

- Materialele igienico-sanitare se acordă obligatoriu şi gratuit salariaţilor în scopul asigurării


igienei şi protecţiei personale, în completarea măsurilor generale luate pentru prevenirea unor
îmbolnăviri profesionale.
- Caracteristicile locurilor de muncă, sortimentele de materiale igienico-sanitare şi cantităţile
sunt prezentate în următorul tabel:

Sortimente de materiale Cantitate


Categoria Caracteristica sanitară a locului de muncă igienico-sanitare Unitate de măsură
Periodicitatea
1 2 3 4
I. Procese de muncă ce se desfaşoară în condiţii de contact cu praf, dar fără degajare de substanţe
chimice, fără contact cu uleiuri sau produse iritante asupra pielii :
a) care produc murdărirea mâinilor Săpun 100-250g/om/lună
Perie de unghii 1buc/om/an
b) care produc murdărirea mâinilor şi a Săpun 200-300g/om/lună
corpului Perie de unghii 1buc/om/an
II. Procese de muncă ce se desfăşoară în condiţii de degajare de praf, fără alte substanţe chimice,
uleiuri sau produse iritante asupra pielii :
a) cu degajare medie de praf Săpun 200-400g/om/lună
Perie de unghii 1buc/om/an
b) cu degajare mare de praf Săpun 400-700g/om/lună
Perie de unghii 1buc/om/an
c) degajare şi contaminare excesivă de praf Săpun 400-1500g/om/lună
Perie de unghii 1-2 buc/om/an
Perie de dinţi 1-2 buc/om/an
Pastă pentru dinţi 60g/om/lună
III. Procese de muncă ce au loc în condiţii de contact direct cu unele substanţe iritante asupra pielii:
a) contact cutanat permanent cu acizi Săpun 300-600g/om/lună
reactivi sau cu materii corozive Preparate pentru 100g/om/săptăm.
protecţia pielii
b) contact cu produse de distilare a huilei, Perie de dinţi 1 buc/om/an
petrolului şi şisturilor bituminoase (smoală, Pastă pentru dinţi 60g/om/lună

107 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

asfalt, ulei şi derivate antracenice, gudron, Săpun 300-700g/om/lună


parafină, combinaţii azoaminice), alte Perie de unghii 1-2 buc/om/an
substanţe iritante cutanate (coloranţi, crom, Preparate pentru 150-400g/om/lună
uleiuri minerale etc.) protecţia pielii
Perie de dinţi 1-2 buc/om/an
Pastă pentru dinţi 60g/om/lună
IV. Procese de muncă ce au loc în condiţii de contact direct cu :
a) unele substanţe toxice care nu au acţiune Săpun 300-600g/om/lună
iritantă cutanată, dar pot pătrunde în Perie de unghii 1 buc/om/an
organism prin piele (în lista din anexa nr.14 Perie de dinţi 1-2 buc/om/an
din “ Norme generale de protecţie a Pastă pentru dinţi 60g/om/lună
muncii “, sunt marcate cu litera “P“, inclusiv
plumbul şi aliajele lui)
b) alte noxe chimice care contaminează Săpun 200-400g/om/lună
pielea Perie de unghii 1 buc/om/an
V. Manipularea şi prelucrarea materiilor infectate
Săpun 300-600g /om/lună
Perie de unghii 1 buc/om/an
VI. Procese de muncă care necesită un regim sanitar special:
- legate de fabricarea şi manipularea produselor alimentare;
- legate de producţia materialelor sterile
Săpun 200-400g /om/lună
Perie de unghii 1-2 buc/om/an
VII. Locuri de muncă cu zgomot care pot afecta auzul

Căşti antizgomot sau 1 buc/om/an


antifoane (EIP)
VIII. Locuri de muncă în care sunt prezente noxe chimice sau pulberi care pot pătrunde în organism
pe cale respiratorie
- legate de producţia materialelor sterile
Măşti adecvate 1-2 buc/om/lună
protecţiei căilor
respiratorii (EIP)

- Lista internă pentru acordarea materialelor igienico-sanitare pe cele 8 capitole privind


caracteristica sanitară a locurilor de muncă, categorii, funcţii şi cantităţi reale (cuprinse între
limitele cantităţilor stabilite în coloana 4 din tabel, ţinând seama de condiţiile concrete de la locurile
de muncă), se întocmeşte anual de către subunităţi, cu avizul (recomandările) medicului de
medicina muncii şi se supun spre aprobare Consiliului de conducere al subunităţii din structura
SNTFC sau forului ierarhic superior în cazul subunităţilor subordonate direct.
- Salariaţii sunt obligaţi să utilizeze materialele igienico-sanitare primite, în conformitate cu
indicaţiile personalului sanitar.
- Neutilizarea corectă a materialelor igienico-sanitare constituie abatere de la normele de
protecţie a muncii, de care se fac vinovaţi conducătorul locului de muncă şi salariaţii respectivi.
- În cazul în care, urmare a măsurilor luate, condiţiile de muncă s-au îmbunătăţit,
eliminându-se cauzele care au determinat acordarea materialelor igienico-sanitare, unităţile vor
reduce (reactualiza) cantitatea reală sau vor sista, după caz, acordarea materialelor igienico-sanitare,
informând în scris forul ierarhic superior, în cazul subunităţilor subordonate direct.

108 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unitatea de competenţă:
UCG3. Urmărirea conformităţii cu prevederile din domeniul apărării împotriva
incendiilor şi de protecţie a mediului

Tema 11. Cadrul legislativ specific ce reglementează activităţile de apărare


împotriva incendiilor

1. Legea nr. 307/2006 privind apărarea împotriva incendiilor, cu modificările și completările


ulterioare, republicată în 2019;
2. Hotărârea Guvernului nr. 915/2015 privind stabilirea criteriilor pentru oprirea funcționării ori
utilizării construcțiilor sau amenajărilor determinate de încălcarea gravă a cerinței de
securitate la incendiu în ceea ce privește periclitarea vieții ocupanților și forțelor de
intervenție, neasigurarea stabilității elementelor portante, respectiv a limitării propagării
focului și fumului în interiorul edificiului și la vecinătăți;
3. Legea nr. 481/2004 privind protecţia civilă - actualizată;
4. Ordinul MAI nr. 3/2011 pentru aprobarea Normelor metodologice de avizare şi autorizare
privind securitatea la incendiu şi protecţia civilă;
5. Hotărârea Guvernului nr. 1739/2006 pentru aprobarea categoriilor de construcţii şi amenajări
care se supun avizării şi/sau autorizării privind securitatea la incendiu;
6. Hotărârea Guvernului nr. 560/2005 pentru aprobarea categoriilor de construcţii la care este
obligatorie realizarea adăposturilor de protecţie civilă, precum şi a celor la care se
amenajează puncte de comandă;
7. Ordinul MAI nr. 712/2005 pentru aprobarea Dispoziţiilor generale privind instruirea
salariaţilor în domeniul situaţiilor de urgenţă, modificat de OMAI nr. 786/2005 - actualizat;
8. Ordinul MAI nr. 1184/2006 pentru aprobarea Normelor privind organizarea şi asigurarea
activităţii de evacuare în situaţii de urgenţă;
9. Ordinul MAI nr. 89/2013 pentru aprobarea Regulamentului de planificare, organizare,
pregătire şi desfăşurare a activităţii de prevenire a situaţiilor de urgenţă;
10. Ordinul MAI nr. 188/2009 pentru abrogarea unor prevederi privind tarifele pentru eliberarea
avizelor si autorizatiilor de securitate la incendiu si protectie civilă;
11. Ordinul MAI nr. 132/2007 pentru aprobarea Metodologiei de elaborare a Planului de analiză
şi acoperire a riscurilor şi a Structurii-cadru a Planului de analiză şi acoperire a riscurilor;
12. Ordinul MAI nr. 1436/2006 pentru aprobarea Metodologiei privind organizarea şi
desfăşurarea activităţii de avizare a normelor şi reglementărilor tehnice de apărare împotriva
incendiilor, emise de ministere şi celelalte organe ale (...);
13. Ordinul MAI nr. 163/2007 pentru aprobarea Normelor generale de apărare împotriva
incendiilor;

109 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

14. Hotărârea Guvernului nr. 537/2007 privind stabilirea şi sancţionarea contravenţiilor la


normele de prevenire şi stingere a incendiilor;
15. Ordinul MAI nr. 106/2007 pentru aprobarea Criteriilor de stabilire a consiliilor locale şi
operatorilor economici care au obligaţia de a angaja cel puţin un cadru tehnic sau personal de
specialitate cu atribuţii în domeniul apărării împotriva incendiilor;
16. Ordinul MIRA nr. 210/2007 pentru aprobarea Metodologiei privind identificarea, evaluarea
şi controlul riscurilor de incendiu – actualizat;
17. Ordinul MAI nr. 130/2007 pentru aprobarea Metodologiei de elaborare a scenariilor de
securitate la incendiu;
18. Ordinul MAI nr. 87/2010 pentru aprobarea Metodologiei de autorizare a persoanelor care
efectuează lucrări în domeniul apărării împotriva incendiilor;
19. Ordinul comun MIRA/ MSP/ MMFES/ MMDD nr. 247/1.235/631/1.130/2007 privind
aprobarea Planului de măsuri vizând realizarea acţiunilor de cooperare între prefecţi şi
primari, în calitatea acestora de preşedinţi ai comitetelor judeţene pentru situaţii de urgenţă,
respectiv ai comitetelor locale pentru situaţii de urgenţă, şi autorităţile de sănătate publică,
pentru atenuarea efectelor temperaturilor ridicate asupra populaţiei;
20. Ordinul IGSU nr. 1045/2007 privind aprobarea Normelor metodologice de emitere a
acordului pentru organizarea jocurilor de artificii cu articole pirotehnice;
21. Ordinul MIRA nr. 164/2007 pentru aprobarea Regulamentului de acordare a brevetului de
pompier specialist personalului serviciilor de urgenţă profesioniste căruia i-au încetat
raporturile de serviciu;

22. Ordinul MIRA/MADR nr. 605/579/2008 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor pe timpul utilizării focului deschis la arderea de mirişti, vegetaţie
uscată şi resturi vegetale;

23. Ordinul MAI nr. 88/2012 privind aprobarea Metodologiei de certificare a conformităţii în
vederea introducerii pe piaţă a mijloacelor tehnice pentru apărarea împotriva incendiilor;
24. Ordinul MAI nr. 14/2009 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la amenajări temporare în spaţii închise sau în aer liber;
25. Ordinul MAI/MCCPN nr. 28/2338/2009 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor la obiective de cult;
26. Ordinul MDRL/MAI nr. 1.078/326/2009 pentru aprobarea Reglementării tehnice "Normativ
de securitate la incendiu a parcajelor subterane pentru autoturisme", indicativ NP 127:2009;
27. Ordinul MAI/MDRT nr. 118/1709/2010 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor la structuri de primire turistice, unitaţi de alimentaţie publică şi unitaţi
de agrement;
28. Ordinul MAI nr. 166/2010 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la construcţii şi instalaţii aferente;
29. Ordinul MAI nr. 187/2010 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la spaţii pentru comerţ;

110 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

30. Ordinul MAI nr. 211/2010 pentru aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la ateliere şi spaţii de întreţinere şi reparaţii;
31. Ordinul MAI nr. 262/2010 privind aprobarea Dispoziţiilor generale de apărare împotriva
incendiilor la spaţii şi construcţii pentru birouri;
32. Ordinul MAI/MS nr. 146/1427/2013 pentru aprobarea Dispoziţiilor generale de apărare
împotriva incendiilor la unităţi sanitare;
33. Ordinul MAI nr. 234/2010 pentru aprobarea Procedurii de determinare a riscului de arson.

Urmărirea conformității cu prevederile din domeniul


apărării împotriva incendiilor și de protecție a mediului

Elemente de Criterii de realizare asociate Criterii de realizare


competenţă rezultatului activităţii descrise de asociate modului de
elementul de competenţă îndeplinire a activităţii
ale managerului de
descrise de elementul
securitate
de competenţă
1. Verifică respectarea 1.1. Respectarea prevederilor din Verificarea respectării
prevederilor din domeniul apărării împotriva prevederilor din
domeniul apărării incendiilor este verificată ţinând cont domeniul apărării
împotriva incendiilor. de corelarea măsurilor de apărare împotriva incendiilor se
împotriva incendiilor cu riscurile face cu responsabilitate,
identificate şi de avizele, autorizaţiile acuratețe, exigență.
şi documentele prevăzute în
reglementările incidente.
1.2. Respectarea prevederilor din
domeniul apărării împotriva
incendiilor este verificată împreună cu
personalul de specialitate, ținând cont
de criteriile funcționale și de
caracteristicile mijloacelor tehnice
corespunzător activităților de apărare
împotriva incendiilor.
2. Controlează 2.1. Respectarea prevederilor din Controlarea respectării
respectarea domeniul protecției mediului este prevederilor din
prevederilor din controlată ţinând cont de avizele, domeniul protecției
domeniul protecției autorizările şi documentaţiile aferente mediului se face cu
mediului. și de măsurile de protecție a mediului. responsabilitate,
2.2. Respectarea prevederilor din acuratețe, exigență.
domeniul protecției mediului este
controlată având în vedere gestionarea
eficientă a deşeurilor, în special a celor
toxice şi periculoase.
2.3. Respectarea prevederilor din
domeniul protecției mediului este
controlată cu testarea și evaluarea
planurilor pentru situații de urgență și
capacitate de răspuns și cu verificarea
instruirii personalului.

111 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 12. Cadrul legislativ şi de protecţie a mediului. Conservarea calităţii


factorilor de mediu. Protecţia resurselor naturale şi conservarea biodiversităţii.

1. Cadrul legislativ de protecţie a mediului

Legislaţia mediului este un domeniu foarte vast, alcătuit din nenumărate acte normative
(hotărâri şi ordonanţe de Guvern, ordine emise de diferite autorităţi, regulamente UE etc.). Vom
enumera cele mai relevante/importante acte normative în materie, în forma lor actualizată.
Legea nr. 265/2006 pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 195/2005
privind protecţia mediului;
Legea apelor nr. 107/1996 cu modificările şi completările ulterioare;
Legea nr. 214/2011 pentru organizarea, administrarea şi exploatarea pajiştilor (ultima
modificare Legea 16/2016);
Legea nr. 178/2000 – republicată în 2011 privind produsele cosmetice;
Legea nr. 289/2002 – republicată în 2014 privind perdelele forestiere de protecţie;
Legea nr. 458/2002 privind calitatea apei potabile;
Legea minelor nr. 85/2003 cu modificările şi completările ulterioare;
Legea petrolului nr. 238/2004 cu modificările şi completările ulterioare;
Legea muntelui nr. 347/2004 cu modificările şi completările ulterioare;
Legea vânătorii şi a protecţiei fondului cinegetic nr. 407/2006 modificată şi completată prin
Legea nr. 149/2015;
Legea nr. 46/2008 Codul Silvic cu modificările şi completările ulterioare prin Legea nr.
133/2015 şi O.U.G. nr. 51/2016;
Legea nr. 171/2010 privind stabilirea contravenţiilor silvice şi a sancţionării acestora
actualizată prin O.U.G. nr. 51/2016;
Legea nr. 132/2010, privind colectarea selectivă a deşeurilor în instituţiile publice;
Legea nr. 211/2011 – republicată în 2014, privind regimul deşeurilor;
Legea nr. 249/2013 privind răspunderea de mediu cu referire la prevenirea şi repararea
prejudiciului asupra mediului.

O.U.G.: Ordonanţe de Urgenţă ale Guvernului

O.U.G. nr. 243/2000 privind protecţia atmosferei;


O.U.G. nr. 196/2005 privind Fondul pentru mediu, modificată şi completată cu O.U.G. nr.
39/2016.

112 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

H.G.: Hotărâri de Guvern

H.G. nr. 321/2005 privind evaluarea şi gestionarea zgomotului ambiant, modificată şi


completată cu H.G. nr. 1260/2012;
H.G. nr. 1037/2010 privind deşeurile de echipamente electrice şi electronice;
H.G. nr. 1132/2008 privind regimul bateriilor şi acumulatorilor şi al deşeurilor lor.

2. Conservarea calităţii factorilor de mediu


Factorii de mediu

SOLUL APA AERUL ATMOSFERA


1. SOLUL= este invelişul subţire al planetei, format pe roca mamă, în urma a numeroase procese
fizice, chimice şi biologice.
Procese:
• fizice: fragmentarea prin îngheţ şi dezgheţ;
• chimice: oxidări, reduceri, formări de săruri;
• biologice: apariţia materiei organice (humus-ul, care formează baza nutriţiei plantelor).
În funcţie de zona climatică, tipul de rocă mamă şi intensitatea proceselor de solificare, există mai
multe tipuri de sol:
• cele mai fertile soluri se numesc cernoziomuri;
• cele mai sărace soluri se numesc podzolice (sunt mai acide).
SOLUL= este un sistem complex de viaţă, în care trăiesc milioane de microorganisme cu rol
foarte important în circulaţia elementelor (mineralizarea substanţei organice, fixarea azotului etc.).
2. APA
Structura resurselor de apă
Planeta dispune de 1,37 miliarde km3 de apă;
97,2% este reprezentat de mări şi oceane;
Ape de la suprafaţa solului = 30.000 km3;
Consumul de apă al oamenilor diferă în funcţie de zona şi de gradul de dezvoltare al fiecărei ţări
de la cca. 3 litri/zi în zonele aride ale Africii la 1.050 litri/zi în New York.
Agricultura consumă cca. 80% din apa folosită de către oameni (în 2000 s-au consumat cca. 1.400
km3 pentru agricultură).
Volumul de apă subterană= cca. 29 milioane km3 din care 65 mii km3 mai aproape de suprafaţă,
deci mai uşor de folosit;
Volumul apelor curgătoare= 1.230 km3.
Debitul anual- râuri şi fluvii ≈ 37.000 km3.
Necesarul estimat pentru toate folosinţele (agricultură, industrie, necesităţile menajere etc) ≈ 18-
19.000 km3, respectiv cca. 50% din debitul tuturor râurilor şi fluviilor.
Stocul existent depăşeste de câteva ori necesarul calculat (în ţara noastră de cca. 6 ori).

113 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Problemele hidrosferei:
 Reducerea cantităţii de apă dulce disponibilă;
Anual volumul de apă dulce se diminuează cu 400 km3.
 Poluarea apei de suprafaţă;
 Poluarea mărilor şi oceanelor;
 Reducerea nivelului pânzei de apă freatică, ca urmare a pompărilor excesive;
Organismele vii- în special plantele au un rol major în circuitul apei;
• Evapotranspiraţia;
• Locul pădurii în economia apei;
• Adaptarea organismelor la regimuri hidrice diferite:
- plante de apă;
- plante xerofite.
3. ATMOSFERA
• Învelişul de aer al planetei;
Masa= 0,000001 din masa globului pământesc.
• Are o grosime de cca. 1.000 km dar, pe măsură ce ne depărtăm de pământ, atmosfera este tot mai
rarefiată, aşa că, de fapt, contează numai stratul de la 0-10 km înalţime.
Straturile atmosferice
0 - 10 km TROPOSFERA - amestec omogen de gaze.
Temperatura scade cu înălţimea (10C la fiecare 180 m).
10 - 100 km STRATOSFERA - gazele sunt stratificate.
Temperatura creşte până la 50 km, apoi scade puternic.
100 - 1.000 km IONOSFERA - gazele sunt sub formă de ioni.
Temperatura creşte până la câteva sute de grade C.
1.000 - 10.000 km MAGNETOSFERA - gaze extrem de rare.
Magnetosfera are rolul de a proteja pământul de radiaţiile care vin din spaţiul cosmic.
Caracteristicile atmosferei
În TROPOSFERǍ oxigenul are o pondere de 20,9%, azotul 78,09%, neonul 0,93%, iar CO2
(dioxid de carbon) ≈ 0,03%. Pe măsură ce înaintăm în înălţime, creşte proporţia de hidrogen (peste
96% la 100 km altitudine).
Problemele atmosferei
• Creşterea conţinutului în CO2 (dioxid de carbon), CH4 (metan) şi alte gaze cu efect de seră;
• Scăderea cantităţii de ozon (O3) din STRATOSFERǍ;
• Îmbogăţirea TROPOSFEREI cu gaze poluante, cu capacitate mare de oxidare (ozon troposferic);
• Scăderea pH-ului în masele de nori - apariţia ploilor acide;
• Scăderea nivelului de transparenţă;
• Creşterea numărului de zone şi zile cu smog.

Direcţii principale de acţiune în domeniul protecţiei factorilor de mediu:


1 2 3
CONSERVARE CONSUM CONTROL
4 5 6
RECUPERARE REFOLOSIRE RECONDIŢIONARE

1. CONSERVARE = utilizarea judicioasă a resurselor naturale pentru nevoile generale


ale societăţii
2. CONSUMUL
Relaţia Marketing – Consum - PIB
RESURSE – POLUARE

114 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- Rolul educaţiei ecologice;


- Organizaţii neguvernamentale;
- Rolul guvernelor;
Ex: materiale termoizolante;
- piste pentru ciclişti;
- hârtie reciclabilă: SUA, Germania;
- ambalaje sticlă: Danemarca.
3. CONTROLUL = măsurarea şi menţinerea sub anumite limite a poluării pentru toţi factorii de
mediu: apă, aer, sol, radiaţii, poluare fonică
- Agenţiile de protecţie a mediului;
- S.Mg.M. (Standarde de management ale Mediului):
Standarde: - SEVESO I + II (Standarde care ţin sub control posibile accidente chimice - acestea au
apărut ca urmare a unui accident chimic în Italia);
• ISO 9001 (Standarde de calitate ale produselor);
• ISO 14001 (Standarde specifice mediului).
Principii:
• Dezvoltare durabilă;
• Îmbunătăţire continuă;
• Nu este obligatoriu.
- Monitoring:
- Sisteme: - GMS (Sistemul Global de Monitorizare) - Internaţional;
- SMIR (Sistemul de Monitorizare Integrată) - Românesc.
- Subsisteme:
- Apă;
- Aer;
- Sol.
- Necesităţi: - Aparatura pentru determinări;
- Laboratoare;
- Standarde;
- Personal calificat.
- Auditul de mediu (Ecoaudit)
- Când? - Etape? - Organisme?
Diferenţa dintre monitoring şi audit este aceea că monitoringul aparţine de stat, iar auditul
aparţine companiei şi nu este obligatoriu.
Auditul este obligatoriu în momentul în care se schimbă proprietarul (ex: bunul trece din
proprietatea statului la PETROM, acesta din urmă este interesat să-şi facă auditul pentru a vedea ce
cumpără).
4. RECUPERARE
5. REFOLOSIRE
6. RECONDIŢIONARE
Strategia celor 3 R;
Strategia de economisire a resurselor, în special a energiei
• Apariţia industriei de prelucrare a deşeurilor:
Metale: Fe – Cu – Al – Pb;
Ni – Cr – Mn – Mb etc.
Sticla: O tonă cioburi economiseşte nisip 600 kg; calcar 110 kg; feldspat 40 kg; sodă caustică
175 kg.
• Recuperarea energiei reziduale:
- sere;
- recuperarea de căldură;
- pompe de căldură.
115 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Concluzie:
Deşi aparent simplă, strategia celor 3 R presupune numeroase dificultăţi:
- Managementul circuitelor de recuperare;
- Atitudinea consumatorului faţă de percepţia calităţii;
- Procedee tehnice de prelucrare performante.

Cauzele şi consecinţele poluării mediului ambiant. Cauzele deteriorării mediului;


Tipuri de poluare
Dezvoltarea mediului este o problemă apărută şi accentuată odată cu accelerarea creşterii
demografice, care a determinat o antropizare a unor zone din ce în ce mai mari.
Fenomenul care este astăzi cel mai adesea asociat cu degradarea mediului este poluarea,
fenomen care s-a intensificat după apariţia revoluţiei industriale şi care are multiple consecinţe
negative de ordin ecologic, social şi economic.
Conform definiţiei formulate de Consiliul OCDE în 1974, poluarea reprezintă “introducerea
de către om, direct sau indirect, de substanţe sau energie în mediu, care antrenează consecinţe
prejudiciabile de natură a pune în pericol sănătatea umană, a vătăma resursele biologice şi
ecosistemele, a aduce atingeri agrementelor ori a impiedica alte utilizări legitime ale mediului”.
Prin substanţe şi energie se înţeleg nu numai materiale solide, lichide sau gazoase, dar şi
zgomotul, vibraţiile, căldura şi radiaţiile.
Legea 265/2006 utilizează noţiunea de “deteriorare a mediului”, înţelegându-se prin aceasta
“alterarea caracteristicilor fizico-chimice şi structurale ale componentelor naturale ale mediului,
reducerea diversităţii şi productivităţii naturale şi antropizate, afectarea echilibrului ecologic şi a
calităţii vieţii, cauzate, în principal, de poluarea apei, atmosferei şi solului, supraexploatarea
resurselor, gospodărirea şi valorificarea lor deficitară, ca şi prin amenajarea necorespunzătoare a
teritoriului”.

3. Protecţia resurselor naturale şi conservarea biodiversităţii

Autoritatea centrală pentru protecţia mediului, cu consultarea autorităţilor centrale de


specialitate care gestionează resursele naturale, elaborează, pe baza Legii 137/1995, reglementări
tehnice privind măsurile de protecţie a ecosistemelor, de conservare a biodiversităţii, de gospodărire
durabilă a resurselor naturale şi pentru asigurarea sănătăţii umane.
La proiectarea lucrărilor care pot modifica cadrul natural al unei zone este obligatorie
procedura de evaluare a impactului asupra acesteia, urmată de avansarea soluţiilor tehnice de
menţinere a zonelor de habitat natural, de conservare a funcţiilor ecosistemelor şi de ocrotire a
organismelor vegetale şi animale, inclusiv a celor migratoare, cu respectarea alternativei şi a
condiţiilor impuse prin acordul şi/sau autorizaţia de mediu, precum şi monitorizarea proprie până la
îndeplinirea acestora.
Suprafeţele terestre şi active supuse unui regim de conservare ca habitate naturale sau pentru
refacere ecologică sunt gestionate de deţinătorii ilegali numai în cazul când aceştia se angajează să
aplice măsurile de conservare stabilite de autoritatea centrală pentru protecţia mediului.
Deţinătorii cu orice titlu, care aplică aceste măsuri, sunt scutiţi de impozit; deţinătorii şi
particularii vor fi compensaţi, în raport cu valoarea lucrărilor de refacere întreprinse.
Protejarea unor specii şi organisme rare ameninţate cu dispariţia, conservarea biodiversităţii
şi instituirea de arii protejate, precum şi măsurile stabilite de autorităţile pentru protecţia mediului
sunt prioritare în raport cu alte interese.
Autoritatea centrală pentru protecţia mediului, cu consultarea Academiei Române şi a
Comisiei Naţionale UNESCO, stabileşte criteriile pentru instituirea ariilor protejate şi de conservare
a biodiversităţii.
116 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

3.1. - Protecţia apelor şi a ecosistemelor acvatice


Protecţia apelor de suprafaţă şi subterane şi a ecosistemelor acvatice are ca obiect
menţinerea şi ameliorarea calităţii şi productivităţii naturale ale acestora, în scopul evitării unor
efecte negative asupra mediului, sănătăţii umane şi bunurilor materiale.
Autoritatea centrală pentru protecţia mediului a elaborat reglementările privind:
a) normele tehnice referitoare la protecţia apelor şi a ecosistemelor acvatice, inclusiv a
populaţiei umane, în cazul poluărilor accidentale şi, în context, transfrontieră;
b) procedura de autorizare pentru exploatarea surselor de apă şi a ecosistemelor acvatice,
realizarea construcţiilor hidrotehnice pentru lucrările de indiguire şi regularizare a cursurilor de apă,
de irigaţii şi de desecare-drenaj;
c) standardele de emisie;
d) standardele de calitate a apelor;
e) cerinţele de evacuare, epurare a apelor uzate şi limitare a evacuării de efluenţi în ape.
Controlul respectării reglementărilor de protecţie a apelor şi a ecosistemelor acvatice este
organizat şi exercitat de către autorităţile de mediu, de ape, sănătate şi de alte autorităţi, potrivit
competenţelor legale.
Autorităţile pentru protecţia mediului, pentru gospodărirea apelor, împreună cu autorităţile
navigaţiei, supraveghează şi controlează respectarea prevederilor şi aplică măsurile legale privind
protecţia apelor ca urmare a activităţilor de navigaţie, respectând convenţiile internaţionale în
domeniu la care România este parte.
Persoanele fizice şi juridice au următoarele obligaţii:
a) să ceară acordul şi/sau autorizaţia de mediu pentru activităţile prevăzute în anexa nr. II la
Legea 137/1995. Sunt exceptate de la autorizare puţurile forate la adâncimi până la 50 m pentru
satisfacerea cerinţelor gospodăriilor individuale;
b) să respecte standardele de emisie şi de calitate a apelor, prevederile din acord şi
autorizaţie şi să pună la dispoziţia laboratoarelor autorizate, la termenele stabilite, probele de apă
pentru analiză;
c) să nu arunce şi să nu depoziteze pe maluri, în albiile râurilor şi în zonele umede, deşeuri
de orice fel şi să nu introducă în acestea explozibile, tensiune electrică, narcotice sau alte substanţe
periculoase;
d) să nu spele în apele naturale autovehicule, utilaje şi ambalaje care au în conţinut uleiuri,
combustibili lichizi, lubrifianţi, substanţe periculoase sau pesticide;
e) să execute toate lucrările de refacere a resurselor naturale, de asigurare a migrării faunei
acvatice şi de ameliorare a calităţii apei, prevăzute cu termen în acordul şi autorizaţia de mediu şi să
monitorizeze zona de impact;
f) să se doteze, în cazul deţinerii de nave, platforme plutitoare sau foraje marine, cu instalaţii
de stocare sau tratare a deşeurilor, instalaţii de epurare a apelor uzate şi racorduri de descărcare a
acestora în instalaţii de mal sau plutitoare;
g) să amenajeze porturile cu instalaţii de colectare, prelucrare, reciclare sau neutralizare a
deşeurilor petroliere, menajere sau de altă natură, stocate pe navele fluviale şi maritime, şi să
constituie echipe de intervenţie în caz de poluare accidentală a apelor şi a zonelor de coastă;
h) să nu evacueze ape uzate de pe nave sau platforme plutitoare direct în apele naturale şi să
nu arunce de pe acestea nici un fel de deşeuri.
3.2. - Protecţia atmosferei
Prin protecţia atmosferei se urmareşte prevenirea, limitarea deteriorării şi ameliorarea
calităţii acesteia pentru a evita manifestarea unor efecte negative asupra mediului, sănătăţii umane şi
a bunurilor materiale.
Autoritatea centrală pentru protecţia mediului promovează politicile regionale şi globale,
fundamentând principiile şi acţiunile specifice, atât la nivel naţional, cât şi local, privind protecţia
atmosferei.

117 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Politica naţională de protecţie a atmosferei constă în principal din următoarele:


a) introducerea de tehnici şi tehnologii adecvate pentru reţinerea poluanţilor la sursă;
b) gestionarea resursei de aer, în sensul reducerii emisiilor de poluanţi până la realizarea
celor mai scăzute niveluri şi care să nu depăşească capacitatea de regenerare a atmosferei;
c) gestionarea resursei de aer, în sensul asigurării calităţii corespunzătoare securităţii
sănătăţii umane;
d) modernizarea şi perfecţionarea sistemului naţional de monitorizare integrată a calităţii
aerului.
Autoritatea centrală pentru protecţia mediului, cu consultarea ministerelor competente, a
elaborat normele tehnice, standardele şi regulamentele de aplicare privind:
a) calitatea aerului în funcţie de factorii poluanţi din atmosferă;
b) emisiile de poluanţi atmosferici pentru surse fixe şi mobile, precum şi condiţiile de
restricţie sau de interdicţie pentru utilizare, inclusiv pentru substanţele care afectează stratul de
ozon;
c) calitatea combustibililor şi carburanţilor, precum şi reglementările privind vânzarea-
cumpararea şi transportul acestora;
d) pragul fonic şi reglementări pentru limitarea zgomotelor;
e) supravegherea calităţii aerului, proceduri de prelevare şi analiză, amplasarea punctelor şi
instrumentelor pentru probare şi analiză, frecvenţa măsurătorilor şi altele;
f) identificarea, supravegherea şi controlul agenţilor economici a căror activitate este
generatoare de risc potenţial şi/sau poluare atmosferică;
g) sistemul de notificare rapidă, în caz de poluare acută a atmosferei cu efecte transfrontieră,
a autorităţilor desemnate cu aplicarea Convenţiei privind efectele transfrontieră ale accidentelor
industriale.
Autoritatea centrală pentru protecţia mediului supraveghează şi controlează aplicarea
prevederilor legale privind protecţia atmosferei, în care scop:
a) constată apariţia episoadelor de poluare a atmosferei, dă alerta şi/sau emite prognoze
legate de acestea;
b) dispune încetarea temporară sau definitivă a activităţilor generatoare de poluare în
vederea aplicării unor măsuri de urgenţă sau pentru nerespectarea programului pentru conformare;
c) solicită măsuri tehnologice, aplică restricţii şi interdicţii în vederea prevenirii, limitării sau
eliminării emisiilor de poluanţi;
d) aplică sancţiunile prevăzute de lege în caz de nerespectare a măsurilor dispuse.
Proprietarii şi deţinătorii legali de teren sunt obligaţi să întreţină şi să extindă perdelele şi
aliniamentele de protecţie, spaţiile verzi, parcurile, gardurile vii pentru îmbunătăţirea capacităţii de
regenerare a atmosferei, protecţia fonică şi eoliană.
Autorităţile vamale au obligaţia să nu permită intrarea/ieşirea din ţară a surselor mobile
poluante care nu respectă dispoziţiile autorităţilor competente, conform legii.
Persoanele fizice şi juridice au următoarele obligaţii în domeniu:
a) să respecte reglementările privind protecţia atmosferei, adoptând măsuri tehnologice
adecvate de reţinere şi neutralizare a poluanţilor atmosferici;
b) să doteze instalaţiile tehnologice, care sunt surse de poluare, cu sisteme de măsură, să
asigure corecta lor funcţionare, să asigure personal calificat şi să furnizeze, la cerere sau potrivit
programului pentru conformare, autorităţilor pentru protecţia mediului, datele necesare;
c) să îmbunătăţească performanţele tehnologice în scopul reducerii emisiilor şi să nu pună în
exploatare instalaţiile prin care se depăşesc limitele maxime admise;
d) să asigure, la cererea autorităţilor pentru protecţia mediului, diminuarea, modificarea sau
încetarea activităţii generatoare de poluare;
e) să asigure măsuri şi dotări speciale pentru izolarea şi protecţia fonică a surselor
generatoare de zgomot şi vibraţii, să verifice eficienţa acestora şi să pună în exploatare numai pe
cele care nu depăşesc pragul fonic admis.

118 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

3.3. - Protecţia solului, a subsolului şi a ecosistemelor terestre


Protecţia solului, a subsolului şi a ecosistemelor terestre, prin măsuri adecvate de
gospodărire, conservare, organizare şi amenajare a teritoriului este obligatorie pentru toţi deţinătorii,
indiferent cu ce titlu.
Autoritatea centrală pentru protecţia mediului, cu consultarea ministerelor competente, a
stabilit:
a) sistemul de monitorizare a calităţii solului în scopul cunoaşterii stării actuale şi a
tendinţelor de evoluţie a acesteia;
b) reglementările privind protecţia calităţii solului, subsolului, a ecosistemelor terestre şi
conservarea biodiversităţii;
c) procedura de autorizare privind probleme de protecţie a mediului, cuprinse în planurile de
amenajare a teritoriului, amenajarea torenţilor pentru întocmirea amenajamentelor silvice,
combaterea eroziunii solurilor, foraje de studii şi prospecţiuni geologice şi hidrogeologice, precum
şi pentru activităţi miniere de extracţie;
d) reglementări privind refacerea cadrului natural în zonele în care solul, subsolul şi
ecosistemele terestre au fost afectate de fenomene naturale sau de activităţi cu impact negativ
asupra mediului.
Autoritaţile centrale pentru agricultură şi silvicultură au următoarele obligaţii:
a) să elaboreze reglementări privind sistemele din agricultură, tehnologiile de cultură a
plantelor şi de creştere a animalelor, regenerarea pădurilor, recoltarea, colectarea şi transportul
lemnului şi standardele de calitate a solurilor, în scopul menţinerii şi ameliorării acestora, eliminării
consecinţelor negative asupra ecosistemelor terestre şi acvatice şi asigurării conservării funcţiilor
specifice, biodiversităţii şi habitatelor naturale şi să le comunice autorităţii centrale pentru protecţia
mediului;
b) să ţină evidenţa terenurilor devenite improprii pentru producţia agricolă şi să ofere, la
solicitarea deţinătorilor, asistenţa tehnică de specialitate pentru ameliorarea sau schimbarea
folosinţei;
c) să îndrume şi să exercite controlul tehnic de specialitate pentru lucrările de îmbunătăţiri
funciare şi agropedo-ameliorative;
d) să îndrume şi să ofere asistenţa tehnică, la cererea cultivatorilor de terenuri, privind cele
mai adecvate tehnici şi tehnologii de gospodărire şi ameliorare a solurilor.
Controlul asupra respectării reglementărilor legale privind protecţia şi conservarea,
ameliorarea şi folosirea judicioasă a solurilor, a subsolului şi a ecosistemelor terestre se organizează
şi se exercită de autorităţile pentru protecţia mediului, precum şi, după caz, de alte autorităţi ale
administraţiei publice competente, potrivit dispoziţiilor legale.
Deţinătorii de terenuri cu orice titlu, în scopul asigurării protecţiei calităţii solurilor, au
următoarele obligaţii:
a) să prevină, pe baza reglementărilor în domeniu, deteriorarea calităţii solurilor;
b) să asigure la amplasarea, proiectarea, construirea şi punerea în funcţiune a obiectivelor de
orice fel, ca şi la schimbarea destinaţiei terenurilor, condiţiile prevăzute în acord şi în autorizaţia de
mediu;
c) să nu ardă miriştile, stuful, tufărişurile sau vegetaţia ierboasă fără autorizaţie din partea
autorităţii competente pentru protecţia mediului.
Deţinătorii, cu orice titlu, ai pădurilor, vegetaţiei forestiere din afara fondului forestier şi
pajiştilor au următoarele obligaţii:
a) să menţină suprafaţa împădurită a vegetaţiei forestiere din afara fondului forestier,
inclusiv a jnepenişurilor, tufişurilor şi pajiştilor existente, fiind înterzisă reducerea acestora, cu
excepţia cazurilor prevăzute de lege;
b) să exploateze masa lemnoasă numai în limita posibilităţii pădurilor, stabilită de
amenajamentele silvice şi aprobată prin lege;
c) să asigure respectarea regulilor silvice de exploatare şi transport tehnologic al lemnului,
stabilite conform legii, în scopul menţinerii biodiversităţii pădurilor şi a echilibrului ecologic;
119 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

d) să respecte regimul silvic pentru împădurirea suprafeţelor exploatate, stabilit de


autoritatea centrală pentru silvicultură, în acord cu condiţiile de utilizare durabilă a pădurilor,
prevăzute de autoritatea centrală pentru protecţia mediului;
e) să asigure aplicarea măsurilor speciale de conservare pentru pădurile cu funcţii deosebite
de protecţie, situate pe terenuri cu pante foarte mari, cu procese de alunecare şi eroziune, pe
grohotişuri, stâncării, la limita superioară de altitudine a vegetaţiei forestiere, precum şi pentru alte
asemenea păduri;
f) să respecte regimul silvic stabilit pentru conservarea vegetaţiei lemnoase de pe păşunile
împădurite care îndeplinesc funcţii de protecţie a solului şi a resurselor de apă;
g) să asigure exploatarea raţională, organizarea şi amenajarea pajiştilor, în funcţie de
capacitatea de refacere a acestora;
h) să exploateze resursele pădurii, fondul cinegetic şi piscicol, în limitele potenţialului de
regenerare, potrivit prevederilor legale;
i) să sesizeze autorităţile pentru protecţia mediului despre accidente sau activităţi care
afectează ecosistemele forestiere sau alte asemenea ecosisteme terestre.
Persoanele fizice sau juridice, care prospectează sau exploatează resursele subsolului, au
următoarele obligaţii:
a) să ceară acord şi/sau autorizaţie de mediu potrivit legii şi să respecte prevederile acestora;
b) să refacă terenurile afectate, aducându-le la parametrii productivi şi ecologici naturali sau
la un nou ecosistem funcţional, în conformitate cu prevederile şi termenele din acord şi/sau
autorizaţie, garantând mijloace financiare pentru aceasta şi monitorizând zona;
c) să anunţe autorităţile pentru protecţia mediului sau pe cele competente, potrivit legii,
despre orice situaţii accidentale care pun în pericol ecosistemul terestru şi să acţioneze pentru
refacerea acestuia.
3.4. - Regimul ariilor protejate şi al monumentelor naturii
Pentru conservarea unor habitate naturale, a biodiversităţii care defineşte cadrul
biogeografic al ţării, precum şi a structurilor şi formaţiunilor naturale cu valoare ecologică,
ştiinţifică şi peisagistică, se menţine şi se dezvoltă reţeaua naţională de arii protejate şi monumente
ale naturii.
Ariile protejate şi monumentele naturii se declară prin acte sau reglementări cu caracter
normativ, inclusiv prin amenajamentele silvice.
Ariile protejate sunt evidenţiate în planurile de urbanism şi de amenajare a teritoriului,
aprobate conform legii.
Autoritatea centrală pentru protecţia mediului:
a) la propunerea Academiei Române, declară noi zone pentru extinderea reţelei naţionale de
arii protejate şi monumente ale naturii şi le încadrează pe categorii;
b) organizează reţeaua de supraveghere, de pază a ariilor protejate şi a monumentelor naturii
şi stabileşte regimul lor de administrare şi de abordare turistică;
c) controlează modul de aplicare a reglementărilor de către cei ce administrează ariile
protejate şi monumentele naturii;
d) elaborează, editează, ţine la zi şi difuzează "Catalogul ariilor protejate şi al monumentelor
naturii", precum şi "Cartea roşie a speciilor de plante şi animale" din România.
Autorităţile administraţiei publice locale asigură informarea agenţilor economici, a
populaţiei şi a turiştilor cu privire la existenţa în zonă a ariilor protejate şi a monumentelor naturii,
la semnificaţia lor, la regulile şi restricţiile stabilite, precum şi la sancţiunile aplicabile pentru
nerespectarea statutului acestora.
Autorităţile administraţiei publice locale, la solicitarea agenţiilor pentru protecţia mediului, a
altor organizaţii interesate, persoane fizice sau juridice, pe baza documentaţiei avizate de către
Academia Română, pot să pună sub ocrotire provizorie, în vederea declarării, arii protejate sau
monumente ale naturii sau anumite obiective care justifică aceasta.

120 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Deţinătorii de suprafeţe terestre sau acvatice limitrofe ariilor protejate, monumentelor naturii
sau pe ale căror terenuri s-au identificat elemente susceptibile de a fi ocrotite sunt obligaţi să
respecte statutul acestora pentru a asigura transmiterea lor generaţiilor viitoare.
Culegerea şi comercializarea plantelor, capturarea prin orice mijloace, deţinerea şi
comercializarea animalelor declarate monumente ale naturii, precum şi dislocarea, deţinerea şi
comercializarea unor piese mineralogice, speologice şi paleontologice, provenite din locuri
declarate monumente ale naturii, sunt interzise.
Introducerea pe teritoriul ţării, cu excepţia cazurilor prevăzute de lege, de culturi de
microorganisme, plante şi animale vii, fără acordul eliberat de autoritatea centrală pentru protecţia
mediului, cu consultarea Academiei Române, este interzisă.
3.5. - Protecţia aşezărilor umane
În procesul de dezvoltare social-economică, al planurilor de urbanism şi amenajare a
teritoriului şi a localităţilor este obligatorie respectarea principiilor ecologice, pentru asigurarea unui
mediu de viaţă sănătos. În acest scop, consiliile locale, precum şi, după caz, persoanele fizice şi
juridice, răspund pentru:
a) îmbunătăţirea microclimatului urban, prin amenajarea şi intreţinerea izvoarelor şi a
luciilor de apă din interiorul localităţilor şi din zonele limitrofe acestora, infrumuseţarea şi protecţia
peisajului şi menţinerea curăţeniei stradale;
b) amplasarea obiectivelor industriale, a căilor şi mijloacelor de transport, a reţelelor de
canalizare, a staţiilor de epurare, a depozitelor de deşeuri menajere, stradale şi industriale şi a altor
obiective şi activităţi, fără a se prejudicia salubritatea, ambientul, spaţiile de odihnă, tratament şi
recreere, starea de sănătate şi de confort a populaţiei;
c) respectarea regimului de protecţie specială a localităţilor balneoclimaterice, a zonelor de
interes turistic şi de agrement, a monumentelor istorice, a ariilor protejate şi a monumentelor
naturii. Este interzisă amplasarea de obiective şi desfăşurarea unor activităţi cu efecte dăunătoare în
perimetrul şi în zonele de protecţie a acestora;
d) adoptarea elementelor arhitecturale adecvate, optimizarea densităţii de locuire,
concomitent cu menţinerea, întreţinerea şi dezvoltarea spaţiilor verzi, a parcurilor, a aliniamentelor
de arbori şi a perdelelor de protecţie stradală, a amenajamentelor peisagistice cu funcţie ecologică,
estetică şi recreativă;
e) reglementarea, inclusiv prin interzicerea, temporară sau permanentă, a accesului anumitor
tipuri de autovehicule sau a desfăşurării unor activităţi generatoare de disconfort pentru populaţie în
anumite zone ale localităţilor cu predominanţă spaţiilor de locuit, zone destinate tratamentului,
odihnei, recreerii şi agrementului;
f) adoptarea de măsuri obligatorii, pentru toate persoanele fizice şi juridice, cu privire la
intreţinerea şi înfrumuseţarea clădirilor, a curţilor şi împrejurimilor acestora, a spaţiilor verzi din
curţi şi dintre clădiri, a arborilor şi arbuştilor decorativi;
g) iniţierea pe plan local a unor proiecte de amenajare a grupurilor igienico-sanitare şi de
intreţinere şi dezvoltare a canalizării stradale.
Autorităţile pentru protecţia mediului precizează, la eliberarea acordului de mediu pentru
planurile de urbanism şi amenajarea teritorului, măsurile de menţinere şi ameliorare a fondului
peisagistic natural şi antropic al fiecărei zone şi localităţi, zonele deteriorate şi condiţiile de refacere
peisagistică şi ecologică a acestora şi de dezvoltare a spaţiilor verzi şi controlează realizarea
acestora.
Schimbarea destinaţiei terenurilor amenajate ca spaţii verzi prevăzute în planurile
urbanistice se face potrivit legii.
Autorităţile pentru protecţia mediului şi consiliile locale vor iniţia acţiuni de informare şi
participare, prin dezbatere publică privind programele de dezvoltare urbanistică şi gospodărie
comunală, asupra importanţei măsurilor destinate protecţiei mediului şi aşezărilor umane.

121 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 13. Manipularea şi gestiunea deşeurilor

1. Legislaţie
2. Principiile şi obiectivele strategice ale gestionării deşeurilor
3. Opţiunile de gestionare a deşeurilor
4. Obiectivele generale ale gestionării deşeurilor
5. Priorităţi în abordarea gestionării deşeurilor
6. Probleme generate de deşeuri sub aspect ecologic şi economic
7. Factorii care influenţează gestionarea deşeurilor
8. Gestionarea deşeurilor în U.E.
9. Gestionarea deşeurilor în România
10. Tendinţe
11. Cantităţile, caracteristicile şi tendinţa de evoluţie a deşeurilor pe plan mondial şi în
România
12. Eliminarea deşeurilor
13. Organizarea gestionării deşeurilor
14. Gestionarea deşeurilor periculoase
15. Aspecte ce trebuie luate în consideraţie pentru elaborarea unei gestionări integrate a
deşeurilor
16. Obiective strategice specifice anumitor fluxuri de deşeuri

Gestiunea deşeurilor cuprinde toate activităţile legate de colectarea, transportul,


valorificarea şi eliminarea deşeurilor.

1. Legislaţie

În România reglementările privind managementul şi gestionarea deşeurilor sunt realizate de


Legea 211/2011 privind regimul deşeurilor, precum şi de:
- Legea nr. 265/2006 pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 195/2005
privind protecţia mediului;
- Legea nr. 360/2003 privind regimul substanţelor şi preparatelor chimice periculoase, cu
modificările şi completările ulterioare;
- Legea nr. 249/2015 privind modalitatea de gestionare a ambalajelor şi deşeurilor din
ambalaje;
- H.G. nr. 856/2002 privind evidenţa gestiunii deşeurilor şi pentru aprobarea listei
cuprinzând deşeurile, inclusiv deşeurile periculoase;
- H.G. nr. 349/2005, cu modificările şi completările ulterioare (H.G. nr. 210/2007 şi H.G. nr.
1292/2010);
- H.G. nr. 235/2007 privind gestionarea uleiurilor uzate;
- H.G. nr. 1037/2010 privind deşeurile electrice şi electronice;
- O.U.G. nr. 16/2001 privind gestionarea deşeurilor industriale reciclabile cu modificările şi
completările ulterioare (O.U.G. nr. 61/2003);
- O.G. nr. 33/1995 privind măsuri pentru colectarea, reciclarea şi reintroducerea în circuitul
productiv a deşeurilor refolosibile.

2. Principiile şi obiectivele strategice ale gestionării deşeurilor

Principiile care stau la baza activităţilor de gestionare a deşeurilor sunt:


1. principiul protecţiei resurselor primare - este formulat în contextul mai larg al
conceptului de „dezvoltare durabilă” şi stabileşte necesitatea de a minimiza şi eficientiza utilizarea
resurselor primare, în special a celor neregenerabile, punând accentul pe utilizarea materiilor prime
secundare;
122 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

2. principiul măsurilor preliminare, corelat cu principiul utilizării BATNEEC („Cele mai


bune tehnici disponibile care nu presupun costuri excesive”) stabileşte că, pentru orice activitate
(inclusiv pentru gestionarea deşeurilor), trebuie să se ţină seama de următoarele aspecte principale:
- stadiul curent al dezvoltării tehnologiilor;
- cerinţele pentru protecţia mediului;
- alegerea şi aplicarea acelor măsuri fezabile din punct de vedere economic;
3. principiul prevenirii - stabileşte ierarhizarea activităţilor de gestionare a deşeurilor, în
ordinea descrescătoare a importanţei care trebuie acordată:
- evitarea apariţiei;
- minimizarea cantităţilor;
- tratarea în scopul recuperării;
- tratarea şi eliminarea în condiţii de siguranţă pentru mediu;
4. principiul poluatorul plăteşte corelat cu principiul responsabilităţii producătorului şi cel
al responsabilităţii utilizatorului, stabileşte necesitatea creării unui cadru legislativ şi economic
corespunzător, astfel încât costurile pentru gestionarea deşeurilor să fie suportate de generatorul
acestora;
5. principiul substituţiei stabileşte necesitatea înlocuirii materiilor periculoase cu materii
prime nepericuloase, evitându-se astfel apariţia deşeurilor periculoase;
6. principiul proximităţii corelat cu principiul autonomiei stabileşte că deşeurile trebuie să
fie tratate şi eliminate cât mai aproape de sursa de generare; în plus, exportul deşeurilor periculoase
este posibil numai către acele ţări care dispun de tehnologii adecvate de eliminare şi numai în
condiţiile respectării cerinţelor pentru comerţul internaţional cu deşeuri;
7. principiul subsidiarităţii, corelat şi cu principiul autonomiei, stabileşte acordarea
competenţelor astfel încât deciziile în domeniul gestionării deşeurilor să fie luate la cel mai scăzut
nivel administrativ faţă de sursa de generare, dar pe baza unor criterii uniforme la nivel regional şi
naţional;
8. principiul integrării stabileşte că activităţile de gestionare a deşeurilor fac parte
integrantă din activităţile social-economice care le generează.

3. Opţiunile de gestionare a deşeurilor

Ierarhia priorităţilor în abordarea gestiunii deşeurilor în România este cea care stă la baza
legislaţiei şi politicii europene, recunoscută şi pe plan internaţional, şi anume:
- prevenirea şi minimizarea generării de deşeuri;
- valorificarea materială prin reutilizare şi reciclare;
- valorificarea energetică;
- tratarea deşeurilor în vederea scăderii cantităţii şi a potenţialului lor periculos;
- eliminarea prin incinerare sau depozitare;

Prevenire / Minimizare
generare deşeuri

Reutilizare / Reciclare

Valorificare
Energetică

Tratare
Depozitare

123 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

4. Obiectivele generale ale gestionării deşeurilor

- dezvoltarea cadrului instituţional şi organizatoric;


- conştientizarea factorilor implicaţi;
- intensificarea preocupărilor privind reducerea cantităţii de deşeuri generate;
- exploatarea tuturor posibilităţilor tehnice şi economice privind recuperarea şi reciclarea
deşeurilor în vederea reducerii cantităţii de deşeuri eliminate.
Problema gestiunii deşeurilor este complexă.
Înţelegerea corectă a problemelor conduce la alegerea soluţiilor optime de rezolvare a
acestora şi, în final, la gestionarea ecologic raţională a deşeurilor şi la salvarea unor resurse naturale
preţioase atât pentru noi, dar mai ales pentru generaţiile viitoare.
Avem datoria morală să lăsăm generaţiilor viitoare un mediu curat.

5. Priorităţi în abordarea gestionării deşeurilor

Obiectivul general al SNGD este dezvoltarea unui sistem integrat de gestionare a deşeurilor
eficient din punct de vedere economic şi care să asigure protecţia sănătăţii populaţiei şi a mediului.
Trebuie împiedicată sau diminuată formarea deşeurilor încă de la sursă (producător).
Cea mai eficientă cale de acţiune este prevenirea, deoarece neproducând (negenerând)
deşeuri, se elimină astfel şi ameninţările la adresa mediului.
Atât evitarea formării, cât şi valorificarea deşeurilor conduc la o reducere a cantităţii de
deşeuri finale, măsurile fiind complementare.
Valorificarea deşeurilor se aplică cel mai eficient acolo unde evitarea formării lor nu este
posibilă din punct de vedere economic şi ecologic.
Valorificarea deşeurilor presupune prelucrarea unui deşeu deja prelucrat.
Măsurile de valorificare trebuie să faciliteze creşterea duratei de viaţă a deşeului în circuitul
economic sau reintroducerea lui în acest circuit.
Trebuie remarcat faptul că valorificarea deşeurilor:
- necesită consum de energie;
- poluează mediul;
- implică costuri pentru colectare (selectivă), transport, valorificare.
Valorificarea deşeurilor nu se poate realiza la nesfârşit.
De exemplu, hârtia îşi pierde caracteristicile utile după valorificarea deşeurilor.
Evitarea formării deşeurilor nu introduce costuri, fiind din acest motiv preferată.
Conform Normelor juridice europene şi naţionale, valorificarea deşeurilor trebuie realizată
ecologic, adică:
- nu trebuie puse în pericol apa, aerul, solul, flora, fauna;
- trebuie evitată poluarea fonică şi disiparea mirosurilor neplăcute;
- să nu fie afectate zonele adiacente şi nici cadrul peisagistic.
Reintroducerea în circuitul economic a unor componente utile ale deşeurilor presupune o
separare prealabilă a acestuia (selectivă), care implică cheltuieli semnificative.
Valorificarea materială şi energetică prezintă acelaşi interes economic, alegerea unei căi sau
a alteia fiind dictată de compatibilitatea cu factorii de mediu.
Valorificarea energetică a deşeurilor depinde într-o măsură foarte importantă de puterea
calorică a acestora.
La stabilirea obiectivelor gestionării deşeurilor trebuie luate în consideraţie aspectele:
a) nu toate bunurile (mărfurile) folosite sunt reintroduse complet în circuitul economic;
b) refolosirea unor deşeuri implică consum ridicat de energie (exemplu: spălatul sticlelor cu
apă caldă);
c) reciclarea deşeurilor este justificată numai atunci când rentabilitatea şi bilanţul ecologic
sunt favorabile;

124 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

d) reciclarea unor deşeuri este limitată de bariere tehnologice (ex: folosirea hârtiei vechi
pentru a produce hârtie nouă, necesită aport de fibre noi, pentru că lungimea fibrelor hârtiei
refolosite scade);
e) existenţa unei pieţe funcţionale pentru produsele obţinute din reciclarea deşeurilor.
Valorificarea / reciclarea deşeurilor nu pot fi aplicate la nesfârşit unui deşeu; întotdeauna va
exista un deşeu final care trebuie eliminat prin incinerare, piroliză, depozitare ecologică controlată.
Evitarea formării (producerii) de deşeuri presupune ca procesele de producţie şi structura
produselor trebuie astfel concepute, încât să genereze cât mai puţine deşeuri.
Trebuie alese în mod corect materiile prime şi materialele, astfel încât să fie redus conţinutul
de substanţe toxice, atât al produselor, cât şi al reziduurilor (deşeurilor).
Se impune ca numai reziduurile generate din procesele de producţie care nu pot fi evitate şi
nici reciclate să fie salubrizate ca deşeuri.
Conform legii 426/2001:
- trebuie încurajată folosirea tehnologiilor curate;
- trebuie să se asigure posibilităţile de vindere a deşeurilor valorificabile;
- trebuie să se asigure valorificarea responsabilă şi eliminarea corectă a deşeurilor;
- trebuie să se ia măsurile necesare pentru a limita formarea deşeurilor.

6. Probeleme generate de deşeuri sub aspect ecologic şi economic

Principalele forme de impact şi risc determinate de deşeurile menajere, în ordinea în care


sunt percepute de populaţie:
1. modificări de peisaj;
2. disconfort vizual;
3. poluarea aerului;
4. poluarea apelor;
5. modificări ale fertilităţii solului şi ale biocenozelor pe terenurile învecinate.

7. Factorii care influenţează gestionarea deşeurilor

Factori generali:

- dezvoltarea demografică (evoluţia populaţiei);


- dezvoltarea economică (dezvoltarea industriei şi a sectorului economic, evoluţia venitului
populaţiei, evoluţia ratei şomajului, evoluţia PIB-ului);
- dezvoltarea infrastructurii;
- utilizarea terenurilor;
- caracteristici fizice (relief);
- caracteristici climatice (regimul precipitaţiilor, temperatura);
- zone cu regim special (zone strategice militare, arii protejate, zone de protecţie a resurselor
de apă).

Factori specifici pentru sistemul de gestionare a deşeurilor:

- aria de acoperire cu servicii de salubritate;


- cantităţile de deşeuri provenind de la populaţie, precum şi cantităţile de deşeuri asimilabile
provenind din industrie, sectorul economic, cantităţile de deşeuri din pieţe, grădini,
cantităţile de deşeuri stradale, cantităţile de nămol de la staţiile de epurare, deşeurile din
construcţii şi demolări;
- cantităţile de deşeuri colectate separat;
- compoziţia deşeurilor.

125 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

8. Gestionarea deşeurilor în U.E.

Tehnica de gestionare a deşeurilor în ţările membre ale U.E. s-a dezvoltat şi adaptat la
condiţiile concrete existente în fiecare ţară, iar în funcţie de specificul deşeurilor produse este
organizată diferit (cota de raliere la colectarea selectivă a deşeurilor organice a crescut în Olanda, în
decursul a trei ani de la 0% la cca 95%; în Austria, Belgia, Danemarca, Germania şi Luxemburg
procedeele de reciclare, compostare şi depozitare finală au luat amploare).
Brichetarea deşeurilor menajere combustibile este o practică relativ nouă şi vizează
pregătirea deşeurilor pentru incinerare (atunci când acest procedeu este indicat) în vederea reducerii
spaţiului de depozitare a deşeurilor menajere.
Preocupările pentru valorificarea cât mai completă a deşeurilor menajere fac să apară tot mai
frecvent diferite tehnologii şi instalaţii care separă şi pregătesc aproape toate componentele
deşeurilor menajere şi energia potenţială existentă în acestea. Dintre acestea amintim: procedeul
Flakt, procedeele Trisoc – Combusoc şi procedeul Cechini.
Un alt procedeu, deloc de neglijat în valorificarea deşeurilor, este compostarea (fermentarea)
acestora.
Referitor la procedeul de compostare, pentru a fi un component viabil al Sistemului Integrat
de Gestionare a Deşeurilor, acest procedeu implică o stimulare guvernamentală a pieţei de compost,
existenţa unor standarde de compostare şi aplicare pe teren, astfel încât să se poată utiliza compostul
în sectorul public.
Politica de bază a U.E., în prezent, este de a micşora la minimum posibil cantităţile de
deşeuri organice care sunt depozitate în gropile de gunoi, prin tratarea lor cu metode aerobice sau
anaerobice şi utilizarea produsului solid remanent în agricultură, iar gazele combustibile pentru
producerea căldurii.
În Comunitatea Europeană există deja o industrie de reciclare la un nivel care duce la o
creştere permanentă a materialelor recuperate din deşeuri.
Această industrie se bazează pe subvenţii adoptate la nivel guvernamental şi realizează
reducerea la nivel minimal de folosire de gropi pentru deşeuri organice.
Realizarea staţiilor de reciclare se impune cu acuitate în conjunctura economică actuală a
României, deoarece se realizează o valorificare superioară a unor resurse secundare, în condiţiile în
care ponderea modernizărilor de locuinţe şi de construcţie a unora noi este într-o continuă creştere.
Preţurile mici de achiziţie a acestor produse reciclate, calitatea deosebită a lor, proprietăţile
bune indicate de producători, fac din acestea o opţiune sigură în ceea ce priveşte găsirea pieţei de
desfacere.

9. Gestionarea deşeurilor în România

Situaţia actuală în ţara noastră se caracterizează prin:


a. creşterea cantităţii de deşeuri;
b. insuficienţa echipamentului pentru colectare şi transport;
c. infrastructura de depozitare nedezvoltată corespunzător;
d. infrastructura de valorificare nedezvoltată corespunzător.
Situaţia financiară precară a ţării nu permite, deocamdată, implementarea soluţiilor tehnice
şi a conceptelor moderne de gestionare a deşeurilor.
Investiţiile estimate a fi necesare pentru crearea infrastructurii unei gestiuni eficiente a
deşeurilor depăşesc posibilităţile bugetelor locale.
În cea mai mare parte investiţiile în domeniu sunt alocate pentru activităţile de colectare şi
procurare de recipienţi şi utilaje de transport.

126 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

10. Tendinţe

Cantitatea de deşeuri generate înregistrate a variat semnificativ de la un an la altul din


diverse motive, cum ar fi:
- modificările survenite în activităţile companiilor industriale şi de prestări de servicii;
- înregistrarea sau neînregistrarea ca deşeu a sterilului de la excavarea minereurilor;
- modul de evaluare a cantităţii de către fiecare generator de deşeuri: cântărire sau
estimare;
- conştientizarea diferită de către generatorii de deşeuri a importanţei activităţii de
colectare şi raportare a datelor;
- controlul diferit din partea autorităţilor de mediu locale privind îndeplinirea obligaţiilor
legale de colectare şi raportare a datelor de către generatorii de deşeuri;
- modificarea periodică a chestionarelor de anchetă.

11. Cantităţile, caracteristicile şi tendinţa de evoluţie a deşeurilor pe plan mondial şi în


România

Hârtia şi plasticul au prezentat creşterea cea mai importantă de-a lungul acestei perioade,
precum şi o creştere continuă în generarea acestora până în anul 2010.
Deşeurile biodegradabile (alimente/gospodării) pe de-o parte şi sticla şi hârtia pe de altă
parte au avut doar o creştere normală în perioada 1960 – 1998 şi nu se întrevăd creşteri
spectaculoase ale acestora.
Studiile au arătat că, în anul 2010, cantitatea totală de deşeuri solide urbane a fost de
aproximativ 250 mil. tone (cca 2,61 kg/loc.zi), ceea ce înseamnă o creştere cu cca 21% faţă de anul
1988 (la nivelul SUA).
În România, potrivit datelor existente în evidenţa Agenţiei Naţionale de Protecţia mediului,
se constată o tendinţă de creştere a deşeurilor menajere generate (cu cca 0,8 kg/loc.an) şi în paralel
cu acestea a deşeurilor colectate de Societăţile Comerciale de profil.
Din punct de vedere al compoziţiei deşeurilor menajere, cele biodegradabile se află în
ponderea cea mai ridicată, urmată de sticlă şi hârtie. Dacă la plastic (datorită reciclării acestuia)
trendul este în scădere, la sticlă acesta este în creştere.
În ceea ce priveşte recuperarea şi valorificarea materialelor refolosibile din deşeuri pe plan
mondial şi în România, actuala politică comunitară a mediului din statele membre U.E. îşi găseşte
punctul de rezistenţă în “Directiva cadru despre deşeuri 91/156/UE.

12. Eliminarea deşeurilor

Conform Directivei 91/156/UE, eliminarea deşeurilor trebuie să fie realizată de aşa manieră,
încât să se obţină un nivel înalt de protecţie a mediului.
Ţările membre trebuie să aibă capacitatea să-şi salubrizeze deşeurile în propriul teritoriu.
Trebuie evitată înlăturarea deşeurilor în afara graniţelor.
Este interzisă înlăturarea peste graniţă a deşeurilor, chiar în interiorul U.E.

13. Organizarea gestionării deşeurilor

Responsabilitatea pentru activităţile de gestionare a deşeurilor revine generatorilor acestora,


în conformitate cu principiul „poluatorul plăteşte”, sau după caz, producătorilor, în conformitate cu
principiul „responsabilitatea producătorului”.
Organizarea activităţilor de colectare, transport şi eliminare a deşeurilor municipale este una
dintre obligaţiile administraţiilor publice locale:
- Problemele legate de îndepărtarea deşeurilor cad astăzi, în cele mai multe ţări ale
Europei, în sarcina unor întreprinderi specializate private;

127 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- Ţările dezvoltate achită preţuri mari pentru a asigura un nivel ridicat de slubrizare, care să
conducă la o igienă avansată şi o protecţie a mediului şi resurselor de cea mai înaltă calitate;
- În domeniul deşeurilor industriale (ex: fier vechi) au început să activeze antreprenori de
transport şi comercianţi de lucruri vechi;
- Activitatea de recuperare şi reciclare a deşeurilor a creat numeroase locuri de muncă.

14. Gestionarea deşeurilor periculoase

Reprezintă o problemă la scară mondială.


Ele reprezintă o resursă pierdută, dar caracterul lor, extrem de toxic, impune o gestionare
riguroasă a acestora, „din leagăn până-n mormânt”.
Majoritatea deşeurilor pericoloase provin din industria chimică, organică şi anorganică,
industria petrolului, extracţie şi rafinare, procese termice.
Deţinătorii unor astfel de deşeuri au o mare responsabilitate în gestionarea riguroasă a
acestora, conform normelor internaţionale şi naţionale.
Trebuie menţionată posibilitatea fraudării unor astfel de deşeuri, prin trafic ilicit, aşa cum ar
fi de exemplu deşeurile radioactive.
Directiva de Depozitare şi Directiva I P P C, reglementează gestionarea deşeurilor
periculoase.
La cea de a 5-a Conferinţă a Convenţiei de la Basel, 1999, s-a emis o declaraţie la nivel înalt
cu privire la gestionarea ecologică a deşeurilor periculoase.

Gestionarea deşeurilor periculoase în România

La nivel european există o Strategie privind gestionarea deşeurilor, domeniu reglementat


prin Directiva 12 CE din 2006.
S-a creat cadrul instituţional, administrativ şi de autorizare cu privire la regimul deşeurilor în
ţara noastră: în cadrul MMDD s-a creat Direcţia de gestiune a deşeurilor şi substanţelor chimice
periculoase, ca are corespondent teritorial în cadrul fiecărei Agenţii Judeţene pentru Protecţia
Mediului.
Trebuie evidenţiat faptul că implementarea unui management modern al gestionării
deşeurilor în ţara noastră necesită efectuarea de investiţii masive în infrastructură, referitoare la
recuperarea, reciclarea, incinerarea şi depozitarea finală a deşeurilor.
Pentru acest motiv, au fost solicitate perioade de tranziţie necesare pentru implementarea
directivelor cu privire la unele categorii de deşeuri, cum ar fi ambalajele, precum şi cu privire la
incinerarea şi depozitarea finală a deşeurilor.
O primă estimare a costurilor totale, bazată pe datele actuale şi pe anumite scenarii de
evaluare, a condus la suma de 6,3 mld. euro.
De notat că această sumă nu include şi necesarul pentru rezolvarea poluării istorice datorate
deşeurilor, închiderii depozitelor existente, ecologizării zonelor afectate a vechilor depozite,
monitorizării zonelor, tratării unor deşeuri pericol existente în depozitele actuale.
A fost înfiinţată Agenţia Naţională a Substanţelor Chimice.
S-a creat cadrul legal pentru preluarea Directivelor referitoare la notificarea substanţelor şi
preparatelor chimice periculoase, care va include inventarul substanţelor existente, restricţiile
introducerii pe piaţă a anumitor substanţe şi preparate chimice periculoase, evaluarea şi controlul
riscului chimicalelor periculoase pentru mediu şi sănătatea oamenilor.
În domeniul protecţiei mediului, deci şi în domeniul managementului deşeurilor, problemele
cu care se confruntă România se referă, în general, la:
- acoperirea costurilor necesare implementării;
- întărirea capacităţii instituţionale, la nivel central şi local;
- specializarea şi acreditarea personalului tehnic.

128 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

15. Aspecte ce trebuie luate în consideraţie pentru elaborarea unei gestionări integrate a
deşeurilor

1. caracteristicile deşeurilor pe zone de locuit şi temporale;


2. cantităţile produse în timp şi spaţiu;
3. specificul local geografic, economic, social, gradul de educaţie şi responsabilitate a
populaţiei;
4. tehnologiile disponibile ca nivel tehnic şi economic în zonă;
5. suportabilitatea de către populaţie a costurilor pentru implementarea sistemului;
6. amplasamente posibile şi disponibile pentru instalaţiile de procesare finală;
7. infrastructura urbană existentă: reţea stradală, sisteme de transport, canalizare etc.;
8. orice ale aspecte sau situaţii relevante.

Valorificarea potenţialului util din deşeuri are următoarele obiective subsidiare:


- dezvoltarea pieţei pentru materiile prime secundare şi susţinerea promovării utilizării
produselor obţinute din materiale reciclate;
- decuplarea generării deşeurilor de creşterea economică şi realizarea unei reduceri
globale a volumului de deşeuri;
- promovarea prioritară a valorificării materiale în măsura posibilităţilor tehnice şi
economice în condiţii de siguranţă pentru sănătatea populaţiei şi mediu;
- promovarea valorificării energetice în instalaţii cu randament energetic ridicat în cazul în
care valorificarea materială nu este fezabilă din p.d.v. tenhico-economic, beneficiul
energetic rezultat în urma incinerării este pozitiv şi există posibilitatea utilizării eficiente
a energiei rezultate.
Realizarea unei valorificări eficiente a potenţialului util din deşeuri presupune asigurarea
celor mai bune opţiuni pentru colectarea şi transportul deşeurilor:
- stabilirea unor principii şi cerinţe unitare care să stea la baza funcţionării tuturor
companiilor de salubritate;
- separarea fluxurilor de deşeuri periculoase de cele nepericuloase;
- introducerea şi extinderea colectării selective la sursă a deşeurilor;
- controlul activităţii de transport a deşeurilor pe plan intern, prin întărirea capacităţii
instituţionale de control;
- eficientizarea controlului activităţii de transport a deşeurilor peste frontieră.

16. Obiective strategice specifice anumitor fluxuri de deşeuri

1. Deşeuri vegetale:
- eficientizarea controlului privind depozitarea deşeurilor netratate;
- încurajarea valorificării prin procedee aerobe şi anaerobe;
- susţinerea valorificării energetice, în condiţii de siguranţă pentru sănătatea populaţiei
şi pentru mediu.
2. Nămoluri provenite de la staţiile de epurare a apelor uzate:
- asigurarea recuperării şi utilizării ca fertilizant sau amendament agricol a nămolurilor
ce corespund calităţii stabilite de cerinţele legale;
- deshidratarea şi pretratarea prin coincinerare în cuptoarele din fabricile de ciment;
- prevenirea eliminării necontrolate pe soluri;
- prevenirea eliminării nămolurilor în apele de suprafaţă.
3. Ambalaje:
- creşterea gradului de reutilizare şi reciclabilitate a ambalajelor;
- optimizarea cantităţii de ambalaje pe produs ambalat (prin reproiectare);
- reducerea cantităţii de deşeuri de amabalaje prin valorificare;
129 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

- creşterea cantităţii de deşeuri de ambalaje colectate, precum şi a eficienţei colectării


selective a acestora;
- crearea şi optimizarea schemelor de valorificare materială;
- crearea şi optimizarea schemelor de valorificare energetică a deşeurilor de amabalaje
care nu se pretează la o valorificare materială.
4. Anvelope:
- creşetrea gradului de valorificare materială şi energetică a anvelopelor uzate.
5. Vehicule scoase din uz:
- asigurarea unei reţele de colectare a vehiculelor scoase din uz corespunzător repartizate
în teritoriu;
- asigurarea posibilităţii ca ultimul deţinător al vehiculului să îl poată preda unei unităţi
de colectare sau valorificare;
- restricţionarea utilizării metalelor grele la fabricarea vehiculelor;
- extinderea reutilizării şi reciclării materialelor din vehiculele uzate, precum şi a
valorificării energetice a acelora care nu se pretează la valorificarea materială.
6. Deşeuri periculoase:
- promovarea reciclării materialelor neferoase, folosind topitoriile existente;
- promovarea valorificării termoenergetice a deşeurilor periculoase în cuptoarele de
ciment.
7. Uleiuri uzate:
- creşeterea gradului de coelctare a uleiurilor uzate de utilizatori;
- eliminarea pieţei ilegale a uleiurilor uzate a căror utilizare generează un impact negativ
asupra sănătăţii populaţiei şi mediului;
- reducerea impactului asupra sănătăţii populaţiei şi mediului prin îmbunătăţirea
gestionării uleiurilor uzate.

130 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unitatea de competenţă:
UCG4. Dezvoltarea profesională de securitate

Tema 14. Identificarea şi evaluarea nivelului şi a necesităţilor de pregătire a


personalului în domeniul securităţii. Conştientizare, instruire şi pregătire prin
exerciţii de securitate pentru personalul fără atribuţii de securitate.
Consideraţii generale

Operatorul economic trebuie să identifice parametrii care afectează siguranţa individuală şi


colectivă, precum şi nivelul de competenţă, experienţă şi pregătire necesare. Acesta trebuie să se
asigure că tot personalul implicat în managementul şi mentenanţa instalaţiilor sau depozitelor
posedă cunoştinţele necesare cu privire la implicaţiile activităţilor pe care le desfăşoară asupra
siguranţei şi prevenirii accidentelor.
Operatorul trebuie să furnizeze subcontractorilor, conţinuturile pentru instruirea angajaţilor
proprii, (instruirea operativă) şi să le verifice cunoştinţele dobândite.
Tot personalul trebuie informat asupra riscurilor existente în organizaţie. În plus, operatorul
economic trebuie să distribuie fiecărui angajat cel puţin:
- Fişa tehnică de securitate pentru substanţele şi preparatele periculoase;
- Un extras al rezultatului evaluării siguranţei;
- Un extras din planul de urgenţă internă, diferenţiat pe funcţii, poziţii şi sarcini pe timpul
urgenţelor, împreună cu aspecte de coordonare rezultate din activarea planului de urgenţă externă.
Întregul personal trebuie instruit/format cel puţin de 4 ori pe an şi prin 2 simulări practice de
situaţii de urgenţă, precum şi de fiecare dată când se implementează schimbări semnificative.
Conţinuturile şedinţelor de instruire/formare vor fi legate de activităţile şi responsabilităţile
lucrătorilor. Pe timpul instruirilor se au în vedere:
- Explicarea adecvată a informaţiilor necesare;
- Verificarea modului de înţelegere, scopului şi importanţei informaţiilor şi documentaţiei
distribuite;
- Identificarea posibilelor nevoi de comunicare;
- Răspunsul la întrebările ridicate.
Operatorul trebuie să ţină o evidenţă a şedinţelor de instruire, inclusiv a rezultatelor
înregistrate.
Toţi cei care vizitează organizaţia, precum şi personalul subcontractat trebuie informaţi
despre riscurile din unitate.
Conţinuturile informaţiilor şi formarea trebuie să acopere cel puţin:
· Rezultatele rapoartelor de securitate;
· Lista substanţelor periculoase prezente pe amplasament;
· Planurile de urgenţă;
· Utilizarea echipamentelor de protecţie personal.
Dacă vizitatorii sunt însoţiţi tot timpul pe durata şederii pe amplasament de către o persoană
special desemnată, informarea cu privire la planul de urgenţă internă se poate limita la rutele de
evacuare şi punctele de adunare.

Obiectivele educaţiei şi conştientizării de securitate:


 Instruirea personalului asupra nevoii de securitate va urmări înţelegerea şi însuşirea corectă
a legislaţiei naţionale, a normelor interne şi standardelor privind protecţia informaţiilor clasificate;
 Asigurarea implementării eficiente a măsurilor de protecţie a informaţiilor clasificate;

131 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Prevenirea, contracararea şi eliminarea riscurilor şi ameninţărilor la adresa securităţii


informaţiilor;
 Conştientizarea personalului cu privire la responsabilităţile ce îi revin, la ameninţările
potenţiale la securitatea informaţiilor;
 Prevenirea producerii oricăror incidente de securitate, care s-ar datora unor cauze umane.

Instruirea nou-angajatului într-o funcţie care necesită acces, va urmări câteva aspecte
generale de securitate:
a. securitatea fizică – informaţii despre sistemul de control acces, structura de securitate;
b. securitatea informaţiilor – nivelurile de clasificare, controlul şi gestionarea informaţiilor.
Persoana nou-angajată trebuie să aibă acces la instrucţiunile de securitate internă/normele
metodologice în vigoare, iar după citirea acestora să semneze o fişă de luare la cunoştinţă.
Paralel cu pregătirea/instruirea de securitate, sunt necesare activităţi pe linia conştientizării
necesităţii şi importanţei protecţiei informaţiilor clasificate de către persoanele care, într-un fel
sau altul, vin în contact cu astfel de informaţii.
Programul de conştientizare de securitate are următoarele scopuri:
- să asigure faptul că persoanele, în momentul preluării postului, conştientizează importanţa
securităţii în instituţie, precum şi valoarea informaţiilor pe care le vor gestiona;
- să asigure că persoanele, pe perioada ocupării postului respectiv, continuă să conştientizeze
şi să respecte cerinţele de securitate ale instituţiei;
- să asigure că, la plecarea lor din posturile respective, persoanele conştientizează în
continuare responsabilităţile referitoare la securitate.

Educaţia şi conştientizarea de securitate permanentă – se realizează prin reinstruiri


periodice despre problemele de securitate care prezintă interes, cum sunt cele referitoare la
incidentele şi încălcările de securitate care au avut loc în cadrul instituţiei.
Pe lângă reinstruirile periodice, structura/funcţionarul de securitate trebuie să se asigure că
persoanele care au încălcat instrucţiunile de securitate sunt reinstruite cu privire la securitatea în
cadrul instituţiei. Dacă o persoană încalcă în mod repetat aceste reguli, atunci structura de securitate
poate extinde procesul şi poate implica, de asemenea, conducerea instituţiei pentru a consilia
persoana despre obligaţiile de securitate sau pot fi luate măsuri disciplinare până la deferirea în
justiţie, în funcţie de gravitatea abaterii.

Structura de securitate este responsabilă pentru educaţia de securitate: întocmeşte


planul de pregătire, păstrează autorizaţiile de acces, păstrează fişele de pregătire personală,
realizează pregătirea persoanelor care au acces la informaţii clasificate.
Personalul trebuie să fie convins şi să înţeleagă că prevederile de securitate sunt sensibile şi
importante pentru ei şi pentru instituţie.
Participarea la activităţile de instruire a conducerii profesionale a instituţiei sporeşte
importanţa protejării informaţiilor clasificate şi subliniază în plus responsabilitatea cu care trebuie
tratată problema.

Conducătorul persoanelor juridice: obligaţii şi răspunderi


Legea nr. 182/2002 privind protecţia informaţiilor clasificate stabileşte că autorităţile şi
instituţiile publice, agenţii economici cu capital integral sau parţial de stat şi celelalte persoane
juridice de drept public sau privat care utilizează informaţii clasificate sunt obligate să-şi
întocmească norme proprii în aplicarea standardelor naţionale de protecţie a informaţiilor clasificate
în România.
De asemenea, persoanelor juridice de drept public sau privat deţinătoare de informaţii
clasificate le revine obligaţia să respecte şi să aplice reglementările în vigoare stabilite pentru
autorităţile şi instituţiile publice, în domeniul lor de activitate.

132 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

În derularea activităţilor pe linia protecţiei informaţii clasificate, conducătorii instituţiilor


deţinătoare de astfel de informaţii trebuie să conlucreze permanent cu autorităţile cu atribuţii
specifice în domeniu. De asemenea, trebuie să aprobe listele cu personalul verificat şi avizat pentru
lucrul cu informaţii clasificate şi evidenţa autorizaţiilor de acces, să coordoneze activitatea şi să
controleze măsurile privitoare la protecţia informaţiilor clasificate, potrivit legii.
În relaţia cu autorităţile desemnate de securitate (ADS) sunt obligaţi:
- să solicite asistenţa de specialitate instituţiilor abilitate să coordoneze activitatea şi să
controleze măsurile privitoare la protecţia informaţiilor clasificate;
- să supună avizării instituţiilor abilitate programul propriu de prevenire a scurgerii de
informaţii clasificate şi să asigure aplicarea acestuia;
- să comunice instituţiilor abilitate, potrivit competenţelor, lista funcţiilor din subordine care
necesită acces la informaţii clasificate.
Totodată, legea a prevăzut că, pentru implementarea măsurilor de protecţie a informaţiilor
clasificate, unităţile deţinătoare de astfel de informaţii să înfiinţeze, în condiţiile strict reglementate
legal, structuri de securitate/funcţionari de securitate cu atribuţii specifice.
În raport cu structura/funcţionarul de securitate, conducătorului unităţii gestionare de
informaţii secrete de stat îi revin o serie de obligaţii:
- să asigure organizarea activităţii structurii/funcţionarului de securitate şi compartimentelor
speciale pentru gestionarea informaţiilor clasificate, în condiţiile legii;
- să aprobe atribuţiile personalului din structura de securitate/funcţionarului de securitate,
stabilite prin fişa postului;
- să asigure includerea personalului structurii/funcţionarului de securitate în sistemul
permanent de pregătire şi perfecţionare, organizat de instituţiile învestite cu atribuţii de coordonare
a activităţii şi de control al măsurilor privitoare la protecţia informaţiilor clasificate, potrivit legii;
- să analizeze, ori de câte ori este necesar, dar cel puţin semestrial, modul în care
structura/funcţionarul de securitate şi personalul autorizat asigură protecţia informaţiilor clasificate.
În acelaşi timp, conducătorul unităţii deţinătoare de informaţii clasificate trebuie să asigure
aplicarea şi respectarea regulilor generale privind evidenţa, întocmirea, păstrarea, procesarea,
multiplicarea, manipularea, transportul, transmiterea şi distrugerea informaţiilor secrete de stat şi a
interdicţiilor de reproducere şi circulaţie, în conformitate cu actele normative în vigoare.
Conform legii, acesta este obligat să desemneze, din structura de securitate proprie, cel puţin
un delegat împuternicit pentru transportul şi executarea operaţiunilor de predare-primire a
corespondenţei clasificate. Lui îi revine răspunderea ca, la încheierea contractelor individuale de
muncă, să precizeze obligaţiile ce le revin părţilor pentru protecţia informaţiilor clasificate în
interiorul şi în afara unităţii, în timpul programului şi după terminarea acestuia, precum şi la
încetarea activităţii în unitatea respectivă.
Conducătorul unităţii care face obiectul controlului are obligaţia să pună la dispoziţia
echipelor de control toate informaţiile solicitate privind modul de aplicare a măsurilor prevăzute de
lege pentru protecţia informaţiilor clasificate. Pe de altă parte, trebuie să organizeze, anual, şi ori de
câte ori este nevoie, controale interne privind gestionarea informaţiilor clasificate.

Răspunderea pentru aplicarea măsurilor legale privind protecţia informaţiilor clasificate


revine conducătorului persoanei juridice, care are obligaţia să coordoneze nemijlocit activitatea
funcţionarului/structurii de securitate.

133 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 15. Dezvoltarea profesională pentru personalul cu atribuţii de


securitate
Pregătirea de securitate este forma de bază a educaţiei de securitate, obligatorie pentru
toate persoanele care lucrează cu informaţii clasificate sau gestionează astfel de informaţii.
Activitatea de pregătire se efectuează planificat şi are caracter permanent, în scopul
prevenirii, contracarării şi eliminării riscurilor de securitate, precum şi a ameninţărilor la adresa
informaţiilor clasificate.
Pregătirea personalului se va realiza diferenţiat, în funcţie de atribuţiile personalului şi de
nivelul certificatului de securitate deţinut.
Planificarea şi organizarea activităţii de pregătire a personalului vor fi organizate şi realizate
de către structura/funcţionarul de securitate, conform tematicilor cuprinse în programele aprobate de
conducerea unităţii.
Activitatea de pregătire se efectuează planificat, în scopul prevenirii, contracarării şi
eliminării riscurilor şi ameninţărilor la adresa securităţii informaţiilor clasificate.
Fiecare formă de pregătire se va înscrie în fişa individuală de pregătire a persoanei.
Pregătirea personalului se realizează sub formă de lecţii, informări, prelegeri, simpozioane,
schimb de experienţă, seminarii, şedinţe cu caracter aplicativ şi se poate finaliza prin verificări sau
certificări ale nivelului de cunoştinţe.

Obligaţii şi răspunderi:
 Persoanele cărora li se eliberează certificate de securitate/autorizaţii de acces vor fi
instruite, obligatoriu, cu privire la protecţia informaţiilor clasificate, înaintea începerii activităţii şi
ori de câte ori este nevoie.
 Pregătirea personalului se realizează diferenţiat, potrivit nivelului de secretizare a
informaţiilor la care certificatul de securitate sau autorizaţia de acces permite accesul şi va fi
înscrisă în fişa individuală de pregătire, care se păstrează la structura/funcţionarul de securitate.
 Toate persoanele încadrate în funcţii care presupun accesul la informaţii clasificate trebuie
să fie instruite temeinic, atât în perioada premergătoare numirii în funcţie, cât şi la intervale
prestabilite, asupra necesităţii şi modalităţilor de asigurare a protecţiei acestor informaţii.
 După fiecare instruire, persoana care deţine certificat de securitate sau autorizaţie de acces
va semna că a luat act de conţinutul reglementărilor privind protecţia informaţiilor secrete de stat.
 Pregătirea personalului urmăreşte însuşirea corectă a standardelor de securitate şi a
modului de implementare eficientă a măsurilor de protecţie a informaţiilor clasificate
 Organizarea şi coordonarea activităţii de pregătire a structurilor/funcţionarilor de securitate
sunt asigurate de autorităţile desemnate de securitate.
 Autorităţile desemnate de securitate vor controla, potrivit competenţelor, modul de
realizare a activităţii de pregătire a personalului care accesează informaţii secrete de stat.
 Pregătirea individuală a persoanelor care deţin certificate de securitate/autorizaţii de acces
se realizează în raport cu atribuţiile profesionale.
 Toate persoanele care gestionează informaţii clasificate au obligaţia să cunoască
reglementările privind protecţia informaţiilor clasificate şi procedurile interne de aplicare a
măsurilor de securitate specifice.

Una din atribuţiile structurii de securitate o reprezintă elaborarea normelor interne prin care
se pun la dispoziţia emitenţilor şi utilizatorilor regulile obligatoriu de urmat în realizarea
activităţilor de clasificare şi declasificare, evidenţă, întocmire, păstrare, procesare, multiplicare,
transport, transmitere şi distrugere a informaţiilor.
Structura/funcţionarul de securitate are obligaţia de a ţine evidenţa cazurilor de încălcare a
reglementărilor de securitate, a documentelor de cercetare şi a măsurilor de soluţionare şi să le

134 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

pună la dispoziţia autorităţilor desemnate de securitate, conform competenţelor ce le revin.


Documentele menţionate se păstrează 5 ani.
În situaţia în care informaţiile clasificate au fost accesate de persoane neautorizate, acestea
vor fi instruite pentru a preveni producerea de eventuale prejudicii.
Pentru prejudiciile cauzate deţinătorului informaţiei clasificate compromise, acesta are
dreptul la despăgubiri civile, potrivit dreptului comun.
Funcţionarul de securitate trebuie să monitorizeze în permanenţă, în vederea actualizării şi
pentru a se asigura faptul că persoanele care ocupă funcţiile care necesită acces la informaţii
clasificate au fost verificate, avizate şi autorizate pentru accesul la astfel de informaţii.

Salariaţii autorizaţi pentru acces la informaţii clasificate


Accesul la informaţii clasificate este permis cu respectarea principiului „necesităţii de a
cunoaşte”, numai persoanelor care deţin certificat de securitate sau autorizaţie de acces, valabile
pentru nivelul de secretizare a informaţiilor necesare îndeplinirii atribuţiilor de serviciu.
Persoanele autorizate să aibă acces la informaţii clasificate secret de serviciu, pentru
îndeplinirea atribuţiilor funcţionale, potrivit principiului „necesităţii de a cunoaşte”, au următoarele
obligaţii :
- persoanele cuprinse în sistemul de pază şi apărare la obiective speciale (bănci, ambasade,
instituţii militare etc.), de intervenţie la obiective, de monitorizare, tehnic (proiectare, instalare,
monitorizare, intervenţie şi service etc.), precum şi personalul de vânzare, organizare, coordonare şi
control trebuie să deţină Autorizaţii de acces la informaţii secrete de serviciu;
- să cunoască prevederile legale privind protecţia informaţiilor clasificate secrete de serviciu,
confidenţiale şi nesecrete (neclasificate);
- sunt responsabile pentru aplicarea cerinţelor legale şi a măsurilor interne privind protecţia
informaţiilor proprietate a companiei (secrete de serviciu, confidenţiale şi nesecrete);
- semnează Angajamentul de confidenţialitate potrivit cărui trebuie să asigure păstrarea
confidenţialităţii datelor, documentelor şi informaţiilor la care au acces în virtutea obligaţiilor de
serviciu, inclusiv după încetarea raporturilor de muncă;
- previn (interzic) accesul persoanelor neautorizate la informaţiile secrete de serviciu şi
confidenţiale proprietate a companiei sau a beneficiarului unde îşi îndeplinesc atribuţiile funcţionale
conform fişei postului;
- paricipă la pregătirea specifică, atât la acordarea Autorizaţiei de acces, cât şi periodic, cu
privire la conţinutul reglementărilor în vigoare privind protecţia informaţiilor;
- asigură accesul autorizat, controlat şi ierarhizat în instituţiile unde îşi desfăşoară activitatea
(în zonele administrative şi restricţionate), pe baza permiselor (legitimaţiilor) de acces, a
delegaţiilor speciale sau a celor de vizitator;
- asigură funcţionarea corespunzătoare a sistemelor de securitate (pază, supraveghere şi
control al accesului), iar în situaţii de urgenţă acţionează conform prevederilor normelor de
securitate la obiectiv;
- la constatarea unor cazuri de nerespectare a normelor de protecţie a informaţiilor vor
anunţa organele şi instituţiile competente, vor lua măsuri pentru limitarea deficienţelor (pagubelor)
şi a situaţiilor de compromitere a informaţiilor conform cerinţelor legale şi a normelor interne;
- nerespectarea prevederilor legale privind protecţia informaţiilor secrete de serviciu de către
personalul autorizat, conform art. 12 / H.G. nr. 781/2002, atrage răspunderea penală, civilă,
contravenţională sau disciplinară, după caz, în condiţiile legii.
Persoanele autorizate au obligaţia manifestării discernământului în ce priveşte conţinutul
discuţiilor pe care le au atât cu alte persoane autorizate, cât, mai ales, cu persoane care nu au acces
la informaţii clasificate.
Încălcarea prevederilor legale privind protecţia informaţiilor se sancţionează, mergând de la
cercetări administrative, care se pot solda cu măsuri asupra persoanelor implicate, specificate la cap.
IX cu „contravenţii şi sancţiuni la normele privind protecţia informaţiilor clasificate” din H.G. nr.
585/2002, până la situaţii în care pot fi implicate chiar organele de cercetare penală.

135 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Dezvoltarea profesională de securitate

Criterii de realizare asociate Criterii de realizare asociate


Elemente de competenţă rezultatului activităţii modului de îndeplinire a
pentru managerul de securitate
descrise de elementul de activităţii descrise de
competenţă elementul de competenţă
1. Evaluează nivelul de 1.1. Nivelul de instruire Evaluarea nivelului de instruire
instruire profesională. profesională de securitate este profesională al personalului de
evaluat ținând cont de securitate este realizată cu
obiectivele si politica de atenție și exigență.
securitate, de responsabilitățile
angajatului și de istoricul
incidentelor de securitate pe o
perioadă relevantă.
1.2. Nivelul de instruire
profesională de securitate este
evaluat ținând cont de procesul
organizațional de dezvoltare
profesională.

2. Identifică necesităţile de 2.1. Necesităţile de instruire şi Identificarea necesităţilor de


instruire şi de perfecţionare perfecţionare profesională sunt instruire şi perfecţionare
profesională. identificate în funcţie de profesională este realizată cu
rezultatele evaluarii și de corectitudine și
noutăţile din domeniul de responsabilitate.
activitate.
2.2. Necesităţile de instruire şi
perfecţionare profesională sunt
identificate cu respectarea
cerinţelor legale privind
pregătirea profesională.

3. Stabileşte modalităţile de 3.1. Modalităţile de instruire şi Stabilirea modalităţilor de


instruire şi de perfecţionare de perfecţionare profesională instruire şi perfecţionare
profesională. de securitate sunt stabilite în profesională de securitate este
funcţie de necesităţile realizată cu acuratețe și
identificate și de posibilităţile realism.
existente.
3.2. Modalităţile de instruire şi
de perfecţionare profesională
de securitate sunt stabilite astfel
încât să asigure o eficienţă
maximă a pregătirii.

136 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

B. UNITĂŢI DE COMPETENŢE SPECIFICE

Unitatea de competenţă:
UCS1. Organizarea securităţii fizice

Tema 16. Componentele securităţii fizice

- Protecţia mecano - fizică a persoanelor, obiectivului, bunurilor sau valorilor;


- Protecţia electronică - prin sisteme de alarmă la efracţie şi jaf armat, control al accesului,
televiziune cu circuit închis;
- Protecţia electronică - prin sisteme de detecţie, semnalizare şi avertizare la incendiu,
sisteme de stingere a incendiilor, sisteme de îndrumare şi evacuare personal etc.;
- Protecţia electronică - prin sisteme de transmitere a alarmelor la DMRA (Dispecerat
Monitorizare şi Recepţie Alarme) şi sisteme de monitorizare a alarmelor la efracţie şi jaf armat,
control al accesului, CCTV (closed circuit television) sau T.V.C.I., televiziune cu circuit închis:
sistem de transmisie a imaginilor video într-un circuit închis;
- Protecţie umană: pază, intervenţie, servicii de urgenţă.

Introducere
Indiferent de valorile sociale sau bunurile care trebuiesc protejate, aici vorbind fie de
instituții guvernamentale, fie de alte structuri organizaționale, cum ar fi instituții financiar-bancare,
industriale sau companii de utilități, comerciale, educaționale, rezidențiale ș.a. sunt necesare
identificarea unor soluții de securitate flexibile și care să poată face față noilor vulnerabilități de
securitate ce pot apărea în timp, pornind de la sisteme mecano-fizice, electromecanice și ajungând
la forme complexe, cu gestiune digitală și management folosind inteligența artificială.
Proiectarea și implementarea unui sistem de protecție fizică trebuie să țină cont, pe de-o
parte, de necesitatea asigurării condițiilor de upgradare în concordanță cu noile tehnologii din
domeniu, iar pe de altă parte, și de evoluțiile și perspectivele de dezvoltare instituționale.
Domeniile de aplicabilitate sunt dintre cele mai variate, începând cu instituții
guvernamentale și continuând cu bănci, case de schimb valutar, casierii, magazine, depozite,
companii de utilități - locații administrative și zone de lucru cu publicul, școli, licee, universități,
campusuri, apartamente și cartiere rezidențiale ș.a.

I. Componentele securității fizice


Într-o accepțiune mai largă, securitatea fizică poate acoperi următoarele concepte definitorii,
în funcție de tipul și gama de acoperire oferite de sistemele utilizate:
• Protecția mecano - fizică a persoanelor, obiectivului, bunurilor sau valorilor;
• Protecția electronică - prin sisteme de alarmă la efracție, control acces şi televiziune
cu circuit închis;
• Protecție electronică - prin sisteme de detecție, semnalizare şi avertizare la incendiu,
sisteme de stingere a incendiilor, sisteme de îndrumare şi evacuare a personalului etc.;
• Protecție electronică - prin sisteme de transmitere a alarmelor la centre de
monitorizare;
• Protecție umană - pază, intervenție, servicii de urgență ş.a.

137 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

I.1 Protecția mecano - fizică a persoanelor, obiectivului, bunurilor sau valorilor

Protecția mecano-fizică vizează protecția exterioară (uși, pereți, ferestre), zone de acces
pentru public (grilaje, garduri, vitrine), zone administrative și operaționale (uși, pereți, safe-uri de
tip cash box), zone de depozitare valori (tezaure, seif-uri) ş.a. Safe-urile de înaltă securitate
reprezintă ultima barieră mecano-fizică în calea unui atacator asupra securităţii sistemului fizic de
securitate. Alegerea safe-ului potrivit devine o decizie de foarte mare importanţă, deoarece în aceste
incinte "blindate" se păstrează deobicei majoritatea bunurilor şi valorilor care trebuie protejate.

În funcție de importanța obiectivului ce trebuie protejat, precum și în raport de posibilitățile


financiare ale instituției/persoanei fizice se pot adopta diverse soluții tehnice și procedurale care să
îndeplinească cerințele impuse de studiul de analiză a riscurilor de securitate și vulnerabilităților.

În proiectarea unui sistem de protecție mecano-fizic, de regulă, se pornește de la exterior


spre interior. Astfel, în prima fază, se urmărește protecția perimetrală, care poate fi asigurată prin
bariere, bolarzi, garduri, porți automate anti-efracție ş.a.

Sistem de protecţie cu barieră şi bolarzi retractabili

Sistem de protecţie perimetrală cu garduri antiefracţie

138 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Sistem de protecţie perimetrală cu porţi automate

O a doua fază în proiectarea unui sistem de securitate privește exteriorul clădirilor, iar în
acest sens pot fi precizate următoarele variante de protecție mecano-fizice: grilaje la ferestre, uși
metalice, sisteme de încuietori antiefracție, lacăte ş.a.

Sistem de protecţie antiefracţie tip grilaj la ferestre

Sistem de protecţie antiefracţie tip uşă metalică

139 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Sistem de încuietoare antiefracţie

Sistem de protecţie antiefracţie cu lacăt cu cifru

Faza a treia a proiectării vizează spațiile interioare ale clădirii, iar sistemul de securitate
poate cuprinde și următoarele elemente: turnichete, seif-uri, cutii de valori, uși de tezaur, ferestre
blindate ş.a.

Sistem de acces prin turnichete


140 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Seif-uri cu cutii de valori individuale

Sistem de protecţie antiefracţie - uşă de tezaur

I.2 Protecția electronică - prin sisteme de alarmă la efracţie, control acces şi


televiziune cu circuit închis

Sistemele de securitate fizică impun alegerea unor variante redundante, astfel încât între
valoarea de protejat şi un eventual agresor să existe mai multe bariere. În acest sens, sistemele
mecano-fizice se dublează prin mijloace electronice de alarmă la efracție, control acces şi
supraveghere video perimetrală.

I.2.1 Sisteme de alarma la efracție

Structura subsistemului de alarmare la efracție este alcătuită din: centrala de alarmă cu


tastaturile de operare, elementele de detecție, echipamentele de avertizare şi semnalizare şi alte
componente specifice acestui tip de aplicații.

Rolul sistemelor antiefracţie este acela de protecţie prin prevenţie a punctelor vulnerabile ale
unei clădiri. Sistemele antiefracţie pot fi cablate, wireless sau mixte.

Sistemul antiefracţie poate fi folosit şi pentru supravegherea izbucnirii unui incendiu sau
pentru sesizarea unor scurgeri de gaze, prin conectarea detectoarelor de fum, respectiv a celor de
141 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

gaz la sistem în zonele de pericol. Avertizarea în caz de alarmă se va face local (pe sirenă), pe linia
telefonică fixă, pe terminalul GSM sau prin intermediul unui emiţător radio.

Instalarea unui sistem de alarmă este cea mai bună alegere în cazul în care se doreşte
protecţia şi siguranţa anumitor bunuri, a locuinţei şi familiei sau, de ce nu, a unei întregi companii.
Ţinând cont de nivelul de risc la efracţie, de locurile sau bunurile protejate şi de evaluarea
conţinutului acestora, sistemele de alarmă pot fi clasificate prin grade de securitate. Prin urmare,
configuraţia optimă a sistemului de alarmă contra efracţiilor este dată de acest grad de securitate şi
de clasa de mediu. În general, elementele care necesită protecţie sunt, în primul rând, căile de acces
în locuinţa personală sau firmă: uşile şi geamurile şi, în al doilea rând, spaţiile interioare.

Bazându-se pe aceste lucruri, sistemele de alarmă trebuie să conţină anumite componente:

- centrala de detecţie şi alarmare - supraveghează semnalele de stare venite de la detectori


specializaţi şi raportarea schimbărilor de stare; aceşti detectori sunt conectaţi la intrările
centralei;
- detectoare de mişcare de interior sau de exterior; pentru orice fel de spaţii şi condiţii de
mediu, având în vedere posibilitatea reglării sensibilităţii de detecţie şi imunitate la
perturbaţii electromagnetice;
- detectoare de geam spart - se instalează pentru a ridica gradul de protecţie perimetrală prin
detectarea spargerii geamurilor de la uşi sau ferestre;
- detectoare de vibraţii pentru tentative de perforare a pereţilor şi a tocurilor de uşi şi ferestre.
Avantajul este că detectează o efracţie înainte ca ea să se producă;
- contacte magnetice - sunt folosite pentru protejarea uşilor şi ferestrelor şi pot fi instalate în
punctele de acces vulnerabile, asigurînd o protecţie perimetrală. Tastatura permite armarea
şi dezarmarea întregului sistem de alarmă, comenzi speciale, programarea centralei, afişarea
stării sistemului şi citirea istoriei de evenimente;
- bariere în infraroşu sau microunde - sesizează întreruperea unui fascicul de radiaţii în
domeniul infraroşu sau microunde, emise de către primul element al barierei; se folosesc ca
protecţie perimetrală, fie pentru protejarea spaţiilor exterioare, fie pentru avertizarea
accesului către zone interioare;
- sisteme de avertizare audio şi optice;
- elemente de alarmare la distanţă (GSM, comunicator telefonic, interfaţa de conectare la
dispeceratul de supraveghere);
- acumulatori - menţin sistemul în funcţiune după căderea sursei principale de energie
electrice, în funcţie de consumul sistemului şi de capacitatea acumulatorilor.

142 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

-
Sistem de alarmă la efracţie

Stabilirea partiţiilor şi amplasarea senzorilor antiefracţie pentru o incintă

I.2.2 Sisteme de control acces

Sistemul de control acces reprezintă un instrument esențial pentru managementul resurselor


umane într-o organizație, permiţând gestionarea automată a intrărilor şi ieşirilor oamenilor în/din
anumite zone de securitate. Prin acest sistem, se poate realiza vizualizarea tuturor intrărilor şi
ieşirilor, se poate face situaţia prezenţei personalului şi totodată se pot defini zonele de acces pentru
fiecare persoană şi intervalele de timp în care aceasta va avea acces.

143 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Principalele componente ale unui sistem de control acces sunt următoarele (exemplificate în
figura de mai jos):

- centrala de control acces - gestionează informațiile furnizate de la tastaturi şi cititoare şi


comandă elementele de blocare mecanică a căilor de acces;
- software de control acces - utilizat la configurarea inițială a sistemului şi administrarea
ulterioară a utilizatorilor;
- cititoare de cartele magnetice - efectuează citirea cartelelor magnetice la trecerea acestora
printr-o fantă a dispozitivului, prin dreptul capului magnetic de citire;
- cititoare de cartele de proximitate - efectuează citirea cartelelor de proximitate la trecerea
acestora prin dreptul cititorului;
- cititoare biometrice - sunt de mai multe tipuri: de scanare a amprentei degetului, a irisului, a
palmei, facială şi a vocii;
- carduri (cartele) - pot fi magnetice sau de proximitate, tipăribile sau nu;
- tastaturi de acces - sunt utilizate prin introducerea unui cod PIN;
- butoane "cerere ieşire" - sunt utile în situația în care nu interesează decât intrarea în zona
securizată şi vor fi instalate la ieșire pentru comanda deblocării căii de acces;
- butoane de evacuare - deblochează automat uşa sau uşile de pe traseul de evacuare personal;
- yale electromagnetice - mod de blocare a unei uşi sau porți de acces, care poate fi comandat
electric;
- electromagneţi - sunt compuşi din două părţi: electromagnetul propriu-zis, care se montează
pe tocul uşii şi o placă metalică, amplasată pe uşă; alimentat cu energie electrică,
electromagnetul atrage placa metalică, blocând astfel uşa;
- amortizoare uşi - nu permit uşii să rămână deschisă, datorită neatenției utilizatorilor;
- turnicheții - se pretează pentru căi de acces unde fluxul personalului este mare. Majoritatea
sunt bidirecţionali, astfel încât să fie folosiţi atât la intrarea cât şi la ieșirea din obiectiv. Pot
fi dotaţi cu sisteme antipanică, astfel încât, în caz de evacuare forţată a personalului, braţul
orizontal să fie deblocat.

144 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

I.2.3 Sisteme de supraveghere video

Sistemele de supraveghere video sunt utilizate la urmărirea şi înregistrarea imaginilor


dintr-un spaţiu şi se adresează, în principal, acelor spaţii în care se desfăşoară diferite activităţi de
producţie, spaţiilor comerciale, depozitelor de materiale şi birourilor. Avantajul acestor sisteme
video este că oferă identificarea persoanelor şi acţiunilor suspecte şi dovada înregistrată a producerii
evenimentului prejudicios. Pentru eficienţă sporită, aceste sisteme pot fi interconectate cu sisteme
antiefracţie şi sisteme de control acces.

În componenţa sistemelor de supraveghere video, aşa cum se prezintă şi în figura de mai jos,
se află următoarele elemente:

Schema de principiu a unui sistem de supraveghere video

- camere video clasice - captează imaginea prin transformarea luminii ce cade pe senzorul de
imagine - CCD în semnal electric;
- camere video tip dome - se folosesc mai ales în interiorul spaţiilor publice şi asigură o
supraveghere mai discretă a spaţiului;
- camere video compacte - sunt camere economice, uşor de instalat, nu necesită nici un fel de
reglaj. Conţin: lentila fixă, carcasa, suport şi leduri în infraroşu pentru vedere pe timp de
noapte;
- camere IP - furnizează ca ieşire de semnal un port standard Ethernet, ceea ce permite
conectarea într-o reţea fără nici un alt echipament suplimentar;
- obiective sau lentile - sunt sisteme optice convergente pentru lumina care se îndreaptă spre
senzorul camerei. Pot fi: obiective fixe, varifocale (ajustarea manuală a distanţei focale şi
implicit a unghiului de vedere), cu iris manual, autoiris (dimensiunea irisului se modifică în
funcţie de lumina incidentă pe CCD), cu zoom motorizat (distanţa focală se modifică
manual de la distanţă sau în funcţie de alţi parametri);
- incinte şi suporţi - au rolul de protecţie a camerei, obiectivului şi cablurilor la sabotaj, dar şi
la intemperii;

145 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- speed-dome - este format dintr-o cameră de înaltă rezoluţie, un obiectiv cu zoom motorizat,
un mecanism pan & tilt care permite mişcarea camerei pe orizontală 360° şi pe verticală 90°,
toate dispuse într-o carcasă metalică sau din plastic, prevăzută cu un semiglob fumuriu sau
transparent. Modificarea poziţiei camerei pe orizontală şi verticală şi modificarea zoom-ului
se efectuează fie manual, de către operator cu ajutorul unei console cu joystick sau de la
tastatura unui PC, fie automat, în cazul în care speed-dome-ul efectuează un program cu
poziţii presetate;
- înregistratoare video digitale (DVR) - imaginile sunt transformate digital, compresate şi
stocate pe unul sau mai multe harddisk-uri;
- plăci de achiziţie video - reprezintă o soluţie ieftină pentru realizarea unui sistem de
supraveghere video. Necesită un PC, care în majoritatea cazurilor va fi destinat pentru
aplicaţia video;
- monitoare - sunt cu intrare video complex sau VGA;
- echipamente de transmitere a semnalului video pe cablu torsadat - transmiterea semnalelor
video se efectuează, de regulă, pe cablu coaxial, echipamente de transmitere a semnalului
video pe fibră optică - practic pierderile de semnal sunt nule. Se folosesc doar pentru
distanţe mari, undeva până la 60 km.;
- echipamente de transmisie IP - videoservere - majoritatea DVR-urilor (în particular şi
camerele IP) permit setarea unei adrese IP, astfel încât pot fi accesate prin reţea;
- UPS-uri - ca orice alt sistem de securitate, sistemul video trebuie conceput cu o soluţie de
back-up în cazul lipsei tensiunii de reţea.

I.3 Protecţie electronică - prin sisteme de detecţie, semnalizare şi avertizare la incendiu,


sisteme de stingere a incendiilor, sisteme de îndrumare şi evacuare a personalului

Instalarea unui sistem de detecţie şi avertizare a incediului este o modalitate folosită pentru
limitarea atât a pagubelor umane, cât şi a celor materiale. Pentru locuinţele particulare este
suficientă conectarea detectorilor de fum la centrala de alarmă, folosită în mod special impotriva
efracţiei. Pentru clădiri de birouri, spaţii comerciale mari, depozite, bănci, clădiri aglomerate, este
utilă folosirea de sisteme dedicate pentru detecţia şi semnalizarea începutului de incendiu.

Componentele unui sistem de alarmă contra incendiilor sunt următoarele (conform şi figurii
de mai jos):

Sistem de alarmă antiincendiu

146 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- centrale convenţionale de incendiu - supraveghează semnale de stare venite de la detectorii


de fum sau temperatură şi de la butoanele de avertizare manuală a incendiului şi foloseşte la
raportarea schimbărilor de stare; toţi detectorii sunt conectaţi la intrările centralei, definite ca
zone, corelat cu zonarea obiectivului;
- centrale adresabile de incendiu - fiecare detector are o adresă şi mai mulţi detectori se
conectează pe o buclă; avantajul îl reprezintă uşurinţa cablării şi identificarea uşoară a
alarmelor;
- repetoare şi emulatoare - repetă informaţii şi comenzi provenite de la centrala de incendiu;
- butoane de avertizare manuală la incendiu;
- detectori de fum optici - alarmează când concentraţia de particule de fum din camera optică
depăşeşte o valoare prestabilită; senzorii convenţionali inteligenţi includ autodiagnosticare,
reducând alarmele false provocate de contaminarea inerentă cu praf sau murdărie;
- detectori de fum cu ionizare;
- detectori de fum tip barieră în infraroşu - se pretează pentru aplicaţii unde este dificilă
amplasarea detectorilor de fum uzuali, precum hale înalte sau greu accesibile;
- detectori de fum cu spot reflexiv în infraroşu - semnalul în infraroşu este reflectat de o
prismă şi analizat pentru a sesiza prezenţa fumului;
- detectori de fum prin aspiraţie - sistemul foloseşte un aspirator şi un sistem de conducte prin
care prelevează eşantioane din atmosferă din diverse puncte de interes;
- detectori de temperatură - reacţionează la creşterea anormală a temperaturii în incintă;
- detectori de flacără - se folosesc doar în aplicaţii de interior;
- module adresabile - se folosesc ca interfaţă între centralele adresabile şi detectorii
convenţionali; prin intermediul lor pot fi conectaţi la o centrală adresabilă fie detectori
convenţionali de fum, de temperatură, de flacără, fie alte tipuri de detectori: de gaz, de CO,
de inundaţie;
- izolatoare de buclă pentru sisteme adresabile;
- detectori de substanţe periculoase: detectori de hidrogen, de vapori de petrol, de alcool
etilic, de amoniac, de GPL, de gaz metan;
- sirene şi indicatoare optice de semnalizare - asigură avertizarea locală sonoră şi luminoasă
despre producerea unui incendiu şi intrarea în procedura de evacuare;
- electromagneţi şi elemente de blocare a uşilor - sunt comandaţi de centrala de incendiu;
- acumulatori - menţin sistemul în funcţiune după căderea sursei principale de energie;
- dispozitive de testare şi service.

I.4 Protecție electronică - prin sisteme de transmitere a alarmelor la dispecerate de


monitorizare

Sistemul de alarmă rămâne un simplu dispozitiv de alarmare dacă acesta nu este conectat la
un dispecerat, beneficiind astfel de serviciul de monitorizare.
Pentru eficacitate absolută este recomandat ca aceste sisteme de alarmare să fie deservite de
serviciul de monitorizare sau de cel de pază umană.
În funcţie de dimensiunea şi importanţa obiectivului ce trebuie protejat acest serviciu se
poate organiza în interiorul organizaţiei sau poate fi externalizat către o instituţie de stat sau firmă
privată care prestează astfel de activităţi de dispecerizare, monitorizare centrală şi zonală şi de
intervenţie antiinfracţională operativă.

147 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

De regulă, procedurile de monitorizare şi intervenţie se stabilesc concret pentru fiecare sediu


şi eveniment în parte, în funcţie de localizarea acestuia, dispunerea în zonă, căile de acces existente,
spaţiile din imediata vecinătate, factori de risc etc.

I.5 Protecție umană: pază, intervenţie, servicii de urgenţă

Protecţia umană reprezintă o altă dimensiune a ceea ce înseamnă conceptul de securitate


fizică şi constă în implementarea unui serviciu ce implică în mod direct şi nemijlocit utilizarea
resurselor umane specializate şi care constă în efectuarea de activităţi specifice de pază, intervenţie
şi servicii de urgenţă cu personal specializat şi dotat corespunzător.

Conform legislaţiei în vigoare, personalul destinat acestui tip de activităţi este echipat cu
uniforma specifică, este dotat cu aparatura de comunicaţie şi localizare radio, GSM şi GPRS,
precum şi cu armament şi mijloace de autoapărare moderne în conformitate cu prevederile
legislative în vigoare.

Echipajele care lucrează în activitatea de intervenţie sunt selecţionate, testate periodic şi


pregătite special pentru rezolvarea tuturor tipurilor de situaţii şi evenimente.

Concluzii
1. Securitatea fizică a persoanelor, obiectivului, bunurilor sau valorilor, alături de
măsurile procedurale, reprezintă componente fundamentale în asigurarea condiţiilor optime pentru
existenţa şi funcţionarea oricărei entităţi instituţionale.
2. Securitatea fizică este complementară cu celelalte laturi manageriale, îndeosebi cu
procedurile de lucru, normele interne, regulamentele de ordine interioară, regulamentele de
organizare şi funcţionare, politicile de resurse umane etc., pe care în nici un caz nu le exclud.
3. Deşi este o consumatoare importantă de resurse materiale şi umane, eficienţa
măsurilor de implementare a securităţii fizice se manifestă prin crearea acelui climat optim de
lucru şi manifestare a creativităţii umane.

148 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 17. Respectarea legislaţiei specifice şi organizarea securităţii fizice.


Cadrul de organizare şi funcţionare a firmelor prestatoare de servicii de securitate

I. Respectarea legislaţiei specifice şi organizarea securităţii fizice


Activităţile de pază a obiectivelor, bunurilor, valorilor şi protecţia persoanelor se realizează
conform prevederilor Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia
persoanelor, cu modificările şi completările ulterioare şi a Hotărârii de Guvern nr. 301 din 11 aprilie
2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003, prin forţe şi
mijloace civile cu sprijinul şi sub coordonarea, îndrumarea şi controlul Inspectoratului General al
Poliţiei Române şi al unităţilor subordonate, care urmăresc respectarea prevederilor legale în acest
domeniu de activitate.

Legea instituie obligativitatea unităţilor indiferent de natura capitalului social, forma de


organizare ori asociere, modul de deţinere a bunurilor ori valorilor, de a adopta măsuri de securitate
în formele prevăzute de respectiva Lege, completate cu măsuri procedurale, în vederea protejării
persoanelor, obiectivului, bunurilor sau valorilor.

Instituirea obligativității adoptării măsurilor de securitate fizică impune conducătorilor


unităților să stabilească forma de pază, obligaţiile şi răspunderile fiecărui beneficiar, inclusiv cele
privind întocmirea planului de pază. Când nu este posibilă realizarea unui sistem de pază organizat,
conducătorii sunt obligaţi să execute împrejmuiri, grilaje, obloane, încuietori sigure, iluminat de
securitate, sisteme de alarmă sau alte asemenea mijloace necesare asigurării pazei şi integrităţii
bunurilor.

O altă prevedere, în acest sens, este şi cea referitoare la obligativitatea avizării de


specialitate a poliţiei a planului de pază, întocmit de unitatea ale cărei bunuri sau valori se păzesc.
Este de menţionat şi faptul că acest plan trebuie avizat ori de câte ori survin modificări ale acestuia.

Planul de pază trebuie să conţină neapărat: caracteristicile obiectivului păzit, în zona


respectivă, numărul de posturi şi amplasarea acestora, necesarul de personal pentru pază,
amenajările, instalaţiile şi mijloacele tehnice de pază şi de alarmare, consemnul posturilor, legătura
şi cooperarea cu alte organe cu atribuţii de pază a obiectivelor, bunurilor, valorilor şi persoanelor şi
modul de acţiune în diferite situaţii. De asemenea, vor fi prevăzute şi regulile de acces, potrivit
dispoziţiilor conducătorului unităţii, precum şi documentele specifice serviciului de pază.

Tot prin respectiva Lege, conducătorii unităţilor care deţin bunuri, valori şi suporturi de
stocare a documentelor, a datelor şi informaţiilor cu caracter secret de stat sunt obligaţi să asigure
paza, mijloacele mecano-fizice de protecţie şi sistemele de alarmare impotriva efracţiei în locurile
de păstrare, depozitare şi manipulare a acestora, precum şi în locurile unde se desfăşoară activităţi
care au un asemenea caracter.

Proiectele ce vizează măsurile menţionate mai sus se avizează de către instituţiile abilitate,
potrivit actelor normative ce privesc protecţia informaţiilor clasificate. Instalarea, modificarea,
inclusiv punerea în funcţiune a sistemelor de alarmare împotriva efracţiei potrivit aceluiași act
normativ, se avizează şi se controlează de către instituţiile menţionat mai sus.

149 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Potrivit Cap. IV, Secţiunea 1, din Lege, proiectele sistemelor de alarmare împotriva efracţiei
se întocmesc în conformitate cu normele tehnice stabilite prin hotărâre a Guvernului. Tot acest
capitol prevede că în cadrul măsurilor de pază a obiectivelor, bunurilor şi valorilor, conducătorii
unităţilor prestatoare, precum şi ai unităţilor beneficiare sunt obligaţi să asigure numai folosirea
mijloacelor de protecţie mecano-fizice şi de alarmare împotriva efractiei care sunt certificate.

Proiectarea şi instalarea sistemelor de alarmă se poate face conform Art. 31 alin. (1) din
Lege, numai de către societăți specializate în baza licenţei eliberate de Inspectoratul General al
Poliţiei Române, reînnoită la fiecare 3 ani, şi cu avizul prealabil al Serviciului Român de Informaţii,
eliberat în termen de 30 de zile.

În Art. 27 alin. (4) şi (5) din Lege, sunt definite conceptele de protecţie mecano-fizică
(ziduri, plase, blindaje, case de fier, seifuri, dulapuri metalice, geamuri şi folie de protecţie, grilaje,
uşi şi încuietori) şi sistem de alarmare împotriva efracţiei (ansamblul de echipamente electronice
care poate fi compus din centrală de comandă şi semnalizare optică şi acustică, detectoare, butoane
şi pedale de panică, control de acces şi televiziune cu circuit închis cu posibilităţi de înregistrare şi
stocare a imaginilor şi datelor, corespunzător gradului de siguranţă impus de caracteristicile
obiectivului păzit).

Societăţile specializate de pază şi protecţie, precum şi cele din domeniul sistemelor de


alarmare împotriva efracţiei pot înfiinţa în baza Art. 33 din Lege, după avizare de către
Inspectoratul General al Poliţiei Române, dispecerate de zonă care să monitorizeze şi să transmită
alarmele de la sistemele electronice conectate la echipajele de intervenţie. Intervenţia echipajelor
mobile în cazul receptării semnalelor de alarmă de la abonaţii conectaţi se va realiza cu personal
calificat din cadrul jandarmeriei, al poliţiştilor locali ori al societăţilor specializate de pază şi
protecţie. Tot acest ultim articol, instituie obligația consemnării în planul de pază a faptului că
obiectivul este asigurat prin conectarea sistemului de alarmă la un dispecerat de monitorizare şi
transmitere a semnalelor de alarmă.

Organizarea securității fizice


Elemente de Criterii de realizare asociate rezultatului Criterii de realizare
competenţă activităţii descrise de elementul de asociate modului de
pentru managerul de competenţă îndeplinire a activităţii
securitate descrise de elementul de
competenţă
1. Planifică 1.1. Securitatea fizică este planificată Planificarea securității fizice
securitatea fizică. ținând cont de obiectivele de afaceri ale este realizată cu atenție,
entității, de transpunerea cu acurateţe în acuratețe, corectitudine,
norme interne de securitate fizică a responsabilitate.
prevederilor legale și cerințelor părților
interesate.
1.2. Securitatea fizică este planificată cu
elaborarea unui ansamblu coerent de
planuri, proceduri și măsuri și cu
integrarea acestora în cadrul Sistemului de
Management al Securității
1.3. Securitatea fizică este planificată cu
asigurarea fezabilității, sustenabilității și
eficienței.

150 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

2. Implementează 2.1. Securitatea fizică este implementată cu Implementarea securităţii


securitatea fizică. stabilirea explicită a responsabilităţilor fizice este realizată cu
individuale şi a termenelor de execuție. acuratețe, exigență,
2.2 Securitatea fizică este implementată cu responsabilitate.
asigurarea înțelegerii corecte a planurilor,
procedurilor şi măsurilor de către
persoanele desemnate.
2.3 Securitatea fizică este implementată cu
stabilirea explicită a protocoalelor de
evaluare şi a documentelor relevante.
2.4. Securitatea fizică este implementată
ținând cont de neconformitățile identificate
și măsurile corective adoptate cu
informarea oportună asupra desfășurării
procesului.
3. Evaluează 3.1. Securitatea fizică este evaluată cu Evaluarea securității fizice
securitatea fizică. compararea capabilităților SMS existent cu este realizată cu atenție,
scopurile și obiectivele entității. exigență; corectitudine,
3.2. Securitatea fizică este evaluată ţinând responsabilitate.
cont de procedurile standardizate pentru
obținerea informațiilor relevante.
3.2. Securitatea fizică este evaluată cu
elaborarea imediată de măsuri pentru
remedierea unor posibile slăbiciuni critice
a SMS.
3.3. Securitatea fizică este evaluată cu
analiza unui volum suficient de date pentru
stabilirea eficienței planurilor, procedurilor
și măsurilor existente.
3.4. Securitatea fizică este evaluată cu
prezentarea în format standardizat a
rezultatelor și măsurilor propuse pentru
remedierea deficienţelor.

II. Cadrul de organizare şi funcţionare a firmelor prestatoare de servicii de securitate


Cadrul de organizare şi funcţionare a firmelor prestatoare de servicii de securitate este
instituit de Legea nr. 333 din 8 iulie 2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia
persoanelor, cu modificări și completările ulterioare, precum şi de Hotărârea de Guvern nr. 301 din
11 aprilie 2012 pentru aprobarea Normelor metodologice de aplicare a legii mai sus menționate.

Existenţa şi obiectul de activitate al firmelor specializate sunt instituite prin Secţiunea IV /


Cap. II, Art. 19 şi Art. 1 alin. (2) din Legea nr. 333/2003, care prevede că “paza şi protecţia se
realizează prin forţe şi mijloace militare sau civile, de către instituţiile specializate ale autorităţilor
administraţiei publice, sau în regim privat, de către proprietarii sau deţinătorii obiectivelor,
bunurilor sau valorilor, precum şi de către societăţile specializate de pază şi protecţie”, precum şi
prin Art. 2 alin. (2) care menționează că „persoanele fizice pot apela pentru protecţia personală la
serviciile unor societăţi specializate de pază şi protecţie în condițiile legii.”

151 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Conform prevederilor Art. 19 alin. (1) din Legea nr. 333/2003, societăţile specializate de pază
şi protecţie sunt societăţi reglementate de Legea nr. 31/1990, republicată, cu modificările şi completările
ulterioare, private care se constituie şi funcţionează potrivit legislaţiei comerciale şi prevederilor
prezentei legi, având ca obiect de activitate paza obiectivelor, bunurilor sau valorilor, paza
transporturilor de bunuri şi valori, în condiţii de maximă siguranţă a acestora, precum şi protecţia
persoanelor.

Aceste societăți specializate de pază şi protecţie funcţionează în baza licenţei eliberate de


Inspectoratul General al Poliţiei Române, cu avizul prealabil al Serviciului Român de Informaţii,
pentru cel puţin unul dintre obiectele de activitate prevăzute la alin. (4) / Art. 19 din Lege, care
poate fi reînnoită la fiecare 3 ani. Retragerea avizului prealabil al Serviciului Român de Informaţii
poate constitui temei pentru anularea licenţei de funcţionare.

În art. 19, alin. (5) se detaliază spectrul activităților care intră în competenţa societăţilor
specializate de pază. Astfel, în serviciile de pază sunt cuprinse:
a) paza proprietăţii împotriva accesului neautorizat sau a ocupării abuzive;
b) paza proprietăţii împotriva furturilor, a distrugerilor, incendiilor, precum şi a altor
acţiuni producătoare de pagube materiale;
c) detectarea substanţelor, armelor, explozibililor sau a materialelor de orice natură care
pot provoca o pagubă;
d) paza proprietăţii intelectuale;
e) paza mediului înconjurător;
f) furnizarea către autorităţile competente a informaţiilor legate de incidentele apărute
în timpul activităţii de pază.
Conducătorii societăţilor specializate de pază şi protecţie, conform Art. 21 din Lege, sunt
obligaţi să asigure respectarea prevederilor legale şi a regulamentelor proprii în organizarea şi
funcţionarea acestei forme de pază, în angajarea, pregătirea şi controlul personalului, portul
uniformei şi al însemnelor distinctive, precum şi în dotarea cu mijloace de intervenţie şi apărare
individuală, conform legii.

Legea, prin Art. 35 definește personalul cu atribuţii de pază care se compune din: agenţi de
pază/securitate, portari, controlori de acces, supraveghetori, însoţitori de valori sau alte persoane
stabilite de conducerea unităţii ori desemnate să asigure instruirea, controlul şi coordonarea
activităţii de pază.

Angajarea personalului cu atribuţii de pază sau gardă de corp se face pe baza atestatului
eliberat de poliţie, a certificatului de absolvire a cursului de calificare profesională, a certificatului
de cazier judiciar şi, după caz, a avizului poliţiei pentru portarmă, așa cum este stipulat în Art. 37
din Lege.

În ceea ce privește dotarea personalului cu atribuții de pază, în Art. 43 din Lege, în raport cu
importanţa şi natura obiectivelor, bunurilor şi valorilor păzite, cu avizul poliţiei sau al jandarmeriei,
după caz, acesta poate fi dotat cu arme de foc, bastoane de cauciuc sau tomfe, pulverizatoare iritant-
lacrimogene de capacitate mică şi alte mijloace de apărare, autorizate prin lege.

Personalul de pază este obligat, conform Art. 45 din lege, să cunoască şi să respecte
îndatoririle ce-i revin, fiind direct răspunzător pentru paza şi integritatea obiectivelor, bunurilor şi

152 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

valorilor încredinţate. În Art. 46 sunt definite principalele obligații ale acestuia, iar în Art. 47 ale
şefului formaţiei de pază.

În Art. 20 alin. (1), se menționează explicit că personalului din societăţile specializate de


pază şi protecţie îi este interzis să culeagă date şi informaţii, iar în cazul în care intră în posesia unor
date şi informaţii care vizează siguranţa naţională, personalul menţionat la alin. (1) are obligaţia să
informeze, de îndată, autorităţile competente cu atribuţii în domeniul siguranţei naţionale.

Societăţile specializate de pază şi protecţie nu pot adopta însemne, uniforme, legitimaţii,


accesorii de echipament sau denumiri identice, asemănătoare sau de natură să conducă la confuzii
între acestea, precum şi cu cele ale autorităţilor publice ori ale organismelor internaţionale la care
România este parte.

Modelul echipamentului personalului de pază şi protecţie se stabileşte prin hotărâre a


Guvernului şi se inscripţionează cu denumirea şi sigla societăţii, aprobate cu ocazia acordării
licenţei. Pe autovehiculele din dotarea societăţilor specializate se inscripţionează numai denumirea,
sigla, obiectul de activitate pentru care s-a emis licenţa de către poliţie şi numerele de telefon ale
societăţii. Montarea şi folosirea de mijloace de semnalizare luminoasă sau acustică pe
autovehiculele societăţilor de pază şi protecţie sunt interzise.

Societăţile specializate de pază şi protecţie se pot asocia cu societăţi sau firme străine de
profil, cu respectarea prevederilor legii.

Concluzii
Având în vedere importanţa activităţilor de pază şi protecţie a persoanelor, obiectivelor,
bunurilor sau valorilor, cadrul legislativ creat aşează acest domeniu într-un plan integrat şi
coerent prin care societăţile specializate pot presta servicii la un nivel de exigenţă ridicat în
conformitate şi cu cerinţele pieţei.

Tot prin această Lege, se protejează şi valorile sociale şi creează premisele unei funcţionări
corespunzătoare societății în ansamblul său.

153 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 18. Planificarea măsurilor de asigurare a securităţii fizice în cadrul


unei organizaţii

- elaborarea, fundamentarea şi susţinerea bugetului de securitate;


- întocmirea planurilor de investiţii şi exploatare a infrastructurii de securitate;
- întocmirea planurilor de pregătire profesională şi exerciţii practice de securitate.

Una dintre condiţiile esenţiale necesare unei funcţionări corespunzătoare a societăţii şi


subcomponentelor sale este asigurarea securităţii fizice a persoanelor, obiectivelor, bunurilor sau
valorilor, fapt materializat şi prin instituirea cadrului legislativ care organizează şi reglementează
activitatea în acest domeniu.
Baza legală în cauză este constituită de Legea nr. 333/2003 privind paza obiectivelor,
bunurilor, valorilor şi protecţia persoanelor, cu modificările şi completările ulterioare şi a Hotărârii
de Guvern nr. 301 din 11 aprilie 2012 pentru aprobarea Normelor metodologice de aplicare a
acesteia.
Conform legii, conducătorii tuturor unităţilor, au obligația, prin lege, de a adopta măsuri
procedurale de securitate în formele prevăzute de respectiva Lege, în vederea protejării obiectivului.
Orice măsură care se ia în acest sens, trebuie precedată de efectuarea analizelor de riscuri de
securitate la nivel de sistem sau pentru un obiectiv, prin care vor fi evidenţiate riscurile şi
vulnerabilităţile care pot deveni factori cauzatori de producere a unor prejudicii.
În urma analizei de risc vor rezulta o serie de observaţii şi măsuri ce trebuie implementate
pentru diminuarea într-o limită admisibilă a factorilor mai sus menţionaţi.
Materializarea acestora se va înfăptui prin proiectarea unui sistem integrat de protecţie
fizică, care va avea printre componente şi elemente de protecţie umană, mecano-fizice, electronice-
antiefracție, antiincendiu, supraveghere video şi control acces, sisteme de monitorizare a
evenimentelor.
Stabilirea soluţiilor finale pentru proiectul în cauză vor face obiectul unui studiu de
fezabilitate şi, ulterior, în funcție de bugetul unităţilor, se vor stabili etapele implementării acestuia.

I. Elaborarea, fundamentarea şi susţinerea bugetului de securitate


 Elaborarea
Proiectele ce vizează implementarea măsurilor de securitate fizică a obiectivelor se avizează
de către instituţiile abilitate, potrivit actelor normative. Instalarea, modificarea, inclusiv punerea în
funcţiune a sistemelor de alarmare împotriva efracţiei potrivit aceluiaşi act normativ, se avizează şi
se controlează de către instituţiile menționat mai sus.
În această etapă, în funcție de importanţa obiectivului şi de resursele bugetare disponibile se
aleg variante de soluţii tehnice, se identifică producători de echipamente şi firme avizate de
autorităţile competente conform legii, prestatoare de servicii în acest domeniu şi se face un deviz
estimativ al costurilor proiectului.

 Fundamentarea şi susţinerea
În etapa de fundamentare a proiectului se pornește de la prezentarea necesităţii asigurării
securității fizice a obiectivului, dată pe de-o parte de persoanele, bunurile şi valorile ce trebuie
ocrotite, iar pe de altă parte, de respectarea prevederilor legale din actele normative ce
reglementează acest domeniu.
În continuare, este necesar să se prezinte stadiul implementării măsurilor de securitate cu
definirea clară a obiectivelor avute în vedere prin transpunerea proiectului. De asemenea, se
prezintă variantele propuse în proiect şi costurile estimative aferente.

154 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

În baza fundamentării proiectului destinat asigurării securității fizice a obiectivului,


conducătorul unităţii aprobă nota de fundamentare şi apoi se poate trece la etapa următoare, de
întocmire a planului de investiții şi exploatare a infrastructurii de securitate.

II. Întocmirea planurilor de investiţii şi exploatare a infrastructurii de securitate


Planul de investiţii pentru proiectul destinat asigurării securităţii fizice a obiectivului trebuie
să cuprindă cheltuielile estimate prezentate detaliat pe coduri bugetare, precum şi planurile de
finanţare (surse interne sau credite la bănci), cu luarea în calcul a prognozelor privind dobânzile
bancare şi durata unor eventuale credite.
Tot în această fază, se identifică şi stabilesc date privind numărul, structura şi calificarea
personalului nou angajat şi dimensionarea cheltuielilor legate de salarizarea acestuia.
În planul de investiţii trebuie să fie nominalizate persoanele desemnate cu coordonarea
activităţilor proiectului, acestea fiind reprezentanţi ai conducerii firmei, cu experienţă în acest tip de
activităţi (coordonator de proiect, responsabil financiar, director de şantier ş.a.).

III. Întocmirea planurilor de pregătire profesională şi exerciţii practice de securitate


Conform Art. 21 din Lege, conducătorii societăţilor specializate de pază şi protecţie sunt
obligaţi să asigure respectarea prevederilor legale şi a regulamentelor proprii în organizarea şi
funcţionarea acestei forme de pază, în angajarea, pregătirea şi controlul personalului, portul
uniformei şi al însemnelor distinctive, precum şi în dotarea cu mijloace de intervenţie şi apărare
individuală, conform legii.

Potrivit Art. 41 din Lege, atestarea personalului pentru executarea activităţilor de pază a
obiectivelor, bunurilor, valorilor şi de gardă de corp se face de către Direcţia Generală de Poliţie a
Municipiului Bucureşti sau, după caz, de inspectoratul de poliţie judeţean în raza căruia persoana îşi are
domiciliul sau reşedinţa, după absolvirea cursurilor de calificare profesională de bază şi promovarea
examenului, pe baza documentelor care atestă îndeplinirea condiţiilor prevăzute la art. 36 lit. a) - c).

Concluzii
După efectuarea analizei de risc de securitate, planificarea măsurilor de asigurare a
securității fizice în cadrul unei organizații reprezintă o etapă importantă în implementarea
acestora.

Astfel, stabilirea obiectivelor şi identificarea soluţiilor tehnice optime, constituie


principalele atribute în elaborarea planurilor de investiţii şi de finanţare ale proiectelor ce vizează
implementarea măsurilor de securitate fizică a obiectivelor.

De asemenea, o latură importantă a planificării măsurilor de asigurare a securității fizice


în cadrul unei organizaţii, o reprezintă proiecţia resursei umane pornind de la recrutare,
selecţionare, calificare şi pregătire profesională în domeniu.

155 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 19. Efectuarea analizelor de riscuri de securitate la nivel de sistem sau


pentru un obiectiv. Stabilirea arhitecturii soluţiei de securitate conform specificului
organizaţiei

Introducere
Asigurarea securităţii la nivelul unei companii ori a unei organizaţii reprezintă o aliniere la
cerinţele actuale ale dezvoltării societăţii.
Determinarea politicii de securitate pentru o organizaţie depinde masiv de complexitatea
acesteia.
Previzional, mult înainte să aibă loc un incident previzibil catastrofal se pot iniţia două tipuri
de activităţi care să preîntâmpine, să prevină, şi să gestioneze, la nivelul organizaţiei, scenariul unui
posibil dezastru:
- analiza riscurilor la adresa securităţii (şi nu numai);
- evaluarea costurilor procedeelor de prevenire a dezastrelor şi / sau costurile pentru
depăşirea dezastrului, odată produs, şi recuperarea funcţionalităţii pierdute.
Ameninţările la adresa integrităţii şi securităţii unei organizaţii se pot exercita prin mai
mulţi vectori. O parte dintre aceştia, cei mai frecvenţi, sunt:
- spionii;
- organizaţiile criminale şi teroriste;
- utilizatorii răutăcioşi sau răuvoitori;
- anumite persoane din interiorul organizaţiei, care au acces la date şi procedee utilizate în
sistemul de securitate al organizaţiei respective;
- persoane din afara organizaţiei dar care au acces la anumite informaţii extrem de sensibile
pentru securitatea organizaţiei;
- cataclismele naturale.
Riscul poate fi definit ca o ameninţate care poate să exploateze eventualele slăbiciuni ale
unui sistem ori a unei întregi organizaţii. Riscul este un eveniment care este posibil să se întâmple,
fiind considerat, adesea, un eveniment aleator. Pentru a se preîntâmpina apariţia unui eveniment
care să afecteze securitatea unei organizaţii ori a unui sistem, este necesară elaborarea unei politici
de măsuri specifice.

Analiza riscului presupune un proces de identificare a principalelor riscuri de securitate,


stabilirea anvergurii şi implicaţiilor riscurilor, precum şi identificarea zonelor care prezintă risc
mare şi care trebuie asigurate. Analiza de risc face parte din ansamblul de măsuri care poartă
denumirea generică de managementul riscului. Evaluarea riscurilor este un rezultat al unui proces
de analiză a riscurilor.

Efectuarea analizelor de riscuri de securitate la nivel de sistem sau pentru un obiectiv


sunt cuprinse în modificările aduse de noile norme metodologice prevăzute de H.G. nr 301/2012.
Modificările aduse de noile norme sunt:
- Adoptarea măsurilor de securitate a obiectivelor, bunurilor şi valorilor prevăzute de lege se
realizează pe baza unei analize de risc la securitate fizică;
- Analiza de risc la securitate fizică poate fi efectuată prin structuri de specialitate sau prin
experţi abilitaţi, care deţin competenţe profesionale dobândite pentru ocupaţia de evaluator de risc
la securitatea fizică;
- Deţinătorul sistemelor de supraveghere este obligat să afişeze în unitate semne de
avertizare cu privire la existenţa acestora;

156 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- Beneficiarul sistemului de televiziune cu circuit închis are obligaţia punerii la dispoziţia


organelor judiciare, la solicitarea scrisă a acestora, a înregistrărilor video şi/sau audio în care este
surprinsă săvârşirea unor fapte de natură penală;
- Proiectele sistemelor de alarmare se elaborează de personalul tehnic al societăţilor
specializate în domeniul sistemelor de alarmare împotriva efracţiei, cu competenţe profesionale
specifice, cu respectarea cerinţelor din prezentele norme metodologice şi a normativelor tehnice
specifice.
Conform H.G. nr. 301/2012, elaborarea analizei de risc la securitate fizică implică, în
general, parcurgerea următoarelor etape:
• definirea parametrilor interni şi externi care generează şi/sau modifică riscul la securitate
fizică al unităţii;
• stabilirea metodei şi a instrumentelor de lucru;
• identificarea surselor de risc la securitate fizică, a zonelor de impact, evenimentelor şi
cauzelor riscului şi a potenţialelor consecinţe;
• identificarea măsurilor de control al riscului existente în organizaţie;
• analizarea riscului la securitate fizică;
• estimarea riscului unităţii;
• întocmirea raportului de evaluare şi tratare a riscului la securitate fizică;
• stabilirea cerinţelor, măsurilor şi mecanismelor de securitate pentru sistemul ce urmează a
fi implementat, de ordin structural, tehnic, tehnologic şi operaţional.
Analiza de risc la securitate fizică cuprinde raportul de evaluare şi tratare a riscului la
securitate fizică şi, după caz, grila de evaluare specifică obiectului de activitate.
Analizele de risc la securitatea fizică constituie fundamentul adoptării măsurilor de
securitate a obiectivelor, bunurilor şi valorilor prevăzute de lege.
În elaborarea analizelor de risc la securitatea fizică se ţine cont şi de prevederile standardelor
naţionale sau europene privind managementul riscului.
Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control,
eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului și include:
- analiza riscurilor;
- analiza costului beneficiilor;
- determinarea celor mai potrivite mecanisme;
- evaluarea securităţii măsurilor adoptate;
- analiza securităţii în plan general.
Analiza riscului trebuie efectuată din mai multe raţiuni, şi anume:
- identificarea ierarhică a activelor organizaţiei respective şi pârghiile care asigură
securitatea asupra acestora;
- constituirea unor etape succesive de eliminare a condiţiilor care pot favoriza realizarea
riscurilor atunci când contextul este complex, iar o modificare a funcţionării sale nu se poate
introduce decât prin politica paşilor mărunţi;
- stabileşte obligativitatea unor acţiuni şi a unor termene de realizare în vederea constituirii
unor obiective care ţin de implementarea securităţii organizaţiei;
- constituirea unei perspective de ansamblu a achiziţionării de resurse şi servicii în acest sens
astfel încât, să se ţină seama de efortul financiar în contextul găsirii celor mai eficiente soluţii;
- alinierea programului de control cu misiunea organizaţiei;
- oferirea de criterii pentru proiectarea şi evaluarea planurilor de avarie;
- îmbunătăţirea înţelegerii generale (asupra sistemului, cum operează etc.).

157 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

I. Etapele analizei de risc


Analiza riscurilor urmăreşte să pună acest proces pe baze teoretice şi practice solide. Sunt
mai multe modalităţi de abordare a riscului. Dintre acestea se disting câteva, şi anume:
- analiza cantitativă;
- analiza calitativă;
- analiza fiecărui post de lucru din organizaţie.

I.1 Analiza calitativă a riscului de securitate

O metodă recunoscută pe plan internaţional şi relativ des utilizată pentru evaluarea riscului
în securitate este Metoda modelului în cascadă ASIS (American Society for Industrial Security).

Modelul de evaluare a riscului în cascadă ASIS cuprinde următoarele etape:


1. identificarea valorilor protejate;
2. identificarea evenimentelor nedorite (de securitate);
3. determinarea frecvenţei de producere a evenimentelor nedorite (probabilităţi, posibilităţi);
4. determinarea consecinţelor producerii evenimentelor nedorite;
5. stabilirea soluţiilor pentru minimizarea riscului;
6. evaluarea eficienţei implementării soluţiilor pentru minimizarea riscului;
7. determinarea raportului cost/nivel de securitate, în funcţie de care se execută
implementarea soluţiilor de securitate.

Modelul în cascadă de evaluare a riscului ASIS

În funcție de mărimea raportului cost/nivel de securitate se ia decizia implementării


soluțiilor de securitate sau reluării evaluării, până când se asigură un raport acceptat.
Reluarea evaluării se poate produce de la oricare etapă, în funcție de acceptarea sau
neacceptarea rezultatului obținut în etapa respectivă.
Buclele succesive ale modelului asigură o mare flexibilitate de reacție, dar îngreunează
desfăşurarea procesului evaluării. De aceea, este necesară stabilirea unui compromis între acurateţea
evaluării, timpul şi forţele de evaluare.
158 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

I.1.1 Etapa identificării valorilor protejate (definirea organizaţiei, stabilirea proprietăţii,


identificarea informaţiilor)

Identificarea valorilor protejate reprezintă o etapă de analiză complexă, care vizează:


- definirea organizaţiei incluzând cultura, domeniul de activitate, mediul de afaceri,
infrastructura critică, structura, strategia şi tacticile utilizate, organizarea calității, sistemul de
relaţii cu furnizorii şi clienții;
- comportamentul (reactiv sau proactiv), adaptabilitatea şi flexibilitatea, nivelul de
informatizare, managementul riscului (modul de tratare şi de tolerare a acestuia), politica de
stocuri, categoriile de servicii sau bunuri furnizate, caracteristicile de operaţionalitate a
producţiei, categoriile de clienţi, organizarea în grupuri de interese sau în reţele de afaceri,
caracteristicile obiectivului de securitate, categoriile de informaţii şi de surse de informaţii,
complexitatea procesului de fabricaţie etc.;
- stabilirea proprietăţii care se referă la imobile, terenuri, clădiri, facilităţi industriale sau
comerciale, dar şi la resursele materiale energetice, financiare şi informatice, tehnologiile,
patentele, mărcile, cu accent deosebit pe elementele periculoase (arme, explozivi, droguri
etc.), cuprinzând, de fapt, tot ceea ce se poate fura, degrada sau afecta;
- identificarea informaţiilor care se referă la informaţiile, activităţile şi materialele care sunt
confidenţiale sau constituie proprietatea intelectuală a organizaţiei, dar şi la informaţiile
operaţionale sau structurate în baze documentare (informaţii clasificate, planuri de dezvoltare,
planuri de marketing, planuri de producţie, acorduri şi convenţii, informaţii cu caracter
personal despre angajaţi, furnizori, clienţi sau colaboratori); toate informaţiile care au
relevanţă în activitatea organizaţiei, precum şi renumele, reputaţia şi imaginea acesteia.

Identificarea valorilor protejate

De regulă, valorile, pe categorii, se înscriu în liste (matrice) ca articole ordonate (după cost
sau relevanţă) descrise de atribute (caracteristici), astfel încât să se poată determina pagubele
produse de evenimentele nedorite care afectează valorile.

În funcţie de anumite caracteristici de operaţionalitate se pot determina consecinţele


atacurilor maxime credibile sau cu frecvenţă mai mare de producere, precum şi modul de afectare a
zonelor sau infrastructurilor critice în cazul producerii anumitor tipuri de evenimente nedorite
(atacuri).
159 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

I.1.2 Etapa identificării evenimentelor nedorite (infracţiuni sau evenimente de natură


criminală, dezastre naturale şi evenimente non-criminale, evenimente de natură informaţională)

În strânsă corelaţie cu identificarea, categorisirea, caracterizarea şi evaluarea valorilor


organizaţiei care trebuie protejate, se identifică evenimentele nedorite (incidente, erori, greşeli,
infracţiuni, catastrofe etc.) care pot afecta valorile.

Identificarea are la bază analize izomorfice şi autoizomorfice ale evenimentelor,


obiectivelor, organizaţiilor, infrastructurii şi mediului şi se concretizează în evidențierea
evenimentelor care se pot produce, frecvenţa de producere (probabilitatea, posibilitatea), gama de
intensităţi, influenţele nefaste asupra valorilor, precum şi corelaţiile dintre acestea, mediu şi
infrastructură.

În funcţie de natura evenimentelor nedorite, acestea se pot împărţi în trei categorii:


- infracţiuni sau evenimente de natură criminală, care pot pune în pericol existența valorilor
prin acţiuni voite, orientate spre atingerea unui anumit scop;
- dezastre naturale şi evenimente non-criminale care pot degrada sau afecta valorile;
- evenimente de natură informaţională care pot aduce atingere renumelui, reputaţiei sau
imaginii unei organizaţii sau relaţiilor acesteia cu alte organizaţii.

Categorii de evenimente nedorite

Infracţiunile sau evenimentele de natură criminală se identifică în funcţie de natura


activităţii şi structurii organizaţiei, de categoriile şi mărimea valorilor sale, de distribuţia şi
circulaţia acestora şi cuprind atât aşa numitele aspecte ale criminalităţii tradiţionale şi organizate,
cât şi aspecte ale criminalităţii economice.

Identificarea infracţiunilor posibile a se produce asupra valorilor organizaţiei este o


problemă care necesită profesionalism deosebit şi se poate realiza prin consultarea unui număr mare
de surse care vizează:
- starea de criminalitate a mediului în care îşi desfăşoară activitatea organizaţia (de afaceri,
de producţie, financiar-bancar etc.);
- statisticile infracţionale ale poliţiei, locale, zonale sau centrale, care se referă la categoria şi
frecvenţa infracţiunilor produse în zonă (zonele) de amplasare a organizaţiei;
- statisticile şi rapoartele internaţionale vizând domeniile de activitate ale organizaţiei;
- observaţiile, propunerile şi concluziile studiilor izomorfice sau autoizomorfice;
- statisticile sociale şi demografice vizând starea socială (sărăcia, rata şomerilor, densitatea
populaţiei etc.) a populaţiei din zonă (zonele) de amplasare şi de colaborare ale organizaţiei;
- cauzele civile sau penale aflate în anchetă, în curs de judecată sau finalizate de justiţie;
- ameninţările asupra mediului în care organizaţia îşi desfăşoară activitatea şi
vulnerabilităţile acesteia;
- existenţa grupurilor sociale paupere, de interese mafiote sau de crimă organizată.

160 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Infracţiunile identificate se grupează într-o matrice de ameninţări criminale în care, pe lângă


infracţiunile identificate, ierarhizate după diferite criterii (frecvenţă, intensitate, pagube etc.), se trec
şi caracteristicile acestora: frecvenţa producerii (posibilitatea, probabilitatea), intensitatea sau
virulenţa, numărul de participanţi, valorile vizate, pagubele produse direct, pagubele adiacente etc.

Dezastrele naturale se referă la uragane, tornade, furtuni, cutremure, inundaţii (valuri


uriaşe), fulgere şi incendii cauzate de natură, în timp ce evenimentele non-criminale produse de om
se referă la accidentele tehnologice sau de muncă, epuizarea resurselor, întreruperile alimentării cu
energie electrică sau a comunicaţiilor, prăbuşirile de avioane, coliziunile navale, deraierile
trenurilor, accidentele auto, greşelile de operare cu consecinţe de blocare a producţiei sau de
nerespectare a reţelelor de fabricaţie ori a parametrilor de calitate, incendiile şi inundaţiile produse
de om etc.

Deşi atacurile teroriste se includ, de regulă, în categoria evenimentelor criminale, prin


consecinţele lor majore, pot fi evidenţiate drept cauze ale unor dezastre şi tratate, ca atare, şi în
această categorie de evenimente nedorite.

Matricea dezastrelor şi a evenimentelor non-criminale se structurează după aceleaşi reguli ca


şi matricea infracţiunilor, evidenţiindu-se, şi de această dată, valorile afectate şi amploarea
pagubelor posibile.

Evenimentele de natură informaţională cuprind acele evenimente care pot facilita accesul
neautorizat la informaţiile confidenţiale ale organizaţiei, blocarea activităţii informaţionale,
atacurile asupra integrităţii informaţiilor, renumelui, reputaţiei şi imaginii organizaţiei, dar şi
derularea unor relaţii cu colaboratori, clienţi sau furnizori.

În această categorie de evenimente se mai înscriu şi evenimentele determinate de corelaţii de


mediu, de infrastructură sau de relaţii directe dintre organizaţii.

Reflectarea imaginii negative a unei organizaţii asupra unei alte organizaţii colaboratoare
sau din acelaşi grup de interese ori reţea este edificatoare în acest sens.

La fel ca şi celelalte evenimente, şi evenimentele informaţionale se grupează într-o matrice


de evenimente, descrise sau evaluate prin atribute, asociindu-le valorile afectate şi valoarea
pagubelor posibile.

I.1.3 Etapa determinării frecvenţei de producere a evenimentelor nedorite (frecvenţa,


probabilitatea, posibilitatea)

Determinarea frecvenţei (posibilităţii, probabilităţii) de producere a evenimentelor nedorite


se bazează pe studii izomorfice de evenimente sau autoizomorfice, în cazul repetării unor
evenimente în organizaţie şi presupune o analiză a statisticilor în domeniu, observaţii atente asupra
modalităţilor de producere, analize de caz, discuţii cu cei implicaţi, inclusiv cu făptuitorii, cu
autorităţile competente (poliţie, pompieri, primării, institute meteorologice şi asociaţii
nonguvernamentale, experţi etc.).

O importanţă majoră în stabilirea frecvenţei de producere a evenimentelor nedorite o are


studiul mediului în care se află organizaţia, vizând natura mediului, consistenţa infrastructurii,
vecinătăţile, schimbările de stare economică, precum şi orice alt factor de mediu care ar putea
161 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

influenţa activitatea organizaţiei şi favoriza producerea de evenimente nedorite (plasarea într-o zonă
inundabilă sau de coastă – valuri şi furtuni, ori seismică, într-un cartier rău famat etc.).

De asemenea, natura evenimentului determină, în mare măsură, frecvenţa sa de producere


(inundaţiile se pot produce în anumite perioade de timp, seismele au o anumită perioadă de
repetabilitate, pe când jafurile sunt aleatorii, dar furturile din magazine sau din parcare au o
repetabilitate dependentă de zona în care se produc).

Studiile privind frecvența de producere a evenimentelor nedorite se pot completa cu


elementele care le determină sau le favorizează apariţia, precum şi cu graficele care prezintă diferite
corelaţii.

De determinarea frecvenţei de producere a evenimentelor nedorite depind atât strategia de


securitate adoptată, în special managementul de risc, cât şi structura şi operaţionalitatea
mecanismului de securitate implementat.

I.1.4. Etapa determinării consecinţelor producerii evenimentelor nedorite (pierderile/


costurile directe, pierderile/costurile indirecte)

Etapa determinării consecinţelor producerii evenimentelor nedorite este o etapă complexă de


analiză şi evaluare, având în vedere necesitatea prognozării posibilelor pagube atât directe, cât şi
adiacente (indirecte, colaterale, asociate).

Determinarea consecinţelor trebuie realizată de o echipă de profesionişti (în securitate,


tehnologie, finanțe, marketing, organizare etc.) care trebuie să analizeze fiecare eveniment nedorit
posibil şi, în funcție de intensitatea şi frecvenţa sa de producere, să stabilească:

 pierderile (costurile) directe:


 pierderile financiare cauzate de producerea evenimentului (costul bunurilor furate sau
degradate);
 creşterea primelor de asigurare pentru bunurile pentru care s-au plătit daune, precum şi a
cheltuielilor deductibile cu acoperirea asigurării;
 penalităţile contractuale cauzate de nerespectarea termenelor de livrare sau de prestare a
serviciilor;
 cheltuielile cauzate de înlăturarea efectelor producerii evenimentelor nedorite şi de
restabilire a stării de normalitate (înlăturarea elementelor degradate şi restabilirea –
repararea imobilelor sau echipamentelor degradate, costurile de spitalizare a personalului
accidentat, costurile pentru repunerea în funcţiune a utilajelor ori a liniilor tehnologice de
producţie etc.);
 cheltuielile cauzate de modernizarea sau readaptarea măsurilor şi mecanismelor de
securitate şi de protecţia muncii (extinderea sau modernizarea mecanismelor de securitate,
achiziţionarea de noi echipamente de protecţie, mărirea numărului personalului de pază sau
de supraveghere);
 cheltuielile pentru operaţionalizarea managementului general, de producţie, de securitate şi

de normalizare a situaţiei de funcţionalitate a organizaţiei după producerea evenimentului


nedorit;
 cheltuielile pentru restabilirea integrării în mediu, reluării legăturilor cu colaboratorii,
furnizorii şi clienţii, precum şi pentru refacerea climatului de comunicare.
162 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

 pierderile (costurile) indirecte:


 costurile cauzate de percepţia negativă a imaginii organizaţiei (insecuritate generală şi/sau
tehnologică, neîncadrare în capacitatea de respectare a angajamentelor contractuale);
 pierderile cauzate de micşorarea nivelului de operaţionalitate a organizaţiei, de scăderea
potenţialului reactiv şi proactiv al acesteia;
 costurile readaptării şi ale recâştigării segmentului de piaţă, cel puţin, la performanţele
dinaintea producerii evenimentului nedorit;
 lipsa acoperirilor asigurării producerii altor evenimente nedorite cauzată de mărirea
nivelului de risc al bunurilor asigurate;
 costurile refacerii moralului angajaţilor, intensificării şi lărgirii pregătirii acestora, ale
exerciţiilor de protecţie, ale restricţionării deplasărilor şi chiar a iniţiativei.

Pierderi cauzate de producerea unor evenimente nedorite

Pierderile se evidenţiază în matricea evenimentelor nedorite sub formă de valori absolute


sau relative (procente, diferenţe) pentru fiecare intensitate sau frecvenţă de producere sau pentru
diferite limite ale acestora.

Este de preferat ca mărimile pierderilor să fie exprimate în aceeaşi unitate de măsură, la fel
şi valorile de comparaţie, folosindu-se, pentru toată matricea, fie valori absolute, fie relative.

În cazul în care nu se pot determina costurile producerii unui eveniment nedorit,


evenimentul se evidenţiază în matrice şi se asociază sau compară cu un alt eveniment căruia i s-au
determinat consecinţele producerii, specificându-se expres acest lucru.

I.1.5 Etapa stabilirii soluţiilor pentru minimizarea riscului (atitudinea de tolerare/


evitare, atitudinea selectivă, atitudinea de inacceptare/asigurare)

Deoarece riscul reprezintă o variabilă de securitate analitică, rezultată din conjuncția a doi
factori (ameninţări şi vulnerabilităţi) sau exprimată printr-o diferenţă de utilitate ( , u*
utilitatea soluţiei optime şi ui utilitatea soluţiei curente, adoptate), minimizarea riscului este un
proces analitic şi material complex, care nu presupune numai micşorarea maxim posibilă a valorii
sale, ci şi identificarea celor mai eficiente metode şi soluţii de tratare raţională a riscului (reducere,
acoperire-asigurare, transfer, acceptare).

Acest proces se înscrie direct în managementul riscului şi este guvernat în concordanţă cu


strategia de securitate a organizaţiei, cu caracteristicile mediului şi mecanismelor de securitate.

Opţiunile pentru soluţiile de securitate se subînscriu atât nivelurilor de risc determinate, cât
şi dinamicii acestora în timpul desfăşurării activităţii organizaţiei.

163 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

De aceea, în cadrul fundamentării analizei de risc este necesar să se realizeze o


corespondenţă între valorile de risc şi gradul de acceptabilitate a acestuia, element definitoriu în
abordarea unei politici eficiente de securitate.

În esenţă, atitudinea faţă de risc se diferenţiază în trei categorii: a tolera riscul, a acţiona
selectiv faţă de acesta sau a-l considera inacceptabil; atitudinea de tolerare (evitare) a riscului se
referă la riscurile neglijabile, cu valori, a căror „realizare” produce pagube calificate suportabile. În
funcţie de costurile ce se pot suporta şi de caracteristicile de evitare sau compensare ale
mecanismelor de securitate, faţă de aceste riscuri se poate adopta o atitudine pasivă de ignorare,
suportându-se pagubele produse fără măsuri de compensare funcţională sau o atitudine activă de
compensare funcţională (prin reglarea şi intervenţia mecanismelor de securitate), astfel încât
pierderile suportate să fie cât mai mici posibile.

Atitudinea selectivă față de unele riscuri neglijabile, minore şi medii, cu valori cuprinse
între 0,5 şi 3,05, presupune adoptarea unor măsuri preventive şi tehnici de reducere a consecinţelor
„realizării” unor astfel de riscuri. Este o atitudine activă de anticipaţie, cu caracteristici de sistem
cibernetic în regim dinamic pe timpul compensării efective sau post factum. Intră în funcţiune de la
o anumită valoare de program de selecție (de prevenire a realizării evenimentelor nedorite cu o
anumită valoare de risc), funcţionează apoi după o anumită funcţie de compensare, pe baza reacţiei
negative de reglare a regimului dinamic şi iese din funcţiune la o valoare minimă, considerată de
siguranţă sau de aşteptare.

Trecerea de la programul de aşteptare la cel de selecţie poate fi făcută la diferiţi stimuli:


intervale de timp, prezenţa unor perioade sau evenimente nedorite, alarme, acţionări manuale,
intervenţii ale echipelor de utilizatori, verificări, antrenări etc.

Atitudinea de inacceptare (asigurare) se datorează faptului că sistemele de securitate nu pot


acţiona eficace pentru prevenirea ori reducerea consecinţelor „realizării” riscurilor cu valoare mai
mare de 3,05, majore sau dezastruoase. În aceste cazuri, se adoptă soluţii de asigurare a bunurilor,
valorilor, serviciilor şi informaţiilor la astfel de evenimente nedorite şi de intervenţie post factum,
oportună şi eficace, pentru restabilirea funcţionalităţii. În cadrul tratării unor astfel de riscuri,
rămâne permanent activă componenta securității personalului şi, în limita posibilităţilor,
componenta securităţii informaţiilor.

Trebuie subliniat, însă, faptul că atitudinea de inacceptare nu presupune ascunderea în


spatele asigurării, ci doar recunoaşterea că mecanismele de securitate nu sunt suficient de
performante pentru a face faţă unor astfel de dezastre.

Atitudinea de inacceptare rămâne o atitudine activă, responsabilă şi poate contribui mult la


reducerea pagubelor produse de realizarea evenimentelor cu riscuri majore şi dezastruoase, care nu
pot fi prevenite. De asemenea, recunoaşterea inacceptabilităţii este un act logic, subordonat de fapt
principiului „logică în loc de panică”.

Adoptarea uneia sau alteia dintre atitudini este condiţionată atât de costul ce poate fi
suportat pentru realizarea mediului şi mecanismelor de securitate ale procesului, cât şi de
caracteristicile fizice, funcţionale, informaţionale şi de personal ale procesului, care presupun o
anumită independenţă de acţiune ce nu trebuie să fie stingherită de praguri de selecţie prea severe.

164 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Alegerea unui compromis corespunzător între mediul de securitate şi eficienţa


funcţionalităţii procesului este una din consecinţele majore ale unei analize formale de risc, corecte
şi complete, precum şi a unei politici de securitate eficiente, condiţionate de costul ce poate fi
suportat.

O atitudine prea tolerantă poate prejudicia grav obiectivul, în timp ce o atitudine prea severă
nu poate decât perturba funcţionalitatea acestuia.

La fel ca în orice alt domeniu, şi în securitate atitudinile sau manifestările extremiste nu dau
rezultate pozitive.

În finalul acestei etape, matricea evenimentelor nedorite se reorganizează în funcţie de


nivelul de risc asociat, începând de la cel transferabil (prin asigurare) la cel neglijabil.

I.1.6. Etapa evaluării eficienţei implementării soluţiilor pentru minimizarea riscului

În funcție de natura evenimentelor nedorite şi nivelurile pagubelor şi ale riscurilor asociate,


se stabilesc, în concordanţă cu strategia de securitate şi cu costurile posibile a fi suportate, soluţiile
de securitate (mecanisme, reguli, măsuri, proceduri, atenţionări etc.).

După stabilirea structurii întregului mecanism (integrat, sistem) de securitate, cu elemente


dedicate evenimentelor nedorite (evidenţiate, ca atare, în matricea evenimentelor nedorite), se
defineşte mediul de securitate (evenimente, riscuri, urmări, măsuri de securitate, costuri) şi se
analizează funcţionalitatea procesuală a organizaţiei şi costul măsurilor de securitate.

În funcţie de flexibilitatea procesuală şi de costurile de suportat, se analizează strategia de


securitate eficientizând (cuplând mai strâns sau mai slab) măsurile de securitate, astfel încât
procesul să nu fie stingherit, ci îmbunătăţit din punctul de vedere al stabilităţii şi siguranţei
funcţionale. Se realizează, astfel, un compromis operaţional între securitatea procesului,
permisibilitatea utilizatorilor, confortul funcţional şi consecinţele producerii evenimentelor
nedorite.

În esenţa sa, etapa a şasea reprezintă procesul recursiv al determinării mediului de securitate,
condiţionat de riscurile asumate (tratate), de strategia de securitate şi de costurile suportate.
Acceptarea riscurilor evaluate (determinate) se face în concordanță cu caracteristicile de proces, de
viabilitatea obiectivelor suport pentru proces, utilităţile stabilite şi cu prevederile legale în materie.

Evaluarea eficienţei implementării soluţiilor de securitate se concretizează în raportul de risc


(riscul final asumat/riscul iniţial al procesului), cu condiţia menţinerii cel puţin a operaţionalităţii de
proces, sau cu rapoarte valori de risc/costuri ori valori de risc/pierderi posibile (costuri de
insecuritate).

I.1.7. Etapa determinării raportului cost/nivel de securitate

Din analiza matricei evenimentelor nedorite, se însumează costurile şi se raportează la


beneficiul adus de securitate (costurile de insecuritate, din care se scad costurile de realizare a
mecanismelor de securitate):

, unde

165 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

ES – este eficienţa mediului de securitate


CS – costurile realizării mediului de securitate
BS – beneficiul securităţii
CI – costurile insecurităţii (pagubele posibile a se produce în lipsa mediului de securitate).
Tendința este ca acest raport să fie cât mai mic posibil, acesta fiind, totuşi, acceptat, dacă se
înscrie în limitele următoare:
- pentru securitatea minimală: 10-15%;
- pentru securitatea suficientă: 15-20%;
- pentru securitatea acoperitoare: circa 30%;
- pentru securitatea sigură: 35-40%.

În concluzie, pentru a se obţine o protecţie corespunzătoare, fondurile alocate pentru


securitate trebuie să fie de 35-40% din cele alocate investiției pentru unitățile mari, iar pentru
unitățile mijlocii şi mici de circa 30%.

Devenirea strategiilor globale poate fi realizată fie printr-o abordare conceptuală unitară
iniţială, fie printr-o dezvoltare succesivă, adoptându-se mecanisme şi măsuri de protecţie pe
elemente disparate, care apoi vor fi integrate conform concepţiei de securitate.

Concluzii
Metoda modelului în cascadă pentru determinarea riscului de securitate este, în esenţă, o
metodă calitativă, având destul de multe elemente de interpretare subiective, dar se finalizează
printr-un proces de optimizare a eficienţei mediului de securitate, ca raport direct între costurile
realizării mediului de securitate şi beneficiul securităţii.

Din acest punct de vedere, poate fi apreciată ca un exerciţiu eficient de logică de securitate,
recursivă, interactivă şi reactivă, constituind o bună bază de fundamentare a structurii şi
operaţionalităţii unui mediu de securitate.

Metoda, în sine, poate constitui un element atât de început al construcţiei de securitate, cât şi
de finalizare a acestuia şi poate fi utilizată de sine stătătoare, ori în complementaritate cu alte
metode.

Alte metode de evaluare a riscului sunt:


1. Metoda matricilor de risc – imparte obiectivul protejat în patru componente de bază:
- componenta fizică;
- componenta funcţională (procesuală);
- componenta informaţională;
- componenta de personal.
Având ca punct de plecare modelul relaţionalităţii dintre ameninţări şi vulnerabilităţi, se face
evaluarea riscului global prin aplicarea relaţiilor de calcul specifice la determinarea riscurilor pentru
fiecare componentă şi însumarea ponderată a rezultatelor parţiale. Metoda este prezentată, în
detaliu, în lucrările « Securitatea deplină » şi « Securitatea mediului de afaceri » apărute la Editura
UTI Press în 2001, respectiv 2006.
2. Metoda OCTAVE (Operationally Critical Threat, Asst and Vulnerability Evaluation)
elaborată de specialişti americani, defineşte evaluarea stategică, bazată pe risc şi planificarea
tehnică, în scopul realizării securităţii obiectivului de protejat. Activitatea este organizată în cadrul a
3 faze.
Faza 1 – consacrată construirii profilului ameninţării pe baza valorilor existente în
organizaţie, se compune din două procese:
166 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

1. identificarea informaţiilor organizaţiei;


2. stabilirea profilurilor ameninţărilor.
Pe durata procesului 1 se definesc criteriile de evaluare a impactului asupra bunurilor
organizaţiei, se inventariază valorile acesteia, precum şi practicile de securitate la data auditului.
În cadrul procesului 2 are loc o selectare şi ierarhizare a valorilor critice, stabilirea cerinţelor
de securitate pentru acestea şi identificarea ameninţărilor la valorile critice.
Faza a 2-a – de identificare a vulnerabilităţilor infrastructurii. Procesul specific fazei constă
în examinarea căilor de acces (fizic şi logistic) la resurse, precum şi a tehnologiilor utilizate pentru
implementare.
În cadrul Fazei a 3-a, activitatea se derulează prin două procese:
1. identificarea şi analiza riscurilor;
2. dezvoltarea strategiei de protecţie şi a planurilor de reducere a riscurilor.
Activităţile pe durata primului proces, de identificare şi analiză a riscurilor, sunt alocate
evaluării impactului ameninţărilor, determinării probabilităţii pentru criteriile de evaluare şi
estimării probabilităţilor ameninţărilor.
Pe parcursul celui de-al doilea proces, de elaborare a strategiei de protecţie şi a planurilor
concrete de reducere a riscurilor, se efectuează următoarele activităţi:
- schiţarea strategiei curente de protecţie;
- alegerea concepţiilor de reducere a riscurilor;
- dezvoltarea planurilor de reducere a riscurilor;
- identificarea schimbărilor în strategia de protecţie.
Din această scurtă prezentare se evidenţiază câteva caracteristici ale metodei:
- selectarea şi tratarea diferenţiată a valorilor critice ale organizaţiei;
- analiza dedicată componentei informaţionale;
- elaborarea strategiei de securitate;
- redactarea planurilor concrete de reducere a riscurilor identificate.
3. Metoda MEHARI – utilizată pe plan european, elaborată de o echipă de specialişti
francezi, care abordează atât analiza, cât şi managementul riscului, evaluând, cantitativ şi calitativ,
factorii de risc.
Schema globală a analizei de risc conţine paşii următori:
1. evaluarea expunerii naturale, care se face pe baza grilei combinate ce conţine nivelurile
expunerii (expunere foarte slabă, slabă, medie, ridicată) şi în funcţie de care se face evaluarea a
patru capitole de ameninţări:
- accidente (foc, inundaţii, căderi ale energiei electrice, deranjamente de echipamente IT sau
telefonice, pierderi accidentale de date, pierderi de personal important ş.a.);
- acţiuni răuvoitoare (vandalism, terorism, alterare intenţionată de date, furturi de date şi
componente IT, spionaj industrial şi de stat etc.);
- acţiuni intenţionate, dar fără intenţie răuvoitoare (absenţa sau greva personalului, plecarea
sau demisia unor funcţionari cheie, utilizare ilegală de software licenţiat);
- erori (degradarea performanţelor ca urmare a neaplicării mentenanţei periodice, ştergere
neintenţionată de programe ca urmare a unor erori umane).
2. evaluarea factorilor de descurajare şi prevenire (elemente de construcţie, echipamente
tehnice, proceduri, personal de specialitate);
3. evaluarea potenţialităţii (în funcţie de evenimentul care conduce la scenariu);
4. evaluarea impactului direct – are ca punct de plecare o grilă ale cărei capitole tratează:
- bunuri (valori);
- date şi informaţii ;
- infrastructura (telecomunicaţii şi sisteme);
- infrastructura generală;
- disponibilitatea personalului;
- conformitatea cu reglementările şi procedurile în materie.

167 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

5. evaluarea factorilor de protecţie, compensare şi recuperare; există un set de 5 categorii de


măsuri de reducere a riscului:
- descurajare;
- prevenire;
- protecţie;
- compensare;
- recuperare.
6. evaluarea reducerii impactului:
- în cadrul etapei de audit de securitate se face analiza factorilor de reducere a riscurilor şi
evaluarea nivelurilor acestora;
- factorii de reducere sunt disuasiunea şi prevenţia, pentru potenţialitate, protecţie şi paleativ
şi recuperarea, pentru impact.
7. evaluarea globală a riscului.
Estimarea factorilor ce concură la definirea şi calcularea riscului se realizează utilizând un
set de grile standard, care fac parte din baza de cunoştinţe MEHARI.
Faza iniţială de inspecţie în obiectiv este susţinută de un set de chestionare care servesc la
relevarea caracteristicilor amănunţite ale componentelor obiectivului:
- organizaţia;
- locaţia;
- incintele;
- funcţionarea sistemului;
- securitatea dezvoltării;
- mediul de lucru;
- reglementările în funcţiune, interne şi naţionale.
Din prezentarea succintă a metodei se relevă unele trăsături specifice:
- utilizarea unor instrumente de ghidare (chestionare de audit, scenarii de evenimente);
- tratarea completă a securităţii (fizică, funcţională, informaţională, de personal);
- aplicarea acestei metode nu se limitează la obiective deja consacrate în domeniu (militare,
guvernamentale, comerciale etc.) ci se aplică şi la alte categorii care au de protejat diverse tipuri de
valori, în accepţiunea generală a noţiunii de securitate;
- este o metodă laborioasă care necesită un număr mare de persoane calificate.
Răspunsul adecvat – sistemul de securitate împreună cu procedurile aferente la o solicitare
de asigurarea protecţiei pentru un obiectiv poate fi generat numai după cunoaşterea aprofundată a
acestuia, identificarea ameninţărilor şi vulnerabilităţilor specifice, adică evaluarea riscului.
Aplicarea unei metode de analiză a riscului aduce avantajul utilizării unor instrumente
performante (chestionare de audit, liste cu scenarii de securitate, baze de cunoştinţe etc.),
rescunoscute în literatura de specialitate şi validate de practică.

II. Analiza de risc la securitatea fizică

Analiza de risc la securitatea fizică se materializează prin documentaţia întocmită în cadrul


procesului standardizat de management al riscului, prin care se determină, în mod dinamic, măsurile
necesare şi aplicabile, pentru încadrarea riscurilor de securitate la niveluri acceptabile.
Analiza de risc la securitate fizică se elaborează de către personal cu competenţe specifice şi
se înregistrează la unitatea beneficiară după asumarea de către conducătorul acesteia.
Procesul de elaborare a analizei de risc poate începe numai după semnarea contractului de
prestări servicii între beneficiar şi evaluator, cu excepţia cazurilor de realizare în sistem intern.
Analiza de risc la securitatea fizică se revizuieşte în una din următoarele situaţii:
a) odată la 3 ani, pentru corelarea cu dinamica parametrilor interni şi externi care generează
şi/sau modifică riscurile la securitatea fizică a unităţii;
b) în cel mult 2 luni de la producerea incidentului de securitate;

168 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

c) la modificarea caracteristicilor arhitecturale, funcţionale sau a obiectului de activitate al


unităţii beneficiare;
d) ori de câte ori conducerea unităţii beneficiare consideră că este necesar.

Elaborarea analizei de risc la securitate fizică implică, în general, parcurgerea următoarelor


etape:
a) definirea parametrilor interni şi externi care generează şi/sau modifică riscurile la
securitatea fizică a unităţii;
b) stabilirea metodei şi a instrumentelor de lucru;
c) identificarea tuturor riscurilor la securitatea fizică, a zonelor de impact, evenimentelor şi
cauzelor riscului, precum şi a potenţialelor consecinţe;
d) analizarea riscurilor la securitatea fizică;
e) estimarea riscurilor unităţii beneficiare;
f) întocmirea Raportului de evaluare şi propuneri de tratare a riscurilor la securitatea fizică.

Securitatea fizică – starea de fapt în care riscul determinat de factorii de ameninţare şi


vulnerabilităţile care pot pune în pericol viaţa, integritatea corporală sau libertatea persoanei ori pot
aduce prejudicii valorilor deţinute de unităţi, se situează la un nivel acceptabil.
Parametri interni şi externi care generează şi/sau modifică riscurile la securitatea fizică a
unităţii – contextul care poate cuprinde, dar nu se limitează la:
1. mediul cultural, social, politic, de reglementare, financiar, tehnologic, economic, natural
şi concurenţial, la nivel internaţional, naţional, regional sau local;
2. factorii cheie şi tendinţele cu impact asupra obiectivelor organizaţiei;
3. relaţiile cu părţile interesate, percepţiile şi valorile acestora.

Ameninţările la adresa securităţii fizice a unităţilor, care pun în pericol viaţa, integritatea
corporală sau libertatea persoanelor sunt tratate cu prioritate, indiferent de importanţa bunurilor sau
valorilor ce pot fi afectate la producerea unui incident de securitate.
Analizele de risc se elaborează de către:
a) experţi în evaluare, înscrişi în RNERSF, în calitate de persoane fizice autorizate;
b) persoane juridice înscrise în RNERSF, prin intermediul experţilor în evaluare cu care au
raporturi de muncă.

Documentaţia privind analiza de risc la securitate fizică cuprinde:


a) Raportul de evaluare şi propuneri de tratare a riscurilor la securitatea fizică;
b) grila de evaluare, specifică obiectului de activitate;
c) documentele suport.

Raportul de evaluare şi propuneri de tratare a riscului la securitate fizică prezintă următorul


conţinut:
a) nominalizarea unităţii, obiectul de activitate al acesteia şi scopul evaluării;
b) amplasarea geografică a unităţii, vecinătăţi, căi de acces, alţi factori externi, cu impact
asupra activităţii unităţii;
c) cadrul organizaţional intern, politici şi responsabilităţi privind securitatea fizică a unităţii
beneficiare;
d) sursele de risc la securitate fizică, zonele de impact, evenimentele şi cauzele riscului
identificate pentru unitatea evaluată, precum şi potenţialele consecinţe asupra persoanelor şi
activităţii;
e) analizarea riscurilor identificate;
f) estimarea riscurilor la securitatea fizică;

169 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

g) stabilirea cerinţelor, măsurilor şi mecanismelor de securitate pentru sistemul ce urmează a


fi implementat, de ordin structural, tehnic, tehnologic şi operaţional;
h) estimarea costurilor de securitate, în funcţie de măsurile de securitate propuse şi nivelul
de risc asumat;
i) concluziile raportului, în care se propun una sau mai multe opţiuni de tratare a riscului în
vederea încadrării în domeniul acceptabil al riscului de securitate fizică.

Grila de evaluare specifică obiectului de activitate al unităţii beneficiare se completează


pentru situaţia în care riscul a fost tratat, iar nivelul acestuia se încadrează în domeniul riscului
acceptabil.
Raportul de evaluare şi propuneri de tratare a riscului şi grila de evaluare se semnează de
către evaluator şi reprezentantul societăţii angajatoare a evaluatorului, cu excepţia celor realizate în
sistem intern.

În categoria documentelor-suport intră: chestionare, declaraţii, alte documente specifice,


date obţinute şi folosite în procedura de evaluare.

Persoanele fizice sau persoanele juridice nu pot efectua analize de risc la securitate fizică
pentru unităţile cu care au încheiate contracte pentru asigurarea serviciilor de pază a obiectivelor,
bunurilor şi valorilor, servicii de proiectare, instalare, modificare sau întreţinere a componentelor
sau sistemelor de alarmare împotriva efracţiei, sau servicii de consultanţă în domeniu.

170 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 20. Implementarea securităţii fizice conform documentelor specifice


elaborate

- stabilirea şi delimitarea responsabilităţilor individuale şi termenelor de execuţie;


- executarea (aplicarea) corectă a planurilor, procedurilor şi măsurilor de către persoanele
desemnate;
- efectuarea procedurilor de evaluare şi verificare;
- tratarea neconformităţilor identificate şi luarea măsurilor corective.

Introducere
Implementarea unui proiect de securitate fizică a unui obiectiv aprobat şi avizat conform
prevederilor legale în vigoare, integrat în planurile de investiţii şi de finanţare se face în baza unui
program structurat pe etape ţinând cont atât de latura tehnologică, cât şi de cea de planificare a
resurselor materiale şi umane.

Planul de instalare prevede un calendar de desfașurare al fiecărei operaţiuni precum şi


resursele care sunt alocate pentru realizarea activităţilor, având la bază o evaluare privind
parametrizarea mediului de lucru, transferul de informații, parametrizarea componentelor, instruirea
utilizatorilor finali şi strategii de instalare a proiectului (în mai multe etape, în mai multe locații
etc).

I. Managementul implementării proiectului de securitate a unui obiectiv


Conceptul de management al unui proiect de implementare a securităţii unui obiectiv
implică gestionarea simultană sau succesivă a mai multor problematici:

I.1 Managementul Întinderii Proiectului (Scope Management) - are drept obiectiv


definirea şi controlul asupra ce este inclus în proiect şi ce este în afara proiectului. Este necesar să
se definească de la bun început, foarte clar, ariile funcţionale cuprinse în proiect. Din acest motiv, în
Planul de Proiect se menţionează nu doar ceea ce se va face în cadrul proiectului, ci şi ceea ce nu se
va face în cadrul proiectului.

Totuşi, unele modificări ale cerinţelor de afaceri pot surveni pe parcursul implementării, iar
acestea trebuie monitorizate şi evaluate.

Evidenţierea cerinţelor de modificare se realizează prin intermediul documentului „Cerinţă


de Modificare” (Change Request). Foarte important este ca în cadrul cerinţei să se evalueze şi
impactul acesteia asupra proiectului. Un număr prea mare de cerinţe care survin ulterior Planului de
Proiect poate compromite realizarea implementării.

I.2 Managementul Problemelor (Issue Management) - presupune rezolvarea problemelor


care apar în cursul unei implementări şi care pot afecta implementarea. Problemele sunt identificate,
documentate şi rezolvate.

Fiecare problemă este documentată prin intermediul unui “Formular de Problemă” (Issue
Form). În acest formular se alocă un cod unic problemei, se descrie problema, se evaluează gradul
de severitate, se asignează (destină) o persoană responsabilă, se fixează un termen de rezolvare etc.

171 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Pentru a avea o imagine de ansamblu se utilizează documentul „Lista Problemelor” (Issue


list) al cărui rol este acela de a centraliza problemele şi de a le monitoriza mai ușor.

I.3 Managementul Timpului şi al Costului (Time and Cost Management) - asigură,


controlează şi gestionează timpul şi costul, astfel încât proiectul să se finalizeze în timpul şi la
costul agreat cu clientul.

Timpul şi costul se estimează inițial în faza de Diagnostic, când se realizează Planul de


Proiect. Pentru realizarea estimării se poate folosi metoda WBS (Work Breakdown Structure).
Astfel, se definesc rezultatele care trebuie obţinute în cadrul proiectului pe o structură arborescentă
– de la cele cu caracter general, până la cele mai amănunţite. Pe ultimul nivel se trece consumul de
resurse estimat, iar prin agregare se obţine costul total al proiectului.

Pe parcursul implementării este necesar să se urmărească realizarea activităţilor în


parametrii de timp şi de cost stabiliţi.

I.4 Managementul Resurselor (Resource Management) - organizează şi gestionează toate


resursele implicate în proiect: oameni, echipamente, alte resurse materiale.

O atenție specială este acordată resurselor umane. Pentru a gestiona adecvat resursele
umane, se determină mai întâi rolurile care sunt necesare în realizarea proiectului, iar rolurilor le
sunt asociate activităţile din cadrul Planului de Proiect.

Fiecare resursă umană poate avea unul sau mai multe roluri. Rolurile definesc abilităţile
unei persoane şi responsabilităţile ei în cadrul proiectului – atât din partea implementatorului, cât şi
a clientului. Exemple de roluri: Manager de Proiect, Consultant de Aplicaţie, Utilizator Principal,
Manager IT etc.

I.5 Managementul Comunicării (Communication Management) - se ocupă cu crearea,


distribuţia, extragerea şi stocarea informaţiei proiectului pentru a satisface nevoile informaţionale -
legate de implementare - ale echipei de proiect şi ale clientului.

Realizarea managementului comunicării se defineşte în cadrul unui „Plan de Comunicare”


(Communication Plan) care stabileşte tipurile de comunicare, metodele de comunicare, frecvenţa
comunicării, persoana responsabilă, lista de contacte, căile de escaladare ale unor probleme etc.

I.6 Managementul Calităţii (Quality Management) - asigură un anumit nivel de calitate


pentru documentaţia de implementare şi pentru implementarea în sine.

Managementul calităţii include activităţi precum definirea proceselor, elaborarea unor


proceduri, standarde şi politici menite să satisfacă aşteptările clientului privind calitatea serviciilor
de implementare. De exemplu, elaborarea unor documente precum “Planul de Testare” (Testing
Plan) sau “Planul de Instruire” (Training Plan) sunt considerate ca ţinând de managementul calității
proiectului.

I.7 Managementul Aprovizionării (Procurement Management) - gestionează achiziţiile


de bunuri şi servicii care sunt necesare realizării implementării, dar care sunt livrate de către terţe
părţi. Este critic ca aceste achiziţii să fie planificate încă de la începutul proiectului pentru a nu
afecta calendarul de realizare a acestuia. Subcontractarea unor acţiuni din cadrul Planului de Proiect

172 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

generează riscuri suplimentare pentru proiect şi de aceea este necesară şi o monitorizare a activităţii
subcontractanţilor.

II. Planul de acţiuni


Cele mai multe activităţi dintr-un proiect, dacă nu chiar toate, trebuie să fie realizate după un
calendar. Responsabilii de proiect este necesar să aibă o bună concepţie asupra modului în care
activităţile vor fi organizate şi programate, luând în considerare timpul disponibil şi necesar pentru
fiecare activitate.

Pentru a implementa planificarea acţiunii trebuie avute în vedere următoarele:


- repartizarea în timp a diferitelor activităţi;
- definirea pentru fiecare activitate a:
 produselor (ceea ce se va realiza prin activităţi);
 data limită;
 persoana sau organizaţia responsabilă;
 mijloacele (materiale, personal etc.).

III. Monitorizare şi evaluare


Monitorizarea şi evaluarea activităţilor de implementare a proiectului sunt esenţiale pentru a
analiza asupra progreselor înregistrate în direcţia atingerii obiectivelor şi a rezultatelor.
Monitorizarea reprezintă mai mult decât o simplă colectare de informaţii, fiind, în fapt, o evaluare
sistematică şi continuă a progreselor proiectului prin colectarea şi analiza informaţiei şi utilizarea
acestei informaţii pentru a îmbunătăţi modul de lucru în cadrul acestuia.

Monitorizarea ajută să se efectueze o verificare regulată a ceea ce se face în mod curent, iar
informaţiile pot reprezenta indicatori atât cantitativi, cât şi calitativi.

Evaluarea reprezintă o estimare a impactului rezultatelor proiectului şi în ce măsură


obiectivele au fost atinse.

Monitorizarea şi evaluarea sunt instrumente utile pentru a identifica punctele tari şi punctele
slabe şi a lua cele mai oportune decizii.

Monitorizarea
În această etapă, sunt urmărite variaţiile faţă de planul iniţial în ceea ce priveşte cele patru
dimensiuni ale oricărui proiect:
- costurile/resursele;
- termenele de îndeplinire a sarcinilor şi de finalizare a activităţilor;
- aria de cuprindere a proiectului;
- calitatea produselor.
Obiectivele monitorizării sunt:
- de a actualiza şi revizui planul iniţial, astfel încât eventualele schimbări să fie încorporate;
- de a oferi informaţiile pe baza cărora sunt iniţiate acţiuni de corectare, în cazul în care
variaţiile faţă de planul iniţial sunt atât de mari, încât pun în pericol reuşita proiectului.
Se pot lua în considerare două tipuri de monitorizare :
- Monitorizarea procesului: măsoară mijloacele prin care obiectivele sunt atinse: aceasta
include utilizarea datelor culese până în prezent, informaţii asupra progresului activităţilor şi a
modului în care activităţile sunt conduse;
- Monitorizarea impactului: examinează impactul activităţilor proiectului asupra
obiectivelor.
173 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Toate sistemele de monitorizare trebuie să conţină, în acelaşi timp, o monitorizare a


procesului şi o monitorizare a impactului.

În elaborarea unui sistem de monitorizare, următoarele aspecte trebuie luate în consideraţie :


- Obiectivele sistemului de monitorizare;
- Selectarea informaţiei şi indicatorii pertinenţi;
- Colectarea datelor pentru monitorizare;
- Analiza datelor;
- Prezentarea informaţiei.

Evaluarea

Evaluarea unui proiect reprezintă măsurarea performanţei şi progresului acestuia comparativ


cu planificarea propusă. Măsurătoarea oferă informaţii necesare managerului în procesul de luare a
deciziilor privitoare la proiect. Cum există numeroase asemănări între monitorizare şi evaluare,
această secţiune se ocupă mai ales de diferenţele dintre cele două.

Evaluarea unui proiect se concentrează asupra a patru aspecte principale: resurse investite,
activităţi desfăşurate, rezultate obţinute şi impactul realizat şi trebuie să răspundă la următoarele
întrebări:
- În ce măsură proiectul şi-a atins obiectivele şi dacă nu, de ce?
- În ce măsură munca (activitatea) a meritat să fie prestată?
- În ce măsură a fost bine făcută?
- În ce măsură resursele au fost utilizate în mod eficient?
- Ce anume a rămas nerezolvat?
Pentru ca o evaluare să fie întreprinsă, este nevoie de următoarele elemente :
- Obiective clare şi măsurabile ;
- Indicatori cheie care să arate progresul înregistrat (ca şi la Monitorizare);
- Informaţii care să permită, cu ajutorul indicatorilor, să se stabilească eventuale modificări
(ca şi la Monitorizare).
În mare, obiectivul evaluării este de a estima impactul şi analiza etapelor unui proiect.

Obiectivele specifice sunt similare cu cele de la sistemul de monitorizare. Totuşi, evaluarea


pentru proiectele pilot se înscrie într-o perspectivă pe termen lung şi la scară mare pentru a utiliza
rezultatele obţinute în vederea planificării, durabilităţii şi dezvoltării de proiecte şi programe
viitoare.

Fiecare evaluare trebuie să se concentreze asupra unui element esenţial. Dacă sunt prea
multe obiective, ele trebuie clasate în ordinea priorităţilor. Alegerea perioadelor de evaluare trebuie
decisă în momentul concepţiei proiectului. Ele sunt, în general, plasate la jumătatea desfăşurării
proiectului, şi la sfârşit. Evaluările ex-post trebuie realizate la un anumit interval după sfârşitul
proiectului, pentru a se asigura că impactul asupra proiectului a avut efect.

Odată obiectul şi obiectivele evaluării stabilite, este util să defineşti elementele specifice
cărora evaluarea trebuie să-i răspundă. Acest lucru ajută la ţintirea evaluării şi evidenţierea
elementelor care solicită o atenţie specială.

Pentru evaluarea nivelului de securitate fizică a unei unităţi, se stabilesc două domenii ale
riscului de securitate fizică, respectiv riscul de securitate acceptabil asociat riscurilor de securitate,

174 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

cu valori estimate sub pragul critic de 55%, şi riscul inacceptabil asociat valorilor estimate peste
pragul critic.

Se consideră că sunt îndeplinite cerinţele legale de securitate fizică pentru o unitate, dacă
riscul evaluat se încadrează în domeniul riscului de securitate acceptabil.

Grila de evaluare a nivelului de securitate cuprinde trei categorii de criterii de analiză:

a) criterii specifice obiectivului, prin care se evaluează elemente de amplasare zonală şi


locală, cu o pondere de 25%;
b) criterii de securitate, prin care se evaluează măsurile de securitate implementate sau care
urmează a fi implementate, cu o pondere de 65%;
c) criterii funcţionale, prin care se evaluează elementele privitoare la desfăşurarea activităţii
unităţii evaluate, cu o pondere de 10%.

CONCLUZII
Implementarea securității fizice prin materializarea proiectului avizat de autoritățile
competente este un proces riguros cu componente tehnice și financiare, necesitând participarea
nemijlocită a unui grup multidisciplinar de specialişti.

Respectarea documentaţiei şi a termenelor de execuţie este foarte importantă atât pentru


asigurarea securității fizice, cât şi pentru angajările de natură financiară necesare derulării
proiectului.

175 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 21. Administrarea curentă a securităţii fizice

- managementul structurii de securitate;


- asigurarea necesităţilor prin servicii de securitate. Achiziţia, urmărirea şi verificarea
prestaţiilor de securitate;
- utilizarea tehnologiilor de securitate. Soluţii independente şi/sau integrate;
- procedurile interne de securitate;
- acoperirea intervalelor de timp relevante din punct de vedere operativ: înainte, în timpul şi
după producerea unui eveniment de securitate.

Introducere
În urma analizei de risc de securitate efectuată asupra unui obiectiv, se reliefează măsurile
necesare diminuării riscurilor și vulnerabilităților care-i pot afecta funcţionarea. Ulterior, după
alegerea şi avizarea proiectului tehnic, în concordanţă cu acesta şi cu planurile de investiţii şi
finanţare, sistemul de securitate fizică este implementat şi pus în funcţiune.

Practic, din acest moment, începe managementul, îşi intră în rol managementul structurii de
securitate.

I. Managementul structurii de securitate


Managementul structurii de securitate sau cu alte cuvinte organizarea, desfăşurarea şi
controlul sistemului de securitate fizică, implică executarea următoarele categorii de activități, în
condiţiile legii:
- Elaborarea de politici şi strategii de securitate;
- Analiza-diagnostic a nivelului de asigurare a securităţii;
- Analiza riscurilor de securitate;
- Analiza vulnerabilităţilor;
- Elaborarea de politici, proceduri, instrucţiuni în legătură cu aplicarea măsurilor de
securitate, utilizarea instalaţiilor de securitate, monitorizarea şi verificarea serviciilor
asociate;
- Elaborarea de planuri privind protecţia împotriva scurgerii de informaţii;
- Asistenţă pentru elaborarea şi urmărirea contractelor de servicii de securitate sau privind
externalizarea unor activităţi care comportă cerinţe şi riscuri de securitate;
- Elaborarea de planuri de management al situaţiilor de urgenţă, al situaţiilor de criză şi
refacere după incident;
- Elaborarea de planuri de securitate pentru operatori de infrastructuri critice;
- Informare, instruire de securitate a personalului organizaţiei şi terţilor, în legătură cu
conceptele şi procedurile sistemului de securitate;
- Efectuarea de audituri de evaluare a eficacităţii şi eficienţei măsurilor de securitate, a
instalaţiilor şi serviciilor aferente;
- Elaborarea de scenarii de exerciţii privind evaluarea diferitelor aspecte de securitate,
asistenţa privind derularea acestora, elaborarea rapoartelor de exerciţiu, inclusiv
propuneri de îmbunătăţire;
- Testarea, verificarea, expertizarea măsurilor de securitate, inclusiv prin teste de penetrare;
- Elaborarea de studii privind rezilienţa organizaţională sau regională, soluţii şi tehnologii
de securitate, inclusiv asistenţa tehnică pentru proiecte cu finanţare naţională sau
europeană;
176 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

- Elaborarea de studii privind protecţia infrastructurilor critice.


Este de remarcat faptul că succesiunea acestor faze implică şi faze de corecţie a
neconformităţilor prin parcurgerea unor cicluri logice-repetitive.

II. Organizarea şi administrarea securităţii:


- Determinarea nevoilor reale de securitate ale obiectivului;
- Stabilirea principiilor şi modului de organizare şi administrare a securităţii pe toate
domeniile securităţii alese de beneficiar (securitatea fizică, securitatea personalului,
securitatea/protecţia informaţiilor, securitatea informatică, securitatea comercială);
- Delimitarea zonelor de securitate în interiorul obiectivului şi a standardului minim pentru
fiecare zonă în parte;
- Întocmirea procedurilor specifice (acces, vizită, patrulare, intervenţie, control, testare, mod
de acţiune în diferite situaţii etc.);
- Întocmirea documentelor specifice (plan de pază, documente tip, proceduri de autorizare,
de acces în incintă/zone de securitate, la documente etc.);
- La cererea beneficiarului, se poate face şi o analiză a bugetului alocat securităţii.

Responsabilităţile Structurii de securitate:


• Analiza-diagnostic a nivelului de asigurare a protecţiei informaţiilor clasificate;
• Dimensionarea şi fundamentarea structurii de securitate;
• Elaborarea de planuri privind protecţia impotriva scurgerii de informaţii;
• Elaborarea documentaţiei cu cerinţele de securitate pentru sistemele informatice şi de
comunicaţii;
• Elaborarea de proceduri operaţionale de securitate pentru sisteme informatice şi de
comunicaţii;
• Elaborarea planului de continuare a activităţii în situaţii de urgenţă pentru sistemele
informatice şi de comunicaţii;
• Analiza riscurilor de securitate;
• Analiza vulnerabilităţilor;
• Asistenţa pentru elaborarea şi urmărirea contractelor de servicii de securitate sau privind
externalizarea unor activităţi care comportă cerinţe şi riscuri de securitate;
• Informarea, instruirea de securitate a personalului organizaţiei şi terţilor, în legătură cu
conceptele şi procedurile sistemului de securitate;
• Efectuarea de audituri de evaluare a eficacităţii şi eficienţei măsurilor de securitate, a
instalaţiilor şi serviciilor aferente;
• Elaborarea de scenarii de exerciţii privind evaluarea diferitelor aspecte de securitate,
asistenţă privind derularea acestora, elaborarea rapoartelor de exerciţiu, inclusiv propuneri
de îmbunătăţire;
• Testarea, verificarea, expertizarea măsurilor de securitate, inclusiv prin teste de penetrare.

II. Managementul Investiţiilor – Achiziţiilor în vederea asigurării securităţii fizice


Serviciile de consultanţă, proiectare, implementare, prestări de servicii de pază şi protecţie
pot fi desfăşurate în condiţiile Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi
protecţia persoanelor, cu modificările şi completările ulterioare şi a Hotărârii de Guvern nr. 301 din
11 aprilie 2012 pentru aprobarea Normelor metodologice de aplicare a acesteia, prin resurse proprii
sau prin contractarea acestora la autorităţile de stat competente sau la firme specializate.

Atunci când se optează pentru contractarea unor categorii de servicii de pază şi protecție de
la societăţile de profil este necesară efectuarea şi a următoarelor categorii de activităţi:
- Studii de (pre)fezabilitate, inclusiv asistenţă tehnică pentru prevederea unor măsuri de
securitate din etapele iniţiale de proiectare a obiectivelor sau tehnologiilor;

177 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- Proiecte tehnice şi de execuţie, caiete de sarcini;


- Asistenţă tehnică pentru analiza şi recepţia studiilor de fezabilitate, a proiectelor de
securitate;
- Asistenţă tehnică pentru proceduri de achiziţie în domeniul securităţii;
- Management de proiect;
- Asistenţă tehnică privind urmărirea şi recepţia lucrărilor;
- Servicii de testare, verificare, expertizare;
- Consultanţă de specialitate pentru procedurizarea activităţilor impuse de situaţiile concrete
specifice fiecărui obiectiv în parte.

III. Managementul continuităţii


Managementul continuităţii activităţii este un proces holistic ce identifică impacturile
potenţiale care ameninţă organizaţia şi furnizează un cadru pentru dezvoltarea rezilienţei şi
construirea capabilităţilor de răspuns efectiv în vederea salvgardării intereselor organizaţiei şi
terţilor cu care aceasta interacţionează, a reputaţiei organizatiei şi a activităţilor creatoare de
valoare.
Procesul de management al continuităţii se axează pe două componente esenţiale:
a) managementul programului de continuitate a activităţii, care se ocupă de crearea cadrului
necesar pentru derularea activităţilor de elaborare, întreţinere şi exersare a planurilor de
continuitate, respectiv de crearea capabilităţilor de management al continuităţii;
b) planul de continuitate, rezultantă a procesului de management al continuităţii ce
integrează planurile de continuitate pentru fiecare activitate critică şi instrument de desfăşurare a
capacităţii de management al continuităţii la producerea unui incident.
Aceste două componente sunt interdependente, în sensul că, planul de continuitate este un
produs al programului de management al continuităţii, iar complexitatea şi resursele necesare pentru
derularea programului de management al continuităţii depind de detalierea planului de continuitate.

Planul de continuitate este instrumentul efectiv de răspuns la incident, rezultat al procesului


de management al continuităţii. Scopul planului de continuitate este de a identifica în avans, cât de
mult posibil, acţiunile şi resursele care sunt necesare pentru a permite organizaţiei să gestioneze cu
succes orice întrerupere a activităţii, indiferent de cauză.

Pentru situaţiile în care evenimentul perturbator evoluează în afara necesităţilor de


management al întreruperilor şi reluării activităţii în orizontul de timp stabilit, planul de continuitate
va conţine o procedură de escaladare către un plan de management al incidentelor, axat pe
gestionarea crizei şi comunicarea internă şi externă.

IV. Dispecerate fixe şi mobile


Dispeceratele de securitate sunt puncte de centralizare şi prezentare sintetică a informaţiilor,
comandă şi control cu scopul de a monitoriza starea de securitate, de a sprijini intervenţia în caz de
eveniment sau situaţie de urgenţă, de a asigura infrastructura pentru rezervarea activităţii
operaţionale, după caz.

Dispeceratele pot fixe sau mobile. Dispeceratele mobile sunt, de regulă, amenajate în
containere sau pe autovehicule cu scopul de a putea fi mutate cu rapiditate în sau din zona afectată.

Dispeceratele cuprind de regulă:


- echipamente IT&C amplasate într-o cameră tehnică sau, după caz, un centru de date;
- sinoptic grafic cu afişare de informaţii în timp real;
178 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

- asistenţă dependentă de context pentru sprijinirea şi orientarea operatorului;


- jurnal de semnalizări şi activitate a operatorilor;
- posturi de lucru pentru personal în caz de necesitate;
- cameră de stat major.
Dispeceratele de securitate asigură funcţii de:
- centralizare semnalizări, culegere date de la locul evenimentului;
- prezentarea informaţiilor din teren în formă sintetică, asociat cu informaţii de localizare
(hărţi vectoriale) şi informaţii de stare (tablou de bord);
- posibilitatea consultării unor baze de date relevante;
- comunicaţii redundante, multimodale cu echipele de interventie, primi respondenţi şi terţe
părţi interesate;
- instrumente de simulare a răspunsului (serious gaming);
- instrumente de instruire şi exersare.
Activitățile de dispecerizare, monitorizare, pază şi intervenţie, în conformitate cu
prevederile legale pot fi organizate şi desfăşurate în interiorul obiectivului, cu forţe proprii sau alte
structuri organizaţionale de specialitate sau pot fi integral externalizate, în baza unor contracte de
prestări de servicii de pază şi protecţie.

V. Proceduri de lucru
În conformitate cu structura sistemului de securitate fizică şi a planului de pază aprobat de
autorităţile competente, managerul sistemului instituie proceduri de lucru pentru fiecare categorie
de activităţi specifice ce se desfăşoară în condiţiile legii, în vederea asigurării unui serviciu operativ,
coerent şi eficace.
Procedurile de lucru trebuie să definească în mod clar obiective de îndeplinit, modalităţile
de rezolvare, responsabilităţi şi termene de executare. În acelaşi timp, este necesară includerea şi a
tuturor forţelor participante.
Obiectivele şi responsabilităţile, dezvoltate în cadrul procedurilor de lucru, trebuie să se
găsească obligatoriu şi în fişele posturilor persoanelor angajate în activităţile de asigurare a
securităţii fizice a obiectivelor.
În cazul în care, în aceste activităţi, sunt angrenate mai multe instituţii/societăţi, este
necesară întocmirea unor planuri de cooperare, cu definirea clară a coordonatelor (sarcini,
responsabilităţi, mijloace şi metode de comunicare etc.).
Concluzii
Odată implementat şi pus în funcţiune, un sistem de securitate fizică a unui obiectiv intră în
faza exploatării. Scopul acestor activităţi este, în final, acela de a diminua riscurilor de securitate
până la un nivel considerat şi evaluat ca fiind acceptabil, în raport cu, pe de o parte, bunurile şi
valorile ce necesită să fie protejate, iar pe de altă parte, dimensiunea investiţiilor şi bugetului
alocat pentru aceasta.

Din momentul activării sistemului de securitate, în funcţie de modul în care acesta răspunde
nevoilor pentru care a fost proiectat, în timp, asupra sa vor mai interveni modificări şi actualizări
atât din punct de vedere tehnic, cât şi procedural, în concordanţă şi cu evoluţia structurală a
obiectivului.

În acest sens, este de subliniat rolul important al schimbului de informaţii privind modul în
care sistemul de securitate răspunde cerinţelor impuse, astfel încât feed-back-ul la proiectant să-l
ajute pe acesta să aducă îmbunătăţiri de substanţă acestuia.

179 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 22. Documente de administrare a securităţii fizice

- planul de pază;
- planul de pază al transporturilor, bunurilor şi valorilor;
- scenariul la incendiu;
- proiecte tehnice de execuţie;
- graficele de realizare a mentenanţei;
- jurnalele de service;
- planuri de evacuare şi/sau distrugere pentru situaţii de urgenţă;
- planuri de contingenţă;
- proceduri de securitate;
- planul general de securitate.

Introducere
În conformitate cu prevederile Legii nr. 333/2003 privind paza obiectivelor, bunurilor,
valorilor şi protecţia persoanelor, cu modificările şi completările ulterioare şi a Hotărârii de Guvern
nr. 301 din 11 aprilie 2012 pentru aprobarea Normelor metodologice de aplicare a legii menţionate,
paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor prin forţe şi mijloace civile se
realizează cu sprijinul şi sub coordonarea, îndrumarea şi controlul Inspectoratului General al Poliţiei
Române şi al unităţilor subordonate, care urmăresc respectarea prevederilor legale în acest domeniu
de activitate.

Instituţiile, indiferent de natura capitalului social, forma de organizare ori asociere sau
modul de deţinere a bunurilor ori valorilor, trebuie să adopte măsuri de securitate în formele
prevăzute de Lege, completate cu măsuri procedurale.

Analiza de risc la securitate fizică, precede măsurile de securitate ce urmeează a fi instituite


de conducătorii unităților mai sus amintite şi asigură identificarea vulnerabilităţilor şi a riscurilor,
determinarea nivelului de expunere la producerea unor incidente de securitate fizică şi are rolul de a
indica măsurile de protecţie necesare obiectivului analizat.

Ulterior, în baza studiului de fezabilitate, a importanţei obiectivului ce trebuie protejat şi a


resurselor umane şi materiale disponibile, se înaintează spre avizare la autoritățile competente
documentele necesare implementării măsurilor de securitate în cauză.

Cerinţele minimale de securitate, pe zone funcţionale şi categorii de unităţi, sunt prevăzute


în anexa nr. 1 din H.G. nr. 301/2012.

După omologarea sistemului de securitate fizică şi luarea în primire a acestuia, conducătorii


instituţiei procedează la instruirea personalului propriu şi avizarea sa în conformitate cu prevederile
legale sau hotărăşte externalizarea acestui tip de serviciu în baza unor contracte de prestări de
servicii cu firme specializate autorizate.

Activitățile de asigurare a securităţii fizice a obiectivelor se realizează în baza unor


documente ce se elaborează de specialişti şi sunt, de asemenea, avizate de autorităţi.

180 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

I. Categorii de documente procedurale


Documentele specifice necesare executării şi evidenţierii serviciului de pază prin forţe şi
mijloace civile şi modelele acestora, stabilite prin Legea nr. 333/2003 şi H.G. nr. 301/2012 (Anexa
nr. 2) sunt următoarele:
 planul de pază;
 registrul buletinul posturilor;
 registrul de procese-verbale de predare-primire a serviciului, folosit la fiecare post de
pază;
 registrul de procese-verbale de predare-primire a serviciului înarmat, folosit în posturile
prevăzute cu pază înarmată;
 registrul de evidenţă a accesului persoanelor;
 registrul de evidenţă a accesului autovehiculelor, dacă este cazul;
 registrul de evidenţă a mişcării armamentului păstrat la camera de armament;
 registrul de control;
 registrul de evenimente;
 registrul special pentru păstrarea evidenţei contractelor de prestări de servicii;
 planuri de evacuare în situații de urgență;
 jurnale de service şi grafice de mentenanță.
În situaţia utilizării sistemului de televiziune cu circuit închis pentru înregistrarea accesului
autovehiculelor, registrul de evidenţă a accesului autovehiculelor nu este obligatoriu. Perioada de
stocare a imaginilor înregistrate este similară perioadei de păstrare a registrului.

I.1 Planul de pază

Paza se organizează şi se efectuează potrivit planului de pază, întocmit de unitatea ale cărei
bunuri sau valori se păzesc, cu avizul de specialitate al poliţiei. Acest aviz este obligatoriu pentru
fiecare caz de modificare a planului de pază.

Prin planul de pază se stabilesc în principal: caracteristicile obiectivului păzit, în zona


respectivă, numărul de posturi şi amplasarea acestora, necesarul de personal pentru pază,
amenajările, instalaţiile şi mijloacele tehnice de pază şi de alarmare, consemnul posturilor, legătura
şi cooperarea cu alte organe cu atribuţii de pază a obiectivelor, bunurilor, valorilor şi persoanelor şi
modul de acţiune în diferite situaţii.

De asemenea, vor fi prevăzute şi regulile de acces, potrivit dispoziţiilor conducătorului


unităţii, precum şi documentele specifice serviciului de pază.

I.2 Registrul buletinul posturilor

Registrul evidenţiază numărul şi tipul posturilor, intervalele orare în care se execută


serviciul de pază şi semnăturile la intrarea şi ieșirea din tură.

Formatul capului de tabel este detaliat în Anexa 2a din H.G. 301/2012.


I.3 Registrul de procese-verbale de predare-primire a serviciului
În registrul de procese-verbale se consemnează schimbarea turelor, a documentelor şi
materialelor care sunt în custodia agentului de pază. De asemenea, vor fi menţionate şi eventualele
evenimente produse în timpul serviciului.

181 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Procesul-verbal este semnat de cel care predă serviciul, de cel care îl preia şi, după caz, se
contrasemnează de șeful de schimb sau altă persoană împuternicită.

Modelul procesului-verbal de predare-primire a serviciului este prezentat în Anexa 2b, din


H.G. 301/2012.

I.4 Registrul de procese-verbale de predare-primire a serviciului înarmat, folosit în


posturile prevăzute cu pază înarmată

Acest registru respectă tipologia registrului prezentat la cap. I.3, la care se adaugă
mențiunile cu privire la arma, seria, muniţia aferentă şi accesoriile cu care este dotat agentul
conform planului de pază şi consemnului postului.

Modelul procesului-verbal de predare-primire a serviciului este prezentat în Anexa 2c, din


H.G. 301/2012.

I.5 Registrul de evidenţă a accesului persoanelor

În Registrul de evidenţă a accesului persoanelor în obiectiv, agentul de pază consemnează


identitatea persoanelor cărora li se permite accesul în conformitate cu prevederile din consemnul
postului, documentele cu care respectivele persoane se identifică, destinația, precum şi orele sosirii
şi, respectiv, plecării.

Modelul Registrului de evidenţă a accesului persoanelor la un obiectiv este prezentat în


Anexa 2d, din H.G. 301/2012.

I.6 Registrul de evidenţă a accesului autovehiculelor

În Registrul de evidenţă a accesului autovehiculelor într-un obiectiv, agentul de pază


consemnează identitatea persoanelor cărora li se permite accesul în conformitate cu prevederile din
consemnul postului, numărul de înmatriculare a autovehiculului, documentele cu care respectivele
persoane se identifică, destinaţia, numărul avizului sau facturii, precum şi orele sosirii şi, respectiv,
plecării.

Modelul Registrului de evidenţă a accesului autovehiculelor la un obiectiv este prezentat în


Anexa 2e, din H.G. 301/2012.

I.7 Registrul de evidenţă a mişcării armamentului păstrat la camera de armament

Registrul în cauză înregistrează toate mișcările armamentului şi muniţiei aferente din spaţiul
anume destinat acestora. Se vor consemna denumirea şi seria armei, numărul de cartuşe, data şi ora
predării/restituirii, numele persoanei care primeşte/restituie armamentul şi muniţia, obiectivul la
care se află armamentul.

Modelul Registrului de evidenţă a mişcării armamentului este prezentat în Anexa 2g, din
H.G. 301/2012.

I.8 Registrul de control

În Registrul de control se vor consemna controalele care se efectuează la obiectiv de


persoanele împuternicite sau de către autoritățile statului cu competențe în domeniu. Astfel, se vor
182 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

trece în registru data şi ora controlului, identitatea persoanelor care au exercitat controlul, funcţia
lor, precum şi constatările rezultate în urma acestuia.

Modelul Registrului de control este prezentat în Anexa 2h, din H.G. 301/2012.

I.9 Registrul de evenimente

În registrul de evenimente se înscriu, sub formă de raport, evenimentele care au avut loc în
timpul serviciului. Astfel, vor fi detaliate toate circumstanţele producerii acestuia, participanţii şi ce
aspecte de interes au rezultat. De asemenea, în funcţie de natura evenimentului şi consemnului
postului vor fi menţionate persoanele/instituţiile sesizate.

Modelul Registrului de evenimente / Raport de eveniment este prezentat în Anexa 2i, din
H.G. 301/2012.

I.10 Registrul special pentru păstrarea evidenţei contractelor de prestări de servicii

În Registrul special pentru păstrarea evidenţei contractelor de prestări de servicii vor fi


consemnate toate contractele de prestări de servicii care au ca obiect activități de pază, gardă de
corp, transport valori, durata acestora, beneficiarul serviciilor, numărul de posturi prevăzute pe
schimburi, numărul de personal alocat şi data încetării raporturilor contractuale şi motivul.

Modelul Registrului special pentru păstrarea evidenţei contractelor de prestări de servicii


este prezentat în Anexa 2j, din H.G. 301/2012.

I.11 Planuri de evacuare în situații de urgență

Planurile de evacuare în situaţii de urgenţă se referă la reprezentări grafice care înfăţişează


configuraţia obiectivului şi modalităţile de evacuare a personalului şi bunurilor materiale în situaţii
de urgenţă (incendii, explozii, inundaţii, cutremure ş.a.). De asemenea, ele cuprind date referitoare
la persoanele responsabile cu activităţile de evacuare şi modalităţile de contactare a acestora.

Planurile de evacuare în situaţii de urgenţă trebuie să fie afişate în mod corespunzător, la loc
vizibil, în toate spaţiile de lucru şi pe căile de acces.

I.12 Jurnale de service şi grafice de mentenanţă

Jurnalele de service sunt acele documente care servesc la consemnarea tuturor intervenţiilor
asupra elementelor sistemului de securitate fizică şi de persoanele care au efectuat acele lucrări.

Graficele de mentenanţă reprezintă programul de întreţinere a elementelor sistemului de


securitate fizică, corespunzător cu caracteristicile tehnice şi recomandările producătorilor acestora.

Cele două documente sunt necesare pentru urmărirea în timp sau în cazul producerii unor
evenimente a stării tehnice a sistemului de securitate fizică.

183 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

II. Documente de administrare a securităţii fizice

1. Planul de pază

Planul de pază este documentul în baza căruia se organizează paza şi se întocmeşte cu


respectarea prevederilor art. 5 din Legea nr. 333/2003 (Art. 5. (1) Paza se organizează şi se
efectuează potrivit planului de pază, întocmit de unitatea ale cărei bunuri sau valori se păzesc, cu
avizul de specialitate al poliţiei. Acest aviz este obligatoriu pentru fiecare caz de modificare a
planului de pază).
 Adoptarea măsurilor de securitate a obiectivelor, bunurilor şi valorilor prevăzute de lege
se realizează pe baza unei analize de risc la securitate fizică.
 Elaborarea analizei de risc la securitate fizică se face potrivit Instrucţiunilor Nr. 9 din 1
februarie 2013, emise de ministrul administraţiei şi internelor.
 Adoptarea măsurilor de securitate se realizează în conformitate cu analiza de risc
efectuată de unitate, prin structuri de specialitate sau prin experţi abilitaţi, care deţin competenţe
profesionale dobândite pentru ocupaţia de evaluator de risc la securitatea fizică.
 Prin planul de pază se stabilesc, în principal:
 caracteristicile obiectivului păzit, în zona respectivă (descriere, specificul
activităţii, program de funcţionare, personalul ce desfăşoară activităţi în obiectiv,
dimensiuni, împrejmuiri, porţi/uşi de acces etc.);
 numărul de posturi şi amplasarea acestora;
 necesarul de personal pentru pază (dispozitivul de pază, inclusiv schema cu
dispunerea posturilor);
 amenajările, instalaţiile şi mijloacele tehnice de pază şi de alarmare (se fac
precizări dacă obiectivul dispune de sisteme tehnice);
 consemnul posturilor (general şi particular);
 legătura şi cooperarea cu alte organe cu atribuţii de pază a obiectivelor, bunurilor,
valorilor şi persoanelor şi
 modul de acţiune în diferite situaţii;
 regulile de acces, potrivit dispoziţiilor conducătorului unităţii;
 documentele specifice serviciului de pază (anexa 2, H.G. nr. 301/2012).
 În situaţii excepţionale, pentru asigurarea provizorie a protecţiei unităţii, pe o perioadă
de maximum 7 zile pot fi instituite măsuri de pază care nu necesită întocmirea planului de pază şi
avizarea acestuia.
 Planul de pază se depune la structura de poliţie organizată la nivelul unităţii
administrativ-teritoriale pe raza căruia se află obiectivul, denumită în continuare unitate de poliţie
competentă teritorial, cu cel puţin 24 de ore înainte de instituirea pazei potrivit contractului de
prestări de servicii ori deciziei conducerii, în cazul pazei proprii.
 Actualizarea planului de pază se face numai în situaţia modificării suprafeţei,
topografiei obiectivului, a dispozitivului de pază, a regulilor de acces ori la schimbarea
prestatorului, prin intermediul unor acte adiţionale.
 În situaţia în care măsurile de securitate a obiectivului, adoptate de conducerea unităţii,
ca rezultat al analizei de risc la securitatea fizică, prevăd utilizarea numai a mijloacelor mecano-
fizice şi a sistemelor tehnice de alarmare, monitorizare şi intervenţie, fără a se institui paza cu
personal uman, nu se întocmeşte plan de pază.

184 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Unitatea de poliţie competentă teritorial analizează planul de pază şi acordă avizul de


specialitate în cel mult 30 de zile de la data înregistrării solicitării.
 Avizul de specialitate se acordă dacă sunt îndeplinite cumulativ următoarele condiţii:
a) planul de pază conţine toate datele şi informaţiile prevăzute la art. 5 alin. (3) din
Lege;
b) beneficiarul face dovada dreptului de proprietate sau de folosinţă asupra
obiectivului ce urmează a fi asigurat cu pază;
c) există un contract de prestări de servicii încheiat cu respectarea prevederilor
legale şi în termen de valabilitate cu o societate specializată de pază şi protecţie
ce deţine licenţă de funcţionare valabilă, în cazul în care paza se efectuează prin
astfel de societăţi;
d) analiza de risc la securitatea fizică a fost efectuată potrivit H.G. nr. 301/2012.
 În situaţia existenţei unui litigiu privind dreptul de proprietate sau de folosinţă asupra
obiectivului, se acordă aviz de specialitate pentru planul de pază depus de beneficiarul care face
dovada înscrierii acestor drepturi în registrul de carte funciară şi prezintă documente care atestă
dreptul de proprietate sau de folosinţă.
 Avizul poliţiei pentru planul de pază se retrage când nu mai sunt îndeplinite cumulativ
condiţiile care au stat la baza acordării, caz în care beneficiarul şi prestatorul aplică măsurile de
restabilire a situaţiei legale.
 Planurile de pază a căilor ferate, pădurilor, terenurilor forestiere, fondurilor de vânătoare
şi de pescuit, parcurilor de extracţie sau depozitare şi a echipamentelor, instalaţiilor şi construcţiilor
aferente, conductelor pentru transportul hidrocarburilor şi al produselor petroliere, sistemelor de
irigaţii, a reţelelor telefonice şi de transport al energiei electrice, infrastructurilor rutiere şi a altor
obiective specifice se adaptează caracteristicilor funcţionale ale acestora.
 Planurile de pază destinate unor obiective care depăşesc limitele unei unităţi
administrativ-teritoriale se avizează de unitatea de poliţie competentă teritorial pe raza căreia se află
sediul punctului de lucru, după ce această unitate de poliţie va consulta celelalte unităţi de poliţie,
urmând ca avizul să fie notificat şi unităţilor respective.
 Controlul modului în care sunt consemnate activităţile desfăşurate în documentele
specifice executarii şi evidenţierii serviciului de pază revine şefului de obiectiv, în cazul efectuării
pazei prin societăţi specializate de pază şi protecţie, sau şefului formaţiunii, pentru paza proprie.
 Paza proprie se organizează în raport cu natura obiectivelor, a bunurilor şi valorilor ce
urmează a fi păzite, cu amplasarea, întinderea şi vulnerabilitatea pe care le prezintă unele unităţi şi
locuri din incinta acestora, cu numărul de schimburi în care se desfăşoară activitatea, punctele de
acces şi cu alte criterii specifice. Paza proprie se realizează cu personal calificat, angajat al unităţii
beneficiare, conform legii.
 Prin paza în mediul rural se asigură paza bunurilor aflate în domeniul public sau privat
al unităţii administrative, precum şi a celor aparţinând cetăţenilor acesteia. Serviciul de pază se
realizează prin instituirea unor posturi fixe şi/sau patrule mobile pe raza administrativ-teritorială a
comunei, cu personal de pază propriu al primăriei, calificat şi atestat, cu personal al poliţiei locale
sau agenţi din cadrul societăţilor specializate de pază şi protecţie.

2. Planul de pază al transporturilor bunurilor şi valorilor

 Paza transporturilor bunurilor şi valorilor, constând în sume de bani, titluri de credite,


cecuri sau alte înscrisuri de valoare, metale şi pietre preţioase, se asigură cu mijloace de transport
anume destinate şi se realizează, după caz, cu jandarmi, personal propriu sau al unei societăţi
specializate de pază şi protecţie, înarmaţi cu arme de foc, în condiţiile legii.

185 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Prin mijloace de transport anume destinate se înţelege:


 autovehicule blindate şi semiblindate care, prin construcţie, dotare şi exploatare,
au rolul de a asigura rezistenţa la acţiunea armelor de foc pentru protecţia
personalului însoţitor şi rezistenţa la efracţie a compartimentului de valori;
 autovehicule special amenajate având compartimentul de valori rezistent la
efracţie, fixat de caroserie şi prevăzut cu încuietori acţionate din panoul de control
al conducătorului auto.
 Autovehiculele blindate sunt autovehicule care au protecţie prin blindaj pentru
compartimentele destinate personalului şi valorilor. Aceste autospeciale trebuie atestate de un
certificat emis de un organism abilitat şi acreditat în acest sens, în care se menţionează clasele de
rezistenţă la acţiunea armelor de foc, având cel puţin FB 3 pentru blindaj, respectiv BR3 pentru
geamuri, iar clasa de rezistenţă la efracţie a compartimentului de valori de cel puţin clasă de
rezistenţă RC 3, conform standardelor europene aplicabile.
 Autovehiculele semiblindate au protecţie prin blindaj pentru compartimentele destinate
personalului, având clasele de rezistenţă sub clasele prevăzute mai sus, atestate de un certificat emis
de un organism abilitat şi acreditat în acest sens.
 Compartimentul de valori al autovehiculelor blindate şi semiblindate este prevăzut cu o
singură uşă, care este asigurată cu închidere centralizată a maşinii şi cu două încuietori mecanice
sigure.
 Derularea transporturilor bunurilor şi valorilor se realizează cu respectarea următoarelor
cerinţe minime:
 transporturile bunurilor şi valorilor în cuantum sau cu o valoare de peste 500.000
euro ori echivalentul în lei se asigură cu mijloace de transport blindate şi se
realizează, după caz, cu jandarmi sau agenţi ai unei societăţi specializate de pază şi
protecţie, înarmaţi cu arme de foc letale, în condiţiile legii;
 transporturile bunurilor şi valorilor în cuantum sau cu o valoare cuprinsă între
150.000 şi 500.000 euro ori echivalentul în lei se asigură cu mijloace de transport
blindate sau semiblindate şi se realizează, după caz, cu jandarmi ori agenţi ai unei
societăţi specializate de pază şi protecţie, înarmaţi cu arme de foc letale, în
condiţiile legii;
 transporturile bunurilor şi valorilor în cuantum sau cu o valoare cuprinsă între 10.000
şi 150.000 euro ori echivalentul în lei se asigură cu mijloace de transport blindate,
semiblindate sau special amenajate, însoţite cu personal de pază propriu calificat şi
atestat ori agenţi ai unei societăţi specializate de pază şi protecţie, înarmaţi cu arme
de foc, în condiţiile legii.
 Pentru bunurile şi valorile în cuantum de sub 10.000 euro sau echivalentul în lei nu este
obligatorie organizarea transportului de valori, în condiţiile legii.
 Pentru acoperirea riscurilor la pierdere, furt sau distrugere a valorilor transportate,
transportatorul ori beneficiarul contractului de transport, potrivit înţelegerii dintre părţi, trebuie să
deţină poliţă de asigurare valabilă în raport cu bunurile sau valorile transportate.
 Planul de pază a transporturilor bunurilor şi valorilor, precum şi a transporturilor cu
caracter special cuprinde în anexă varianta de transport: în localitate, judeţ ori interjudeţean şi
durata acestuia.
 Adresele sediilor la/de la care se predau/preiau bunurile sau valorile monetare şi
itinerarele se stabilesc şi se consemnează în documente de către responsabilul transportului şi se
comunică echipajului la instructajul efectuat înainte de plecarea în cursă.
 Paza transporturilor de bunuri şi valori sau a celor cu caracter special se organizează şi
se execută potrivit prevederilor planului de pază, întocmit de unitatea ale cărei bunuri sau valori se
transportă împreună cu unitatea prestatoare, cu avizul poliţiei, care este obligatoriu şi în cazul
modificării acestuia. Acest aviz nu este necesar în cazul unităţilor la care paza transportului se

186 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

asigură cu efective de jandarmi sau cu cele aparţinând unor instituţii cu atribuţii în domeniul
apărării şi siguranţei naţionale.
 Prin planul de pază se stabilesc, în principal:
 bunurile şi valorile de transportat;
 condiţiile de mediu adecvate naturii bunurilor şi valorilor care se transportă;
 situaţia operativă;
 durata transportului;
 mijloacele de transport folosite;
 variantele de transport;
 dispozitivul de pază;
 consemnul general şi particular pentru personalul implicat;
 dotarea cu mijloace tehnice şi de autoapărare;
 modul de acţiune în diferite situaţii potrivit reglementărilor legale în vigoare.
 Actualizarea planului de pază al transportului se face numai în situaţia modificării
dispozitivului de pază sau a regulilor de efectuare a pazei, precum şi în cazul schimbării
prestatorului ori a autovehiculelor prevăzute în planul de pază.
 În cazul indisponibilităţii temporare a unui prestator, beneficiarul poate contracta
serviciile de transport de valori de la o altă societate licenţiată care va respecta în mod
corespunzător prevederile planului de pază iniţial. Dacă prelungirea indisponibilităţii durează mai
mult de 24 de ore se va proceda la actualizarea planului de pază conform alin. de mai sus.
 Unitatea de poliţie competentă teritorial analizează planul de pază al transporturilor şi
acordă avizul de specialitate în cel mult 15 zile de la data înregistrării solicitării.
 Avizul poliţiei pentru planul de pază se retrage când nu mai sunt îndeplinite condiţiile
care au stat la baza acordării.
 În vederea asigurării securităţii personalului şi a valorilor transportate, autovehiculele
blindate şi semiblindate se echipează cu dispozitive tehnice de pază, localizare şi supraveghere,
precum şi sisteme de alarmare şi de comunicaţii care să asigure legătura cu dispeceratul de
monitorizare şi alertare a poliţiei sau jandarmeriei, după caz.
 Autovehiculele special amenajate se dotează cu dispozitive tehnice de pază şi alarmare
pe compartimentul de valori, precum şi cu mijloace de comunicaţii, iar sistemul de alarmă se
conectează la un centru de monitorizare şi intervenţie avizat de poliţie.
 Prin monitorizare se înţelege posibilitatea tehnică de stabilire, în orice moment, a
poziţiei autospecialei şi a direcţiei de deplasare şi de semnalare a stării de pericol în caz de
necesitate, precum şi de înregistrare a parametrilor vectorilor de deplasare.
 Monitorizarea şi localizarea autovehiculelor de transport blindate şi semiblindate se fac
prin dispecerat cu operator care deserveşte o platformă tehnică special destinată.
 Pentru protecţia bancnotelor transportate pot fi folosite soluţii alternative care asigură
posibilitatea de neutralizare a acestora în caz de efracţie sau la deschidere neautorizată şi
descurajarea agresării personalului însoţitor.
 Personalul care asigură paza transportului de valori se dotează cu arme de foc şi, după
caz, cu bastoane din cauciuc sau tip tomfe, spray-uri iritant-lacrimogene, precum şi mijloace de
protecţie individuală.
 Mijloacele din dotarea efectivă se stabilesc în funcţie de bunurile şi valorile
transportate, prin planul de pază.
 Membrii echipajului unui vehicul care nu este blindat, dar care este amenajat şi utilizat
pentru transportul bancnotelor, bijuteriilor sau metalelor preţioase se dotează cu mijloace de
protecţie individuală, de autoapărare şi intervenţie.

187 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

3. Planul de protecţie

Planul de protecţie reprezintă documentul operativ, avizat de poliţie, în baza căruia se


desfăşoară activităţile specifice de gardă de corp.
Planul de protecţie se întocmeşte de conducerea societăţii specializate de pază şi protecţie
cu consultarea beneficiarului şi se depune, spre avizare, la inspectoratul de poliţie judeţean sau la
Direcţia Generală de Poliţie a Municipiului Bucureşti pe raza căruia/căreia are domiciliul sau
reşedinţa persoana căreia i se asigură protecţie, cu 5 zile înainte de începerea activităţii contractate.
 Prin planul de protecţie se stabilesc, în principal:
 datele de identificare ale persoanei căreia i se asigură protecţia;
 date privind ameninţările posibile şi necesitatea protecţiei;
 dispozitivul de protecţie;
 limitele traseelor de deplasare;
 mijloacele de transport folosite;
 personalul abilitat care execută activităţile de protecţie;
 consemnul general şi particular al personalului gardă de corp;
 modul de acţiune în diferite situaţii;
 legătura şi cooperarea cu autorităţile cu atribuţii în domeniu.

4. Scenariul de securitate la incendiu

Scenariul de securitate la incendiu estimează condiţiile tehnice asigurate conform


reglementărilor în vigoare şi acţiunile ce trebuie întreprinse în caz de incendiu pentru îndeplinirea
cerinţei esenţiale "securitatea la incendiu".

Elaborarea scenariului de securitate la incendiu

- Scenariul de incendiu se elaborează pentru categoriile de construcţii, instalaţii şi


amenajări stabilite prin Hotărârea Guvernului nr. 1.739/2006 pentru aprobarea categoriilor de
construcţii şi amenajări care se supun avizării şi/sau autorizării privind securitatea la incendiu,
publicată în Monitorul Oficial al României, Partea I, nr. 995 din 13 decembrie 2006.
- Pot fi elaborate scenarii de securitate la incendiu şi pentru alte categorii de construcţii,
instalaţii şi amenajări decât cele prevăzute la art. 4, la solicitarea proprietarului sau a beneficiarului
pentru evaluarea riscului de incendiu ori pentru stabilirea unor măsuri de optimizare a protecţiei la
incendiu.
- Scenariile de securitate la incendiu constituie acea parte a pieselor scrise ale proiectului
construcţiei, instalaţiei sau amenajării, care sintetizează regulile şi măsurile de apărare împotriva
incendiilor stabilite prin documentaţiile tehnice de proiectare/execuţie elaborate.
- Măsurile adoptate prin scenariul de securitate la incendiu trebuie să se reflecte în piesele
desenate ale documentaţiilor de proiectare/execuţie.
- Scenariile de securitate la incendiu se includ în documentaţiile tehnice ale construcţiilor
şi se păstrează de către utilizatori (investitori, proprietari, beneficiari, administratori etc.) pe toată
durata de existenţă a construcţiilor, instalaţiilor tehnologice şi a altor amenajări.
- Scenariile de securitate la incendiu se actualizează atunci când intervin modificări ale
proiectului sau destinaţiei construcţiei şi îşi pierd valabilitatea atunci când nu mai corespund
situaţiei pentru care au fost întocmite.

Structura scenariului de securitate la incendiu


1. Caracteristicile construcţiei sau amenajării
1.1. Datele de identificare
A. Se înscriu datele necesare identificării construcţiei/amenajării: denumire, proprietar/
beneficiar, adresă, nr. de telefon, fax, e-mail etc.

188 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

B. Se fac referiri privind profilul de activitate şi, după caz, privind programul de lucru al
obiectivului, în funcţie de situaţia în care se elaborează scenariul de securitate la incendiu.
1.2. Destinaţia
Se menţionează funcţiunile principale, secundare şi conexe ale construcţiei/amenajării,
potrivit situaţiei pentru care se întocmeşte scenariul de securitate la incendiu.
1.3. Categoria şi clasa de importanţă
A. Se precizează categoria de importanţă a construcţiei, stabilită conform Regulamentului
privind stabilirea categoriei de importanţă a construcţiilor, aprobat prin Hotărârea Guvernului nr.
766/1997 pentru aprobarea unor regulamente privind calitatea în construcţii, publicată în Monitorul
Oficial al României, Partea I, nr. 352 din 10 decembrie 1997, cu modificările şi completările
ulterioare, şi în conformitate cu metodologia specifică.
B. Se precizează clasa de importanţă a construcţiei potrivit reglementărilor tehnice,
corelată cu categoria de importanţă.
1.4. Particularităţi specifice construcţiei/amenajării
A. Se prezintă principalele caracteristici ale construcţiei/amenajării privind:
a) tipul clădirii: civilă, înaltă, foarte înaltă, cu săli aglomerate, de producţie sau depozitare,
monobloc, blindată, cu funcţiuni mixte etc., precum şi regimul de înălţime şi volumul construcţiei;
b) aria construită şi desfăşurată, cu principalele destinaţii ale încăperilor şi ale spaţiilor
aferente construcţiei;
c) numărul compartimentelor de incendiu şi ariile acestora;
d) precizări referitoare la numărul maxim de utilizatori: persoane, animale etc.;
e) prezenţa permanentă a persoanelor, capacitatea de autoevacuare a acestora;
f) capacităţi de depozitare sau adăpostire;
g) caracteristicile proceselor tehnologice şi cantităţile de substanţe periculoase, potrivit
clasificării din Hotărârea Guvernului nr. 95/2003 privind controlul activităţilor care prezintă
pericole de accidente majore în care sunt implicate substanţe periculoase, publicată în Monitorul
Oficial al României, Partea I, nr. 120 din 25 februarie 2003;
h) numărul căilor de evacuare şi, după caz, al refugiilor.
B. Precizări privind instalaţiile utilitare aferente clădirii sau amenajării: de încălzire,
ventilare, climatizare, electrice, gaze, automatizare etc., precum şi a componentelor lor, din care să
rezulte că acestea nu contribuie la iniţierea, dezvoltarea şi propagarea unui incendiu, nu constituie
risc de incendiu pentru elementele de construcţie sau obiectele din încăperi ori adiacente acestora,
iar în cazul unui incendiu se asigură condiţii pentru evacuarea persoanelor.
2. Riscul de incendiu
A. Identificarea şi stabilirea nivelurilor de risc de incendiu se fac potrivit reglementărilor
tehnice specifice, luându-se în considerare:
a) densitatea sarcinii termice;
b) clasele de reacţie la foc, stabilite potrivit criteriilor din Regulamentul privind
clasificarea şi încadrarea produselor pentru construcţii pe baza performanţelor de comportare la foc,
aprobat prin Ordinul comun al ministrului transporturilor, construcţiilor şi turismului şi al
ministrului administraţiei şi internelor nr. 1.822/394/2004, publicat în Monitorul Oficial al
României, Partea I, nr. 90 din 27 ianuarie 2005, din reglementările tehnice specifice, precum şi din
caracteristicile şi proprietăţile fizico-chimice ale materialelor şi substanţelor utilizate;
c) sursele potenţiale de aprindere şi împrejurările care pot favoriza aprinderea şi, după caz,
timpul minim de aprindere, precum şi timpul de atingere a fazei de incendiu generalizat.
B. Nivelurile riscului de incendiu se stabilesc pentru fiecare încăpere, spaţiu, zonă,
compartiment, potrivit reglementărilor tehnice, în funcţie de densitatea sarcinii termice, funcţiunea
spaţiilor, încăperilor, respectiv de natura activităţilor desfăşurate, de comportarea la foc a
elementelor de construcţii şi de caracteristicile de ardere a materialelor şi substanţelor utilizate,
prelucrate, manipulate sau depozitate, şi se precizează în scenariul de securitate la incendiu întocmit
pentru clădirea în ansamblu, amenajarea ori compartimentul de incendiu.

189 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

C. Pentru situaţiile prevăzute la art. 10 alin. (1) din metodologie se stabilesc, după caz,
măsuri alternative pentru reducerea riscului de incendiu, pentru încadrarea în nivelul prevăzut în
reglementările tehnice.
3. Nivelurile criteriilor de performanţă privind securitatea la incendiu
3.1. Stabilitatea la foc
Stabilitatea la foc se estimează potrivit prevederilor normelor generale de apărare
împotriva incendiilor şi reglementărilor tehnice, în funcţie de:
a) rezistenţa la foc a principalelor elemente de construcţie (în special a celor portante sau
cu rol de compartimentare), stabilită potrivit criteriilor din Regulamentul privind clasificarea şi
încadrarea produselor pentru construcţii pe baza performanţelor de comportare la foc,
reglementărilor tehnice şi standardelor europene de referinţă;
b) gradul de rezistenţă la foc a construcţiei sau a compartimentului de incendiu, conform
reglementărilor tehnice.
3.2. Limitarea apariţiei şi propagării focului şi fumului în interiorul construcţiei
Pentru asigurarea limitării propagării incendiului şi efluenţilor incendiului în interiorul
construcţiei/compartimentului de incendiu se precizează:
a) compartimentarea antifoc şi elementele de protecţie a golurilor funcţionale din
elementele de compartimentare;
b) măsurile constructive adaptate la utilizarea construcţiei, respectiv acţiunea termică
estimată în construcţie, pentru limitarea propagării incendiului în interiorul compartimentului de
incendiu şi în afara lui: pereţii, planşeele rezistente la foc şi elementele de protecţie a golurilor din
acestea, precum şi posibilitatea de întrerupere a continuităţii golurilor din elementele de construcţii;
c) sistemele de evacuare a fumului şi, după caz, a gazelor fierbinţi;
d) instalarea de bariere contra fumului, de exemplu uşi etanşe la fum;
e) sistemele şi instalaţiile de detectare, semnalizare şi stingere a incendiului;
f) măsurile de protecţie la foc pentru instalaţiile de ventilare-climatizare, de exemplu:
canale de ventilare rezistente la foc, clapete antifoc etc.;
g) măsurile constructive pentru faţade, pentru împiedicarea propagării focului la părţile
adiacente ale aceleiaşi clădiri.
3.3. Limitarea propagării incendiului la vecinătăţi
Pentru asigurarea limitării propagării incendiilor la vecinătăţi se precizează:
a) distanţele de siguranţă asigurate conform reglementărilor tehnice sau măsurile
alternative conforme cu reglementările tehnice, atunci când aceste distanţe nu pot fi realizate;
b) măsurile constructive pentru limitarea propagării incendiului pe faţade şi pe acoperiş,
de exemplu performanţa la foc exterior a acoperişului/învelitorii de acoperiş;
c) după caz, măsuri de protecţie activă.
3.4. Evacuarea utilizatorilor
A. Pentru căile de evacuare a persoanelor în caz de incendiu se precizează:
a) alcătuirea constructivă a căilor de evacuare, separarea de alte funcţiuni prin elemente
de separare la foc şi fum, protecţia golurilor din pereţii ce le delimitează;
b) măsuri pentru asigurarea controlului fumului, de exemplu prevederea de instalaţii de
presurizare şi alte sisteme de control al fumului;
c) tipul scărilor, forma şi modul de dispunere a treptelor: interioare, exterioare deschise,
cu rampe drepte sau curbe, cu trepte balansate etc.;
d) geometria căilor de evacuare: gabarite - lăţimi, înălţimi, pante etc.;
e) timpii/lungimile de evacuare;
f) numărul fluxurilor de evacuare;
g) existenţa iluminatului de siguranţă, tipul şi sursa de alimentare cu energie electrică de
rezervă;
h) prevederea de dispozitive de siguranţă la uşi;
i) timpul de siguranţă a căilor de evacuare şi, după caz, a refugiilor;
j) marcarea căilor de evacuare.

190 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

B. Dacă este cazul, se precizează măsurile pentru accesul şi evacuarea copiilor,


persoanelor cu dizabilităţi, bolnavilor şi ale altor categorii de persoane care nu se pot evacua singure
în caz de incendiu.
C. Se fac precizări privind asigurarea condiţiilor de salvare a persoanelor, a animalelor şi
evacuarea bunurilor pe timpul intervenţiei.
3.5. Securitatea forţelor de intervenţie
A. Se precizează amenajările pentru accesul forţelor de intervenţie în clădire şi incintă,
pentru autospeciale şi pentru ascensoarele de incendiu.
B. Se precizează caracteristicile tehnice şi funcţionale ale acceselor carosabile şi ale
căilor de intervenţie ale autospecialelor, proiectate conform reglementărilor tehnice, regulamentului
general de urbanism şi reglementărilor specifice de aplicare, referitoare la:
a) numărul de accese;
b) dimensiuni/gabarite;
c) trasee;
d) realizare şi marcare.
C. Pentru ascensoarele de pompieri se precizează:
a) tipul, numărul şi caracteristicile acestora;
b) amplasarea şi posibilităţile de acces, sursa de alimentare cu energie electrică de
rezervă;
c) timpul de siguranţă a ascensoarelor de pompieri.
D. Se fac precizări privind asigurarea condiţiilor de salvare a persoanelor, a animalelor şi
evacuarea bunurilor pe timpul intervenţiei.
4. Echiparea şi dotarea cu mijloace tehnice de apărare împotriva incendiilor
A. Se precizează nivelul de echipare şi dotare cu mijloace tehnice de apărare împotriva
incendiilor, conform prevederilor normelor generale de apărare împotriva incendiilor, a normelor
specifice de apărare împotriva incendiilor, precum şi a reglementărilor tehnice specifice.
B. Pentru sistemele, instalaţiile şi dispozitivele de semnalizare, alarmare şi alertare în caz
de incendiu se specifică:
a) tipul şi parametrii funcţionali specifici instalaţiilor respective;
b) timpul de alarmare prevăzut;
c) zonele protejate/de detectare la incendiu.
C. Pentru sistemele, instalaţiile şi dispozitivele de limitare şi stingere a incendiilor se
specifică:
a) tipul şi parametrii funcţionali: stingere cu apă, gaze/aerosoli, spumă, pulberi; acţionare
manuală sau manuală şi automată; debite, intensităţi de stingere şi stropire, cantităţi calculate de
substanţă de stingere, concentraţii de stingere proiectate pe durată de timp normată, presiuni,
rezerve de substanţă de stingere, surse de alimentare etc.;
b) timpul normat de funcţionare;
c) zonele, încăperile, spaţiile, instalaţiile echipate cu astfel de mijloace de apărare
împotriva incendiilor.
D. Pentru stingătoare, alte aparate de stins incendii, utilaje, unelte şi mijloace de
intervenţie se specifică:
a) tipul şi caracteristicile de stingere asigurate;
b) numărul şi modul de amplasare în funcţie de parametrii specifici: cantitatea de
materiale combustibile/volumul de lichide combustibile, suprafaţa, destinaţia, clasa de incendiu etc.;
5. Condiţii specifice pentru asigurarea intervenţiei în caz de incendiu
În funcţie de categoria de importanţă a construcţiei, tipul acesteia, riscurile de incendiu,
amplasarea construcţiei sau a amenajării, se specifică:
a) sursele de alimentare cu apă, substanţele de stingere şi rezervele asigurate;
b) poziţionarea racordurilor de alimentare cu energie electrică, gaze şi, după caz, alte
utilităţi;

191 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

c) date privind serviciul privat pentru situaţii de urgenţă, conform criteriilor de


performanţă;
d) zonele, încăperile, spaţiile în care se găsesc substanţele şi materialele periculoase şi
pentru care sunt necesare produse de stingere şi echipamente speciale (se precizează inclusiv
cantităţile respective şi starea în care se află), precum şi tipul echipamentului individual de protecţie
a personalului.
6. Măsuri tehnico-organizatorice
A. Se stabilesc condiţiile şi măsurile necesar a fi luate, potrivit reglementărilor tehnice, în
funcţie de situaţia existentă.
B. Se apreciază modul de încadrare a construcţiei sau amenajării în nivelurile de
performanţă prevăzute de reglementările tehnice şi, după caz, se stabilesc măsuri pentru
îmbunătăţirea parametrilor şi a nivelurilor de performanţă pentru securitatea la incendiu, după caz.
C. Se precizează condiţiile sau recomandările care trebuie avute în vedere la întocmirea
documentelor de organizare a apărării împotriva incendiilor, aferente construcţiei ori amenajării
respective.

5. Proiecte tehnice de execuţie

PT-ul şi DDE - Proiectul Tehnic şi Detalii de Execuţie sunt compuse din:

A. Arhitectura

1. plan de încadrare în zonă;


2. plan de situaţie cu indicarea acceselor şi a arterelor pietonale/carosabile;
3. planurile tuturor nivelurilor sc. 1:50 cu indicarea finisajelor/culorilor;
4. plan învelitoare sc. 1:50;
5. toate cele 4 faţade sc. 1:50 cu indicarea finisajelor/culorilor;
6. secţiuni caracteristice sc. 1:50;
7. secţiuni de detaliu pentru rezolvarea problemelor/neclarităţilor sc. 1:10;
8. detalii de execuţie (închideri, pardoseli, parapeţi, hidro şi termoizolaţii) sc. 1:5;
9. memorii explicative;
10. planuri de mobilare sc. 1:50.

B. Structura

1. plan armare, cofrare, pentru fiecare nivel sc. 1:50;


2. detalii de execuţie pentru stâlpi, grinzi, plăci, prinderi, console sc. 1:5;
3. plan structură şarpantă sc. 1:50;
4. detalii de execuţie şarpantă sc. 1:5;
5. secţiuni caracteristice şi locale pentru clarificarea soluţiei sc. 1:50;
6. memorii explicative;
7. note de calcul pentru dimensionarea structurii.

C. Instalaţii

1. plan electrică, instalaţii sanitare, instalaţii electrice pentru fiecare nivel sc. 1:50;
2. secţiuni caracteristice şi locale pentru clarificarea soluţiei sc. 1:50;
3. memorii explicative;
4. planuri racorduri la aducţiunea de apă, canalizare, electrică sc. 1:50;
5. planuri pentru realizarea sistemului de încălzire/climatizare sc. 1:50;
6. note de calcul pentru instalaţii electrice, sanitare, termice.

192 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Notă:
* Detaliile de execuţie elaborate se vor completa ulterior cu orice alt detaliu necesar
pentru constructor pentru realizarea construcţiei;
* Vizitele pe şantier se vor stabili de comun acord cu beneficiarul şi se plătesc separat;
* Supravegherea de şantier se realizează de echipa de proiectare şi se plăteşte separat;
* Dirigenţia de şantier se efectuează de către un inginer constructor numit de către
constructor sau echipa de proiectare sau beneficiar.

6. Planuri de evacuare şi/sau distrugere pentru situaţii de urgenţă

Evacuarea este o măsură de protecţie civilă luată înainte, pe timpul sau după producerea
unei situaţii de urgenţă, la declararea stării de alertă şi constă în scoaterea din zonele afectate sau
potenţial a fi afectate, în mod organizat, a populaţiei, a unor instituţii publice, operartori economici,
animalelor, bunurilor materiale şi în dispunerea lor în zone sau localităţi care asigură condiţii de
protecţie şi supravieţuire.
Acţiunile de evacuare se planifică şi se organizează în funcţie de tipul de risc, avându-se
în vedere parametrii specifici ce caracterizează evoluţia şi amplorea consecinţelor acestuia.
În situaţii de urgenţă, acţiunea de evacuare începe imediat după identificarea pericolului
ori după producerea acestuia, acordându-se prioritate evacuării populaţiei.
Evacuarea în situaţii de urgenţă se execută în scopul:
- realizării măsurilor preventive de scoatere în afara zonelor de risc prognozate a
persoanelor şi bunurilor materiale;
- asigurării protecţiei personalului şi bunurilor materiale în cazul producerii unor
dezastre care pun în pericol sănătatea, viaţa şi integritatea acestora;
- asigurării continuităţii funcţionării activităţii;
- asigurării înştiinţării şi alarmării populaţiei din zona de planificare la urgenţă;
- asigurării mijloacelor de protecţie individuală pentru persoane.
Concepţia acţiunilor de evacuare cuprinde:
- organizarea şi planificarea acţiunilor de evacuare;
- situaţii şi variante de evacuare;
- executarea acţiunilor de evacuare;
- executarea evacuării pe tipuri de risc specifice.
Măsurile de asigurare a acţiunilor de evacuare sunt:
- recunoaşterea şi cercetarea;
- ordinea şi siguranţa;
- protecţia NBC;
- asigurarea psihologică;
- logistica acţiunilor de evacuare.
Organizarea conducerii şi a cooperării
Starea de alertă se declară de către preşedintele Comitetului Judeţean pentru Situaţii
de Urgenţă. Trecerea la executarea evacuării se face la ordin. Ordinul de evacuare se transmite
folosindu-se mijloace fir şi radio, conform “Planului de înştiinţare şi alarmare”.
Conducerea acţiunilor de evacuare se execută de către Celula de Urgenţă în
cooperare cu Comitetul Local pentru Situaţii de Urgenţă.
După încetarea manifestării efectelor dezastrului, Celula pentru Situaţii de Urgenţă
va lua măsuri pentru:
- refacerea infrastructurii;
- reabilitarea reţelelor de alimentare cu apă, gaze, energie electrică, combustibil,
canalizare, telecomunicaţii etc.;
- verificarea nivelului de siguranţă în exploatare a clădirilor afectate;
- executarea dezinfecţiei şi dezinsecţiei zonei afectate;

193 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- alte măsuri necesare pentru revenirea la starea de normalitate.


Nerespectarea prevederilor planului de evacuare atrage răspunderea administrativă.

7. Planuri de contigenţă

Se mai numeşte şi plan de continuitate şi este conceput pentru a asigura continuarea


activităţii în cazul în care organizaţia este afectată puternic de o pierdere (distrugeri de clădiri sau
instalaţii, pierderi de informaţii vitale, pierderea unor angajaţi esenţiali etc.). Aceste planuri pornesc
de la scenarii care iau în calcul evenimente nefavorabile pentru organizaţie şi presupun pregătirea
de rezerve şi de reacţii rapide la respectivele evenimente.
Un plan de contingenţă sau de intervenţie identifică ce acţiuni ar trebui întreprinse de către
personal, în cadrul proiectului sau programului, în cazul unui eveniment neprevăzut ce afectează
negativ proiectul. Acest plan poate fi reacţia organizaţiei la un dezastru natural, un act terorist, sau
chiar modul în care compania răspunde crizei economice. Pe ansamblu, acest plan este un ghid de
continuitate al unei afaceri, proiect sau activităţi în cazul în care acestea sunt ameninţate.
Planul de contingenţă subliniază planurile de continuitate ale proiectului. Acesta este
dezvoltat din rezultatul analizei de risc efectuate. Toate riscurile sunt identificate, evaluate şi puse
pe categorii în funcţie de priorităţi.
Cel care realizează acest plan este managerul de proiect. De asemenea, planul trebuie să
includă şi o strategie de atenuare pentru fiecare tip de risc identificat. Cele mai grave riscuri sunt
cele care pot afecta proiectul în termen de câteva ore. Planul ar trebui să enumere itemii care sunt
cel mai probabil să eşueze, dar şi care sunt resursele şi acţiunile necesare remedierii situaţiei.
Totodată, acest plan de intervenţie ar trebui să conţină o listă de proceduri necesare
restabilirii în timp util a serviciilor pentru a reveni la normal.
Mai mult, membrii echipei de proiect care se ocupă cu testarea proiectului trebuie implicaţi
în dezvoltarea planului şi trebuie să pregătească:
 Notificarea cauzei, procesului şi a strategiei;
 Proceduri de remediere pentru aplicaţii şi documente;
 O listă cu rolurile desemnate fiecărui membru în cazul unui dezastru;
 O listă cu echipamentul necesar pentru a sprijini soluţia.
În unele proiecte, ca cele în care există un contract cu o autoritate locală, se poate merge
până la a prezenta o dovadă anuală a abilităţilor unui astfel de plan. De exemplu, unele autorităţi cer
ca acest plan să fie updatat în fiecare an şi să facă dovada că în cazul unui dezastru, situaţia poate fi
remediată în termen de 24 de ore.

8. Proceduri de securitate

Pază
1. Conţinutul şi modul de întocmire a planului de pază
2. Documente de organizare, executare şi evidenţă a serviciului de pază
3. Executarea recunoaşterilor în vederea instalării pazei
4. Conţinutul consemnelor general şi particular
5. Organizarea şi executarea accesului în obiectivele păzite
6. Obligaţiile agenţilor de securitate la intrarea şi ieşirea din serviciu
Atribuţiile agentului de securitate în executarea serviciului de pază în post fix, mobil, itinerariul
7.
de patrulare şi la control acces
194 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

8. Reguli privind folosirea forţei şi a mijloacelor din dotare


Modul de intervenţie şi acţiune al agentului de securitate în unele cazuri de tulburare a ordinii şi
9.
liniştii publice
10. Atribuţiile agenţilor de pază la primirea şi predarea postului de pază şi itinerariul de patrulare
11. Atribuţiile şefului de tură
12. Atribuţiile agentului de securitate
Modul de acţiune al agentului de securitate pentru oprirea persoanelor, legitimarea şi stabilirea
13.
identităţii
14. Atribuţiile şefului de obiectiv
Modul de acţiune al personalului de paza, monitorizare şi intervenţie în situaţia ameninţării de
15.
plasare de încărcături explozive (bombă) într-un obiectiv pazit
Monitorizare, Intervenţie
1. Atribuţiile echipei de intervenţie pe timpul patrulării
2. Atribuţiile echipei de intervenţie la răspunsul de alarmă
3. Pregătirea şi verificarea echipajului la plecarea în misiune
4. Realizarea contractelor cu firme specializate în asigurarea monitorizării şi intervenţiei
5. Activitatea dispeceratului la primirea evenimentelor
6. Verificarea asigurării monitorizării şi intervenţiei de către echipajele proprii
7. Verificarea asigurării monitorizării şi intervenţiei la subcontractanţi
8. Deschiderea/închiderea unităţii bancare
9. Atribuţiile echipelor de intervenţie în situaţii speciale
10. Atribuţiile generale şi organizarea dispeceratului operativ şi a sistemelor de comunicaţii
11. Algoritmul activităţilor desfăşurate în cazul unui eveniment de monitorizare
12. Algoritmul activităţilor care se defăşoară la preluarea unui obiectiv la monitorizare şi intervenţie
15. Modul de acţiune a agenţilor de intervenţie pe motoscutere în serviciul operativ

9. Planul general de securitate

Elementele obligatorii care trebuie cuprinse în planul general de securitate sunt următoarele:
a) delimitarea şi marcarea zonelor de securitate;
b) sistemul de control al accesului;
c) sistemul de avertizare şi alarmare;
d) sistemul de pază şi apărare;
e) planul de evacuare a documentelor în caz de urgenţă;
f) modul de acţiune în situaţii de urgenţă (măsuri de evacuare/distrugere a documentelor);
g) modul de raportare, investigare şi evidenţă a încălcărilor măsurilor de securitate;
h) modalităţile de realizare a pregătirii şi instruirii personalului;
i) responsabilităţile privind verificarea sistemului de securitate al obiectivului;
j) modalităţile de realizare a inspecţiilor asupra măsurilor de securitate aplicate în cadrul
obiectivului.

Concluzii
Documentele prezentate în acest capitol trebuie să se regăsească la orice instituţie/societate
comercială, răspunderea existenţei/inexistenţei lor, actualizarea şi corectitudinea datelor înscrise
în acestea fiind o obligaţie a conducătorului acestora.
De asemenea, trebuie stabilite reguli clare privind păstrarea şi manipularea acestora.

195 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 23. Evaluarea securităţii fizice

- efectuarea analizelor de risc post implementare;


- utilizarea de proceduri pentru reflectarea indicatorilor relevanţi, având în vedere
performanţele SMS şi obiectivele organizaţiei;
- adoptarea măsurilor corective sau suplimentarea securităţii fizice.

A. Evaluarea securităţii fizice post implementare

Introducere
Un sistem de asigurare a securităţii fizice a unui obiectiv este proiectat în baza analizei de
risc, prin care sunt identificate riscurile şi vulnerabilităţile acestuia şi, în funcţie de valorile şi
bunurile ce trebuie protejate, sunt propuse soluţii în vederea diminuării lor.

Odată cu implementarea acestui sistem şi punerea sa în funcţiune, periodic sau ori de câte
ori este necesar, este obligatoriu să se efectueze testări şi analize de risc post implementare prin care
să fie evaluat modul în care respectivul sistem răspunde cerinţelor şi să fie identificate măsurile
corective sau suplimentare în vederea îmbunătăţirii gradului de acoperire a necesarului de securitate
pentru obiectiv.

I. Efectuarea analizelor de risc post implementare


Analiza riscului post implementare presupune un proces de identificare al principalelor
riscuri de securitate, stabilirea anvergurii şi implicaţiilor riscurilor, precum şi identificarea zonelor
care nu sunt integral acoperite din punct de vedere al securității fizice şi care trebuie asigurate prin
modificarea sau upgradarea sistemului de securitate fizică.

Evaluarea riscurilor este un rezultat al unui proces de analiză a riscurilor, în condiţiile


existenţei unui sistem de securitate fizică deja implementat.

Ca şi managementul riscului din etapa de evaluare în vederea implementării măsurilor de


securitate fizică şi managementul riscului post implementare poate fi definit ca totalitatea metodelor
de identificare, control, eliminare sau minimizare a evenimentelor care pot afecta resursele
sistemului şi include aceleași etape, respectiv:
- analiza riscurilor;
- analiza costului beneficiilor;
- determinarea celor mai potrivite mecanisme;
- evaluarea securităţii măsurilor adoptate;
- analiza securităţii în plan general.
Analiza riscului post implementare trebuie să urmărească:
- identificarea modului în care sistemul de securitate fizică asigură protecţia activelor
organizaţiei;
- verificarea modului şi termenelor de realizare a securităţii organizaţiei;
- alinierea programul de upgradare cu evoluţia organizaţională a obiectivului;
- oferă criterii pentru proiectarea şi evaluarea planurilor de avarie;
- îmbunătăţirea structurii sistemului de securitate fizică.

196 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

I.1 Etapele analizei de risc post implementare


Analiza riscurilor post implementare urmăreşte trei laturi, şi anume:
- analiza cantitativă;
- analiza calitativă;
- analiza posturilor din organizaţie implicate în procesul de asigurare a securităţii fizice.
I.1.1 Analiza cantitativă a riscului de securitate post implementare
Pentru această analiză a riscului post implementare se poate recurge la acelaşi model de
evaluare a riscului în cascadă ASIS (American Society for Industrial Security), care implică
parcurgerea următoarelor etape:
1. identificarea valorilor protejate care nu sunt asigurate corespunzător prin sistemul de
securitate fizică existent;
2. identificarea evenimentelor nedorite (de securitate);
3. determinarea frecvenţei de producere a evenimentelor nedorite (probabilităţi, posibilităţi);
4. determinarea consecinţelor producerii evenimentelor nedorite;
5. stabilirea soluţiilor pentru minimizarea riscului;
6. evaluarea eficienţei implementării soluţiilor pentru minimizarea riscului;
7. determinarea raportului cost/nivel de securitate.
În funcţie de mărimea raportului cost/nivel de securitate se ia decizia implementării
soluţiilor de securitate sau reluării evaluării, până când se asigură un raport acceptat.
Reluarea evaluării se poate produce de la oricare etapă, în funcţie de acceptarea sau
neacceptarea rezultatului obţinut în etapa respectivă.
Buclele succesive ale modelului asigură o mare flexibilitate de reacţie, dar îngreunează
desfăşurarea procesului evaluării. De aceea, este necesară stabilirea unui compromis între acurateţea
evaluării, timpul şi forţele de evaluare.
I.1.2 Analiza calitativă
Analiza calitativă caută să identifice soluţii şi măsuri care să ţină cont, pe de o parte, de
cerinţele de upgradare a sistemului de securitate fizică care să acopere într-o măsură cât mai mare
necesităţile de securitate ale organizaţiei, iar pe de altă parte, costurile aferente modificărilor şi
îmbunătăţirilor ce trebuie aduse sistemului.
I.1.3 Analiza posturilor din organizaţie implicate în procesul de asigurare a securității
fizice
Analiza acestor posturi urmăreşte să evalueze modul în care sistemul de organizare şi fişele
posturilor respective acoperă necesarul de securitate fizică a obiectivului.
Astfel, se verifică, printre altele, competenţa, nivelul de instruire şi gradul de încărcare a
personalului cu atribuţii pe linia asigurării securităţii fizice a obiectivului. De asemenea, sunt vizate
şi eventualele suprapuneri de competenţe şi misiuni.
În urma acestor analize, se vor formula propuneri privind suplimentarea/diminuarea
personalului, organizarea de cursuri de perfecţionare, dotări suplimentare etc.

I.2 Etapa evaluării eficienţei implementării soluţiilor pentru minimizarea riscului


În funcţie de rezultatele analizelor prezentate în capitolul precedent se stabilesc, în
concordanţă cu strategia de securitate şi cu costurile posibile a fi suportate, soluţiile de securitate
(mecanisme, reguli, măsuri, proceduri, atenţionări etc.).
După stabilirea noii structuri a mecanismului de securitate, se defineşte mediul de securitate
(evenimente, riscuri, urmări, măsuri de securitate, costuri) şi se analizează funcţionalitatea
procesuală a organizaţiei şi costul măsurilor de securitate.
Evaluarea eficienţei implementării noilor soluţii se concretizează în raportul de risc (riscul
final asumat/riscul iniţial al procesului), cu condiţia menţinerii cel puţin a operaţionalităţii de
proces, sau cu rapoarte valori de risc/costuri ori valori de risc/pierderi posibile (costuri de
insecuritate).
197 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

B. Adoptarea măsurilor corective sau suplimentarea securităţii fizice

1. Adoptarea măsurilor corective sau suplimentarea securităţii fizice urmăreşte:

- Stabilirea vulnerabilităţilor (condiţii interne) şi a factorilor de risc (condiţii externe) ce


afectează securitatea obiectivului;
- Modul de îndeplinire a sarcinilor specifice pe linie de securitate;
- Eficienţa măsurilor implementate ce operează în acest domeniu;
- Determinarea nevoilor de securitate pentru obiectivul vizat;
- Identificarea valorilor ce trebuie protejate şi stabilirea importanţei acestora, pe baza unor
criterii şi indicatori măsurabili (ex: valoarea riscului generat, probabilitatea de manifestare etc.);
- Evaluarea sistemului securităţii perimetrale şi zonale;
- Evaluarea sistemului securităţii instalaţiilor;
- Evaluarea sistemului securităţii accesului în zone şi locuri;
- Evaluarea măsurilor specifice de pază (mod de acţiune, timpi de reacţie, forţe implicate,
etc.);
- Analiza evenimentelor pe linie de securitate din obiectiv;
- Analiza colaborării cu organele abilitate (cazuri de solicitare a intervenţiei, timp de reacţie,
rezultate etc.);
- Analiza stării infracţionale din zonă;
- Identificarea şi evaluarea vulnerabilităţilor pe linie de securitate (condiţii interne care
afectează securitatea);
- Identificarea şi evaluarea factorilor de risc pe linie de securitate (condiţii externe care
afectează securitatea);
- Stabilirea calităţii serviciului prestat (executarea serviciului, modul de îndeplinire a
sarcinilor specifice, eficienţa măsurilor implementate etc.);
- Starea generală de securitate (interoperabilitatea componentelor sistemului, gradul de
protecţie etc.);
- Determinarea nevoilor reale de securitate pe baza informaţiilor adunate.

2. Evaluarea de risc
Analiza de risc la securitate fizică trebuie să asigure identificarea vulnerabilităţilor şi a
riscurilor, determinarea nivelului de expunere la producerea unor incidente de securitate fizică şi să
indice măsurile de protecţie necesare obiectivului analizat (H.G. nr. 301/2012 art. 2 alin. 5).
Configurarea unui sistem de securitate optim trebuie să plece întotdeauna de la o analiză
riguroasă a elementelor şi condiţiilor care influenţează starea de securitate a obiectivului vizat.
Optimizarea securităţii fizice vizează:
 Stabilirea principiilor şi modului de organizare şi administrare a securităţii pe toate
domeniile securităţii alese de beneficiar (securitatea fizică, securitatea personalului,
securitatea/protecţia informaţiilor, securitatea informatică, securitatea comercială);
 Stabilirea zonelor de securitate şi a standardului minim pentru fiecare zonă în parte;
 Întocmirea documentelor specifice (plan de pază, documente tip, proceduri de autorizare,
de acces în incintă/zone de securitate, la documente etc.).
Proiectarea unui sistem de securitate optim şi măsurile corective, presupun că:
 În funcţie de rezultatele evaluării, de nevoile de securitate, de obiectivele conducerii
obiectivului şi de bugetul alocat, se va proiecta un sistem de securitate care să corespundă
criteriilor stabilite de comun acord;
 La cererea beneficiarului, se poate institui şi un sistem de urmărire a rezultatului şi
eficienţei măsurilor derulate.

3. Evaluarea sistemului tehnic de securitate, presupune:


 Evaluarea sistemului de control acces şi pontaj;

198 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Evaluarea sistemului video;


 Evaluarea sistemului perimetral de detecţie / efracţie;
 Evaluarea sistemului de detecţie incendiu;
 Evaluarea condiţiilor de operare (condiţii vitrege de operare, periodicitatea
mentenanţei etc.);
 Determinarea nevoilor reale de securitate tehnică (în termeni de număr şi dispunere
echipamente, tip, calitate, lucrări de mentenanţă etc.).

4. Reorganizarea şi administrarea securităţii fizice


 Determinarea permanentă a nevoilor reale de securitate ale obiectivului;
 Delimitarea zonelor de securitate în interiorul obiectivului şi a standardului minim
pentru fiecare zonă în parte;
 Întocmirea procedurilor specifice (acces, vizită, patrulare, intervenţie, control, testare,
mod de acţiune în diferite situaţii etc.);
 La cererea beneficiarului, se poate face şi o analiză a bugetului alocat securităţii fizice.

Concluzii
Evaluarea periodică sau ori de câte ori se impune a sistemului de securitate fizică este
imperios necesară în vederea stabilirii modului în care acesta răspunde cerinţelor şi pentru
stabilirea măsurilor corective.

În general, măsurile de natură tehnică se împletesc cu cele de natură procedurală,


rezultatul fiind o îmbunătăţire a calităţii securităţii fizice în condiţiile unei eficientizări a
utilizării resurselor umane şi materiale ale organizaţiei.

199 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unitatea de competenţă:
UCS2. Organizarea securităţii personalului

Tema 24. Securitatea persoanelor importante din organizaţie împotriva


riscurilor de securitate
Introducere
Protecția şi securitatea persoanelor importante dintr-o organizaţie se desfăşoară în contextul
mai larg al conceptului de securitate fizică a obiectivelor, bunurilor, valorilor şi protecţia
persoanelor.
Măsurile în cauză cuprind soluţii tehnice şi procedurale circumscrise scopului mai sus-
menţionat.

I. Asigurarea protecţiei persoanelor importante


Asigurarea protecţiei persoanelor importante se poate realiza prin protecţie fizică asigurată
de gărzi de corp şi prin măsuri procedurale.

I.1 Protecţia fizică a persoanelor prin gărzi de corp

Gărzile de corp reprezintă acea categorie de personal selecţionat, încadrat şi specializat în


condiţiile legii, cu competenţe pe linia protecţiei fizice şi au următoarele atribuţii principale:
a) să oprească şi să legitimeze persoanele despre care există date sau indicii că au săvârşit
infracţiuni ori alte fapte ilicite în obiectivul păzit, pe cele care încalcă normele interne stabilite prin
regulamentele proprii, iar în cazul infracţiunilor flagrante, să prindă şi să prezinte poliţiei pe
făptuitor, să oprească şi să predea poliţiei bunurile ori valorile care fac obiectul infracţiunii sau al
altor fapte ilicite, luând măsuri pentru conservarea ori paza lor, întocmind totodată un proces-verbal
pentru luarea acestor măsuri. Procesul-verbal astfel întocmit constituie act de sesizare a organelor
de urmărire penală;
b) să păstreze secretul de stat şi cel de serviciu, dacă, prin natura atribuţiilor, are acces la
asemenea date şi informaţii;
c) să poarte numai în timpul serviciului mijloacele de apărare, de protecţie şi armamentul cu
care este dotat şi să facă uz de armă numai în cazurile şi în condiţiile prevăzute de lege;
d) să poarte uniforma şi însemnele distinctive numai în timpul serviciului, cu excepţia
locurilor de muncă unde se impune o altă ţinută;
e) să nu se prezinte la serviciu sub influenţa băuturilor alcoolice şi nici să nu consume astfel
de băuturi în timpul serviciului;
f) să nu absenteze fără motive temeinice şi fără să anunţe în prealabil conducerea unităţii
despre aceasta;
g) să execute întocmai dispoziţiile şefilor ierarhici, cu excepţia celor vădit nelegale, şi să fie
respectuos în raporturile de serviciu;
h) să apere persoana căreia îi asigură garda de corp împotriva unor atacuri care pun în
pericol viaţa, integritatea corporală, sănătatea sau bunurile acesteia;
i) să ia primele măsuri pentru salvarea persoanei beneficiare de gardă de corp, când aceasta
a fost rănită;

200 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

j) să nu execute, la cererea beneficiarului de gardă de corp, activităţi care depăşesc limita


atribuţiilor sale legale;
k) să anunţe unitatea de poliţie de îndată ce intră în posesia unor date sau informaţii despre
iminenta pregătire sau săvârşire a unor infracţiuni;
l) să oprească şi să imobilizeze, în funcţie de posibilităţi, persoanele care au săvârşit fapte
de natură a pune în pericol viaţa, integritatea corporală, sănătatea sau bunurile persoanei căreia îi
asigură protecţia şi să sesizeze de îndată cea mai apropiată unitate de poliţie;
m) să participe, la cererea autorităţilor statului, la îndeplinirea misiunilor ce revin acestora
pentru prinderea infractorilor, fără a încălca obligaţiile faţă de persoana pe care o are în pază;
n) să coopereze cu autorităţile statului care au atribuţii în domeniul apărării, ordinii publice
şi siguranţei naţionale.

I.2 Protecţia persoanelor importante prin măsuri procedurale

Modul de acţiune a personalului care execută serviciul de gardă de corp se stabileşte prin
planul de protecţie întocmit de societatea specializată de pază, avizat de unitatea de poliţie
competentă teritorial.

Măsurile procedurale stabilesc cadrul de acţiune atât pentru personalul specializat, cât şi
pentru subiectul activităţilor de protecţie fizică, prin identificarea scenariilor posibile de desfășurare
a unor eventuale evenimente care se pot constitui ca riscuri şi ameninţări pentru persoanele
importante dintr-o organizaţie.

I.3 Dotarea gărzilor de corp

În raport cu importanţa şi natura obiectivelor, bunurilor şi valorilor păzite, cu avizul poliţiei


sau al jandarmeriei, după caz, garda de corp poate fi dotată cu arme de foc, bastoane de cauciuc sau
tomfe, pulverizatoare iritant-lacrimogene de capacitate mică şi alte mijloace de apărare, autorizate
prin lege.

Dotarea cu arme de foc a gărzii de corp se face numai după avizarea, după caz, de către
poliţie sau jandarmerie a planului de pază/protecţie a obiectivului/persoanei ori a transportului de
bunuri şi valori speciale sau a produselor cu caracter special.

Armamentul şi munitia se asigură prin închiriere, contra cost, de către unitatea de poliţie sau
jandarmi competentă teritorial.

Cel puţin semestrial, sub supravegherea unităţilor de poliţie sau jandarmi competente
teritorial, se vor organiza trageri de antrenament cu garda de corp dotată cu arme de foc.

Concluzii
Protecţia persoanelor importante dintr-o organizaţie reprezintă o latură importantă a
securităţii fizice a unui obiectiv, prin aceasta instituind un climat optim pentru desfăşurarea în
condiţii corespunzătoare a activităţilor instituţiei respective.

201 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 25. Riscurile de securitate generate de personal. Metode de diminuare


a riscurilor din interior. Verificarea de securitate a personalului. Procedurile
legate de încetarea contractului de muncă.

Introducere
Resursa umană într-o organizaţie este un potenţial invizibil, dificil de identificat, intangibil
şi nemăsurabil care contribuie mereu la şi fără de care conceptul organizaţional nu poate exista.
Acest capital nu este măsurat şi este aproape imposibil de cuantificat.

Într-o lume modernă supusă şanselor aleatoare ale riscului, multe organizaţii nu investesc în
capitalul uman. Majoritatea maşinilor, utilajelor se dezintegrează printr-o utilizare repetată, se
uzează, iar capitalul uman neutilizat la adevărata sa valoare tinde să se atrofieze şi să fie scos din uz.

Un manager care a luat câteva decizii de-a lungul carierei lui este adesea mai puţin valoros
ca un manager a cărui viziune de ansamblu asupra managementului firmei l-a făcut să păstreze şi să
atragă un personal competent căruia i-a acordat o libertate suficientă, încredinţându-i diverse
răspunderi, rezistând astfel schimbărilor mai mult sau mai puţin favorabile.

În ceea ce priveşte riscurile cauzate de personal pe linia securităţii fizice a unui obiectiv este
necesară o politică corespunzătoare de securitate pe segmentul resurselor umane.

I. Riscurile de securitate generate de personal


În baza unei analize a riscurilor generate de personal pot fi menţionate următoarele categorii
semnificative:

1. Reducerea potenţialului uman


Neglijarea eforturilor de management şi a contribuţiilor umane prin înlocuirea abuzivă a lor
cu proprietăţi hard-maşini, sisteme, proceduri automatizate şi automatice, sunt dăunătoare. Mulţi
manageri uită că nici o maşină nu poate face vânzare sau conduce şi elabora o întreagă strategie de
vânzare; pentru aceasta este nevoie de oameni.

2. Încurajarea disputelor
Unii manageri excelează prin promovarea rivalităţilor, avantajelor finale sau a
recompenselor finale pe care le acordă anumitor angajaţi privilegiaţi. Ei caută să-şi asigure succesul
eliminând pe cel care a greşit într-un grup, chiar dacă, cumulate, în final, rezultatele au fost
pozitive. Ei promovează viziuni limitate, distrugând psihicul subordonaţilor lor.

3. Păstrarea unor impresii eronate


Personalul trebuie privit într-un mod dinamic, lipsa unei investiții într-o cultură
educațională neoferind şansa apariţiei unor identităţi noi, a unor oameni valoroşi, care nu au avut
posibilitatea să se testeze într-un anumit domeniu. Mai mult, idei preconcepute despre anumiţi
indivizi influenţează calitatea actului managerial şi randamentul personalului.

4. Penalizarea evoluţiilor pozitive


Managerii motivează mereu că pot obţine rezultate favorabile dacă au o anumită investiţie
sau, mai mult, au nevoie de o încurajare pentru a se dezvolta, a generaliza, a sintetiza obiectivele şi
de a le difuza.

202 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

5. Protecţia informaţiei
Schimbarea unei afaceri, luarea unei decizii rapide presupune o anumită discreţie în
păstrarea unui secret.
Protecţia unei organizaţii implică şi păstrarea datelor / informaţiilor care se vehiculează şi
care au un caracter confidenţial. Personalul firmei trebuie protejat pe principiul need to know,
fiecărui nivel ierarhic al unei firme trebuind să i se acorde o anumită doză de încredere, pentru că
cea mai apreciată expunere pentru decizia de management va fi atunci când se implică personalul,
dăruindu-le o anumită doză de cunoaştere.
Oamenii au nevoie de informaţie, chiar şi de o informaţie neesenţială, care promovează
interesele lor generale şi reafirmă abilitatea de a deţine mai multă cunoaştere decât computerele sau
maşinile cele mai sofisticate.

6. Eliminarea pedepselor
Majoritatea managerilor consideră oamenii o generaţie de roboţi - roboţi umani, care
realizează grafice, schiţe, instrucţii speciale, procese pentru cazul static al unui automat. "Pericolul
trecutului a fost că oamenii deveneau sclavi, pericolul viitorului este că omul devine robot".
Este foarte normal ca managementul să fie un exerciţiu de judecată, discreţie, dar restricţiile
ce cauzează diverse conflicte trebuie eliminate.
Managerul nu trebuie să fie un birocrat bine reglat, care favorizează un anumit grup şi are
mereu acordul acestui grup, pentru că acest grup distruge întreaga creativitate care este sub
comanda lui.

7. Stilul de lucru
Este dificil să vedem calităţile personalului, partea riscantă intervine în cazul în care nu
recunoaştem talentele, capacităţile pe care le conducem şi vedem doar strategia de a obţine profit,
sau de a ne dubla capitalul.

Trebuie să considerăm oamenii, să le evaluăm interesele care corespund cu scopurile lor şi


se combină în managementul organizației.

8. Stările de tensiune
Tensiunile conflictuale între sindicate şi manageriat agravează condiţiile existente în
evoluţia firmei. Managerii nu trebuie să refuze cunoaşterea, ei trebuie să se acomodeze schimbării şi
să găsească mereau soluţii favorabile, să aibă viziune în afaceri într-o lume ce stagnează şi stopează
progresul.

II. Metode de diminuare a riscurilor din interior


Pentru a diminua riscurile, managerul trebuie să respecte unele criterii de orientare asupra
organizaţiei pe care o conduce:
 să creeze o structură organizatorică flexibilă şi adaptabilă;
 să se justifice validitatea verigilor administrative, cât şi numărul lor;
 să menţină anumite nivele de supraveghere şi control;
 să adapteze atribuţiile oamenilor cărora li se încredinţează;
 să adapteze continuu principiile de politică economică, principii ce vor fi utilizate numai
ca instrumente de orientare.
Managementul este şi va rămâne un proces continuu de evaluare şi luare a deciziilor asupra
oamenilor, în esenţă a subordonaţilor. Este necesar ca subordonaţii să fie apreciați pe baza unor
analize statistice referitoare la activităţile lor, astfel încât trebuie:

203 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 să valorifice însuşirile lor deosebite şi talentele lor;


 să acorde oamenilor excepţionali posibilitatea să-şi poată aduce contribuţia maximă;
 să studieze pe acei executanţi care sunt buni şi pe cei mediocri pentru a vedea dacă nu
cumva există posibilităţi pentru a-i ajuta să se dezvolte;
 să-i asiste, când există posibilitatea, dar nu trebuie insistat pentru schimbarea lor, ci să se
pună accent pe preluarea aptitudinile lor pozitive.

III. Verificarea de securitate a personalului


Securitatea personalului reprezintă ansamblul procedurilor de securitate menite:
a) să prevină accesul persoanelor neautorizate la informații confidenţiale;
b) să garanteze că informaţiile şi datele sunt distribuite exclusiv pe baza principiului nevoii
de a şti (need-to-know);
c) să permită identificarea persoanelor care, prin acţiunile lor, pot pune în pericol securitatea
informaţiilor şi să interzică accesul acestor persoane la astfel de informaţii.
Asigurarea securităţii personalului se realizează prin următoarele elemente: selecţionarea,
verificarea, avizarea şi autorizarea accesului la informaţiile confidenţiale, controlul şi instruirea
personalului.

Pentru accesul la informaţii clasificate, persoanelor vizate li se acordă următoarele


documente:
1. certificate de securitate;
2. autorizaţii de acces la informaţii clasificate potrivit nivelului de secretizare;
3. avize ale autorităţii desemnate de securitate.
În cadrul procedurilor de avizare trebuie acordată atenţie specială persoanelor care:
a. urmează să aibă acces la informaţii strict secrete şi strict secrete de importanţă
deosebită;
b. ocupă funcţii ce presupun accesul permanent la un volum mare de informaţii secrete de
stat;
c. pot fi vulnerabile la acţiuni ostile, ca urmare a importanţei funcţiei în care vor fi numite,
a mediului de relaţii sau a locului de muncă anterior.
 Oportunitatea avizării va fi evaluată pe baza verificării şi investigării biografice a celui în
cauză.
 Când persoanele urmează să îndeplinească funcţii care le pot facilita accesul la informaţii
secrete de stat doar în anumite circumstanţe - paznici, curieri, personal de întreţinere - se va
acorda atenţie primei verificări de securitate.
 Procedura de verificare în vederea acordării accesului la informaţii clasificate are drept scop
identificarea riscurilor de securitate, aferente gestionării informaţiilor clasificate.
 În funcţie de nivelul de secretizare a informaţiilor pentru care se solicită avizul de securitate,
termenele de prezentare a răspunsului de către instituţiile abilitate să efectueze verificările de
securitate sunt:
a. pentru acces la informaţii strict secrete de importanţă deosebită - 90 de zile
lucrătoare;
b. pentru acces la informaţii strict secrete - 60 de zile lucrătoare;
c. pentru acces la informaţii secrete - 30 de zile lucrătoare.
 În cazul verificării suplimentare, termenele de efectuare a verificărilor vor fi prelungite în
mod corespunzător.

204 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Principalele criterii de evaluare a compatibilităţii în acordarea avizului pentru eliberarea


certificatului de securitate/autorizaţiei de acces vizează atât trăsăturile de caracter, cât şi
situaţiile sau împrejurările din care pot rezulta riscuri şi vulnerabilităţi de securitate.
 Valabilitatea certificatului de securitate/autorizaţiei de acces eliberate unei persoane este de
până la patru ani, în această perioadă verificările putând fi reluate oricând.
 În funcţie de nivelul de secretizare a informaţiilor secrete de stat la care se acordă accesul,
investigaţia de cunoaştere a antecedentelor va avea în vedere, gradual, următoarele:
a. consultarea registrelor de stare civilă pentru verificarea datelor personale în
vederea stabilirii, fără dubiu, a identităţii persoanei solicitante;
b. verificarea cazierului judiciar, în evidenţele centrale şi locale ale poliţiei, în baza
de date a Registrului Comerţului, precum şi în alte evidenţe;
c. stabilirea naţionalităţii persoanei şi cetăţeniei prezente şi anterioare;
d. confirmarea pregătirii în şcolile, universităţile şi alte instituţii de învăţământ
urmate de titular, de la împlinirea vârstei de 18 ani;
e. cunoaşterea conduitei la locul de muncă actual şi la cele anterioare, cu referinţe
obţinute din dosarele de angajare, aprecierile anuale asupra performanţelor şi
eficienţei activităţii ori furnizate de şefii instituţiilor, şefii de compartimente sau
colegi;
f. organizarea de interviuri şi discuţii cu persoane care pot face aprecieri asupra
trecutului, activităţii, comportamentului şi corectitudinii persoanei verificate;
g. cunoaşterea comportării pe timpul serviciului militar şi a modalităţii în care a fost
trecut în rezervă;
h. existenţa unor riscuri de securitate datorate unor eventuale presiuni exercitate din
străinătate;
i. solvabilitatea şi reputaţia financiară a persoanei;
j. stabilirea indiciilor şi obţinerea de probe conform cărora persoana solicitantă este
sau a fost membru ori afiliat al vreunei organizaţii, asociaţii, mişcări, grupări
străine sau autohtone, care au sprijinit sau au susţinut comiterea unor acte de
violenţă, în scopul afectării drepturilor altor persoane sau care încearcă să schimbe
ordinea de stat prin mijloace neconstituţionale.
 În cazul în care o persoană deţine certificat de securitate/autorizaţie de acces la informaţii
naţionale clasificate, acesteia i se poate elibera şi certificat de securitate pentru acces la
informaţii NATO clasificate, valabil pentru acelaşi nivel de secretizare sau pentru un nivel
inferior.
 Dacă informaţiile NATO clasificate la care se solicită acces în condiţiile alin. de mai sus
sunt de nivel superior celui pentru care persoana în cauză deţine certificat de
securitate/autorizaţie de acces se vor efectua verificările necesare, potrivit standardelor în
vigoare.
 Certificatul de securitate sau autorizaţia de acces îşi încetează valabilitatea şi se va retrage în
următoarele cazuri:
a. la solicitarea ORNISS;
b. prin decizia conducătorului unităţii care a eliberat certificatul/autorizaţia;
c. la solicitarea autorităţii desemnate de securitate competente;
d. la plecarea din unitate sau la schimbarea locului de muncă al deţinătorului în cadrul
unităţii, dacă noul loc de muncă nu presupune lucrul cu astfel de informaţii secrete
de stat;
e. la schimbarea nivelului de acces.
Pe lângă cele astfel precizate, restul instrumentelor pe care o organizaţie le poate folosi
(predicitive index, profiling etc), din punct de vedere al verificărilor care se doresc a fi întreprinse,
trebuie respectate următoarele condiţii minimale:
 Respectarea cadrului legal, ceea ce presupune delimitarea mandatului prin precizarea
scopului şi limitelor verificărilor;
205 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

 Transparenţa prin informarea candidatului/angajatului şi obţinerea acordului


candidatului/angajatului pentru obţinerea sau, după caz, acordarea accesului la datele cu caracter
personal ale acestuia.
Cu ocazia interviului pentru angajare sau în timpul duratei contractuale, angajatul care
semnează aceste documente îşi exprimă practic acordul ca angajatorul să poată efectua doar acele
verificări care îi sunt necesare, raportate la scopul propus sau, după caz, să elibereze aceste date
către alte persoane fizice sau juridice interesate.

Documentele menţionate constituie o bază solidă pentru realizarea unui dialog formal între
companiile din piaţă în sensul obţinerii de date necesare verificării candidaţilor sau angajaţilor.

IV. Procedurile legate de încetarea contractului de muncă

Legislaţia românească prevede proceduri exacte pentru sancţionarea angajaţilor de către


patroni, suspendarea contractelor de muncă sau concedierea salariaţilor.

Contractul individual de muncă poate înceta astfel:


a) de drept;
b) ca urmare a acordului părţilor, la data convenită de acestea;
c) ca urmare a voinţei unilaterale a uneia dintre părţi, în cazurile şi în condiţiile limitativ
prevăzute de lege.

Contractul individual de muncă existent încetează de drept:


a) la data decesului salariatului sau al angajatorului persoană fizică, precum şi în cazul
dizolvării angajatorului persoană juridică, de la data la care angajatorul şi-a încetat existenţa
conform legii;
b) la data rămânerii irevocabile a hotărârii judecătoreşti de declarare a morţii sau a punerii
sub interdicţie a salariatului sau a angajatorului persoană fizică;
c) la data îndeplinirii cumulative a condiţiilor de vârstă standard şi a stagiului minim de
cotizare pentru pensionare; la data comunicării deciziei de pensie în cazul pensiei de invaliditate de
gradul III, pensiei anticipate parţiale, pensiei anticipate, pensiei pentru limită de vârstă cu reducerea
vârstei standard de pensionare; la data comunicării deciziei medicale asupra capacităţii de muncă în
cazul invalidităţii de gradul I sau II;
d) ca urmare a constatării nulităţii absolute a contractului individual de muncă, de la data la
care nulitatea a fost constatată prin acordul părţilor sau prin hotărâre judecătorească definitivă;
e) ca urmare a admiterii cererii de reintegrare în funcţia ocupată de salariat a unei persoane
concediate nelegal sau pentru motive neîntemeiate, de la data rămânerii definitive a hotărârii
judecătoreşti de reintegrare;
f) ca urmare a condamnării la executarea unei pedepse privative de libertate, de la data
rămânerii definitive a hotărârii judecătoreşti;
g) de la data retragerii de către autorităţile sau organismele competente a avizelor,
autorizaţiilor ori atestărilor necesare pentru exercitarea profesiei;
h) ca urmare a interzicerii exercitării unei profesii sau a unei funcţii, ca măsură de siguranţă
ori pedeapsă complementară, de la data rămânerii definitive a hotărârii judecătoreşti prin care s-a
dispus interdicţia;
i) la data expirării termenului contractului individual de muncă încheiat pe durată
determinată;
j) retragerea acordului părinţilor sau al reprezentanţilor legali, în cazul salariaţilor cu vârsta
cuprinsă între 15 şi 16 ani.

206 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Când încetează contractul individual de muncă: despre concediere


Iată în ce condiţii se poate cere încetarea contractului individual de muncă prin voinţa
angajatorului (concedierea):
În cazul în care salariatul a săvârşit:
 o abatere gravă ori abateri repetate de la regulile de disciplină a muncii ori cele stabilite
prin contractul individual de muncă, cel colectiv sau regulament intern (se radiază în 12 luni);
 În cazul în care salariatul este arestat preventiv mai mult de 30 de zile;
 În cazul în care salariatul nu corespunde profesional locului de muncă unde este încadrat;
 În cazul în care salariatul prin decizia organelor competente de expertiză medicală, este
declarat inapt fizic sau psihic.
Încetarea contractului de muncă din cauza arestului sau a necorespunderii profesional.
În cazul în care contractul va înceta din cauza arestului ori datorită faptului că nu mai
corespunde profesional, angajatorul are obligaţia de a emite decizia de concediere în termen de 30
de zile de la data aflării respectivei cauze de concediere.
În cazul abaterilor de la regulile de disciplină, angajatorul poate emite decizia de concediere
numai dacă va îndeplini următoarele obligaţii:
 primul pas va fi cel al avertismentului scris;
 apoi urmează măsura retrogradării din funcţie cu acordarea salariului pentru postul pe
care salariatul a fost retrogradat - pe o perioadă de maximum 60 de zile;
 următoarea măsură împotriva salariatului va fi cea a reducerii salariului cu 5-10 % pe o
durată de 1-3 luni (dacă salariatul este încadrat pe o funcţie de conducere, i se poate aplica această
măsură şi pentru îndemnizaţia de conducere pe care o primeşte pe lângă salariul de bază);
 ultima măsură este cea a desfacerii contractului individual de muncă pe motive
disciplinare.
Trebuie parcurse toate etapele până la desfacerea contractului individual de muncă:
avertisment – retrogradare – reducere salariu. La fiecare abatere disciplinară se poate aplica numai o
singură sancţiune.
Încetarea contractului de muncă: Abateri disciplinare
În cazul în care salariatul comite abateri disciplinare, angajatorul este obligat să încadreze
sancţiunea în funcţie de următoarele criterii:
 împrejurările comiterii abaterii;
 gradul de vinovăţie al angajatului;
 consecinţele abaterii;
 comportamentul general al angajatului;
 eventualele sancţiuni aplicate anterior angajatului.
Angajatorul are obligaţia de a efectua cercetare disciplinară prealabilă după fiecare abatere
disciplinară a angajatului. Pentru avertismentul scris nu este necesară cercetarea disciplinară.
Despre cercetarea disciplinară
Cercearea disciplinară se face prin emiterea către angajat a unei convocări ce trebuie să
conţină data, ora şi locul întrevederii. În cazul în care salariatul nu se prezintă la convocare -
angajatorul are dreptul de a dispune sancţiunea, fără a mai efectua cercetarea. În cazul în care
salariatul se prezintă la convocare, va avea dreptul să se apere prin probe şi motivaţii. Are de
asemenea dreptul de a fi asistat de un membru al sindicatului unde salariatul este înscris.
Decizia de sancţionare
Decizia de sancţionare poate fi emisă în termen de 30 de zile de când angajatorul a luat la
cunoştinţă despre abatere, dar nu mai târziu de 6 luni de la data săvârşirii faptei.
Resurse utile: Legea 53/2003, privind Codul muncii, actualizată
Legea 346/2004 privind stimulara înfiinţării şi dezvoltării înteprinderilor mici şi mijlocii.
Alte acte normative în domeniul muncii.

207 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Organizarea securității personalului

Elemente de competenţă Criterii de realizare asociate Criterii de realizare asociate


pentru managerul de rezultatului activităţii descrise modului de îndeplinire a
securitate de elementul de competenţă activităţii descrise de
elementul de competenţă
1. Implementează securitatea 1.1. Securitatea personalului este Implementarea securității
personalului. implementată cu transpunerea în personalului este realizată cu
norme interne a prevederilor creativitate, flexibilitate,
legale și contractuale, cu acuratețe şi responsabilitate.
stabilirea responsabilităților,
cadrului conceptual,
organizaţional şi a modului de
acţiune al componentelor SMS.
1.2. Securitatea personalului este
implementată ținând cont de
procedurile operaționale pentru
avizarea și atestarea personalului,
de asigurarea unui răspuns
oportun şi eficient la incidentele
de securitate a personalului și de
stabilirea de obiective explicite
pentru activitățile de educare de
securitatea personalului.

2. Evaluează securitatea 2.1. Securitatea personalului este Evaluarea securității


personalului. evaluată ținând cont de personalului este realizată cu
organizarea controalelor. atenție acuratețe, corectitudine,
2.2. Securitatea personalului este exigență şi responsabilitate.
evaluată cu consemnarea
informațiilor și constatărilor
rezultate, analizarea datelor astfel
obținute și redactarea raportului
de control.
2.3. Securitatea personalului este
evaluată cu prezentarea în format
standardizat a rezultatelor și
măsurilor propuse pentru
remedierea deficienţelor.

Concluzii
Diminuarea riscurilor generate de personal trebuie să stea în atenţia managerului oricărei
organizaţii/instituţii în aceiaşi măsură ca şi cele de securitate fizică.

În acest sens, este necesară o abordare sistemică a politicii de resurse umane, pornind de la
selecţia şi verificarea personalului şi continuând cu activităţi de educare şi specializare a acestuia.

208 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 26. Colectarea, evaluarea şi păstrarea elementelor cu caracter


probatoriu

Modelul de lucru / investigare pentru această procedură cuprinde următoarele etape:


1. Pregătirea investigării:
a. pregătirea echipei de investigare;
b. pregătirea instrumentelor de investigare;
c. obţinerea documentelor necesare desfăşurării procesului de investigare;
d. formularea unui plan de abordare a cazului.
2. Colectarea probelor:
a. securizarea, evaluarea şi înregistrarea locului faptei / infracţiunii;
b. căutarea de probe;
c. ascultarea şi interogarea persoanelor implicate;
d. conservarea probelor.
3. Examinarea probelor
După ce probele au fost colectate, următoarea etapă constă în examinarea probelor,
ceea ce implică evaluarea şi extragerea informaţiilor relevante din datele colectate.
4. Analiza probelor
Odată ce informaţiile relevante au fost extrase, trebuiesc studiate şi analizate datele
pentru a trage concluzii.
Analiza probelor implică să se studieze datele şi să se determine dacă acestea sunt
relevante şi semnificative pentru caz.
5. Raportarea rezultatelor obţinute
Raportarea rezultatelor obţinute reprezintă procesul de pregătire a unui rezumat al
tuturor paşilor făcuţi şi a concluziilor obţinute în timpul investigării unui caz.

Sancţionarea disciplinară a salariaţilor


Potrivit definiţiei din Codul Muncii, abaterea disciplinară - supusă sancţiunii
îndeplineşte anumite condiţii:
- este o faptă în legătură cu munca
- constă într-o acţiune sau inacţiune săvârşită cu vinovăţie de către salariat
- prin această faptă, salariatul a încălcat normele legale, regulamentul intern, contractul
individual de muncă sau contractul colectiv de muncă aplicabil, ordinele şi dispoziţiile legale ale
conducătorilor ierarhici.

Atunci când pregăteşte o sancţiune, patronul este obligat să respecte o procedură în 6


paşi, expres prevăzută de Codul muncii:
1. Înştiinţarea privind săvârşirea unei fapte care poate fi considerată ca fiind abatere
disciplinară;
2. Desemnarea comisiei de cercetare disciplinară;
3. Convocarea salariatului/ salariaţilor la cercetarea disciplinară prealabilă, la data, ora şi
locul stabilite;
4. Încheierea procesului-verbal cu ocazia întrevederii;
5. Realizarea referatului privind propunerea de sancţionare de către comisia de cercetare
disciplinară;
6. Stabilirea sancţiunii disciplinare şi emiterea deciziei de sancţionare de către angajator.
Excepţie de la obligaţia parcurgerii acestor paşi o face doar avertismentul.

209 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Ce trebuie să conţină o decizie de sancţionare


Decizia de sancţionare trebuie să conţină obligatoriu:
 Descrierea faptei ce constituie abatere disciplinară;
 Precizarea prevederilor din statut, regulament intern, contract individual de muncă,
contract colectiv de muncă încălcate de către salariat;
 Motivele pentru care nu au fost acceptate probele ori apărările salariatului din timpul
cercetării disciplinare ori faptul că salariatul nu s-a prezentat la cercetare;
 Temeiul de drept în baza căruia se aplică sancţiunea disciplinară;
 Termenul în care sancţiunea poate fi contestată - 30 de zile;
 Instanţa competentă la care sancţiunea poate fi contestată.
Lipsa elementelor precizate mai sus poate atrage nulitatea absolută a documentului.
Decizia trebuie comunicată personal cu semnătura de primire, în cel mult 5 zile de la emitere
salariatului şi va produce efecte de la data comunicării. În cazul în care salariatul va refuza primirea,
îi va fi trimisă prin scrisoare recomandată la domiciliu/reşedinţă.

Ce păţeşte patronul, dacă încalcă procedurile?


În general, riscul este ca sancţiunea aplicată să fie anulată de judecător.
În cazul unei concedieri disciplinare nelegale, riscul este şi mai mare întrucât angajatorul va
fi obligat la reîncadrarea salariatului pe postul ocupat anterior concedierii, cu obligarea la plata
salariilor neîncasate din momentul concedierii şi până la reîncadrarea efectivă.
Dispoziţiile legale care reglementează disciplina muncii se regăsesc în Codul Muncii, în
capitolul intitulat Răspunderea disciplinară (articolele 247 - 252).

Noul Cod de Procedură penală defineşte proba şi mijloacele de probă (Art. 97)
(1) Constituie probă orice element de fapt care serveşte la constatarea existenţei sau
inexistenţei unei infracţiuni, la identificarea persoanei care a săvârşit-o şi la cunoaşterea
împrejurărilor necesare pentru justa soluţionare a cauzei şi care contribuie la aflarea adevărului în
procesul penal.
În definiţia probei, NCpp impune condiţia ca elementul de fapt să contribuie la aflarea
adevărului în procesul penal.
(2) Proba se obţine în procesul penal prin următoarele mijloace:
a) declaraţiile suspectului sau ale inculpatului;
b) declaraţiile persoanei vătămate;
c) declaraţiile părţii civile sau ale părţii responsabile civilmente;
d) declaraţiile martorilor;
e) înscrisuri, rapoarte de expertiză sau constatare, procese-verbale, fotografii, mijloace
materiale de probă;
f) orice alt mijloc de probă care nu este interzis prin lege.
(3) Procedeul probatoriu este modalitatea legală de obţinere a mijlocului de probă.
În concluzie, proba se obţine prin mijloace de probă, iar mijloacele de probă se obţin prin
procedee probatorii.
Art. 101 NCpp - Principiul loialităţii administrării probelor
(1) Este oprit a se întrebuinţa violenţe, ameninţări ori alte mijloace de constrângere, precum
şi promisiuni sau îndemnuri în scopul de a se obţine probe.
(2) Nu pot fi folosite metode sau tehnici de ascultare care afectează capacitatea persoanei de
aşi aminti şi de a relata în mod conştient şi voluntar faptele care constituie obiectul probei.
Interdicţia se aplică chiar dacă persoana ascultată îşi dă consimţământul la utilizarea unei asemenea
metode sau tehnici de ascultare.
Probele obţinute în mod nelegal nu pot fi folosite în procesul penal.

210 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unitatea de competenţă:
UCS3. Asigurarea securităţii documentelor

Tema 27. Identificarea necesităţilor de protecţie a informaţiilor în funcţie de


specificul activităţii organizaţiei şi incidenţa cadrului legislativ

I. ACTE NORMATIVE PRIVIND SECURITATEA/PROTECŢIA INFORMAŢIILOR

Legea nr. 51/1991 privind siguranţa naţională a României


Art. 18.
Organele şi organizaţiile deţinătoare de secrete de stat, în conformitate cu prevederile legii
speciale, sau a căror activitate poate fi vizată prin acţiunile considerate, potrivit art. 3, ca ameninţări
la adresa siguranţei naţionale, vor întocmi programe proprii de prevenire a scurgerii de informaţii cu
caracter secret, care sunt supuse avizării de specialitate Serviciului Român de Informaţii.

Legea nr. 182/2002 privind protecţia informaţiilor clasificate, completată la art. 7 cu


Legea nr. 268/2007 (accesul la informaţiile clasificate)
Scopul – protecţia informaţiilor clasificate şi a surselor confidenţiale ce asigură acest tip de
informaţii. Protejarea acestor informaţii se face prin instituirea sistemului naţional de protecţie a
informaţiilor.
Obiectivele protecţiei informaţiilor clasificate sunt:
- Protejarea informaţiilor clasificate împotriva acţiunilor de spionaj, compromitere sau
acces neautorizat, alterării sau modificării conţinutului acestora, precum şi împotriva sabotajelor sau
distrugerii neautorizate;
- Realizarea securităţii sistemelor informatice şi de transmitere a informaţiilor clasificate.

H.G. nr. 585 din 13 iunie 2002 pentru aprobarea Standardelor naţionale de protecţie a
informaţiilor clasificate în România
Normele de aplicare a legii 182/2002:
- clasificările informaţiilor secrete de stat şi normele privind măsurile minime de protecţie în
cadrul fiecărei clase;
- obligaţiile şi răspunderile autorităţilor şi instituţiilor publice, ale agenţilor economici şi a
altor persoane juridice de drept public sau privat privind protecţia informaţiilor secrete de stat;
- normele privind accesul la informaţiile clasificate, precum şi procedura verificărilor de
securitate;
- regulile generale privind evidenţa, întocmirea, păstrarea, procesarea, multiplicarea,
manipularea, transportul, transmiterea şi distrugerea informaţiilor clasificate.

H.G. nr. 1349/2002 privind colectarea, transportul distribuirea şi protecţia, pe


teritoriul României, a corespondenţei clasificate, cu modificările şi completările ulterioare
(H.G. nr. 172/2004)
- potrivit art. 1, SRI organizează şi răspunde conform legii de colectarea, transportul,
distribuirea şi protecţia pe teritoriul României a corespondenţei care conţine informaţii secrete;
- stabileşte modul în care se realizează pregătirea corespondenţei, predarea şi transportul
acesteia.

211 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Legea nr. 16/1996: Legea Arhivelor Naţionale


Art. 7. - Creatorii şi deţinătorii de documente sunt obligaţi să înregistreze şi să ţină evidenţa
tuturor documentelor intrate, a celor întocmite pentru uz intern, precum şi a celor ieşite, potrivit
legii.
Art. 8. - Anual, documentele se grupează în unităţi arhivistice, potrivit problematicii şi
termenelor de păstrare stabilite în nomenclatorul documentelor de arhivă, care se întocmeşte de
către fiecare creator pentru documentele proprii.
Art. 9. - Documentele se depun la depozitul arhivei creatorilor de documente în al doilea an
de la constituire, pe bază de inventar şi proces-verbal de predare-primire, întocmite potrivit anexelor
nr. 2 şi 3. Evidenţa tuturor intrărilor şi ieşirilor de unităţi arhivistice din depozit se ţine pe baza unui
registru, potrivit anexei nr. 4. Scoaterea documentelor din evidenţa arhivei se face numai cu
aprobarea conducerii creatorilor sau deţinătorilor de documente.

Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, cu


modificările şi completările ulterioare (Legea nr.371/2006, Legea nr. 380/2006 şi Legea nr.
188/2007)
- conform art. 1, accesul liber şi neîngrădit la orice informaţie de interes public constituie
unul dintre principiile fundamentale în relaţiile dintre persoane şi autorităţile publice în
conformitate cu Constituţia.
- se exceptează de la acesul liber al cetăţenilor la informaţiile din domeniul apărării
naţionale, siguranţei şi ordinii publice, dacă fac parte din categoria informaţiilor clasificate (art. 12
alin. 1);
- răspunderea pentru aplicarea măsurilor de protejare a informaţiilor revine persoanelor şi
autorităţilor publice care deţin astfel de informaţii, precum şi instituţiilor stabilite prin lege să
asigure securitatea informaţiilor clasificate.

H.G. nr. 781/2002 privind protecţia informaţiilor secrete de serviciu


Standardele naţionale de protecţie a informaţiilor clasificate în România pentru informaţiile
secret de serviciu în ceea ce priveşte:
- clasificarea, declasificarea şi măsurile minime de protecţie;
- regulile generale de evidenţă, mânuire, păstrare, procesare, multiplicare, transport,
transmitere şi distrugere;
- obligaţiile şi răspunderile ce revin conducătorilor autorităţilor şi instituţiilor publice,
agenţilor economici precum şi celorlalte persoane juridice;
- exercitarea controlului asupra măsurilor de protecţie.

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/
679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal şi privind libera circulaţie a acestor date
- protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special dreptul
la viaţă intimă, familială şi privată;
- nu poate fi restrânsă decât în cazuri expres şi limitativ prevăzute de lege și Regulament.

Dreptul de a avea acces la informatiile de interes public este garantat prin lege. Accesul la
informaţiile clasificate este permis numai în cazurile, în condiţiile şi prin respectarea procedurilor
prevăzute de lege.

MĂSURILE ce decurg din aplicarea legii sunt destinate:


a) sa prevină accesul neautorizat la informaţiile clasificate;
b) să identifice împrejurările, precum şi persoanele care, prin acţiunile lor, pot pune în
pericol securitatea informaţiilor clasificate;

212 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

c) să garanteze că informaţiile clasificate sunt distribuite exclusiv persoanelor îndreptăţite,


potrivit legii, să le cunoască;
d) să asigure protecţia fizică a informaţiilor, precum şi a personalului necesar protecţiei
informaţiilor clasificate.

II. COMPONENTE ALE PROTECŢIEI INFORMAŢIILOR CLASIFICATE:

a) protecţia juridică;
b) protecţia prin măsuri procedurale;
c) protecţia fizică;
d) protecţia personalului;
e) protecţia surselor generatoare de informaţii;
f) protecţia documentelor.

a. PROTECŢIA JURIDICĂ

Conducătorii agenţilor economici sau ai altor persoane juridice de drept privat, precum şi
persoanele fizice cărora le-au fost încredinţate sau accesează informaţii clasificate, în cadrul
raporturilor de colaborare, au obligaţia să respecte prevederile legale privind protecţia acestora.
Obligaţii, răspunderi şi sancţiuni
1. Conducătorii unităţilor deţinătoare de secrete de stat vor asigura condiţiile necesare
pentru ca toate persoanele care gestionează astfel de informaţii să cunoască reglementările în
vigoare referitoare la protecţia informaţiilor clasificate.
2. Conducătorii unităţilor deţinătoare de informaţii secrete de stat au obligaţia de a înştiinţa,
în scris, instituţiile prevăzute la art. 25 din Legea nr. 182/2002, potrivit competenţelor, prin cel mai
operativ sistem de comunicare, despre compromiterea unor astfel de informaţii.
3. Înştiinţarea prevăzută la pct. 2 se face în scopul obţinerii sprijinului necesar pentru
recuperarea informaţiilor, evaluarea prejudiciilor, diminuarea şi înlăturarea consecinţelor.
Înştiinţarea trebuie să conţină:
a. prezentarea informaţiilor compromise, respectiv clasificarea, marcarea, conţinutul,
data emiterii, numărul de înregistrare şi de exemplare, emitentul şi persoana sau
compartimentul care le-a gestionat;
b. o scurtă prezentare a împrejurărilor în care a avut loc compromiterea, inclusiv data
constatării, perioada în care informaţiile au fost expuse compromiterii şi persoanele
neautorizate care au avut sau ar fi putut avea acces la acestea, dacă sunt cunoscute;
c. precizări cu privire la eventuala informare a emitentului.
4. Orice încălcare a reglementărilor de securitate va fi cercetată pentru a se stabili:
a. dacă informaţiile respective au fost compromise;
b. dacă persoanele neautorizate care au avut sau ar fi putut avea acces la informaţii
secrete de stat prezintă suficientă încredere şi loialitate, astfel încât rezultatul
compromiterii să nu creeze prejudicii;
c. măsurile de remediere - corective, disciplinare sau juridice - care sunt recomandate.
5. Persoanele fizice cărora le-au fost încredinţate informaţii clasificate sunt obligate sa
asigure protecţia acestora, potrivit legii, şi să respecte prevederile programelor de prevenire a
scurgerii de informţii clasificate.
6. Obligaţiile se menţin şi după încetarea raporturilor de muncă, de serviciu sau
profesionale, pe întreaga perioadă a menţinerii clasificării informaţiei.

213 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

7. Persoana care urmează să desfăşoare o activitate sau să fie încadrată într-un loc de muncă
ce presupune accesul la informaţii clasificate va prezenta conducătorului societăţii un angajament
scris de păstrare a secretului.
8. Încălcarea normelor privind protecţia informaţiilor clasificate atrage răspunderea
disciplinară, contraventională, civilă sau penală, după caz.
9. Structura/funcţionarul de securitate are obligaţia de a ţine evidenţa cazurilor de
încălcare a reglementărilor de securitate, a documentelor de cercetare şi a măsurilor de
soluţionare şi să le pună la dispoziţia autorităţilor desemnate de securitate, conform
competenţelor ce le revin.

b. PROTECŢIA PRIN MĂSURI PROCEDURALE

Societăţile care deţin informaţii clasifcate (secrete de serviciu şi confidenţiale) au obligaţia


să stabilească norme interne de lucru şi de ordine interioară destinate protecţiei informaţiilor:
- Norme interne privind protecţia informaţiilor secrete de serviciu (conform H.G. nr. 781 /
25.07.2002);
- Norme interne privind standardele naţionale de protecţie a informaţiilor clasificate
(conform H.G. nr. 585 / 13.06.2002);
- Proceduri operaţionale privind accesul în locaţii, securitate fizică, securitate documente,
securitate personal, securitate industrială şi INFOSEC;
- Cerinţe minime de protecţie, acces şi confidenţialitate;
- Metodologii şi ghiduri de protecţie a informaţiilor;
- Strategii şi politici de securitate a informaţiilor.
Obligaţii şi răspunderi
1. Toate unităţile care deţin informaţii secrete de stat au obligaţia să stabilească norme
interne de lucru şi de ordine interioară destinate protecţiei acestor informaţii, potrivit actelor
normative în vigoare.
2. Măsurile procedurale de protecţie a informaţiilor secrete de stat vor fi integrate în
“Programul de prevenire a scurgerii de informaţii clasificate”, întocmit potrivit anexei nr. 10
din H.G. nr. 585/2002 care va fi prezentat, spre avizare, autorităţii abilitate să coordoneze
activitatea şi să controleze măsurile privitoare la protecţia informaţiilor clasificate, potrivit legii.
3. Angajamentele de confidenţialitate întocmite potrivit reglementărilor în vigoare vor
garanta că informaţiile la care se acordă acces sunt protejate corespunzător.

c. PROTECŢIA FIZICĂ

Sediile, sectoarele şi locurile în care sunt gestionate informaţii clasificate trebuie protejate
fizic împotriva accesului neautorizat. În acest scop, se realizează şi funcţionează sisteme de
securitate fizică constituite din echipamente tehnice, personal de specialitate şi proceduri
operaţionale destinate prevenirii, descurajării, detecţiei, întârzierii şi stopării accesului neautorizat
în obiectiv (locaţie, zone de securitate sau restricţionate etc).
Zona de securitate reprezintă un perimetru (încăpere) clar definit şi protejat, în care se
gestionează informaţii clasificate sau se desfăşoară activităţi confidenţiale şi unde toate intrările şi
ieşirile sunt supravegheate (TVCI), iar accesul este controlat şi ierarhizat.
Cerinţe de securitate fizică :
- controlul acesului şi circulaţia persoanelor proprii şi a vizitatorilor;
- controlul accesului în zonele restricţionate;
- supravegherea perimetrală generală a obiectivului;
- detecţia şi alarmarea pătrunderii în obiectiv prin locuri neautorizate sau nerespectarea
procedurilor şi a drepturilor de acces;

214 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- interceptarea (stoparea, întârzierea sau anihilarea) agresorului cu echipa de pază şi


intervenţie;
- rezolvarea evenimentelor de securitate şi intrarea în stare de normalitate a sistemului de
securitate fizică.
Conducătorii societăţilor (administratorii, directorii, managerii de departamente şi servicii
etc.) sunt obligaţi să impună aplicarea cerinţelor de securitate fizică, atât în zonele administrative,
cât şi de securitate (restricţionate), asfel încât accesul să fie permis numai persoanelor autorizate, cu
respectarea principiului necesităţii de a cunoaşte pentru îndeplinirea atribuţiilor de serviciu.
Încăperile în care se păstrează, elaborează sau accesează documente clasificate
(confidenţiale sau secrete de serviciu) sunt declarate zone restricţionate şi trebuie să respecte
următoarele cerinţe:
- să fie asigurate cu încuietori sigure la uşi şi ferestre;
- uşile să fie permanent supravegheate cu sisteme video (TVCI);
- să fie dotate cu mobilier (dulapuri, fişete cu încuietori) pentru lucru şi păstrare
documente;
-eventual, să dispună de senzori de mişcare, geam spart, sisteme antiefractie şi control
acces;
- să fie conectate la sistemul de monitorizare a locaţiei.
Respectarea acestor cerinţe sunt necesare pentru asigurarea securităţii valorilor
informaţionale şi materiale ale societăţii comerciale.

d. PROTECŢIA PERSONALULUI (H.G. nr. 585/2002 cap. 4, secţiunea a-5-a)

 Măsurile de protecţie a personalului au drept scop:


a. să prevină accesul persoanelor neautorizate la informaţii secrete de stat;
b. să garanteze că informaţiile secrete de stat sunt distribuite deţinătorilor de certificate de
securitate/autorizaţii de acces, cu respectarea principiului necesităţii de a cunoaşte;
c. să permită identificarea persoanelor care, prin acţiunile sau inacţiunile lor, pot pune în
pericol securitatea informaţiilor secrete de stat şi să prevină accesul acestora la astfel de informaţii;
Protecţia personalului se realizează prin: selecţionarea, verificarea, avizarea şi autorizarea
accesului la informaţiile secrete de stat, revalidarea, controlul şi instruirea personalului, retragerea
certificatului de securitate sau autorizaţiei de acces.

Vulnerabilităţi, riscuri şi pericole în legătură cu personalul care accesează informaţii


clasificate

Se poate vorbi de existenţa unor vulnerabilităţi pe linie de personal în cazul existenţei


unor elemente care să diminueze capacitatea de reacţie la riscurile existente şi potenţiale sau care
favorizează apariţia şi dezvoltarea acestora.
Ameninţările şi vulnerabilităţile pot proveni din interiorul societăţii deţinătoare de
informaţii clasificate sau din exteriorul acesteia. Statistic, cele mai mari şi mai multe ameninţări
provin din interior. Spre deosebire de ameninţările tradiţionale, cele la adresa securităţii
informaţiilor presupun resurse deosebit de perfecţionate şi diversificate, dificil de anticipat şi
evaluat. Aceste estimări sunt dependente, în primul rând, de factorul uman, de gândirea, atitudinea
sa sau subiectivismul şi incertitudinea pe care acestea le implică.
Pornind de la una din posibilele definiţii ale riscului, potrivit căreia prin risc se înţelege
probabilitatea de a înfrunta o situaţie neprevăzută sau de a suporta pierderi/pagube, în condiţiile
existenţei unor pericole, apare obligativitatea de a acţiona raţional pentru menţinerea sub control a
situaţiei conflictuale. În acest sens, este necesar să se cunoască şi să se acţioneze pentru
contracararea pericolului prin măsuri preventive sau de atenuare. Ţinând cont de faptul că nivelul
ameninţărilor este redus sau amplificat de cel al vulnerabilităţilor, este clar că, pentru reducerea
riscurilor este necesară cunoaşterea şi contracararea acestora.

215 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unul din domeniile care se pot constitui în surse de insecuritate a informaţiilor îl reprezintă
domeniul resurselor umane, adică personalul existent în cadrul unei instituţii care deţine informaţii
clasificate.
Măsurile prevăzute de legislaţia în vigoare vizează tocmai identificarea, combaterea,
minimizarea, îndepărtarea vulnerabilităţilor în ce priveşte persoanele care accesează informaţii
clasificate fie pentru a le gestiona, fie pentru a-şi îndeplini sarcinile profesionale. Aceasta se
realizează printr-o procedură complexă de selecţie a persoanelor care vor accesa informaţii
clasificate, procedură care are la bază verificările de securitate executate de autorităţi anume
desemnate, la solicitarea conducerii instituţiei.
Prima persoană care face selecţia celor pentru care urmează să se solicite verificări de
securitate este chiar managerul instituţiei, în sensul că nu va propune persoane cunoscute ca având
trăsături de caracter din care pot rezulta riscuri şi vulnerabilităţi de securitate.
În cadrul verificărilor de securitate întreprinse de către autorităţile desemnate de securitate,
principalele criterii de evaluare a compatibilităţii în acordarea avizului pentru eliberarea
certificatului de securitate/autorizaţiei de acces vizează atât trăsăturile de caracter, cât şi situaţiile
sau împrejurările din care pot rezulta riscuri şi vulnerabilităţi de securitate.
Sunt relevante şi vor fi luate în considerare, la acordarea avizului de securitate, caracterul,
conduita profesională sau socială, concepţiile şi mediul de viaţă al soţului/soţiei sau
concubinului/concubinei persoanei solicitante.
Următoarele situaţii imputabile atât solicitantului, cât şi soţului/soţiei sau concubinului/
concubinei acestuia reprezintă elemente de incompatibilitate pentru acces la informaţii secrete de
stat:
- dacă a comis sau a intenţionat să comită, a fost complice, a complotat sau a instigat la
comiterea de acte de spionaj, terorism, trădare ori alte infracţiuni contra siguranţei statului;
- dacă a încercat, a susţinut, a participat, a cooperat sau a sprijinit acţiuni de spionaj,
terorism ori persoane suspectate de a se încadra în această categorie sau de a fi membre ale unor
organizaţii ori puteri străine inamice ordinii de drept din ţara noastră;
- dacă este sau a fost membru al unei organizaţii care a încercat, încearcă sau susţine
răsturnarea ordinii constituţionale prin mijloace violente, subversive sau alte forme ilegale;
- dacă este sau a fost un susţinător al vreunei organizaţii prevăzute la lit. c), este sau a fost în
relaţii apropiate cu membrii unor astfel de organizaţii într-o formă de natură să ridice suspiciuni
temeinice cu privire la încrederea şi loialitatea persoanei.
Constituie elemente de incompatibilitate pentru accesul solicitantului la informaţii secrete
de stat oricare din următoarele situaţii:
- dacă în mod deliberat a ascuns, a interpretat eronat sau a falsificat informaţii cu relevanţă
în planul siguranţei naţionale ori a minţit în completarea formularelor tip sau în cursul interviului de
securitate;
- are antecedente penale sau a fost sancţionat contravenţional pentru fapte care indică
tendinţe infracţionale;
- are dificultăţi financiare serioase sau există o discordanţă semnificativă între nivelul său de
trai şi veniturile declarate;
- consumă în mod excesiv băuturi alcoolice ori este dependent de alcool, droguri sau de alte
substanţe interzise prin lege care produc dependenţă;
- are sau a avut comportamente imorale sau deviaţii de comportament care pot genera riscul
ca persoana să fie vulnerabilă la şantaj sau presiuni;
- a demonstrat lipsa de loialitate, necinste, incorectitudine sau indiscreţie;
- a încălcat reglementările privind protecţia informaţiilor clasificate;
- suferă sau a suferit de boli fizice sau psihice care îi pot cauza deficienţe de discernământ
confirmate prin investigaţie medicală efectuată cu acordul persoanei solicitante;
- poate fi supus la presiuni din partea rudelor sau persoanelor apropiate care ar putea genera
vulnerabilităţi exploatabile de către serviciile de informaţii ale căror interese sunt ostile României şi
aliaţilor săi.

216 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Securitatea personalului implică activităţi de selecţionare, verificare, avizare,


autorizare, evidenţă şi instruire a persoanelor care urmează să aibă acces la informaţii
clasificate.
Conform prevederilor legale, accesul la informaţii clasificate este permis cu respectarea
principiului „necesităţii de a cunoaşte” numai persoanelor care deţin autorizaţii de acces la
informaţiile necesare îndeplinirii atribuţiilor de serviciu.
Pentru protecţia informaţiilor clasificate, măsurile ce decurg din aplicarea legii sunt
destinate:
- să prevină accesul persoanelor neautorizate la informaţii clasificate;
- să identifice împrejurările, precum şi persoanele care, prin acţiunile lor, pot pune în
pericol securitatea informaţiilor clasificate;
- să garanteze că informaţiile clasificate sunt distribuite exclusiv persoanelor îndreptăţite,
potrivit legii, să la cunoască;
- să asigure protecţia personalului necesar în vederea protecţiei informaţiilor clasificate.
Persoanele care vor avea acces la informaţii clasificate vor fi verificate în prealabil cu
privire la onestitatea şi profesionalismul lor, referitoare la utilizarea acestor informaţii.
Decizia privind avizarea eliberării certificatului de securitate/autorizaţiei de acces va fi luată
pe baza tuturor informaţiilor disponibile şi va avea în vedere atât loialitatea indiscutabilă a
persoanei, cât şi caracterul, obiceiurile, relaţiile şi discreţia persoanei, care să ofere garanţii asupra:
- corectitudinii în gestionarea informaţiilor;
- oportunităţii accesului neînsoţit în compartimente, obiective, zone şi locuri de securitate în
care se află informaţii;
- respectării reglementărilor privind protecţia informaţiilor din domeniul său de activitate.

Accesul la informaţii trebuie să respecte principiul „nevoia de a cunoaşte” (need to know),


care are următorul înţeles: nici o persoană nu este îndreptăţită doar prin rang, funcţie sau certificat
de securitate să aibă acces la informaţii clasificate. Numărul persoanelor care au acces la astfel de
informaţii trebuie restrâns la cele ale căror activitate şi îndatoriri profesionale impun lucrul cu astfel
de informaţii.
Autorizaţia de acces este documentul care atestă dreptul unei persoane de a accesa
informaţii clasificate (confidenţiale şi secret de serviciu), are valabilitate de până la 4 ani.
Avizul negativ semnifică interdicţia privind accesarea informaţiilor clasificate, iar o
asemenea decizie are implicaţii negative asupra menţinerii în funcţia respectivă a persoanei
invalidate pentru accesul la informaţii clasificate.
Accesul persoanelor care execută ocazional lucrări (de construcţii, reparaţii, întreţinere a
clădirilor sau instalaţiilor aflate în zone de securitate, sau prestarea unor servicii), se face pe baza
documentelor de acces temporar. Acestea sunt eliberate de conducătorul agentului economic
beneficiar al lucrării, în baza unui tabel comunicat de firma prestatoare cu numele lucrătorilor şi a
documentelor de identitate ale acestora.
Potrivit legislaţiei în vigoare, autorizaţia de acces este documentul care se emite pentru
persoanele care necesită acces la informaţii clasificate în vederea îndeplinirii atribuţiilor
funcţionale.
Acordarea autorizaţiei de acces la informaţii clasificate nu reprezintă pasul final în procesul
asigurării securităţii informaţiilor clasificate din punctul de vedere al personalului care le accesează.
Normele naţionale şi internaţionale recomandă analizarea continuă a eligibilităţii persoanelor în
raport cu informaţiile clasificate atât prin evaluare continuă de către structura de securitate, cât şi
prin educaţia de securitate şi programe de informare destinate a reaminti persoanelor
responsabilităţile de securitate.
Nu numai autorizarea salariaţilor pentru accesarea informaţiilor clasificate trebuie privită ca
modalitate de prevenire a riscului accesării acestei categorii de informaţii de către persoane
neautorizate, ci şi măsura retragerii documentului de acces.

217 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Retragerea autorizaţiei de acces are loc la eliberarea funcţiei care necesită acces la
informaţii clasificate prin :
- plecarea salariatului din unitate;
- decizia conducătorului instituţiei de mutare a persoanei pe o altă funcţie;
- pentru încălcarea cerinţelor de securitate sau săvârşirea unor activităţi incompatibile
accesului la informaţii clasificate.
În cazul retragerii documentului de acces, angajatului i se va interzice accesul la informaţii
clasificate.
La eliberarea autorizaţiei de acces, titularul semnează angajamentul de confidenţialitate care
se păstrează în cadrul structurii de securitate. Cu aceeaşi ocazie, persoanelor cărora li se eliberează
documente de acces li se va asigura instruirea cu privire la protecţia informaţiilor clasificate.
Aceste măsuri sunt menite, pe de o parte, să contribuie la cunoaşterea de către posesorii
autorizaţiilor de acces a legislaţiei în vigoare referitoare la protecţia informaţiilor clasificate iar, pe
de altă parte, aceştia să conştientizeze riscurile la care se expun atât pe ei, cât şi documentele pe
care le gestionează, în situaţia nerespectării prevederilor normative.

e) Protecţia surselor generatoare de informaţii – a se vedea UCS5, T. 35: INFOSEC.

f) Protecţia documentelor – a se vedea UCS3, Asigurarea securităţii documentelor.

III. STANDARDE
NAŢIONALE DE PROTECŢIE A INFORMAŢIILOR CLASIFICATE ÎN ROMÂNIA

1. Standardele naţionale de protecţie a informaţiilor clasificate în România cuprind normele de


aplicare a Legii nr. 182/2002 privind protecţia informaţiilor clasificate referitoare la:
a. clasificările informaţiilor secrete de stat şi normele privind măsurile minime de
protecţie în cadrul fiecărei clase;
b. obligaţiile şi răspunderile autorităţilor şi instituţiilor publice, ale agenţilor economici şi
ale altor persoane juridice de drept public sau privat privind protecţia informaţiilor
secrete de stat;
c. normele privind accesul la informaţiile clasificate, precum şi procedura verificărilor de
securitate;
d. regulile generale privind evidenţa, întocmirea, păstrarea, procesarea, multiplicarea,
manipularea, transportul, transmiterea şi distrugerea informaţiilor secrete de stat;
e. regulile de identificare şi marcare, inscripţionările şi menţiunile obligatorii pe
documentele secrete de stat, în funcţie de nivelurile de secretizare, cerinţele de evidenţă
a numerelor de exemplare şi a destinatarilor, termenele şi regimul de păstrare,
interdicţiile de reproducere şi circulaţie;
f. condiţiile de fotografiere, filmare, cartografiere şi executare a unor lucrări de arte
plastice în obiective sau locuri care prezintă importanţă deosebită pentru protecţia
informaţiilor secrete de stat;
g. regulile privitoare la accesul străinilor la informaţiile secrete de stat;
h. protecţia informaţiilor clasificate care fac obiectul contractelor industriale secrete -
securitatea industrială;
i. protecţia surselor generatoare de informaţii - INFOSEC.

2. Standardele se instituie de sistemul naţional de protecţie a informaţiilor clasificate, în


concordanţă cu interesul naţional, cu criteriile şi recomandările NATO şi sunt obligatorii
pentru toate persoanele juridice sau fizice care gestionează astfel de informaţii.

218 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

3. Echivalenţa informaţiilor naţionale clasificate, pe niveluri de secretizare, cu informaţiile


NATO clasificate este:
a. Strict secret de importanţă deosebită - NATO top secret
b. Strict secret - NATO secret
c. Secret - NATO confidential
d. Secret de serviciu - NATO restricted.

4. Terminologia folosită în informaţii se regăseşte în legislaţie şi în “Dicţionarul de securitate


privată”.

IV. CLASIFICAREA ŞI DECLASIFICAREA INFORMAŢIILOR.


MĂSURI MINIME DE PROTECŢIE SPECIFICE CLASELOR ŞI NIVELURILOR
DE SECRETIZARE

A. CLASIFICAREA
1. Potrivit legii, informaţiile sunt clasificate secrete de stat sau secrete de serviciu, în raport de
importanţa pe care o au pentru securitatea naţională şi de consecinţele ce s-ar produce ca
urmare a dezvăluirii sau diseminării lor neautorizate.

2. Informaţiile secrete de stat sunt informaţiile a căror divulgare poate prejudicia siguranţa
naţională şi apărarea ţării şi care, în funcţie de importanţa valorilor protejate, se includ în
următoarele niveluri de secretizare prevăzute de lege:
a. strict secret de importanţă deosebită;
b. strict secret;
c. secret.

3. Informaţiile a căror divulgare este de natură să determine prejudicii unei persoane juridice
de drept public sau privat se clasifică secrete de serviciu.

4. Listele cu informaţii secrete de serviciu se stabilesc de conducătorii unităţilor deţinătoare de


astfel de informaţii.

5. În listele cu informaţii secrete de serviciu vor fi incluse informaţiile care se referă la


activitatea unităţii şi care, fără a constitui, în înţelesul legii, secrete de stat, nu trebuie
cunoscute decât de persoanele cărora le sunt necesare pentru îndeplinirea atribuţiilor de
serviciu, divulgarea lor putând prejudicia interesul unităţii.

6. Atribuirea clasei şi nivelului de secretizare a informaţiilor se realizează prin consultarea


ghidului de clasificare, a listelor cu informaţii secrete de stat şi a listelor cu informaţii
secrete de serviciu, elaborate potrivit legii.

7. Termenele de clasificare a informaţiilor secrete de stat vor fi stabilite de emitent, în funcţie


de importanţa acestora şi de consecinţele care s-ar produce ca urmare a dezvăluirii sau
diseminării lor neautorizate.

8. Termenele de clasificare a informaţiilor secrete de stat, pe niveluri de secretizare, cu


excepţia cazului când acestea necesită o protecţie mai îndelungată, sunt de până la:
- 100 de ani pentru informaţiile clasificate strict secret de importanţă deosebită;
- 50 de ani pentru informaţiile clasificate strict secret;
- 30 de ani pentru informaţiile clasificate secret.

219 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

9. Marcarea informaţiilor clasificate are drept scop atenţionarea persoanelor care le gestionează
sau le accesează că sunt în posesia unor informaţii în legătură cu care trebuie aplicate măsuri
specifice de acces şi protecţie, în conformitate cu legea.

10. Informaţiile vor fi clasificate numai în cazul în care se impune protecţia acestora, iar
nivelurile de secretizare şi termenele de clasificare subzistă atât timp cât dezvăluirea sau
diseminarea lor neautorizată ar putea prejudicia siguranţa naţională, apărarea ţării, ordinea
publică sau interesele persoanelor juridice de drept public sau privat.

B. DECLASIFICAREA ŞI TRECEREA INFORMAŢIILOR CLASIFICATE LA


UN NIVEL INFERIOR DE SECRETIZARE

Se face conform H.G. nr. 585/2002 cap. II, Secţiunea a 2-a

V. PROTECŢIA INFORMAŢIILOR SECRETE DE STAT

A. Obligaţiile şi răspunderile ce revin autorităţilor şi instituţiilor publice, agenţilor


economici şi altor persoane juridice pentru protecţia informaţiilor secrete de stat
1. Conducătorul unităţii care gestionează informaţii secrete de stat este obligat:
a. să asigure organizarea activităţii structurii de securitate, respectiv a
funcţionarului de securitate şi compartimentelor speciale pentru gestionarea
informaţiilor clasificate, în condiţiile legii;
b. să solicite instituţiilor abilitate efectuarea de verificări pentru avizarea eliberării
certificatului de securitate şi autorizaţiei de acces la informaţii clasificate pentru
angajaţii proprii;
c. să notifice la ORNISS eliberarea certificatului de securitate sau autorizaţiei de
acces pentru fiecare angajat care lucrează cu informaţii clasificate;
d. să aprobe listele cu personalul verificat şi avizat pentru lucrul cu informaţiile
secrete de stat şi evidenţa deţinătorilor de certificate de securitate şi autorizaţii
de acces şi să le comunice la ORNISS şi la instituţiile abilitate să coordoneze
activitatea şi controlul măsurilor privitoare la protecţia informaţiilor clasificate,
potrivit legii;
e. să întocmească lista informaţiilor secrete de stat şi a termenelor de menţinere în
nivelurile de secretizare şi să o supună aprobării Guvernului, potrivit legii;
f. să stabilească obiectivele, sectoarele şi locurile din zona de competenţă care
prezintă importanţă deosebită pentru protecţia informaţiilor secrete de stat şi să
le comunice Serviciului Român de Informaţii pentru a fi supuse spre aprobare
Guvernului;
g. să solicite asistenţă de specialitate instituţiilor abilitate să coordoneze activitatea
şi să controleze măsurile privitoare la protecţia informaţiilor secrete de stat;
h. să supună avizării instituţiilor abilitate programul propriu de prevenire a
scurgerii de informaţii clasificate şi să asigure aplicarea acestuia;
i. să elaboreze şi să aplice măsurile procedurale de protecţie fizică şi de protecţie a
personalului care are acces la informaţii clasificate;
j. să întocmească ghidul pe baza căruia se va realiza încadrarea corectă şi uniformă
în nivelurile de secretizare a informaţiilor secrete de stat, în strictă conformitate

220 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

cu legea şi să îl prezinte, spre aprobare, împuterniciţilor şi funcţionarilor


superiori abilitaţi prin lege să atribuie nivelurile de secretizare;
k. să asigure aplicarea şi respectarea regulilor generale privind evidenţa,
întocmirea, păstrarea, procesarea, multiplicarea, manipularea, transportul,
transmiterea şi distrugerea informaţiilor secrete de stat şi a interdicţiilor de
reproducere şi circulaţie, în conformitate cu actele normative în vigoare;
l. să comunice instituţiilor abilitate, potrivit competenţelor, lista funcţiilor din
subordine care necesită acces la informaţii secrete de stat;
m. la încheierea contractelor individuale de muncă, a contractelor de colaborare sau
convenţiilor de orice natură să precizeze obligaţiile ce revin părţilor pentru
protecţia informaţiilor clasificate în interiorul şi în afara unităţii, în timpul
programului şi după terminarea acestuia, precum şi la încetarea activităţii în
unitatea respectivă;
n. să asigure includerea personalului structurii/funcţionarului de securitate în
sistemul permanent de pregătire şi perfecţionare, conform standardelor;
o. să aprobe normele interne de aplicare a măsurilor privind protecţia informaţiilor
clasificate, în toate componentele acesteia, şi să controleze modul de respectare
în cadrul unităţii;
p. să asigure fondurile necesare pentru implementarea măsurilor privitoare la
protecţia informaţiilor clasificate, conform legii;
q. să analizeze, ori de câte ori este necesar, dar cel puţin semestrial, modul în care
structura/funcţionarul de securitate şi personalul autorizat asigură protecţia
informaţiilor clasificate;
r. să asigure inventarierea anuală a documentelor clasificate şi, pe baza acesteia, să
dispună măsuri în consecinţă, conform legii;
s. să sesizeze instituţiile prevăzute la art. 25 din Legea nr. 182/2002, conform
competenţelor, în legătură cu incidentele de securitate şi riscurile la adresa
informaţiilor secrete de stat;
t. să dispună efectuarea de cercetări şi, după caz, să sesizeze organele de urmărire
penală în situaţia compromiterii informaţiilor clasificate.

B. Măsuri minime de protecţie a informaţiilor clasificate

Măsurile de protecţie a informaţiilor clasificate vor fi stabilite în raport cu:


a. clasele şi nivelurile de secretizare a informaţiilor;
b. volumul şi suportul informaţiilor;
c. calitatea, funcţia şi numărul persoanelor care au sau pot avea acces la informaţii,
potrivit certificatului de securitate şi autorizaţiei de acces şi cu respectarea
principiului necesităţii de a cunoaşte;
d. ameninţările, riscurile şi vulnerabilităţile ce pot avea consecinţe asupra informaţiilor
clasificate.

221 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Asigurarea securității documentelor

Criterii de realizare asociate rezultatului Criterii de realizare


Elemente de
activităţii descrise de elementul de asociate modului de
competenţă
competenţă îndeplinire a activităţii
pentru managerul de
descrise de elementul de
securitate
competenţă
1. Implementează 1.1 Securitatea documentelor este Implementarea securității
securitatea implementată cu transpunerea cu acuratețe documentelor este realizată
documentelor. în norme interne a prevederilor legale și cu creativitate, flexibilitate,
cerințelor contractuale referitoare la acuratețe, responsabilitate.
protecţia informaţiilor clasificate și cu
organizarea funcționării compartimentului
documente clasificate.
1.2. Securitatea documentelor este
implementată cu stabilirea
responsabilităților și modului de acţiune al
componentelor SMS la incidente de
securitatea documentelor și cu
identificarea obiectivelor pentru educarea
personalului pe linia protecției
informațiilor clasificate.
2. Verifică securitatea 2.1. Securitatea documentelor este Verificarea securității
documentelor. verificată ținând cont de modul în care este documentelor este realizată
organizat controlul securității cu atenție acuratețe,
documentelor. corectitudine, exigență,
2.2. Securitatea documentelor este evaluată responsabilitate.
cu consemnarea informațiilor și
constatărilor rezultate, analizarea datelor
astfel obținute și redactarea raportului de
control.
2.3. Securitatea documentelor este evaluată
cu prezentarea în format standardizat a
rezultatelor și măsurilor propuse pentru
remedierea deficienţelor.

222 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 28. Protecţia documentelor clasificate. Programul de prevenire al


scurgerii de informaţii clasificate. Normele de lucru cu documentele clasificate.
Evaluarea şi verificarea securităţii documentelor.

ROMÂNIA
S.C.................... .S.A.
Nr. din

Nivel clasificare
Exemplarul nr. ___

APROB
DIRECTOR GENERAL

PROGRAMUL
DE PREVENIRE A SCURGERII DE
INFORMAŢII CLASIFICATE DEŢINUTE DE
S.C. .............................. S.A.

(model)

223 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

CUPRINS

CAPITOLUL I. BAZA LEGALĂ ...............................................................................................

CAPITOLUL II. OBIECTIVE ŞI PRINCIPII......................................................... …………..


1. Generalităţi ...............................................................................................................................
2. Obiective ..................................................................................................................................
3. Principii ....................................................................................................................................

CAPITOLUL III. INFORMAŢII CLASIFICATE ŞI LOCURI DE CONCENTRARE .......


1. Elemente generale privind informaţiile clasificate deţinute........................ ............................
2. Lista informaţiilor clasificate ...................................................................................................
3. Locuri unde vor fi/se concetrează, permanent sau termporar, date, informaţii, documente
clasificate ori se desfăşoară astfel de activităţi..........................................................................

CAPITOLUL IV. FUNCŢII ŞI PERSOANE CARE NECESITĂ ACCES LA INFORMAŢII


CLASIFICATE ....................................................................................................................
1. Lista funcţiilor care necesită acces la informaţii clasificate ....................................................
2. Lista persoanelor/salariaţilor care au acces la informaţii clasificate (clasa/nivelul de
secretizare…………………....………………………………………………………………..
3. Prezentarea persoanei desemnate să îndeplinească atribuţii pe linia protecţiei activităţilor,
datelor, informaţiilor şi documentelor clasificate ........................................................................

CAPITOLUL V. MĂSURI DE PROTECŢIE FIZICĂ ..............................................................


1. Măsuri de protecţie fizică a spaţiilor/locurilor unde se păstrează sau se concentrează informaţii
clasificate ori se desfăşoară astfel de activităţi ............................................................................
2. Măsuri procedurale de protecţie a datelor, informaţiilor, documentelor sau a activităţilor
clasificate .....................................................................................................................................

CAPITOLUL VI. PREZENTAREA SISTEMULUI/SUBSISTEMULUI INFORMATIC ŞI DE


TELECOMUNICAŢII DESTINAT PRELUĂRII, PRELUCRĂRII, STOCĂRII ŞI
TRANSMITERII DE DATE ŞI INFORMAŢII CLASIFICATE .. ............................................

CAPITOLUL VII. MĂSURI DE PROTECŢIE ÎMPOTRIVA OBSERVĂRII ŞI


ASCULTĂRII .....................................................................................................................

CAPITOLUL VIII. CONTROLUL, ANALIZA ŞI EVALUAREA SECURITĂŢII ............. ..


1. Controale, activităţi de analiză şi evaluare a modului în care se respectă prevederile legale
referitoare la protecţia informaţiilor clasificate ...........................................................................
2.Soluţionarea cazurilor de încălcare a reglementărilor privind protecţia informaţiilor clasificate
......................................................................................................................................................

CAPITOLUL IX. MĂSURI DE INSTRUIRE ŞI EDUCAŢIE PROTECTIVĂ A


PERSOANELOR CARE AU ATRIBUŢII PE LINIA PROTECŢIEI INFORMAŢIILOR
CLASIFICATE ŞI A CELOR CARE AU ACCES LA ASTFEL DE INFORMAŢII .............

224 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Capitolul I
BAZA LEGALĂ

S.C. ................. S.A. implementează prin acest program, un sistem concret de protecţie a
informaţiilor clasificate în baza prevederilor Legii nr. 182/2002 privind protecţia informaţiilor
clasificate, ale H.G. nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a
informaţiilor clasificate în România, H.G. nr. 781/2002 privind protecţia informaţiilor secrete de
serviciu, precum şi a H.G. 1349/27.11.2002 referitoare la colectarea, transportul, distribuirea şi
protecţia pe teritoriul României a corespondenţei clasificate.
Prezentul program a fost întocmit în scopul prevenirii scurgerii de informaţii clasificate din
cadrul societăţii, prin utilizarea neautorizată sau accidentală a documentelor şi/sau datelor care, prin
conţinutul lor, constituie informaţii clasificate. După avizarea de către organele abilitate, Programul
va fi prezentat, sub semnătură, personalului autorizat al companiei, în raport de atribuţiile
profesionale şi potrivit „principiului necesităţii de a cunoaşte” în cadrul activităţilor de pregătire
protectivă, şi consemnat în fişa personală de pregătire, în conformitate cu prevederile legale.
S.C. .......................... S.A. la data de ..................... prin adresa nr. ................ a primit
invitaţia de la ...................... din cadrul ............................ de a participa la procedura de ..................
pentru achiziţionarea unui .................................. Selectarea candidaţilor se va efectua pe baza
criteriilor referitoare la capacitatea tehnică, profesională şi economico-financiară, conform
cerinţelor anexate invitaţiei de participare. Procedura de achiziţie are nivel de clasificare ”strict
secret”, iar accesul la informaţii clasificate se va efectua în baza prevederilor Legii nr.182/2002 şi
H.G. nr. 585/2002, cu modificările şi completările ulterioare.
Precizăm că, în conformitate cu prevederile art. 3 din H.G. nr. 585/2002 societatea noastră
a declanşat operaţiunile necesare obţinerii „Autorizaţiei de Securitate Industrială”, depunînd, în
acest sens, documentele necesare la ORNISS, cu adresa nr. ....................

CAPITOLUL II
Generalităţi

S.C. ...................... S.A. funcţionează în baza „Actului costitutiv al societăţii”, precum şi al


celorlalte documente referitoare la denumirea şi obiectul de activitate al societăţii conform
codificării .................., nr. de ordine de la Registrul Comerţului: ........................, atribut fiscal
................. din data de .................... Firma este constituită în societate pe acţiuni şi cuprinde
acţionari ............. persoane fizice (.......................) şi ....... acţionari persoane juridice (..................).
S.C. ..................... S.A. din data de ……………. are sediul social în ………………….,
...............................................................................
Puncte de lucru:
a. .....................
Sediul, în suprafaţă de ............ de spaţiu brut de birouri în conformitate cu contractul de
închiriere nr. ..................... încheiat în calitate de „chiriaş .........................” Personalul de pază al
obiectivului, bunurilor, valorilor şi protecţiei personalului care îşi desfăşoară activitatea în cadrul
S.C. ..................... S.A. sunt angajaţii firmei de specialiate S.C. ....................... S.R.L. cu sediul în
………………, Str. ......................, Nr. …., Sector / Judeţ, înregistrată la Registrul Comerţului sub
nr........................., atribut fiscal RO ……… şi este reprezentată legal de............................. Firma
menţionată prestează servicii de specialitate în baza Contractului nr. ............................

În continuare prezentăm sintetic unele date şi informaţii despre S.C. ........................ S.A.
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................

225 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

OBIECTIVE

Programul vizează îndeplinirea următoarelor obiective minimale în conformitate cu


normele legale în materie:
- protecţia informaţiilor clasificate împotriva acţiunilor de compromitere, sabotaj,
sustragere, distrugere neautorizată sau alterare
Acest obictiv va fi realizat prin ţinerea unei evidenţe stricte a documentelor care conţin
informaţii clasificate, precum şi păstrarea acestor documente într-un seif prevăzut cu încuietori
speciale. Accesul în încăperile unde se vor manipula documentele care conţin informaţii clasificate
este strict limitat, numai pe baza de cartelă individualizată.
- prevenirea accesului neautorizat la astfel de informaţii, a cunoaşterii şi diseminării
lor ilegale
Pentru realizarea acestui obiectiv au fost luate măsuri ca accesul la informaţii clasificate să
fie strict monitorizat, consultarea şi studierea acestor documente să se facă numai în încăperile în
care acestea se păstrează, iar persoanele care iau cunoştinţă de aceste documente să fie consemnate
într-un registru special. Mijloacele informatice folosite la prelucrarea datelor clasificate sunt
protejate împotriva înterceptării radiaţiilor parazite şi nu sunt conectate la reţeaua intranet a
societăţii sau la reţeaua internet.
- înlăturarea riscurilor şi vulnerabilităţilor ce pot pune în pericol protecţia
informaţiilor clasificate
Încăperile în care se vor păstra şi manipula documentele care conţin informaţii clasificate
sunt prevăzute cu sistem propriu de alarmare, suplimentar faţă de cel al clădirii, accesul în aceste
încăperi fiind strict limitat. Menţionăm că Zona de securitate Clasa I nu are ferestre. Geamurile din
exterior (Zona administrativă), peretele interior şi uşa de acces sunt din sticlă specială, au un grad
sporit de protecţie la efracţie, de asemenea sunt prevăzute cu senzori de „geam spart” legaţi la
sistemul de alarmă al Compartimentului Documente Clasificate.
- asigurarea cadrului procedural necesar protecţiei informaţiilor clasificate
Îndeplinirea acestui obiectiv se realizează prin respectarea întocmai, de către întreg
personalul societăţii, a prevederilor Normelor interne privind protecţia informaţiilor clasificate.
Aceste norme stabilesc, în cadrul societăţii noastre, regulile generale de evidenţă, întocmire,
păstrare, procesare, multiplicare, manipulare, transport, transmitere şi distrugere a documentelor
care conţin informaţii clasificate.

PRINCIPII

La baza activităţilor specifice privind prevenirea scurgerii informaţiilor clasificate stau


următoarele principii:
- autorizarea individuală a accesului la informaţiile clasificate, absolut necesare îndeplinirii
atribuţiilor de serviciu, principiul "nevoii de a cunoaşte";
- asigurarea aplicării măsurilor de protecţie, în mod diferenţiat, pe zone de securitate în
funcţie de nivelurile de acces la informaţii clasificate;
- accesul la informaţii clasificate este permis numai în baza verificărilor şi abilitărilor legale
transmise/eliberate de instituţiile abilitate;
- aplicarea, în mod obligatoriu şi unitar, a măsurilor de protecţie atât cu privire la locurile
în care se depozitează/gestionează informaţiile clasificate, inclusiv în cazul sistemelor informatice
cât şi la persoanele care au acces la aceste informaţii, precum şi a utilizatorilor reţelelor respective;
- răspunderea personală privind aplicarea măsurilor de protecţie stipulate prin programul
de prevenire a scurgerii de informaţii clasificate a societăţii.

226 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

CAPITOLUL III
INFORMAŢII CLASIFICATE ŞI LOCURI DE CONCENTRARE

1. Elemente generale privind informaţiile clasificate deţinute de S.C. .................... S.A.

În raport de conţinut, unele informaţii gestionate/vehiculate în cadrul societăţii sunt


clasificate ca „secrete de serviciu”, generate intern sau de către partenerii contractuali, inclusiv
unele firme pentru care societatea are calitatea de subcontractant.
Astfel, urmare a contractului înregistrat sub nr. ......................, nivel de secretizare „secret de
serviciu” ce vizează derularea unor activităţi clasificate încheiate între S.C. .................... S.A. în
calitate de Subcontractant al ..........................., personalul autorizat al societăţii poate avea acces la
unele informaţii clasificate „secrete de serviciu” ale ............................ care trebuiesc protejate
conform Anexei nr. 2 a Anexei de securitate înregistrată cu nr. .........................
Contract de servicii „-................................” în cadrul căruia se derulează activităţi
clasificate încheiate între S.C. ................... S.A. în calitate de Subcontractant al S.C.
................................ S.A., personalul autorizat al societăţii poate avea acces la unele informaţii
clasificate ”secrete de serviciu” ale ............................ care trebuiesc protejate conform Anexei nr. 2
a Anexei de securitate înregistrată cu nr. ...........................
Autoritatea Desemnată de Securitate, ................................ a acordat avizul de securitate
industrială nr. ................... S.C. ...........................S.A. în vederea participării la derularea
contractului clasificat nr. .............................. în calitate de Subcontractant al S.C. ....................S.A.,
personalul autorizat al societăţii poate avea acces la informaţii clasificate „secrete de serviciu”
conform Anexei nr. 2 a Anexei de securitate. Personalul tehnic prezentat la Anexele nr. 1 ale
Anexelor de securitate mai sus-menţionate poate intra în contact cu informaţii clasificate „secrete de
serviciu” prin desfăşurarea activităţilor de implementare a programelor informatice sau prin accesul
în unele spaţii/locaţii a fost avizat de către Autoritatea Desemnată de Securitate -..........................
S.C. ........................ S.A. nu va emite alte documente sau materiale clasificate pînă la
avizarea pozitivă de către ........................., Oficiul pentru Supravegherea Secretelor de Stat, a
Programului de prevenire a scurgerii informaţiilor clasificate şi a Planului de pază şi apărare.
Zona de securitate/administrativă a S.C. ...................... S.A. este delimitată ca spaţiu
dinstinct în locaţia firmei, poziţionat pe latura vestică a imobilului. În zona menţionată se află
constituit Compartimentul documentelor clasificate, în care vor fi gestionate informaţii clasificate.
Personalul firmei de pază nu are acces în Compartimentul documentelor clasificate, în
situaţii de urgenţă va anunţa Funcţionarul de securitate.

2. Lista informaţiilor clasificate, aprobate prin decizia Preşedintelui/directorului


general (documente, date, obiecte, sau activităţi, indiferent de suport), pe clase şi niveluri de
secretizare, deţinute de S.C. ......................... S.A.

Lista informaţiilor clasificate „secrete de serviciu” la care poate avea acces personalul
autorizat al societăţii cu ocazia derulării contractelor menţionate este următoarea:

1. Lista persoanelor care urmează să aibă acces la informaţii clasificate ”secrete de serviciu” - proiect
2. Lista funcţiilor care necesită acces la informaţii clasificate „secrete de serviciu” - proiect
3. Lista persoanelor care urmează să aibă acces la informaţii clasificate ”secrete de serviciu” - proiect
4. Lista funcţiilor care necesită acces la informaţii clasificate „secrete de seviciu” - proiect
5. Lista persoanelor care urmează să aibă acces la informaţii clasificate „secrete de serviciu” - proiect
6. Lista funcţiilor care necesită acces la informaţii clasificate ”secret de serviciu’ - proiect
Lista va fi actualizată ori de cîte ori situaţia o impune (clasificarea sau declasificarea unor informaţii).

227 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

3. Locuri unde se concentrează, permanent sau temporar, date, informaţii, documente


clasificate ori se desfăşoară astfel de activităţi

S.C. ................. S.A. are sediul în …………….., ................., clădire ce aparţine ...................
Accesul în firmă este realizat prin uşa principală, asigurată cu sistem antiefracţie, sistem de
control a accesului persoanelor pe bază de card individualizat, pe scări sau cu ajutorul
ascensoarelor, în proximitatea cărora sunt angajaţii de la Recepţie şi cei ai firmei de pază.
În cadrul S.C. .....................S.A., informaţiile clasificate se vor păstra numai în încăperile
destinate Compartimentului documente clasificate (camerele: .................), care reprezintă Zona de
securitate şi cam ............. Zona administrativă.
Compartimentul informaţii clasificate se află în locaţia deţinută de societate, are pereţii
exteriori din beton armat şi sticlă pentru birouri - regim Demisol - Parter - Etaj ...........
Ferestrele Compartimentului, cu vizibilitatea (Zona administrativă) în curtea interioară,
prevăzute cu jaluzele, protejate prin dispozitiv de alarmă conectat la sistemul propriu şi central al
societăţii.
Uşa Compartimentului documente clasificate este din metal şi se deschide numai prin
intermediul cardului de către Funcţionarul de securitate sau Responsabilul cu documente clasificate
iar pentru restul personalului autorizat doar cu anunţarea prin telefon. Una din cartele se păstrează la
personalul de pază într-o cutie sigilată.
Totodată, în Compartimentul documente clasificate au fost instalate detectoare de mişcare şi
fum în infraroşu care folosesc proprietatea corpurilor calde de a emite radiaţii infraroşii pe care le
detectează şi le prelucrează digital în funcţie de amplitudinea şi densitatea semnalelor receptate,
astfel încît să poată elimina posibilitatea alarmelor false. Distanţa maximă de detecţie a acestuia este
de 12 m, sub un unghi în plan orizontal de 900, corpurile avînd viteza cuprinsă între 0,2-7 m/s.
Aceste tipuri de detectoare sunt amplasate la o înălţime cuprinsă între 2,1 şi 2,5 m, în colţurile
încăperilor, permiţind astfel o detecţie optimă.
Sistemul care realizează protejarea Compartimentului documentelor clasificate respectă
normele de securitate europene, fiind structurat în 4 subsisteme:
- subsistem de detecţie automată a prezenţei persoanelor neautorizate în zonele protejate;
- subsistem de detecţie a tentativei de sabotaj asupra echipamentelor de securitate;
- subsistemul de retranslaţie automată a tuturor evenimentelor;
- subsistemul de semnalizare, alarmare acustică şi optică a efracţiei.
În incinta Compartimentului documente clasificate se află un post telefonic pentru
comunicaţii urbane/interurbane şi pentru uz intern, precum şi două calculatoare pentru activităţi
curente/clasificate, fără conexiuni la intranet şi internet, accesibile după utilizarea parolei personale
şi a sistemului de protecţie instituit.
Documentele clasificate, indiferent de suportul acestora, sunt păstrate în două containere
metalice care îndeplinesc cerinţele stabilite de ORNISS şi instituţiile abilitate.
În cadrul societăţii sau în afara acesteia nu există alte locuri în care să fie stocate sau să se
gestioneze documente sau informaţii clasificate.
Accesul în Zona de securitate/administrativă este permis exclusiv persoanelor abilitate, cu
respectarea principiului „necesităţii de a cunoaşte” şi sub controlului Funcţionarului de securitate.
Ţinînd cont de cele prevăzute, Zona de securitate/administrativă îndeplineşte următoarele
cerinţe:

228 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- perimetrul este clar definit şi protejat, în care intrarea/ieşirea sunt monitorizate print-un
sistem de supraveghere video;
- intrarea este monitorizată pentru a permite accesul neînsoţit numai persoanelor verificate şi
autorizate să pătrundă în această zonă, pentru toate celelalte persoane operează regulile de însoţire,
supraveghere şi prevenire a accesului neautorizat la informaţii clasificate;
- incinta în care nu se lucrează 24 de ore, este asigurată de Funcţionarul de securitate.

Figura -1 Dispunerea încăperilor

229 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

CAPITOLUL IV

1. Lista funcţiilor care necesită acces la informaţii clasificate


Accesul la informaţii clasificate este permis numai după obţinerea avizului şi eliberarea
autorizaţiei de acces/certificatului de securitate pentru nivelul corespunzător.
Lista funcţiilor care necesită acces la informaţii clasificate „STRICT SECRET” din S.C.
......................... S.A., aprobată prin decizia Directorului General:

Nr. Denumirea Număr Nivel acces


Cod COR Observaţii
crt. funcţiei funcţii STRICT SECRET
1. DIRECTOR 1 Nu 121...... În curs de
GENERAL autorizare.
Deţine Certificat
NATO SECRET
2. MANAGER DE 7 Nu 21.......... În curs de
PROIECT autorizare
3. MANAGER 1 Nu 1........ În curs de
FINANCIAR autorizare
4. CONSILIER 2 Nu 242102 În curs de
JURIDIC autorizare
5. CONSILIER 1 Nu .......... În curs de
autorizare.
Deţine Certificat
NATO SECRET
6. MANAGER 1 Nu ........... În curs de
ZONĂ autorizare
7. CONSULTANT 6 Nu ................ În curs de
autorizare
8. RESPONSABIL 1 Nu În curs de
autorizare
9. .............. 1 Nu În curs de
autorizare
10. ......................... 1 Nu În curs de
autorizare
11. 2 În curs de
Nu autorizare
Total funcţii: 24

230 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Lista funcţiilor care necesită acces la informaţii clasificate ”secret de serviciu”

Nr. Denumirea Număr Nivel acces


Cod COR Observaţii
crt. funcţiei funcţii SECRET DE SERVICIU
1. .............. 11 DA 2.............

2. MANAGER .. 3 DA 21.........

3. .............. 7 DA .........

4. 5 DA

5. CONSILIER 1 DA

6. ............. 2 DA

7. 1 DA

Total funcţii: 30
2. Lista persoanelor care urmează să aibă acces la informaţii clasificate ”STRICT SECRET”

Nume Prenume Data şi locul Profesie, Domiciliu, Nivel de


Nr. crt. Obs.
Prenume părinţi naşterii funcţie telefon acces

Nume, Data, loc


Prenume Profesie, Domiciliu, Nivel de
Nr.crt Prenume naştere Obs.
părinţi Funcţie telefon acces
CNP
1.

2.

3.

4.

3. Lista persoanelor care au acces la informaţii clasificate ”SECRET DE SERVICIU”

CNP
Nr. Nume, Prenume Data, loc Domiciliu Nivel de
Seria, Nr. Obs.
crt. Prenume părinţi naştere acces
BI/CI

231 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

4. Prezentarea persoanei desemnate să îndeplinească atribuţii pe linia protecţiei


activităţilor, datelor, informaţiilor şi documentelor clasificate

În cadrul S.C. ................ S.A. prin Decizia nr. ............ din ............. emisă de Director
General, dl. (a) .................... a fost desemnat (ă) să îndeplinească atribuţiile specifice Funcţionarului
de securitate pe linia protecţiei activităţilor, datelor, informaţiilor şi documentelor clasificate, în
conformitate cu normele legale în domeniu.

Nume:
Prenume:
Prenume părinţi:
Data naşterii:
Locul naşterii:
Profesia:
Funcţia:
Loc de muncă: S.C. ........................ S.A.
Domiciliul: ……………., ........................
Nivel de secretizare: ..............., Nr. certificat: ....................

Atribuţii de serviciu:

- Elaborează şi supune aprobării conducătorului societăţii normele interne privind protecţia


informaţiilor clasificate;
- Intocmeşte programul de prevenire a scurgerii de informaţii clasificate şi îl supune avizării
structurii specializate, iar după aprobare, acţionează pentru aplicarea acestuia;
- Coordonează activitatea de protecţie a informaţiilor clasificate, în toate compartimentele
societăţii;
- Asigură relaţionarea societăţii cu structura abilitată să coordoneze activitatea şi să execute
controale;
- Monitorizează activitatea de aplicare a normelor de protecţie a informaţiilor clasificate şi
modul de respectare a acestora;
- Consiliază conducerea companiei în legătură cu toate aspectele privind securitatea
informaţiilor clasificate;
- Informează Directorul General al societăţii despre vulnerabilităţile şi riscurile în sistemul
de protecţie a informaţiilor clasificate şi propune măsuri pentru înlăturarea acestora;
- Acordă sprijin structurilor specializate pe linia verificării persoanelor din cadrul societăţii
pentru care se solicită accesul la informaţii clasificate;
- Planifică activităţile de pregătire specifică a persoanelor care au acces la informaţii
clasificate şi verifică nivelul de cunoaştere;
- Pune la dispoziţia persoanelor selecţioante formulare tip corespunzătoare nivelului de
acces, acordă asistenţă pentru întocmirea acestora, iar după certificare prezintă angajamentul de
confidenţialitate în vederea semnării acestuia;
- Primeşte de la persoana selecţionată recomandări şi referinţe, verifică autenticitatea
documentelor primite şi prezintă Directorului General propuneri privind oportunitatea eliberării
autorizaţiei de acces la informaţii secrete de srviciu;
- Asigură păstrarea şi organizarea evidenţei certificatelor de securitate şi autorizaţiilor de
acces la informaţii clasificate, precum şi a angajamentelor de confidenţialiate pentru accesul la
informaţii clasificate;
- Ţine evidenţa certificatelor de securitate, autorizaţiilor de acces şi consemnează în fişe,
persoanele care au consultat documentele clasificate;
- Efectuează, cu aprobarea Directorului General, controale privind modul de aplicare a
măsurilor legale de protecţie a informaţiilor clasificate;
232 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

- Analizează propunerea privind multiplicarea documentelor clasificate, consemnată pe


cererea pentru copiere sau pe adresa de însoţire, în care se menţionează necesitatea multiplicării şi,
în funcţie de situaţie, le avizează în scopul aprobării lor de către Directorul General al societăţii;
- Avizează procesele verbale de distrugere a documentelor „secrete de serviciu”;
- Prezintă Directorului General analizele privind asigurarea protecţiei informaţiilor
clasificate, ori de cîte ori este necesar;
- Decide măsurile ce se impun pentru a preveni folosirea permiselor de acces, insemnelor
sau echipamentelor speciale de către persoane neautorizate;
- Întocmeşte regulamentul de ordine interioară din locurile şi sectoarele în care sunt
gestionate informaţii clasificate şi îl prezintă Preşedintelui/Directorului General pentru aprobare;
- Exercită alte atribuţii în domeniul protecţiei informaţiilor clasificate, potrivit legii.

Responsabil documete clasificate prin Decizia nr. ....... din ………... a ............. Directorului
General – Autorizaţie de acces la informaţii clasificate ”Secret de serviciu”, Seria....., Nr. … / …...
În curs de autorizare pentru a avea acces la informaţii clasificate de nivel „STRICT
SECRET”.

Nume:
Penume:
Prenume părinţi:
Locul naşterii:
Data naşterii:
Prifesia:
Funcţia:
Loc de muncă: S.C. …………… S.A.
Domiciliul: ………………, ...........................
Telefon:

Atribuţii de serviciu:

- Organizează şi desfăşoară activităţile de pregătire specifică a persoanelor care au acces la


informaţii clasificate şi verifică nivelul de cunoaştere;
- Pune la dispoziţia persoanei selecţionate formulare tip corespunzătoare nivelului de acces,
acordă asistenţă pentru întocmirea acestora, iar după certificarea ei prezintă formularul
angajamentului de confidenţialitate în vederea semnării acestuia;
- Primeşte de la persoana selecţionată recomandări şi referinţe, verifică autenticitatea
documentelor primite şi prezintă Funcţionarului de securitate propuneri privind oportunitatea
înaintării către Directorul General a propunerii de eliberare a autorizaţiei de acces la informaţii
clasificate „Secret de servviciu”;
- Întocmeşte şi actualizează listele informaţiilor clasificate elaborate sau păstrate de
companie, pe clase şi niveluri de secretizare;
- Efectuează, cu aprobarea Funcţionarului de securitate, controale privind modul de aplicare
a măsurilor legale de protecţie a informaţiilor clasificate;
- Întocmeşte şi actualizează fişele de pregătire individuală pe linia protecţiei informaţiilor
clasificate;
- Coordonează compartimentele speciale pentru evidenţa, întocmirea şi distrugerea
informaţiilor clasificate în condiţii de siguranţă;
- Primeşte şi avizează, pe spatele cererii de copiere a unui document clasificat ce conţine
informaţii clasificate, compartimentul şi persoana certificată căreia i se repartizează copia, în
vederea difuzării sau expedierii acesteia;
- Ţine evidenţa legitimaţiilor, permiselor de acces temporar în locurile şi sectoarele în care
sunt gestionate informaţiile clasificate;

233 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- Pune în aplicare măsurile ce se impun pentru a preveni folosirea permiselor de acces, de


către persoane neautorizate;
- Exercită alte atribuţii în domeniul protecţiei informaţiilor clasificate, potrivit legii;
- Preia corespondenţa clasificată de la reprezentanţii instituţiilor abilitate;
- Îndeplineşte atribuţiile Funcţionarului de securitate.

CAPITOLUL V
MĂSURI DE PROTECŢIE FIZICĂ

Măsuri de protecţie fizică a spaţiilor/locurilor unde se păstrează sau se concentrează


informaţii clasificate ori se desfăşoară astfel de activităţi

Securitatea clădirilor

Sediul S.C. ............. S.A. se află situat la adresa din …….. Str. ……, Nr. ..... Sector/Jud. ….
Această clădire se încadrează în categoria construcţiilor civile (publice) pentru birouri -
regim Demisol-Parter-Etaj .......
Clădirea corpului ........ are două uşi – una de intrare şi una care nu se foloseşte, deschizîndu-
se numai în caz de incendiu. Uşa frontală este folosită pentru intrarea-ieşirea în/din imobil, aceasta
fiind asigurată cu sistem de alarmă antiefracţie. De asemenea, uşa de la intrare este în spaţiul de
vizibilitate al punctului de pază acces şi a personalului de la Recepţie.
Accesul în spaţiul firmei este controlat prin intermediul angajaţilor permanenţi ai societăţii
noastre de la Recepţie şi prin angajaţii firmei de pază şi protecţie.
Încăperea destinată Compartimentului documente clasificate, în care se păstrează şi
manipulează informaţii clasificate de nivel „secret de serviciu” se află amplasată la et. 4 al
imobilului menţionat şi este acceaşi cu Zona de securitate instituită conform reglementărilor legale.
Uşa de la intrare în Zona de securitate Clasa I este metalică şi se sigilează, aceste încăperi nu sunt
prevăzute cu ferestre.
În spaţiul destinat Compartimentului documente clasificate s-au montat senzori de detectare
a prezenţei persoanelor, fum/incendiu, iar pentru uşa de la intrare/ieşire în (din) Zona adminstrativă
s-a montat o cameră video pentru monitorizarea persoanelor care intră/ies, senzori de „geam spart”
conectaţi la sistemul de alarmă.
În interiorul Compartimentului documente clasificate sunt montate camere video îndreptate
către uşa de acces. În aceste încăperi, informaţiile clasificate sunt păstrate în două containere
metalice, în conformitate cu normele în vigoare emise de ORNISS.
Copartimentul documente clasificate are pereţii exteriori din beton armat, sticlă, izolaţi
termic şi fonic.
Cheile de la Compartimentul documente clasificate, precum şi cele ale birourilor firmei
(toate numerotate) sunt păstrate în cutii sigilate, depuse la personalul de pază şi protecţie, evidenţa
lor ţinîndu-se în registre de evidenţă a cheilor de acces. Cheia de la containerele metalice pentru
păstrarea documentelor clasificate este păstrată în cutie sigilată, în cadrul Compartimentului
documente clasificate (în fichetul metalic), prin grija Funcţionarului de securitate, iar dublura chiar
în containerul metalic.
Securitatea spaţiilor este asigurată suplimentar de un sistem de supraveghere video-acustic a
cărui monitorizare se face în postul fix de pază de personalul specializat care are ca atribuţii şi
verificarea periodică a întegrităţii acestui spaţiu în afara orelor de program.

Controlul intrărilor şi ieşirilor

Intrarea angajaţilor societăţii noastre în sediu se face direct din curtea interioară a
imobilului, apoi pe holul de la parter, iar către etaje prin folosirea lifturilor sau pe scări, prin

234 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

intermediul cartelei magnetice prin sistemul de turnikeţi sau cititorul de cartele instalat la nivelul
fiecărui etaj pentru accesul pe scări. Sistemul de control al vizitatorilor impune accesul acestora
numai în baza ecusonului, după înregistrarea prealabilă în Registrul de evidenţă, însoţiţi de personal
abilitat, pentru prevenirea accesului neautorizat la informaţiile clasificate, iar în Zona de securitate
clasa -I numai dacă posedă autorizaţie de acces/certificat de securitate pentru acces la informaţii
clasificate şi însoţiti de funcţionarul de securitate.
Controlul intrărilor este însoţit de un sistem de identificare automată prin programul
informatic care este instalat pe un calculator.

Paza

Personalul de pază este destinat şi pentru asigurarea Zonei administrative, scop în care s-a
efectuat pregătirea de specialitate de către Funcţionarul de securitate.
Personalul de pază are rolul de a nu permite intrarea in firmă a persoanelor
străine/neautorizate, iar în afara orelor de program, de a verifica integritatea spaţiilor societăţii, atât
din punct de vedere al securităţii, cât şi al protecţiei în contextul unor evenimente, cum ar fi accesul
prin efracţie, incendii, inundaţii etc. şi de a lua măsurile corespunzătoare situaţiei existente.
În timpul orelor de program, are rolul de a controla accesul personalului şi vizitatorilor, în
conformitate cu fişa postului şi atribuţiile prevăzute în consemn.
În afara orelor de program şi în zilele nelucrătoare, în intervalele stabilite, personalul de
pază va verifica prin patrulare integritatea încuietorilor de la punctele de acces în firmă şi va
inspecta fiecare încăpere (dacă uşa de la intrare este asigurată/încuiată).
Înainte de încuierea şi sigilarea încăperii din Zona Administrativă, Funcţionarul de securitate
va verifica situaţia alimentării cu energie electrică, starea încuietorilor.
Monitorizarea/supravegherea deplasărilor în proximitatea Compartimentului documente
clasificate se face prin intermediul camerei video, a cărei vizualizare se face pe monitorul instalat la
personalul de pază/acces.

Controlul cheilor

Cheile containerelor şi a încăperilor din Compartimentul documentelor clasificate nu vor fi


scoase din acest perimetru. Pentru cazuri de urgenţă, un rând de chei de rezervă se păstrează în
plicuri mate sigilate în biroul Compartimentului documente clasificate, sub control corespunzător.
Cheile vor fi schimbate în următoarele situaţii:
- ori de câte ori are loc o schimbare de personal la Compartimentul informaţii clasificate;
- de fiecare dată când se constată că a avut loc un eveniment de natură să le facă vulnerabile;
- la intervale regulate, de preferinţă o dată la 6 luni, fără a se depăşi un an calendaristic.

Păstrarea documentelor (materialelor) clasificate; protecţia fizică a copiatoarelor şi


aparatelor telefax

Documentele (materialele) clasificate, existente în cadrul firmei, vor fi păstrate în


Compartimentul informaţii clasificate, într-un container metalic, în conformitate cu prevederile
legale în domeniu. Încuietorile containerului corespund cerinţelor agreeate de ORNISS.

Măsuri de urgenţă
Pentru asigurarea protecţiei informaţiilor clasificate în situaţii de urgenţă, se iau următoarele
măsuri:
- anunţarea imediată a Funcţionarului de securitate;
- anunţarea conducerii societăţii;
- evacuarea rapidă şi dispunerea în locuri sigure a documentelor (materialelor) clasificate, în
conformitate cu măsurile prevăzute în planul de protecţie.
235 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Când evacuarea nu este posibilă, documentele şi materialele care conţin informaţii secrete
sau strict secrete vor fi distruse de urgenţă, prin tocare sau ardere. La operaţiunile de distrugere vor
participa cel puţin două persoane care, ulterior, vor întocmi un document (proces-verbal) în care vor
consemna atât activitatea desfăşurată, cât şi conţinutul documentelor care au fost distruse.

Măsuri procedurale de protecţie a datelor, informaţiilor, documentelor sau a


activităţilor clasificate

La sediul S.C. ............. S.A. s-a constituit un compartiment pentru documente clasificate -
pentru întocmirea, păstrarea, multiplicarea, manipularea, transmiterea şi distrugerea informaţiilor cu
caracter clasificate.

Elaborarea şi redactarea documentelor care conţin informaţii clasificate se efectuează de


personalul autorizat, prin utilizarea registrelor înseriate şi înregistrate la Compartimentul de
informaţii clasificate. Redactarea se va face cu respectarea regulilor prevăzute în cap. 3 din H.G. nr.
585/2002 privind înregistrarea şi marcarea clasei şi nivelului de clasificare.
Evidenţa documentelor (materialelor) clasificate se face, în raport de nivelul de clasificare,
în registre speciale. Utilizarea lor se face numai pe bază de semnătură. Personalul care utilizează
aceste documente (materiale) este obligat să le înregistreze în registrul de evidenţă şi să le păstreze
în mape speciale sigilate, la compartimentul de securitate al firmei.
Multiplicarea acestor informaţii se face potrivit normelor legale, activitatea şi rezultatele ei
fiind înscrise în registrul de multiplicare (înregistrat în Registrul unic). Multiplicarea se face în baza
aprobării conducătorului unităţii cu avizul Funcţionarului de securitate. Clasa sau nivelul de
secretizare atribuit unui document original se aplică în mod identic multiplicărilor/
reproducerilor/traducerilor. Activitatea se consemnează în registrul de multiplicare constituit în
acest sens şi înregistrat în Registrul unic.
Difuzarea informaţiilor clasificate ori multiplicate se face în baza unei adrese sau note de
difuzare cu avizul Funcţionarului de securitate.
Accesul la documentele (materialele) clasificate îl au persoanele autorizate din cadrul
societăţii, precum şi cele din afara firmei, posesoare de autorizaţii/certificate de securitate de acces
valabile, în baza aprobării scrise a Directorului General.
Cetăţenii străini sau reprezentanţii mass-media vor avea acces la informaţii clasificate
numai în conformitate cu principiul ”necesităţii de a cunoaşte” şi numai dacă posedă autorizaţii/
certificate de acces corespunzătoare clasei şi nivelului de clasificare, urmare a avizelor eliberate de
instituţiile îndrituite şi numai pe perioada desfăşurării activităţilor respective.
Reprezentanţii instituţiilor abilitate cu atribuţii de coordonare şi control pe linia protecţiei
informaţiilor clasificate au acces la asemenea date/informaţii/locaţii în baza legitimaţiei de serviciu
şi a delegaţiei speciale semnată de conducătorul unităţii, pe care o prezintă conducerii societăţii.
Distrugerea informaţiilor clasificate sau perimate se face în conformitate cu prevederile
H.G. nr. 585/2002, în baza unui proces-verbal aprobat de conducătorul unităţii, avizat de
Funcţionarul de securitate şi semnat de două persoane asistente care posedă autorizaţie/certificat de
acces la clasa şi nivelul de clasificare a informaţiilor distruse. Distrugerea se face, în general, prin
tocare cu dispozitive speciale. Procesele-verbale de distrugere şi documentele de evidenţă a acestora
vor fi arhivate şi păstrate cel puţin 10 ani.
Transportul documentelor clasificate se face în conformitate cu H.G. nr. 1349/2002, iar
Funcţionarul de securitate, cu aprobarea conducătorului unităţii, are calitatea de împuternicit
permanent pentru transportul documentelor „secrete de serviciu” şi operaţiunilor de predare/primire
a corespondenţei clasificate între societatea noastră şi UM ……......... Bucureşti din structura
Serviciului Român de Informaţii.

236 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

CAPITOLUL VI
PREZENTAREA SISTEMULUI/SUBSISTEMULUI INFORMATIC ŞI DE
TELECOMUNICAŢII DESTINAT PRELUĂRII, PRELUCRĂRII, STOCĂRII ŞI
TRANSMITERII DE DATE ŞI INFORMAŢII CLASIFICATE

Echipamentele de comunicaţii şi birotică (telefoane, fax, telex, copiatoare) deţinute de S.C.


........................ S.A. vor fi folosite doar pentru procesarea/ prelucrarea informaţiilor neclasificate
existente în firmă. Echipamentul informatic şi cel de birotică destinat procesării/elaborării
informaţiilor clasificate - clasa/nivel secretizare se află în Compartimentul documentelor clasificate/
Zona administrativă, protejată conform standardelor în domeniu.
Informaţiile clasificate se manipulează/gestionează numai în Compartimentul documentelor
clasificate şi se transmit, la nevoie, doar în formă scrisă sau pe suport fizic, în conformitate cu
normele în vigoare.
Calculatoarele pe care se tehnoredactează documentele ce conţin informaţii clasificate nivel
de secretizare „secret de serviciu” sunt izolate fizic, nefiind prevăzute cu modem sau interfaţă de
reţea. Discul hard pentru stocarea documentelor în formă electronică este amovibil, fiind instalat
numai pentru efectuarea operaţiilor pe documente ce conţin informaţii clasificate „secrete de
serviciu”.
În scopul protejării informaţiilor clasificate, în cadrul S.C. ................. S.A. se vor lua
următoarele măsuri:
- administratorul şi utilizatorii sistemului destinat preluării, prelucrării, stocării şi
transmisiei de date şi informaţii clasificate vor fi numiţi de şeful instituţiei dintre cei care posedă
certificat/autorizaţie de acces în acest sens;
- administratorul, utilizatorii şi persoanele care au acces la date şi informaţii clasificate
procesate prin sisteme de prelucrare automată a datelor vor fi supuse procedurilor de selecţionare,
verificare şi avizare, potrivit nivelurilor de acces stabilite;
- încăperile unde sunt amplasate sistemele informatice destinate preluării, prelucrării,
stocării informaţiilor cu caracter clasificat este asigurat cu măsuri de protecţie fizică potrivit
standardelor în vigoare;
- sistemul informatic destinat activităţilor de elaborare/procesare şi stocare a informaţiilor
clasificate va fi prevăzut cu un sistem de secretizare personalizat (parolare individuală) care asigură
integritatea şi confidenţialitatea lor;
- utilizarea sistemului informatic destinat prelucrării şi stocării informaţiilor clasificate se
va face numai de personalul desemnat care posedă autorizaţie/certificat de securitate pentru clasa de
secretizare a informaţiilor la care are acces. Parolele suplimentare depuse în plicuri sigilate se vor
păstra în fişetul metalic din Compartimentul informaţii clasificate, fiind la dispoziţia conducătorului
unităţii;
- accesul în sistemul informatic destinat preluării, prelucrării, stocării de date şi informaţii
clasificate se va atribui, individual şi diferenţiat, în conformitate cu atribuţiile de serviciu ale
fiecărui utilizator pentru pornirea, utilizarea şi oprirea sistemului de calcul, introducerea, citirea,
modificarea, ştergerea sau transferul de date în/din bazele de date ale sistemului informatic;
- consultarea, introducerea, modificarea sau ştergerea informaţiilor din baza de date se va
executa numai cu aprobarea şefului instituţiei, asigurându-se o evidenţă strictă, în scopul realizării
eventualei examinări ulterioare a activităţii, a interacţiunii utilizatorilor cu sistemele de calcul, prin
memorarea momentului, tipului operaţiei, codului utilizatorului şi datelor accesate de acesta;
- elaborarea de lucrări din bazele de date ale sistemului destinat preluării, prelucrării,
stocării şi transmiterii de date şi informaţii clasificate se va efectua numai pe baza dispoziţiilor
rezolutive, ale conducerii unităţii, date pe adrese sau documente interne de lucru;
- suporţii de memorie externă (discurile, discurile portabile, dischetele, benzile magnetice,
casetele de bandă magnetică, compact-discurile, discurile optice sau magneto-optice), utilizaţi în
sistemul destinat preluării, prelucrării, stocării şi transmiterii de date şi informaţii clasificate, vor

237 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

avea regimul documentelor inserate şi se vor păstra la compartimentul informaţii clasificate în


conformitate cu reglementările în domeniu;
- săptămânal, administratorul sistemului informatic destinat preluării, prelucrării, stocării şi
transmiterii de date şi informaţii clasificate va elimina fişierele temporare de lucru sau ieşite din uz
şi va verifica integritatea fişierelor stocate pe discuri. Intrarea şi ieşirea atât a persoanelor cât şi a
materialelor/documentelor cu caracter clasificat vor fi controlate. În incinta în care sistemul/
subsistemul poate fi modificat nu se va permite accesul unui singur angajat autorizat, ci cel puţin
doi salariaţi - ,,regula celor doi’’.

CAPITOLUL VII
MĂSURI DE PROTECŢIE ÎMPOTRIVA OBSERVĂRII ŞI ASCULTĂRII

Compartimentul informaţii clasificate constituit la sediul S.C. ............. S.A. este destinat
gestionării/ vehiculării informaţiilor clasificate. Este dispus la et. 4, nu permite observarea/
ascultarea din exterior. Pereţii interiori ai Compartimentului documente clasificate/Zona
administrativă sunt izolaţi fonic cu rigips. Pentru protecţia împotriva ascultării active se va apela la
serviciile abilitate, ori de câte ori vor exista indicii sau suspiciuni în acest sens.
În încăperea în care se păstrează documentele (materialele) clasificate - Compartimentul
informaţii clasificate - echipamentul utilizat pentru elaborarea/procesarea informaţiilor clasificate
nu este conectat la Internet sau Intranet. Comunicaţiile telefonice (urban/interurban şi intern) sunt
conectate la centrala automată a S.C. ................ S.A. Mobilierul şi obiectele existente în această
încăpere vor fi verificate periodic.
Încăperea Compartimentului documentelor clasificate va fi permanent încuiată şi asigurată,
inclusiv prin sisteme electronice de monitorizare video-acustice, corespunzător standardelor de
securitate fizică în domeniu. Inspecţiile se vor organiza în mod obligatoriu ca urmare a oricărei
suspiciuni/intruziuni neautorizate ori după executarea unor lucrări de reparaţii, întreţinere,
zugrăvire, redecorare etc.

CAPITOLUL VIII
CONTROLUL, ANALIZA ŞI EVALUAREA SECURITĂŢII

Controale, activităţi de analiză şi evaluare a modului în care se respectă prevederile


legale referitoare la protecţia informaţiilor clasificate

Controalele interne se desfăşoară conform unui program anual şi vizează:


- desfăşurarea activităţilor referitoare la protecţia informaţiilor clasificate;
- aplicarea Programului de prevenire a scurgerii de informaţii clasificate;
- respectarea Normelor interne privind accesul la informaţii clasificate.

Controalele menţionate care au ca obiect general respectarea prevederilor legale cu privire


la elaborarea, evidenţa, multiplicarea şi păstrarea documentelor şi materialelor clasificate se
efectuează de către Funcţionarul de securitate.
Rezultatele controalelor se vor consemna în „Registrul de controale”, în care se vor înscrie
şi măsurile luate sau propuse a fi luate. Obligatoriu, rapoartele de control vor fi vizate de Directorul
General (înlocuitorul acestuia), care va aproba sau amenda propunerile făcute.
Analiza activităţii de securitate se va efectua în conformitate cu reglementările în
domeniu, în baza constatărilor şi concluziilor controalelor interne, precum şi în baza
recomandărilor/datelor furnizate de către Autorităţile desemnate de securitate (ADS), de regulă,
anual.

238 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

La analiza de la sfârşitul anului va fi făcută şi evaluarea securităţii firmei, propunându-se,


dacă este cazul, unele măsuri suplimentare de protecţie.

Soluţionarea cazurilor de încălcare a reglementărilor privind protecţia informaţiilor


clasificate
Cazurile de încălcare a prevederilor legale vor fi comunicate, imediat, Directorului
General al societăţii (înlocuitorului acestuia), precum şi instituţiilor abilitate. Funcţionarul de
securitate va prezenta propuneri cu privire la:
- cercetarea cazului;
- măsurile ce se impun.

În urma cercetărilor, dacă au putut fi stabilite atât împrejurările, cât şi gradul de implicare a
unor persoane, se vor putea trage concluzii cu privire la:
- gradul de compromitere a anumitor informaţii (date) clasificate;
- încrederea care se poate avea, în continuare, în persoanele care au fost implicate în
incident.
Pe baza acestor concluzii şi, eventual, a sugestiilor organelor de specialitate, Directorul
General al firmei, împreună cu Funcţionarul de securitate, va lua toate măsurile care se impun, atât
pentru lichidarea urmărilor, cât şi pentru prevenirea repetării, în viitor, a unor situaţii similare.
Încălcările reglementărilor de securitate se vor înscrie în partea a II-a a Registrului de
controale, intitulată „Evidenţa încălcărilor reglementărilor de securitate”.
Pentru fiecare situaţie, se vor înscrie faptele şi rapoartele de investigare, precum şi
măsurile corective luate.
Despre compromiterea unor informaţii clasificate, dacă acestea sunt emise de alte instituţii,
vor fi înştiinţate atât emitentul informaţiei, cât şi instituţiile abilitate.
În situaţia în care persoanele care au luat la cunoştinţă de conţinutul informaţiilor
clasificate prezintă încredere, vor fi instruite în mod corespunzător pentru a preveni diseminarea lor,
iar în funcţie de situaţie, vor semna şi un angajament de confidenţialitate. În caz contrar, se va
proceda la evaluarea prejudiciului rezultat şi vor fi întreprinse măsurile necesare diminuării
acestuia. Când există indicii certe, confirmate în scris, de instituţiile abilitate cu atribuţii de control
şi investigare a compromiterii informaţiilor clasificate, că documentul dat în răspundere este
iremediabil pierdut, acesta va fi scos din evidenţa compartimentului care l-a gestionat (numai după
finalizarea cercetărilor), cu avizul instituţiilor abilitate.

CAPITOLUL IX
MĂSURI DE INSTRUIRE ŞI EDUCAŢIE PROTECTIVĂ A PERSOANELOR CARE AU
ATRIBUŢII PE LINIA PROTECŢIEI INFORMAŢIILOR CLASIFICATE ŞI A CELOR
CARE AU ACCES LA ASTFEL DE INFORMAŢII

Educaţia protectivă are ca obiectiv principal instruirea persoanelor care au acces la


informaţii clasificate în vederea cunoaşterii şi aplicării măsurilor legale referitoare la protejarea
acestei categorii de informaţii. Educaţia protectivă se realizează prin derularea unor activităţi
specifice, în cadrul cărora persoanelor care accesează informaţii clasificate le vor fi prezentate:
- prevederile legislaţiei în domeniul protecţiei informaţiilor clasificate;
- competenţele/atribuţiile instituţiilor abilitate în domeniul protecţiei datelor şi
informaţiilor clasificate;
- alte elemente de interes pentru protecţia informaţiilor clasificate.
239 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

În acest sens:
- se va aduce la cunoştinţa personalului conţinutul prezentului ”Program de prevenire a
scurgerii de informaţii clasificate” în părţile ce îl privesc, precum şi modul de îndeplinire a acestuia;
- se vor purta discuţii, pe colective şi individual, asupra modului în care trebuie acţionat
pentru asigurarea protecţiei informaţiilor clasificate;
- se vor valorifica rezultatele controalelor şi analizelor efectuate, precum şi ale măsurilor
luate.
Toate măsurile de instruire şi educaţie protectivă, aprobate de Directorul General al
societăţii, vor fi înscrise în Planul de activităţi al Compartimentului de documente clasificate,
precum şi în Fişa de pregătire individuală.
Instruirea şi educarea protectivă a personalului firmei, angajat în activităţi ce presupun
accesul la informaţii clasificate, vor constitui preocupări prioritare ale Funcţionarului de securitate.

Întocmit,
………………………..

240 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 29. Protecţia documentelor în uz şi a documentelor arhivate. Condiţii


tehnice privind depozitele de arhivă.
Persoanele juridice creatoare şi deţinătoare de documente răspund de evidenţa,
inventarierea, selecţionarea, păstrarea şi folosirea lor, în condiţiile prevederilor Legii Arhivelor
Naţionale.

I. Obligaţiile creatorilor şi deţinătorilor de documente

A. Evidenţa documentelor
Creatorii de documente sunt obligaţi să înregistreze toate documentele intrate, ieşite ori
întocmite pentru uz intern
Înregistrarea documentelor se face la registratura generală, fie într-un singur registru de
intrare-ieşire, fie, concomitent, în mai multe, fără ca numerele de înregistrare date documentelor să
se repete.
Când creatorul de documente primeşte, emite şi întocmeşte pentru uz intern un număr mare
de documente, înregistrarea acestora se poate face şi la fiecare compartiment de muncă. În această
situaţie, la registratura generală se înscrie numărul de înregistrare atribuit de expeditor şi denumirea
compartimentului la care se repartizează spre înregistrare şi rezolvare.
Înregistrarea documentelor se efectuează cronologic, în ordinea primirii lor.
Înregistrarea documentelor începe de la l ianuarie şi se încheie la 31 decembrie ale fiecărui
an.
La înregistrarea documentelor se vor preciza următoarele clemente: numărul de înregistrare,
data înregistrării, numărul şi data documentului date de emitent, numărul filelor documentului,
numărul anexelor, emitentul, conţinutul documentului în rezumat, compartimentul căruia i s-a
repartizat, data expedierii, modul rezolvării, destinatarul, numărul de înregistrare al documentului la
care se conexează şi indicativul dosarului după nomenclator, care se va stabili şi completa în
registru după rezolvarea documentului.
Documentele care se referă la aceeaşi problemă se conexează la primul document înregistrat;
în dreptul fiecărui document conexat se trece, în rubrica corespunzătoare, numărul de înregistrare al
documentului la care se face conexarea.
Documentele expediate din oficiu şi cele întocmite pentru uz intern se înregistrează ca şi
documentele intrate, completându-se coloanele adecvate.
În cazul documentelor expediate ca răspuns, acestea vor primi numărul de înregistrare al
documentului la care se răspunde.

B. Gruparea documentelor în dosare


Anual, documentele se grupează în dosare, potrivit problemelor şi termenelor de păstrare
stabilite prin nomenclatorul dosarelor.
a) Întocmirea nomenclatorului dosarelor
Nomenclatorul dosarelor se întocmeşte de către fiecare creator pentru documentele proprii,
sub forma unui tabel în care se înscriu, pe compartimente de muncă, categoriile de documente
grupate pe probleme şi termene de păstrare. Nomenclatorul se aprobă de către conducerea unităţii
creatoare de documente.
b) Constituirea dosarelor
După rezolvarea lor, documentele se grupează în dosare, potrivit nomenclatorului şi se
predau la compartimentul de arhivă, în al doilea an de la constituire.
c. Inventarierea dosarelor. Predarea la compartimentul de arhivă
Dosarele se depun la compartimentul de arhivă pe bază de inventare, care cuprind toate
dosarele cu acelaşi termen de păstrare, create în cursul unui an, de către un compartiment de muncă.
Astfel, fiecare compartiment va întocmi atâtea inventare câte termene de păstrare sunt prevăzute în
nomenclator, la compartimentul respectiv.
241 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Inventarele se întocmesc în 3 exemplare pentru documentele nepermanente şi în 4 exemplare


pentru documentele permanente, dintre care un exemplar rămâne la compartimentul care face
predarea, iar celelalte se depun o dată cu dosarele la compartimentul de arhivă.
Dosarele neîncheiate în anul respectiv, ca şi cele care, din motive justificate, se opresc la
compartimentele de muncă, se trec în inventarul anului respectiv, cu menţionarea nepredării lor; în
momentul predării lor ulterioare, în inventar se va menţiona acest lucru.
d. Selecţionarea documentelor
În cadrul fiecărei unităţi creatoare şi deţinătoare de documente funcţionează câte o comisie
de selecţionare, numită prin decizia sau ordinul conducătorului unităţii respective.
Comisia de selecţionare este compusă din preşedinte, secretar şi un număr impar de membri,
numiţi din rândul specialiştilor proprii, reprezentând principalele compartimente creatoare de
arhivă.
e. Ordonarea, inventarierea şi selecţionarea documentelor secrete de stat
Documentele secrete de stat se înregistrează manipulează, studiază şi păstrează potrivit
actelor normative în vigoare privind apărarea secretului de stat.
g. Folosirea documentelor
Documentele din Fondul Arhivistic pot fi folosite pentru cercetare ştiinţifică, rezolvarea unor
lucrări administrative, informări, documentări, eliberarea unor copii, extrase, certificate, în
condiţiile legii.

II. Ordonarea, inventarierea, selecţionarea şi valorificarea documentelor tehnice şi de


înregistrare tehnică
Prin documente tehnice şi de înregistrare tehnică, în spiritul Legii Arhivelor Naţionale, se
înţelege: totalitatea actelor purtătoare de informaţie tehnică sau produse ale acţiunii de înregistrare
tehnică pe suporţi magnetici, fotosensibili sau din hârtie tratată special etc. Aceste prevederi se
aplică în cazurile speciale ale arhivelor tehnice şi de înregistrare.
Documentele tehnice şi de înregistrare, indiferent de natura informaţiilor, a suportului sau a
scrisului, se înregistrează la intrarea, crearea sau ieşirea lor, după caz.
Înregistrarea se poate face fie pe bază de registru de intrare-ieşire, fie pe calculator, într-un
fişier special, fie prin alte mijloace moderne de înregistrare, într-o registratură generală, ori pe
compartimente, cu condiţia asigurării regăsirii rapide a documentelor în circulaţia lor de la
intrare/creare la ieşire/arhivare.
Prelucrarea arhivistică
Întreaga activitate desfăşurată asupra documentelor tehnice şi de înregistrare se realizează cu
respectarea principiilor generale - „unitatea fondurilor", „respectul faţă de creatorul de fond şi
sistemul său de organizare" - precum şi a celor specifice arhivelor tehnice şi de înregistrare:
„compatibilitatea sistemelor" şi prioritatea conservării asupra tuturor celorlalte principii, criterii,
modalităţi.
În acest sens, toate documentele create de o societate, instituţie sau persoană fizică (fonduri
arhivistice), ori selecţionate de o instituţie sau persoană fizică (colecţie) trebuie să se păstreze
într-un singur loc, sub o singură gestiune şi prelucrare (principiul unităţii fondurilor).
Microfilmarea şi alte forme de reproducere pentru asigurare şi protecţie
Având în vedere, pe de-o parte, rezistenţa relativ redusă a suporţilor şi înregistrarea
informaţiilor pe suporţi, pe de altă parte, pentru asigurarea în caz de catastrofe naturale sau război,
toţi creatorii şi deţinătorii de arhivă tehnică şi de înregistrare vor realiza copii de asigurare pe bază
de microfilm sau alte forme de reproducere magnetică (disc, bandă ş.a.) după documentele clasate
ca permanente în propriul nomenclator arhivistic.
O copie pozitivă sau o a doua copie magnetică se poate folosi pentru înlocuirea originalelor
în cercetare (microfilme sau copii de protecţie).
În cazurile în care creatorii sau deţinătorul realizează acţiuni de completare a fondului
propriu sau a fondurilor deţinute, se realizează copii de asigurare şi protecţie şi pentru acestea.

242 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

III. Păstrarea documentelor; organizarea depozitului de arhivă


Creatorii şi deţinătorii de documente sunt obligaţi să păstreze documentele în condiţii
corespunzătoare, asigurându-le împotriva distrugerii, degradării, sustragerii ori comercializării în
alte situaţii decât cele prevăzute de lege.
Documentele de arhivă se păstrează în depozite construite special sau în încăperi amenajate
în acest scop, cu asigurarea condiţiilor necesare pentru păstrarea corespunzătoare a documentelor şi
pentru protecţia lor faţă de acţiunea agenţilor de deteriorare: praf, lumina solară, solicitări la uzura
mecanică, variaţii de temperatură şi umiditate, temperaturi excesive, surse de infecţie sau întreţinere
a agenţilor biologici, pericol de foc, inundaţii sau infiltraţii de apă.
Noile construcţii ale creatorilor şi deţinătorilor de arhivă vor fi avizate numai în cazul în care
au spaţii prevăzute pentru păstrarea arhivei.
Elementele de rezistenţă ale construcţiei vor fi dimensionate conform standardelor în vigoare,
ţinându-se seama că încărcarea cu arhivă (numai în zona rafturilor) se apropie ca valoare de sarcina
dată de hârtia depozitată în vrac.
Depozitele vor fi dotate cu rafturi, rastele, dulapuri şi alte mijloace de depozitare specifice,
de preferinţă din metal acoperit cu vopsele stabile, anticorozive şi fără emanaţii.
Dimensionarea elementelor de păstrare a arhivei (rafturi, dulapuri etc.) se va face în funcţie
de dimensiunile materialului suport (hârtie, film etc.). ale materialelor de protecţie (cutii, containere
etc.). ale spaţiului din construcţie aferent, asigurându-se accesul la materialul depozitat şi
posibilitatea unei evacuări rapide în caz de necesitate.
Se recomandă amplasarea rafturilor perpendicular pe sursa de lumină naturală, iar iluminatul
artificial va urmări culoarul dintre rafturi.
Se vor lua măsuri pentru asigurarea stabilităţii sistemelor de depozitare.

243 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unitatea de competenţă:
UCS4. Stabilirea securităţii industriale

Tema 30. Identificarea necesităţilor de securitate specifice activităţilor


productive cu cerinţe provenite din surse externe (organizaţii militare, instituţii
internaţionale, convenţii, agremente, angajamente etc.) sau interne (proprietate
industrială, secret profesional) ale unei organizaţii
„Omul şi securitatea trebuie să constituie prima preocupare a oricărei aventuri tehnologice.
Nu uitaţi niciodată acest lucru când începeţi calculele şi schemele.”
Albert Einstein

Zona de activităţi productive


Zona se compune din terenurile ocupate de activităţi productive de bunuri (producţie
“concretă” incluzând toate categoriile de activităţi industriale conform CAEN) şi servicii (producţie
“abstractă” cuprinzând activităţi manageriale, comerciale şi tehnice pentru industrie, cercetare,
servicii pentru distribuţie, expunere şi comercializare, la care se adaugă diverse alte servicii pentru
salariaţi şi clienţi etc.). Din această zonă fac parte atât unităţile existente care se menţin, se află în
proces de restructurare presupunând conversie în profile industriale diferite sau în profile de servicii
pentru industrie, distribuţie şi comercializare, cât şi terenurile rezervate pentru viitoare activităţi
productive şi servicii.
Problema securităţii obiectivelor industriale se impune ca o condiţie fundamentală de
eficienţă economică. De aceea este necesară elaborarea măsurilor specifice de securitate industrială.
Datorită implicaţiilor sociale majore ale obiectivelor industriale (producătoare de bunuri,
asiguratoare de locuri de muncă, concentratoare de valori, elemente de tehnologie şi procese de
timp real, colective umane integrate, realizări arhitectonice sau construcţii remarcabile, precum şi
elemente de mare influenţă ecologică), problema securităţii acestora, ca principal element de
calitate tehnologică şi socială, se impune ca o condiţie fundamentală de eficienţă economică.
Având în vedere că nu se poate discuta de eficienţă economică decât în condiţiile în care
procesele industriale se desfăşoară în siguranţă şi stabilitate, fără urmări ecologice negative, adică în
securitate, precum şi faptul că obiectivele terorismului internaţional se apropie din ce în ce mai mult
şi de aceste capacităţi, acestea coroborate evident cu aspectele concurenţei neloiale, se impun
realizarea unui plan şi implementarea, în consecinţă, a unor mecanisme de securitate care să
asigure calitatea şi să facă faţă unor evenimente nedorite, periculoase (acte de terorism,
sabotaje, furturi, cutremure, inundaţii, explozii, emisii de noxe sau poluări etc.).
Faţă de complexitatea securităţii industriale, precum şi datorită noilor mutaţii şi orientări
teroriste, se impune, cu precădere, elaborarea unei strategii de securitate industrială care să
integreze problemele de calitate, de securitate a mediului de afaceri (aprovizionare, producţie, piaţă,
relaţii de cercetare, bancare etc.), sociale, tehnologice, ecologice şi de protecţie fizică,
informaţională, de personal, împotriva incendiilor şi catastrofelor naturale, precum şi să fie capabil
să atenueze consecinţele producerii evenimentelor nedorite şi să contribuie la restabilirea cât mai
rapidă a capacităţii de producţie.
În esenţă, această strategie trebuie să prevadă:
- analiza ameninţărilor;
- determinarea vulnerabilităţilor;
- evaluarea riscurilor producerii evenimentelor nedorite şi a consecinţelor acestora;

244 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- stabilirea clasei de securitate a capacităţii şi un plan de securitate, în funcţie de riscurile şi


costurile posibil a fi suportate;
- definirea mediului de securitate necesar păstrării şi dezvoltării capacităţii de producţie;
- definirea securităţii mediului de afaceri;
- realizarea, implementarea şi integrarea mecanismelor de securitate într-un sistem complex
şi eficace;
- stabilirea şi constituirea structurii de securitate care să exploateze sistemul;
- evaluarea, testarea şi automatizarea sistemului de securitate realizat;
- determinarea limitelor de deschidere şi de perfecţionare;
- stabilirea măsurilor de mentenanţă;
- definirea şi realizarea cadrului de asigurare complexă (pagube, riscuri etc.) a capacităţii de
producţie protejate.
Evident că strategia de securitate este o problemă de mare profesionalism, dar, pentru ca
aceasta să fie cât mai adecvată nevoilor reale în vederea realizării unui mediu de funcţionare
optimal, pentru sistemele de securitate trebuie adoptate următoarele măsuri:
- structurarea optimală a proceselor de producţie, atât tehnologic, cât şi informaţional;
- structurarea optimală a construcţiilor – arhitectură şi instalaţii;
- aplicarea celor mai performante tehnologii de supraveghere şi alarmare;
- măsuri organizatorice adecvate (atât în interior, cât şi în mediul de afaceri);
- realizarea unui sistem informatic util, eficace şi cu suport sigur (reţele de calculatoare şi
baze de date).
Structura sistemului de securitate va avea la bază datele rezultate din analizele făcute şi
strategia stabilită:
- sistemul de management al securităţii;
- ameninţările, vulnerabilităţile, tolerarea riscurilor şi direcţiile de insecuritate;
- scopul acţiunilor răuvoitoare;
- atacurile maxim credibile;
- zonele critice (vitale).
La structurarea sistemelor de securitate industrială trebuie să se ţină seama şi de următoarele
principii:
- sistemul de securitate este rezultatul unei concepţii, al strategiei alese şi al unei atente
analize de costuri şi eficienţă;
- are comportament adaptabil, este deschis şi perfectibil, dar este dedicat obiectivului pe
care-l protejează;
- are structură mixtă (om-maşină) şi caracter cibernetic, cu autoreglare şi învăţare în funcţie
de politicile de securitate de succes aplicate;
- „îngheţarea” şi neadaptarea în securitate înseamnă insecuritate;
- costurile relativ mari ale securităţii pot fi serios diminuate prin analize profesionale şi
mecanisme adecvate şi, oricum, componente de siguranţa afacerilor, producţiei, satisfacţia
clienţilor, siguranţa şi comportamentul personalului.
Din punct de vedere structural, sistemele de securitate industriale sunt: multinivel, ierarhice
funcţional şi acţional, mixte (om-maşină), adaptabile strategic şi operaţional, de tip expert.
În principiu, sistemul de securitate al unei capacităţi industriale trebuie să cuprindă:
 subsistemul securităţii fizice:
• mecanismul de protecţie perimetrală;
• mecanismul de bariere fizice;
• mecanismul de control al accesului;
• mecanismul de detecţie a tentativei de efracţie;
• mecanismul de supraveghere cu televiziune în circuit închis;

245 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

• mecanismul de alarmare la accidentarea sau agresarea personalului;


• mecanismul de detecţie şi stingere a incendiilor;
• procedura de evacuare a personalului în cazuri de pericol;
• mecanismul de conservare a procesului tehnologic în caz de avarii, sabotaje sau catastrofe
naturale;
• instalaţia de transmitere şi de monitorizare a alarmei;
• procedurile echipajelor de intervenţie.
 subsistemul securităţii funcţionale:
• mecanismul de asigurare a calităţii;
• mecanismul siguranţei şi stabilităţii proceselor de producţie;
• procedurile de operare în siguranţă;
• mecanismul şi procedura de mentenanţă;
• mecanismele şi procedurile de conservare a capacităţilor ce pot deveni periculoase sau
nocive în caz de avarii, atacuri sau evenimente catastrofice.
 subsistemul organizatoric:
• structura de securitate;
• cadrul juridic şi procedural al desfăşurării activităţii structurii de securitate;
• cadrul moral al participării întregului personal la securitate.
 subsistemul de securitate a informaţiilor:
• procedura de clasificare a informaţiilor;
• mecanismul securităţii conducerii generale şi a proceselor de producţie;
• mecanismul de asigurare a confidenţialităţii informaţiilor atât în format clasic, cât şi
electronic;
• securitatea reţelelor de calculatoare suport atât pentru conducerea generală, cât şi pentru
conducerea proceselor;
• securitatea comunicaţiilor interne şi externe;
• protecţia suporţilor de informaţii şi a bazelor de date;
• protecţia informaţiilor la accidente de alimentare electrică şi la impulsuri electromagnetice
de mare intensitate;
• limitarea radiaţiilor compromiţătoare;
• protecţia împotriva supravegherii vizuale şi/sau fotografierii ori a interpretării
comunicaţiilor.
 subsistemul asigurării personalului:
• mecanismul prevenirii accidentelor;
• cadrul moral şi educaţional al comportamentului personalului în situaţii normale de criză;
• angajamente de securitate;
• acorduri de confidenţialitate;
• coduri deontologice şi norme de comportament;
• raporturi echilibrate de muncă, pregătire, responsabilitate şi manifestare a initiaţivei
constructive.
Constituie obiecte de proprietate industrială şi sunt protejate prin legi speciale: invenţia,
modelul de utilitate, marca, indicaţia geografică, desenul sau modelul (industrial).
Unele profesii sunt supuse obligaţiei de a păstra secretul profesional. Prin urmare,
persoanele care exercită aceste profesii nu pot dezvălui nicio informaţie care le-a fost adusă la
cunoştinţă în cadrul activităţii lor.

246 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 31. Stabilirea modalităţilor de asigurare a securităţii industriale, a


responsabilităţilor şi a filierelor specifice de tratare a problemelor referitoare la
securitate industrială. Evaluarea securităţii industriale. Corecţia neconformităţilor.

Securitatea industrială este un domeniu reglementat care include toate activităţile


desfăşurate la obiectivele industriale: pregătirea personalului, expertiza, verificarea tehnică,
diagnosticarea tehnică, controlul nedistructiv, controlul şi supravegherea tehnică, proiectarea,
construcţia-montarea, exploatarea, deservirea tehnică, reglarea şi punerea în funcţiune, fabricarea,
utilizarea, reconstrucţia, reutilarea tehnică, conservarea sau lichidarea unui obiect industrial
periculos.
Aceasta trebuie să integreze problemele de calitate, cele tehnologice şi ecologice ale
obiectivului industrial cu problemele de securitate ale mediului de afaceri, să protejeze obiectivul
fizic, informaţional precum, şi împotriva incendiilor şi catastrofelor naturale.
Un alt rol al conceptului de securitate industrială constă în atenuarea consecinţelor
producerii evenimentelor nedorite şi restabilirea rapidă a capacităţilor de producţie.
TERMENI SPECIFICI
SECURITATE INDUSTRIALĂ - sistemul de norme şi măsuri care reglementează protecţia
informaţiilor clasificate în domeniul activităţilor contractuale;
CONTRACT CLASIFICAT - orice contract încheiat între părţi, în condiţiile legii, în cadrul
căruia se cuprind şi se vehiculează informaţii clasificate;
CONTRACTANT - unitate industrială, comercială, de execuţie, de cercetare - proiectare sau
prestatoare de servicii în cadrul unui contract clasificat;
CONTRACTOR - parte dintr-un contract clasificat, care are calitatea de beneficiar al
lucrărilor sau servuciilor executate de contractant;
PARTE CONTRACTANTĂ - oricare dintre părţile care convin să negocieze, să încheie sau
să deruleze un contract clasificat;
SUBCONTRACTANT - parte care îşi asumă executarea unei părţi a contractului clasificat
sub coordonarea contractantului;
AUTORIZAŢIE DE SECURITATE INDUSTRIALĂ - document emis de ORNISS ce
permite participarea unei firme la negocierea unui contract clasificat;
CERTIFICAT DE SECURITATE INDUSTRIALĂ - document emis de ORNISS ce permite
participarea unui contractant la derularea unui contract clasificat.
CERINŢE OBLIGATORII
- program de prevenire a scurgerii de informaţii clasificate, avizat de Serviciul Român de
Informaţii;
- stabilitate economică;
- management corespunzător privind protecţia informaţiilor clasificate;
- respectarea obligaţiilor de securitate;
- personal autorizat.
INCOMPATIBILITĂŢI:
a) este în proces de lichidare;
b) este în stare de faliment ori se află în procedura reorganizării judiciare sau a falimentului;
c) este implicată într-un litigiu care îi afectează stabilitatea economică;
d) nu îşi îndeplineşte obligaţiile financiare către stat;
e) nu şi-a îndeplinit la timp, în mod sistematic, obligaţiile financiare către persoane fizice
sau juridice;

247 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

f) obiectivul industrial a fost şi este implicat sub orice formă în activitatea unor organizaţii,
asociaţii, mişcări, grupări de persoane străine sau autohtone care au adoptat sau adoptă o politică de
sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste.
RISCURI DE SECURITATE
a) derularea unor activităţi ce contravin intereselor de siguranţă naţională sau
angajamentelor pe care România şi le-a asumat în cadrul acordurilor bilaterale sau multinaţionale;
b) relaţiile cu persoane fizice sau juridice străine ce ar putea aduce prejudicii intereselor
statului român;
c) derularea de activităţi contractuale în asociere cu persoane fizice sau juridice, semnalate
cu activităţi sau legături cu organizaţii sau elemente teroriste sau de proliferare a armelor nucleare.
GARANŢII DE SECURITATE
a) agentul economic nu prezintă riscuri de securitate;
b) sunt aplicate în mod corespunzător măsurile de securitate fizică, prevăzute de
reglementările în vigoare, precum şi normele privind accesul persoanelor la informaţii clasificate;
c) obiectivul industrial este solvabil din punct de vedere financiar;
d) obiectivul industrial nu a fost şi nu este implicat sub nici o formă în activitatea unor
organizaţii, asociaţii, mişcări, grupări de persoane străine sau autohtone care au adoptat sau adoptă
o politică de sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste.

SECURITATEA INDUSTRIALĂ / CAPITOLUL VII / HOTĂRÂRE nr. 585 din 13


iunie 2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în
România
1. Protecţia informaţiilor clasificate care fac obiectul activităţilor contractuale
Clauzele şi procedurile de protecţie vor fi stipulate în anexa de securitate a fiecărui contract
clasificat, care presupune acces la informaţii clasificate.
Anexa de securitate va fi întocmită de partea contractantă deţinătoare de informaţii
clasificate ce vor fi utilizate în derularea contractului clasificat.
Clauzele şi procedurile de protecţie vor fi supuse, periodic, inspecţiilor şi verificărilor de
către autoritatea desemnată de securitate competentă.
Partea contractantă deţinătoare de informaţii clasificate ce vor fi utilizate în derularea unui
contract este responsabilă pentru clasificarea şi definirea tuturor componentelor acestuia, în
conformitate cu normele în vigoare, sens în care poate solicita sprijin de la ADS, conform
competenţelor materiale stabilite prin lege.
În cazul în care contractantul cedează unui subcontractant realizarea unei părţi din contractul
clasificat, se va asigura că acesta deţine autorizaţie sau certificat de securitate industrială şi este
obligat să înştiinţeze contractorul, iar la încheierea subcontractului să prevadă clauze şi proceduri de
protecţie în conformitate cu prevederile prezentelor standarde.
După adjudecarea contractului clasificat, contractantul are obligaţia de a informa ORNISS,
în vederea iniţierii procedurii de obţinere a certificatului de securitate industrială.
Contractul clasificat va putea fi pus în executare numai în condiţiile în care:
a) ORNISS a emis certificatul de securitate industrială;
b) au fost eliberate certificate de securitate sau autorizaţii de acces pentru persoanele care, în
îndeplinirea sarcinilor ce le revin, necesită acces la informaţii secrete de stat;
c) personalul autorizat al contractantului a fost instruit asupra reglementărilor de securitate
industrială de către structura/funcţionarul de securitate şi a semnat fişa individuală de pregătire.
2. Procedura de verificare, avizare şi certificare a obiectivelor industriale care
negociază şi derulează contracte clasificate
Verificarea, avizarea şi eliberarea autorizaţiei şi certificatului de securitate industrială
reprezintă ansamblul procedural de securitate ce se aplică numai obiectivelor industriale care au sau

248 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

vor avea acces la informaţii clasificate în cadrul contractelor sau subcontractelor secrete de stat,
încheiate cu deţinătorii unor astfel de informaţii.
Activitatea de verificare în vederea eliberării autorizaţiei şi a certificatelor de securitate
trebuie să asigure îndeplinirea următoarelor obiective principale:
a) prevenirea accesului persoanelor neautorizate la informaţii clasificate,
b) garantarea că informaţiile clasificate sunt distribuite pe baza existenţei certificatului de
securitate industrială şi a principiului necesităţii de a cunoaşte;
c) identificarea persoanelor care, prin acţiunile lor, pot pune în pericol protecţia informaţiilor
clasificate şi interzicerea accesului acestora la astfel de informaţii;
d) garantarea faptului că obiectivele industriale au capacitatea de a proteja informaţiile
clasificate în procesul de negociere, respectiv de derulare a contractului.
Pentru a i se elibera autorizaţia şi certificatul de securitate, obiectivul industrial trebuie să
îndeplinească următoarele cerinţe:
a) să posede program de prevenire a scurgerii de informaţii clasificate, avizat conform
reglementărilor în vigoare;
b) să fie stabil din punct de vedere economic;
c) să nu fi înregistrat o greşeală de management cu implicaţii grave asupra stării de
securitate a informaţiilor clasificate pe care le gestionează;
d) să fi respectat obligaţiile de securitate din cadrul contractelor clasificate derulate anterior;
e) personalul implicat în derularea contractului să deţină certificat de securitate de nivel egal
celui al informaţiilor vehiculate în cadrul contractului clasificat.
Neîndeplinirea cerinţelor menţionate mai sus, precum şi furnizarea intenţionată a unor
informaţii inexacte în completarea chestionarului sau în documentele prezentate în vederea
certificării constituie elemente de incompatibilitate în procesul de eliberare a autorizaţiei sau
certificatului de securitate industrială.

EVALUAREA SECURITĂŢII INDUSTRIALE


Problemele legate de securitate pot include unele sau toate faptele din cele ce urmează:
• furt;
• fraudă;
• falsificare;
• incendiere;
• efracţie;
• jaf;
• sabotaj;
• verificarea şi investigarea personalului;
• furtul de secrete comerciale;
• spionaj industrial;
• protecţia executivilor;
• răpirea;
• şantajul;
• ameninţarea cu bombă;
• planificarea pentru situaţii de urgenţă şi dezastre.
 Statisticile FBI arată că:
 72% din totalul furturilor, fraudei, sabotajului şi accidentelor sunt cauzate de proprii

angajaţi.
 Alte 15 până la 20% provin din partea consultanţilor şi contractorilor externi.

 Numai circa 5% până la 8% este imputabil persoanelor din afara companiei.

249 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Următorul pas este de a analiza vulnerabilităţile şi de a recomanda măsuri de protecţie


eficiente. Aceasta va ajuta beneficiarul să dezvolte politici şi proceduri pentru:
 Protecţia împotriva furtului intern şi extern, incluzând deturnarea, frauda, furtul, spargerea,

jaful, spionajul industrial şi furtul de secrete comerciale;


 Dezvoltarea de proceduri pentru controlul accesului pentru protejarea perimetrului clădirii

şi a spaţiilor interioare importante;


 Stabilirea procedurilor pentru administrarea încuietorilor şi a cheilor;

 Proiectarea, supervizarea şi instalarea sistemelor antiefracţie;

 Stabilirea unui program de protecţie a conducerii, capabil să facă faţă şi problemelor de

şantaj şi/sau răpire;


 Furnizarea controlului asupra mişcării şi identificării angajaţilor, clienţilor şi vizitatorilor;

 Reexaminarea proceselor de selecţie, pregătire şi dezvoltare a personalului de securitate,

propriu sau externalizat;


 Furnizarea de suport în stabilirea planurilor pentru situaţii de urgenţă şi dezastre;

 Identificarea resurselor interne disponibile şi necesare pentru stabilirea unui program

eficient de securitate;
 Dezvoltarea şi susţinerea periodică de seminarii pentru management cu tematică de

securitate.

CORECŢIA NECONFORMITĂŢILOR
Care este diferența dintre corecție și acțiune corectivă?
La identificarea unei neconformități trebuie stabilit un plan de tratare. Trebuie analizat dacă
neconformitatea poate fi corectată, care sunt cauzele neconformității pentru a le putea elimina și
preveni repetarea neconformității. Dacă în procesul de analiză au fost identificate contexte similare
expuse la eroare atunci trebuie inițiate și acțiuni preventive.
Acțiunea corectivă este definită de standardul ISO 9000 ca acțiune întreprinsă pentru
eliminarea cauzelor unei neconformități (defect, situație critică etc.) existente, cu scopul de a
preveni reapariția acesteia. O definiție similară are și acțiunea preventivă doar că aceasta nu se
referă la neconformității existente ci la cele potențiale.
Spre deosebire de acțiunea corectivă, corecția se referă la repararea, refacerea sau ajustarea
unui obiect neconform. Eliminarea defectului fără eliminarea cauzei defectului nu poate preveni
reapariția acestuia.
Din perspectiva afacerii corecția rezolvă punctual un produs sau o problemă detectată în
timp ce acțiunea corectivă/preventivă poate rezolva loturi întregi de produse sau poate aduce
îmbunătățiri în funcționarea întregii organizații.
Terminologie
Conformitate = Îndeplinirea unei cerinţe.
Neconformitate = Neîndeplinirea unei cerinţe.
Corecţie = Acţiune de eliminare a unei neconformităţi detectate.
Reprelucrare = Acţiune asupra unui produs neconform, pentru a-l face conform cu cerinţele.
(ex. reeditare, refacere etc.)
Acţiune corectivă = Acţiune de eliminare a cauzei unei neconformităţi detectate sau a altei
situaţii nedorite.
Identificare = Stabilirea pe baza însuşirilor caracteristice specifice unui produs/serviciu şi
posibilitatea de diferenţiere între acestea şi alte produse/servicii similare.
Documente de referinţă
SR EN ISO 9001: 2008 – Sisteme de management al calităţii. Cerinţe.
Manualul calitǎţii – MSMC-01
Regulamentul de organizare şi funcţionare – ROF şi Regulamentul intern – RI ale unităţii.

250 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Procedura generală stabileşte modul de identificare, documentare, evidenţă, analiză şi tratare


a neconformităţilor rezultate / care pot să apară în oricare dintre fazele ciclului de activitate al unei
organizaţii, solutionarea şi prevenirea repetării acestora, astfel încât să fie asigurată conformitatea
serviciilor oferite cu condiţiile prestabilite.
Tipurile de neconformităţi la care face referire procedura generală sunt următoarele:
- neconformităţi ale documentaţiei Sistemului de management al calitǎţii - SMC faţă de
cerinţele standardului SR EN ISO 9001:2008;
- neconformităţi privind modul în care sunt identificate, actualizate şi modificate
documentele;
- neconformităţi privind instruirea şi/sau calificarea personalului pentru managementul
calităţii;
- neconformităţi constatate la analiza contractelor încheiate cu terţii/clienţii;
- neconformităţi faţă de prevederile legislative / standardele şi normativele tehnice;
- neconformităţi ale produselor / serviciilor achiziţionate;
- neconformităţi privind arhivarea şi/sau păstrarea produselor activităţii desfăşurate
(înregistrări, documente etc.)
- alte neconformităţi rezultate din monitorizarea proceselor SMC.
În cazul constatării unor abateri de la calitate se introduc măsuri adecvate imediate de
înlăturare a deficienţelor pentru ca, în ciuda apariţiei erorilor, nevoile organizaţiei să fie satisfăcute.
Activităţile de menţinere sub control a produsului/serviciului neconform constau de regulă
în:
· identificarea produsului/serviciului neconform;
· izolarea şi înregistrarea produsului neconform, atunci când este aplicabil;
· analiza produsului/serviciului neconform;
· tratarea produsului/serviciului neconform.
Tratarea serviciului neconform se realizează, în funcţie de caz, prin una sau mai multe din
următoarele metode:
- prin întreprinderea unor acţiuni de eliminare a neconformităţii detectate;
- prin autorizarea acceptării cu derogare dată de o autoritare competentă în cazul derulării
anumitor lucrări contractate.
Analiza şi tratarea neconformităţilor
Analiza şi stabilirea deciziei de tratare a neconformităţilor constatate se face, după caz, de
către funcţiile competente (şefi departamente, directori direcţii, reprezentantul conducerii cu
managementul calităţii – RMC etc.).
Pentru neconformităţile care implică modificări majore în structura organizaţiei sau atunci
când soluţia de remediere implică investiţii semnificative, decizia de tratare este stabilită în urma
unei reuniuni a membrilor de specialitate din cadrul organizaţiei.
Analiza neconformităţii presupune în principal stabilirea cauzelor care au condus la apariţia
neconformităţii şi alegerea celui mai potrivit mod de tratare a acesteia.
Decizia de tratare (corecţia) a neconformităţii poate fi:
- acceptarea ca atare;
- corectarea neconformităţii în scopul satisfacerii cerinţelor.
Urmǎrirea aplicǎrii corecţiilor
La termenul stabilit, persoana responsabilǎ cu urmǎrirea aplicării corecţiei verifică dacă a
fost aplicată decizia de tratare a produselor/serviciilor neconforme, dacǎ acţiunile corective sau
preventive stabilite au fost eficace.

251 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Stabilirea securității industriale

Elemente de Criterii de
competenţă realizare asociate
modului de
pentru Criterii de realizare asociate rezultatului activităţii
îndeplinire a
managerul de descrise de elementul de competenţă
activităţii descrise
securitate de elementul de
competenţă
1. Asigură 1.1 Securitatea industrială este asigurată cu transpunerea în Asigurarea
securitatea norme interne de securitate industrială a prevederilor legale securității
industrială. referitoare la protecţia informaţiilor clasificate, cu stipularea industriale este
în anexa de securitate a contractelor clasificate a clauzelor de realizată cu
protecţie a informațiilor și cu precizarea protocoalelor de corectitudine,
verificare de către autoritatea desemnată de securitate. flexibilitate,
1.2. Securitatea industrială este asigurată cu stabilirea acuratețe şi
competențelor, responsabilităților și atribuțiunilor specifice responsabilitate.
în domeniul securității industriale și cu stabilirea cadrului
organizațional, atribuţiunilor şi modului de acţiune ale
componentelor SMS la incidentele de securitate industrială.

2. Evaluează 2.1. Securitatea industrială este evaluată cu monitorizarea, în Evaluarea securității


securitatea condiţiile legii, a modului de utilizare a informaţiilor industriale este
industrială. clasificate în procesul de negociere şi derulare a contractelor realizată cu atenție,
și cu verificarea periodică potrivit clauzelor şi procedurilor acuratețe,
de protecţie. corectitudine,
2.2. Securitatea industrială este evaluată ținând cont de exigență şi
modul în care este organizat controlul. responsabilitate.
2.2. Securitatea documentelor este evaluată cu consemnarea
informațiilor și constatărilor rezultate, analiza datelor astfel
obținute și redactarea raportului de control.
2.3. Securitatea industrială este evaluată cu prezentarea în
format standardizat a rezultatelor și măsurilor propuse
pentru remedierea deficienţelor.

252 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Unitatea de competenţă:
UCS5. Organizarea securităţii sistemelor informatice şi de comunicaţii

Tema 32. Ameninţări la adresa securităţii informaţiei în sisteme informatice


şi de comunicaţii

Introducere
Lumea în care trăim este într-o permanentă schimbare şi se complică pe zi ce trece.
Numărul de incidente legate de securitatea sistemelor de calcul şi de comunicaţii şi costul
rezultat al întreruperilor şi restaurării serviciilor continuă să crească.
Securitatea sistemelor informatice şi a reţelelor de comunicaţii este un subiect care intervine
din ce în ce mai des în problemele cu care se confruntă organizaţiile.
Evoluţia spectaculoasă din secolul anterior a mijloacelor de comunicare în masă, fenomenul
globalizării și apariţia noilor tehnologii de comunicare au spart barierele dintre state, în acest
context informaţia a devenit, uneori, mult mai periculoasă şi distructivă decât armele de foc, iar
securitatea informatică a devenit una din componentele majore ale internetului.
Analiştii acestui concept au sesizat o contradicţie între nevoia de comunicaţii şi
conectivitate, pe de o parte, şi necesitatea asigurării confidențialității, integrității şi autenticității
informațiilor, pe de altă parte.
Domeniul relativ nou al securității informatice caută soluții tehnice pentru rezolvarea acestei
contradicții aparente.
Viteza şi eficiența comunicațiilor “instantanee” de documente şi mesaje conferă numeroase
atuuri actului decizional într-o societate modernă, bazată pe economie concurențială.
Însă utilizarea serviciilor de poştă electronică, web, transfer de fonduri etc., se bazează pe un
sentiment, adeseori fals de securitate a comunicațiilor, care poate transforma potențialele câştiguri
generate de accesul rapid la informații, în pierderi majore, cauzate de furtul de date sau de inserarea
de date false ori denaturate.
Astfel, pe măsură ce societatea se bazează tot mai mult pe calculatoare, infracţiunile legate
de acest aspect se proliferează proporţional.
Toată lumea foloseşte sisteme informatice, dar foarte puţini sunt aceia care cunosc riscurile
şi vulnerabilităţile acestora şi mai puţini sunt cei care ştiu să se protejeze.
Amenințările sistemelor informatice:
- Sistemele informatice sunt amenințate atât din interior cât şi din exterior.
- Pot fi persoane bine intenționate care fac diferite erori de operare sau persoane rău
intenționate, care sacrifică timp şi bani pentru penetrarea sistemelor informatice.
- Oamenii care administrează sistemul sau doar folosesc calculatorul reprezintă cea mai
mare vulnerabilitate pentru securitatea acestuia.
- Securitatea sistemului se află de cele mai multe ori în mâna unui administrator de sistem,
care dacă nu este instruit corespunzător, sau dacă se va decide să profite, în mod fraudulos, de
oportunităţile sale, pentru obţinerea unor beneficii nemeritate, amplifică probabilitatea unor breşe
de securitate în sistemul de calcul, care se va afla în pericol.
- De asemenea şi utilizatorii obişnuiţi, operatorii, programatorii sau oamenii care întreţin
sistemul pot fi corupţi sau forţaţi să divulge parole, informaţii sau căi de acces, cu alte cuvinte să
compromită securitatea computerelor.
253 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Dezvoltarea securității informatice:


- Ameliorarea securității sistemelor informatice trebuie să fie un obiectiv important al
oricărei organizații.
- Trebuie însă avută în vedere asigurarea unui bun echilibru între costurile aferente şi
avantajele concrete obținute.
- Măsurile trebuie să descurajeze tentativele de penetrare neautorizată, să le facă mai
costisitoare decât obținerea legală a accesului la aceste programe şi date.
- În sensul cel mai general, securitatea sistemelor de calcul asigură protecţia informaţiilor
stocate în aceste sisteme, previne pierderea, modificarea accidentală sau voită şi citirea lor
neautorizată, chiar dacă utilizatorii nu fac ceea ce ar trebui să facă.

Vulnerabilitățile sistemelor informatice


Securizarea se poate pune în aplicare prin diverse metode pornind de la încuierea încăperilor
cu calculatoare şi a calculatorului însuşi, protejarea intrărilor în reţeaua de calculatoare cu parole,
folosirea sistemelor de protejare a fişierelor de date pentru împiedicarea distrugerii acestora,
criptarea liniilor de comunicaţii din reţelele de calculatoare şi ajunge până la folosirea unor
tehnologii speciale pentru împiedicarea interceptării diferitelor radiaţii emise de echipamentele de
calcul în timpul funcţionarii normale a acestora.
Toate calculatoarele emit radiaţii electrice şi electromagnetice care pot fi interceptate,
analizate şi descifrate.
De aceea, informaţiile stocate şi transmise în și din sistemele de calcul şi reţele devin
vulnerabile.
Internetul este o structură deschisă la care se poate conecta un număr mare de calculatoare,
fiind deci greu de controlat.
De aceea, putem vorbi de vulnerabilitatea rețelelor, manifestată pe variate planuri.
Un aspect crucial al rețelelor de calculatoare, în special al comunicațiilor prin Internet, îl
constituie securitatea informațiilor.
În cazul Internet-ului, adresele diferitelor noduri şi servicii pot fi determinate uşor.
Orice posesor al unui PC cu conectivitate la Internet, având cunoştințe medii de operare
poate încerca să “forțeze” anumite servicii cum ar fi conectarea la distanță (telnet, ssh, remote
connection), transferul de fişiere (ftp) sau poştă electronică (e-mail).
Există persoane dispuse să cheltuiască resurse, bani şi timp pentru a penetra diferite sisteme
de securitate.
O rețea de calculatoare este o structură deschisă la care se pot conecta noi tipuri de
echipamente. Acest lucru conduce la o lărgire necontrolată a cercului utilizatorilor cu acces
nemijlocit la resursele rețelei.
Vulnerabilitatea sistemelor informatice se manifestă pe două planuri:
– posibilitatea modificării sau distrugerii informației, adică atacul la integritatea ei fizică;
– posibilitatea folosirii neautorizate a informațiilor, adică scurgerea lor din cercul de
utilizatori stabilit.
Trebuie avute în vedere, cu prioritate, două aspecte legate de securitatea informatică:
– integritatea resurselor unei rețele, adică disponibilitatea lor indiferent de defectele de
funcționare, hard sau soft, de încercările ilegale de sustragere a informațiilor precum şi de
încercările de modificare a informațiilor;
– caracterul privat, adică dreptul individual de a controla sau influența ce informație
referitoare la o persoană, poate fi memorată în fişiere sau baze de date şi cine are acces la
aceste date.
O rețea sigură este aceea în ale cărei componente (resurse şi operații) se poate avea
încredere, adică furnizează servicii de calitate şi corecte.
254 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Securitatea şi în special caracterul privat trebuie să constituie obiectul unei analize atente în
cazul rețelelor.
Rețelele sunt ansabluri complexe de calculatoare. Este foarte dificil să se obțină o schemă
completă a tuturor entităților şi operațiilor existente la un moment dat, astfel încât rețelele sunt
vulnerabile la diferite tipuri de atacuri sau abuzuri.
În viitorul imediat, rețelele de calculatoare vor deveni o parte esențială din viața socială şi
individuală.
De funcționarea lor corectă depinde activitatea guvernamentală, comercială, industrială şi
chiar personală.
Pe măsură ce calculatoarele personale pot fi conectate de acasă în rețele, o serie de activități
pot fi făcute de persoane particulare.
Trebuie avute în vedere tipurile de date pe care persoanele le pot citi, care sunt celelalte
persoane cu care pot comunica și la ce programe au acces.
Tot mai multe informații memorate în fişiere devin posibil de corelat prin intermediul
rețelelor. Această asociere de fişiere privind persoanele poate avea consecințe nefaste asupra
caracterului privat, individual.
Informația este vulnerabilă la atac, în orice punct al unei rețele, de la introducerea ei până la
destinația finală.

Amenințări asupra rețelelor de calculatoare


Amenințările la adresa securității unei rețele de calculatoare pot avea următoarele
origini: dezastre sau calamități naturale, defectări ale echipamentelor, greşeli umane de operare
sau manipulare, fraude.
Calculatoarele sunt foarte vulnerabile la dezastrele naturale şi la ameninţările provenite din
mediul înconjurător.
Pericolele majore ca incendiile, inundaţiile, cutremurele, fulgerele şi căderile de tensiune pot
distruge echipamente de calcul şi datele utilizatorilor.
Praful, umezeala şi temperatura variabilă pot avea, de asemenea, efecte distructive.
Unele tipuri de defecţiuni hardware pot compromite securitatea unui întreg sistem de calcul.
De exemplu, multe sisteme asigură protecţie hardware prin structurarea memoriei în zone
privilegiate şi neprivilegiate.
Dacă aceste facilităţi de protejare a memoriei cad, sistemul devine vulnerabil.
Defecţiunile software, de orice natură, pot conduce la erori în buna funcţionare a sistemului,
pot deschide breşe în protecţia sa, ori îl pot face atât de nesigur în funcţionare încât nu se mai poate
lucra corect şi eficient.
În particular, erorile facilităţilor de securitate a computerelor pot deschide porţi de acces
intruşilor sau accidentelor.
Chiar dacă fiecare componentă software şi hardware în parte este sigură, ansamblul acestora
poate fi compromis în cazul în care componentele hardware sunt conectate greşit sau dacă software-
ul nu este instalat şi configurat în mod corect.

Atacuri asupra sistemelor informatice şi de comunicaţii


Liniile de comunicaţie şi conexiunile reţelelor sunt foarte vulnerabile la atacuri.
Adesea este mai uşor să pătrunzi într-un sistem prin intermediul reţelei, decât din interior.
Câteva studii de securitate a calculatoarelor estimează că jumătate din costurile implicate de
incidente sunt datorate acțiunilor voit distructive, un sfert dezastrelor naturale sau accidentale şi un
sfert greşelilor uname.
În amenințările datorate acțiunilor voite, se disting două categorii principale de
atacuri: pasive şi active.
Atacurile pasive sunt acelea în cadrul cărora intrusul observă informația că trece prin
“canal” fără să interfereze cu fluxul sau conținutul mesajelor.
255 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Ca urmare, se face doar analiza traficului, prin citirea identității parților care comunică şi
“învățând” lungimea şi frecvența mesajelor vehiculate pe un anumit canal logic, chiar
dacă conținutul este neinteligibil.
Atacurile pasive au următoarele caracteristici comune:
1. nu cauzează pagube (nu se şterg sau se modifică datele);
2. încalcă regulile de confidențialitate;
3. obiectivul este de a “asculta” datele schimbate prin rețea;
4. pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legăturilor telefonice
sau radio, exploatarea radiațiilor electromagnetice emise, rutarea datelor prin noduri adiționale mai
puţin protejate.
Atacurile active – sunt acelea în care intrusul se angajează fie în furtul mesajelor, fie în
modificarea, reluarea sau inserarea de mesaje false.
Aceasta înseamnă că el poate şterge, întârzia sau modifica mesaje, poate să facă inserarea
unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumită direcție, fie pe
ambele direcții ale unui canal logic.
Aceste atacuri sunt serioase deoarece modifică starea sistemelor de calcul, a datelor sau a
sistemelor de comunicații.

Criminalitatea informatică
În cazul atacurilor active, se înscriu şi unele programe create cu scop distructiv şi care
afectează, uneori esențial, securitatea calculatoarelor.
Există o terminologie care poate fi folosită pentru a prezenta diferitele posibilitați de atac
asupra unui sistem.
Acest vocabular este bine popularizat de “poveştile” despre “hackeri”.
Atacurile presupun, în general, fie citirea informațiilor neautorizate, fie distrugerea parţială
sau totală a datelor sau chiar a calculatoarelor.
Ce este mai grav este posibilitatea potențială de infestare, prin rețea sau chiar copieri de pe
suport optic sau magnetic a unui mare număr de maşini.
În lumea reală există persoane care pătrund în case şi pot fura tot ce găsesc valoros.
În lumea virtuală există indivizi care pătrund în sistemele informatice şi „fură” toate
datele valoroase.
La fel cum în lumea reală există oaspeţi nepoftiţi şi persoane care simt plăcere atunci când
îşi însuşesc sau distrug proprietatea altcuiva, lumea calculatoarelor nu putea fi lipsită de acest
fenomen nefericit.
Este cu adevărat detestabilă perfidia acestor atacuri.
Căci dacă se poate observa imediat lipsa cutiei cu bijuterii, o penetrare a serverului de
contabilitate poate fi depistată după câteva luni, atunci când toţi clienţii au renunţat la serviciile
firmei deoarece datele furate şi ajunse la concurenţă au ajutat-o pe aceasta să le facă oferte mai
bune.
În ceea ce priveşte securitatea, o persoană din interior este cineva care este familiarizat cu
procedurile şi operaţiunile organizaţiei, are prieteni în interiorul grupului, având totodată acces la
resursele şi sistemele oferite de această organizaţie.
Ceea ce face ca persoanele din interior să fie şi mai periculoase este că ele sunt greu de
detectat.
Un străin este uşor observat atunci când încearcă să treacă una din barierele dintre
organizaţie şi lumea exterioară, lucru pe care un membru al organizaţiei nu are nevoie să îl facă.
În multe cazuri, autorul este chiar salariat al întreprinderii atacate sau cunoaşte modul de
funcţionare a sistemului atacat.
Au fost numeroase încercări de realizare a unei tipologii a făptuitorilor, criteriile de
delimitare a acestor tipologii sunt în principal două: motivaţiile autorilor, precum şi consecinţele
legale ale acestora.

256 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Cel de-al doilea criteriu introduce o distincţie între acţiunile care au scop fie producerea de
pagube, fie un folos necuvenit, şi acţiunile justificate de curiozitate, sau explicate de motive
pedagogice.
Unii specialişti în domeniu enumeră următoarele categorii de autori:
Hackerii sunt pasionați ai informaticii, care, de obicei au ca scop „spargerea” anumitor
coduri, baze de date, pagini web etc.
Hackeri – persoane, mai ales tineri, care pătrund în sistemele informatice din motivaţii
legate mai ales de provocare intelectuală sau de obţinerea şi menţinerea unui anumit statut în
comunitatea prietenilor.
Ei sunt considerăți infractori, în majoritatea statelor lumii.
Hackerii adevărăți nu „distrug”, de obicei, pagini inofensive, cum ar fi paginile personale.
Țintele obişnuite ale atacurilor hackerilor sunt sistemele importante, care au protecții
avansate şi conțin informații strict secrete, cum ar fi bazele de date ale Pentagonului.
Există „hackeri” care atacă ținte aleatoare, oriunde şi oricând au ocazia.
De exemplu, atacurile tot mai frecvente asupra Yahoo şi Hotmail au blocat motoarele de
căutare şi conturile de mail respective pentru câteva zile, aducând prejudicii de milioane de dolari.
Aceste atacuri (care reprezintă o încălcare destul de gravă a „Codul de legi al hackerilor”) au
de obicei în spate persoane care „au fost curioşi numai să vadă ce se întâmplă” sau „au dorit să se
distreze”.
Aceşti atacatori virtuali nu sunt hackeri adevărați, pentru că nu-şi scriu singuri programele
cu care atacă, procurându-le de pe Internet sau din alte surse.
Aceşti hackeri amatori sunt singurii care ajung în fața justiției.
Motivul este simplu. Acei hackeri adevărați care îşi pot scrie singuri programele cu care
atacă, sunt, de obicei destul de inteligenți pentru a face anumite sisteme care să inducă în eroare pe
toți aceia care ar încerca să determine sursa atacului.
Crackerii reprezintă un stil anumit de hacker, care sunt specializați în „spargerea”
programelor shareware sau care necesită un anumit cod serial.
Singurii care sunt prejudiciați de această categorie de hackeri sunt cei care scriu şi
proiectează programele respective, care apoi sunt „sparte”.
Deşi pare ciudat, cracking-ul este considerată „piraterie computerizată”, reprezentând o
infracțiune foarte serioasă.
Totuşi, foarte rar sunt depistați cei care plasează patch-uri şi coduri seriale pe Internet.
Spioni – persoane ce pătrund în sistemele informatice pentru a obţine informaţii care să le
permită câştiguri de natură politică.
Terorişti – persoane ce pătrund în sistemele informatice cu scopul de a produce teamă, în
scopuri politice.
Atacatori cu scop economic – pătrund în sistemele informatice ale concurenţei, cu scopul
obţinerii de câştiguri financiare.
Criminali de profesie – pătrund în sistemele informatice ale întreprinderilor pentru a obţine
câştig financiar, în interes personal.
Vandali – persoane ce pătrund în sistemele informatice cu scopul de a produce pagube.
Metode de atacuri
Pentru a obţine rezultatele pe care le doreşte, un atacator trebuie să se folosească de o
vulnerabilitate a calculatorului sau a reţelei, care este definită după cum urmează:
Vulnerabilitatea (vulnerability) este o slăbiciune a sistemului care permite o acţiune
neautorizată.
Acestea sunt erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor.
Unealta este o modalitate de a exploata vulnerabilitatea unui computer sau a unei reţele.
Atacatorii adevăraţi utilizează de asemenea mai multe metode.
Ca rezultat, dezvoltarea unei liste complete de metode de atac nu furnizează o schemă bună
de clasificare.

257 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

1. Furtul de parole – metode de a obţine parolele altor utilizatori.


2. Inginerie socială – convingerea persoanelor să divulge informaţii confidenţiale.
3. Greşeli de programare şi portiţe lăsate special în programe – obţinerea de avantaje de la
sistemele care nu respectă specificaţiile sau înlocuire de software cu versiuni compromise.
4. Defecte ale autentificării – înfrângerea mecanismelor utilizate pentru autentificare.
5. Defecte ale protocoalelor – protocoalele sunt impropriu proiectate sau
implementate.
6. Scurgere de informaţii – utilizarea de sisteme ca DNS pentru a obţine informaţii care sunt
necesare administratorilor şi bunei funcţionări a reţelei, dar care pot fi folosite şi de atacatori.
7. Refuzul serviciului – încercarea de a opri utilizatorii de a utiliza sistemele lor.
Operarea calculatoarelor şi a reţelelor se compune dintr-un şir de evenimente.
Un eveniment reprezintă schimbarea stării unui sistem sau dispozitiv.
Din punctul de vedere al securităţii informatice, aceste schimbări de stare apar ca urmare a
unor acţiuni care sunt îndreptate asupra unor ţinte.
Un exemplu de acţiune este de a accesa un sistem de calcul.
În acest caz, acţiunea este autentificarea de către programul de control a accesului
utilizatorului, conform unei identităţi controlate de nume de utilizator şi parolă.
Definim deci:
• evenimentul, din punctul de vedere al unui calculator sau al unei reţele de calculatoare, ca
fiind o acţiune realizată asupra unui sistem ţintă prin care se intenţionează schimbarea stării
sistemului;
• acţiunea ca fiind un demers al unui utilizator sau program, cu scopul de a obţine un
rezultat;
• ţinta ca fiind o entitate logică a unei reţele sau sistem de calcul (cont de utilizator, program
sau date) sau o entitate fizică (PC, reţea).
O altă variaţie a unei liste de termeni este gruparea tuturor atacurilor în categorii de bază ce
descriu rezultatele.
Un exemplu este alterarea, scurgerea de informaţii şi refuzul serviciului:
– alterarea este modificarea neautorizată a unor informaţii;
– scurgerea este atunci când informaţia ajunge în locuri nepotrivite;
– refuzul serviciului reprezintă indisponibilitatea de a utiliza reţelele şi calculatoarele.

Când informaţia este citită şi copiată de cineva neautorizat, rezultatul este cunoscut ca
pierderea confidenţialităţii.
Pentru câteva tipuri de informaţii, confidenţialitatea este un atribut foarte important.
Informaţia poate fi alterată când este disponibilă pe o reţea nesigură.
Când informaţia este modificată în moduri neaşteptate, rezultatul e cunoscut drept pierderea
integrităţii.
Aceasta înseamnă că datele suferă modificări neautorizate fie ca urmare a unei greşeli
umane, fie prin modificare intenţionată.
Integritatea este importantă în mod particular pentru siguranţa critică şi datele financiare
utilizate în activităţi ca transferuri electronice de fonduri, controlul traficului aerian şi contabilitate
financiară.
Informaţia poate fi ştearsă sau poate deveni inaccesibilă, rezultând o lipsă de disponibilitate.
Aceasta înseamnă că persoanele care sunt autorizate să obţină informaţii nu pot obţine ceea
ce doresc.
Conceptul de autorizat contra neautorizat este cheia pentru a înţelege ce diferenţiază un
atac, de evenimentele normale care au loc.

258 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Detalierea unui atac


Soluţiile de protecţie la toate aceste tipuri de probleme nu sunt simple, pentru că de cele mai
multe ori trebuie tratate cauzele lor.
Se poate realiza un progres important tratând cu cea mai mare atenţie aspectele legate de
securitate atât în fazele de proiectare şi implementare ale produselor, cât şi în cea de utilizare.
Câteodată, un eveniment care are loc pe un computer sau o reţea este parte a unei serii de
paşi ce intenţionează să producă un eveniment neautorizat.
Acest eveniment este apoi considerat ca parte a unui atac.
Un atac are mai multe elemente.
În primul rând, e format din mai mulţi paşi pe care atacatorul îi face.
Printre aceşti paşi regăsim o acţiune îndreptată către o ţintă, cât şi utilizarea unei unelte
pentru a exploata o vulnerabilitate.
În al doilea rând, un atac intenţionează să obţină un rezultat neautorizat, privit din
perspectiva utilizatorului sau administratorului sistemului în cauză.
În final, un atac reprezintă o serie de etape voluntare pe care atacatorul le realizează, acest
lucru diferenţiind un atac de o secvenţă de acţiuni normale.
Atacurile au 5 părţi care reprezintă paşii logici pe care un atacator trebuie să îi facă.
Atacatorul utilizează o unealtă pentru a exploata o vulnerabilitate în scopul obţinerii unui
rezultat neautorizat.
Pentru a avea succes, un atacator trebuie să găsească căi care pot fi conectate, simultan sau
repetat.
Primii doi paşi într-un atac, unealta şi vulnerabilitatea, sunt folosite pentru a cauza un
eveniment pe un computer sau o reţea.
Mai specific, în timpul unui atac individual, atacatorul foloseşte o unealtă pentru a exploata
o vulnerabilitate care cauzează o acţiune în atingerea unui scop.
Sfârşitul logic al unui atac de succes este un rezultat neautorizat.
Dacă sfârşitul logic al paşilor anteriori este un rezultat autorizat, atunci atacul practic nu a
avut loc.
Metode de protecție a sistemelor informatice
În zilele noastre informaţia înseamnă puterea, drept pentru care tot mai multe persoane
încearcă să obţină informaţii pe toate căile posibile. Important să ştim cum să protejăm informaţiile.
Cea mai bună apărare faţă de aceşti atacatori este evitarea legării în reţea a sistemelor care
conţin informaţii importante şi controlul strict al accesului fizic la acestea.
Câteva concepte de bază în securizarea unui sistem informatic, pot fi:
Controlul accesului la sistem asigură că utilizatorii neautorizaţi nu pot pătrunde în sistem
şi încurajează (uneori chiar forţează) utilizatorii autorizaţi să fie conştienţi de necesitatea securizării
computerelor.
Controlul accesului se extinde de la măsurile primare, la măsuri de jurnalizare (prin
menţinerea unui log) a tuturor conexiunilor şi a operaţiilor efectiv executate pe durata conectării.
Controlul accesului la date asigură monitorizarea persoanelor care au acces la date, tipul
datelor accesate şi scopul accesului.
Sistemul trebuie să suporte un control selectiv al accesului, permiţând unui utilizator să
determine dacă alţii pot citi sau modifica datele sale.
Administrarea sistemului şi implementarea politicii de securitate constau în realizarea,
planificarea şi efectuarea unor proceduri independente care fac un sistem sigur şi urmăresc
delimitarea cu precizie a responsabilităţilor administratorului de sistem, instruirea adecvată a
utilizatorilor şi controlarea lor, pentru a fi siguri că politicile de securitate se respectă.
Această categorie implică un management de securitate a computerelor global, prin
indicarea ameninţărilor cărora trebuie să le facă faţă sistemul şi printr-o evaluare a costurilor de
protecţie împotriva lor.

259 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Arhitectura sistemelor de calcul şi a reţelelor de calculatoare, ca rezultat al proiectării


sistemului (mai ales într-un sistem informatic care manipulează date confidenţiale) are la bază, pe
lângă criteriile de performanţă şi eventual de cost, criterii şi reguli clare referitoare la securitatea
respectivului sistem.
Criptarea este o altă metodă importantă de protejare a informaţiilor sensibile stocate în
sistemele de calcul, dar şi a celor care sunt transmise pe liniile de comunicaţie.
Informaţiile care sunt criptate rămân sigure chiar dacă sunt transmise printr-o reţea care nu
oferă o securitate intrinsecă puternică deoarece chiar şi în cazul interceptării acestea nu pot fi
înţelese direct.
În multe versiuni ale unor sisteme de operare, fişierele care conţin parolele utilizatorilor se
stochează în forma criptată.
De asemenea, arhivele în care se păstrează datele sau documentele cu care compania sau
organizaţia respectivă nu mai lucrează pentru o perioadă mai mare de timp sunt criptate şi abia apoi
puse la păstrare.
Criptarea a devenit cea mai populară metodă de protecţie, atât pentru comunicaţii, cât şi
pentru datele cu caracter secret.
Pe măsura conştientizării beneficiilor aduse de utilizarea criptării, a dezavantajelor lipsei de
protecţie a informaţiilor şi a faptului că tehnologia de criptare a devenit mai accesibilă, criptarea
devine o metodă atractivă de protejare a datelor, indiferent dacă este vorba de date secrete transmise
prin reţea sau date obişnuite stocate în sistemul de calcul.

Sistemul de comunicaţii şi informatică - S.C.I. asigură necesarul de legături, atât pentru


comanda şi controlul elementelor componente ale subsistemelor, cât şi pentru conducerea acţiunilor
formaţiunilor de pază şi intervenţie.
S.C.I. este compus din mijloace de legătură fir şi/sau radio, iar pentru interconectarea
subsistemelor foloseşte reţele locale de date proprii, izolate de celelalte existente, circuite separate
sau circuite libere din cele existente; sistemele de calcul şi aplicaţiile informatice se folosesc doar
pentru gestionarea şi crearea bazei de date a sistemului integrat de securitate.
Funcţiile S.C.I. sunt următoarele:
a) asigură necesarul de legături de comunicaţii pentru comanda şi controlul elementelor
componente ale subsistemelor;
b) asigură necesarul de legături de comunicaţii voce pentru conducerea şi coordonarea
acţiunilor farmaţiunilor de intervenţie, în situaţia apariţiei unor evenimente de securitate, în scopul
interceptării/stopării/anihilării agresorului, înainte ca acesta să-şi atingă scopul;
c) asigură necesarul de comunicaţii voce între personalul operator şi cei care utilizează
echipamente ale Subsistemului de control acces - S.C.A. din punctele de control acces;
d) asigură infrastructura pentru schimbul de date în sistem, care să susţină nevoile de
comunicaţii de date ale produsului;
e) asigură servicii informatice funcţionale şi de nucleu ale sistemului (aplicaţia softwar în
sprijinul deciziei operatorilor Sistemului integrat de securitate - S.I.S.
Operarea S.C.I. se face restricţionat, numai de pe conturile de utilizator, cu drepturi limitate,
fără drepturi administrative.
Instalarea produselor/programelor antivirus agreate la nivelul organizaţiei, care să permită
actualizarea periodică, este obligatorie pe toate echipamentele reţelei locale/calculatoare a
Sistemului de securitate şi protecţie - S.S.P.
Securitatea sistemelor informatice are la bază implementarea politicilor de securitate
aprobate în organizaţie pentru sistemele de operare instalate. Această cerinţă trebuie luată în
considerare încă din faza de proiectare a sistemului, pentru a elimina dificultăţile legate de
acreditarea sistemului informatic. În acest sens, furnizorii pot solicita de la structura specializată din
cadrul organizaţiei, elementele necesare configurării de securitate a sistemului de securitate. Pe
sistemul informatic al S.I.S. va fi instalată aplicaţia software a acestuia.
260 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Principalele funcţii pe care sistemul informatic trebuie să le îndeplinească sunt:


a) integrarea tuturor subsistemelor;
b) integrarea funcţiilor de comandă, control, comunicaţii, calculatoare, informaţii pentru
toate celelalte elemente ale sistemului;
c) centralizarea datelor şi informaţiilor de la toate subsistemele componente ale produsului
S.I.S.;
d) monitorizarea operaţională şi tehnică a subsistemelor instalate;
e) managementul alarmelor şi a evenimentelor provenite de la toate subsistemele
componente ale S.I.S.;
f) recepţia şi evaluarea alarmelor, iniţierea şi coordonarea acţiunilor de răspuns;
g) comanda şi controlul echipamentelor din sistem şi gestionarea stării legăturilor cu
elementele sistemului;
h) reconfigurarea, la nevoie, a stării tehnico-operaţionale;
i) reconstituirea evenimentelor de securitate;
j) analizarea stării de securitate a obiectivului, elaborarea rapoartelor şi a informărilor
necesare, cu ajutorul bazei de date şi a aplicaţiei software specializate;
k) controlul în timp real a stării de securitate la nivelul spaţiilor din cadrul obiectivului;
l) testarea şi autodiagnosticarea bunei funcţionări a S.I.S., fără ieşirea acestuia din starea
de monitorizare/operativitate;
m) protecţia împotriva acţiunilor de blocare sau scoatere din starea de operativitate a S.I.S.,
de către personal neautorizat;
n) programarea şi operarea subsistemelor S.I.S.;
o) înregistrarea, în baza de date a subsistemului, a datelor şi informaţiilor care intră/ies din
sistem, a stărilor tehnice a S.I.S., precum şi a comenzilor date în cadrul acestuia.

Incident de Securitate
În termeni informatici, incidentul de securitate este definit ca un eveniment prin care se
încearcă sau se realizează accesul la un sistem informatic, un atac asupra integrităţii şi/sau
confidenţialităţii informaţiei de pe un sistem informatic automatizat.
Aceasta include examinarea sau navigarea neautorizată, întreruperea sau anularea unui
serviciu, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea informaţiilor,
modificarea informaţiilor sistemului referitoare la caracteristicile componentelor hardware,
firmware sau software, cu sau fără ştiinţa ori intenţia utilizatorului.
Dintre cele mai semnificative și grave evenimente, pot fi enumerate:
 acces neautorizat şi transfer de date cu grade diferite de confidenţialitate;
 modificarea, ştergerea sau deteriorarea datelor;
 perturbarea sistemelor informatice;
 producerea, vânzarea, procurarea pentru utilizare şi distribuţie fără drept a dispozitivelor
care pot perturba grav sistemele informatice;
 interceptarea parolelor şi a codurilor de acces în scopul sabotării sistemelor şi reţelelor de
calculatoare;
 falsificarea datelor cu intenţia de a fi folosite ulterior ca date autentice;
 înşelătorii sau fraude comise prin intermediul computerelor;
 utilizarea neautorizată a programelor protejate prin dreptul de autor.
Implementarea unor regulamente/norme interne privind securitatea echipamentelor, blocarea
şi filtrarea accesului la resurse în funcţie de necesităţi, conştientizarea aspectelor legate de securitate
de către utilizatori, detectarea în timp util a incidentelor de securitate pentru atenuarea efectelor lor
sunt câteva măsuri ce pot fi luate pentru a reduce riscul şi costul asociate.

261 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 33. Analiza SIC (cartografiere / arhitectura / fluxuri) şi stabilirea


direcţiilor de acţiune pentru menţinerea riscurilor de securitate IT în zona
tolerabilă

Introducere
Astăzi, trăim într-o lume din ce în ce mai interdependentă, iar acest lucru este, în mare parte,
datorat evoluției TIC. Există numeroase beneficii ale acestei interdependențe, însă și multe
dezavantaje, luând în considerare faptul că instituțiile publice și întreprinderile private au devenit
dependente aproape în întregime de sistemele IT.
În prezent, spațiul cibernetic a devenit coloana vertebrală a ceea se numește Societatea
Cunoașterii, concepută ca un mediu diferit, în care implementarea noutăților tehnologice trebuie să
fie efectuată împreună cu noi soluții juridice pentru reglementarea efectelor negative ale impactului
utilizării TIC.
Având în vedere că activităţile şi activele organizaţionale sunt într-o permanentă
restructurare, că tehnologia informaţiei este unul dintre cele mai efervescente domenii ale
economiei moderne şi că resursele umane şi tehnologice ale unei organizaţii sunt ajustate frecvent,
şi activităţile asociate minimizării riscurilor informaţionale trebuie revăzute şi actualizate periodic,
pentru a se analiza aceste modificări şi pentru a se determina gradul curent de eficienţă a
controalelor implementate.
De-a lungul timpului, a existat o modificare de paradigmă în tratarea riscurilor, în acest
moment atenţia specialiştilor în securitate informaţională fiind concentrată asupra managementului
riscurilor şi nu în evitarea acestora.
Având în vedere vulnerabilitățile și riscurile care vizează Sistemele Informatice și de
Comunicații, cu repercusiuni grave asupra bunei funcționări a unei organizații, este necesară
implementarea unor măsuri de securitate a acestor sisteme în vederea menținerii acestora în limite
admisibile.
Toate aceste activități se vor desfășura după efectuarea unor analize de risc care vor evalua
sistemele informatice și de comunicații, riscurile și amenințările, măsuri de asigurare a securității
etc.
Ariile de analiză SIC includ:
- Audit de sisteme IT interne/externe;
- Audit Internet şi firewall;
- Reţea şi securitatea datelor;
- Securitatea calculatorelor;
- Sisteme de calcul de mare putere;
- Servere, clienţi, reţele locale şi regionale;
- Proceduri şi politici ale sistemelor informaţionale;
- Planificare pentru recuperarea datelor în caz de dezastru (disaster recovery) şi continuitate
operaţională (business continuity);
- Iniţiative E-commerce;
- Procesare de date de către terţi.
Managementul riscurilor în IT
Managementul riscurilor reprezintă procesul de implementare şi actualizare a unor metode şi
instrumente de minimizare a riscurilor asociate sistemului informaţional al unui organizaţii, precum
Politicile de Securitate Informaţională, procedurile şi practicile formalizate asociate acesteia,
precum şi alte mijloace adoptate cu scopul aducerii acestor riscuri la niveluri acceptabile. Acest
proces implică identificarea, analiza, evaluarea, tratarea şi monitorizarea riscurilor asociate
securităţii informaţionale la nivel organizaţional.

262 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Realizarea obiectivelor firmei presupune cunoaşterea şi asumarea unor riscuri multiple.


Procesul de management al riscului cuprinde trei faze: identificarea riscului, analiza riscului şi
reacţia la risc.
Identificarea riscului se realizează prin întocmirea unor liste de control, organizarea unor
şedinţe de identificare a riscurilor şi analiza documentelor arhivate.
Analiza riscului utilizează diverse metode cum ar fi: determinarea valorii aşteptate,
simulări utilizând diverse modele şi arborii decizionali.
Reacţia la risc cuprinde măsuri şi acţiuni pentru diminuarea, eliminarea sau repartizarea
riscului.
Riscul poate fi identificat folosind diferite metode:
 întocmirea unor liste de control care cuprind surse potenţiale de risc;
 analiza documentelor disponibile în arhiva firmei, pentru identificarea problemelor care
au apărut în situaţii similare celor curente;
 utilizarea experienţei personalului prin invitarea acestora la o şedinţă formală de
identificare a riscurilor. De multe ori, oamenii de specialitate sunt conştienţi de riscurile şi
problemele pe care ceilalţi nu le sesizează. O comunicare eficientă este una dintre cele mai bune
surse de identificare şi diminuare a riscurilor;
 identificarea riscurilor impuse din exterior (prin legislaţie, schimbări în economie,
tehnologie) prin desemnarea unei persoane care să participe la întrunirile asociaţiilor profesionale,
la conferinţe şi care să parcurgă publicaţiile de specialitate.
Diminuarea riscurilor se poate realiza printr-o serie de instrumente cum sunt:
 Programarea activităţilor. Dacă riscurile sunt legate de termenul de execuţie,
programarea ştiinţifică a activităţilor cu ajutorul graficelor reţea poate diminua riscurile în limite
rezonabile.
 Instruirea. Multe riscuri în IT sunt legate de personalul neinstruit în problematica
securităţii informaţiilor. Aceasta influenţează productivitatea şi calitatea lucrărilor. Prin programe
de instruire şi conştientizare în domeniul securităţii informaţiilor se poate reduce probabilitatea
producerii incidentelor şi efectul acestora.
 Reproiectarea controalelor de securitate. Riscurile pot fi de multe ori diminuate printr-
o reproiectare judicioasă a controalelor de securitate.
 Repartizarea riscurilor este, de asemenea, un instrument performant de management al
riscului. Aceasta se referă la părţile care vor accepta o parte sau întreaga responsabilitate pentru
consecinţele riscului. Repartizarea riscului trebuie să se facă ţinându-se seama de comportamentul
faţă de risc al diferitelor organizaţii implicate. În acest sens, regula generală de alocare a riscului
este să se aloce riscul părţii care poate să îl suporte şi să îl controleze cel mai bine.
Pentru a realiza o identificare şi evaluare a riscurilor asociate securităţii informaţionale, este
esenţială identificarea ameninţărilor asupra sistemului şi vulnerabilităţile pe care acestea le pot
exploata. Pentru fiecare pereche ameninţare/vulnerabilitate, se determină gravitatea impactului
asupra activelor informaţionale ale organizaţiei (pierderea confidenţialităţii, a integrităţii sau a
disponibilităţii acestora) şi se determină probabilitatea exploatării acelei vulnerabilităţi, în condiţiile
controalelor de securitate implementate la nivelul sistemului.

Concluzii
Diminuarea riscurilor în sistemele informatice şi de comunicaţii la o dimensiune tolerabilă
se poate realiza printr-un complex de măsuri tehnice, procedurale şi educaţionale. Soluţiile alese
depind de importanţa acestor sisteme în cadrul organizaţiei şi de resursele bugetare şi de natură
umană ce pot fi alocate în acest scop.

263 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 34. Sisteme de management al securităţii informaţiei. Auditarea


internă, auditarea externă şi certificarea. Auditul tehnic de securitate.
Introducere
Instaurarea erei informatice constituie în prezent una dintre cele mai mari realizări tehnico-
ştiinţifice, având un impact pozitiv asupra tuturor laturilor vieţii societăţii contemporane. La etapa
actuală, activitatea celor mai multe organizaţii depinde în proporţie de peste 65 % de propriul lor
sistem informatic.
Dezvoltarea şi ampla implementare a tehnologiilor informaţionale a generat însă, un şir de
probleme legate de asigurarea integrităţii, confidenţialităţii şi a disponibilităţii informaţei aflate pe
suport electronic.
Problema securităţii informaţiei se acutizează pe măsură ce sunt inventate şi puse în aplicare
metode tot mai sofisticate de atac asupra informaţiei.
Datele recente înregistrate sunt o dovadă elocventă a daunelor pricinuite de incidentele
legate de breşele de securitate din cadrul organizaţiei. Cauzele acestor incidente cu consecinţe atât
de grave sunt cele mai diverse – vulnerabilităţile tehnice ale sistemelor informaţinale, livrarea
neintenţionată a datelor, breşe în sistemul de gestionare a resurselor umane etc. Aplicând, însă
metoda identificării cauzei de rădăcină pentru fiecare caz concret, putem constata, că în toate
cazurile, incidentele s-au produs în urma lipsei unei abordări sistemice pentru protejarea
informaţiei. O asemenea abordare oferă standardele internaţionale de management al securităţii
informaţionale din familia ISO 27000 care, fiind bazate pe cele mai bune practici acumulate până în
prezent, oferă companiilor îndrumări privind protejarea activelor informaţionale.
Sisteme de management al securităţii informaţiei / STANDRDUL ISO/IEC 27001:2013
ISO/IEC 27001 include specificaţiile referitoare la Sistemul de Management al Securităţii
Informaţiei (SMSI) şi stabileşte un set de reguli referitoare la managementul riscurilor de securitate
a informaţiei.
Standardul poate fi aplicat de părţile interne (ex.: angajaţii) şi externe (ex.: clienţi, furnizori,
organisme de certificare, organele puterii de stat ş.a.) pentru evaluarea capacităţii organizaţiei de a
îndeplini cerinţele specificate referitoare la securitatea informaţiei.
SMSI, organizat în conformitate cu acest standard internaţional, reprezintă un cadru global
de management prin intermediul căruia organizaţia identifică, analizează şi ţine sub control riscurile
de securitate a informaţiei.
SMSI permite să asigure ca aranjamentele de securitate sunt bine puse la punct pentru ca
organizaţia să facă faţă la ameninţările de securitate indiferent de originea, caracterul şi ţintele lor.
Cerinţele expuse în acest standard sunt aplicabile organizaţiilor de orice tip (societăţi comerciale,
structuri guvernamentale, organizaţii nonprofit), dimensiune (de la organizaţiile micului business
până la companiile transnaţionale) şi domeniu de activitate (comercial, bancar, militar, sănătate,
producţie, învăţământ, guvernare etc.).
Actuala ediţie a standardului este structurată astfel, încât să poată fi uşor integrată cu alte
sisteme de management reglementate de ISO, cum ar fi sistemul de management al calităţii,
mediului, sănătăţii şi securităţii ocupaţionale etc.
În acest caz procedurile de control al neconformităţilor, documentelor şi înregistrărilor,
procedurile de audit intern, analiză a sistemului de management vor fi comune pentru toate
sistemele de management implementate în organizaţie.
Pentru a facilita implementarea standardului ISO/IEC 27001 au fost elaborate un set de
standarde complementare, după cum urmează:
A 14. Achiziţionarea, dezvoltarea şi mentenanţa sistemelor;
A 15. Relaţii cu furnizorii;
A 16. Managementul incidentelor;
A 17.Aspecte de securitate informaţională în managementul continuităţii afacerii;
A 18. Conformitate cu cerinţele legale şi alte cerinţe.
264 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Orice organizaţie, chiar dacă nu are un SMSI documentat şi certificat, întreprinde anumite
măsuri de securitate în baza unor cerinţe legale, a experienţei manageriale a conducătorilor şi a altor
factori. Obiectivul acestui pas este de a evalua gradul de corespundere a sistemului de management
existent cu prevederile standardului de referinţă. În cadrul acestei evaluări se stabileşte contextul
organizatiei dpdv al securităţii informaţiei, interesele părţilor externe şi interne privind SMSI. Tot la
această fază se stabileşte domeniul de aplicare al sistemului (procese, locaţii, activităţi, măsuri de
control aplicabile/neaplicabile din Anexa A ISO/IEC 27001:2013. Evaluarea urmează să fie
finalizată cu un raport, în care să fie reflectată starea curentă a SMSI în comparaţie cu cerinţele
referenţialului.
Elaborarea documentelor necesare SMSI
Informaţiile documentate care, conform cerinţelor standardului, trebuie să fie elaborate în
cadrul SMSI, sunt:
- Declaraţia de aplicabilitate (clauza 4.3 a standardului);
- Declaraţia de Politică a securităţii informaţiei (5.2);
- Procedura de evaluare a riscurilor (6.1.2);
- Procedura de tratare a riscurilor (6.1.3);
- Obiectivele în domeniul securităţii informaţiei (6.2);
- Înregistrări referitoare la competenţa personalului care activează în domeniul SMSI (7.2);
- Documente de planificare şi control operaţional (8.1);
- Rezultatele evaluării riscurilor (8.2);
- Deciziile de tratare a riscurilor (8.3);
- Înregistrări referitoare la monitorizări şi măsurări în cadrul SMSI (9.1);
- Programul de audit intern al SMSI şi rezultatele auditurilor (9.2);
- Înregistrările referitoare la Analiza SMSI efectuată de management. (9.3);
- Înregistrările referitoare la neconformităţi şi acţiunile corective întreprinse (10.1);
- Alte documente SMSI identificate de organizaţie ca necesare pentru funcţionarea SMSI
(7.5.1b), cum ar fi cele care ar putea facilita aplicarea controalelor de securitate stabilite în anexa A
a standardului, fişele de post, regulamentele interne şi altele.
Aplicarea efectivă a procedurilor necesare SMSI
Punerea în practică a documentelor dezvoltate anterior se face de către fiecare responsabil
de proces. Aplicarea documentelor este în stransă legatură cu implementarea măsurilor de securitate
descrise în Planul de tratare a riscului.
Conducerea organizaţională ignoră, în majoritatea cazurilor, procesul de management al
riscurilor, ca şi riscurile asociate securităţii informaţionale a organizaţiei, în ansamblul lor.
În general, activităţile care nu sunt în mod direct cuantificabile şi pentru care un nivel al
profitului generat nu poate fi în mod direct prezentat, tind să fie ignorate de către conducerea
superioară, motiv pentru care activităţile de management al riscurilor necesită o activitate de
conştientizare, atât printre managerii organizaţiei, cât şi la nivelul angajaţilor.
Ce este auditul ?
„O examinare metodică realizată în vederea determinării dacă activităţile şi rezultatele
relative la subiectul examinat satisfac dispoziţiile prestabilite şi dacă aceste dispoziţii sunt puse în
operă într-un mod eficace şi apt în vederea atingerii obiectivelor ”. (ISO 8402)
Auditarea internă al oricărui agent economic include şi auditul informatic. De cele mai
multe ori, se produce o confuzie între auditul intern şi controlul intern, iar auditul informatic
(auditul tehnologiilor informaţiei şi ale comunicaţiilor, IT/&C) sau auditul sistemelor (aplicaţiilor)
informatice ale agentului economic este considerat, în mod restrictiv, ca fiind limitat la latura
tehnică a auditului intern.
În aceeaşi idee, auditul sistemelor informatice ale agentului economic trebuie privit ca audit
al sistemului informatic integrat al agentului economic, care conţine şi componenta de subsistem
informatic financiar-contabil.
265 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

Practica comună pentru monitorizarea sistemului informatic este cea a auditului intern.
Astfel se poate vedea nivelul de implementare al măsurilor de securitate.
Auditul intern trebuie efectuat în toate compartimentele implicate în SMSI şi se desfășoară
prin interviuri ale angajaţilor, observaţie directă, testarea sistemelor.
O componentă necesară în verificarea implementării măsurilor tehnice este auditul tehnic,
care se desfăşoară cu instrumente speciale operate de personal calificat în domeniu.
Auditurile interne se concretizează cu nişte concluzii, care sunt incluse în Rapoartele de
audit intern (RAI). Constatările sunt comunicate parţilor implicate pentru a fi rezolvate.
Auditul intern se efectuează având la bază date şi informaţii obţinute în format electronic, în
condiţiile existenţei unui sistem informatic integrat al agentului economic; auditul intern nu exclude
auditul informatic, pentru care sunt necesare substanţiale eforturi de conceptualizare, reglementare
şi implementare.
Auditarea externă
- în sectorul privat, auditorii externi sunt numiţi de acţionarii care le stabileşte şi perioada de
timp pe care să o auditeze şi tot lor le raportează;
- în sectorul public, se solicită o certificare în numele contribuabilului.
Auditul extern reprezintă procesul desfăşurat de persoane fizice/juridice, legal abilitate
numite auditori, prin care se analizează şi evaluează în mod profesionist informaţiile legate de o
anumită entitate, utilizând tehnici şi procedee specifice în scopul obţinerii de dovezi, numite probe
de audit, pe baza cărora emit într-un document numit raport de audit, o opinie independentă şi
responsabilă prin apelarea la criteriile de evaluare care rezultă din reglementările legale şi buna
practică, unanim recunoscute în domeniul în care îşi desfăşoară activitatea entitatea auditată.
Există şi instrumente informatice de audit, cunoscute sub numele de CAATs Computer
Assisted Audit Techniques (CAATs) = Tehnici de Audit Asistat de Calculator
Activitățile de audit acoperă azi o arie largă de probleme:
 sunt utilizate pentru a verifica corectitudinea prelucrărilor contabile;
 testează măsurile de securitate într-un sistem;
 verifică integritatea fişierelor;
 totalizări;
 stratificări;
 extrageri;
 eşantionări pentru audit.
Instrumentele informatice de audit s-au dezvoltat odată cu tehnologia IT și s-au impus
datorită următoarelor avantaje:
 au înlocuit multe din procedurile manuale;
 economisesc timp şi costuri de audit;
 contribuie la reducerea numărului de teste de audit;
 permit interogări complexe ale bazelor de date;
 menţin integritatea probelor de audit;
 oferă posibilitatea verificării integrităţii sistemului.
Modalități de efectuare a auditului
Auditul şi monitorizarea procesului presupune testarea continuă a programului de securitate
al firmei. Aceste procese vor ajuta firma să prevină stagnarea, să se doteze cu cele mai recente
instrumente şi tehnici şi, în felul acesta, să pregătească afacerea periodic pentru schimbări relevante.
Procesul de audit şi monitorizare trebuie să prevadă, într-o primă fază, controlul şi evaluarea
configuraţiei hardware, controlul şi evaluarea software, iar apoi monitorizarea intruziunilor,
scanarea vulnerabilităţilor şi răspunsul la intruziuni.
Controlul anumitor opţiuni de configurare hardware ale fiecărui calculator din firmă trebuie
să permită o mai bună securitate. Închiderea de către un utilizator sau administrator de reţea a unei
266 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

funcţii de securitate, fără ca acest lucru să fie sesizat, va face ca toate celelalte măsuri de securitate
luate să fie limitate sau inutile.
Informaţiile despre configuraţii de calculatoare, echipamente şi dispozitive relaţionate cu
securitatea sunt disponibile pe majoritatea site-urilor de profil. Responsabilul de securitate ar trebui
să stabilească politici care să definească configuraţiile de securitate adecvate. Monitorizarea
frecventă a realizării acestor politici este necesară. Furnizorii de echipamente sunt numeroşi. Pentru
unii afacerea se încheie la efectuarea plăţii. Alţii ţin legătura cu beneficiarul şi-l avertizează asupra
unor funcţionări defectuoase sau a posibilităţilor de upgrade.
Dotarea firmei cu programe care să satisfacă politicile de securitate impuse reprezintă o
cerinţă care nu trebuie ignorată. Degeaba componenta hardware satisface cerinţele de securitate
dacă programele au nevoie de regulă de patch-uri şi fix-uri. Cele două componente, sistemele de
operare şi programele de aplicaţii, trebuie să fie în aşa fel alese, încât să asigure o securitate sporită.
Iar dacă acest lucru nu este posibil, poate din motive financiare, atunci măcar să fie complementare
în asigurarea securităţii.
Monitorizarea intruziunilor şi scanarea vulnerabilităţilor în reţelele de calculatoare sau chiar
la calculatoarele neconectate reprezintă un proces continuu şi uneori laborios. Instrumentele pentru
a realiza această monitorizare pot oferi informaţii importante despre comportament necorespunzător
sau încercări de acces neautorizat. Scanere de vulnerabilitate desfăşoară teste din afara reţelei firmei
pentru a identifica calculatoarele expuse riscurilor, înainte ca hackerii să poată descoperi acele
vulnerabilităţi. Aceste scanări trebuie făcute de către persoane care au ca sarcină acest lucru în
cadrul firmei sau care sunt din exteriorul firmei, dar care sunt angajate să facă acest lucru.
Instalarea, configurarea şi utilizarea acestor instrumente presupune o continuă monitorizare a
serviciilor şi mai ales raportarea incidentelor. Responsabilul cu securitatea trebuie să fie informat
permanent despre incidentele apărute pentru a putea să ia în timp util măsurile care se impun (altele
decât cele luate automat sau impuse de politică). De asemenea, trebuie informată şi conducerea
firmei despre incidente şi rezolvarea acestora.
O încercare de intruziune într-un calculator al firmei va trebui să fie urmată de măsuri de
răspuns la aceasta. Răspunsul este procesul prin care incidentele sunt abordate şi rezolvate. Dacă se
monitorizează intruziunile, ar trebui ca firma să dispună de un plan pentru situaţia în care se
descoperă o intruziune serioasă. O intruziune serioasă reprezintă o încercare de intruziune folosind
metode noi sau o intruziune cu o virulenţă crescută.
Răspunsul la acest tip de intruziuni este de multe ori sortit eşecului (cel puţin într-o primă
fază). Analiza intruziunii va permite crearea unei posibilităţi de răspuns la o astfel de intruziune sau
la una similară acesteia. Periodic trebuie efectuate măsurători şi teste pentru a verifica performanţa
serviciilor de securitate. Aceste măsurători şi teste pot include numărul de incidente, nivelul la care
au ajuns în procesul de extindere şi anumite tipuri de cuantificare a costurilor asociate cu programul
de securitate şi atacurile curente.
Certificarea reprezintă o modalitate de atestare a faptului că o entitate îndeplineşte din
punct de vedere al calităţii, condiţiile considerate optime ale unui standard de referinţă. Certificarea
conformităţii se aplică: produselor; serviciilor; personalului; sistemului de management al calităţii şi
se realizează de către organisme autorizate independente.
Standardele europene EN 45000 definesc certificarea ca fiind acţiunea unei terţe părţi care
dovedeşte existenţa încrederii adecvate ca un produs, proces sau serviciu, corespunzător
identificat, este în conformitate cu un anumit standard sau cu un alt document normativ.
Pentru a asigura o activitate continuă şi eficientă în companie, este nevoie de o evaluare
corectă a sistemelor IT. În două cuvinte: de un audit IT.
Auditul tehnic de securitate IT este o soluţie din ce în ce mai importantă pentru
companiile şi organizaţiile zilelor noastre. Auditul de securitate IT are ca scop determinarea tuturor
vulnerabilităţilor sistemului informatic. Rezultatul acestei acţiuni este evaluarea obiectivă a
267 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

necesităţilor sistemului informatic al companiei precum şi sugerarea unei soluţii viabile pentru
eliminarea vulnerabilităţilor sale.
Multe companii la ora actuală alocă un buget consistent departamentului IT, făcând risipă de
resurse financiare. Companiile pot evita risipa de resurse financiare printr-o strategie IT corectă.
Prin outsourcing IT au acces la ultimele tehnologii din domeniu şi beneficiază de experienţa unei
echipe de specialişti care pot face faţă oricăror probleme iminente.
Într-o economie globalizată şi interconectată, a cărei complexitate tehnică sporeşte
permanent, informaţia este una dintre proprietăţile cele mai valoroase ale unei companii. În fiecare
zi se procesează şi se combină informaţii cu scopul de a crea alte informaţii de valoare şi a spori
avantajul competitiv. Dacă informaţia deţinută nu este securizată, înlocuirea ei presupune costuri
ridicate financiare, de timp şi energie.
Procedura de audit de securitate IT cuprinde următorii paşi:
 interviuri cu departamentul tehnic al companiei;
 observarea modului de lucru al angajaţilor;
 analiza configuraţiilor hardware/software ale echipamentelor;
 conceptul şi designul unei politici de securitate IT&C;
 implementarea celor mai potrivite soluţii de securitate a reţelelor;
 sisteme de acces protejat, local sau la distanţă;
 soluţii firewall şi VPN;
 detectarea intruziunilor (IDS) şi evaluarea vulnerabilităţii;
 securitatea conţinutului (soluţii antivirus, filtrare web şi e-mail);
 soluţii de autentificare;
 soluţii de criptare şi semnături digitale;
 soluţii de management al securităţii;
 elaborarea unui raport complet privind infrastructura IT şi a securităţii existente.

Astfel se cunoaşte eficacitatea sistemului informatic implementat în companie precum


riscurile la care este expus sistemul informatic. Se aduc la cunoştinţă riscurile la care este expusă
compania în cazul în care nu sunt luate măsurile necesare şi se recomandă o soluţie optimă.
Punerea în practică a soluţiei recomandate este responsabilitatea decidentului companiei.
Acesta poate să se folosească de propriile resurse sau de companii din exterior pentru aplicarea
acesteia.

Concluzii
În prezent, nu există standarde recunoscute internaţional pentru măsurători de securitate,
aşa că vor trebui să fie specifice fiecărei firme şi să fie actualizate de la an la an. De asemenea, o
dată descoperită o intruziune şi găsit făptaşul, trebuie culese dovezi solide, pentru ca acesta să
poată fi acţionat în justiţie.
Scopul principal nu este însă acela de a pedepsi vinovaţii, ci de a descoperi cum a fost
posibil atacul şi de a se acoperi golul de securitate pentru ca acest tip de atac să nu mai aibă loc.

268 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Tema 35. Cerinţe legale privind securitatea sistemelor informatice şi de


comunicaţii clasificate. Elemente specifice INFOSEC. Acreditarea SIC clasificate.

Introducere
Obiectivul principal al acreditării de securitate este acceptarea riscului de securitate rezidual
asociat unui sistem informatic și de comunicații (SIC) şi autorizarea operării acestuia în
conformitate cu termenii stabiliţi.

Prin parcurgerea unui proces de acreditare de securitate se obţine asigurarea că măsurile de


securitate implementate în SIC sunt conforme cu cerinţele politicilor de securitate specifice tipului
de informaţii clasificate naţionale, NATO, UE şi altele asemenea şi ale documentaţiei cu cerinţele
de securitate ( DCS), elaborată pentru respectivul SIC.

I. Elemente specifice INFOSEC


Conceptul INFOSEC reprezintă ansamblul măsurilor şi structurilor de protecţie a
informaţiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor
informatice de comunicaţii şi al altor sisteme electronice, împotriva ameninţărilor şi a oricăror
acţiuni care pot aduce atingere confidenţialităţii, integrităţii, disponibilităţii, autenticităţii şi
nerepudierii informaţiilor clasificate, precum şi afectarea funcţionării sistemelor informatice,
indiferent dacă acestea apar accidental sau intenţionat.

Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, a emisiilor,


securitatea criptografică, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse
informaţiile şi sistemele.

Măsurile de securitate destinate protecţiei sistemelor informatice și de comunicații (SIC), de


prelucrare automată a datelor (SPAD) și rețelelor de transmisii de date (RTD), trebuie să asigure
controlul accesului pentru prevenirea sau detectarea divulgării neautorizate a informaţiilor.

Cerinţele de securitate specifice (CSS) au la bază standardele naţionale de protecţie,


parametrii esenţiali ai mediului operaţional, nivelul minim de autorizare a personalului, nivelul de
clasificare a informaţiilor gestionate şi modul de operare a sistemului care urmează să fie acreditat.

CSS se elaborează pentru fiecare SPAD şi RTD - SIC care stochează, procesează sau
transmite informaţii clasificate, sunt stabilite de către componenta de securitate pentru tehnologia
informaţiei şi comunicaţiilor instituită în unităţile deţinătoare de informaţii clasificate (CSTIC) şi
aprobate de către agenţia de acreditare de securitate.

Componentele INFOSEC sunt:

A. Securitatea personalului
 Utilizatorii SPAD şi RTD - SIC sunt autorizaţi şi li se permite accesul la informaţii
clasificate pe baza principiului necesităţii de a cunoaşte şi în funcţie de nivelul de clasificare a
informaţiilor stocate, procesate sau transmise prin aceste sisteme.

 Unităţile deţinătoare de informaţii clasificate în format electronic au obligaţia de a


institui măsuri speciale pentru instruirea şi supravegherea personalului, inclusiv a personalului de

269 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

proiectare de sistem care are acces la SPAD şi RTD, în vederea prevenirii şi înlăturării
vulnerabilităţilor faţă de accesarea neautorizată.

 În proiectarea SPAD şi RTD - SIC trebuie să se aibă în vedere ca atribuirea sarcinilor şi


răspunderilor personalului să se facă în aşa fel, încât să nu existe o persoană care să aibă cunoştinţă
sau acces la toate programele şi cheile de securitate - parole, mijloace de identificare personală.

 Procedurile de lucru ale personalului din SPAD şi RTD - SIC trebuie să asigure
separarea între operaţiunile de programare şi cele de exploatare a sistemului sau reţelei. Este
interzis, cu excepţia unor situaţii speciale, ca personalul să facă atât programarea, cât şi operarea
sistemelor sau reţelelor şi trebuie instituite proceduri speciale pentru depistarea acestor situaţii.

 Pentru orice fel de modificare aplicată unui sistem SPAD sau RTD - SIC este
obligatorie colaborarea a cel puţin două persoane - regula celor doi. Procedurile de securitate vor
menţiona explicit situaţiile în care regula celor doi trebuie aplicată.

 Pentru a asigura implementarea corectă a măsurilor de securitate, personalul SPAD şi


RTD -SIC şi personalul care răspunde de securitatea acestora trebuie să fie instruit şi informat astfel
încât să îşi cunoască reciproc atribuţiile.

B. Securitatea fizică
 Zonele în care sunt amplasate SPAD şi/sau RTD - SIC şi cele cu terminale la distantă,
în care sunt prezentate, stocate, procesate sau transmise informaţii clasificate ori în care este posibil
accesul potenţial la astfel de informaţii, se declară zone de securitate clasa I sau clasa II ale
obiectivului şi se supun măsurilor de protecţie fizică stabilite prin prezentele standarde.

 În zonele în care sunt amplasate sisteme SPAD şi terminale la distanţă - staţii de lucru,
unde se procesează şi/sau pot fi accesate informaţii clasificate, se aplică următoarele măsuri
generale de securitate:
a) intrarea personalului şi a materialelor, precum şi plecarea în/din aceste zone sunt
controlate prin mijloace bine stabilite;
b) zonele şi locurile în care securitatea SPAD sau RTD - SIC sau a terminalelor la
distanţă poate fi modificată nu trebuie să fie niciodată ocupate de un singur angajat autorizat;
c) persoanelor care solicită acces temporar sau cu intermitenţe în aceste zone trebuie să
li se autorizeze accesul, ca vizitatori, de către responsabilul pe probleme de securitate al zonei,
desemnat de către administratorul de securitate al obiectivului SIC. Vizitatorii vor fi însoţiţi
permanent, pentru a avea garanţia că nu pot avea acces la informaţii clasificate şi nici la
echipamentele utilizate.
 În funcţie de riscul de securitate şi de nivelul de secretizare al informaţiilor stocate,
procesate şi transmise, se impune cerinţa de aplicare a regulii de lucru cu două persoane şi în alte
zone, ce vor fi stabilite în stadiul iniţial al proiectului şi prezentate în cadrul CSS.

 Când un SPAD este exploatat în mod autonom, deconectat în mod permanent de alte
SPAD, ţinând cont de condiţiile specifice, de alte măsuri de securitate, tehnice sau procedurale şi de
rolul pe care îl are respectivul SPAD în funcţionarea de ansamblu a sistemului, agenţia de acreditare
de securitate trebuie să stabilească măsuri specifice de protecţie, adaptate la structura acestui SPAD,
conform nivelului de clasificare a informaţiilor gestionate.

270 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

C. Controlul accesului la SPAD şi/sau la RTD - SIC


 Toate informaţiile şi materialele care privesc accesul la un SPAD sau RTD - SIC sunt
controlate şi protejate prin reglementări corespunzătoare nivelului de clasificare cel mai înalt şi
specificului informaţiilor la care respectivul SPAD sau RTD - SIC permite accesul.

 Când nu mai sunt utilizate, informaţiile şi materialele de control specificate mai sus
trebuie să fie distruse conform prevederilor standardului.

D. Securitatea informaţiilor clasificate în format electronic


 Informaţiile clasificate în format electronic trebuie să fie controlate conform regulilor
INFOSEC, înainte de a fi transmise din zonele SPAD şi RTD - SIC sau din cele cu terminale la
distanţă.

 Modul în care este prezentată informaţia în clar, chiar dacă se utilizează codul prescurtat
de transmisie sau reprezentarea binară ori alte forme de transmitere la distanţă, nu trebuie să
influenţeze nivelul de clasificare acordat informaţiilor respective.

 Când informaţiile sunt transferate între diverse SPAD sau RTD - SIC, ele trebuie să fie
protejate atât în timpul transferului, cât şi la nivelul sistemelor informatice ale beneficiarului,
corespunzător cu nivelul de clasificare al informaţiilor transmise.

 Toate mediile de stocare a informaţiilor se păstrează într-o modalitate care să


corespundă celui mai înalt nivel de clasificare a informaţiilor stocate sau suporţilor, fiind protejate
permanent.

 Copierea informaţiilor clasificate situate pe medii de stocare specifice TIC se execută în


conformitate cu prevederile din procedurile operaţionale de securitate.

 Mediile refolosibile de stocare a informaţiilor utilizate pentru înregistrarea informaţiilor


clasificate îşi menţin cea mai înaltă clasificare pentru care au fost utilizate anterior, până când
respectivelor informaţii li se reduce nivelul de clasificare sau sunt declasificate, moment în care
mediile susmenţionate se reclasifică în mod corespunzător sau sunt distruse în conformitate cu
prevederile procedurilor operaţionale de securitate.

E. Controlul şi evidenţa informaţiilor în format electronic


 Evidenţa automată a accesului la informaţiile clasificate în format electronic se ţine în
registrele de acces şi trebuie realizată necondiţionat prin software.

 Registrele de acces se păstrează pe o perioadă stabilită de comun acord între agenţia de


acreditare de securitate şi CSTIC.

 Perioada minimă de păstrare a registrelor de acces la informaţiile strict secrete de


importanţă deosebită este de 10 ani, iar a registrelor de acces la informaţiile strict secrete şi secrete,
de cel puţin 3 ani.

 Mediile de stocare care conţin informaţii clasificate utilizate în interiorul unei zone
SPAD pot fi manipulate ca unic material clasificat, cu condiţia ca materialul să fie identificat,
marcat cu nivelul său de clasificare şi controlat în interiorul zonei SPAD, până în momentul în care
este distrus, redus la o copie de arhivă sau pus într-un dosar permanent.

271 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Evidenţele acestora vor fi menţinute în cadrul zonei SPAD până când sunt supuse
controlului sau distruse, conform standardelor.

 În cazul în care un mediu de stocare este generat într-un SPAD sau RTD - SIC, iar apoi
este transmis într-o zonă cu terminal/staţie de lucru la distanţă, se stabilesc proceduri adecvate de
securitate, aprobate de către agenţia de acreditare de securitate. Procedurile trebuie să cuprindă şi
instrucţiuni specifice privind evidenţa informaţiilor în format electronic.

F. Manipularea şi controlul mediilor de stocare a informaţiilor clasificate în format


electronic
 Toate mediile de stocare secrete de stat se identifică şi se controlează în mod
corespunzător nivelului de secretizare.

 Pentru informaţiile neclasificate sau secrete de serviciu se aplică regulamente de


securitate interne.

 Identificarea şi controalele trebuie să asigure următoarele cerinţe:


a) Pentru nivelul secret:
 un mijloc de identificare - număr de serie şi marcajul nivelului de clasificare - pentru
fiecare astfel de mediu, în mod separat;
 proceduri bine definite pentru emiterea, primirea, retragerea, distrugerea sau
păstrarea mediilor de stocare;
 evidenţele manuale sau tipărite la imprimantă, indicând conţinutul şi nivelul de
secretizare a informaţiilor înregistrate pe mediile de stocare.
b) Pentru nivelul strict secret şi strict secret de importanţă deosebită, informaţiile
detaliate asupra mediului de stocare, incluzând conţinutul şi nivelul de clasificare, se ţin într-un
registru adecvat.

G. Declasificarea şi distrugerea mediilor de stocare a informaţiilor în format electronic


 Informaţiile clasificate înregistrate pe medii de stocare refolosibile se şterg doar în
conformitate cu procedurile operaţionale de securitate.
 Când un mediu de stocare urmează să iasă din uz, trebuie să fie declasificat,
suprimându-se orice marcaje de clasificare, ulterior putând fi utilizat ca mediu de stocare nesecret.
Dacă acesta nu poate fi declasificat, trebuie distrus printr-o procedură aprobată.
 Sunt interzise declasificarea şi refolosirea mediilor de stocare care conţin informaţii
strict secrete de importanţă deosebită, acestea putând fi numai distruse, în conformitate cu
procedurile operaţionale de securitate.
 Informaţiile clasificate în format electronic stocate pe un mediu de unică folosinţă -
cartele, benzi perforate - trebuie distruse conform prevederilor procedurilor operaţionale de
securitate.

II. Acreditarea SIC


Procesul de certificare şi acreditare evaluează și aprobă măsurile de implementare a
procedurilor INFOSEC pentru sisteme SIC, SPAD și RTD.

Etapele și algoritmul care trebuiesc parcurse în procesul de acreditare INFOSEC sunt


prezentate în figura de mai jos. De asemenea, sunt indicate și categoriile de documente care se
realizează și sunt supuse evaluări și aprobării.

272 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Din analiza algoritmului prezentat, se mai poate concluziona și că:

 parcurgerea tuturor etapelor este necesară și obligatorie;


 procesul de acreditare utilizează feed-back-ul pentru corectarea deficiențelor și up-
gradarea sistemului;
 finalizarea procedurii de acreditare nu înseamnă încetarea activităților, ci continua
supraveghere a sistemului în vederea identificării eventualelor breșe și îmbunătățirea
soluțiilor de securitate.

273 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

III. Protecţia surselor generatoare de informaţii – INFOSEC

1. Generalităţi

 Modalităţile şi măsurile de protecţie a informaţiilor clasificate care se prezintă în format


electronic sunt similare celor pe suport de hârtie.

 Termenii specifici, folosiţi în domeniu sunt definiţi în HG 585/2002 cap. VIII şi “Dicţionar cu
termeni folosiţi în protecţie şi securitate”

 Abrevierile utilizate în prezentul capitol semnifică:


a. CSTIC - componenta de securitate pentru tehnologia informaţiei şi comunicaţiilor
instituită în unităţile deţinătoare de informaţii clasificate;
b. TIC - tehnologia informaţiei şi comunicaţiilor;
c. CSS - cerinţele de securitate specifice;
d. SPAD – sistem de prelucrare automata a datelor;
e. RTD - reţele de transmisii de date;
f. ORNISS - Oficiului Registrului Naţional al Informaţiilor Secrete de Stat.

 Informaţiile care se prezintă în format electronic pot fi:


a. stocate şi procesate în cadrul SPAD sau transmise prin intermediul RTD;
b. stocate şi transportate prin intermediul suporturilor de memorie, dispozitivelor
electronice - cipuri de memorie, hârtie perforată sau alte suporturi specifice.

 Încărcarea informaţiilor pe mediile prevăzute mai sus, precum şi interpretarea lor pentru a
deveni inteligibile, se face cu ajutorul echipamentelor electronice specializate.

 Sistemele SPAD şi RTD - SIC au dreptul să stocheze, să proceseze sau să transmită informaţii
clasificate, numai dacă sunt autorizate potrivit legii.

 În vederea autorizării SPAD şi RTD - SIC unităţile vor întocmi, cu aprobarea organelor lor de
conducere, strategia proprie de securitate, în baza căreia vor implementa sisteme proprii de
securitate, care vor include utilizarea de produse specifice tehnologiei informaţiei şi
comunicaţiilor, personal instruit şi măsuri de protecţie a informaţiei, incluzând controlul
accesului la sistemele şi serviciile informatice şi de comunicaţii, pe baza principiului necesităţii
de a cunoaşte şi al nivelului de secretizare atribuit.

 SPAD şi RTD - SIC vor fi supuse procesului de acreditare, urmat de evaluări periodice, în
vederea menţinerii acreditării.

 Aplicarea reglementărilor în vigoare referitoare la protecţia informaţiilor clasificate în format


electronic funcţionează unitar la nivel naţional. Sistemul de emitere şi implementare a măsurilor
de securitate adresate protecţiei informaţiilor clasificate care sunt stocate, procesate sau
transmise de SPAD sau RTD - SIC, precum şi controlul modului de implementare a măsurilor
de securitate se realizează de către o structură funcţională cu atribuţii de reglementare, control şi
autorizare, care include:
a. o agenţie pentru acordarea acreditării de funcţionare în regim de securitate;
b. o agenţie care elaborează şi implementează metode, mijloace şi măsuri de securitate;
c. o agenţie responsabilă cu protecţia criptografică.
 Agenţiile menţionate mai sus sunt subordonate instituţiei desemnate la nivel naţional, pentru
protecţia informaţiilor clasificate, ORNISS.

274 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Măsurile de protecţie a informaţiilor clasificate în format electronic trebuie reactualizate


permanent, prin depistare, documentare şi gestionare a ameninţărilor şi vulnerabilităţilor la
adresa informaţiilor clasificate şi sistemelor care le prelucrează, stochează şi transmit.

 Măsurile de securitate INFOSEC vor fi structurate după nivelul de clasificare al informaţiilor


pe care le protejează şi în conformitate cu conţinutul acestora.

 Conducătorul unităţii deţinătoare de informaţii clasificate răspunde de securitatea propriilor


informaţii care sunt stocate, procesate sau transmise în SPAD sau RTD - SIC.

 în fiecare unitate care administrează SPAD şi RTD - SIC în care se stochează, se procesează
sau se transmit informaţii clasificate, se va institui o componentă de securitate pentru
tehnologia informaţiei şi a comunicaţiilor - CSTIC, în subordinea structurii/funcţionarului de
securitate.

 În funcţie de volumul de activitate şi dacă cerinţele de securitate permit, atribuţiile CSTIC pot
fi îndeplinite numai de către funcţionarul de securitate TIC sau pot fi preluate, în totalitate, de
către structura/funcţionarul de securitate din unitate.

 CSTIC îndeplineşte atribuţii privind:

a. implementarea metodelor, mijloacelor şi măsurilor necesare protecţiei informaţiilor în


format electronic;
b. exploatarea operaţională a SPAD şi RTD - SIC în condiţii de securitate;
c. coordonarea cooperării dintre unitatea deţinătoare a SPAD sau RTD - SIC şi autoritatea
care asigură acreditarea;
d. implementarea măsurilor de securitate şi protecţia criptografică ale SPAD sau RTD -
SIC.
e. CSTIC reprezintă punctul de contact al agenţiilor competente cu unităţile care deţin în
administrare SPAD sau RTD - SIC şi, după caz, poate fi învestită, temporar, de către
aceste agenţii, cu unele dintre atribuţiile lor.
f. Propunerile pe linie de securitate avansate de către CSTIC devin operaţionale numai
după ce au fost aprobate de către conducerea unităţii care deţine în administrare
respectivul SPAD sau RTD - SIC.
g. CSTIC se instituie la nivelul fiecărei SPAD şi RTD - SIC şi reprezintă persoana sau
compartimentul cu responsabilitatea delegată de către agenţia de securitate pentru
informatică şi comunicaţii de a implementa metodele, mijloacele şi măsurile de
securitate şi de a exploata SPAD şi RTD - SIC în condiţii de securitate.
h. CSTIC este condusă de către funcţionarul de securitate TIC şi are în compunere
administratorii de securitate şi, după caz, şi alţi specialişti din SPAD sau RTD - SIC.
Toată structura CSTIC face parte din personalul unităţii care administrează SPAD sau
RTD - SIC.
i. Exercitarea atribuţiilor CSTIC trebuie să cuprindă întregul ciclu de viaţă al SPAD sau
RTD - SIC, începând cu proiectarea, continuând cu elaborarea specificaţiilor, testarea
instalării, acreditarea, testarea periodică în vederea reacreditării, exploatarea
operaţională, modificarea şi încheind cu scoaterea din uz. În anumite situaţii, rolul
CSTIC poate fi preluat de către alte componente ale unităţii, în decursul ciclului de viaţă.
j. CSTIC mijloceşte cooperarea dintre conducerea unităţii căreia îi aparţine SPAD sau
RTD - SIC şi agenţia pentru acreditare de securitate, atunci când unitatea:
- planifică dezvoltarea sau achiziţia de SPAD sau RTD;
- propune schimbări ale unei configuraţii de sistem existente;

275 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- propune conectarea unui SPAD sau a unei RTD - SIC cu un alt SPAD sau RTD -
SIC;
- propune schimbări ale modului de operare de securitate ale SPAD sau RTD -
SIC;
- propune schimbări în programele existente sau utilizarea de noi programe, pentru
optimizarea securităţii SPAD sau RTD - SIC;
- iniţiază proceduri de modificare a nivelului de clasificare a SPAD şi RTD - SIC
care au fost deja acreditate;
- planifică sau propune întreprinderea oricărei alte activităţi referitoare la
îmbunătăţirea securităţii SPAD sau RTD - SIC deja acreditate.
 CSTIC, cu aprobarea autorităţii de acreditare de securitate, stabileşte standardele şi
procedurile de securitate care trebuie respectate de către furnizorii de echipamente, pe
parcursul dezvoltării, instalării şi testării SPAD şi RTD - SIC şi răspunde pentru justificarea,
selecţia, implementarea şi controlul componentelor de securitate, care constituie parte a
SPAD şi RTD - SIC.
 CSTIC stabileşte, pentru structurile de securitate şi management ale SPAD şi RTD - SIC,
încă de la înfiinţare, responsabilităţile pe care le vor exercita pe tot ciclul de viaţă al SPAD
şi RTD - SIC respective.
 Activitatea INFOSEC din SPAD şi RTD - SIC, desfăşurată de către CSTIC, trebuie condusă
şi coordonată de persoane care deţin certificat de securitate corespunzător, cu pregătire de
specialitate în domeniul sistemelor TIC, precum şi al securităţii acestora, obţinută în
instituţii de învăţământ acreditate INFOSEC sau care au lucrat în domeniu cel puţin 5 ani.
 Protecţia SPAD şi RTD - SIC din compunerea sistemelor de armament şi de detecţie va fi
definită în contextul general al sistemelor din care acestea fac parte şi va fi realizată prin
aplicarea prevederilor prezentelor standarde.

2. Structuri organizatorice cu atribuţii specifice în domeniul INFOSEC


A. Agenţia de acreditare de securitate
 Agenţia de acreditare de securitate este subordonată instituţiei desemnate la nivel naţional
pentru protecţia informaţiilor clasificate, are reprezentanţi delegaţi din cadrul ADS
implicate, în funcţie de SPAD şi RTD -SIC care trebuie acreditate, şi îndeplineşte
următoarele atribuţii principale:
a. asigură, la nivel naţional, acreditarea de securitate şi reacreditarea SPAD şi RTD - SIC
care stochează, procesează sau transmit informaţii clasificate, în funcţie de nivelul de
clasificare a acestora;
b. asigură evaluarea şi certificarea sistemelor SPAD şi RTD - SIC sau a unor elemente
componente ale acestora;
c. stabileşte criteriile de acreditare de securitate pentru SPAD şi RTD - SIC.
 Agenţia de acreditare de securitate îşi exercită atribuţiile în domeniul INFOSEC în numele
instituţiei desemnate la nivel naţional pentru protecţia informaţiilor clasificate şi are
responsabilitatea de a impune standarde de securitate în acest domeniu.
B. Agenţia de securitate pentru informatică şi comunicaţii
 Agenţia de securitate pentru informatică şi comunicaţii este structura subordonată instituţiei
desemnate la nivel naţional pentru protecţia informaţiilor electronice clasificate, având
reprezentanţi delegaţi din cadrul ADS implicate care acţionează la nivel naţional.
 Agenţia este responsabilă de conceperea şi implementarea mijloacelor, metodelor şi
măsurilor de protecţie a informaţiilor clasificate care sunt stocate, procesate sau transmise
prin intermediul SPAD şi RTD - SIC şi are, în principal, următoarele atribuţii:
a. coordonează activităţile de protecţie a informaţiilor clasificate care sunt stocate,
procesate sau transmise prin intermediul SPAD şi RTD - SIC;
b. elaborează şi promovează reglementări şi standarde specifice;

276 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

c. analizează cauzele incidentelor de securitate şi gestionează baza de date privind


ameninţările şi vulnerabilităţile din sistemele de comunicaţie şi informatice, necesare
pentru elaborarea managementul de risc;
d. semnalează agenţiei de acreditare de securitate incidentele de securitate în domeniu;
e. integrează măsurile privind protecţia fizică, de personal, a documentelor
administrative, COMPUSEC, COMSEC, TEMPEST şi criptografică;
f. execută inspecţii periodice asupra SPAD şi RTD - SIC în vederea reacreditării;
g. supune certificării şi autorizării sistemele de securitate specifice SPAD şi RTD - SIC.
 Pentru îndeplinirea atribuţiilor sale, agenţia de securitate pentru informatică şi comunicaţii
cooperează cu agenţia de acreditare de securitate, cu agenţia de protecţie criptografică şi cu
alte structuri cu atribuţii în domeniu.
C. Agenţia de protecţie criptografică
 Agenţia de protecţie criptografică se organizează la nivel naţional, este subordonată
instituţiei desemnate la nivel naţional pentru protecţia informaţiilor clasificate şi are
următoarele atribuţii principale:
a. asigură managementul materialelor şi echipamentelor criptografice;
b. realizează distribuirea materialelor şi echipamentelor criptografice;
c. raportează instituţiei desemnate la nivel naţional pentru protecţia informaţiilor
clasificate incidentele de securitate cu care s-a confruntat;
d. cooperează cu agenţia de acreditare de securitate, cu agenţia de concepere şi
implementare a metodelor, mijloacelor şi măsurilor de securitate şi cu alte structuri cu
atribuţii în domeniu.

3. Măsuri, cerinţe şi moduri de operare

A. Măsuri şi cerinţe specifice INFOSEC


 Măsurile de protecţie a informaţiilor clasificate în format electronic se aplică
sistemelor SPAD şi RTD - SIC care stochează, procesează sau transmit asemenea
informaţii.
 Unităţile deţinătoare de informaţii clasificate au obligaţia de a stabili şi implementa
un ansamblu de măsuri de securitate a sistemelor SPAD şi RTD - SIC - fizice, de
personal, administrative, de tip TEMPEST şi criptografic.
 Măsurile de securitate destinate protecţiei SPAD şi RTD - SIC trebuie să asigure
controlul accesului pentru prevenirea sau detectarea divulgării neautorizate a
informaţiilor. Procesul de certificare şi acreditare va stabili dacă aceste măsuri sunt
corespunzătoare.

B. Cerinţe de securitate specifice (CSS) SPAD şi RTD – SIC


 Cerinţele de securitate specifice - CSS se constituie într-un document încheiat între
agenţia de acreditare de securitate şi CSTIC, ce va cuprinde principii şi măsuri de
securitate care trebuie să stea la baza procesului de certificare şi acreditare a SPAD
sau RTD - SIC.
 CSS se elaborează pentru fiecare SPAD şi RTD - SIC care stochează, procesează sau
transmite informaţii clasificate, sunt stabilite de către CSTIC şi aprobate de către
agenţia de acreditare de securitate.
 CSS vor fi formulate încă din faza de proiectare a SPAD sau RTD - SIC şi vor fi
dezvoltate pe tot ciclul de viaţă al sistemului.
 CSS au la bază standardele naţionale de protecţie, parametrii esenţiali ai mediului
operaţional, nivelul minim de autorizare a personalului, nivelul de clasificare a
informaţiilor gestionate şi modul de operare a sistemului care urmează să fie
acreditat.

277 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

C. Moduri de operare
SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii clasificate vor fi
certificate şi acreditate să opereze, pe anumite perioade de timp, în unul din următoarele
moduri de operare:
a. dedicat;
b. de nivel înalt;
c. multi-nivel.
 În modul de operare dedicat, toate persoanele cu drept de acces la SPAD sau la RTD
trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor
stocate, procesate sau transmise prin aceste sisteme. Necesitatea de a cunoaşte pentru aceste
persoane se stabileşte cu privire la toate informaţiile stocate, procesate sau transmise în
cadrul SPAD sau RTD - SIC.
 În acest mod de operare, principiul necesităţii de a cunoaşte nu impune o separare a
informaţiilor în cadrul SPAD sau RTD, ca mijloc de securitate a SIC. Celelalte măsuri de
protecţie prevăzute vor asigura îndeplinirea cerinţelor impuse de cel mai înalt nivel de
clasificare a informaţiilor gestionate şi de toate categoriile de informaţii cu destinaţie
specială stocate, procesate sau transmise în cadrul SPAD sau RTD.
 În modul de operare de nivel înalt, toate persoanele cu drept de acces la SPAD sau la RTD
- SIC trebuie să aibă certificat de securitate pentru cel mai înalt nivel de clasificare a
informaţiilor stocate, procesate sau transmise în cadrul SPAD sau RTD - SIC, iar accesul la
informaţii se va face diferenţiat, conform principiului necesităţii de a cunoaşte.
 Pentru a asigura accesul diferenţiat la informaţii, conform principiului necesităţii de a
cunoaşte, se instituie facilităţi de securitate care să asigure un acces selectiv la informaţii în
cadrul SPAD sau RTD - SIC.
 Celelalte măsuri de protecţie vor satisface cerinţele pentru cel mai înalt nivel de clasificare şi
pentru toate categoriile de informaţii cu destinaţie specială stocate, procesate, transmise în
cadrul SPAD sau RTD - SIC.
 Toate informaţiile stocate, procesate sau vehiculate în cadrul unui SPAD sau RTD - SIC în
acest mod de operare vor fi protejate ca informaţii cu destinaţie specială, având cel mai înalt
nivel de clasificare care a fost constatat în mulţimea informaţiilor stocate, procesate sau
vehiculate prin sistem.
 În modul de operare multi-nivel, accesul la informaţiile clasificate se face diferenţiat,
potrivit principiului necesităţii de a cunoaşte, conform următoarelor reguli:
a. nu toate persoanele cu drept de acces la SPAD sau RTD - SIC au certificat de
securitate pentru acces la informaţii de cel mai înalt nivel de clasificare care sunt
stocate, procesate sau transmise prin aceste sisteme;
b. nu toate persoanele cu acces la SPAD sau RTD - SIC au acces la toate informaţiile
stocate, procesate sau transmise prin aceste sisteme.
 Aplicarea regulilor prevăzute mai sus impune instituirea, în compensaţie, a unor facilităţi de
securitate care să asigure un mod selectiv, individual, de acces la informaţiile clasificate din
cadrul SPAD sau RTD - SIC.

D. Administratorii de securitate
 Securitatea SPAD a reţelei şi a obiectivului SIC se asigură prin funcţiile de administrator de
securitate.
 Administratorii de securitate sunt:
a. administratorul de securitate al SPAD;
b. administratorul de securitate al reţelei;
c. administratorul de securitate al obiectivului SIC.
 Funcţiile de administratori de securitate trebuie să asigure îndeplinirea atribuţiilor CSTIC.
Dacă este cazul, aceste funcţii pot fi cumulate de către un singur specialist.

278 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 CSTIC desemnează un administrator de securitate al SPAD, responsabil cu supervizarea


dezvoltării, implementării şi administrării măsurilor de securitate dintr-un SPAD, inclusiv
participarea la elaborarea procedurilor operaţionale de securitate.
 La recomandarea autorităţii de acreditare de securitate, CSTIC poate desemna structuri de
administrare ale SPAD care îndeplinesc aceleaşi atribuţii.
 Administratorul de securitate al reţelei este desemnat de CSTIC pentru un SIC de mari
dimensiuni sau în cazul interconectării mai multor SPAD şi îndeplineşte atribuţii privind
managementul securităţii comunicaţiilor.
 Administratorul de securitate al obiectivului SIC este desemnat de CSTIC sau de autoritatea
de securitate competentă şi răspunde de asigurarea implementării şi menţinerea măsurilor de
securitate aplicabile obiectivului SIC respectiv.
 Responsabilităţile unui administrator de securitate al obiectivului SIC pot fi îndeplinite de
către structura/funcţionarul de securitate al unităţii, ca parte a îndatoririlor sale profesionale.
 Obiectivul SIC reprezintă un amplasament specific sau un grup de amplasamente în care
funcţionează un SPAD şi/sau RTD. Responsabilităţile şi măsurile de securitate pentru
fiecare zonă de amplasare a unui terminal/staţie de lucru care funcţionează la distanţă
trebuie explicit determinate.

E. Utilizatorii şi vizitatorii
 Toţi utilizatorii de SPAD sau RTD - SIC poartă responsabilitatea în ce priveşte securitatea
acestor sisteme - raportate, în principal, la drepturile acordate şi sunt îndrumaţi de către
administratorii de securitate
 Utilizatorii vor fi autorizaţi pentru clasa şi nivelul de secretizare a informaţiilor clasificate
stocate, procesate sau transmise în SPAD sau RTD - SIC. La acordarea accesului la
informaţii, individual, se va urmări respectarea principiului necesităţii de a cunoaşte.
 Informarea şi conştientizarea utilizatorilor asupra îndatoririlor lor de securitate trebuie să
asigure o eficacitate sporită a sistemului de securitate.
 Vizitatorii trebuie să aibă autorizare de securitate de nivel corespunzător şi să îndeplinească
principiul necesităţii de a cunoaşte, în situaţia în care accesul unui vizitator fără autorizare
de securitate este considerat necesar, vor fi luate măsuri de securitate suplimentare pentru
ca acesta să nu poată avea acces la informaţiile clasificate.

4. Reguli generale de securitate TIC

A. Securitatea comunicaţiilor
 Toate mijloacele folosite pentru transmiterea electromagnetică a informaţiilor clasificate se
supun instrucţiunilor de securitate a comunicaţiilor emise de către instituţia desemnată la nivel
naţional pentru protecţia informaţiilor clasificate.
 Într-un SPAD - SIC trebuie să se dispună mijloace de interzicere a accesului la informaţiile
clasificate de la toate terminalele/staţiile de lucru la distanţă, atunci când se solicită acest lucru,
prin deconectare fizică sau prin proceduri software speciale, aprobate de către autoritatea de
acreditare de securitate.

B. Securitatea la instalare şi faţă de emisiile electromagnetice


 Instalarea iniţială a SPAD sau RTD - SIC sau orice modificare majoră adusă acestora vor fi
executate de persoane autorizate, în condiţiile standardelor în vigoare. Lucrările vor fi
permanent supravegheate de personal tehnic calificat, care are acces la informaţii de cel mai
înalt nivel de clasificare pe care respectivul SPAD sau RTD - SIC le va stoca, procesa sau
transmite.
 Toate echipamentele SPAD şi RTD - SIC vor fi instalate în conformitate cu reglementările
specifice în vigoare, emise de către instituţia desemnată la nivel naţional pentru protecţia
informaţiilor clasificate, cu directivele şi standardele tehnice corespunzătoare.

279 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 Sistemele SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii secrete de
stat vor fi protejate corespunzător faţă de vulnerabilităţile de securitate cauzate de radiaţiile
compromiţătoare - TEMPEST.

C. Securitatea în timpul procesării informaţiilor clasificate


 Procesarea informaţiilor se realizează în conformitate cu procedurile operaţionale de
securitate, prevăzute în standardele în vigoare.
 Transmiterea informaţiilor secrete de stat către instalaţii automate - a căror funcţionare nu
necesită prezenţa unui operator uman - este interzisă, cu excepţia cazului când se aplică
reglementări speciale aprobate de către autoritatea de acreditare de securitate, iar acestea au
fost specificate în procedurile operaţionale de securitate.
 În SPAD sau RTD - SIC care au utilizatori - existenţi sau potenţiali - fără certificate de
securitate emise conform standardelor nu se pot stoca, procesa sau transmite informaţii strict
secrete de importanţă deosebită.

D. Procedurile operaţionale de securitate


 Procedurile operaţionale de securitate reprezintă descrierea implementării strategiei de
securitate ce urmează să fie adoptată, a procedurilor operaţionale de urmat şi a
responsabilităţilor personalului.
 Procedurile operaţionale de securitate sunt elaborate de către agenţia de concepere şi
implementare a metodelor, mijloacelor şi măsurilor de securitate, în colaborare cu CSTIC,
precum şi cu agenţia de acreditare de securitate, care are atribuţii de coordonare, şi alte
autorităţi cu atribuţii în domeniu. Agenţia de acreditare de securitate va aproba procedurile de
operare înainte de a autoriza stocarea, procesarea sau transmiterea informaţiilor secrete de stat
prin SPAD - RTD - SIC.

E. Protecţia produselor software şi managementul configuraţiei


 CSTIC are obligaţia să efectueze controale periodice, prin care să stabilească dacă toate
produsele software originale - sisteme de operare generale, subsisteme şi pachete soft - aflate
în folosinţă, sunt protejate în condiţii conforme cu nivelul de clasificare al informaţiilor pe
care acestea trebuie să le proceseze. Protecţia programelor - software de aplicaţie se
stabileşte pe baza evaluării nivelului de secretizare a acestora, ţinând cont de nivelul de
clasificare a informaţiilor pe care urmează să le proceseze.
 Este interzisă utilizarea de software neautorizat de către agenţia de acreditare de securitate.
 Conservarea exemplarelor originale, a copiilor - backup sau off-site, precum şi salvările
periodice ale datelor obţinute din procesare vor fi executate în conformitate cu prevederile
procedurilor operaţionale de securitate.
 Versiunile software care sunt în uz trebuie să fie verificate la intervale regulate, pentru a
garanta integritatea şi funcţionarea lor corectă.
 Versiunile noi sau modificate ale software-ului nu vor fi folosite pentru procesarea
informaţiilor secrete de stat, până când procedurile de securitate ale acestora nu sunt testate şi
aprobate conform CSS.
 Un software care îmbunătăţeşte posibilităţile sistemului şi care nu are nici o procedură de
securitate nu poate fi folosit înainte de a fi verificat de către CSTIC.

F. Verificări pentru depistarea viruşilor de calculator şi a software-ului nociv


 Verificarea prezenţei viruşilor şi software-ului nociv se face în conformitate cu cerinţele
impuse de către agenţia de acreditare de securitate.
 Versiunile de software noi sau modificate - sisteme de operare, subsisteme, pachete de
software şi software de aplicaţie - stocate pe diferite medii care se introduc într-o unitate,
trebuie verificate obligatoriu pe sisteme de calcul izolate, în vederea depistării software-ului

280 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

nociv sau a viruşilor de calculator, înainte de a fi folosite în SPAD sau RTD - SIC. Periodic
se va proceda la verificarea software-ului instalat.
 Verificările trebuie făcute mai frecvent dacă SPAD sau RTD - SIC sunt conectate la alt
SPAD sau RTD - SIC sau la o reţea publică de comunicaţii.

G. Întreţinerea tehnică a SPAD sau RTD – SIC


 În contractele de întreţinere a SPAD şi RTD - SIC care stochează, procesează sau transmit
informaţii secrete de stat, se vor specifica cerinţele care trebuie îndeplinite pentru ca
personalul de întreţinere şi aparatura specifică a acestuia să poată fi introduse în zona de
operare a sistemelor respective.
 Personalul de întreţinere trebuie să deţină certificate de securitate de nivel corespunzător
nivelului de secretizare a informaţiilor la care au acces.
 Scoaterea echipamentelor sau a componentelor hardware din zona SPAD sau RTD - SIC se
execută în conformitate cu prevederile procedurilor operaţionale de securitate.
 Cerinţele menţionate la art. 314 trebuie stipulate în CSS, iar procedurile de desfăşurare a
activităţii respective trebuie stabilite în procedurile operaţionale de securitate. Nu se acceptă
tipurile de întreţinere care constau în aplicarea unor proceduri de diagnosticare ce implică
accesul de la distanţă la sistem, decât dacă activitatea respectivă se desfăşoară sub control
strict şi numai cu aprobarea agenţiei de acreditare de securitate.

H. Achiziţii
 Sistemele SPAD sau RTD - SIC, precum şi componentele lor hardware şi software sunt
achiziţionate de la furnizori interni sau externi selectaţi dintre cei agreaţi de către agenţia de
acreditare de securitate.
 Componentele sistemelor de securitate implementate în SPAD sau RTD - SIC trebuie
acreditate pe baza unei documentaţii tehnice amănunţite privind proiectarea, realizarea şi
modul de distribuire al acestora.
 SPAD sau RTD - SIC care stochează, procesează sau transmit informaţii secrete de stat sau
componentele lor de bază - sisteme de operare de scop general, produse de limitare a
funcţionării pentru realizarea securităţii şi produse pentru comunicare în reţea - se pot
achiziţiona numai dacă au fost evaluate şi certificate de către agenţia de acreditare de
securitate.
 Pentru SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii secrete de
serviciu, sistemele şi componentele lor de bază vor respecta, pe cât posibil, criteriile
prevăzute de prezentele standarde.
 La închirierea unor componente hardware sau software, în special a unor medii de stocare,
se va ţine cont că astfel de echipamente, odată utilizate în SPAD sau RTD - SIC ce
procesează, stochează sau transmit informaţii clasificate, vor fi supuse măsurilor de protecţie
reglementate prin standardele în vigoare. O dată clasificate, componentele respective nu vor
putea fi scoase din zonele SPAD sau RTD - SIC decât după declasificare.

I. Acreditarea SPAD şi RTD – SIC


 Toate SPAD şi RTD - SIC, înainte de a fi utilizate pentru stocarea, procesarea sau
transmiterea informaţiilor clasificate, trebuie acreditate de către agenţia de acreditare de
securitate, pe baza datelor furnizate de către CSS, procedurilor operaţionale de securitate şi
altor documentaţii relevante.
 Subsistemele SPAD şi RTD - SIC şi staţiile de lucru cu acces la distanţă sau terminalele vor
fi acreditate ca parte integrantă a sistemelor SPAD şi RTD - SIC la care sunt conectate, în
cazul în care un sistem SPAD sau RTD - SIC deserveşte atât NATO, cât şi
organizaţiile/structurile interne ale ţării, acreditarea se va face de către autoritatea naţională
de securitate, cu consultarea ADS şi a agenţiilor INFOSEC, potrivit competenţelor.

281 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

J. Evaluarea şi certificarea
 În situaţiile ce privesc modul de operare de securitate multi-nivel, înainte de acreditarea
propriu-zisă a SPAD sau RTD - SIC, hardware-ul, firmware-ul şi software-ul vor fi evaluate
şi certificate de către agenţia de acreditare de securitate, în acest sens, instituţia desemnată la
nivel naţional pentru protecţia informaţiilor clasificate va stabili criterii diferenţiate pentru
fiecare nivel de secretizare a informaţiilor vehiculate de SPAD sau RTD - SIC.
 Cerinţele de evaluare şi certificare se includ în planificarea sistemului SPAD şi RTD - SIC
şi sunt stipulate explicit în CSS, imediat după ce modul de operare de securitate a fost
stabilit.
 Următoarele situaţii impun evaluarea şi certificarea de securitate în modul de operare de
securitate multi-nivel:
a. pentru SPAD sau RTD - SIC care stochează, procesează sau transmite informaţii
clasificate strict secret de importanţă deosebită;
b. pentru SPAD sau RTD - SIC care stochează, procesează sau transmite informaţii
clasificate strict secret, în cazurile în care:
٠ SPAD sau RTD - SIC este interconectat cu un alt SPAD sau RTD - SIC - de
exemplu, aparţinând altui CSTIC;
٠ SPAD sau RTD - SIC are un număr de utilizatori posibili care nu poate fi
definit exact.
٠ Procesele de evaluare şi certificare trebuie să se desfăşoare, conform
principiilor şi instrucţiunilor aprobate, de către echipe de expertizare cu
pregătire tehnică adecvată şi autorizate corespunzător. Aceste echipe vor fi
compuse din experţi selecţionaţi de către agenţia de acreditare de
securitate.
 În procesele de evaluare şi certificare se va stabili în ce măsură un SPAD sau RTD - SIC
îndeplineşte condiţiile de securitate specificate prin CSS, avându-se în vedere că, după
încheierea procesului de evaluare şi certificare, anumite secţiuni - paragrafe sau capitole -
din CSS trebuie să fie modificate sau actualizate.
 Procesele de evaluare şi certificare trebuie să înceapă din stadiul de definire a SPAD sau
RTD - SIC şi continuă pe parcursul fazelor de dezvoltare.

K. Verificări de rutină pentru menţinerea acreditării


 Pentru toate SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii secrete
de stat, CSTIC stabileşte proceduri de control prin care să se poată stabili dacă schimbările
intervenite în SIC sunt de natură a le compromite securitatea.
 Modificările care implică reacreditarea sau pentru care se solicită aprobarea anterioară a
agenţiei de acreditare de securitate trebuie să fie identificate cu claritate şi expuse în CSS.
 După orice modificare, reparare sau eroare care ar fi putut afecta dispozitivele de securitate
ale SPAD sau RTD - SIC, CSTIC trebuie să efectueze o verificare privind funcţionarea
corectă a dispozitivelor de securitate.
 Menţinerea acreditării SPAD sau RTD - SIC trebuie să depindă de satisfacerea criteriilor de
verificare.
 Toate SPAD şi RTD - SIC care stochează, procesează sau transmit informaţii secrete de stat
sunt inspectate şi reexaminate periodic de către agenţia de acreditare de securitate.
 Pentru SPAD sau RTD - SIC care stochează, procesează sau transmit informaţii strict
secrete de importanţă deosebită, inspecţia se va face cel puţin o dată pe an.

L. Securitatea microcalculatoarelor sau a calculatoarelor personale


 Microcalculatoarele sau calculatoarele personale care au discuri fixe sau alte medii
nevolatile de stocare a informaţiei, ce operează autonom sau ca parte a unei reţele, precum şi
calculatoarele portabile cu discuri fixe sunt considerate medii de stocare a informaţiilor, în
acelaşi sens ca şi celelalte medii amovibile de stocare a informaţiilor.

282 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

 În măsura în care acestea stochează informaţii clasificate trebuie supuse prezentelor


standarde.
 Echipamentelor prevăzute mai sus trebuie să li se acorde nivelul de protecţie pentru acces,
manipulare, stocare şi transport, corespunzător cu cel mai înalt nivel de clasificare a
informaţiilor care au fost vreodată stocate sau procesate pe ele, până la trecerea la un alt
nivel de clasificare sau declasificarea lor, în conformitate cu procedurile legale.

M.Utilizarea echipamentelor de calcul proprietate privată


 Este interzisă utilizarea mediilor de stocare amovibile, a software-ului şi a hardware-ului,
aflate în proprietate privată, pentru stocarea, procesarea şi transmiterea informaţiilor secrete
de stat.
 Pentru informaţiile secrete de serviciu sau neclasificate, se aplică reglementările interne ale
unităţii.
 Este interzisă introducerea mediilor de stocare amovibile, a software-ului şi hardware-ului,
aflate în proprietate privată, în zonele în care se stochează, se procesează sau se transmit
informaţii clasificate, fără aprobarea conducătorului unităţii.

N. Utilizarea echipamentelor contractorilor sau a celor puse la dispoziţie de alte instituţii


 Utilizarea într-un obiectiv a echipamentelor şi a software-ului contractanţilor, pentru
stocarea, procesarea sau transmiterea informaţiilor clasificate este permisă numai cu avizul
CSTIC şi aprobarea şefului unităţii.
 Utilizarea într-un obiectiv a echipamentelor şi software-ului puse la dispoziţie de către alte
instituţii poate fi permisă, în acest caz echipamentele sunt evidenţiate în inventarul unităţii,
în ambele situaţii, trebuie obţinut avizul CSTIC.

O. Marcarea informaţiilor cu destinaţie specială


 Marcarea informaţiilor cu destinaţie specială se aplică, în mod obişnuit, informaţiilor
clasificate care necesită o distribuţie limitată şi manipulare specială, suplimentar faţă de
caracterul atribuit prin clasificarea de securitate.

Organizarea securității
sistemelor informatice și de comunicații

Elemente de Criterii de realizare asociate rezultatului Criterii de realizare


competenţă activităţii descrise de elementul de asociate modului de
pentru managerul de competenţă îndeplinire a activităţii
securitate descrise de elementul de
competenţă
1. Implementează 1.1. INFOSEC este implementată cu Implementarea INFOSEC
securitatea transpunerea în norme interne a prevederilor este realizată cu creativitate,
sistemelor legale incidente și cu elaborarea unui flexibilitate, acuratețe şi
informatice și de ansamblu coerent de măsuri tehnice și responsabilitate.
comunicații. politici de securitate în scopul protecției
sistemelor informatice, de comunicaţii, altor
mijloace electronice precum și a datelor și
informaţiilor prelucrate, stocate ori
transmise cu ajutorul acestora.
1.2. Măsurile tehnice şi politicile de
securitate în domeniul INFOSEC sunt
implementate cu corelarea cu obiectivele
entității, cu asigurarea unui nivel rezonabil

283 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

al protecției împotriva ameninţărilor,


vulnerabilităților și riscurilor și cu
asigurarea posibilității de a fi actualizate,
completate, îmbunătățite și dezvoltate.

2. Asigură 2.1. Disponibilitatea SIC ulterior producerii Asigurarea disponibilităţii


disponibilitatea unui dezastru este asigurată cu identificarea SIC ulterior producerii unui
sistemelor nevoilor de SIC pentru continuarea dezastru este realizată cu
informatice și de activităților, cu stabilirea pe criterii de atenție, acuratețe,
comunicații ulterior eficiență a procedurilor operaționale și corectitudine şi
producerii unui măsurilor tehnice și cu asigurarea responsabilitate.
dezastru. concordanței cu obiectivele entității.
2.2. Disponibilitatea SIC ulterior producerii
unui dezastru este asigurată ținând cont de
etapele de implementare, de
responsabilitățile privind punerea în
funcțiune, de graficul de asigurare a
disponibilității, precum și de integrarea
procedurilor operaționale și măsurilor
tehnice în planul de activitate al entității.

3. Evaluează 3.1. INFOSEC este evaluată ținând cont de Evaluarea INFOSEC este
INFOSEC compararea capabilităților existente cu realizată cu atenție acuratețe,
obiectivele în materie de INFOSEC și cu corectitudine, exigență şi
monitorizarea, testarea și controlul în responsabilitate.
condiţiile legii a modului de utilizare a
SPAD, RTD și SIC pe întreaga durată a
activităților desfășurate de către personalul
entității.
3.2. INFOSEC este evaluată cu desfășurarea
de proceduri standardizate, cu înregistrarea
datelor, informațiilor și constatărilor, cu
analiza datelor astfel obținute și cu
redactarea raportului de control.
3.3. INFOSEC este evaluată cu prezentarea
în format standardizat a rezultatelor și
măsurilor propuse pentru remedierea
deficienţelor.

Concluzii
Cadrul legislativ din domeniul protecției informațiilor clasificate creează cadrul de
reglementare necesar dezvoltării unui set de măsuri care au drept scop asigurarea securității
informațiilor clasificate vehiculate în sisteme electronice.

284 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

În loc de încheiere,

SECURITATEA PRIVATĂ A AGENTULUI ECONOMIC

Generalităţi
Istoria omenirii a consemnat modalităţi dintre cele mai diverse de materializare a
preocupărilor pentru asigurarea securităţii, de la nivelul individului, pentru satisfacerea protecţiei
proprii şi până la cel global, la nivelul grupurilor sociale, care, în zilele noastre, sunt angajate în
efortul de a accede sub diferite umbrele de securitate.
Securitatea privată a apărut pe o anumită treaptă a evoluţiei sociale, ca o necesitate impusă
de dezvoltarea proprietăţii asupra bunurilor, societatea umană fiind nevoită să-şi creeze structuri
adecvate menite să-i apere avuţia împotriva oricăror acţiuni ilicite, ivite chiar în interiorul ei.
Astăzi, când în societatea modernă s-au acumulat mari cantităţi de bunuri şi valori, problema
protejării lor împotriva riscurilor de orice fel se pune cu şi mai mare acuitate, mai ales că agresiunea
elementelor infractoare înregistrează cote ascendente.
În acest context, trăsătura principală a securităţii private este aceea că reprezintă o
componentă socială importantă pe care societatea o desfăşoară în folosul său, prin structuri
specializate, alese în funcţie de importanţa bunurilor şi valorilor ce trebuie protejate şi de riscul la
care acestea sunt expuse, înfăptuindu-se prin metode adecvate şi mijloace specifice.
Industria securităţii private este, în acest moment, implicată în toate sferele societăţii
moderne, îndeplinind atribuţii specifice, care ţin de securitatea şi siguranţa obiectivelor, bunurilor şi
valorilor, de securitatea şi protecţia persoanelor, de gestionarea, în limitele legii, a unor activităţi şi
fenomene sociale, în condiţiile progresului tehnic tot mai accelerat din toate aceste domenii.
Societatea modernă are tot mai mult nevoie de siguranţă pentru evoluţia sa. Industria
securităţii private este şi continuă să fie un furnizor major de servicii pentru îndeplinirea acestui
deziderat.
Adevărata mutaţie, la început de mileniu trei, s-a produs la nivelul tehnologiilor
informaţionale. Energia şi informaţia trăiesc într-o adevărată simbioză. A obţine o informaţie este o
artă, care îţi oferă posibilitatea să câştigi energie, adică putere calitativ superioară. Stăpânind arta
informaţiei, poţi atinge mai uşor scopul şi, în consecinţă, să economiseşti energie.
Se trăieşte din plin o eră informaţională, informaţiile sunt recunoscute că reprezintă cheia
succesului în aproape orice domeniu.
Activitatea informativă are ca scop principal avertizarea oportună a agenţilor economici cu
privire la riscurile şi ameninţările care crează sau pot genera pericole la adresa valorilor şi
intereselor lor economice, prevenirea acestora, precum şi protecţia adecvată împotriva unor astfel de
pericole şi ameninţări.

285 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Informaţiile deţinute asigură evitarea surprinderii economice, fundamentarea corectă a


deciziilor şi viteza adecvată de reacţie, precum şi capacitatea de acţiune pro-activă, în scopul
îndeplinirii noilor tipuri de activităţi şi sarcini.
Priorităţile acestei activităţi pot viza: prevenirea actelor de concurenţă neloială care ar putea
afecta interesele societăţii / companiei şi partenerilor, precum şi intervenţia eficace în cazul
producerii unor astfel de acte; monitorizarea eficientă a activităţii personalului şi societăţii /
companiei în ansamblu; participarea – prin activitatea de informaţii şi protecţie – la contracararea
activităţii infracţionale organizate, grave, generatoare de pericole şi prejudicii materiale şi de
imagine ale societăţii / companiei.
Printr-o activitate informativă eficientă şi permanentă se poate anticipa schimbările şi
tendinţele de evoluţie ale mediului de afaceri şi ale pieţei în general. Această dimensiune este
determinată de evoluţia mediului de afaceri şi are ca scop creşterea eficienţei şi coerenţei
funcţionale a societăţii / companiei, prin armonizarea structurală, coordonarea oportună, eliminarea
suprapunerilor şi prevenirea intervalelor neacoperite în activităţile specifice. De asemenea, permite
asigurarea interoperabilităţii şi utilizarea oportunităţilor deschise de era informaţională. Se asigură,
totodată, posibilitatea realizării unor programe de securitate internă pentru creşterea eficienţei
activităţii de culegere, procesare şi utilizare eficientă a informaţiilor, conform exigenţelor unei
economii de piaţă performantă şi concurenţială.
“Teoria prevenirii” cere factorilor de decizie să evalueze riscurile, vulnerabilităţile şi
riscurile potenţiale şi ameninţările, să decidă şi chiar să ia decizii de contracarare a influenţei
acestora.
Prin prestator de servicii de securitate se înţelege persoana juridică licenţiată / autorizată,
precum şi orice structură care execută activităţi de pază a bunurilor, gardă de corp, transport valori
monetare, dispecerizare, monitorizare şi intervenţie, de investigaţie, detectivi şi protecţia
informaţiilor, de proiectare, instalare şi service pentru sistemele tehnice de securitate la efracţie sau
incendii, de pregătire şi calificare a personalului, de consultanţă sau de publicitate.
Este evident că una din funcţiile serviciilor de securitate privată este prevenirea producerii
de pagube materiale, apărarea proprietăţii publice şi private a clienţilor.
La întrebarea: ”Ce este predominant în industria de securitate privată: afacerea, autoritatea,
utilitatea publică, importanţa socială sau toate la un loc”, trebuie să menţionăm că între ele există
raporturi de interdependenţă generate de scopul final al activităţii, care pentru client este prevenirea
producerii de pagube materiale.

286 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

3.1. Conceptul de securitate privată


Noţiunea securitate provine din latinescul securitas-securitatis şi desemnează faptul de a
fi la adăpost de orice pericol, sentimentul de încredere şi de linişte pe care îl dă cuiva absenţa
oricărui pericol (Dicţionarul explicativ al limbii române, 1996). Sentimentului de încredere şi
linişte trebuie să i se asocieze în cele mai multe cazuri şi sintagma de certitudine a devenirii.
Securitatea exprimă acel sentiment de încredere şi linişte conferit de absenţa
ameninţării şi este o stare care certifică inexistenţa pericolului. Din punct de vedere acţional, se
poate conchide faptul că apărarea este unul din mijloacele principale prin care se garantează şi
se asigură securitatea.
În aceeaşi ordine de idei, securitatea presupune: pregătirea pentru protejarea şi menţinerea
neafectată a persoanelor, proprietăţii şi informaţiei; ansamblul de măsuri şi mijloace pentru
asigurarea tuturor condiţiilor astfel ca entitatea (fiinţa, sistemul, organizaţia) să poată să-şi atingă
obiectivele pentru care a fost creată; păstrarea confidenţialităţii, integrităţii şi a disponibilităţii
informaţiei (în plus, pot fi de asemenea implicate alte proprietăţi, precum autenticitatea,
responsabilitatea, non-repudierea şi fiabilitatea).
Ca termen tehnic, securitatea reprezintă ceva ce nu numai că este sigur, dar şi că a fost
securizat.
Înainte de a aborda problematica pe care o ridică securitatea privată, considerăm că este
necesară formularea unei definiţii a acesteia. Vom încerca să clarificăm ce este propriu-zis
securitatea privată şi ce sectoare regrupează ea.
În literatura de specialitate există o documentaţie bogată, care oferă numeroase definiţii ale
căror nuanţe şi subtilităţi sunt, deopotrivă, interesante şi instructive. Aceste nuanţe operează
distincţii între rolul pe care îl au serviciile publice de securitate şi cele private, în diferite ţări. În
ciuda diferenţelor, o definiţie descriptivă, care să permită stabilirea ariei de cuprindere a celor două
domenii este necesară, ca bază de pornire pentru analiza cadrului legislativ şi administrativ, precum
şi a reglementărilor existente.
Statul trebuie să accepte şi să promoveze conceptul de complementaritate acţională în
domeniul securităţii.
Serviciile de securitate pot fi publice sau private.
Securitatea privată constituie un domeniu circumscris securităţii naţionale, care se
diferenţiază de securitatea publică prin faptul că subiectul ei îl constituie cetăţenii (ca persoane
private), reşedinţele private ale acestora şi afacerea lor privată.
Serviciile de securitate publice, finanţate de la bugetul public, sunt componente ale
sistemului naţional de securitate – direct sau indirect – şi au ca domeniu de competenţă strict
domeniul public. Ele pot oferi serviciile lor, în condiţiile legii, şi unor persoane private.

287 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Serviciile de securitate private au dreptul să evolueze atât în domeniul privat, cât şi în cel
public. Procesele de externalizare a serviciilor, impuse de UE, vor determina instituţiile publice, tot
mai mult, să facă apel şi la firmele private de securitate, ca alternativă profitabilă sub raportul cost-
eficienţă.
Autorităţile specializate ale statului şi serviciile private de securitate sunt într-o relaţie de
complementaritate, ambele contribuind la realizarea unui mediu naţional de securitate favorabil
dezvoltării economice şi realizării securităţii publice.
Într-o altă accepţiune, Securitatea privată reprezintă ansamblul măsurilor de pază,
protecţie, intervenţie şi managementul acestora, adoptate în timp şi spaţiu, de către persoane fizice
şi juridice, prin forţe şi mijloace private, în scopul îndepărtării unor pericole la adresa existenţei sau
integrităţii persoanelor, bunurilor şi valorilor aflate în proprietate, administrare sau folosinţă.
Securitatea privată se asigură şi se menţine prin activităţi specifice, care reunesc într-o
combinaţie optimizată, resurse umane, materiale şi procedurale, la nivel de sistem sau pentru un
obiectiv individualizat.
Dreptul la securitate privată reprezintă o premisă pentru asigurarea libertăţilor individuale şi
colective, precum şi pentru protecţia proprietăţii publice sau a celei private.
Definiţia cea mai des întâlnită şi acceptată de majoritatea analiştilor este:
„Securitatea privată reprezintă ansamblul de activităţi, de servicii, de măsuri şi de
dispozitive destinate protecţiei bunurilor, informaţiilor şi persoanelor şi care sunt oferite şi
asigurate pe baza unui contract privat de servicii.”
Activităţile de securitate privată se desfăşoară numai cu personal care deţine competenţe
profesionale în domeniu şi cu mijloace tehnice certificate.
De regulă, există două moduri de organizare a securităţii private:
 Securitatea internă, care corespunde serviciilor cu care se dotează o întreprindere sau un
organism pentru a răspunde nevoilor exclusive de securitate şi care angajează, în acest scop,
personalul necesar şi îşi procură produsele şi dispozitivele de securitate adecvate;
 Securitatea contractuală, care presupune servicii oferite pe piaţa de profil de către agenţii
specializate sau indivizi, pe bază de contract.
Aceste definiţii regrupează un larg evantai de servicii, de activităţi şi de funcţii asumate de
către sectorul de securitate privată, cum sunt:
 paza unor obiective;
 supravegherea unor sedii sau a unor subiecţi;
 patrularea şi controlul unor perimetre;
 intervenţie la evenimente;
 monitorizare şi dispecerare;
288 Scoala “Confident”: www.cursurisecuritate.ro
Suport de curs MANAGER DE SECURITATE

 investigarea şi culegerea de date;


 servicii de consiliere în materie de securitate;
 instalarea, întreţinerea şi gestiunea sistemelor de alarmă şi de control acces, precum şi de
tele-video supraveghere;
 intervenţie în caz de alarmă;
 transport şi pază valori;
 culegere de informaţii cu caracter privat;
 probarea sau demontarea, cu dovezi, a realităţii, respectiv material probator pentru
justiţie.
În România, securitatea privată şi investigaţiile private nu acoperă în mod distinct toate
domeniile sus-menţionate, dar, în ultimii ani, industria aceasta a început să se dezvolte şi să se
axeze tot mai mult pe nevoile socio-economice actuale. Acest fapt a dus la o creştere a volumului de
contracte încheiate de către agenţiile de securitate şi pază şi birourile de investigaţii private, la o
diversificare a activităţilor în unele din aceste domenii şi chiar la apariţia unor noi sfere de acţiune,
conexe, precum şi la o utilizare mai mare a produselor şi mijloacelor tehnice, din ce în ce mai
avansate şi din ce în ce mai performante.
Cele mai obişnuite servicii solicitate agenţiilor sunt de transport şi pază valori, paza unor
sedii, instalarea şi întreţinerea sistemelor de alarmă şi de detecţie, precum şi servicii particulare de
investigaţii.
De remarcat că cererea acută de securitate, precum şi evoluţia tehnologică galopantă au
contribuit la dezvoltarea şi diversificarea câmpului de intervenţie, dar şi la creşterea numărului de
operatori care prestează servicii particulare de investigaţii, pază şi securitate. O parte din atribuţiile
care aparţineau, tradiţional, poliţiei şi/sau jandarmeriei au început, tot mai des, să fie asumate de
agenţiile particulare, tot mai multe întreprinderi de stat şi private, instituţii financiare,
municipalităţi, şcoli, persoane publice sau particulare, apelând la serviciile lor, fie că este vorba de
pază şi protecţie, de consiliere de specialitate sau de investigaţii private.
O abordare globală a acestei problematici relevă că evoluţia securităţii private este rezultatul
unei puternice nevoi de protecţie în absolut toate societăţile moderne, care sunt societăţi de risc,
preocupate tot mai acut de numeroasele ameninţări care apasă asupra lor. Aceste ameninţări, în
zilele noastre, par şi mai grave şi mai complexe decât în trecut.
Toate acestea sunt o justificare pertinentă şi o dovadă a nevoii acute de securitate, care să
asigure conjunctura favorabilă în care societatea să se simtă protejată împotriva pericolelor şi a
pierderilor. Aceasta se obţine prin reducerea consecinţelor negative, asociate cu acţiunile
intenţionate şi iraţionale ale altora.

289 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Pentru a face faţă acestor ameninţări, este necesar să se ia măsuri concrete, în special să se
intensifice lupta împotriva crimei organizate, cu tot ceea ce comportă ea, şi să se dezvolte
parteneriate reale şi eficace între cetăţeni, servicii de poliţie, organisme publice şi întreprinderi
private, pentru ca, împreună, să vizeze prevenirea criminalităţii.
În ciuda măsurilor luate şi chiar atunci când implicarea tuturor factorilor responsabili este
vizibilă, sentimentul de siguranţă al cetăţenilor nu poate fi deplin şi nici măsurile, ca atare, nu pot
avea întreaga eficienţă scontată şi dorită, aşa că aici intervin şi îşi au rostul lor, serviciile private,
respectiv agenţiile şi birourile de detectivi particulari, de agenţi de pază şi securitate, care sporesc,
prin activităţile lor, nivelul de siguranţă şi linişte civică de care orice comunitate are nevoie.

3.2. Măsuri specifice de protecţie şi apărare a mediului de afaceri


Într-o lume supertehnicizată, dominată de concurenţă, unde totul se vinde şi se cumpără,
problematica - tot mai majoră - pe care o implică protejarea şi apărarea secretelor economice a
devenit pe cât de importantă, pe atât de complexă. A trecut de mult timpul când protecţia şi apărarea
secretelor economice se limitau numai la asigurarea pazei întreprinderilor / firmelor ori la simpla
supraveghere a vizitatorilor pentru a-i descoperi pe cei suspecţi.
Conducătorii marilor companii economice, ca şi mulţi cercetători ai fenomenului recunosc
că, astăzi, apărarea secretelor economice nu reprezintă un simplu act instinctual de apărare ori un
act sentimental de loialitate faţă de firmă; măsura în sine implică o recunoaştere conştientă a
necesităţii de apărare generală a intereselor economice şi evidenţiază, de cele mai multe ori,
necesitatea de a pune un accent tot mai mare pe conştientizarea oamenilor în protejarea secretelor
economice pe care le cunosc. Mai mult decât atât, un accent aparte se pune pe verificarea
salariaţiilor proprii - chiar de la încadrarea în firmă - şi punerea lor, în secret, sub observaţie
periodică. Investigaţiile complexe în jurul persoanelor ce lucrează într-o companie economică,
luarea de referinţe, spionarea vieţii particulare, verificarea cheltuielilor personale, efectuarea
periodică a unor teste de loialitate - inclusiv cu ajutorul “detectorului de minciuni” - sunt procedee
obişnuite care au intrat în preocupările cotidiene ale organizaţilor profesionale de informaţii şi
securitate private.
În situaţiile în care managementul nu înţelege importanţa păstrării secretelor, se ajunge la
falimentul companiei, în scurt timp după ce a intrat în colimatorul concurenţei. Managerii acestor
companii nici nu concep investiţia într-un sistem laborios de protecţie împotriva scurgerilor de
informaţii.
Studiile efectuate cu privire la importanţa secretizării anumitor date au arătat că peste 80%
din companii sunt predispuse la riscul de scurgere a informaţiilor de importanţă capitală, către
concurenţă. Oricum, în mediul concurenţial actual, se întâlnesc foarte des astfel de companii, care,

290 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

în general, nu rezistă pe piaţă, fiind repede “achiziţionate” de către alte companii mai puternice. De
cele mai multe ori, companiile care le “achiziţionează” sunt chiar acelea care le-au spionat şi le-au
adus intenţionat într-un stadiu în care cota de piaţă să fie scăzută, implicit “preţul de achiziţie” al
acestora fiind mai mic. Pentru a se evita astfel de situaţii, companiile pot recurge la încadrarea unor
specialişti în informaţii şi securitate privată sau pot solicita sprijinul unor firme specializate de
detectivi particulari, care să le identifice documentele ce pot avea relevanţă pentru concurenţă şi să
creeze infrastructura necesară protejării acestora.
Există companii care percep riscul scurgerii de informaţii, dar consideră că domeniul de
activitate al companiei nu este atât de important încât să necesite cheltuieli pe linia protecţiei
anumitor date şi se bazează pe faptul că angajaţii nu au niciun motiv să divulge date ale companiei
către terţi. Nimic mai greşit. Concurenţa există în orice domeniu, ceea ce duce inevitabil la
spionajul economic. Acest tip de managenent este periculos pentru companie, deorece sub iluzia că
respectiva companie îşi creşte profitul, diminuând cheltuielile prin reducerea numărului de
departamente conexe domeniului principal de activitate, se ajunge la eliminarea firmei de pe piaţă,
chiar şi pentru simplul motiv că există încă o firmă concurentă. Un exemplu care arată că
neprotejarea acestor informaţii poate duce la pierderi majore, este cel al unei companii care a
investit o sumă considerabilă într-o reclamă televizată, strategie ce preconiza o creştere substanţială
a câştigurilor. Din păcate, din cauza faptului că nu au protejat datele cu privire la această strategie,
inclusiv cu privire la conţinutul reclamei, o companie concurentă a difuzat o reclamă identică, chiar
cu câteva zile înainte de momentul în care aceasta urma să fie televizată. Binenţeles, compania a
înregistrat pierderi foarte mari, reclama lor nemaiputând fi difuzată. Rolul detectivilor particulari în
aceste firme este acela de a identifica care sunt scăpările sistemului informatic, departamentele şi
persoanele care prelucrează date ce necesită secretizarea, efectuarea de cursuri pe linie de
contracarare a fenomenului de spionaj economic, verificări asupra unor angajaţi şi, nu în ultimul
rând, efectuarea de teste de bonitate a angajaţilor aflaţi în poziţii cheie, în raport cu angajatorul.
Oamenii de afaceri au, din ce în ce mai mult, sentimentul existenţei unor fisuri în sistemul
de securitate al firmelor lor şi iau măsuri corespunzătoare de protecţie.
Creşterea numărului acţiunilor de spionaj şi metodele tot mai rafinate folosite de indivizii
angajaţi în aceste acţiuni au impus marilor companii numirea unui responsabil cu problemele de
securitate, altul decât responsabilul pazei, responsabilul cu paza contra incendiilor sau şeful
personalului, care să răspundă în exclusivitate de acest domeniu. Experienţa ulterioară a arătat că
responsabilul cu probleme de securitate trebuie să fie superiorul tuturor celor enumeraţi mai sus şi
să aibă o pregătire specială în ceea ce priveşte mijloacele şi metodele specifice folosite în activitatea
pe care este chemat să o desfăşoare.

291 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

În prezent, în majoritatea marilor companii, responsabilul cu probleme de securitate deţine o


funcţie de director adjunct, face parte din consiliul de administraţie şi se bucură de toată încrederea
acţionarilor, participând la şedinţele cele mai importante şi având acces în toate compartimentele
firmei. În acest post sunt încadraţi, îndeosebi, foşti angajaţi ai organelor de informaţii sau
contrainformaţii, care au lucrat în poliţie sau în armată, fie absolvenţi ai facultăţilor cu profil
economic sau juridic, care au urmat în facultate cursuri complete de securitate privată sau masterate
în securitate.
Candidaţii la postul de director sau inspector însărcinat cu problemele de securitate sunt
puşi, o perioadă, sub observaţie atentă, care include verificări amănunţite asupra familiei şi a
eventualelor antecedente.
Persoanele numite ca responsabile cu asigurarea securităţii firmei au sarcini complexe, care
încep cu organizarea pazei şi se încheie – dacă se poate spune că se încheie – cu folosirea celor mai
ofensive şi subtile metode de apărare a secretelor economice. În posturile cheie, începând de la
portar, funcţie deloc subapreciată, şi până la deţinătorii şi manipulatorii de documente secrete, sunt
numiţi oameni instruiţi, verificaţi şi care se bucură de încredere.
Ca şi în cazul metodelor folosite în activitatea de spionaj, enumerarea exhaustivă şi
descrierea amănunţită a atribuţiilor responsabililor cu problemele de securitate din companiile
private este prea vastă, iar detaliile tehnice ale acestei munci se pot dovedi dificile de urmărit din
cauza caracterului lor de strictă specialitate.
Ne vom limita doar la punctarea şi exemplificarea câtorva dintre ele, care par mai
importante, iar pentru a intra în materie, vom remarca că responsabilul pentru problemele de
securitate al companiei trebuie să desfaşoare o activitate cu caracter preventiv, adică să organizeze
în aşa fel circulaţia informaţiilor, încât să excludă posibilitatea divulgării lor.
Specialiştii străini în probleme de securitate apreciază că păstrarea secretului absolut asupra
unei informaţii nu poate fi asigurată atunci când cercul celor ce cunosc această informaţie este mai
mare de cinci persoane şi recomandă, în consecinţă, să se respecte această limită în ceea ce priveşte
difuzarea datelor strict confidenţiale. În cazul în care necesităţile activităţii practice impun
cunoaşterea unui secret de către un număr mai mare de salariaţi, se recomandă să fie întocmit un
plan special pentru a preîntâmpina ajungerea informaţiei la urechile concurenţei. Măsurile de
protecţie pot fi însoţite de difuzarea unor date de dezinformare a patronilor altor firme cu profil
similar.
De regulă, păstrarea secretului nu priveşte numai anumite documente, ci şi anumite aspecte
ale activităţii firmei. Uneori, se poate dovedi necesar să rămână, ca secrete, încărcătura şi destinaţia
autocamioanelor ce intră şi ies pe poarta unei companii / societăţi comerciale. În acest caz, se iau
măsurile necesare privind instruirea şoferilor, însoţirea convoaielor, disimularea curselor reale

292 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

printre unele fictive, preîntâmpinarea supravegherii exercitate de eventuale echipe special plătite de
concurent ş.a.m.d.
Documentele secrete şi secretele de producţie, în general, sunt protejate printr-o organizare
similară unei fortăreţe, în care bastionul principal este înconjurat de obstacole şi valuri succesive de
apărare. Acest sistem se dovedeşte uneori destul de bun pentru a zădărnici pătrunderea agenţilor
“spioni” sau cel puţin pentru a întârzia cât mai mult acestă pătrundere.
Printre măsurile de precauţie elementare ce sunt luate în legătură cu securitatea
documentelor secrete, figurează, în mod obligatoriu, şi întomirea unei evidenţe stricte a copiilor
xerox ce se fac după acestea. În legătură cu operaţia respectivă, copiatoarele moderne sunt
prevăzute nu numai cu un contor, ci şi cu un sistem de blocare, care să împiedice folosirea lor de
către oricine.
Protejarea secretelor tehnico-economice implică, de asemenea, printre altele, activitatea
desfăşurată atât de responsabilul pentru problemele de securitate, cât şi de conducerea companiei în
scopul realizării unui climat propice “apărării morale”. Această “apărare morală” presupune
determinarea întregului personal să participe în mod activ şi conştient la acţiunea de păstrare a
secretelor de producţie şi de cercetare. Problema realizării unui asemenea climat se rezumă la faptul
că oamenii trebuie să fie mulţumiţi, adică bine plătiţi.
În afara celor menţionate, multe măsuri de apărare fac parte din aşa-zisa “protecţie
materială”, care operează, concomitent cu supravegherea oamenilor, prin mijlocirea unor aparate
tehnice sau prin decizii administrative categorice, cum ar fi:
• promulgarea unui regulament sever de supraveghere a salariaţilor şi vizitatorilor;
• la ieşirea din firmă toţi salariaţii şi vizitatorii sunt “bombardaţi” cu un fascicul de raze X
pentru a distruge eventualele filme din aparatele de fotografiat pe care oamenii le-ar avea asupra
lor;
• documentele importante sunt asigurate, atât prin organizarea pazei exterioare a încăperilor,
cât şi prin mijloace tehnice speciale: camere / aparate de filmat sau de fotografiat mascate, care
declanşează automat în momentul când cineva se apropie de locul de depozitare a documentelor /
produselor protejate;
• organizarea de “capcane chimice”, prin presărarea documentelor în cauză cu pudră
sensibilă la radiaţii ultraviolete, urmând ca, în cazuri suspecte, cei bănuiţi să fie trecuţi pe sub o
sursă de radiaţii ce poate evidenţia că cel sau cei suspecţi au pus mâna, în mod neautorizat, pe
documentele respective;
• deciziile administrative vizează, îndeosebi, interdicţiile de acces în anumite zone sau
încăperi ale companiei / firmei;

293 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

• dispoziţii ferme ale conducerii firmei cu privire la necesitatea distrugerii ciornelor şi a altor
hârtii confidenţiale ce se dovedesc a fi de prisos, despre nevoia de a evita aruncarea unor astfel de
hârtii la coşul de gunoi, precum şi alte detalii care să ducă la întărirea măsurilor de prevenire a
“scurgerii” de informaţii secrete;
• luarea unor măsuri severe de apărare a unor “fisuri” de pătrundere a concurenţei ori care să
prevină apariţia lor;
Ca şi spionajul economic, apărarea secretelor marilor firme a devenit, la rându-i, o adevărată
industrie guvernată de legile concurenţei.
Apărarea secretelor firmelor, deşi reprezintă un business al unor agenţii de investigare
privată, este privită de cele mai multe ori cu seriozitate, intenţia fiind cea declarată, respectiv,
prevenirea oricăror “scurgeri” de informaţii şi date secrete. În acest scop, multe dintre societăţile
constituite pentru apărarea secretelor caută să înlăture neîncrederea în ele, să încadreze specialişti
verificaţi în materie şi nu se jenează să-şi facă reclamă proprie după toate legile concurenţei.
În acest real şi îndelungat “război al inteligenţelor”, se caută permanent noi soluţii de atac şi
apărare. Între altele, în ultimul timp, cele mai multe firme au pus un accent tot mai mare pe
compartimentarea muncii. S-au instituit, în acest scop, restricţii de circulaţie în birourile şi secţiile
firmelor, documentele secrete s-au concentrat în încăperi speciale, unde accesul, la anumite
informaţii, este permis doar în baza unor autorizaţii speciale, nominalizate, paza electronică a
încăperilor a fost generalizată, documentele sunt multiplicate în locuri şi în regimuri speciale,
exemplarele de prisos sunt distruse imediat prin tocare sau ardere în prezenţa a cel puţin două
persoane, vehiculele au rezervate – în incinta firmelor – spaţii speciale de circulaţie şi parcare. La
acestea s-au adăugat zeci de alte măsuri pentru asigurarea securitătii informaţiilor importante, între
care montarea în încăperi de celule fotoelectrice, a detectoarelor de fum şi a instalaţilor automate de
stingere a incendiilor, interdicţii de a se efectua călătorii cu documente importante fără însoţitori
speciali, interzicerea de a se lucra cu astfel de documente la domiciliu sau în alte locuri
neautorizate, interdicţia de a se discuta la telefon sau în locuri publice despre secretele firmei şi
multe altele asemănătoare. Desigur, ele nu sunt aplicate peste tot, uniform şi nu toate firmele dispun
de un arsenal atât de complex. Elementele de bază, însă, care le unesc în materie de apărare sunt
concepţiile potrivit cărora, orice sistem tehnic de securitate trebuie să aibă cel puţin un element de
surpriză pentru un eventual agresor, iar orice secret, indiferent de natura lui, trebuie cunoscut de un
număr foarte restrâns de persoane, competente şi verificate.
După cum se constată, apărarea secretelor economice a devenit o preocupare constantă a
firmelor, a conducerilor acestora, conştiente tocmai de agresivitatea spionajului. În acest scop, în
multe firme se fac şi eforturi pentru crearea şi menţinerea unui climat bun în întreprindere, pentru
prevenirea apariţiei de reacţii negative, prin înlocuirea metodelor autoritare de conducere cu cele

294 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

pretinse “democratice”, de apropiere faţă de oameni, de abordare a unei politici ”obiective” faţă de
personal, acordându-se cu mai multă largheţe împrumuturi, concedii, învoiri, sarcini mobilizatoare
şi diverse responsabilităţi, care să-i facă pe oameni mai cointeresaţi şi “legaţi” de firmă. Un accent
deosebit a început să se pună pe perfecţionarea pregătirii profesionale a salariaţilor, fireşte, pentru
ridicarea performanţelor economice ale firmei, dar şi pentru obţinerea recunoaşterii celor în cauză
că doar ... ”patronul i-a făcut oameni”, precum şi pe ”legarea” de firmă, prin semnarea unor
angajamente ferme de confidenţialitate, în care angajatul îşi ia obligaţia să nu divulge secrete
economice pe care le va cunoaşte. Se aplică şi alte metode de prevenire, considerate utile şi
necesare. Periodic, în unele firme, se fac instruiri generale cu privire la amploarea spionajului
economic şi măsurile de apărare ce se impun, rolul pe care îl au cei prezenţi în a asigura securitatea
secretelor pe care le cunosc. Asemenea instruiri specializate fac şi obiectul unor întâlniri dintre
conducerile unor firme şi personalul profilat pe un anumit domeniu (aprovizionare, desfacere,
comerţ, pază, dactilografe etc.), în virtutea motivaţiei că antrenarea tuturor factorilor pentru
apărarea secretelor firmei nu poate fi neglijată niciodata.
Conducerea firmei / companiei trebuie să reamintească permanent personalului însemnătatea
pe care o are informaţia confidenţială, deoarece dacă un concurent obţine informaţii confidenţiale
despre ei, poate fi ameninţată nu numai firma, ci şi posturile salariaţilor.
În condiţiile arătate, educarea salariaţilor, instruirea lor permanentă sunt considerate
elemente de bază în orice sistem de securitate.
Militând pentru creşterea vigilenţei firmelor faţă de ofensiva spionajului economic al
concurenţei, conducerile multor firme, trusturi sau concerne au elaborat – şi continuă să elaboreze –
norme, instrucţiuni şi reglementări care să conducă la o mai bună organizare a apărării secretelor
economice, având în vedere următoarele măsuri prioritare:
- întregul sistem de prevenire şi apărare din cadrul oricărei firme trebuie conceput nu în
general, ci în raport de pericolele reale cu care se confruntă – sau se poate confrunta – firma în
cauză, ca şi filialele ce îi sunt subordonate. În această idee, complexul de măsuri profilactice trebuie
să vizeze, punctual, zonele, locurile şi persoanele ce necesită apărare, instituindu-se măsuri
concrete;
- la nivelul conducerii firmei, să se facă periodic o evaluare a documentelor secrete şi o
clasificare mai realistă a lor, pentru a nu se face nici o confuzie între cele efectiv secrete şi cele de
altă natură. Tot periodic, aceste clasificări vor fi reanalizate pentru eventuale completări şi
reaşezări;
- la nivelul conducerii oricărei firme, vor fi stabilite persoanele ce pot avea acces la
documente secrete, mergându-se până la individualizare, astfel încât, oricând, să se poată răspunde
la întrebarea: “Cine şi la ce secrete a avut acces?”;

295 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

- măsurile de securitate să nu creeze suspiciuni, să nu invadeze firma de aşa manieră, încât


să stânjenească–material sau moral–funcţionarea ei normală.
Paza şi mascarea unor obiective / instituţii
Pentru a se împiedica intrarea persoanelor străine în unele obiective sau instituţii, sunt luate
măsuri speciale de pază şi mascare. Accesul în aceste obiective este permis numai pe baza unor
legitimaţii speciale, ţinându-se o evidenţă strictă a persoanelor intrate. Cu cât importanţa
obiectivului este mai mare, cu atât numărul persoanelor cărora li se eliberează astfel de permise este
mai restrâns, iar măsurile de protecţie a informaţiilor sunt mai severe, tocmai în scopul de a evita
lărgirea cercului de oameni cu drept de acces la acestea. Unele obiective sunt păzite prin posturi
fixe mascate, prin televiziune cu circuit închis sau alte sisteme electronice de pază şi alarmare. Sunt
studiaţi cu atenţie pietonii şi autovehiculele, iar persoanele suspecte sunt luate în supraveghere
pentru a li se stabili identitatea.
Concomitent cu măsurile de pază, la unele obiective, sunt luate şi măsuri de mascare prin
împrejmuire cu garduri vii, plantaţii de pomi, iar uneori, întregul obiectiv este amplasat subteran sau
funcţionează sub acoperire legendată.

3.3. Responsabilităţi şi dificultăţi


A încredinţa unui terţ responsabilitatea asigurării securităţii unei reşedinţe private, a unei
întreprinderi, a unui spaţiu aflat în proprietate particulară, a unei clădiri publice, a populaţiei, a
sistemelor informatice sau a datelor confidenţiale, necesită stabilirea prealabilă a unei relaţii solide
şi existenţa unei garanţii de încredere, pe care, de regulă, trebuie să o confere cadrul legislativ
naţional, iar în interiorul acestuia, contractele de servicii de profil încheiate.
Natura diversificată a mandatelor încredinţate sectorului particular în materie de securitate,
pază şi investigaţii private şi, mai ales, constatarea că prin surplusul de siguranţă oferit populaţiei
prin aceste prestaţii, acolo unde astfel de întreprinderi particulare sunt active, s-a reuşit diminuarea
pierderilor şi a distrugerilor rezultate din infracţiuni şi fapte criminale, validează oportunitatea
activităţilor acestor structuri. Prin specificul mandatelor lor, odată cu urmărirea atingerii
obiectivelor lor contractuale, aceşti agenţi privaţi contribuie implicit la diminuarea frecvenţei unor
fapte infracţionale, prin prevenirea comiterii delictelor şi prin descurajarea iniţierii şi perpetuării
faptelor reprobabile.
Cu toate acestea, aplicând anumite legi sau reglementări este posibil ca, în anumite
circumstanţe, structurile private de securitate să comită unele derapaje susceptibile de a aduce
atingere valorilor democratice ale societăţii. De exemplu, serviciile private de pază şi protecţie, de
securitate fizică şi gardaj personal pot reprezenta ţinte pentru reţelele criminale şi ar putea fi
infiltrate de acestea. Mai există şi furturile de anvergură, aşa după cum atestă cazuistica judiciară, în

296 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

care faptele infracţionale sunt comise cu complicitatea personalului de pază, protecţie şi securitate,
care, cunoscând cu exactitate cum să ocolească alarmele montate, profită de acest fapt.
Accesul la informaţiile cu caracter personal şi manipularea lor oneroasă sau stocarea ori
folosirea ilegală pot duce, uneori, la şantaj politic, economic, la concurenţă neloială etc., soldate
chiar cu sinucideri ale unor persoane importante sau cu asasinate.
Pornind de la aceste realităţi, nevoia, acut resimţită de către cetăţeni, de suplimentare a
siguranţei publice, justifică recursul la sistemul privat de pază şi protecţie, implicit, de investigaţii
particulare, însă statul, ca garant al respectării drepturilor şi libertăţilor fundamentale ale omului,
este obligat să ia măsurile de prevenire a oricăror deviaţii şi abuzuri comise de astfel de structuri.
În toate statele, tradiţional democratice şi cu o economie de piaţă funcţională şi bine
articulată, serviciile private de securitate reclamă, uneori, lipsa reglementărilor de ordin juridic
adecvate noilor realităţi şi, în egală măsură, serviciile de securitate clasice, aflate sub tutela statului,
reclamă ingerinţele celor particulare, în arii de activitate consacrate, până nu de mult, doar lor.
Concluziv, atât în aceste state, cât şi în cele est-europene, se poate vorbi despre un cadru
legislativ neadaptat, iar primul argument în acest sens îl reprezintă faptul că iniţiativele de
colaborare şi de cooperare dintre sectoarele privat şi public nu fac obiectul unei reglementări
formale. Implicarea securităţii private în atribuţiile date, în mod normal, în sarcina poliţiştilor este
susceptibilă de a avea consecinţe importante, dacă ariile nu se delimitează în mod clar.
În practică, agenţii de ordine din sistemul de stat, respectiv jandarmi sau poliţişti, şi cei din
cadrul firmelor private de investigaţie, pază, protecţie şi securitate, deja îşi impart funcţiile şi
activează complementar. În egală măsură, cazurile în care trebuie să coopereze şi să colaboreze sunt
tot mai frecvente, ilustrativ în acest sens fiind investigaţiile şi verificările în bazele de date,
patrularea şi paza unor obiective, supravegherea şi transportul valorilor, căutarea şi adunarea
elementelor probatorii necesare în stabilirea adevărului sau în desfăşurarea unor procese civile
şi/sau penale. Aplicarea însă a legii, cu trimitere la sistemul penal şi de justiţie, rămân numai în
sarcina structurilor oficiale, care fac parte integrantă din sistemul de securitate asigurată de stat.
Cu titlul de exemplu, trebuie menţionate interacţiunile reale care există între serviciile de
securitate şi siguranţă asigurate de stat şi cele din domeniul serviciilor furnizate de sistemul privat.
Interferenţele sunt, în majoritate, informale, frecvenţa cea mai mare revenind cazurilor în care se
procedează la: schimburi de informaţii; verificări în baze de date; informaţii privind cazierul
judiciar; schimburi de expertiză şi de servicii.
De asemenea, în timpul unor anchete sau al unor evenimente particulare, se ridică destule
întrebări în ceea ce priveşte metodele de colectare şi de utilizare a informaţiilor, în legătură cu
modalităţile de colaborare în vederea schimbului de date, informaţii şi observaţii, precum şi cu
privire la sistemul de supraveghere.

297 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

Extrapolând, utilizarea de către agenţii de pază şi securitate particulari a puterii de reţinere,


de percheziţionare sau a metodelor de investigare similare celor folosite de stucturile de poliţie, fără
însă a fi supuşi să respecte obligaţiile aferente care decurg din acestea, sunt susceptibile de a mina
transparenţa acestei industrii.
În egală măsură, cetăţenii ajung să confunde, uneori, mandatul particular de protecţie, cu
mandatul de securitate publică al poliţiştilor faţă de comunitate.
Unele responsabilităţi de schimbare şi adaptare
Schimbarea organizaţională se poate opera sub presiunea unor factori interni sau externi.
Schimbarea iniţiată de factori interni poate apărea din nevoile de ordin funcţional sau ca
urmare a solicitărilor venite din partea angajaţilor. Pe plan intern, este posibil să nu fi fost folosite
judicios resursele umane şi materiale sau să existe conflicte interumane nerezolvate încă. În
categoria factorilor externi, care, prin presiunea pe care o exercită, pot duce la schimbări, primatul
este deţinut de concurenţă. Dinamica, în care cererea şi oferta imprimă ritmul de dezvoltare a
afacerii, obligă orice manager de securitate să dea dovadă de flexibilitate şi adaptabilitate, pentru a
putea face faţă presiunilor venite din partea unui mediu concurenţial din ce în ce mai agresiv.
Schimbarea este ceea ce se întâmplă într-o societate / companie, în vreme ce adaptarea este
ceva iniţiat de conducătorii ei, ca răspuns anticipat sau ulterior schimbării. Managerii trebuie să
direcţioneze corect schimbarea şi să găsească costurile cele mai mici şi avantajele cele mai mari,
nicidecum să o ignore sau să o împiedice.
În stabilirea nevoii de schimbare trebuie diagnosticate şi observate toate compartimentele şi
structurile sistemului managerial al societăţii, aflate în interacţiune, care cuprind activităţile care
trebuie îndeplinite, caracteristicile acestor activităţi, cantitatea şi calitatea serviciilor / produselor
oferite clienţilor, responsabilităţile şi liniile de subordonare, sistemele de comunicare internă, cele
informaţionale, mecanismele de monitorizare şi control, fişele de post, sistemele formale de
retribuire şi premiere, structurile şedinţelor de pregătire şi instruire, procedurile de sancţionare etc.

298 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

BIBLIOGRAFIE
1. Constituţia României;
2. Strategia de securitate naţională a României, adoptată de către Consiliul Suprem de
Apărare a Ţării, prin Hotărârea nr. 62 din 17 aprilie 2006;
3. Doctrina naţională a informaţiilor pentru securitate, CSAT, 23.06.2004;
4. Noul Cod penal, Noul Cod de procedură penală;
5. Standardul ocupaţional: „Manager de securitate”, ediţia 2011, verificat şi validat de către
membrii Comitetului Sectorial Administraţie și Servicii Publice;
6. Programa-cadru pentru ocupaţia ”Manager de securitate”, avizată de Inspectoratul
General al Poliţiei Române - Direcţia de Ordine Publică şi aprobată de către Autoritatea Naţională
pentru calificări, 2012;
7. Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, publicată în
Monitorul Oficial al României, Partea I, Nr. 663/23.10.2001;
8. Legea nr. 182/2002 privind protecţia informaţiilor clasificate, publicată în Monitorul
Oficial al României, Partea I, Nr. 248/12.04.2002;
9. Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor Naţionale de
protecţie a informaţiilor clasificate în România, publicată în Monitorul Oficial al României,
Partea I, Nr. 485/05.07.2002;
10. Hotărârea Guvernului nr. 781/2002 privind protecţia informaţiilor secrete de serviciu,
publicată în Monitorul Oficial al României, Partea I, Nr. 575/ 05.08.2002;
11. Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea
Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, publicată în Monitorul Oficial al
României, Partea I, Nr. 826/15.11.2002, aprobată prin Legea nr. 101/24.03.2003, publicată în
Monitorul Oficial al României, Partea I, Nr. 207/31.03.2003;
12. Legea nr. 333/2003 (*republicată*) privind paza obiectivelor, bunurilor, valorilor şi
protecţia persoanelor, republicată în Monitorul Oficial al României, Partea I, Nr. 189/18.03.2014;
13. Hotărârea de Guvern Nr. 301 / 11.04.2012 privind Normele metodologice de aplicare a
Legii Nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, publicată
în Monitorul Oficial al României, Partea I, Nr. 335/17.05.2012; Text actualizat în baza actelor
normative modificatoare, publicate în Monitorul Oficial al României, Partea I, până la 13 ianuarie
2016;
14. Legea nr. 329/2003 privind exercitarea profesiei de detectiv particular, republicată în
Monitorul Oficial al României, Partea I, Nr. 178/12.03.2014, modificată și completată;
15. Colecţie - Revista Securitatea Privată, publicaţie a Editurii Detectiv;
16. Colecţia revistei ALARMA, revistă editată de Asociaţia Română pentru Tehnică de
Securitate (ARTS);
17. Însemnări despre spionajul tehnico-economic – Ion Mocanu, Ed. Militară, Bucureşti,
1975;
18. Spionajul Economic – Petre Hladchi Bucovineanu, Ed. Politică, Bucureşti, 1985;
19. Spionajul high-tech şi afacerile – Dr. Francisc Tobă, Daniela Tobă, Ed. Detectiv,
Bucureşti, 2006;
20. Despre intelligence: spionaj-contraspionaj, Stan Petrescu, Editura Militară, Bucureşti,
2007;
21. Lucrarea - Contribuţia Oficiului Registrului Naţional al Informaţiilor Secrete de Stat la
promovarea imaginii României în perioada postaderare - Gl. bg.(r) conf. univ. dr. Neculae
Năbârjoiu;
22. Rezumat – teză de doctorat, Terorismul cibernetic, Gigi Giurcan, 2010;
23. http://www.ornis.ro.

299 Scoala “Confident”: www.cursurisecuritate.ro


Suport de curs MANAGER DE SECURITATE

300 Scoala “Confident”: www.cursurisecuritate.ro

S-ar putea să vă placă și