Secţiunea 6 - Structura de securitate - Regulament din 2013 de organizare şi funcţionare a aparatului propriu al Inspectoratului General pentru Imigrări
M.Of. 316
Ieşit din vigoare Versiune de la: 16 Aprilie 2015
SECŢIUNEA 6:Structura de securitate
Art. 30
(1)Structura de securitate este organizată ia nivel de birou şi, pe linia protecţiei informaţiilor clasificate, are următoarele atribuţii:
a)întocmeşte programul de prevenire a scurgerii de informaţii clasificate şi îl supune avizării instituţiilor abilitate, iar după aprobare acţionează pentru aplicarea acestuia;
b)elaborează şi supune aprobării conducerii unităţii normele interne privind protecţia informaţiilor clasificate, potrivit legii;
c)coordonează activitatea de protecţie a informaţiilor clasificate în toate componentele;
d)monitorizează activitatea de aplicare a normelor de protecţie a informaţiilor clasificate;
e)consiliază conducerea I.G.I. în legătură cu toate aspectele privind securitatea informaţiilor clasificate;
f)informează conducerea unităţii şi Departamentul de informaţii şi protecţie internă, denumită în continuare D.I.P.I., despre vulnerabilităţile şi riscurile existente în sistemul de protecţie a informaţiilor clasificate şi propune măsuri pentru înlăturarea acestora;
g)acordă sprijin reprezentanţilor autorizaţi ai D.I.P.I., pe linia verificării persoanelor pentru care se solicită accesul la informaţii clasificate;
h)în colaborare cu D.I.P.I. organizează activităţi de pregătire specifică a personalului care are acces la informaţii clasificate;
i)asigură păstrarea şi organizează evidenţa certificatelor de securitate şi autorizaţiilor de acces la informaţiile clasificate;
j)actualizează permanent evidenţa certificatelor de securitate şi a autorizaţiilor de acces;
k)întocmeşte şi actualizează listele informaţiilor clasificate elaborate sau păstrate de unitate, pe clase şi niveluri de secretizare;
l)prezintă conducerii unităţii propuneri privind stabilirea obiectivelor, sectoarelor şi locurilor de importanţă deosebită pentru protecţia informaţiilor clasificate, solicitând, după caz, sprijinul D.I.P.I. pentru gestionarea optimă a acestei problematici;
m)efectuează, cu aprobarea inspectorului general al I.G.I., controale privind modul de aplicare a măsurilor legale de protecţie a informaţiilor clasificate;
n)exercită alte atribuţii în domeniul protecţiei informaţiilor clasificate, potrivit legii.
(2)Pe linie de Subregistru I.G.I., Structura de securitate are următoarele atribuţii:
a)aplică în cadrul structurii proprii procedurile specifice de gestionare a informaţiilor NATO şi/sau UE clasificate;
b)gestionează informaţiile NATO şi/sau UE clasificate primite, asigurând păstrarea şi organizarea evidenţei/actualizarea certificatelor de securitate, autorizaţiilor de acces la informaţii clasificate;
c)ţine evidenţa tuturor persoanelor din I.G.I. care deţin certificate de securitate/autorizaţii de acces la informaţii NATO şi/sau UE clasificate;
d)pune în aplicare şi verifică modul de realizare a sarcinilor/măsurilor cuprinse în Planul de securitate pentru protecţia informaţiilor NATO şi/sau UE clasificate;
e)întocmeşte şi supune aprobării conducerii unităţii a Planului specific de pregătire a personalului I.G.I. cu atribuţii pe linia informaţiilor NATO şi/sau UE clasificate, cât şi a Listei cu funcţiile ce necesită acces la informaţii NATO şi/sau UE clasificate;
f)elaborează norme interne privind protecţia informaţiilor NATO şi/sau UE clasificate;
g)transmite informaţii NATO şi/sau UE clasificate către alte componente ale Sistemului naţional de registre, denumite în continuare CSNR, din cadrul M.A.I., cu respectarea principiului "nevoia de a cunoaşte" şi cu avizul registrului intern, denumit în continuare RI, al M.A.I.;
h)transmite informaţii NATO SECRET/SECRET UE către alte CSNR din cadrul altor instituţii, cu respectarea principiului "nevoia de a cunoaşte" şi cu avizul RI al M.A.I, în cazul obţinerii avizului pozitiv, notifică RI al M.A.I. cu privire la efectuarea transmiterii;
i)informează conducerea unităţii cu privire la vulnerabilităţile, riscurile şi încălcările securităţii informaţiilor NATO şi/sau UE clasificate;
j)previne orice incident de securitate în domeniul informaţiilor NATO şi/sau UE clasificate prin respectarea legislaţiei în vigoare;
k)informează conducerea unităţii şi RI al M.A.I. cu privire la producerea unui incident de securitate;
l)asigură organizarea şi funcţionarea arhivei proprii cu informaţii NATO şi/sau UE clasificate;
m)centralizează şi transmite la RI al M.A.I. rezultatul inventarierii anuale a documentelor NATO şi/sau UE clasificate din gestiunea proprie;
n)în eventualitatea primirii unui document NATO şi/sau UE pe altă cale, decât prin structura abilitată, informează conducerea unităţii şi RI al M.A.I.
(3)Pe linie de Componentă de securitate pentru tehnologia informaţiei şi comunicaţiilor, Structura de securitate are următoarele atribuţii:
1.a) solicită acreditarea/reacreditarea sistemului informatic şi de comunicaţii, denumit în continuare SIC, de la Autoritatea afacerilor interne de acreditare de securitate, denumită în continuare A.A.I.A.S.;
2.b) solicită asistenţa de specialitate din partea A.A.I.A.S şi Autorităţii afacerilor interne de securitate pentru informatică şi comunicaţii, denumită în continuare A.A.I.S.I.C., pentru stabilirea cerinţelor de securitate şi procedurilor de aplicare necesare şi respectării de către furnizorii de echipamente, pe durata întregului proces de dezvoltare, instalare şi testare SIC;
3.c) răspunde de alegerea, implementarea, justificarea şi controlul facilităţilor de securitate, de natură tehnică, care reprezintă parte componentă a SIC;
4.d) asigură exploatarea în condiţii de securitate a SIC;
5.e) realizează legătura între contractant, A.A.I.S.I.C. şi A.A.I.A.S.;
6.f) participă la selecţionarea, organizarea şi realizarea pregătirii personalului cu atribuţii în domeniul INFOSEC;
7.g) organizează şi desfăşoară convocării de instruire de specialitate cu personalul din subordine şi utilizatorii din SIC;
8.h) stabileşte responsabilităţile personalului din subordine;
9.i) verifică periodic sau în timp real implementarea măsurilor de protecţie în SIC, din cadrul unităţii/structurii, pentru a se asigura că securitatea acestuia este în concordanţă cu cerinţele de securitate aprobate de A.A.I.A.S.;
10.j) ţine evidenţa echipamentelor SIC, proprietatea privată, autorizate să funcţioneze în incinta unităţii;
11.k) cercetează incidentele de securitate şi raportează rezultatele, ierarhic, A.A.I.S.I.C. şi A.A.I.A.S., concomitent cu aplicarea unor măsuri de reducere a consecinţelor;
12.l) implementează metodele, mijloacele şi măsurile necesare protecţiei informaţiilor în format electronic;
13.m) exploatează operaţional Sistemul de prelucrare automată a datelor, denumit în continuare SPAD, şi Reţeaua de transmisii de date, denumită în continuare RTD, în condiţii de securitate;
14.n) coordonează cooperarea dintre unitatea deţinătoare a SPAD sau RTD-SIC şi autoritatea care asigură acreditarea;
15.o) implementează măsurile de securitate şi protecţia criptografică ale SPAD sau RTD-SIC;
16.p) elaborează şi actualizează procedurile operaţionale de securitate, denumite în continuare PrOpSec;
17.q) monitorizează permanent toate aspectele de securitate specifice SIC;
18.r) participă la elaborarea şi actualizarea documentelor "Cerinţele de securitate specifice", "Cerinţele de securitate comune" şi "Cerinţele de securitate specifice pentru protecţia informaţiilor în format electronic într-un SIC" pentru sistemele de care răspunde;
19.s) actualizează şi ţine evidenţa tuturor utilizatorilor autorizaţi;
20.t) aplică măsurile adecvate de control al accesului la SIC-ul respectiv;
21.u) verifică elementele de identificare a utilizatorilor;
22.v) asigură evidenţa evenimentelor legate de securitatea sistemului şi a sesiunilor de lucru;
23.w) evaluează implicaţiile, în planul securităţii, privind modificările software, hardware, firmware şi procedurale propuse pentru SIC;
24.x) verifică dacă modificările de configuraţie a SIC afectează securitatea şi dispune măsurile în consecinţă;
25.y) verifică dacă personalul cu acces autorizat la SIC cunoaşte responsabilităţile care revin în domeniul protecţiei informaţiilor;
26.z) verifică modul de executare a întreţinerii şi actualizării software-ului pentru a nu se periclita securitatea sistemului;
27.aa) asigură un control riguros al mediilor de stocare a informaţiilor şi documentaţiei sistemului, verificând concordanţa între clasa sau nivelul de secretizare al mediilor de stocare;
28.ab) ia măsurile tehnice şi organizatorice pentru protecţia mediilor de stocare a informaţiilor faţă de câmpurile electromagnetice şi accesul neautorizat la informaţiile clasificate;
29.ac) execută controale privind modul de utilizare a mediilor de stocare a informaţiilor;
30.ad) asigură păstrarea şi consultarea documentaţiei şi a datelor de evidenţă şi control referitoare la securitate, în conformitate cu PrOpSec;
31.ae) stabileşte proceduri de verificare pentru utilizarea în SIC numai a software-ului autorizat;
32.af) asigură, împreună cu administratorul de sistem/reţea, aplicarea celor mai eficiente proceduri de creare a copiilor de rezervă şi de recuperare software;
33.ag) asigură instruirea şi pregătirea corespunzătoare a administratorilor de securitate în zona terminalelor izolate;
34.ah) raportează şefului Componentei de securitate pentru tehnologia informaţiei şi comunicaţiilor, denumită în continuare C.S.T.I.C., orice breşe de securitate, vulnerabilităţi şi încălcări ale măsurilor de securitate;
35.ai) aplică măsurile de securitate specifice terminalelor izolate şi celorlalte echipamente aferente aflate în zona sa de responsabilitate;
36.aj) asigură îndeplinirea atribuţiilor de administrator de securitate, în lipsa acestuia;
37.ak) raportează şefului C.S.T.I.C. orice breşe/incidente de securitate;
38.al) aplică prevederile PrOpSec specifice zonei sau încăperii în care funcţionează terminalele izolate;
39.am) participă la elaborarea următoarelor documente: "Cerinţele de securitate specifice", "Cerinţele de securitate comune" şi "Procedurile operaţionale de securitate";
40.an) asigură managementul configuraţiei sistemelor sau reţelelor acreditate şi stabilite în "Cerinţele de securitate specifice" sau "Cerinţele de securitate comune";
41.ao) elaborează propuneri de dezvoltare a SIC, având în vedere şi aspectele legate de evaluare şi certificare;
42.ap) participă la elaborarea propunerilor de efectuare a unor modificări pentru îmbunătăţirea securităţii SIC;
43.aq) asigură funcţionarea SIC în concordanţă cu "Cerinţele de securitate specifice" şi PrOpSec;
44.ar) asigură funcţionarea SIC în concordanţă cu "Cerinţele de securitate specifice" şi PrOpSec;
45.as) asigură pregătirea de specialitate a utilizatorilor echipamentelor SIC;
46.at) creează, modifică şi şterge paginile web;
47.au) verifică şi răspunde dacă paginile care conţin informaţii clasificate au marcajele de secretizare corespunzătoare;
48.av) verifică şi răspunde de tipurile de date, cum ar fi text, grafic, audio sau video, care se pun la dispoziţie pe serverul web;
49.aw) acordă utilizatorilor drepturile de acces la informaţii disponibile pe serverul web în conformitate cu cerinţele emitenţilor acestora;
50.ax) asigură integritatea informaţiilor disponibile pe serverul web, astfel încât acestea să nu poată fi modificate decât de către emitent sub un control riguros;
51.ay) asigură controlul configuraţiei serverului web;
52.az) elaborează PrOpSec specifice pentru site-ul web respectiv, situaţiile stabilite de către A.A.I.A.S.;
53.ba) verifică şi răspunde de instalarea echipamentelor SIC folosite în transmiterea informaţiilor clasificate în conformitate cu cerinţele securităţii comunicaţiilor - COMSEC;
54.bb) verifică şi răspunde de aplicarea în mod corespunzător a măsurilor de securitate a emisiilor-EMSEC şi a transmisiilor - TRANSEC;
55.bc) ţine evidenţa echipamentelor şi sistemelor folosite la transmiterea informaţiilor clasificate;
56.bd) asigură implementarea procedurilor de securitate şi eficacitatea măsurilor de securitate a transmisiilor, în timpul testării SIC, precum şi pe durata desfăşurării exerciţiilor şi aplicaţiilor;
57.be) coordonează elaborarea programelor de securitate a transmisiilor - TRANSEC;
58.bf) elaborează, verifică şi aprobă rapoarte de securitate a transmisiilor - TRANSEC;
59.bg) prezintă probleme de specialitate în cadrul şedinţelor de pregătire pe tema vulnerabilităţii unui sistem de comunicaţii deschis, neprotejat şi pe alte teme de securitate a transmisiilor - TRANSEC;
60.bh) asigură măsurile tehnice de instalare a echipamentelor din SIC, în conformitate cu cerinţele de securitate stabilite;
61.bi) supraveghează ca executarea întreţinerilor şi modificările aduse echipamentelor protejate TEMPEST să se execute cu personal calificat, utilizându-se numai piese de schimb şi componente avizate de şeful responsabil cu securitatea informaţiilor - INFOSEC şi aprobate de funcţionarul de securitate M.A.I,;
62.bj) solicită efectuarea controalelor periodice pe linie de TEMPEST sau când apar premise de scurgere a informaţiilor prin radiaţii electromagnetice compromiţătoare;
63.bk) ţine evidenţa sistemelor criptografice deţinute de C.S.T.I.C. din structura/unitatea din care face parte;
64.bl) distribuie materialele criptografice numai persoanelor autorizate;
65.bm) solicită asigurarea cu echipamente şi materiale criptografice necesare funcţionării sistemului de asigurare a protecţiei informaţiilor clasificate;
66.bn) distruge materialele criptografice, în conformitate cu prevederile legale în vigoare;
67.bo) raportează administratorului responsabil cu securitatea comunicaţiilor - COMSEC şi şefului C.S.T.I.C. toate aspectele de insecuritate legate de gestionarea sistemelor criptografice.