32001D0844

DECIZIA COMISIEI

din 29 noiembrie 2001

de modificare a regulamentului său de procedură

[notificată cu numărul C(2001) 3031]

(2001/844/CE, CECO, Euratom)

COMISIA COMUNITĂȚILOR EUROPENE,

având în vedere Tratatul de instituire a Comunității Europene, în special articolul 218 alineatul (2),

având în vedere Tratatul de instituire a Comunității Europene a Cărbunelui și Oțelului, în special articolul 16,

având în vedere Tratatul de instituire a Comunității Europene a Energiei Atomice, în special articolul 131,

având în vedere Tratatul privind Uniunea Europeană, în special articolul 28 alineatul (1) și articolul 41 alineatul (1),

DECIDE:

Articolul 1

Dispozițiile Comisiei în materie de securitate, al căror text este anexat la prezenta decizie, se adaugă la regulamentul de procedură al Comisiei, ca anexă.

Articolul 2

Prezenta decizie intră în vigoare la data publicării în Jurnalul Oficial al Comunităților Europene.

Se aplică de la 1 decembrie 2001.

ANEXĂ

DISPOZIȚIILE COMISIEI ÎN MATERIE DE SECURITATE

Întrucât:

Articolul 1

Normele Comisiei privind securitatea sunt prezentate în anexă.

Articolul 2

(1)   Membrul Comisiei responsabil cu probleme de securitate adoptă măsurile necesare pentru a asigura, la prelucrarea informațiilor clasificate ale UE, că normele menționate în articolul 1 sunt respectate în cadrul Comisiei de către funcționari și de către ceilalți angajați, precum și de către personalul detașat la Comisie, dar și în interiorul tuturor sediilor Comisiei, inclusiv în reprezentanțele și birourile din Uniune și în delegațiile sale din țări terțe, ori de către contractanții externi ai Comisiei.

(2)   Statele membre, celelalte instituții, organisme, birouri și agenții instituite în temeiul sau în conformitate cu tratatele pot primi informații clasificate UE cu condiția ca acestea să asigure, la prelucrarea informațiilor clasificate UE, respectarea, în cadrul serviciilor și al sediilor lor, a unor norme strict echivalente cu cele menționate la articolul 1, în special de către:

Articolul 3

Statele terțe, organizațiile internaționale și alte organisme pot primi informații clasificate UE cu condiția ca acestea să asigure, la prelucrarea acestor informații, respectarea unor norme strict echivalente cu cele menționate la articolul 1.

Articolul 4

În respectarea principiilor de bază și a standardelor minime de securitate cuprinse în partea I din anexă, membrul Comisiei însărcinat cu probleme de securitate poate lua măsuri în conformitate cu partea II din anexă.

Articolul 5

De la data punerii lor în aplicare, prezentele dispoziții înlocuiesc:

Articolul 6

De la data punerii în aplicare a prezentelor dispoziții, toate informațiile clasificate deținute de Comisie până la această dată, cu excepția datelor clasificate ale Euratom:

(1)  JO L 17, 6.10.1958, p. 406/58.

(2)  JO L 151, 15.6.1990, p. 1.

(3)  JO L 101, 11.4.2001, p. 1.

(4)  JO L 145, 31.5.2001, p. 43.

ANEXĂ

NORME PRIVIND SECURITATEA

Cuprins

PARTEA I: PRINCIPII DE BAZĂ ȘI STANDARDE MINIME DE SECURITATE

PARTEA II: ORGANIZAREA SECURITĂȚII ÎN CADRUL COMISIEI

APENDICELE 1: Comparație între clasificările naționale de securitate

APENDICELE 2: Ghid practic de clasificare

APENDICELE 3: Linii directoare pentru comunicarea de informații clasificate UE unor state terțe sau unor organizații internaționale: Nivelul 1 de cooperare

APENDICELE 4: Linii directoare pentru comunicarea de informații clasificate UE unor state terțe sau unor organizații internaționale: Nivelul 2 de cooperare

APENDICELE 5: Linii directoare pentru comunicarea de informații clasificate UE unor state terțe sau unor organizații internaționale: Nivelul 3 de cooperare.

APENDICELE 6: Lista abrevierilor

PARTEA I:   PRINCIPII DE BAZĂ ȘI STANDARDE MINIME DE SECURITATE

1.   INTRODUCERE

Prezentele dispoziții stabilesc principiile de bază și standardele minime de securitate care trebuie respectate în mod adecvat de către Comisie în toate punctele sale de lucru precum și de către toți destinatarii ICUE, astfel încât să se asigure securitatea și să existe certitudinea stabilirii unui standard comun de protecție.

2.   PRINCIPII GENERALE

Politica de securitate a Comisiei face parte integrantă din politica sa de gestionare internă generală și, prin urmare, se bazează pe principiile care reglementează politica sa generală.

Aceste principii includ legalitatea, transparența, răspunderea și subsidiaritatea (proporționalitatea).

Legalitatea indică necesitatea de a menține strict în cadrul legal executarea funcțiilor de securitate și necesitatea de a respecta cerințele legale. De asemenea, înseamnă că responsabilitățile din domeniul securității trebuie să se bazeze pe dispozițiile legale adecvate. Se aplică integral dispozițiile din Statutul funcționarilor, în special articolul 17 privind obligația de discreție a personalului în ceea ce privește informațiile Comisiei și titlul său VI privind măsurile disciplinare. În fine, acest principiu înseamnă că încălcările normelor de securitate în domeniile de responsabilitate ale Comisiei trebuie tratate în conformitate cu politica Comisiei privind acțiunile disciplinare și cu politica sa de cooperare cu statele membre în domeniul dreptului penal.

Transparența indică nevoia de claritate în ceea ce privește toate normele și dispozițiile de securitate, de echilibru între diversele servicii și diversele domenii (securitatea fizică față de protecția informațiilor etc.) și nevoia unei politici coerente și structurate de conștientizare a securității. Transparența definește, de asemenea, nevoia unor orientări scrise clare în punerea în aplicare a măsurilor de securitate.

Răspunderea înseamnă că responsabilitățile din domeniul securității vor fi clar definite. În plus, indică nevoia de a testa periodic corecta executare a acestor responsabilități.

Subsidiaritatea, sau proporționalitatea, înseamnă că securitatea este organizată la cel mai jos nivel posibil și cât mai aproape posibil de Direcțiunile Generale și de serviciile Comisiei. Subsidiaritatea înseamnă, de asemenea, că activitățile de securitate se limitează la elementele pentru care se justifică cu adevărat. În fine, acest principiu înseamnă că măsurile de securitate sunt proporționale cu interesele care trebuie protejate și cu amenințările reale sau potențiale care planează asupra acestor interese, permițând o apărare care să determine cât mai puține perturbări posibile.

3.   FUNDAMENTELE SECURITĂȚII

Fundamentele unei bune securități sunt:

4.   PRINCIPIILE SECURITĂȚII INFORMAȚIEI

4.1.   Obiective

Securitatea informațiilor are următoarele obiective principale:

4.2.   Definiții

În sensul prezentelor norme:

4.3.   Clasificare

4.4.   Obiectivele măsurilor de securitate

Măsurile de securitate:

5.   ORGANIZAREA SECURITĂȚII

5.1.   Standarde minime comune

Comisia asigură respectarea unor standarde minime comune de securitate de către toți destinatarii ICUE, din cadrul instituției și care țin de competența sa, de exemplu de către toate departamentele și toți contractanții săi, astfel încât să existe certitudinea că informațiile clasificate UE transmise sunt prelucrate cu aceleași precauții. Aceste standarde minime includ criteriile de autorizare a personalului și procedurile de protecție a informațiilor clasificate UE.

Comisia permite accesul organismelor externe la ICUE doar cu condiția ca acestea să asigure, la prelucrarea ICUE, respectarea unor dispoziții cel puțin strict echivalente cu aceste standarde minime.

5.2.   Organizare

În cadrul Comisiei, securitatea este organizată la două niveluri:

6.   SECURITATEA PERSONALULUI

6.1.   Autorizarea personalului

Toate persoanele care trebuie să aibă acces la informații clasificate CONFIDENȚIAL UE sau de nivel superior trebuie să fie evaluate în mod adecvat, înainte de autorizarea accesului. O evaluare similară este necesară pentru persoanele ale căror sarcini implică operarea tehnică sau întreținerea sistemelor informatice și de comunicare care conțin informații clasificate. Această evaluare este concepută astfel încât să determine dacă persoanele în cauză:

În procedura de evaluare se acordă o atenție specială persoanelor:

În cazurile prevăzute la literele (d), (e) și (f), se utilizează în cea mai mare măsură posibilă tehnica de investigare a antecedentelor.

În cazul în care persoane care nu au „nevoia de a cunoaște” urmează a fi angajate în condiții care le-ar putea permite accesul la informații clasificate UE (de exemplu, mesageri, agenți de securitate, personal de întreținere și curățenie etc.), aceștia sunt în prealabil supuși unei evaluări adecvate în ceea ce privește securitatea.

6.2.   Registre privind autorizarea personalului

Toate departamentele Comisiei care utilizează informații clasificate UE sau care adăpostesc sisteme informatice sau de comunicații securizate țin un registru al autorizațiilor acordate personalului propriu. Fiecare autorizație este verificată ori de câte ori este necesar pentru a se asigura că este adecvată funcției pe care o ocupă persoana în cauză; autorizația este reverificată cu prioritate ori de câte ori apar indicii noi care arată că menținerea persoanei în cauză într-un post care permite accesul la informații clasificate nu mai este compatibilă cu interesele de securitate. Ofițerul local de securitate al departamentului Comisiei ține registrul autorizațiilor din domeniul aflat sub controlul său.

6.3.   Instruirea personalului în domeniul securității

Toți membrii personalului care ocupă posturi în cadrul cărora pot avea acces la informații clasificate sunt instruiți complet, la preluarea postului și la intervale regulate, cu privire la securitatea necesară și procedurile pentru asigurarea acesteia. Membrii personalului în cauză trebuie să certifice în scris faptul că au citit și că înțeleg pe deplin dispozițiile curente de securitate.

6.4.   Responsabilitățile conducerii

Personalul de conducere are obligația de a ști care dintre membrii personalului propriu lucrează cu informații clasificate sau au acces la sisteme informatice sau de comunicații securizate și de a înregistra și raporta orice incidente sau vulnerabilități evidente care ar putea afecta securitatea.

6.5.   Statutul de securitate al personalului

Se instituie proceduri care să permită, în momentul în care se obțin informații nefavorabile privind o anumită persoană, a determina dacă persoana în cauză ocupă un post care necesită accesul la informații clasificate sau dacă are acces la sisteme informatice sau de comunicații securizate și a informa Biroul de securitate al Comisiei. Dacă se stabilește că această persoană constituie un risc de securitate, ea este exclusă sau îndepărtată de la sarcinile în cadrul cărora ar putea pune în pericol securitatea.

7.   SECURITATEA FIZICĂ

7.1.   Nevoia de protecție

Nivelul măsurilor de securitate fizică care trebuie aplicate pentru a asigura protecția informațiilor clasificate UE este proporțional cu clasificarea și volumul informațiilor și materialelor deținute și cu amenințarea la care acestea sunt expuse. Toți cei care dețin informații clasificate UE aplică practici uniforme privind clasificarea informațiilor în cauză și respectă standarde comune de protecție în ceea ce privește păstrarea, transmiterea și distrugerea informațiilor și materialelor care trebuie protejate.

7.2.   Verificare

Înainte de a lăsa nesupravegheate zonele care conțin informații clasificate UE, persoanele care răspund de păstrarea informațiilor în cauză se asigură că acestea sunt stocate în siguranță și că au fost activate toate dispozitivele de securitate (încuietori, alarme etc.). După orele de program se efectuează verificări suplimentare independente.

7.3.   Securitatea clădirilor

Clădirile care adăpostesc informații clasificate UE sau sisteme informatice sau de comunicații securizate sunt protejate împotriva accesului neautorizat. Natura protecției asigurate informațiilor clasificate, de exemplu ferestre cu gratii, încuietori pentru uși, paznici la intrări, sisteme automate de control al accesului, verificări și patrule de securitate, sisteme de alarmă, sisteme de detectare a efracțiilor și câini de pază, depinde de:

Natura protecției asigurate sistemelor informatice și de comunicații depinde, în mod similar, de evaluarea valorii activelor în cauză și a eventualelor daune cauzate prin compromiterea securității, de natura fizică și amplasarea clădirii în care este adăpostit sistemul și de localizarea sistemului în clădire.

7.4.   Planuri de urgență

Se pregătesc anticipat planuri detaliate pentru protecția informațiilor clasificate în timpul unor situații de urgență locală sau națională.

8.   SECURITATEA INFORMAȚIILOR

Securitatea informațiilor (INFOSEC) se referă la identificarea și aplicarea măsurilor de securitate pentru protejarea informațiilor clasificate UE prelucrate, stocate sau transmise prin sisteme de comunicații, informatice sau prin alte sisteme electronice împotriva pierderii, accidentale sau intenționate, a caracterului confidențial, a integrității sau a disponibilității. Se adoptă măsuri adecvate pentru a preveni accesul unor utilizatori neautorizați la informații clasificate UE, pentru a preveni refuzarea accesului unor utilizatori autorizați la informații clasificate UE și pentru a preveni coruperea, modificarea neautorizată sau ștergerea informațiilor clasificate UE.

9.   PROTECȚIA ÎMPOTRIVA SABOTAJULUI ȘI A ALTOR FORME DE DISTRUGERE INTENȚIONATĂ

Precauțiile fizice pentru protecția instalațiilor importante care adăpostesc informații clasificate reprezintă cele mai bune mijloace de protecție și securitate împotriva sabotajului și a distrugerii intenționate; doar autorizarea personalului nu reprezintă un substitut eficient. Organismului național competent îi revine sarcina de a furniza informații privind acțiuni de spionaj, sabotaj, terorism și alte activități subversive.

10.   COMUNICAREA DE INFORMAȚII CLASIFICATE UNOR STATE TERȚE SAU UNOR ORGANIZAȚII INTERNAȚIONALE

Decizia de a comunica unui stat terț sau unei organizații internaționale informații clasificate UE emise de Comisie este adoptată de colegiul membrilor Comisiei. Dacă autoritatea de origine a informațiilor a căror comunicare este solicitată nu este Comisia, aceasta din urmă obține în prealabil consimțământul autorității de origine. Dacă autoritatea de origine nu poate fi stabilită, Comisia își asumă responsabilitatea acesteia.

În cazul în care Comisia primește informații clasificate din partea unor state terțe, a unor organizații internaționale sau din partea altor terți, informațiilor în cauză li se acordă o protecție adecvată clasificării lor și echivalentă cu standardele stabilite în prezentele dispoziții pentru informațiile clasificate UE sau cu standarde mai ridicate solicitate de partea terță care comunică informațiile în cauză. Se pot organiza verificări reciproce.

Principiile menționate anterior se aplică în conformitate cu dispozițiile detaliate din partea II secțiunea 26 și din apendicele 3, 4 și 5.

PARTEA II:   ORGANIZAREA SECURITĂȚII ÎN CADRUL COMISIEI

11.   MEMBRUL COMISIEI ÎNSĂRCINAT CU PROBLEME DE SECURITATE

Membrul Comisiei însărcinat cu probleme de securitate:

Membrul Comisiei însărcinat cu probleme de securitate are, în special, următoarele responsabilități:

12.   GRUPUL CONSULTATIV PENTRU POLITICA DE SECURITATE A COMISIEI

Se instituie un Grup consultativ pentru politica de securitate a Comisiei. Grupul este format din membrul Comisiei însărcinat cu probleme de securitate sau delegatul acestuia, care asigură președinția grupului, și din reprezentanți ai ANS din fiecare stat membru. Pot fi invitați, de asemenea, reprezentanți ai altor instituții europene. De asemenea, pot fi invitați să participe la reuniuni reprezentanți ai agențiilor descentralizate ale CE și UE relevante, atunci când se discută aspecte care îi privesc.

Grupul consultativ pentru politica de securitate a Comisiei se reunește la cererea președintelui sau a oricăruia dintre membrii săi. Grupul are sarcina de a examina și evalua toate problemele de securitate relevante și de a prezenta recomandări Comisiei, după caz.

13.   COMITETUL DE SECURITATE AL COMISIEI

Se instituie un Comitet de securitate al Comisiei. Comitetul este format din secretarul general, care asigură președinția acestuia, și din directorii generali ai Serviciului juridic, ai direcțiilor Administrație și personal, Relații externe, Justiție și Afaceri interne, directorul Centrului comun de cercetare și din șefii Serviciului de audit intern și ai Biroului de securitate al Comisiei. Pot fi invitați alți funcționari ai Comisiei. Sarcina comitetului este de a evalua măsurile de securitate în cadrul Comisiei și de a face recomandări în acest domeniu membrului Comisiei însărcinat cu probleme de securitate.

14.   BIROUL DE SECURITATE AL COMISIEI

Pentru a îndeplini sarcinile menționate în secțiunea 11, membrul Comisiei însărcinat cu probleme de securitate are la dispoziția sa Biroul de securitate al Comisiei în vederea coordonării, supravegherii și punerii în aplicare a măsurilor de securitate.

Șeful Biroului de securitate al Comisiei este consilierul principal în probleme de securitate al membrului Comisiei însărcinat cu probleme de securitate, acesta deținând funcția de secretar al Grupului consultativ pentru probleme de securitate. În această privință, acesta conduce lucrările de actualizare a reglementărilor de securitate și coordonează măsurile de securitate cu autoritățile competente ale statelor membre și, după caz, cu organizațiile internaționale cu care Comisia a încheiat acorduri de securitate. În acest scop, el acționează ca ofițer de legătură.

Șeful Biroului de securitate al Comisiei este responsabil cu acreditarea sistemelor și rețelelor IT din cadrul Comisiei. Șeful Biroului de securitate al Comisiei decide, de comun acord cu ANS competentă, în privința acreditării sistemelor și rețelelor IT care implică Comisia, pe de o parte, și orice alt destinatar al informațiilor clasificate UE, pe de altă parte.

15.   INSPECȚII DE SECURITATE

Biroul de securitate al Comisiei efectuează inspecții periodice privind dispozițiile de securitate pentru protecția informațiilor clasificate UE.

Biroul de securitate al Comisiei poate fi asistat în îndeplinirea sarcinilor sale de serviciile de securitate ale altor instituții UE care dețin ICUE sau de Autoritățile naționale de securitate ale statelor membre (1).

La cererea unui stat membru, ANS a statului membru în cauză poate efectua o inspecție a ICUE în cadrul Comisiei, împreună și de comun acord cu Serviciul de securitate al Comisiei.

16.   CLASIFICĂRI, IDENTIFICATORI ȘI MĂRCI DE SECURITATE

16.1.   Niveluri de clasificare (2)

Informațiile sunt clasificate la următoarele niveluri (a se vedea, de asemenea, apendicele 2):

Nu sunt permise alte clasificări.

16.2.   Identificatori de securitate

Pentru a stabili limitele valabilității unei clasificări (însemnând, pentru informațiile clasificate, momentul declasării sau al declasificării automate), se poate utiliza un identificator de securitate convenit. Identificatorul este fie „PÂNĂ LA.… (oră/dată)”, fie „PÂNĂ LA… (eveniment)”.

Se aplică identificatori suplimentari de securitate, precum CRYPTO sau orice alt identificator recunoscut în UE, în cazul în care sunt necesare o distribuție limitată și o utilizare specială suplimentare față de cele desemnate de clasificarea de securitate.

Identificatorii de securitate se utilizează doar în combinație cu o clasificare.

16.3.   Mărci

Se poate utiliza o marcă pentru a specifica domeniul vizat de document sau o difuzare specială conform principiului nevoii de a cunoaște sau (pentru informații neclasificate) pentru a indica sfârșitul unei interdicții.

O marcă nu este o clasificare și nu trebuie să fie utilizată în locul unei clasificări.

Marca PESA se aplică pe documentele și copiile documentelor privind securitatea și apărarea Uniunii sau a unuia sau mai multora dintre statele sale membre sau privind gestionarea militară sau nemilitară a situațiilor de criză.

16.4.   Aplicarea clasificării

Clasificarea se aplică după cum urmează:

16.5.   Aplicarea identificatorilor de securitate

Identificatorii de securitate se aplică imediat sub clasificare, prin aceleași mijloace utilizate pentru aplicarea clasificărilor.

17.   GESTIONAREA CLASIFICĂRII

17.1.   Generalități

Informațiile se clasifică doar dacă este necesar. Clasificarea se indică clar și corect și se menține doar atât timp cât informația trebuie protejată.

Responsabilitatea pentru clasificarea informațiilor și pentru orice declasare sau declasificare ulterioară aparține exclusiv autorității de origine.

Funcționarii și alți angajați ai Comisiei clasifică, declasează sau declasifică informațiile conform instrucțiunilor primite de la șeful de departament sau cu acordul acestuia.

Procedurile detaliate pentru prelucrarea documentelor clasificate au fost astfel concepute încât să asigure că acestea fac obiectul unei protecții adecvate a informațiilor pe care le conțin.

Numărul de persoane autorizate să emită documente STRICT SECRET UE este păstrat la minimum, iar numele persoanelor în cauză sunt înscrise pe o listă întocmită de Biroul de securitate al Comisiei.

17.2.   Aplicarea clasificărilor

Clasificarea unui document este determinată de nivelul de sensibilitate al conținutului său, în conformitate cu definiția din secțiunea 16. Este importantă utilizarea corectă și cu moderație a clasificării. Acest lucru este valabil în special pentru clasificarea STRICT SECRET UE.

Autoritatea de origine a unui document care urmează a fi clasificat ține cont de normele stabilite anterior și limitează orice tendință de clasificare excesivă sau insuficientă.

Apendicele 2 conține un ghid practic de clasificare.

Paginile individuale, paragrafele, secțiunile, anexele, apendicele și documentele însoțitoare ale unui anumit document pot necesita clasificări diferite și sunt clasificate în consecință. Clasificarea documentului per ansamblu este clasificarea de cel mai înalt nivel atribuită unei părți din document.

Nivelul de clasificare al unei scrisori sau al unei note care are documente însoțitoare este la fel de înalt ca cel mai înalt nivel de clasificare al documentelor însoțitoare. Autoritatea de origine trebuie să indice clar la ce nivel ar trebui clasificată scrisoarea sau nota după separarea de documentele însoțitoare.

Accesul public este în continuare reglementat de Regulamentul (CE) nr. 1049/2001.

17.3.   Declasarea și declasificarea

Documentele clasificate UE pot fi declasate sau declasificate doar cu permisiunea autorității de origine și, dacă este necesar, după discuții cu alte părți interesate. Declasarea sau declasificarea se confirmă în scris. Autoritatea de origine trebuie să comunice modificarea destinatarilor documentelor, iar aceștia din urmă trebuie să informeze eventualii destinatari ulteriori, cărora le-au transmis documentele în cauză sau copii ale acestora, cu privire la modificare.

Dacă este posibil, autoritățile de origine specifică pe documentele clasificate o dată, o perioadă sau un eveniment de la care conținutul poate fi declasat sau declasificat. Altfel, acestea revizuiesc documentele cel târziu o dată la cinci ani pentru a asigura necesitatea menținerii clasificării inițiale.

18.   SECURITATEA FIZICĂ

18.1.   Generalități

Principalele obiective ale măsurilor de securitate fizică sunt prevenirea accesului oricărei persoane neautorizate la informații și/sau materiale clasificate UE, prevenirea furtului sau degradării echipamentelor sau a altor bunuri și prevenirea hărțuirii sau a oricărui alt tip de agresiune asupra personalului, a altor angajați și a vizitatorilor.

18.2.   Cerințe de securitate

Toate sediile, zonele, clădirile, sălile, sistemele informatice și de comunicații etc. în care sunt păstrate și/sau prelucrate informații și materiale clasificate UE sunt protejate prin măsuri adecvate de securitate fizică.

La determinarea nivelului de securitate fizică necesar, se ține cont de toți factorii relevanți, precum:

Măsurile de securitate fizică aplicate sunt concepute pentru:

18.3.   Măsuri de securitate fizică

18.3.1.   Zone de securitate

Zonele în care sunt prelucrate și stocate informații clasificate CONFIDENȚIAL UE sau de nivel superior sunt organizate și structurate astfel încât să corespundă uneia dintre următoarele categorii:

18.3.2.   Zonă administrativă

O zonă de securitate de clasa I sau II poate fi înconjurată sau precedată de o zonă administrativă cu un nivel de securitate inferior. O astfel de zonă necesită un perimetru definit în mod vizibil care se permită verificarea personalului și a vehiculelor. În astfel de zone, se prelucrează și se stochează doar informații clasificate RESTRICȚIONAT UE și informații neclasificate.

18.3.3.   Controale la intrare și ieșire

Intrările în zonele de securitate de clasa I și II și ieșirile din aceste zone sunt controlate printr-un sistem de permise sau de identificare personală aplicabil întregului personal care lucrează în mod normal în aceste zone. De asemenea, se instituie un sistem de verificare a vizitatorilor destinat să împiedice accesul neautorizat la informațiile clasificate UE. Sistemele de permise pot fi însoțite de sisteme de identificare automată, care sunt considerate o suplimentare a pazei, și nu un înlocuitor integral al acesteia. O modificare a evaluării amenințării poate conduce la o întărire a măsurilor de control la intrare și ieșire, de exemplu pe parcursul vizitei unor persoane importante.

18.3.4.   Patrulări

În afara programului normal de lucru, au loc patrulări în zonele de securitate de clasa I și II pentru a asigura protecția bunurilor UE împotriva compromiterii, deteriorării sau pierderii. Frecvența patrulărilor va fi determinată în funcție de condițiile locale, dar, orientativ, acestea trebuie să aibă loc o dată la două ore.

18.3.5.   Containere de securitate și seifuri

Pentru stocarea informațiilor clasificate UE se utilizează trei clase de containere:

Pentru seifurile instalate în zone de securitate de clasa I sau II și pentru toate zonele de securitate de clasa I în care informații clasificate CONFIDENȚIAL UE sau de nivel superior sunt păstrate pe rafturi deschise sau sunt prezentate pe grafice, hărți etc., pereții, podelele și plafoanele, ușa (ușile) cu încuietori trebuie să fie certificate de către o SAA ca oferind o protecție echivalentă clasei de containere de securitate aprobate pentru stocarea informațiilor având aceeași clasificare.

18.3.6.   Dispozitive de închidere

Dispozitivele de închidere utilizate pentru containerele de securitate și seifurile în care sunt stocate informații clasificate UE respectă următoarele standarde:

18.3.7.   Controlul cheilor și al combinațiilor

Cheile de la containerele de securitate nu se scot din clădirile Comisiei. Combinațiile de la containerele de securitate trebuie memorate de persoanele care au nevoie să le cunoască. Pentru situațiile de urgență, ofițerul local de securitate al departamentului în cauză al Comisiei trebuie să dețină chei de rezervă și câte o înregistrare scrisă a fiecărei combinații; acestea din urmă se păstrează în plicuri separate opace, sigilate. Cheile de lucru, cheile de rezervă de securitate și combinațiile se păstrează în containere de securitate separate. Aceste chei și combinații trebuie să beneficieze de o protecție cel puțin la fel de strictă ca și materialele la care asigură accesul.

Cunoașterea combinațiilor de la containerele de securitate este limitată la cât mai puține persoane posibil. Combinațiile sunt modificate:

18.3.8.   Dispozitive de detectare a intruziunilor

Dacă pentru protejarea informațiilor clasificate UE se utilizează sisteme de alarmă, televiziune cu circuit închis sau alte dispozitive electrice, se asigură o sursă de alimentare cu electricitate în caz de urgență, pentru a asigura funcționarea continuă a sistemului în cazul întreruperii sursei principale de alimentare cu electricitate. O altă cerință de bază este ca o defecțiune de funcționare sau o încercare de neutralizare a sistemelor în cauză să declanșeze o alarmă sau un alt avertisment fiabil personalului de supraveghere.

18.3.9.   Echipamente aprobate

Biroul de securitate al Comisiei menține liste actualizate cu tipurile și modelele de echipamente de securitate pe care le-a aprobat pentru protecția informațiilor clasificate UE în diverse circumstanțe și condiții specifice. Biroul de securitate al Comisiei întocmește aceste liste, inter alia, pe baza informațiilor furnizate de ANS.

18.3.10.   Protejarea fizică a copiatoarelor și faxurilor

Copiatoarele și faxurile sunt protejate fizic în măsura necesară pentru a asigura utilizarea lor exclusivă de către personalul autorizat în scopul stocării informațiilor clasificate și controlarea adecvată a tuturor produsele clasificate.

18.4.   Protecția împotriva vederii și ascultării clandestine

18.4.1.   Protecția împotriva vederii

Se adoptă toate măsurile necesare, ziua și noaptea, pentru a asigura că informațiile clasificate UE nu sunt văzute, nici măcar accidental, de persoane neautorizate.

18.4.2.   Protecția împotriva ascultării

Serviciile sau zonele în care se discută în mod regulat despre informații clasificate SECRET UE sunt protejate împotriva tentativelor de ascultare clandestină activă sau pasivă, dacă acest lucru este impus de riscuri. Responsabilitatea evaluării riscurilor unor astfel de tentative revine Biroului de securitate al Comisiei după consultarea ANS, dacă este necesar.

18.4.3.   Introducerea echipamentelor electronice și de înregistrare

Nu este permisă introducerea de telefoane mobile, calculatoare personale, dispozitive de înregistrare, aparate foto și alte dispozitive electronice sau de înregistrare în zonele de securitate sau în zonele protejate tehnic fără acordul prealabil al șefului Biroului de securitate al Comisiei.

Pentru a determina măsurile de protecție care trebuie adoptate în sediile sensibile la ascultarea clandestină pasivă (de exemplu, izolarea pereților, a ușilor, a plafoanelor și a podelelor, măsurarea radiațiilor compromițătoare) și la ascultarea clandestină activă (de exemplu, căutarea de microfoane), Biroul de securitate al Comisiei poate solicita asistența unor experți din cadrul ANS.

În mod similar, atunci când circumstanțele impun acest lucru, echipamentele de telecomunicații și echipamentele electrice și electronice de birou, de orice tip, utilizate în cursul unor reuniuni la nivel SECRET UE sau superior pot fi verificate de către specialiști în securitate tehnică ai ANS, la cererea șefului Biroului de securitate al Comisiei.

18.5.   Zone protejate tehnic

Anumite zone pot fi desemnate ca zone protejate tehnic. Se efectuează o verificare specială la intrare. Aceste zone sunt păstrate închise printr-o metodă aprobată atunci când nu sunt ocupate, iar toate cheile sunt considerate chei de securitate. Astfel de zone sunt supuse unor inspecții fizice periodice, care se efectuează, de asemenea, după orice intrare neautorizată, reală sau suspectată.

Se întocmește un inventar detaliat al echipamentelor și mobilierului pentru a monitoriza mișcarea acestora. Într-o astfel de zonă nu se poate introduce nici o piesă de mobilier sau nici un echipament înainte ca acestea să fi fost supuse unei verificări atente de către personalul de securitate special pregătit, cu scopul de a detecta eventualele dispozitive de ascultare. În general, instalarea liniilor de comunicații în zonele protejate tehnic nu este permisă fără autorizarea prealabilă a autorității competente.

19.   NORME GENERALE PRIVIND PRINCIPIUL NEVOII DE A CUNOAȘTE ȘI AUTORIZĂRILE DE SECURITATE ALE PERSONALULUI UE

19.1.   Generalități

Accesul la informațiile clasificate UE este autorizat doar persoanelor care au o „nevoie de a cunoaște” pentru a-și îndeplini sarcinile sau misiunile. Accesul la informațiile clasificate STRICT SECRET UE, SECRET UE și CONFIDENȚIAL UE este autorizat doar persoanelor care dețin o autorizare de securitate adecvată.

Responsabilitatea pentru determinarea „nevoii de a cunoaște” revine departamentului în cadrul căruia urmează a fi angajată persoana în cauză.

Responsabilitatea de a solicita autorizarea pentru personalul propriu revine fiecărui departament.

Ca urmare, se emite un „certificat personal de securitate UE” care menționează nivelul informațiilor clasificate la care persoana autorizată poate avea acces și data expirării.

Un certificat personal de securitate UE pentru o anumită clasificare poate permite accesul deținătorului la informații cu un nivel inferior de clasificare.

Alte persoane decât funcționarii sau alți angajați, precum contractanții externi, experții sau consultanții, cu care poate fi necesar a discuta despre informații clasificate UE sau cărora poate fi necesar a li se arăta astfel de informații trebuie să dețină o autorizare personală de securitate UE în ceea ce privește informațiile clasificate UE și trebuie să fie informate cu privire la responsabilitatea lor în domeniul securității.

Accesul public este în continuare reglementat de Regulamentul (CE) nr. 1049/2001.

19.2.   Norme specifice privind accesul la informațiile STRICT SECRET UE

Toate persoanele care urmează să aibă acces la informații STRICT SECRET UE sunt, în prealabil, verificate pentru accesul la astfel de informații.

Toate persoanele care trebuie să aibă acces la informații STRICT SECRET UE sunt desemnate de către membrul Comisiei însărcinat cu probleme de securitate, iar numele acestor persoane sunt înscrise în registrul STRICT SECRET UE adecvat. Biroul de securitate al Comisiei creează și ține acest registru.

Înainte de a avea acces la informații STRICT SECRET UE, toate persoanele semnează un certificat prin care confirmă că au fost informate în privința procedurilor de securitate ale Comisiei și că înțeleg pe deplin responsabilitatea specială ce le revine în salvgardarea informațiilor STRICT SECRET UE, precum și consecințele pe care normele UE și dispozițiile naționale legislative sau administrative le prevăd pentru divulgarea, intenționată sau din neglijență, de informații clasificate unor persoane neautorizate.

În cazul persoanelor care au acces la informații STRICT SECRET UE la reuniuni etc., ofițerul de control competent al serviciului sau organului în cadrul căruia sunt angajate persoanele în cauză notifică organismului care organizează reuniunea faptul că persoanele în cauză dețin autorizații în acest sens.

Numele tuturor persoanelor care nu mai sunt angajate în funcții care necesită accesul la informații STRICT SECRET UE sunt eliminate de pe lista STRICT SECRET UE. În plus, persoanelor în cauză li se atrage din nou atenția asupra responsabilităților speciale care le revin în salvgardarea informațiilor STRICT SECRET UE. Persoanele în cauză semnează, de asemenea, o declarație prin care se angajează să nu utilizeze și să nu transmită informațiile STRICT SECRET UE pe care le dețin.

19.3.   Norme specifice privind accesul la informații SECRET UE și CONFIDENȚIAL UE

Toate persoanele care urmează să aibă acces la informații SECRET UE și CONFIDENȚIAL UE sunt, în prealabil, verificate în măsura adecvată.

Toate persoanele care urmează să aibă acces la informații SECRET UE și CONFIDENȚIAL UE trebuie să cunoască dispozițiile adecvate de securitate și consecințele neglijenței.

În cazul persoanelor care au acces la informații SECRET UE și CONFIDENȚIAL UE la reuniuni etc., ofițerul de securitate al organismului în cadrul căruia sunt angajate persoanele în cauză notifică organismului care organizează reuniunea faptul că persoanele în cauză dețin autorizații în acest sens.

19.4.   Norme specifice privind accesul la informații RESTRICȚIONAT UE

Persoanele care au acces la informații RESTRICȚIONAT UE vor fi avertizate în privința prezentelor norme de securitate și a consecințelor neglijenței.

19.5.   Transferuri

Când un membru al personalului este transferat dintr-un post care implică utilizarea de materiale clasificate UE, registratura trebuie să supravegheze transferul adecvat al materialelor în cauză de la vechiul la noul funcționar.

Când un membru al personalului este transferat pe un alt post care implică utilizarea de materiale clasificate UE, ofițerul local de securitate instruiește persoana în cauză în mod corespunzător.

19.6.   Instrucțiuni speciale

Se impune ca persoanele care trebuie să utilizeze informații clasificate UE să fie atenționate, la preluarea funcțiilor lor și ulterior periodic, în privința:

Toate persoanele expuse în mod normal unor contacte frecvente cu reprezentanți ai țărilor ale căror servicii de informații au drept țintă UE sau statele sale membre în ceea ce privește informațiile clasificate și activitățile UE sunt informate în privința tehnicilor cunoscute ca fiind utilizate de diverse servicii de informații.

Nu există dispoziții de securitate în cadrul Comisiei referitoare la călătoriile private către orice destinație ale personalului autorizat să aibă acces la informații clasificate UE. Totuși, Biroul de securitate al Comisiei informează funcționarii și alți angajați aflați sub responsabilitatea sa cu privire la reglementările în materie de călătorii sub incidența cărora ar putea intra.

20.   PROCEDURĂ DE AUTORIZARE DE SECURITATE PENTRU FUNCȚIONARI ȘI ALȚI ANGAJAȚI AI COMISIEI

21.   PREGĂTIREA, DISTRIBUIREA, TRANSMITEREA, SECURITATEA PERSONALĂ A CURIERILOR ȘI COPII SUPLIMENTARE, TRADUCERI ȘI EXTRASE ALE DOCUMENTELOR CLASIFICATE UE

21.1.   Pregătire

21.2.   Distribuire

21.3.   Transmiterea documentelor clasificate UE

21.3.1.   Ambalare, confirmări de primire

21.3.2.   Transmiterea în cadrul unei clădiri sau al unui grup de clădiri

În cadrul unei clădiri sau al unui grup de clădiri, documentele clasificate pot fi transportate într-un plic sigilat marcat doar cu numele destinatarului, cu condiția ca plicul să fie transportat de o persoană autorizată la nivelul de clasificare a documentelor.

21.3.3.   Transmiterea în interiorul unei țări

21.3.4.   Transmiterea de la un stat la altul

21.3.5.   Transmiterea documentelor restricționat UE

Nu sunt prevăzute dispoziții speciale privind transmiterea documentelor RESTRICȚIONAT UE, cu excepția faptului că transmiterea trebuie să asigure că documentele nu pot intra în posesia unor persoane neautorizate.

21.4.   Securitatea personală a curierilor

Toți curierii și mesagerii angajați pentru transportul de documente SECRET UE și CONFIDENȚIAL UE fac obiectul unei verificări de securitate adecvate.

21.5.   Mijloace electronice și alte mijloace de transmitere tehnică

21.6.   Copii suplimentare, traduceri și extrase ale documentelor clasificate UE

22.   REGISTRATURI ICUE, REGRUPĂRI, VERIFICĂRI, ARHIVARE ȘI DISTRUGEREA ICUE

22.1.   Registraturi locale ICUE

22.2.   Registratura STRICT SECRET UE

22.2.1.   Generalități

22.2.2.   Registratura centrală STRICT SECRET UE

În calitate de ofițer de control, șeful registraturii centrale STRICT SECRET UE are ca responsabilități:

22.2.3.   Registraturi secundare STRICT SECRET UE

În calitate de ofițer de control, șeful unei registraturi secundare STRICT SECRET UE are ca responsabilități:

22.3.   Inventarieri, regrupări și verificări ale documentelor clasificate UE

22.4.   Arhivarea informațiilor clasificate UE

22.5.   Distrugerea documentelor clasificate UE

22.6.   Distrugere în situații de urgență

23.   MĂSURI DE SECURITATE PENTRU REUNIUNI SPECIFICE ORGANIZATE ÎN AFARA SEDIILOR COMISIEI ȘI CARE IMPLICĂ INFORMAȚII CLASIFICATE UE

23.1.   Generalități

În cazul în care reuniunile Comisiei sau alte reuniuni importante sunt organizate în afara sediilor Comisiei și dacă acest lucru este justificat de cerințele speciale de securitate privind sensibilitatea ridicată a problemelor sau informațiilor abordate, se iau măsurile de securitate descrise în continuare. Aceste măsuri se referă doar la protecția informațiilor clasificate UE; pot fi planificate, de asemenea, alte măsuri de securitate.

23.2.   Responsabilități

23.2.1.   Biroul de securitate al Comisiei

Biroul de securitate al Comisiei cooperează cu autoritățile competente ale statului membru pe al cărui teritoriu se desfășoară reuniunea (statul membru gazdă), pentru a asigura securitatea reuniunilor Comisiei sau a altor reuniuni importante și pentru securitatea delegaților și a personalului acestora. În ceea ce privește protecția de securitate, Biroul de securitate al Comisiei se asigură, în special, că:

Biroul de securitate al Comisiei acționează în calitate de consilier de securitate pentru pregătirea reuniunii; acesta trebuie să fie reprezentat la reuniune pentru a ajuta și a sfătui, dacă este cazul, ofițerul de securitate al reuniunii (MSO) și delegațiile.

Fiecare delegație la o reuniune trebuie să desemneze un ofițer de securitate, care este însărcinat cu rezolvarea problemelor de securitate din cadrul delegației proprii și cu menținerea legăturii cu ofițerul de securitate al reuniunii, precum și cu reprezentantul Biroului de securitate al Comisiei, dacă este necesar.

23.2.2.   Ofițerul de securitate al reuniunii (MSO)

Se desemnează un ofițer de securitate al reuniunii, însărcinat cu pregătirea generală și controlul măsurilor generale interne de securitate, precum și cu coordonarea cu celelalte autorități de securitate implicate. Măsurile luate de MSO se referă, în general, la:

23.3.   Măsuri de securitate

23.3.1.   Zone de securitate

Se instituie următoarele zone de securitate:

23.3.2.   Permise

MSO oferă ecusoane adecvate, în funcție de necesitățile delegațiilor. Dacă este cazul, se poate face o diferențiere în ceea ce privește accesul în diferite zone de securitate.

Instrucțiunile de securitate pentru reuniune prevăd ca toate persoanele implicate să își poarte permanent și la vedere ecusoanele în locul de desfășurare a reuniunii, astfel încât să poată fi verificate de personalul de securitate, dacă este cazul.

În afara participanților care dețin ecusoane, sunt admise la locul de desfășurare a reuniunii cât mai puține persoane posibil. MSO permite delegațiilor naționale să primească vizitatori în cursul reuniunii doar la cererea acestora. Vizitatorilor trebuie să li se ofere un ecuson de vizitator. Se completează un formular de vizită care indică numele vizitatorului și numele persoanei vizitate. Vizitatorii sunt însoțiți în permanență de un agent de securitate sau de persoana vizitată. Formularul de vizită este purtat de însoțitor, care îl înapoiază, împreună cu ecusonul de vizitator, personalului de securitate în momentul în care vizitatorul părăsește locul reuniunii.

23.3.3.   Controlul echipamentelor foto și audio

Într-o zonă de securitate de clasa I nu pot fi introduse aparate foto sau de înregistrare, cu excepția echipamentelor introduse de fotografii și de inginerii de sunet autorizați corespunzător de MSO.

23.3.4.   Verificarea servietelor, a computerelor portabile și a pachetelor

Purtătorii de ecusoane cărora le este permis accesul într-o zonă de securitate pot introduce în mod normal la locul reuniunii servietele și computerele lor portabile (doar cu sursă proprie de alimentare) fără efectuarea unei verificări. În ceea ce privește pachetele pentru delegații, acestea din urmă pot accepta livrarea pachetelor, care sunt fie inspectate de ofițerul de securitate al delegației, fie sunt verificate cu echipamente speciale, fie sunt deschise de personalul de securitate pentru inspectare. Dacă MSO consideră că este necesar, pot fi prevăzute măsuri mai stricte pentru inspectarea servietelor și a pachetelor.

23.3.5.   Securitatea tehnică

O echipă de securitate tehnică poate asigura securitatea tehnică a sălii și, de asemenea, supravegherea electronică în timpul reuniunii.

23.3.6.   Documentele delegațiilor

Delegațiile sunt responsabile cu transportul documentelor clasificate UE la și de la reuniuni. De asemenea, ele sunt responsabile cu verificarea și securitatea documentelor în cauză în timpul utilizării lor în spațiile care le sunt alocate. Poate fi solicitat ajutorul statelor membre gazdă pentru transportul documentelor clasificate la și de la locul de desfășurare a reuniunii.

23.3.7.   Păstrarea în siguranță a documentelor

În cazul în care Comisia sau delegațiile nu au posibilitatea de a-și păstra documentele clasificate în conformitate cu standardele aprobate, ele pot încredința documentele în cauză, într-un plic sigilat și în schimbul unei confirmări de primire, ofițerului de securitate al reuniunii, astfel încât acesta din urmă să poată păstra documentele în conformitate cu standardele aprobate.

23.3.8.   Inspectarea birourilor

Ofițerul de securitate al reuniunii organizează inspectarea birourilor Comisiei și ale delegațiilor la sfârșitul fiecărei zile de lucru pentru a asigura păstrarea în siguranță a tuturor documentelor clasificate UE. În cazul în care este periclitată siguranța documentelor, ofițerul de securitate al reuniunii ia măsurile necesare.

23.3.9.   Eliminarea deșeurilor clasificate UE

Toate deșeurile sunt considerate ca fiind clasificate UE, iar pentru eliminarea acestora sunt puse la dispoziția Comisiei și a delegațiilor coșuri pentru deșeuri de hârtie sau pungi. Înainte de părăsirea spațiilor alocate, Comisia și delegațiile predau deșeurile ofițerului de securitate al reuniunii, care asigură distrugerea lor conform normelor.

La sfârșitul reuniunii, toate documentele deținute de Comisie sau de delegații, dar care nu mai sunt necesare, sunt considerate deșeuri. Înainte de ridicarea măsurilor de securitate adoptate pentru reuniune, spațiile alocate Comisiei și delegațiilor sunt cercetate atent. În măsura posibilului, documentele pentru care s-a semnat o confirmare de primire sunt distruse în conformitate cu secțiunea 22.5.

24.   ÎNCĂLCĂRI ALE SECURITĂȚII ȘI COMPROMITEREA INFORMAȚIILOR CLASIFICATE UE

24.1.   Definiții

O încălcare a securității apare ca urmare a unui act sau a unei omisiuni contrare unei dispoziții de securitate a Comisiei care ar putea pune în pericol sau compromite informații clasificate UE.

Compromiterea informațiilor clasificate UE survine în cazul în care informațiile în cauză ajung, integral sau parțial, în posesia unor persoane neautorizate, adică persoane care nu dețin nici autorizarea adecvată de securitate, nici nevoia de a cunoaște necesară, sau în cazul în care există posibilitatea ca un astfel de eveniment să fi avut loc.

Informațiile clasificate UE pot fi compromise ca urmare a neatenției, neglijenței sau indiscreției, precum și prin activitățile serviciilor care au ca țintă UE sau statele sale membre în ceea ce privește informațiile clasificate și activitățile UE sau ale unor organizații subversive.

24.2.   Raportarea încălcărilor normelor de securitate

Toate persoanele care trebuie să prelucreze informații clasificate UE sunt instruite complet cu privire la responsabilitățile ce le revin în acest domeniu. Ele raportează imediat orice încălcare a securității de care au cunoștință.

În cazul în care ofițerul local de securitate sau ofițerul de securitate al reuniunii descoperă sau este informat despre o încălcare a securității în privința informațiilor clasificate UE sau despre pierderea sau dispariția unor materiale clasificate UE, acesta acționează imediat pentru:

Imediat ce îi este notificată posibilitatea ca o astfel de încălcare a securității să fi survenit, fiecare autoritate de securitate are sarcina de a raporta imediat acest lucru Biroului de securitate al Comisiei.

Cazurile care implică informații RESTRICȚIONAT UE trebuie raportate doar dacă prezintă caracteristici neobișnuite.

Când este informat despre o încălcare a securității, membrul Comisiei însărcinat cu probleme de securitate:

Autoritatea de origine informează destinatarii și furnizează instrucțiunile adecvate.

24.3.   Acțiuni în justiție

Orice persoană care este răspunzătoare de compromiterea informațiilor clasificate UE este pasibilă de sancțiuni disciplinare în conformitate cu reglementările relevante, în special titlul VI din Statutul funcționarilor. Sancțiunile în cauză nu aduc atingere oricărei acțiuni ulterioare în justiție.

Dacă este cazul, pe baza raportului menționat în secțiunea 24.2, membrul Comisiei însărcinat cu probleme de securitate face demersurile necesare pentru a permite autorităților naționale competente inițierea procedurilor penale.

25.   PROTECȚIA INFORMAȚIILOR CLASIFICATE UE PRELUCRATE ÎN SISTEME DE TEHNOLOGIA INFORMAȚIEI ȘI DE COMUNICAȚII

25.1.   Introducere

25.1.1.   Generalități

Politica de securitate și cerințele în acest domeniu se aplică tuturor sistemelor și rețelelor informatice și de comunicații (denumite în continuare sisteme) care prelucrează informații clasificate CONFIDENȚIAL UE și de nivel superior. Acestea se aplică ca o completare la Decizia C (95) 1510 final a Comisiei din 23 noiembrie 1995 privind protecția sistemelor informatice.

Sistemele care prelucrează informații RESTRICȚIONAT UE necesită, de asemenea, măsuri de securitate pentru a proteja confidențialitatea informațiilor în cauză. Toate sistemele necesită măsuri de securitate pentru protejarea integrității și disponibilității sistemelor în cauză și ale informațiilor pe care le conțin.

Politica de securitate IT aplicată de Comisie include următoarele elemente:

25.1.2.   Amenințări asupra sistemelor și vulnerabilitățile acestora

O amenințare poate fi definită ca o posibilitate de compromitere accidentală sau deliberată a securității. În cazul sistemelor, o astfel de compromitere implică pierderea uneia sau multora dintre proprietățile de confidențialitate, integritate și disponibilitate. O vulnerabilitate poate fi definită ca o slăbiciune sau o lipsă de control care ar putea facilita sau permite concretizarea unei amenințări împotriva unui bun sau a unei ținte specifice.

Informațiile clasificate și neclasificate UE prelucrate în sisteme într-o formă concentrată concepută pentru recuperare, comunicare și utilizare rapide sunt vulnerabile la multe amenințări. Acestea includ accesul la informații de către utilizatori neautorizați sau, invers, interzicerea accesului utilizatorilor autorizați. De asemenea, există riscul divulgării neautorizate, al coruperii, al modificării și al ștergerii informațiilor. Mai mult, echipamentele complexe și uneori fragile sunt costisitoare și deseori dificil de reparat sau de înlocuit rapid.

25.1.3.   Principalul scop al măsurilor de securitate

Principalul scop al măsurilor de securitate prevăzute în prezenta secțiunea este de a asigura protecția împotriva divulgării neautorizate a informațiilor clasificate UE (pierderea confidențialității) și împotriva pierderii integrității și disponibilității informațiilor. Pentru realizarea unei protecții adecvate de securitate a unui sistem care prelucrează informații clasificate UE, standardele adecvate de securitate convențională sunt specificate de Biroul de securitate al Comisiei, împreună cu procedurile și tehnicile de securitate adecvate concepute special pentru fiecare sistem.

25.1.4.   Declarația privind cerințele de securitate specifice unui sistem (SSRS)

Pentru toate sistemele care prelucrează informații clasificate CONFIDENȚIAL UE și de nivel superior, o declarație privind cerințele de securitate specifice sistemului trebuie elaborată de proprietarul sistemului tehnic (TSO, a se vedea secțiunea 25.3.4) și proprietarul informațiilor (a se vedea secțiunea 25.3.5), dacă este cazul, cu contribuția și asistența personalului responsabil cu proiectul și ale Biroului de securitate al Comisiei (în calitate de autoritate INFOSEC–IA, a se vedea secțiunea 25.3.3), declarație care trebuie aprobată de autoritatea de acreditate de securitate (SAA, a se vedea secțiunea 25.3.2).

De asemenea, este necesară o SSRS în cazul în care autoritatea de acreditare de securitate (SAA) consideră ca fiind esențiale disponibilitatea și integritatea informațiilor RESTRICȚIONAT UE sau ale celor neclasificate.

SSRS este formulată în prima etapă de concepere a proiectului și este dezvoltată și extinsă pe măsură ce proiectul evoluează, îndeplinind diverse roluri în diferitele etape din ciclul de viață al proiectului și al sistemului.

25.1.5.   Moduri de operare de securitate

Toate sistemele care prelucrează informații clasificate CONFIDENȚIAL UE și de nivel superior sunt acreditate să funcționeze în unul sau, în cazul în care acest lucru este justificat de cerințe în diferite perioade de timp, în mai multe dintre următoarele moduri de operare de securitate sau în echivalentul național al acestora:

25.2.   Definiții

„Acreditare” înseamnă autorizarea și aprobarea acordate unui sistem de a prelucra informații clasificate UE în mediul său de operare.

Notă:

Acreditarea trebuie efectuată după punerea în aplicare a tuturor procedurilor adecvate de securitate și atingerea unui nivel suficient de protecție a resurselor sistemului. Acreditarea trebuie acordată, în mod normal, pe baza SSRS, inclusiv a următoarelor elemente:

„Ofițerul central de securitate informatică” (CISO) înseamnă funcționarul dintr-un serviciu central IT care coordonează și supervizează măsurile de securitate pentru sistemele organizate în mod centralizat.

„Certificare” înseamnă emiterea unei declarații oficiale, justificată de o analiză independentă a desfășurării și a rezultatelor unei evaluări, a măsurii în care un sistem îndeplinește cerința de securitate sau în care un produs de securitate informatică îndeplinește cerințele de securitate definite în prealabil.

„Securitatea comunicațiilor” (COMSEC) înseamnă aplicarea de măsuri de securitate telecomunicațiilor pentru a împiedica persoanele neautorizate să obțină informații de valoare prin deținerea și studierea mesajelor comunicate sau pentru a asigura autenticitatea acestor mesaje.

Notă:

Măsurile în cauză includ securitatea mijloacelor de codificare, a transmisiilor și a emisiilor, precum și securitatea fizică, a procedurilor, a personalului, a documentelor și securitatea informatică.

„Securitatea informatică” (COMPUSEC) înseamnă aplicarea caracteristicilor de securitate hardware, firmware și software unui sistem computerizat pentru a-l proteja împotriva divulgării neautorizate, manipulării, modificării/ștergerii informațiilor sau blocării accesului sau pentru a preveni aceste amenințări.

„Produs de securitate informatică” înseamnă un element generic de securitate informatică care este destinat a fi încorporat într-un sistem IT pentru a fi utilizat la creșterea sau asigurarea confidențialității, integrității sau disponibilității informațiilor prelucrate.

„Modul exclusiv de operare de securitate” înseamnă un mod de operare în care TOATE persoanele care au acces la sistem sunt autorizate la cel mai înalt nivel de clasificare a informațiilor prelucrate în cadrul sistemului și au o nevoie comună de a cunoaște TOATE informațiile prelucrate în cadrul sistemului.

Note:

„Evaluare” înseamnă examinarea tehnică detaliată, efectuată de autoritatea competentă, a aspectelor de securitate ale unui sistem, ale unui produs de codificare sau ale unui produs de securitate informatică.

Note:

„Proprietarul informației” (IO) înseamnă autoritatea (șeful de departament) care are responsabilitatea creării, prelucrării și utilizării informațiilor, inclusiv în ceea ce privește decizia referitoare la persoanele care pot avea acces la informațiile în cauză.

„Securitatea informațiilor” (INFOSEC) înseamnă aplicarea de măsuri de securitate pentru a proteja informațiile prelucrate, stocate sau transmise prin sisteme informatice, de comunicații și prin alte sisteme electronice împotriva pierderii, accidentale sau intenționate, a confidențialității, integrității sau disponibilității și pentru a preveni pierderea integrității și disponibilității sistemelor.

„Măsurile INFOSEC” includ măsurile de securitate informatică, a transmisiilor, a emisiilor și a mijloacelor de codificare și măsurile de detectare, documentare și contracarare a amenințărilor la adresa informațiilor și a sistemelor.

„Zonă IT” înseamnă o zonă care conține unul sau mai multe computere, unitățile lor locale periferice și de stocare, unitățile de control și echipamentele de rețea și de comunicații care le sunt rezervate.

Notă:

Această zonă nu include o zonă separată în care sunt amplasate echipamente periferice la distanță sau terminale/posturi de lucru, chiar dacă acestea sunt conectate la echipamente din zona IT.

„Rețea IT” înseamnă organizarea, dispersată geografic, a unor sisteme IT interconectate pentru schimburi de date care include componentele sistemelor IT interconectate și interfața acestora cu rețele de date sau de comunicații care le completează.

Note:

„Caracteristicile de securitate ale rețelei IT” includ caracteristicile de securitate ale fiecărui sistem IT care face parte din rețea împreună cu componentele și caracteristicile suplimentare asociate direct rețelei (de exemplu, comunicații în rețea, mecanisme și proceduri de identificare de securitate și de etichetare, controale de acces, programe și piste de urmărire) necesare pentru a asigura informațiilor clasificate un nivel acceptabil de protecție.

„Sistem IT” înseamnă ansamblul de echipamente, metode și proceduri și, dacă este necesar, de personal organizat în vederea realizării funcțiilor de prelucrate a informațiilor.

Note:

„Caracteristicile de securitate ale sistemului IT” includ toate funcțiile, calitățile și caracteristicile hardware/firmware/software; procedurile de operare, procedurile de responsabilizare și controalele de acces, zona IT, zona terminalelor/posturilor de lucru la distanță, normele de gestionare, structura și dispozitivele fizice, controalele asupra personalului și comunicațiilor necesare pentru a asigura informațiilor clasificate prelucrate în sistemul IT un nivel acceptabil de protecție.

„Ofițerul local de securitate informatică” (LISO) înseamnă funcționarul dintr-un departament al Comisiei care este însărcinat să coordoneze și să supravegheze măsurile de securitate din domeniul său.

„Modul de operare de securitate multinivel” înseamnă un mod de operare în care NU TOATE persoanele care accesează sistemul au autorizare pentru cel mai înalt nivel de clasificare al informațiilor prelucrate în cadrul sistemului și NU TOATE persoanele care au acces la sistem au o nevoie comună de a cunoaște pentru informațiile prelucrate în cadrul sistemului.

Note:

„Zonă de terminale/posturi de lucru la distanță” înseamnă o zonă, separată de o zonă IT, care conține anumite echipamente informatice, dispozitivele lor periferice locale sau terminalele/posturile de lucru și echipamentele asociate de comunicații.

„Procedura de operare de securitate” înseamnă procedurile elaborate de proprietarul sistemelor tehnice care definesc principiile ce trebuie respectate în domeniul securității, procedurile de operare care trebuie urmate și responsabilitățile personalului.

„Modul de operare de securitate prioritar” înseamnă un mod de operare în care TOATE persoanele care au acces la sistem sunt autorizate la cel mai înalt nivel de clasificare a informațiilor prelucrate în cadrul sistemului, dar NU TOATE persoanele care au acces la sistem au o nevoie comună de a cunoaște pentru informațiile prelucrate în cadrul sistemului.

Note:

O „declarație privind cerințele de securitate specifice unui sistem” (SSRS) este o declarație completă și explicită a principiilor de securitate care trebuie respectate și a cerințelor detaliate de securitate care trebuie îndeplinite. Ea se bazează pe politica de securitate a Comisiei și pe o evaluare a riscurilor sau este impusă de parametri precum mediul de operare, cel mai scăzut nivel de autorizare de securitate a personalului, cel mai ridicat nivel de clasificare a informațiilor prelucrate, modul de operare de securitate sau cerințele utilizatorilor. SSRS face parte integrantă din documentația de proiect prezentată autorităților competente pentru aprobarea tehnică, bugetară și de securitate. În forma sa finală, SSRS reprezintă o declarație completă a ceea ce înseamnă securitatea sistemului.

„Proprietarul sistemelor tehnice” (TSO) înseamnă autoritatea care are responsabilitatea creării, întreținerii, operării și închiderii unui sistem.

Contramăsuri „Tempest” înseamnă măsuri de securitate destinate să protejeze echipamentele și infrastructurile de comunicații împotriva compromiterii informațiilor clasificate prin emisii electromagnetice neintenționate și prin conductivitate.

25.3.   Responsabilități în materie de securitate

25.3.1.   Generalități

Responsabilitățile consultative ale Grupului consultativ pentru politica de securitate a Comisiei, definite în secțiunea 12, includ chestiuni INFOSEC. Grupul își organizează activitățile astfel încât să poate oferi sfaturi specializate privind chestiunile menționate anterior.

Biroul de securitate al Comisiei este însărcinat cu emiterea dispozițiilor detaliate INFOSEC, pe baza dispozițiilor prezentului capitol.

În cazul unor probleme privind securitatea (incidente, încălcări etc.), Biroul de securitate al Comisiei adoptă măsuri imediate.

Biroul de securitate al Comisiei dispune de o unitate INFOSEC.

25.3.2.   Autoritatea de acreditare de securitate (SAA)

Șeful Biroului de securitate al Comisiei reprezintă autoritatea de acreditare de securitate (SAA) a Comisiei. SAA are responsabilități în domeniul general al securității și în domeniile specializate ale INFOSEC, în domeniul securității comunicațiilor, al securității Crypto și al securității Tempest.

SAA este însărcinată să asigure conformitatea sistemelor cu politica de securitate a Comisiei. Una dintre sarcinile sale este aceea de a acorda aprobarea unui sistem de a prelucra informații clasificate UE până la un anumit nivel de clasificare în mediul său de operare.

Jurisdicția SAA a Comisiei include toate sistemele care operează în sediile de lucru ale Comisiei. În momentul în care diverse componente ale unui sistem intră sub jurisdicția SAA a Comisiei și a altor SAA, toate părțile implicate pot desemna un comitet comun de acreditare sub coordonarea SAA a Comisiei.

25.3.3.   Autoritatea INFOSEC (IA)

Șeful unității INFOSEC a Biroului de securitate al Comisiei reprezintă autoritatea INFOSEC a Comisiei. Autoritatea INFOSEC are sarcinile:

25.3.4.   Proprietarul sistemelor tehnice (TSO)

Responsabilitatea punerii în aplicare și a operării controalelor și caracteristicilor speciale de securitate ale unui sistem aparține proprietarului sistemului, proprietarul sistemelor tehnice (TSO). Pentru sistemele deținute la nivel central, este desemnat un ofițer central de securitate informatică (CISO). Fiecare departament desemnează, după caz, un ofițer local de securitate informatică (LISO). Responsabilitatea unui TSO include elaborarea de proceduri de operare de securitate (SecOP) și se extinde, pe durata ciclului de viață al unui sistem, de la etapa de concepere a proiectului la oprirea definitivă.

TSO specifică standardele și practicile de securitate care trebuie îndeplinite de furnizorul sistemului.

TSO poate delega o parte din responsabilitățile sale, dacă este cazul, unui ofițer local de securitate informatică. O singură persoană poate exercita diversele funcții INFOSEC.

25.3.5.   Proprietarul informației (IO)

Proprietarul informației (IO) este responsabil de ICUE (și alte informații) care urmează a fi introduse, prelucrate și produse în sistemele tehnice. Acesta definește cerințele pentru accesul la aceste informații din cadrul sistemelor. El poate delega această responsabilitate unui gestionar de informații sau unui gestionar de bază de date din domeniul său.

25.3.6.   Utilizatori

Toți utilizatorii au responsabilitatea de a asigura că acțiunile lor nu afectează negativ securitatea sistemului pe care îl utilizează.

25.3.7.   Formarea INFOSEC

Instruirea și formarea INFOSEC sunt disponibile întregului personal care are nevoie de acestea.

25.4.   Măsuri de securitate fără caracter tehnic

25.4.1.   Securitatea personalului

Utilizatorii sistemului sunt autorizați și au nevoia de a cunoaște, corespunzător clasificării și conținutului informațiilor prelucrate în cadrul sistemului lor specific. Pentru accesul la anumite echipamente și informații specifice securității sistemelor este necesară o autorizație specială emisă în conformitate cu procedurile Comisiei.

SAA desemnează toate posturile sensibile și specifică nivelul de autorizare și supervizare necesar pentru întregul personal care ocupă aceste posturi.

Sistemele sunt specificate și concepute într-un mod care să faciliteze alocarea de sarcini și responsabilități personalului, astfel încât să se prevină situațiile în care o singură persoană deține toate cunoștințele și întregul control asupra punctelor cheie ale securității sistemului.

Un funcționar autorizat sau un alt angajat nu trebuie să se afle niciodată singur în zonele IT și în zonele de terminale/posturi de lucru la distanță în care securitatea sistemului poate fi modificată.

Setările de securitate ale unui sistem sunt modificate doar de către cel puțin două persoane autorizate care lucrează împreună.

25.4.2.   Securitatea fizică

Zonele IT și zonele de terminale/posturi de lucru la distanță (definite în secțiunea 25.2) în care sunt prelucrate prin mijloace IT informații clasificate CONFIDENȚIAL UE și de nivel superior sau în care este posibil accesul potențial la astfel de informații sunt desemnate ca zone de securitate UE de clasa I sau II, după caz.

25.4.3.   Controlul accesului la un sistem

Toate informațiile și materialele care asigură controlul asupra accesului la un sistem sunt protejate prin măsuri corespunzătoare celui mai înalt nivel de clasificare și categoriei informațiilor la care pot asigura accesul.

Când nu mai sunt utilizate în acest scop, informațiile și materialele de control al accesului sunt distruse în conformitate cu dispozițiile secțiunii 25.5.4.

25.5.   Măsuri tehnice de securitate

25.5.1.   Securitatea informațiilor

Autorității de origine a informațiilor îi revine sarcina de a identifica și de a clasifica toate documentele purtătoare de informații, indiferent dacă acestea au forma unui produs pe suport de hârtie sau pe suport informatic. Clasificarea este marcată, în partea de sus și în cea de jos, pe fiecare pagină a unui produs pe suport de hârtie. Produsul, indiferent dacă este pe suport de hârtie sau pe suport informatic, este clasificat la cel mai înalt nivel de clasificare a informațiilor utilizate pentru producerea lui. Modul de operare al unui sistem poate influența, de asemenea, clasificarea produselor sistemului în cauză.

Departamentelor Comisiei și deținătorilor de informații ale Comisiei le revine sarcina de a analiza problemele privind agregarea elementelor individuale ale informațiilor și deducțiile care pot fi făcute prin corelarea elementelor, precum și de a determina dacă o clasificare superioară este sau nu adecvată pentru ansamblul informațiilor.

Faptul că informațiile pot fi un cod abreviat, un cod de transmitere sau orice formă de reprezentare binară nu asigură o protecție de securitate și, prin urmare, nu ar trebui să influențeze clasificarea informațiilor.

Atunci când informațiile sunt transferate dintr-un sistem în altul, informațiile sunt protejate în cursul transferului și în sistemul destinatar într-o manieră adaptată clasificării și categoriei inițiale a informațiilor.

Toate suporturile informatice de stocare sunt tratate într-un mod corespunzător celei mai înalte clasificări a informațiilor stocate sau etichetei suportului și sunt protejate în mod adecvat în orice moment.

Suporturile informatice de stocare reutilizabile folosite pentru înregistrarea de informații clasificate UE păstrează cea mai înaltă clasificare pentru care au fost utilizate, până în momentul în care informațiile în cauză sunt declasate sau declasificare corespunzător, iar suportul este reclasificat în consecință sau până în momentul în care suportul este declasificat sau distrus în conformitate cu o procedură aprobată de SAA (a se vedea punctul 25.5.4).

25.5.2.   Controlul și contabilizarea informațiilor

Accesul la informații clasificate SECRET UE și de nivel superior este înscris în registre automate (piste de urmărire) sau manuale. Aceste registre sunt păstrate în conformitate cu prezentele norme de securitate.

Produsele clasificate UE păstrate în zona IT pot fi tratate ca un singur element clasificat și nu trebuie înregistrate, cu condiția ca materialele să fie identificate, marcate cu clasificarea corespunzătoare și controlate în mod adecvat.

Dacă produsul este generat de un sistem care prelucrează informații clasificate UE, iar apoi este transmis unei zone de terminale/posturi de lucru la distanță dintr-o zonă IT, se instituie proceduri aprobate de SAA pentru controlul și înregistrarea produsului. Pentru informații SECRET UE și de nivel superior, aceste proceduri includ instrucțiuni specifice pentru contabilizarea informațiilor.

25.5.3.   Manipularea și controlul suporturilor informatice de stocare mobile

Toate suporturile informatice de stocare mobile clasificate CONFIDENȚIAL UE și de nivel superior sunt tratate ca materiale clasificate, cu aplicarea normelor generale. Mijloacele adecvate de identificare și clasificare trebuie să fie adaptate caracteristicilor fizice ale suporturilor, pentru a permite recunoașterea clară a acestora.

Utilizatorilor le revine responsabilitatea de a asigura stocarea informațiilor clasificate UE pe suporturi având marcajul și protecția de securitate adecvate. Se instituie proceduri pentru a asigura că, pentru toate nivelurile de informații UE, înregistrarea informațiilor pe suporturi informatice de stocare se efectuează în conformitate cu prezentele norme de securitate.

25.5.4.   Declasificarea și distrugerea suporturilor informatice de stocare

Suporturile informatice de stocare utilizate pentru înregistrarea de informații clasificate UE pot fi declasate sau declasificate în conformitate cu o procedură care urmează a fi aprobată de SAA.

Suporturile informatice de stocare pe care au fost înregistrate informații STRICT SECRET UE sau informații dintr-o categorie specială nu sunt declasificate și reutilizate.

Dacă suporturile informatice de stocare nu pot fi declasificate sau nu sunt reutilizabile, acestea sunt distruse în conformitate cu procedura menționată anterior.

25.5.5.   Securitatea comunicațiilor

Șeful Biroului de securitate al Comisiei reprezintă autoritatea Crypto.

Dacă informațiile clasificate UE sunt transmise pe cale electromagnetică, se aplică măsuri speciale pentru protejarea confidențialității, integrității și disponibilității acestor transmisii. SAA stabilește cerințele pentru protejarea transmisiilor împotriva detectării și interceptării. Informațiile transmise printr-un sistem de comunicații sunt protejate conform cerințelor de confidențialitate, integritate și disponibilitate.

Dacă sunt necesare metode de codificare pentru asigurarea confidențialității, integrității și disponibilității, metodele în cauză și produsele asociate sunt aprobate în mod expres în acest scop de SAA în calitate de autoritate Crypto.

În timpul transmisiei, confidențialitatea informațiilor clasificate SECRET UE și de nivel superior este protejată prin metode sau produse de codificare aprobate de membrul Comisiei însărcinat cu probleme de securitate după consultarea Grupului consultativ pentru politica de securitate a Comisiei. În cursul transmisiei, confidențialitatea informațiilor clasificate CONFIDENȚIAL UE sau RESTRICȚIONAT UE este protejată prin metode sau produse de codificare aprobate de autoritatea Crypto a Comisiei după consultarea Grupului consultativ pentru politica de securitate a Comisiei.

Normele detaliate aplicabile transmisiei de informații clasificate UE figurează în instrucțiuni specifice de securitate aprobate de Biroul de securitate al Comisiei după consultarea Grupului consultativ pentru politica de securitate a Comisiei.

În condiții excepționale de operare, informațiile clasificare RESTRICȚIONAT UE, CONFIDENȚIAL UE și SECRET UE pot fi transmise în clar, cu condiția ca fiecare transmisie să fie autorizată în mod expres de proprietarul informațiilor și să fie înregistrată corespunzător de acesta. Aceste condiții excepționale sunt următoarele:

Un sistem trebuie să aibă capacitatea de a interzice categoric accesul la informațiile clasificate UE la nivelul unuia sau tuturor terminalelor sale sau posturilor sale de lucru la distanță, dacă este cazul, fie prin deconectare fizică, fie prin caracteristici specifice de software aprobate de SAA.

25.5.6.   Securitatea privind instalarea și radiațiile

Instalarea inițială a sistemelor și orice modificare semnificativă a acestora sunt specificate astfel încât instalarea să fie efectuată de instalatori deținând autorizarea de securitate sub supravegherea permanentă a personalului calificat tehnic care deține autorizarea pentru accesul la informații clasificate UE la nivelul echivalent celui mai înalt nivel de clasificare al informațiilor pe care sistemul trebuie să le stocheze și să le prelucreze.

Sistemele care prelucrează informații clasificate CONFIDENȚIAL UE și de nivel superior sunt protejate astfel încât securitatea lor să nu poate fi amenințată de emanații sau de o conductivitate compromițătoare, ale căror studiu și control sunt denumite „Tempest”.

Contramăsurile Tempest sunt revizuite și aprobate de autoritatea Tempest (a se vedea punctul 25.3.2).

25.6.   Securitatea în cursul prelucrării

25.6.1.   Proceduri de operare de securitate (SecOP)

Procedurile de operare de securitate (SecOP) definesc principiile care trebuie adoptate în ceea ce privește problemele de securitate, procedurile de operare care trebuie urmate și responsabilitățile personalului. SecOP sunt elaborate sub responsabilitatea proprietarului sistemelor tehnice (TSO).

25.6.2.   Gestionarea protecției/configurației produselor software

Protecția de securitate a programelor de aplicații se determină mai degrabă pe baza unei evaluări a clasificării de securitate a programului în sine decât pe baza clasificării informațiilor pe care trebuie să le prelucreze. Versiunile de software utilizate sunt verificate la intervale regulate pentru a asigura integritatea și corecta funcționare a acestora.

Versiunile noi sau modificate de software nu sunt utilizate pentru prelucrarea de informații clasificate UE decât după verificarea lor de către TSO.

25.6.3.   Verificarea prezenței unor produse software dăunătoare sau a unor viruși informatici

În conformitate cu cerințele SAA, se efectuează periodic verificări privind prezența unor produse software dăunătoare sau a unor viruși informatici.

Toate suporturile informatice de stocare care sosesc la Comisie sunt verificate pentru detectarea prezenței unor produse software dăunătoare sau a unor viruși informatici, înainte de a fi introduse într-un sistem.

25.6.4.   Întreținere

Contractele și procedurile pentru întreținerea periodică și la cerere a sistemelor pentru care s-a elaborat o SSRS specifică cerințele și dispozițiile pentru personalul de întreținere și echipamentele asociate care pătrund într-o zonă IT.

Cerințele sunt menționate clar în SSRS, iar procedurile sunt menționate clar în SecOP. Operațiunile de întreținere efectuate de contractant pentru care sunt necesare proceduri de diagnosticare cu acces de la distanță sunt permise doar în cazuri excepționale, sub control strict de securitate și doar cu aprobarea SAA.

25.7.   Achiziții

25.7.1.   Generalități

Orice produs de securitate care urmează a fi utilizat cu sistemul care face obiectul achiziției fie a fost evaluat și certificat, fie face în prezent obiectul unei evaluări și certificări de către un organism adecvat de evaluare și certificare al unuia dintre statele membre UE conform unor criterii recunoscute pe plan internațional (precum Criteriile comune pentru evaluarea securității tehnologiei informației, cf. ISO 15408). Pentru obținerea aprobării CCAC sunt necesare proceduri speciale.

Pentru a decide dacă echipamentele, în special suporturile informatice de stocare, trebuie închiriate și nu achiziționate se ține cont de faptul că astfel de echipamente, după ce au fost utilizate pentru prelucrarea de informații clasificate UE, nu pot părăsi un mediu securizat în mod adecvat fără a fi mai întâi declasificate cu aprobarea SAA, obținerea acestei aprobări nefiind întotdeauna posibilă.

25.7.2.   Acreditare

Înainte de prelucra informații clasificate UE, toate sistemele pentru care trebuie elaborată o SSRS sunt acreditate de SAA pe baza informațiilor furnizate în SSRS, SecOP și alte documente relevante. Subsistemele și terminalele/posturile de lucru la distanță sunt acreditate ca parte componentă a tuturor sistemelor la care sunt conectate. În cazul în care un sistem deservește atât Comisia, cât și alte organizații, Comisia și autoritățile relevante de securitate se pun de acord în privința acreditării.

Procesul de acreditare se poate desfășura în conformitate cu o strategie de acreditare adecvată unui anumit sistem și definită de SAA.

25.7.3.   Evaluare și certificare

În anumite situații, înainte de acreditare, caracteristicile de securitate hardware, firmware și software ale unui sistem sunt evaluate și certificate în privința capacității de salvgardare a informațiilor la nivelul de clasificare avut în vedere.

Cerințele de evaluare și certificare sunt incluse în planificarea sistemului și sunt specificate clar în SSRS.

Procesul de evaluare și certificare este efectuat în conformitate cu liniile directoare aprobate, de către personal calificat tehnic, autorizat adecvat și acționând în numele TSO.

Echipele pot fi asigurate de o anumită autoritate de evaluare și certificare a unui stat membru desemnat sau de reprezentanții desemnați ai acesteia, de exemplu un contractant competent și autorizat.

Nivelul proceselor de evaluare și certificare implicate poate fi redus (de exemplu implicând doar aspecte privind integrarea) în cazul în care sistemele se bazează pe produse de securitate informatică existente evaluate și certificate la nivel național.

25.7.4.   Verificarea sistematică a caracteristicilor de securitate pentru acreditarea continuă

TSO elaborează proceduri de control sistematic pentru a asigura că toate caracteristicile de securitate ale sistemului sunt încă valabile.

Tipurile de modificări care ar conduce la reacreditare sau care necesită aprobarea prealabilă a SAA sunt identificate și menționate clar în SSRS. După orice modificare, reparație sau defecțiune care ar fi putut afecta caracteristicile de securitate ale sistemului, TSO veghează la efectuarea unei verificări pentru a se asigura funcționarea corectă a caracteristicilor de securitate. Acreditarea continuă a sistemului depinde, în mod normal, de realizarea cu succes a acestor verificări.

Toate sistemele în cadrul cărora s-au aplicat caracteristici de securitate sunt inspectate sau revizuite periodic de către SAA. Pentru sistemele care prelucrează informații STRICT SECRET UE, inspecțiile se efectuează cel puțin o dată pe an.

25.8.   Utilizare temporară sau ocazională

25.8.1.   Securitatea microcomputerelor/computerelor personale

Microcomputerele/computerele personale (PC) cu discuri fixe (sau alte suporturi de stocare cu memorie remanentă), funcționând fie în mod autonom, fie în rețea, și dispozitivele informatice portabile (de exemplu, PC-uri portabile și calculatoare electronice mici portabile) cu discuri dure fixe sunt considerate suporturi informatice de stocare în același sens ca și dischetele sau alte suporturi informatice de stocare mobile.

Aceste echipamente beneficiază de un nivel de protecție, în ceea ce privește accesul, prelucrarea, stocarea și transportul, corespunzător celei mai înalte clasificări a informațiilor stocate sau prelucrate vreodată (până la declasarea sau declasificarea acestora în conformitate cu procedurile aprobate).

25.8.2.   Utilizarea de echipamente IT private pentru activități oficiale ale Comisiei

Pentru prelucrarea informațiilor clasificate UE, este interzisă utilizarea de suporturi informatice de stocare mobile, software și hardware IT private (de exemplu, PC-uri și dispozitive informatice portabile) cu capacități de stocare.

Nu se introduc produse hardware și software și suporturi private într-o zonă de securitate de clasa I sau II în care sunt prelucrate informații clasificate UE fără autorizația scrisă a Șefului Biroului de securitate al Comisiei. Această autorizație se poate acorda doar din motive tehnice în cazuri excepționale.

25.8.3.   Utilizarea de echipamente IT aparținând contractanților sau furnizate de un stat pentru activitățile oficiale ale Comisiei

Șeful Biroului de securitate al Comisiei poate permite utilizarea de echipamente IT și de produse software aparținând contractanților pentru realizarea activităților oficiale ale Comisiei în cadrul organizațiilor. De asemenea, poate fi permisă utilizarea de echipamente IT și produse software furnizate de un stat; în acest caz, echipamentele IT sunt introduse în inventarul adecvat al Comisiei. În orice caz, dacă echipamentele IT urmează a fi folosite pentru prelucrarea de informații clasificate UE, SAA este consultată pentru ca elementele INFOSEC aplicabile utilizării echipamentelor în cauză să fie luate în considerare i puse în aplicare în mod adecvat.

26.   COMUNICAREA DE INFORMAȚII CLASIFICATE UE UNOR STATE TERȚE SAU UNOR ORGANIZAȚII INTERNAȚIONALE

26.1.1.   Principii care reglementează comunicarea de informații clasificate UE

Colegiul membrilor Comisiei decide în privința comunicării de informații clasificate UE unor state terțe sau unor organizații internaționale pe baza:

Se va solicita acordul autorității de origine a informațiilor clasificate UE care urmează a fi comunicate.

Aceste decizii se iau de la caz la caz, în funcție de:

Acceptarea de informații clasificate UE de către state terțe sau organizații internaționale implică o asigurare că informațiile în cauză nu vor fi utilizate pentru alte scopuri decât cele care au motivat comunicarea sau schimbul de informații și că ele vor beneficia de protecția solicitată de Comisie.

26.1.2.   Niveluri

După ce a decis că informațiile clasificate pot fi comunicate unui anumit stat membru sau unei organizații internaționale sau pot face obiectul unui schimb de informații cu acestea, Comisia decide asupra nivelului de cooperare care este posibil. Acesta depinde, în special, de politica și de reglementările de securitate aplicate de statul sau organizația în cauză.

Există trei niveluri de cooperare:

26.1.3.   Acorduri de securitate

După ce a decis că sunt necesare, permanent sau pe termen lung, schimburi de informații clasificate între Comisie și state terțe sau alte organizații internaționale, Comisia încheie „acorduri privind procedurile de securitate pentru schimbul de informații clasificate” cu acestea, definind scopul cooperării și normele reciproce privind protecția informațiilor comunicate.

În cazul cooperării ocazionale de nivelul 3, ale cărei durată și scop sunt limitate prin definiție, un simplu memorandum de înțelegere care definește natura informațiilor clasificate ce fac obiectul schimbului și obligațiile reciproce privind informațiile în cauză poate înlocui „acordul privind procedurile de securitate pentru schimbul de informații clasificate”, cu condiția ca nivelul de clasificare al informațiilor să nu fie mai mare decât RESTRICȚIONAT UE.

Proiectele de acorduri privind procedurile de securitate și de memorandumuri de înțelegere sunt discutate de Grupul consultativ privind politica de securitate a Comisiei înainte de a fi prezentate Comisiei pentru adoptarea unei decizii.

Membrul Comisiei însărcinat cu probleme de securitate solicită asistența necesară din partea ANS ale statelor membre pentru a asigura că informațiile care urmează a fi comunicate sunt utilizate și protejate în conformitate cu dispozițiile acordurilor privind procedurile de securitate sau ale memorandumurilor de înțelegere.

(1)  Fără a aduce atingere Convenției de la Viena din 1961 privind relațiile diplomatice și Protocolului privind privilegiile și imunitățile Comunităților Europene din 8 aprilie 1965.

(2)  A se vedea un tabel comparativ al clasificărilor de securitate ale UE, NATO, UEO și ale statelor membre în apendicele 1.