Daca ”informatie” poate înseamna orice comunicare scrisa ori verbala, indiferent care este suportul sau autorul acesteia, trebuie spus ca prin „clasificare” întelegem atribuirea unui nivel de încadrare/ierarhizare unei anumite informatii. Clasificarea se fac în functie de amploarea prejudiciului care ar putea fi provocat de dezvaluirea neautorizata a informatiilor.
Curtea de Conturi Europeana (CCE) asigura protectia tuturor informatiilor clasificate care îi sunt furnizate spre a-si duce la bun sfârsit misiunea de auditor extern al UE (https://www.eca.europa.eu/ro/mission-vision-and-values). Acest tip de informatii cuprinde de la cele a caror divulgare neautorizata doar ar putea fi în defavoarea intereselor UE sau ale unuia/mai multor state membre, pâna la cele din clasa ”Top Secret UE” (Decizia 41/2021 a CCE, https://www.eca.europa.eu/Lists/ECADocuments/Decision_41-2021/ECA-decision-41_2021_RO.pdf). Acestea din urma, prin divulgare neautorizata, pot aduce prejudicii deosebit de grave intereselor esentiale ale UE sau ale unuia/mai multor state membre.
De prejudicii ”doar” grave, putem vorbi în situatia divulgarii informatiilor marcate ”Secret UE”, ca în cazul celor din grupa ”Confidential UE” sa fie vorba de prejudicii, pur si simplu. Despre informatiile si materialele ”Restrictionate UE” se apreciaza ca si acestea ar putea, prin divulgare neautorizata, sa atraga dezavantajarea intereselor UE sau ale unuia/mai multor state. Masurile instituite de CCE pentru protejarea informatiilor UE clasificate (IUEC) împiedica accesul disimulat sau fortat al ”intrusilor”. Acestea sunt menite sa descurajeze, sa împiedice si sa detecteze orice actiune neautorizata. Totodata, se realizeaza o distinctie între membrii personalului în ceea ce priveste accesul la Informatiile UE Clasificate (IUEC), pe baza principiului necesitatii de a cunoaste. În contextul IUEC, ,sistemele electronice pentru gestionarea acestora (SIC) presupun reguli stricte care se aplica tuturor componentelor (infrastructura, organizare, personal si resurse informationale).
În acest sens, CCE garanteaza autenticitatea informatiilor, asigurând ca acestea sunt veridice si provin din surse de încredere, si disponibilitatea acestora, în sensul ca pot fi accesate si utilizate de catre entitati autorizate la cerere. În acelasi timp, se acorda maxima atentie confidentialitatii (proprietatea informatiilor de a nu fi dezvaluite unor persoane, entitati sau procese neautorizate) si integritatii (garantarea acuratetei si exhaustivitatii activelor si informatiilor). De asemenea, CCE asigura prevenirea repudierii prin disponibilitatea unor dovezi solide cu privire la actiuni sau evenimente, astfel încât acestea sa nu poata fi negate ulterior. Toate aceste garantii se bazeaza pe gestionarea adecvata a riscurilor, începând de la identificarea amenintarilor si vulnerabilitatilor, pâna la acceptarea si comunicarea riscurilor.
În mod evident, masurile de ordin tehnic, fizic, organizational si procedural, care vizeaza reducerea riscurilor asociate protectiei IUEC, capata astazi o importanta aparte. De altfel, orice persoana din cadrul CCE este obligata sa informeze responsabilul cu securitatea informatiilor asupra oricarei deficiente în materie de securitate, incidente, încalcari sau compromiteri ale securitatii care pot afecta protectia SIC/IUEC.
De la sine înteles, nu importa daca respectivele persoane sunt implicate în proiectarea, dezvoltarea ori simpla testare a unui SIC care trateaza IUEC.