Upload
cristina
View
36
Download
0
Embed Size (px)
Citation preview
ABORDAREA SISTEMIC
ACADEMIA TEHNICA MILITARA ABORDAREA SISTEMIC
A PROTECIEI INFORMATIILOR
N SISTEMELE DE COMUNICAII I DE CALCULATOARE
prof. dr. ing. Alexandru erbnescu
ing. Gheorghe Mureanu
Cuprins
1. Introducere.. 32. Noiuni generale de teoria sistemelor. 53. Conceptul de sistem 63.1 Problema mediului n abordarea sistemic ciberspaiul 7 3.2 Ierarhie i rezoluie n sistem 9 3.3 Predicie i control103.4 Proprietile de emergen12 3.5 Punctul de vedere al proprietarului (ownership)..13 3,6 Punctul de vedere al lumii134. Principiile teoriei sistemelor135. Tipuri de sisteme.166. Sistemul de securitate..177. Abordarea sistemic19 7.1 Abordarea sistemica din punct de vedere al problemelor hard .22 7.2 Metodologia de analiz a sistemelor hard..25 7.3 Abordarea sistemic din punct de vedere
hard a subsistemului de securitate26 7.4 Strategiile de tratare a riscurilor.28 7.5 Abordarea sistemic din punct de vedere soft30 7.6 Metodologia de abordare din punct de
vedere al problemelor soft.32 7.7 Abordarea soft a subsistemului de securitate 34 7.8 Abordarea sistemului din punct de vedere
al comportrii n situaii de criz.37 7.9 Abordarea sistemului de securitate din punct
de vedere al comportrii n situaii de criz40 7.10 Metodologia de aciune n cazul dezastrelor
- Disaster Recovery Plan..408. Abordarea sistemic a securitii pe
durata ciclului de via a sistemului419. Concluzii 4310. Bibliografie 44Rezumat
Referatul i propune s abordeze problema securitii n general i problema securitii informaiilor n special printr-o tratare sistemic a funciei de securitate a unui sistem ca o parte inseparabil a sistemului funcional al unei organizaii.
Securitatea din aceast perspectiv apare ca unul din principiile fundamentale ale sistemelor complexe principiul de supravieuire. Referatul prezint conceptul modern de sistem deschis care interacioneaz cu mediul i cuprinde echipamente, proceduri i oameni. Abordarea trateaz factorul uman ca fiind inclus n sistem cu limitele dar i cu creativitatea sa. Abordarea se strduiete s evidenieze faptul c sistemul de securitate care inerent include i oameni, trebuie privit din patru puncte de vedere complementare diferite:
1. Abordat ca un sistem bine delimitat, cu mrimi msurabile i comportri in mare parte previzibile abordarea din punct de vedere hard;
2. Abordat ca un sistem cu delimitri vagi care interacioneaz puternic cu mediul, este descris de mrimi nemsurabile i este supus aprecierilor subiective, cu comportri imprevizibile abordarea din punct de vedere soft,
3. Abordarea din punct de vedere al situaiilor de criz (avarie) studiat atunci cnd unul sau mai multe elemente critice sunt scoase din funciune datorit unor cauze naturale sau provocate;
4. Abordat pe durata ciclului de via cu caracteristici de securitate diferite in fazele dezvoltrii i utilizrii sistemului: analiz sistem, proiectare, implementare, testare, mentenan.Referatul evideniaz i principalele instrumente de analiz ale acestor abordri, rolul analistului i concluzioneaz c aceast abordare complementar este capabil s realizeze un management al securitii optim. Ghidurile internaionale de bun practic, reglementrile i standardele din domeniu reprezint sintetizri, la nivel de securitate minim, ale abordrii securitii din aceste puncte de vedere diferite.1. Introducere
Tot mai frecvent lumea se confrunt cu probleme de securitate (de protecie), se vorbete tot mai mult de securitatea naional, securitatea traficului, securitatea alimentar, securitatea sistemelor informatice, securitatea informaiei etc.Se vorbete de terorism, de ciberterorism, de lupta mpotriva acestor flageluri, care n fapt sunt tot probleme de securitate.
Pentru a rezolva problemele de securitate tot mai multe entiti i-au dezvoltat mecanisme specializate care se ocup de securitatea (aprarea) lor. Exist armate, servicii de informaii, n toate statele, dar i structuri de securitate care au obiective clare de aprare n multe organizaii civile. Aceste structuri au tot mai mult rolul de a crea cadrul organizatoric i a mobiliza eforturile organizaiei n vederea depirii unor situaii perturbatoare ntmpltoare sau provocate care tind s diminueze performanele sau chiar s i ntrerup funcionarea. Aceste structuri acioneaz conforma unor strategii i politici cu obiective definite, cuprind oameni i echipamente care interacioneaz cu ntreaga organizaie dar i cu mediul de lucru al organizaiei pe baza unor metodologii proprii. Se poate spune c exist un sistem de securitate al organizaiei. Sau mai exact exist un subsistem de securitate al sistemului organizaional al oricrei entiti.Dac se definete securitatea ca fiind funcia unui sistem de a-i asigura supravieuirea n condiii de mediu concurenial cu resurse limitate se vede clar c securitatea este una din funciile vitale ale oricrui sistem i nu poate fi separat de activitatea de baz a sistemului.La nivelul ntregii societi se poate spune c se cheltuiesc tot mai multe resurse pentru a rezolva problemele de securitate i se pune tot mai mult problema eficienei acestor cheltuieli.
Exist tendina, datorit faptului c problema securitii este o problem vital pentru orice entitate, ca n anumite condiii de mediu, problema securitii s devin o problem n sine care s atrag fonduri peste necesitile reale impuse de condiiile de mediu. Aceast deturnare de fonduri de la dezvoltare ctre securitate conduce la o micorare a competitivitii organizaiei n mediul ei de lucru i n consecin la eliminarea ei din mediu.
Pe de alt parte micorarea resurselor destinate securitii sub un anumit prag, dictat de mediu, poate conduce la apariia unui eveniment care s produc prejudicii grave sau chiar s scoat din funciune organizaia eliminnd-o din mediu.
Abordnd securitatea ca pe o funcie de aprare a tuturor valorilor unei organizaii: valori materiale, informaii, sistem relaional, imagine, funcionalitate, sistemul de securitate este compus din mai multe subsisteme care coopereaz strns ntre ele i cu celelalte subsisteme ale organizaiei: securitatea personalului, securitatea fizic, securitatea administrativ, securitatea comunicaiilor, securitatea reelei IT, securitatea emisiilor parazite etc.
Este evident c atunci cnd se vorbete de securitatea informaiilor fcnd abstracie de suportul material i viznd toate aspectele securitii problema devine deosebit de complex i este dificil de a menine un echilibru corect ntre toate aceste aspecte.
Globalizarea i dezvoltarea tehnologiilor de comunicaii i informatice au condus la apariia unui mediu specific cu unele proprieti diferite de mediu fizic real: mediul cibernetic ciberspaiul n care elementul esenial este informaia desprins de suportul material. In acest ansamblu securitatea informaiilor joac un rol deosebit, informaia fiind fluidul care leag elementele sistemului i interaciunea sa cu mediul.
Atunci cnd se vorbete de securitatea informaiilor trebuie avute n vedere toate aspectele securitii acesteia: disponibilitatea, confidenialitatea, integritatea, autenticitatea i nerepudierea, cu accent pe aspectele preponderente rezultate din analiza de riscuri.
Este evident c este necesar o optimizare a sistemului de securitate pentru a crete eficiena acestuia i o optimizare a partajrii resurselor ntre subsistemul de securitate i sistem, funcie de condiiile de mediu.Pe de alt parte fiecare organizaie (sistem) are interese, structur, funcionalitate i mediu specific de lucru i n consecin i necesiti de securitate specifice. Acest fapt face ca practic s nu existe soluii generale de securitate ci eventual numai structuri i metodologii de securitate similare care s conduc la nivele de risc rezidual echivalente i trebuie acceptate o mare diversitate de forme de manifestare a funciei de securitate pentru fiecare sistem n parte.
Dat fiind cele de mai sus apare evident c singura metod de abordare a securitii capabil s conduc la o soluii rezonabile este abordarea sistemic a proteciei informaiilor.
2. Noiuni generale de teoria sistemelorTeoria sistemelor a fost definit ca studiu interdisciplinar al organizrii abstracte a fenomenelor independent de substan, tip sau scara lor spaial sau temporal. Investigheaz principiile comune tuturor entitilor precum i modelele (matematice) care sunt utilizate pentru a descrie comportarea acestora.
Definiia a fost propus n anul 1940 de biologul Ludwig von Bertalanffy i fundamentat de Ross Ashby n lucrarea Introduction to Cybernetics (1956).
Lucrarea a fost o reacie la introducerea ideilor de reducionism i de unitate a tiinei. El arat c sistemele reale sunt deschise, interacioneaz cu mediul lor i astfel capt noi proprieti calitative prin emergen rezultnd o evoluie continu.
Ideile enunate mai sus reduc o entitate la proprietile prilor ei i teoria sistemelor se focalizeaz pe prile i relaiile dintre ele care se conecteaz ntr-un tot. (holism). Organizarea particular determin sistemul care este independent de substana concret a elementelor.
Aceast idee st la baza unificrii tiinei.
Teoria sistemelor este apreciat astzi ca una dintre cele mai vaste discipline tiinifice, conceptele ei fiind aplicate n egal msur n tehnic, tiinele naturii i tiinele sociale. Format la confluen dintre mai multe discipline tiinifice clasice, teoria sistemelor constituie un instrument util de lucru pentru abordarea sistemelor complexe.Aa cum se vede i din figura de mai jos, propus n anul 1968 de filozoful polonez Jan Zieleniewscki, teoria sistemelor i mparte sfera de cuprindere cu cibernetica, filozofia tiinei, i praxeologia fr a se putea substitui nici uneia.
Teoria sistemelor are n accepiunea filozofului un rol dominant i ca i cibernetica i filozofia tiinei se bazeaz pe praxeologie, definit ca tiin a condiiilor generale de eficien a ntregii aciuni umane, conceput ca i comportament uman orientat ctre tiin i executat cu sentimentul libertii de alegere al agenilor.Aceast ngemnare cu tiinele cele mai generale precum i rolul dominant pe care l deine n acest ansamblu fac din teoria sistemelor candidatul cel mai bun pentru a studia locul i rolul subsistemului de securitate n cadrul unui sistem care evolueaz ntr-un mediu specific, mediu, care nu ntodeauna i n totalitate i este favorabil.Sistemul de securitate sau mai corect subsistemul de securitate al unui sistem este o entitate complex care nglobeaz toate funciile majore ale unui sistem pentru ai asigura supravieuirea ntr-un mediu care poate uneori s i fie ostil. Subsistemul de securitate include activiti umane, echipamente i funcii specializate precum i un schimb permanent de informaii cu mediul organizaional i cu mediul exterior organizaiei (sistemului). Managementul securitii informaiilor necesit cunotine din domeniul mecanicii, opticii, comunicaiilor, teoriei informaiilor, fizic, chimie, legislaie, psihologie etc.
Obiectul studiului ar fi extragerea caracteristicilor pentru o proiectare eficient a subsistemului de securitate (ingineria securitii sistemului).
Figura 1.3. Conceptul de sistemConceptul de sistem este unul dintre conceptele primare, fundamentale, cu utilizri frecvente n numeroase domenii ale tiinei. Fiind un concept primar foarte general nu are o definiie riguroas larg acceptat. Noiunea este neleas la nivel intuitiv prin descrierea principalelor caracteristici ale sale.Prin sistem, se nelege n general, un ansamblu de pri (denumite componente) care interacioneaz ntre ele ntr-un mod organizat (implic noiunea de structur) pentru atingerea unui obiectiv (trebuie s fac ceva).
Aceast definire a conceptului de sistem evideniaz noiunea simplificat, mecanicist a sistemului. n care sistemul era vzut ca ceva izolat de mediu, prevzut cu intrri i ieiri i care procesa ntr-un fel oarecare ceea ce i se prezenta la intrare pentru a scoate ceva la ieire.n accepiunea modern, noiunea clasic a sistemului mai trebuie completat cu urmtoarele caracteristici:
Adugarea sau scoaterea unei componente schimb sistemul;
O component este afectat prin includerea n sistem; Componentele sunt percepute referitor la o structur ierarhic; Exist incluse metode de control i de comunicare care promoveaz supravieuirea sistemului [1] (funcia de securitate);
Sistemul are proprieti de emergen, dintre care unele sunt dificil de prevzut (implic descriere probabilistic); Sistemul are limite (chiar dac nu pot fi riguros definite);
n afara limitelor sistemului exist mediul care afecteaz sistemul;
Sistemul aparine cuiva (cel care stabilete obiectivele).Ca instrument de studiu al sistemelor s-a dezvoltat independent analiza sistemelor aplicnd principiile teoriei sistemelor pentru fundamentarea deciziilor n problemele: identificrii, reconstruciei, optimizrii i controlului sistemelor (organizarea socio - tehnic) cnd se iau n calcul: obiective multiple, constrngeri i resurse.
Se au n atenie diferite posibile cursuri de aciune asociate cu riscuri, costuri i beneficii.
3.1 Problema mediului n abordarea sistemicEste de subliniat referitor la nelegerea conceptului de sistem introducerea noiunii de mediu cu care sistemul schimb materie, energie i informaii i fr de care este dificil de evaluat performanele acestuia, precum i a noiunii de observator (analist), care intervine cu experiena sa n evaluarea limitelor sistemului, n determinarea elementelor care pot fi comandate direct, sau a proceselor care-l afecteaz semnificativ (n modelare).Din punctul de vedere al acestei lucrri, o poziie special printre caracteristicile sistemelor o ocup metodele de control i comunicare care promoveaz supravieuirea sistemului i care pot constitui baza subsistemului de protecie (securitate).Trebuie remarcat c funcia (principiul) de protecie este direct legat de control i de comunicare deci de informaie. Cu alte cuvinte capacitatea de supravieuire depinde de capacitatea de a strnge informaii, de a le prelucra (a le converti n decizii) i a comunica deciziile elementelor controlate spre execuie n vederea obinerii unei evoluii de supravieuire.
n acest tablou o analiz special o necesit modul de stabilire al obiectivelor sistemului de securitate care pot fi determinate din analiza obiectivelor sistemului general i a interaciunii acestuia cu mediul n ndeplinirea obiectivelor sale specifice.Problema ciberspaiului mediul informaiei n format electronicO analiz special trebuie fcut mediului de evoluie al informaiilor n format electronic, mediul sistemelor informatice i de comunicaii care este un mediu special- ciberspaiul cu proprieti i legi specifice, diferite de legile mediului fizic. Analistul, n mod natural, are tendina de a evalua sistemul prin prisma experienei sale. Dac nu este familiarizat cu legitile din mediul electronic (INTERNET) percepia asupra situaiei va fi deformat i rolul su n dimensionarea i evoluia sistemului va fi negativ.Ciberspaiul, este definit ca mediul de propagare al informaiilor n format electronic i a aprut ca urmare a dezvoltrii tehnologice care a inventat scule noi i automatizeaz prelucrarea i transportul informaiilor: calculatoarele i reelele de comunicaii. n procesul de prelucrare al informaiilor, aceste scule se interpun ntre om i informaie constituindu-se n cea mai important interfa ntre acestea, condiionnd viteza i modul de acces al omului la informaie. Aceast interfa, care are o inteligen i memorie proprie (artificial, primitiv dar cu un anumit grad de independen de utilizator, se dezvolt exploziv dublndu-se la fiecare 2 ani) condiioneaz n bun msur capacitatea omului de a cunoate mediul (este tot mai mult un substitut al ochilor i urechilor n cunoaterea mediului). Aceast interfa este tot mai mult depozitara cunotinelor omenirii. Aceast interfa, subordonat parial, chiar pe termen scurt, poate provoca prejudicii mari la nivelul societii prin fenomene de amplificare sociale datorit interdependenelor ntre grupurile sociale i tensiunilor acumulate. Exercitarea unui control sau a unei perturbaii semnificative asupra acestei interfee poate produce prejudicii mari vieii sociale n anumite circumstane.
n acelai context dezvoltarea fr precedent a reelelor de comunicaii prin interconexiunea reelelor de telefonie, comunicaii radio, prin satelii, prin integrarea tuturor serviciilor de transport a informaiilor: voce, fax, imagini, date, pot, ntr-o singur reea mondial i practic contopirea acesteia cu INTERNETUL a condus la crearea Magistralei Informaionale Globale (M.I.G.). Capacitatea de transporte a acestei magistrale este uria i dup unele surse de dubleaz n fiecare an. Amintim mai jos cteva din proprietile specifice acestui mediu - ciberspaiului:
este un mediu virtual cu o anumit reflectare a realitii dar care interacioneaz strns cu mediul fizic prin intermediul informaiilor folosite de oameni sau maini i are legiti specifice;
este probabil cel mai socializat mediu - acoper ntreg globul, toate mediile de comunicaii i toat scara social magistrala informaional global; mediul poate fi modificat major i rapid prin intervenia omului; multiplicatul valorilor (informaiilor) n ciberspaiu se face foarte uor cu costuri nule i operaia nu las urme asupra originalului;
valorile (informaiile) por fi manipulate de la distane uriae, pot fi deplasate cu viteza luminii (teleportate), distruse sau modificate fr ca aceste operaii s lase urme n mediul local; utilizatorii beneficiaz de protecia anonimatului; mediul este in continu schimbare datorit progresului tehnologic exploziv;
justiia clasic are dificulti n exercitarea prerogativelor deoarece: este foarte lent n reglementare n comparaie cu viteze de schimbare a mediului;
inconsistena termenilor utilizai n comunicarea global dificultatea definirii termenilor legai de informaii, sistem, comunicaii, criminalitate electronic, precum i acceptarea lor general cu consecine n instan: ambiguitile trebuie s fie interpretate in favoarea inculpatului;
situaia ofer grade de libertate suplimentare exploatabile pentru aprare, n defavoarea adevrului;
dificultatea incriminrii n codul penal;
problema teritorialitii justiiei i independena de spai u (i chiar de timp) a activitilor n ciberspaiu;
caracterul transfrontalier al criminalitii electronice;
caracterul nematerial al probelor (informaiilor n form electronic din sistem) i folosirea lor ntr-un sistem bazat pe materialitatea probelor (sunt admise numai probe tangibile) ceea ce face ca probarea s se poat face de regul prin administrare indirect de probe;
semntura electronic;
expertiza tehnic i criminalistic;
Caracteristicile ciberspaiului i trecerea spre societatea informaional, exprimarea a tot mai multor valori n bii, fac din ciberspaiu un cmp predilect pentru infracionalitate.
De altfel, n prezent, infracionalitatea electronic crete mai repede dect poate justiia i autoritile s o reprime. Este de datoria sistemului de securitate de a contracara aceast situaie de fapt prin descurajare, creterea dificultilor de manipulare frauduloas a informaiilor i s creeze suficiente urme credibile care s probeze faptele incriminate de lege.Este interesat de subliniat c acest mecanism de creare a urmelor n ciberspaiu (se poate vorbi n sens mai larg de spaiu informaional) implic cu necesitate un sistem de monitorizare i nregistrare a activitilor. De asemenea este necesar i un sistem de intervenie care s frneze (s ntrzie) unele activiti pn se poate verifica nocivitatea unor activiti pentru a putea fi permise sau stopate.3.2 Ierarhie i rezoluie n sistemComplexitatea sistemelor i dificultatea analizei lor a condus la ideea de diviza sistemul n pri componente mai mici care s poat s fie analizate relativ independent i aa a aprut conceptul de subsistem (element) focalizat pe o component fizic, pe o anumit funcie, pe un anumit proces.Conceptul de subsistem implic noiunile de ierarhie i rezoluie.
Prin rezoluie se nelege gradul de atomizare al sistemului astfel nct s permit o analiz suficient de detaliat din partea analistului i o modelare cu un grad de complexitate rezonabil.
Noiunea de rezoluie conduce imediat la noiunea de ierarhie indicnd modul de interaciune ale subsistemelor (componentelor). Ierarhia poate fi constituit n multe moduri funcie de analiza efectuat: pe relaia cauz efect, pe element de comand - element condus, succesiune in timp, succesiune logic etc.
Noiunea de ierarhie conduce la conceptul de structur i mpreun constituie mijloace utile de reprezentare i modelare eficient a funcionalitii sistemelor.3.3 Predicie i control
Predicia i controlul se refer la capacitatea sistemului de a-i opri disfuncionalitile atunci cnd acestea apar datorit aciunii mediului sau hazardului i s refac capacitatea de aciune a sistemului (s supravieuiasc).
O caracteristic important a sistemelor reale este faptul c sistemele complexe au de regul o serie de proprieti predictibile n anumite circumstane dar este posibil s aib i unele proprieti impredictibile. Analiza sistemelor in aceste situaii se poate face n termeni probabilistici iar rezultatele vor fi exprimate prin estimri. Comportarea sistemelor n aceste cazuri va include i un anumit grad de incertitudine.
Acest mod impredictibil de comportare al sistemelor chiar dac se cunoate cu un grad suficient de precizie condiiile iniiale este ntlnit n dinamica sistemelor nelineare n anumite condiii [4].
Acest mod de comportare este ns caracteristic sistemelor vii sau sistemelor care includ componente vii, dar i sistemele tehnice complexe cum sunt de exemplu i sistemele IT&C includ asemenea caracteristici.
Controlul este aciunea pe care o execut un element ( subsistem) asupra altui element (subsistem) n urma monitorizrii i a constatrii unor abateri ale elementului condus de la traseul ctre obiectiv. n acest context se pune problema optimizrii controlului: a gsirii traseului optim din punct de vedere al unei funcii cost pentru atingerea obiectivului.n figura 3 este artat diagrama general a unei bucle de control.
Figura 3
In figura de mai sus se vede, c n general, bucla de control poate fi complex i informaia despre elementul condus estre extras prin percepie (nu este chiar exact i poate implica interpretare) este comparat cu o reprezentare (implic o modelare) i informaia de comparaie este comunicat agentului de decizie al aciunii.
Problema optimizrii controlului (conducerii)
Problema optimizrii poate fi formulat ntr-o manier de abordare sistemic sau printr-o abordare analitic.Abordarea sistemic are avantajul c are un grad mare de generalitate i se poate aplica sistemelor reale care rareori pot fi descrise prin funcii analitice i au numeroase elemente de incertitudine i in general includ aciunea uman.Abordarea analitic are avantajul exprimrii precise i al existenei unui aparat performant de formalizare care permite gsirea soluiilor optime cu certitudine.
Dezavantajul metodei const n faptul c sistemele complexe reale se comport rareori ntr-o manier determinist care s fac posibil modelarea printr-o funcie analitic sau modelarea analitic exprim realitatea numai aproximativ, fiind necesare monitorizri i corecii succesive n timpul funcionrii prin mijloacele abordrii sistemice.Este de remarcat c cele dou abordri sunt complementare i n ingineria sistemelor trebuie aplicate mpreun. Este arta inginerului de a gsi mbinarea optim.
Abordarea analitic este bine dezvoltat n perioada abordrii mecaniciste a tiinei are la dispoziie o multitudine de metode de optimizare a conducerii unui sistem.n general, problema optimizrii controlului se reduce la problema gsirii maximului sau minimului unei funcii de cost, funcie care depinde de mai multe variabile.
De multe ori funcia cost poate fi exprimat sau aproximat printr-o funcie analitic dar poate fi exprimat i printr-un algoritm sau chiar o metodologie.Atunci cnd costurile pot fi exprimate sau aproximate printr-o singur funcie sau algoritm spunem c avem de a face cu optimizarea monocriterial. Optimizarea monocriterial permite determinarea minimului sau maximului chiar dac n mulimea variabilelor se introduc o serie de constrngeri exprimate prin mai multe egaliti sau inegaliti dei aceste constrngeri extrem de mult problema rezolvrii.
n form analitic, aceste condiii se pot exprima prin gsirea:
unde g(x) i h(x) sunt constrngerile.
n [5] sunt descrise mai multe metode de optimizare monocriteriale fr a epuiza subiectul:
metoda numrului de aur;
metoda interpolrii hermitiene;
metoda lui Newton;
metoda cutrii formale;
metoda simplex. n fond, metoda optimizrii monocriteriale, const n pornirea dintr-un punct al domeniului de definiie i a face un pas ntr-o direcie oarecare (de dorit n direcia cu cea mai rapid descretere) folosind o lungime de pas oarecare pentru a obine un nou punct de plecare. Pentru determinarea mrimii pasului se poate optimiza relaia de mai jos:
x = x + *s
metodele de optimizare se difereniaz ntre ele prin strategia prin care aleg parametrii (pasul) i s (gradientul).
O alt metod de optimizare const n aproximarea funciei pe un interval iniial oarecare cu o funcie convenabil cu extrem cunoscut. Punctul de extrem (minim) al funciei de aproximare devine noul capt al intervalului.
Procesul continu pn la ndeplinirea unui criteriu de oprire care trebuie s semnifice minimum funciei. De regul, condiia de oprire este aceea ca n vecintatea punctului curent funcia s fie minim pe orice direcie.
In practic, atunci cnd se discut problema sistemelor complexe, de cele mai multe ori apare necesitatea optimizrii dup mai multe criterii (funcii cost) pentru care nu se por gsi exprimri unitare i dintre care unele pot fi concureniale (antagonice chiar). n aceast situaie beneficiarul trebuie s aleag ntre mai multe soluii posibile i ne intereseaz dac se poate garanta obinerea unei soluii optime. n aceast situaie vorbim de optimizarea multicriterial. n optimizarea multicriterial absena n general a unei soluii optimale implic introducerea noiunii de: neinferioritate.In [5] sunt menionate mai mute metode de optimizare multicriterial: metoda sumelor ponderate;
metoda constrngerii lui ;
metode de tip atingere obiectiv;
metoda normei infinit ponderate;
Este de subliniat c nu exist o metod sigur care s conduc la cea mai bun soluie i este important experiena analistului.3.4 Proprietile de emergenProprietatea de emergen rezid din faptul c un sistem nu este suma prilor componente. Interaciunea organizat a prilor componente produce efecte noi care nu se regsesc calitativ sau cantitativ n suma prilor componente. Ex.: balansierul, arcul i roile dinate ale unui ceas nu poart informaie despre timp. Asamblate logic ca s formeze un oscilator mecanic cu demultiplicare ansamblul poate msura timpul cu o precizie remarcabil. 3.5 Punctul de vedere al proprietarului (ownership)
Noiunea de proprietate nu trebuie neleas n sensul de proprietate ci in sensul interes n comportarea sistemului i de drept de decizie. Aceste drepturi pot fi si numai asupra unei pri a sistemului. Sistemul poate ngloba o parte din interesele sale n structur nc din faza de proiectare sau implementare. Noiunea este important pentru a stabili cine are responsabilitatea managementului n diverse faze de implementare a proiectului. Semnificaia aducerii includerii punctului de vedere al sistemului deriv din faptul c proprietarul are dreptul (i obligaia) s intervin n sistem i comportarea sistemului se schimb cnd se schimb managementul. 3,6 Punctul de vedere al lumii ( problema imaginii)Reprezint un set complex de percepii, atitudini, valori, presupuneri i motivaii care caracterizeaz atitudinea unui individ sau un grup de indivizi fa de sistem. Acest punct de vedere este important datorit faptului c orice sistem schimb materie, energie i informaii cu mediul dar mediul nu ntodeauna poate fi considerat inert, omogen i obiectiv. Schimburile sistemului cu mediul determin variaii ale comportrii acestuia de care trebuie s se in cont in managementul general al sistemului i n managementul securitii acestuia.Teoria sistemelor include elemente de cibernetic i de dinamica sistemelor care modeleaz schimbrile ntr-o reea de variabile cuplate. Este n conexiune cu studiul complexitii i al autoorganizrii, reele eterogene cu elemente interactive, echilibrul termodinamic, dinamica haosului, viaa artificial, reele neurale, simularea i modelarea pe calculator.
4. Principiile teoriei sistemelor principiile de existen i aciune ale sistemelor
Pentru a fixa ideile, nainte de a intra n principiile generale care guverneaz teoria sistemelor, s punctm diferenele dintre principii i teorii, precum i rolul experimentului i al legitilor.Legitile reprezint obiectivul fundamental al oricror cutri tiinifice. Cercetarea tiinific are n final ca scop s gseasc o serie de regulariti, cu un anumit grad de generalitate care s permit o predicie a unei situaii cnd sunt ndeplinite o serie de condiii. n domeniul proteciei sistemelor se poate vorbi de o cercetare pentru a gsi legiti ale atacurilor probabile, i legiti utile n domeniul stabilirii obiectivelor pentru sistemul de securitate funcie de natura mediului precum i a orientrii resurselor organizaiei (sistemului) pentru a optimiza aprarea. Experimentul a fost impus de praxisul ingineresc i medical i este folosit ca baz a cunoaterii. Este folosit acum pentru a verifica ipoteze i a identifica reguli noi. Cutarea de reguli noi depete interesul teoretic i trece n domeniul intereselor practice de control al obiectelor.Teoria este un ansamblu de legiti, cu aplicabilitate mai restrns, cu rol unificator asupra legitilor care rezum suma cunotinelor noastre la un moment dat. Teoria poate fi oricnd schimbat pentru a fi pus n concordan cu experimentele, cu progresele cunotinelor noastre.Principiile sunt bazate pe experien i acord social i din aceast cauz au o arie de aplicabilitate mult mai mare. Ele reprezint axiome tiinifice care se constituie n criterii fixe.In fig. 2 Sunt prezentate principiile generale care guverneaz teoria sistemelor i postulatele care le sunt subsumate.
Figura 2.Principiul cauzalitii oricrui sistem i sunt caracteristice legi fizice, ce determin existena i funcionarea precum i legturi cauz efect interne, posibil unice.Principiul modelrii orice sistem complex poate fi reprezentat printr-o mulime de modele fiecare dintre ele reprezentnd o anumit faet a sistemului. Principiul ofer posibilitatea studierii unei proprieti sau a unui grup de proprieti.
Principiul supravieuirii orice sistem complex, autoguvernabil i va orienta procesele pentru a supravieui i a-i conserva procesele.Principiul orientrii spre obiectiv orientarea spre obiectiv este tendina fundamental a sistemului de atingere a obiectivelor fixate, a unei anumite stri sau proces. Prin aceasta se dovedete capabil s contracareze o aciune extern, s se adapteze, s utilizeze mediul i s supravieuiasc. Consecina direct este postulatul alegerii.Postulatul integralitii Sistemul ca ntreg posed proprieti sistemice generale care nu se regsesc la componente pentru nici un procedeu de descompunere. Proprietile sistemice se formeaz din interaciunea componentelor. Operaiile de descompunere i recompunere trebuie s genereze informaii pentru caracterizarea sistemului la un nivel mai nalt. Postulatul autonomiei Sistemele complexe au metric spaio-temporal autonom i legi intrasistemice de conservare care nu depind de mediul exterior. Metrica autonom limiteaz posibilitile de descompunere.Postulatul complementaritii Sistemele complexe, n medii diferite, pot manifesta proprieti sistemice diferite chiar incompatibile.
Postulatul nedeterminrii Precizia de determinare a proprietilor unui sistem depinde de nedeterminarea sistemului n ansamblu. Creterea preciziei determinrii unui parametru este posibil s conduc la creterea nedeterminrii altor parametrii.
Postulatul aciunii Pentru modificarea comportamentului unui sistem este necesar o aciune care s depeasc o valoare de prag determinat de trei variabile: cantitatea de substan, de energie i de cantitatea de informaii schimbate n sistem.
Postulatul conservrii funciilor critice Orice sistem complex, autoguvernabil, trebuie s-i conserve funciile critice.
Postulatul recuperrii investiiilor Orice sistem complex autoguvernabil se va orienta n organizarea sistemului de aprare dup principiul recuperrii investiiilor pentru securitate. (costurile de asigurare sunt mai mici dect impactul prejudiciului)
Postulatul alegerii Sistemele complexe posed capacitatea i un domeniu de alegere a comportamentului (a reaciei la stimulii externi) funcie de criteriile interne de orientare ctre obiectiv. Nici un fel de cunotine apriorice nu permit la nivelul unui supra sistem sau la nivelul sistemului s se influeneze alegerea.
5. Tipuri de sisteme
Dup cum am vzut noiunea de sistem este o noiune complex i nu exist o definiie precis care s poat s mpart precis mulimea entitilor complexe n sisteme i non sisteme. Este uor de catalogat o entitate ca ne fiind sistem numai dac este extrem de simpl i nu este inclus intr-un ansamblu care interacioneaz cu mediul.
Din acest motiv, n prezent, nu exist o clasificare complet unanim acceptat a sistemelor. i nici nu exist criterii unanim acceptate dup care s se fac aceast clasificare.
Trebuie avut n vedere c nici o clasificare nu poate cuprinde ntreaga diversitate a lumii reale n interdependenele sale.
Au fost propuse numeroase criterii de clasificare a sistemelor dintre care amintim:
sisteme nchise i sisteme deschise, referitor la modul de interaciune cu mediul;
sisteme naturale, artificiale i sociale, referitor la contribuia uman la crearea lor;
sisteme ierarhice i sisteme distribuite (n reea);n figura de mai jos este dat o clasificare i o ierarhizare a sistemelor din punct de vedere apariiei lor n timp. Evoluia lor n timp a avut ca o consecin creterea complexitii lor astfel c n partea superioar a diagramei se situeaz sistemele creatoare cu auto organizare sau altfel numite: sistemele hipercomplexe.
Figura 46. Sistemul de securitate
Sistemul de securitate sau mai precis subsistemul de securitate este reprezentat de structura de securitate i toat infrastructura care deservete funciile de securitate ale sistemului. Sistemul de securitate nu poate fi separat de funcionalitatea metasistemului. In general politicile de securitate conduc ctre restrngerea funcionalitii sistemului i trebuie realizat un optim ntre constrngeri i funcionalitate.In alt ordine de idei trebuie subliniat c subsistemul de securitate este un important consumator de resurse pe care le sustrage de la dezvoltarea sistemului i la limit poate s provoace moartea metasistemului prin inaniie.
Sistemul de securitate folosete in mare msur facilitile metasistemului n scopul obinerii securitii. Protecia sistemului este n fapt realizat de ntreaga structur a organizaiei, rolul sistemului de securitate fiind de a coordona activitile din sistem n scopul obinerii unui grad rezonabil de siguran privind existena acestuia n condiiile provocrii mediului.
Din aceste motive este imperios necesar gsirea unor metodologii care s optimizeze echilibrul dintre necesitile de securitate i facilitile sistemului.
Sistemul de securitate la rndul su poate avea o structur complex care interacioneaz cu toate elementele metasistemului precum i cu mediul exterior.
Aprecierea eficienei sistemului de securitate este o problem dificil i conine multe elemente de subiectivism.
Dei se discut mult de sistemele de securitate, totui este dificil ca acest s fie delimitat precis n cadrul unei organizaii.
Totui se poate vorbi de o structur specializat cu un grad mare de generalitate care a nceput s se structureze n ultimul timp. Sistemul de securitate poate fi apreciat ca fiind compus din urmtoarele subsisteme:
subsistemul de protecie fizic;
subsistemul de control al accesului;
subsistemul de protecie perimetral; subsistemul TVCI;
subsistemul de alarm la efracie;
subsistemul de control al incendiilor:
subsistemul de detecie incendii;
subsistemul de stingere automat a incendiilor;
subsistemul detecie a inundaiilor;
subsistemul de protecie IT&C: subsistemul de protecie a comunicaiilor COMSEC; subsistemul de protecie al reelei de calculatoare COMPUSEC;
subsistemul de control acces;
subsistemul de detecie al intruziunilor;
subsistemul de monitorizare a activitilor n reea (sistemul logon);
subsistemul de protecie criptografic CRIPTOSEC;
subsistemul de protecie la scurgerile de radiaii parazite TEMPEST;
subsistemul de protecie a personalului;
subsistemul de protecie fizic a echipamentelor i suporturilor de memorie
subsistemul de protecie a documentelor; subsistemul de protecie a personalului;
subsistemul de protecie operaional reprezentat de mecanismele care protejeaz la riscuri activitatea principal a organizaiei (ex. structura de management al riscurilor financiare la o banc, sigurana zborurilor la un aeroport etc.)
In prezent la multe organizaii aceste subsisteme sunt ncadrate din puncte de vedere organizatoric in departamente diferite i nu coopereaz ntre ele situaie care conduce la risip de resurse i n plus la vulnerabiliti exploatabile (bree de securitate). Sistemul de protecie perimetral (paza) este separat, protecia personalului este realizata de compartimentul resurse umane ca sarcin secundar, protecia IT&C este in sarcina departamentului IT, protecia operaional este la un compartiment separat.O clasificare introdus recent referitor la principiul de supravieuire al sistemelor (la securitatea sistemelor) n ultimul timp s-au introdus noiunile:
sisteme critice; sisteme ordinare;Aceast delimitare are o importan major n analiza securitii sistemului i n special n ingineria securitii acestuia. Pentru sistemele critice trebuie s se asigure redundan sau ci alternative, de ocolire, chiar temporar cnd nu se poate altfel.
Noiunea de sistem critic se folosete pentru a delimita un subsistem vital, relativ redus, al unui sistem complex, care dac este perturbat provoac prejudicii majore (in avalan) sistemului mare (metasistemului) conducnd chiar la distrugerea acestuia.
Prin sistem ordinar, n aceast clasificare, se neleg subsistememele care prin scoaterea lor din funciune produc prejudicii suportabile la nivelul sistemului (care nu pun n pericol supravieuirea acestuia).
Exemple de sisteme critice: sistemul de alimentare cu energie electric al unui ora prin scoaterea din funciune blocheaz activitile n transporturi, comunicaii, spitale, intreprinderi industriale etc.;
sistemul de alimentare cu ap vital pentru via, salubrizare,sntate, activiti industriale etc.;
sistemul de sntate public;
sistemul motor al unei aeronave;
sistemul de orientare al aeronavei;
sistemul IT&C, vital ntr-o societate informaional prins n sistemul interdependenelor globale i tot mai dependent de schimbul de informaii cu mediul. Este de subliniat c mediul concurenial i viteza de evoluie a acestuia conduce la creterea importanei informaiilor i face ca sistemul de comunicaii i de prelucrare a informaiilor s devin sistem critic.7. Abordarea sistemicFundamentarea teoriei generale a sistemelor se bazeaz pe convingerea c o anumit clas de entiti complexe numite sisteme pot fi analizate numai folosind o metodologie specific capabil s conduc la un rezultat satisfctor n studiul sistemelor complexe care interacioneaz cu mediul.Sunt ntlnite dou metodologii de abordare a studiului sistemelor:
abordarea analitic;
abordarea sistemic;
Abordarea analitic se caracterizeaz prin faptul c se bazeaz pe analiz, pe descompunerea sistemului n pri componente i analiza interdependenelor dintre ele, orientat spre detalii pentru a pune n eviden noutatea care apare n sistem prin interaciunea elementelor. Analiza se bazeaz pe variaia a cte unui parametru asupra obiectivului sistemului. Nu este orientat spre obiective i nu ia in considerare interaciunea cu mediul dect prin intermediul intrrilor n sistem.Abordarea sistemic se caracterizeaz prin faptul c raporteaz sistemul la mediul n care evolueaz, are n vedere obiectivele sistemului i analizeaz cile de atingere a acestora. Privete sistemul din punct de vedere al percepiei unui observator i integreaz efectele schimbrii unor grupuri de variabile. Urmrete s integreze efectele schimbrilor pluridisciplinare.
Exist mai multe modele de abordare sistemic descrise n [1], [5] i [6] dar probabil cel mai complex i mai eficient este modelul prezentat mai jos, extras din [5], a crui utilitate se dovedete n ingineria sistemelor i care se bazeaz pe modelarea i simularea sistemului.
Figura 5
Analiznd problema abordrii sistemice, un mod util de formulare (de clasificare chiar) se gsete n [1]. Alan Waring, concentrndu-se pe analiza sistemelor complexe din lumea real propune ca acestea s fie analizate din trei puncte de vedere diferite. Alan Waring definete trei tipuri de sisteme generice: sisteme hard, sisteme soft i sisteme n afara regimului de lucru (n regim catastrofic).
Cele trei tipuri de sisteme reprezint puncte de vedere diferite ale aceluiai sistem complex din lumea real. Cele trei puncte de vedere sunt complementare i formeaz o imagine holistic a sistemului.
Sistemele hard sunt considerare sistemele care pot fi precis definite iar mrimile care l descriu pot fi cuantificabile. n aceast categorie se nscriu majoritatea sistemelor inginereti dar pot fi gsite aici i o serie de sisteme fizice sau chimice. Sunt sisteme pentru care s-au dezvoltat metode analitice de analiz sofisticate i pentru care de regul se poate gsi o soluie optim.
Sistemele soft sunt sistemele care nu pot fi descrise prin mrimi cuantificabile, sunt dificil de definit i de ncadrat n limite precise. n aceast categorie se nscriu sistemele care includ relaii umane, sistemele vii. Sunt sisteme care pot fi analizate n baza unui proces continuu de nvare, bazat pe experiena analistului.
Sisteme aflate n afara regimului de lucru sunt sistemele sunt sistemele a cror funcionare a fost afectat ntr-un fel oarecare i nu i mai pot atinge obiectivele pentru care au fost create. Abordarea sistemului din acest punct de vedere are importan deosebit deoarece pot pune n eviden prin intermediul interdependenelor ntre elementele sistemului distrugeri ireparabile sau chiar moartea sistemului. Se are n vedere cu precdere determinarea efectelor de avalan.
n diagrama din figura 6 sunt reprezentate aceste moduri de abordare a unui sistem complex real.
Din diagram se observ c cele trei puncte de vedere se ntreptrund i exist zone ale sistemului care pot fi descrise exclusiv prin metode hard, soft sau considerat ca funcionnd n afara regimului de lucru, precum i zone care sunt comune celor trei puncte de vedere i care nu pot fi separate.
Limitele celor trei moduri de abordare pot fi slab definite i n acest caz analiza influenei mediului depinde de experiena analistului.
Acest mod complementar de a privi problema analizei unui sistem real complex are avantajul c ofer un mod de organizare a informaiilor despre sistem i menine n joc toate metodele de analiz cunoscute. Metoda permite analiza chiar a unor tendine ireconciliabile din sistem care pot exista simultan dar care sunt mediate la nivelul sistemului.
Avantajele acestui tip de abordare se vd foarte bine atunci cnd sistemul evolueaz ntr-un mediu concurenial sau chiar ostil.
In situaia n care sistemul este confruntat cu o ameninare care se manifest inteligent i care ncearc s creeze vulnerabiliti la nivelul sistemului i s le exploateze contient, crete rolul abordrilor sistemice neclasice: abordarea soft i abordarea catastrofic. Aceste abordri aduc un plus de informaie prin metodologia care ia in consideraie alte categorii de informaii despre sistem i un altfel de structurare a acestora precum i experiena analistului, plus de informaie necesar compensrii virulenei atacurilor inteligente care creaz i exploateaz vulnerabiliti ale sistemului.
Asemenea situaii apar n caz de rzboi, atacuri teroriste sau chiar n caz de concuren neloaial.
Tot ctre acest tip de abordare conduce i abordarea sistemului de securitate al informaiilor (sistemele IT&C). Aceste sisteme sunt evident foarte complexe, includ o puternic component uman (informaia este produs de oameni i este destinat tot oamenilor), oameni care sunt orientai de interese dintre cele mai diverse iar unele sunt conflictuale.
Aceste sisteme evolueaz in mediul cibernetic cu proprieti speciale aa cum am vzut iar justiia are o serie de probleme n a-i face datoria n acest mediu.
Figura 67.1 Abordarea sistemica din punct de vedere al problemelor hardSistemele hard sunt descrise ca sistemele care pot fi definite precis i a cror mrimi (variabile) sunt cuantificabile. Sunt cunoscute trei tipuri de sisteme hard: Sistemele inginereti sau sistemele tehnice;
Sistemele hard naturale;
Sisteme simbolice sau abstracte;
Sistemele inginereti sunt sistemele tehnice construite de om n vederea ndeplinirii unuia sau mai multor obiective i includ maini, echipamente, procese. De multe ori obiectivele acestor sisteme sunt incluse n hard (n structur). Sunt sistemele la care sunt cunoscute n detaliu datele i obiectivele de proiectare (datele de creaie).Unele sisteme tehnice sunt descrise sunt descrise n termeni funcionali cum sunt sistemele informatice (sistem de e-mail, sistem de management al documentelor etc.)
Aceste sisteme pot fi descrise prin diagrame de funcionare, comportarea lor poate fi exprimat prin variabile cuantificabile i de multe ori descris prin funcii analitice sau algoritmi determiniti.
Acest mod de abordare permite o descriere foarte exact a comportrii sistemului i optimizri eficace n raport cu atingerea obiectivelor.n aceast categorie sunt incluse sistemele mecanice, de comunicaii, de calculatoare, dar i fabricile.Sistemele hard naturale sunt sistemele care nu sunt fcute de om dar sunt bine cunoscute de om n urma unor cercetri aprofundate. Aceste sisteme pot fi n mare msur controlate de om i pot face obiectul unor sisteme inginereti. Au un anumit grad de hazard dar n general se pot face predicii asupra comportrii acestora.
Ca exemplu sunt: sistemele biologice (bacterii, virui, plante, etc.), sistemele geologice, hidrografice, vulcanice, culturi agricole etc.Sistemele simbolice sunt sisteme create de mintea uman i care nu au corespondent fizic. Aceste sisteme conin simboluri i reguli. Ele pot fi incorporate sau nu n sisteme inginereti.
Din aceast categorie fac parte sistemele lingvistice, matematica dar i programele de calculator.Elementul comun al acestor sisteme este faptul c analiza lor poate fi descris n elemente cuantificabile, cu un grad ridicat de precizie.
Analiza sistemelor hard se poate face printr-o abordare sistematic, situaie n care rezolvarea problemei este concentrat pe gsirea soluiei i presupun o serie de etape deja rezolvate: definirea problemei; structura problemei permite o simplificare astfel nct s devin posibil managementul soluiei;
simplificarea nu reduce semnificativ soluia;
exist o soluie acceptabil a problemei;
selecia soluiei este un proces raional de comparaii pe baza unor criterii.
Cu aceste ipoteze ndeplinite, soluia este gsit aplicnd urmtoarea metodologie:
Figura 6
O alt metodologie pentru a rezolva problema analizei sistemelor hard este abordarea sistemic.
Abordarea sistemic pune accentul n rezolvarea unei probleme pe formularea acesteia, lsnd pe planul doi gsirea soluiei.
Abordarea sistemic este util atunci cnd complexitatea problemei este foarte mare i capacitatea de descriere sistematic a legturilor ntre elementele sistemului este depit sau cnd posibilitile de cuantizare a mrimilor nu sunt suficiente.
Abordarea sistemic necesit un analist care prin experiena sa va contribui la corectitudinea descrierii problemei i deci va influena percepia sistemului i pe cale de consecin formularea obiectivelor i comportarea sistemului.
De asemenea rolul analistului este acela de a media diferenele de interese i de percepie a diferitelor elemente (departamente) de la nivelul sistemului pentru a stabili obiective consistente i convergente.
Abordarea sistemic este pus n practic printr-o metodologie de abordare. Exist mai multe metodologii de abordare sistemic. Mai jos este exemplificat metodologia descris n [1].
7.2 Metodologia de analiz a sistemelor hard
Metodologia descris const din nou etape care nu trebuie nelese ca fiind seriale, unele dintre ele se pot desfura n paralele i de asemenea metodologia poate cuprinde bucle de reacie i iteraii.
Cele nou etape recomandate sunt:
1. Identificarea problemelor. In aceast etap trebuie nelese legturile dintre elementele sistemului i rolul fiecrui element n realizarea obiectivelor. Rolul acestui studiu este de a da credibilitate identificrii corecte a problemelor. Este util ca aceast etap s fie realizat de un analist extern care s se poat desprinde de uzanele instituiei i s aduc informaie nou din mediu pentru o percepie actualizat.2. Contientizarea i nelegerea. Aceast etap care este implicit n abordarea sistematic trebuie individualizat n abordarea sistemic. n aceast etap analistul trebuie s descrie funcionarea sistemului n funcie de structura i terminologia specific acestuia. Instrumentele de lucru n aceast etap sunt diagramele de structur, diagramele de funcionaliti i procese, diagrame de cauzalitate. Este util s se priveasc sistemul din mai multe puncte de vedere.3. Obiective i constrngeri. In aceast etap activitatea trebuie concentrat spre soluiile practice pentru a identifica zona n care se gsesc soluii fezabile. In aceast etap sunt inventariate constrngerile externe: legislaie, caracteristici ale proceselor, abiliti ele elementelor sistemului, sunt stabilite obiectivele care pot fi atinse i modul n care acestea ar putea fi msurate sau evaluate. Este util s se realizeze o ierarhizare a obiectivelor. 4. Strategii. n multe situaii obiectivele sunt etapizate i ierarhizate, pentru a le putea atinge trebuie gsit un drum (o metodologie) de parcurgere care s optimizeze efortul. Este util ca pe parcursul analizei strategiilor posibile s se procedeze la o extindere a obiectivelor (introducerea unor obiective virtuale) urmat de faze de restrngere a acestora pentru a simplifica problemele. Este de asemenea util ca s nu elimine idei care n prim faz par absurde n context. Este de luat n discuie modificarea contextului (metoda brainstorming). Este util adeseori s se stabileasc o serie de obiective de ordin nalt care probabil nu vor fi atinse niciodat dar care vor dirija activitatea. 5. Msuri pentru evaluarea realizrii. n aceast etap sunt stabilii indicii dup care se va face evaluarea strategiei. Aceste msuri (msurtori) vor trebui s stabileasc care dintre strategii sunt cele mai bune pentru atingerea obiectivelor. Aceste msurtori este util s fie cantitative i sistemele hard permit acest lucru. Msurtori tipice sunt: costuri, recuperarea investiiilor, economii (timp, materiale, energie, munc etc.)
In situaia n care ne se pot realiza msurtori cantitative se iau n calcul msurtori calitative. Aceste msurtori sunt n general caracteristice relaiei cu beneficiarii i se refer la percepia acestora referitor la politicile organizaiei, tehnologii folosite, diverse modaliti de reacie a unor grupuri de presiune etc.6. Modelarea. n aceast etap se construiete un model (se simuleaz) prin care se poate verifica modul n care ansamblul poate conlucra pentru atingerea obiectivelor. Modelarea este foarte util pentru a pune n eviden corectitudinea nelegerii funcionrii sistemului i a efortului necesar pentru atingerea obiectivelor. Este util s se stabileasc un model matematic i unul funcional.7. Evaluarea modelului. In aceast etap se stabilete acurateea cu care modelul emuleaz funcionarea real a sistemului i eficiena lui. Trebuie s se stabileasc criterii de evaluare care s permit comparaia ntre modele.8. Selecia soluiei. Din rezultatele comparrii strategiilor, al evalurii modelelor i in baza obiectivelor stabilite trebuie aleas soluia care pare optim. Alegerea se va face pe baza aprecierii calitative a modului n care sunt atinse obiectivele i a consumului de resurse.9. Implementarea soluiei. Majoritatea problemelor ridicate n abordarea sistemic a rezolvrii unei probleme (analiza sistemului hard) au fost rezolvate pn n etapa 8. n faza de implementare pot apare probleme de ncredere ntre parteneri i suspiciuni privind existena unor interese ascunse care sunt implementate hard pentru a favoriza una din pri. Pentru a preveni efectele acestei situaii trebuie accentuate problemele de comunicare i constituirea unor organisme comune de implementare.7.3 Abordarea sistemic din punct de vedere hard a subsistemului de securitate
Aa cum an vzut n capitolele anterioare, unul din principiile de baz ale sistemelor complexe cu autoorganizare este principiul supravieuirii. n virtutea acestui principiu sistemul i dezvolta funcii i elemente fizice specializate. Aceste elemente i funcii specializate se constituie ntr-un subsistem a crui obiectiv principal este acela de a organiza i aplica msurile necesare pentru supravieuirea sistemului n condiiile n care mediul este concurenial sau chiar ostil.
Acest subsistem constituie subsistemul de securitate sau dac este privit separat prin prisma obiectivelor de securitate ce le implementeaz pentru sistemul general sistemul de securitate.
O prim concluzie a abordrii sistemice a sistemului de securitate este aceea c sistemul de securitate nu poate fi tratat separat de sistemul a crui securitate o realizeaz i obiectivele sale trebuie subordonate obiectivelor majore ale sistemului printe.
Obiectivul general al sistemului de securitate este n acest caz asigurarea funcionalitii sistemului printe n parametri rezonabili indiferent de fluctuaiile mediului sau defectarea unor elemente interne. Ieirea sistemului din parametri de regim normal care asigur competitivitatea trebuie semnalat i trebuie s se declaneze msuri, s mobilizeze resurse care s permit reintrarea n normalitate (respectarea condiiilor de competitivitate).
Identificarea problemelor de securitate
Abordnd sistemic sistemul de securitate, integrat n sistemul organizaiei conform metodologiei de abordare, prima etap este identificarea problemelor de securitate. Identificarea problemelor de securitate se realizeaz prin analiza de riscuri. Aceasta are ca obiectiv s identifice riscurile, s le cuantifice i s realizeze o ierarhizare a lor pentru a putea optimiza alocarea de resurse pentru contracarare. Diagrama din figura 8 arat procesul analizei de riscuri:
Figura 8
In diagrama de mai sus valorile avute n vedere s fie aprate sunt informaiile, dar diagrama are valabilitate mult mai larg si se poate utiliza pentru aprarea valorilor materiale, tangibile dar i pentru valorile ne materiale ale organizaiei: relaii, imagine, poziie pe pia, funcionaliti, procese etc.
Elementele principale ale diagramei de mai sus care aparin de metodologie de identificare a problemelor de securitate (a riscurilor) sunt: valorile, vulnerabilitile, ameninrile i contramsurile.
Procesul de identificare a riscurilor ncepe cu identificarea valorilor care sunt supuse ameninrilor (intenionate sau nu, naturale sau create de om), identificarea vulnerabilitilor pentru fiecare din ele. Identificarea modului n care un vector de ameninare poate s exploateze o vulnerabilitate s creeze o vulnerabilitate nou pentru a atenta la fiecare din valorile organizaiei.Contientizarea i nelegerea problemelor de securitate ncepe n cadrul procesului de analiz a riscurilor prin analiza impactului acestora, prin calculul coeficienilor de expunere, analiza acestor date n staff-ul de conducere al organizaiei o dat cu alocarea resurselor pentru contramsuri. Contientizarea i nelegerea continu pe toat faza de implementare i mentenan a sistemului de securitate.Stabilirea obiectivelor i a constrngerilor de securitate se realizeaz prin introducerea mecanismelor de aprare (a contramsurilor) n funcionalitatea sistemului organizaional. De regul msurile de securitate restrng funcionalitatea sistemului i pe lng costurile materiale i umane necesare sistemului de securitate apar i costuri prin reducerea funcionalitii organizaiei i deci a competitivitii ei. Pierderile datorit reducerii competitivitii sunt de multe ori semnificativ mai importante dect costurile materiale implicate n sistemul de securitate. Este necesar o optimizare a acestor costuri i ceea ce este mai important, toate aceste costuri trebuie evideniate i supuse aprobrii conducerii organizaiei, singura ndreptit s le asume.
7.4 Strategiile de tratare a riscurilor
O dat stabilite contramsurile eligibile pentru contracararea ameninrilor materializabile i resursele disponibile pentru aprare trebuie nceput tratarea riscurilor care poate face pe mai multe ci.
Sunt eligibile mai multe strategii elementare de tratare a riscurilor:
Asumarea riscurilor nivelul riscului este suficient de mic pentru a suporta prejudiciile atunci cnd se produce;
Diminuarea riscurilor riscurile inacceptabile sunt reduse prin contramsuri pana la un nivel acceptabil;
Eliminarea surselor generatoare de ameninare (valorilor) daca prin costurile de securitate se depete valoarea aprata se renuna la ea ;
Limitarea riscurilor in momentul producerii impactului se pun in funcie masuri prin care se oprete propagarea efectelor impactului;
Planificarea riscurilor planificarea prioritarilor de securitate funcie contextul de mediu si monitorizarea mediului;
Transferul riscurilor transferul unor valori, nchirierea unor valori sau servicii, contracte de asigurare;
Se analizeaz apoi impactul materializrii ameninrii, se sumeaz impactul tuturor ameninrilor pentru fiecare valoare i de determin resursele disponibile pentru aprare contramsurile.
Prin acest mecanism al analizei de riscuri se identific amplitudinea problemelor de securitate i funcie de acestea, n urma unei analize cost beneficii se poate alege strategia de tratare a riscurilor i contramsurile aferente.
Plecnd de la ameninri i resursele disponibile pentru aprare, pn la atingerea obiectivului de securitate, trecnd prin vulnerabiliti i contramsuri sunt posibile o multitudine de drumuri. Evident, foarte rar resursele alocate securitii permit acoperirea tuturor vulnerabilitilor astfel nct riscurile remanente s fie neglijabile. Este sarcina strategiei adoptate pentru a optimiza aceste drumuri i contramsurile amplasate pe ele.
Strategia de securitate se concretizeaz n politica de securitate care dup aprobarea conducerii devine legea fundamental a sistemului de securitate. Orice nclcare a acestei legi se consemneaz ca incident de securitate.
Stabilirea metodelor de evaluare a progreselor.
n aceast etap sunt stabilii indicii dup care se va face evaluarea strategiei. Indicele cel mai important al sistemului de securitate este numrul de incidente de securitate, impactul lor i modul de reacie la acestea.In figura de mai jos este artat diagrama managementului de securitate pentru o organizaie.
Figura 9Diagrama de mai sus este extras din standardul ISO 13335 i reflect clar faptul c recomandrile organizaiei internaionale de standardizare includ abordarea sistemic a problemei managementului securitii n reelele IT&C, iar sistemul este vzut prioritar ca un sistem hard.
n partea de sus a diagramei se observ includerea sistemului de securitate IT&C in managementul general al organizaiei i faptul c obiectivele generale de securitate deriv din constrngerile funcionale ale sistemului, ele se afl la confluena dintre investiii, afaceri i valori ale organizaiei.
Din ele deriv necesitile i funciile de securitate. Iar n urma analizei de riscuri obiectivele specifice sistemului de securitate. Prin tratarea riscurilor se aleg soluiile de securitate, se alege strategia i politica de securitate care va fi implemetat prin procedurile i mecanismele de securitate.7.5 Abordarea sistemic din punct de vedere soft
Aa cum am vzut anterior sistemele soft sunt caracterizate prin faptul c funcionarea lor nu poate fi descris prin mrimi cuantificabile. Mai precis se poate spune c analistul nu reuete s creeze un model al sistemului care s l descrie cu mrimi cuantificabile. Prin acest mod de abordare se arat c n realitate analistul are un anumit grad de libertate n alegerea manierei de abordare a unui sistem. Exist ns numeroase sisteme care nu pot fi descrise nc prin mrimi cuantificabile i a cror comportare nu este predictibil.
n general, acest mod de abordare este caracteristic sistemelor care includ relaii umane i/sau sisteme vii.
Este evident faptul c fiecare om este unic nu numai din punct de vedere fizic dar n special din punct de vedere al modului cum gndete, al modului cum percepe mediul i cum reacioneaz la provocrile acestuia.
Modul ce comportare al fiinei umane depinde de starea sa emoional de natura relaiilor sale cu ceilali participani la procesele caracteristice organizaiei, de interesele sale de perspectiv dar i conjuncturale.
Deciziile pe care le va lua n cadrul organizaiei pe nivelul su de competen, aciunile pe care la va ntreprinde dar i influena pe care o va radia n organizaie vor fi o sum de rezultante a factorilor enumerai mai sus.
Toate acestea evident vor influena performana organizaiei. Se pune problema cum pot fi analizate aceste influene strnse ntr-o politic i determinate s acioneze n avantajul organizaiei sau in unele cazuri cum pot fi diminuate influenele negative.
Rolul cel mai important n aceste situaii l au efii pe diverse niveluri ierarhice care dispun de autoritate pentru rezolvarea acestor probleme. Este bine de subliniat c o mare parte din efortul de conducere al unui ef este destinat rezolvrii acestor probleme soft n detrimentul rezolvrii problemelor hard curente ale instituiei. eful are obligaia s menin unitatea i performana echipei de lucru.
Trebuie subliniat c autoritatea este de mai multe feluri dintre care dou joac un rol important n performana organizaiilor:
autoritatea instituional dobndit prin numirea pe funcie i consolidat sau compromis prin activitate;
autoritatea personal profesional (calitatea de lider);
Ideal este ca cele dou tipuri de autoritate s se gseasc n aceiai persoan.
Dificil este atunci cnd aceast autoritate este mprit la dou persoane diferite i care nu au aceleai obiective. n aceast situaie performanele echipei de lucru degenereaz rapid.
Instrumentele folosite pentru obiectivizarea acestui proces sunt:
harta de relaii;
interviul;
analistul;
dezbaterile;
Instrumentul principal de lucru n abordarea soft a sistemelor este cunoaterea real a sistemului de relaii la un moment dat i a influenelor probabile asupra activitii.In acest scop se ntocmete o hart de relaii bazat pe procesele organizaiei i a nivelului relaiilor dintre persoanele care intervin n aceste procese. Pentru ntocmirea hrii se folosesc o serie de pictograme sugestive asociate relaiilor intre departamentele sau persoanele implicate intr-un proces.Interviul este elementul esenial pentru culegerea de informaii despre percepia activitii angajailor i natura relaiilor dintre acetia. Exist o serie de tehnici pentru culegerea de informaii prin intermediul interviurilor. n [1] sunt descrise cteva din aceste tehnici care urmresc obinerea de informaii fr a prejudicia drepturile intervievatului i a crete eficiena interviului.
Analistul este actorul principal n acest ansamblu i joac rolul observatorului neutru. El trebuie s fie capabil de un grad de obiectivitate ct mai mare astfel nct contribuia lui la percepia realitii s fie ct mai mic. Est bine cunoscut c obiectivitatea nu poate fi absolut i din aceast cauz analistul trebuie s fie contient de contribuia lui la percepia situaiei reale. Este evident c aprecierile analistului depind de cultura lui general n domeniul auditat, de experiena dobndit i de nivelul n care a reuit s se integreze in funcionalitatea instituiei.
El trebuie s determine nivelul i modul n care se respect legislaia i reglementrile de referin dar i reglementrile locale (politici, proceduri, dispoziii). Trebuie s pun in eviden neconformitile i modul lor de tratare pentru fiecare colectiv i proces.
Dezbaterile sunt mijloacele prin care se contientizeaz problemele constatate i se caut soluii de rezolvare. Este elementul activ prin care constituie o cultur organizaional i se determin atitudini fa de procesele din instituie.
7.6 Metodologia de abordare din punct de vedere al problemelor softn figura 10, se prezint o variant metodologic de abordare a analizei sistemelor soft n 7 etape:
1. n prim faz se culeg informaii despre sistem insistnd asupra motivelor de insatisfacii sau de disfuncionalitate a sistemului. Aceste informaii trebuie s ajute la formarea unei imagini despre cadrul de funcionare al sistemului. Culegerea de informaii se face prin intervievarea persoanelor cu poziii relevante n structura organizaiei. Interviul nu trebuie s fie direcionat i orientat spre probleme generale pentru a permite s se aduc n discuie elemente din zone ct mai diverse.2. Analiza. Faza de analiz ncepe cu harta relaiilor referitoare la principalele funcionaliti i procese ale instituiei. Este important gradul de rezoluie al acestei hri. Este foarte important ca analistul s realizeze o ierarhizare a importanei proceselor analizate i sa ataeze hrii nivelul de presiune, de incertitudine sau de conflict existent.3. Determinarea elementelor relevante i ale definiiile de baz. In aceast faz se definesc elementele relevante care n interaciunea lor determin funcionarea sistemului: beneficiarii, actorii proceselor, transformrile, formatorii de imagine, utilizatorii interni, interaciunea cu mediul. Este necesar s se determine ateptrile, necesitile i posibilitile pentru aceste categorii.4. Modelarea conceptual. Este un model conceptual logic (model virtual) care descrie formal funcionarea sistemului. Modelul conceptual o dat constituit trebuie verificat din punct de vedere funcional, dac are criterii de monitorizare i dac poate fi apreciat eficiena lui ntr-un mod obiectiv. Dac modelul reflect principalele interaciuni ntre elementele constitutive.5. Compararea diverselor modele pentru dezbaterea agendei de lucru. In aceast faz analistul trebuie s se ntoarc n lumea real i s supun dezbaterii factorilor de decizie variantele de lucru, trebuie s compare modelele conceptuale cu lucrul real al sistemului. Ideea dezbaterii este de a crea cadrul necesar pentru ca actorii s poat s etaleze cunotinele lor i s se gseasc soluia cea mai bun. Nu trebuie ca analistul s impun soluia lui, prin acest mecanism se transfer rspunderea de la actorii proceselor ctre analist.
Figura 106. Discuia agendei cu factorii semnificativi. Sunt dou atitudini utilizabile n aceste situaii: provider de soluii rol n care analistul intervine cu autoritatea de expert i impune soluii dar cu riscul de a prelua rspunderea de la factorii din instituie; terapeut rol n care creeaz cadrul necesar ca actorii s descopere soluiile i modul lor de aplicare.In general analistul trebuie s se fereasc s se substituie factorilor de decizie din organizaie. Discuiile sunt puternic influenate de cultura organizaional i analistul trebuie s recunoasc reprezentanii diverselor interese tribale, valori, loialiti, atitudini etc. Cultura organizaional servete la protecia diverilor lor membrii i a intereselor lor. Cultura poate fi obiectul schimbrilor necesare. De multe ori analistul nu poate s schimbe cultura dar atunci trebuie s ajute actorii s fac fa acesteia. Trebuie s atrag atenia a naturii lente a procesului de schimbare a mentalitilor.7. Aciunea pentru schimbare. In aceast faz se trece de la cutarea rspunsului la ntrebarea cum trebuie fcut? la rspunsul la ntrebarea ce trebuie fcut?. Analistul trebuie s sintetizeze lista cu schimbrile agreate de factorii semnificativi din organizaie. Teoretic sarcina analistului se termin cu punctul 6. dar n fapt activitatea sa se prelungete prin acordarea de suport pentru perioada de implementare.7.7 Abordarea soft a subsistemului de securitate
Statisticile arat c 70-80% din incidentele de securitate dintr-o reea IT&C sunt datorate personalului propriu la ntreprinderii. Rata ridicat a incidentelor datorate personalului propriu ca si nivelul ridicat al prejudiciilor datorate acestui tip de incidente arat c resursele de securitate principale trebuie orientate ctre abordarea soft a subsistemului de securitate.
Metodologia de abordare soft recomand s se nceap cu:
1. Etapa culegerii de informaii - consultarea bazei de date cu incidentele de securitate; consultarea nregistrrilor sistemului de securitate i a fiierelor de audit;
interviuri cu personalul implicat;
consultarea rapoartelor de audit intern i extern
Mecanismul cel mai relevant este auditul de securitate. Se practic dou tipuri de audit cu mijloace i roluri diferite: Auditul intern este solicitat de conducerea instituiei, este efectuat de personal specializat din instituie dar care nu este direct implicat cu responsabiliti n securitatea instituiei. Auditul intern are ca obiectiv analiza conformitii politicii de securitate i al procedurilor operaionale cu activitatea practic din teren. Rapoartele de audit sunt surse de informaii pentru restructurarea mecanismului de securitate. Este o verificare independent a eficienei msurilor de securitate i a activitii structurii de securitate. Auditul extern este solicitat de conducerea instituiei pentru o verificare independent (efectuat de o parte de ncredere) privind structura de securitate i conformitatea cu legislaia i standardele n vigoare. Auditul extern se desfoar n baza unui mandat ncredinat de conducerea organizaiei.
Metodologia general de desfurare a unui audit este prezentat n figura de mai jos:
Figura 112. Analiza de securitate este alctuit din: Analiza de riscuri constituie elementul primordial al managementului de securitate, are rolul de a inventaria valorile, vulnerabilitile lor i modul n care ameninrile pot fructifica vulnerabilitile n favoarea lor. Calculeaz riscurile, le prioritizeaz pentru a optimiza alocarea de resurse pentru aprare; Analiza potenialului atacurilor evalueaz fora ameninrilor pentru putea stabili natura i nivelul msurilor de aprare; Analiza periodic a incidentelor i a pierderilor cauzate de acestea; Evaluri i testri independente de securitate efectuate la solicitarea conducerii de ctre o echip de experi ce are ca obiectiv aducerea de informaii noi prin intermediul unui observator calificate din exteriorul instituiei care prin experiena sa s pun n faa structurilor proprii probleme noi.3. Aspecte relevante i definiii de baz analiza interaciunilor pentru determinarea parametrilor politicii de securitate a instituiei care trebuie s se constituie intr-un model logic de securitate.
Analiza impactului atacurilor determin nivelul pierderilor n cazul reuitei atacului;
Analiza ratei de expunere -
Modul de tratare al incidentelor de securitate indic gradul de adaptare a sistemului la provocrile mediului; Analiza cost beneficii indic modul de alocare a resurselor pentru aprare i eficiena sistemului de aprare;4. Modelul conceptual este modelul logic funcional al sistemului de securitate i va fi concretizat n politica de securitate a instituiei. Coordonatele modelului: Stabilete regulile generale dup care se ghideaz securitatea instituiei delimiteaz ceea ce este legal i ce este ilegal din punct de vedere al securitii n organizaie;
Realizeaz compromisul dintre securitate i funcionalitate;
Stabilete rspunderile structurii de securitate, ale angajailor i ale clienilor; Stabilete condiiile de acces i de monitorizare a activitilor pentru a fixa un nivel de securitate adecvat condiiilor de mediu i a menine o rat rezonabil a incidentelor; Integreaz cultura de securitate n politica de securitate planific programul de educaie de securitate;
5. Comparaii pentru stabilirea agendei Stabilirea strategiei pentru atingerea obiectivelor de securitate i a modului de abordare n contextul culturii organizaionale (aprare perimetral, aprare n adncime, disimularea intelor, divizarea i izolarea intelor etc.); Formularea politicii de securitate i documentarea sa; Stabilirea echipelor de lucru: pentru discuia strategiei i a politicii de securitate;
Stabilirea echipelor de audit i a obiectivelor acestora;
Stabilirea echipelor de testare i evaluare a securitii obiectivele evalurii.
6. Discuia agendei cu factorii de rspundere are rol de mediere, contientizare i responsabilizare. Cadrul de desfurare este: Discuia strategiei i a politicii cu toi factorii interni i externi interesai;
Supunerea pentru aprobare conducerii organizaiei la nivel nalt;
Stabilirea punctelor de contact i a modului de comunicare cu autoritile;
7. Aciuni pentru schimbare: Se face planificarea implementrii sistemului de protecie i a politicii de securitate;
Se concep procedurile operaionale de securitate n strns legtur cu procedurile de lucru specifice fiecrui post de lucru;
Se fac fiele de post n concordan cu procedurile operaionale de lucru; Se implementeaz programele de perfecionare;
Se fac controale i teste;
Se solicit audituri de securitate interne i externe.
7.8 Abordarea sistemului din punct de vedere al comportrii n situaii de criz
Scopul acestui tip de abordare este de a pune in eviden o serie de interdependene ntre elementele sistemului i a evalua consecinele acestor interdependene n situaia n care unul sau mai multe elemente critice ale sistemului ies din funciune dintr-un motiv sau altul.
Suma acestor cunotine acumulate despre sistem permite o proiectare mult mai adecvat a sistemului, pregtindu-l ca n cazul apariiei sau provocrii unor defeciuni grave s supravieuiasc sau s salveze o motenire important.
Altfel spus sistemul trebuie pregtit s lucreze i n regim de avarie.
Ca exemplu pot fi date aici proiectarea cu redundan, proiectarea avioanelor ca s poat s aterizeze fr motoare, proiectarea cutiilor negre ale unui avion s reziste prbuirii, capacitatea unui organism de a supravieui fr un organ etc.
In general acest tip de abordare este necesar acolo unde intervin viei omeneti dependente de funcionarea sistemului sau atunci cnd sunt in joc valori importante ce trebuie aprate (obiecte de art, informaii deosebite, arme de distrugere n mas etc.)
Exist un numr importani de ageni de ameninare care pot produce scenarii de avarie (catastrofice): cutremure, incendii, inundaii, furtuni, atacuri teroriste, experimente scpate de sub control etc. n toate aceste cazuri se impune o tratare a sistemului n regim de funcionare de avarie pentru a determina msurile suplimentare necesare pentru a limita prejudiciile i a salva ct mai mult din valorile existente n sistem n vedere unei folosiri ulterioare. Deosebit de importante n acest caz sunt informaiile din sistem (starea parametrilor, deciziile luate la diverse niveluri, experiena sistemului etc.)
Legat de abordarea unui sistem n regim de avarie este necesar introducerea noiunilor de:
structuri critice;
misiuni critice;
Noiunea de structur critic a fost introdus recent n terminologia internaional i nu are nc o definiie bine precizat. Prin structur critic se nelege unul sau mai multe elemente, in legtur ntre ele, care prin scoatere din funciune antreneaz prejudicii n regim de avalan sau de a cror funcionare depinde existena sistemului.
Noiunea de misiune critic se refer la acea misiune a unui sistem care n interaciunea cu mediul aduce parametrii sistemului la limita de suportabilitate. Peste aceast limit elementele sistemului pot ncepe s cedeze i se poate intra n regim de avarie.
Este util de subliniat acest aspect pentru a sublinia necesitatea testelor echipamentelor critice in protecia informaiilor. Standardele internaionale oblig productorii de echipamente de securitate a informaiilor s fie testate mult in afara parametrilor de catalog pn la limita de distrugere. Sunt multe componente electronice care in afara parametrilor de catalog (tensiuni de alimentare, temperaturi, expuneri la diverse tipuri de radiaii) sunt nc parial funcionale iar funcionarea parial poate conduce la o bre n sistemul de securitate. Un exemplu in acest sens sunt sistemele de generare a cheilor pentru criptare.
Din punct de vedere metodologic, abordarea comportrii sistemului n regim de criz nseamn o comparaie ntre modelul aparent de criz construit de analist i plaja de paradigme care o descriu situaii de criz. Rezultatul acestor comparaii reprezint scenariul de criz propus de analist. Scenariul trebuie ameliorat prin msuri de securitate.
Metodologia acestui tip de analiz este descris n figura 12 i a fost dezvoltat pe la mijlocul anilor 80 i revizuit la mijlocul anilor 90.
Metodologia recomand patru etape principale:
1. Descrierea situaiei de criz (constituirea modelului ipotetic de criz ). n aceast faz, analistul ncearc pe baza cunotinelor despre sistem s imagineze situaiile care ar putea apare prin introducerea unor disfuncionaliti. Modelele dezvoltate, datorit multiplelor conexiuni n interior i exterior pot conduce la complexiti uriae.
Figura 12
Analistul trebuie s selecteze situaiile relevante din punct de vedere al percepiei globale i a actorilor importani. In aceast etap culege informaii despre alte situaii de criz sau de avarii cu care s-a confruntat sistemul sau personalul care a deservit sisteme similare.
Informaiile culese este util s fie reprezentate ntr-o diagram.
2. Comparaia cu paradigme ale situaiei de criz comparaia cu modele formale sau modele reale care au un grad de similitudine i care au suferit diverse situaii de criz. Din aceste comparaii trebuie s extrag situaiile care prin suprapunere s dea o imagine ct mai real a efectelor crizei i eventual al modurilor de rezolvare.
3. Medierea rezultatelor comparaiei. n aceast etap se interpreteaz rezultatele comparaiei. n aceast etap este necesar s se concentreze efortul pe elementele de control, monitorizare i comunicare. Aceste elemente transport informaii despre situaii care pot fi interpretate. 4. Etapa de nvare. Studiul situaiilor de criz acumuleaz informaii despre comportarea sistemului n afara regimului normal de funcionare i aceste informaii sunt utile pentru reproiectarea sistemului pentru a include in structur mijloace de aprare, a introduce n sistem elemente suplimentare care s atenueze unele efecte sau a identifica elemente de mediu care sunt incompatibile cu sistemul.7.9 Abordarea sistemului de securitate din punct de vedere al comportrii n situaii de criz
O exemplificare a modului de abordare sistemic din punct de vedere a comportrii organizaiei n situaii de criz o constituie recomandrile standardelor i ghidurilor de management al securitii informaiilor care determin organizaiile s abordeze comportarea sistemului informaional i msurile de securitate pentru protecia acestuia pe trei paliere de nivel al incidentelor:
- plan (metodologie) de rspuns la incidente analizeaz msurile necesare pentru a limita prejudiciile n cazul incidentelor relativ minore (suportabile de organizaie);
- plan continuitate al activitii (Contingensy Plan) analizeaz msurile necesare pentru a conserva funcionalitatea organizaiei n situaia unor atacuri cu impact major;
- plan de recuperare n caz de dezastre (Disaster Recovery Plan) palnificarea msurilor necesare n cazul unor incidente care scot din funciune organizaia ntr-o locaie.7.10 Metodologia de aciune n cazul dezastrelor - Disaster Recovery Plan1. Definirea dezastrului.
Dezastrul este definit ca un incident major care scoate din funciune structura critic a instituiei iar prejudiciile cauzate nu pot fi cuantificate n bani.
Cauzele dezastrelor sunt de dou feluri:
Naturale:
Cutremure;
Incendii;
Inundaii;
Furtuni - trsnete;
Uragane Intenionate: Atacuri teroriste cu bombe;
ntreruperea alimentrii cu energie electric;
Distrugerea softului (aplicaii, sisteme de operare aplicaii suport etc.)
Distrugerea hardware (servere, echipamente critice de comunicaii etc.)
Atacuri ale hacherilor cu refuzul serviciului2. Identificarea informaiilor i sistemelor critice inventarierea acestora i analiza impactului scoaterii din funciune a acestor sisteme asupra activitii organizaiei. Analiza de riscuri privind probabilitatea de apariie a tipului de dezastru i a impactului acestuia asupra activitii.3. Tratarea impactului msurile de recuperare funcie de costuri pot fi:
recuperare parial a funcionalitii organizaiei;
recuperare total a funcionalitii organizaiei;
Recuperarea se poate face prin: organizarea unei oglinzi a sistemului la o alt locaie, comutarea ntre locaii fcndu-se ntr-un server de DNS aproape instantaneu. Metoda este scump i practic necesit dublarea echipamentelor de calcul dac se dorete meninerea serviciilor la acelai nivel; organizarea unei locaii n care sunt salvate on line toate informaiile. Distrugerea informaiilor din site-ul principal scoate din funciune organizaia pe perioade scurte de timp pn se ncarc din nou datele corecte din locaia de rezerv;
amenajarea unei locaii de rezerv fr echipamente dar care o dat transportate echipamentele acolo poate prelua toate serviciile iniiale;
4. Alocarea de fonduri (rezervate) pentru situaii de urgen;5. Stabilirea cooperrii cu autoritile i organizaiile de profil;
6. Stabilirea echipei de aciune n caz de dezastru i a celei de recuperare ele vor lucra mpreun;
7. Stabilirea procedurilor generale de recuperare i aciune;8. Abordarea sistemic a securitii pe durata ciclului de via a sistemului
Ideea acestei abordri este de a dezvolta funciile de securitate nc din primele etape ale unui proiect sau de iniiere a unei organizaii (sistem) nou. Prin abordarea problemelor de securitate nc din primele faze de via ale unui proiect se pot face economii importante de resurse umane i materiale n faza de utilizare. Principalele funcii de securitate fiind incluse n structura i procedurile operaionale ale organizaiei nc din faza de concepie.
Pe de alt parte, fiecare faz de dezvoltare a unui proiect are ameninri i vulnerabiliti specifice care trebuie individualizate pentru optimiza rspunsul.
Principalele avantaje ale abordrii securitii nc din faza de analiz a sistemului sunt:
Integrarea subsistemului de securitate n funcionalitatea sistemului n ansamblul su;
Reducerea costurilor pentru securitate fa de soluia securitii adugate;
Analiza de riscuri individualizeaz riscurile ce trebuie acoperite cu msuri de securitate specifice pentru fiecare etap simplificnd sistemul de protecie;
In figura de mai jos sunt exemplificate fazele managementului de securitate specifice pentru fiecare faz de dezvoltare a unui proiect.
Figura 13n prima faz de dezvoltare a unui proiect faza de analiz, se definitiveaz scopul sistemului, aplicaiile care vor rula i procesele in care este inclus sistemul i se va realiza documentaia de baz a acestuia.
n aceast faz de dezvoltare se identific ameninrile principale, vulnerabilitile i se identific riscurile. Se extrag cerinele de securitate specifice sistemului.
n faza a doua de dezvoltare a sistemului faza de proiectare, se includ msurile de securitate n arhitectura sistemului ajustndu-se raportul funcionalitate securitate. Proiectarea se face lsnd o plaj mare de manevr pentru securitatea sistemului prin configurare. n aceast etap sunt identificate categoriile de informaii care vor fi prelucrate, se calculeaz impactul riscurilor, se face analiza de riscuri i se aleg contramsurile cele mai adecvate din punct de vedere al recuperrii investiiilor n securitate (ROI Return of Investiments). Se determin structurile critice ale sistemului.
n faza a treia faza de implementare (construcie) n care sistemul este construit conform documentaiei sunt create i funciile de securitate conform contramsurilor de acoperire a riscurilor ca parte a procesului de construcie a sistemului.
In faza a patra de construcie faza de testare a sistemului, se testeaz sistemul de securitate conform specificaiilor din proiect i se iniiaz procedurile de tratare a incidentelor de securitate. Se activeaz planurile de continuitate al afacerilor (Business Continuity Plan) de tratare a incidentelor importante.
Dac sistemul prelucreaz informaii clasificate, se iniiaz procedurile de acreditare a funcionrii cu informaii clasificate.
In faza de mentenan a sistemului se revd anual vulnerabilitile nou descoperite , ameninrile nou aprute i se actualizeaz contramsurile.
9. Concluzii1. Funcia de securitate este o funcie esenial a tuturor sistemelor complexe i deriv din capacitatea acestora de a se adapta provocrile mediului de evoluie.
2. Securitatea este o funcie intrinsec sistemului dar interacioneaz strns cu mediul i determin reacia sistemului la schimbrile de mediu pentru a menine obiectivele acestuia in parametrii rezonabili.3. Mediul concurenial stimuleaz nevoia de securitate;
4. Structura de securitate folosete intens facilitile sistemului dar se dezvolt i un subsistem specializate care coordoneaz msurile de securitate.
5. Se justific studiul specializat al sistemului de securitate interaciune cu sistemul i cu mediul. Elementul de legtur este analiza de riscuri.
6. Abordarea sistemic a sistemului de securitate al unei organizaii cu precdere al sistemului de protecie a informaiilor impune analiza acestuia din patru puncte de vedere complementare: abordarea din punct de vedere a sistemului hard, a sistemului soft, a situaiilor de criz pe toat durata de dezvoltare i utilizare a sistemului. Pentru protecia informaiilor analiza se prelungete la le faza de casare a acestuia.7. Dezvoltarea tehnologic i construcia societii informaionale au condus la un mediu de dezvoltare virtual, specific informaiei n format electronic ciberspaiul cu proprieti i legi specifice. Sistemele de securitate n acest mediu joac un rol deosebit n protecia informaiilor.10. Bibliografie1. Alan Warning, PRACTICAL SYSTEMS THINKING, ed.: International Business Presss;
2. Andrew P. Sage, SYSTEMS ENGINEERING, ed.: John Willey & Sons, Inc.
3. Jay W. Forrester, PRINCIPIILE SISTEMELOR, ed.: Editura Tehnica;
4. Prof. dr. ing. Alexandru erbnescu, APLICATII ALE SISTEMELOR DINAMICE HAOTICE IN COMUNICATII, ed.: Academia Tehnic Militar;5. Prof. dr. ing. Alexandru erbnescu, LOptimisation Multicriterielle dans lApproche Systmique en utilisant des Algorithmes Gntiques et les Stratgies Evolutionnistes, ed.: Academia Tehnic Militar;6. Conf. Dr. ing. Ionel Lazr, TEORIA SISTEMELOR TEHNICE Concepte fundamentale, ed.: Academia Tehnic Militar;
7. Standard ISO 17799
8. Standard ISO 13335
9. Standard ISO 15408
Cibernetica
Filozofia tinelor
tehnice
Praxeologia
Teoria sistemelor
Sisteme simbolice
Sisteme artificiale
Sisteme sociale
Sisteme umane
Sisteme vii
Sisteme chimice
Sisteme fizice
Postulatul conservrii
funciilor critice
Postulatul recuperrii investitiei
Postulatul alegerii
Postulatul aciunii
Postulatul nedeterminrii
Postulatul complementaritii
Postulatul autonomiei
Postulatul integralitii
Principiul
orientrii spre obiectiv
Principiul supravieuirii
Principiul
modelrii
Principiul cauzalitii
Principiile de baz ale teoriei sistemelor complexe
PAGE 30/45
_1232917333.ppt
_1232947994.ppt
Abordarea sistemica
mediul de lucru
_992673912.unknown
