Curs I necesitate Evaluare, Implement

CURS I :SECURITATEA-NECESITATE, EVALUARE, IMPLEMENTARE

Page 1 of 12

SECURITATEA-NECESITATE, EVALUARE, IMPLEMENTARE

1. Noţiuni introductive privind activitatea de protecţie a obiectivelor, bunurilor, informaţiilor1.1 Legislaţia în materie1.2 Ameninţări, vulnerabilităţi , risc1.3 Conceptul de securitate1.4 Necesitatea asigurării securităţii

2. Managementul riscului2.1 Concepte privind managementul riscului2.2 Stabilirea strategiei de securitate

3. Implementarea securităţii3.1 Cerinţe (documentul privind necesitatea investiţiei, documentul cu cerinţele operaţionale )3.2 Implementarea3.3 Testarea-evaluarea3.4 Tratarea incidentelor de securitate3.5 Raportul factor uman-sistem tehnic3.6 Ciclul de viaţă al produsului

4. Sisteme Integrate de Securitate4.1 Structura ( security and safety )4.2 Caracteristici generale ale unui Sistem Integrat de Securitate4.3 Obiective specifice protejate ( bănci, centre comerciale, aeroporturi, porturi, depozite, instituţii centrale, obiective deimportanţă naţională, unităţi militare, penitenciare, conducte magistrale petroliere, transport valori, alte categorii )

5. Funcţiile specifice ale subsistemelor de securitate componente5.1 Subsistem de securitate perimetrală5.2 Subsistem de control al accesului5.3 Subsistem de detecţie şi alarmare la efracţie5.4 Subsistem de supraveghere prin TVCI5.5 Subsistem de detecţie şi semnalizare la incendii, inundaţii, CO2, CH4, substanţe toxice, explozive, droguri, din categoriaCBRN, ş.a.5.6 Subsistem de comunicaţii de securitate5.7 Subsistem DISPECERAT5.8 Subsistemul de ELECTROALIMENTARE

1. Noţiuni introductive privind activitatea de protecţie a obiectivelor, bunurilor, informaţiilor

1.1 Legislaţia în materiePrincipalele reglementari privind aceasta activitate sunt cuprinse in urmatoarele acte normative : Legea 10/1995 , legea calitatii in constructii Legea 333/2003 , privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor HG 1010/2004 , se refera la conditiile tehnice de aplicare a prevederilor legii 333 HG 1698/2005 , aduce precizari la HG 1010, privind parametrii necesari pentru proiectarea si functionarea sistemelor

de supraveghere prin TVCI Legea 307/2006 , privind apararea impotriva incendiilor Legea 182 /2002, privind protectia informatiilor clasificate HG 585/2002 , Standardele nationale de protectie a informatiilor clasificate in Romania HG 781/2002, privind protectia informatiilor clasificate „secret de serviciu”

1.2 Ameninţări, vulnerabilităţi , riscObiectivele si procesele, fiintele umane, pot fi supuse unor actiuni interne sau externe, de diferite naturi, care, dacă nu sunt

luate în considerare şi contracarate prin măsuri adecvate, pot conduce la evenimente nedorite, unele cu consecinţe foarte gravepentru integritatea si desfăşurarea lor, determinând alterarea caracteristicilor lor, constructiv-functionale si chiar distrugeri.

Deci, prin ameninţare, se înţelege un pericol potenţial, ce trebuie evidenţiat funcţie de natura procesului caretrebuie protejat şi de caracteristicile mediului din care acesta face parte şi care, dacă se concretizează, poateproduce consecinţe dezastruoase. Evaluarea ameninţării se face printr-un studiu al intenţiilor şi capabilităţilor adversarilorpotenţiali.

Vulnerabilitatea reprezintă fie o zonă a acţiunii invocate având un grad de ameninţare vizibil sau ridicat, fie un mediufavorabil neglijenţei sau, în general, criminalităţii, care, dacă este exploatată de un potenţial duşman, poate conduce, deasemenea, la consecinţe dezastruoase.

Prin risc se înţelege, aşadar, probabilitatea de a se produce şi capabilitatea de a înfrunta un pericol, o situaţieneprevăzută sau de a suporta o pagubă, un eşec în acţiunea întreprinsă. Sau, altfel spus, riscul poate fi considerat oevaluare a probabilităţii ca o ameninţare să folosească cu succes o vulnerabilitate şi să producă o consecinţădezastruoasă.

Atribuirea unei valori de risc pentru o acţiune, un eveniment este condiţionată de doi factori importanţi: probabilitateade apariţie a pericolului şi consecinţele apariţiei acestuia (Fig. 1), transpusă formal în relaţia:

R = P x C ,

sau, in termeni ai teoriei multimilor :

RISC = PROBABILITATE ∩ CONSECINŢE


Page 2 of 12

Din această relaţie rezultă că riscul poate fi ridicat atunci când, fie probabilitatea de producere a pericolului este mare, fiecând, în cazul producerii unui pericol, consecinţele sunt pronunţat negative, dar este sigur ridicat când ambii factori sunt mari.

Fig. 1. Corelaţia risc, probabilitatea de producere a pericolului şi consecinţele producerii

Asociind valori discrete celor două mulţimi ce se intersectează, rezultă nivelurile de risc astfel:

Tabelul 1

PROBABILITATEA (P) CONSECINŢELE ( C ) RISCUL (R = PxC)

Nivelul

Probabilitatea

Frecvenţa deapariţie a

evenimentului

Nivelul

Consecinţele Rezultatul

conjuncţiei

Valoare risc

Clasificarerisc

5 Aproapeimprobabil

1 ev. la 10.000 zile 5 Dezastruoase 20 – 25 5 Dezastru

4 Puţinprobabil

1 ev. la 1000 zile 4 Foarte mari 10 – 19 4 Major

3 Probabil 1 ev. la 100 zile 3 Mari 5 – 9 3 Mediu

2 Frecvent 1 ev. la 10 zile 2 Moderate 2 – 4 2 Minor

1 Permanent 1 eveniment/zi 1 Neglijabile 1 1 Neglijabil

La fundamentarea analizei de risc se va avea în vedere realizarea unei corespondenţe între valorile de risc obţinute şigradul de acceptabilitate al acestuia, corespondenţă de care depinde politica de securitate ce va fi adoptată de factorii de decizie(Fig. 2). Analizând corespondenţa din figură se poate trage concluzia că pot fi adoptate 3 categorii de atitudini faţă de risc:

acceptarea (tolerarea): se poate adopta faţă de riscurile neglijabile şi de o mică parte a celor minore, care, dacă s-arproduce, ar determina pagube suportabile

reducerea selectivă: se poate adopta faţă de riscurile minore, medii şi o mică parte a celor majore şi ar consta înadoptarea unor măsuri preventive care să reducă posibilitatea producerii evenimentelor nedorite şi utilizarea unor tehnicişi proceduri adecvate de reducere a consecinţelor acestora

asigurarea: se adoptă obligatoriu faţă de riscurile dezastruoase şi o parte a celor majore, pentru care măsurile desecuritate proprii ar fi prea costisitoare sau prea complexe şi din aceste cauze aceste riscuri sunt inacceptabile.

Fig. 2. Atitudinea faţă de risc

1.3 Conceptul de securitate (definiţie, elemente fundamentale)Într-o lume în care insecuritatea (nesiguranţa şi instabilitatea) atinge numeroase aspecte ale vieţii cotidiene (sociale,

economice, politice, militare ş.a.), acţiunile practice pentru obţinerea regimului normal de funcţionare au fost asociate cu eforturiteoretice, susţinute, pentru definirea şi implementarea unor noi concepte în materie. Ca element de caracterizare a calităţii unuisistem, securitatea este capacitatea sistemului de a-şi conserva caracteristicile constructiv-funcţionale sub acţiuneaunor factori distructivi care ar putea să-l transforme în pericol pentru mediul înconjurător şi viaţa oamenilor aflaţiîn zona de risc, ori să provoace pagube materiale, informaţionale sau morale.

Practic, noţiunea de securitate poate fi echivalată cu sintagma “absenţa pericolului”, chiar dacă pericolul în sine există,dar nu poate acţiona împotriva sistemului protejat, iar noţiunea opusă, de insecuritate poate fi echivalată cu sintagma “prezenţapericolului”, care, de data aceasta găseşte în sistemul insuficient protejat terenul propice de acţiune. Cu alte cuvinte, unei securităţiridicate îi corespunde un risc scăzut, iar unei securităţi scăzute îi corespunde un risc ridicat (Fig. 3).


Page 3 of 12

Fig. 3. Dependenţa dintre securitate şi risc

Un alt unghi din care poate fi privită securitatea este acela al raportului dintre cele 3 elemente fundamentale ale sale:protecţia, descurajarea şi prelucrarea evenimentului nedorit.

Protecţia poate fi de două feluri: apriori şi aposteriori.Prin protecţie apriori înţelegem capacitatea de a împiedica sau întârzia producerea unui eveniment nedorit.Prin protecţie aposteriori se înţelege posibilitatea reluării cât mai rapid a activităţii de bază într-un obiectiv (sistem)

după producerea unui eveniment nedorit, care n-a putut fi împiedicat prin protecţia apriori.Descurajarea este capacitatea sistemului de securitate de a determina un eventual infractor să se abţină de la comiterea

atacului. Descurajarea se poate realiza fie prin măsurile de protecţie luate “la vedere”, prin “demonstraţii de forţă”, în cazul unorexerciţii, fie prin mediatizarea unui caz real, în care se demonstrează că sistemul de securitate a funcţionat corect, făcând faţăpericolului real. Ca şi protecţia, şi descurajarea este de două feluri: psihologică şi în fapt.

Descurajarea psihologică se bazează pe măsurile de protecţie “la vedere”, luate într-un obiectiv (garduri speciale,bariere, camere de luat vederi, blocatoare de cale etc.) şi pe folosirea unei aparaturi noi, cu parametri eventual necunoscuţi deinfractor, ca şi pe păstrarea secretului asupra structurii sistemului de securitate, care poate constitui pentru infractor elementulsurpriză de care acesta se poate teme.

Descurajarea de fapt este constituită din dotarea reală cu echipamente a sistemului de securitate şi din organizareaacestuia.Prelucrarea evenimentului nedorit constă în calificarea evenimentului, contracararea atacului şi asigurarea condiţiilorpentru reluarea activităţii după producerea acestuia.

1.4 Necesitatea asigurării securităţii ( obiectivă, legală, contractuală )Din cele expuse pana acum se poate aprecia ca avem un raspuns clar la intrebarea de ce ne protejam ? : pentru ca exista

amenintari, evaluate prin alocarea unei anumite valori riscului, deci motivarea obiectiva . Un argument suplimentar il reprezintareglementarile la nivel national sau cele la nivel european , derivate din statutul actual al Romaniei .

La aceasta data , pe plan intern, cadrul legal de asigurare a protectiei obiectivelor, datelor cu caracter de importanta nationalasi a informatiilor clasificate este stabilit prin reglementarile continute in Legea 333/2003, Legea 182 /2002, HG 585/2002 si HG781/2002 , in care se precizeaza cerintele de realizare a securitatii, atat cele legale, cat si cadrul de relatii contractuale intredetinatorii de bunuri, valori, informatii clasificate si partenerii care deruleaza activitati ce presupun accesul la acestea .

Pentru a da un exemplu imediat se poate spune că securitatea industrială este determinată , atât de condiţionări legale , cât şide existenţa unor cerinţe contractuale exprese.

2. Managementul riscului

2.1 Concepte privind managementul risculuiAsa cum am prezentat la capitolul de definire a notiunilor introductive se pune problema de protectie a obiectivelor si

bunurilor de orice fel, a asigurarii continuitatii proceselor tehnice , tehnologice sau de afaceri , cu un termen generic- active, inconditiile evitarii problemelor si minimizarii consecintelor negative.

Amenintarea reprezinta actiunea unor factori interni sau externi , care are ca rezultat afectarea activelor .O trecere rapida in revista a amenintarilor evidentiaza cateva categorii : amenintari cauzate de factorul uman :

o cadru organizational necorespunzator obiectivului sau procesului de protejato eroare, neglijentao furto sabotajo spionajo hacking, cracking, malwareo terorism

cauze complexe tehnice :o procese inadecvate , in domeniul : dezvoltare, productie, servicii,etco hardware si software necorespunzatoro testare insuficienta

cauze externe, forta majora :o accidente (inundatii, incendii, degajari de gaze toxice, etc)o dezastre naturale (trasnet, foc, inundatii pe arie larga, cutremur , alunecari de teren, eruptii vulcanice )o incidente social-politice ( revolte, revolutii, razboaie )o terorism .


Page 4 of 12

De ce se produc efecte nedorite datorita amenintarilor ? –pentru ca exista slabiciuni/brese in structura sau componenta activelor ,caracteristica cunoscuta sub numele de vulnerabilitati . Acestea pot apare in domenii diverse de activitate sau corespund uneicategorii largi de active :

protectie fizica slaba a obiectivelor sisteme tehnice neperformante ( surse de alimentare, unitati de procesare, servere de baze de date , software

necontrolat , etc) protectie informationala inadecvata :

o algoritmi de criptare invechitio protectie insuficienta a traseelor de cabluri purtatoare de informatii sensibileo comunicatii de date neprotejateo alocarea incorecta a drepturilor de acceso lipsa unor dispozitive hard si soft de protectie

masuri organizationale incomplete (recrutare, pregatire, operare, verificare ).Posibilitatea de materializare a amenintarilor , prin exploatarea vulnerabilitatilor activelor determina riscul . Actiunea de

control al riscurilor, activitate complexa, desfasurata de la nivelul factorilor de conducere , pana la nivelul intregului personal, estedenumita managementul riscului .Cunoasterea riscului duce la alegerea atitudinii corespunzatoare : tolerare (acceptare partiala) , reducere necesara, dar solutiarecomandabila este controlul riscului .

Principalele etape ale managementului sunt : identificarea riscului evaluarea riscului tratarea riscului .

2.1.1 Identificarea risculuiAceasta activitate, cunoscuta si sub numele de analiza de risc, presupune insusirea completa a caracteristicilor constructive si

functionale ale obiectivului sau procesului de protejat si utilizarea sistematica a datelor si informatiilor culese in scopul inventarieriiactivelor si recunoasterea amenintarilor specifice .Procesul consta in transpunerea în practică a metodologiei de analiza a riscului,care este adecvata obiectivului sau procesului de protejat , precum si precizarea cerintelor obiective si legale de securitate :

identificarea resurseloro fizice :

obiective valori (inclusiv „imaginea „ proprietarului ) bunuri tehnica de calcul echipamente de comunicatii medii de stocare a informatiilor infrastructura

o servicii de calcul si comunicatii comert electronic utilitati generale

o informationale (sisteme de operare, aplicatii software, utilitare, instrumente de dezvoltare ) identificarea amenintarilor la resurse cunoasterea vulnerabilitatilor care pot conduce la „succesul” amenintarilor identificarea impactului pe care alterarea atributelor specifice informatiilor il poate avea asupra resurselor :

o daune potentiale valoare intrinseca divulgare modificare sau distrugere afectarea continuitatii derularii afacerii (procesului )

o categorii de daune : financiare pierderi de profit reducerea cotei de piata afectarea imaginii costuri directe costuri asociate

Se vor lua în considerare cerintelor de securitate specifice :o legaleo contractualeo caracteristice business-ului .

Analiza de risc poate fi : calitativa , cand nu se aloca valori financiare resurselor, iar finalitatea consta in incadrarea pe o scala de valori cantitativa, cand predomina factorul cost ( valoarea resursei pentru organizatie , impactul financiar imediat si costul

asociat )Analiza de risc cantitativa are in vedere indicatori clari , precum :

SLE (Single Loss Expectancy ) , care reprezinta pierderea generata de exploatarea unei vulnerabilitati ; concret , SLE =AV* EF , adica produsul intre valoarea bunului (AV) si factorul de expunere (EF)

ARO (Annual Rate of Occurence ) , care se refera la volumul de experienta detinut, date statistice , raportul risc-asigurari ALE (Annual Lost Expectancy ) , calculata prin formula ALE=ARO *SLE ROSI (Return on Security Investment ) ,


Page 5 of 12

ROSI=(ALEinitial)-(ALE dupa masuri) –(cost anual masuri) , un parametru legat de ciclul de viata al sistemului de securitate .O consecinta a parcurgerii acestui capitol este faptul ca , in aceasta faza , se recomanda identificarea tuturor riscurilor .

2.1.2 Evaluarea risculuiEste un proces specific, complex, care consta in estimarea urmatoarelor elemente :

prejudiciul, care poate rezulta datorita producerii unui eveniment de securitate, cu consecinte potentiale de pagubemateriale, pierderea atributelor specifice informatiilor (ce constituie valori pentru detinator ); costurile insecurităţii seexprimă prin însumarea cheltuielilor primare (directe ) cu costurile adiacente ( de înlocuire, reparare , inclusivrefacerea imaginii obiectivului )

probabilitatea cat mai reala de aparitie a unui incident , generat de amenintarile si vulnerabilitatile asociate resurselor mijloacele tehnice si procedurile de protectie existente nivelul riscului gradul de acceptabilitate si necesarul de masuri de tratare a riscului .

In acelasi timp , mentionez ca exista, pe plan international, metode si instrumente deja consacrate in domeniu, alegerea lorfiind o chestiune de adaptare cat mai exacta la caracteristicile si mediul specifice obiectului de protejat .Evaluarea riscului poate fi calificata pe doua niveluri :

simpla, in care se desfasoara operatiile :

Etape Activitati

Identificare bunuri sivalori

-listarea bunurilor asociate-identificarea valorii asociate , pe baza unei scari simple

Identificare si evaluarecerinte desecuritate

-identificarea cerintelor de securitate, pe baza unei scarisimple

Calculul riscurilor schema de calcul simplaTratarea riscurilor alegerea modalitatii adecvate de tratare a fiecarui riscReducerea si acceptarea

riscurilor-asocierea la fiecare bun a scopului si masurii de reducere

adecvata-asigurarea ca aplicarea masurii reduce riscul la un nivel

acceptabil

si detaliata , care asigura o abordare completa , pe detalii constructive ale obiectivului si faze constitutive ale procesului

de protejat .

Evaluarea detaliata asigura un nivel adecvat de protectie , pe baza identificarii si evaluarii in detaliu a bunurilor sicerintelor de securitate ale organizatiei . Se recomanda pentru entitati cu cerinte ridicate de securitate .Exista instrumentededicate , in acest sens, de evaluare a riscurilor .

Ca avantaje se pot enumera : se obtine o analiza completa si precisa a riscurilor schimbarile pe durata ciclului de viata al sistemului pot fi evaluate tinand cont de toti factorii care pot afecta procesul

(obiectivul) .In contrapartida, aplicarea acestei variante de evaluare , prezinta dezavantajele urmatoare : consum de timp si resurse considerabile poate fi facuta, de regula, numai de personal de specialitate .

2.1.3 Tratarea riscurilorConsta in urmatoarele operatii : alegerea si aplicarea masurilor de reducere a riscurilor, adecvate situatiei relevate in obiectiv tolerarea unor riscuri minore eliminarea riscurilor transferarea riscurilor unor alte parti .

Principalele considerente avute in vedere in tratarea riscurilor sunt : cerinte legale si de reglementare (in afara celor mentionate la Cap. 1):

- proprietatea intelectuala- protejarea inregistrarilor organizatiei- confidentialitatea informatiilor personale- utilizarea masurilor criptografice- pastrarea dovezilor obiective- asigurarea functiei „istoric „

cerinte din partea clientilor (contractuale ) :- protejarea securitatii- acces restrictionat- perimetre fizice de securitate- pastrarea datelor- mijloace specifice de asigurare a confidentialitatii datelor si informatiilor

gradul de asigurare :- ponderea riscurilor tratate si riscurile reziduale

nivelul de securitate :- ce nivel de securitate necesita obiectivul abordat ?

costul :


Page 6 of 12

- constrangeri bugetare- raportul dintre costurile directe si asociate ale securitatii

optiuni de implementare :- mediul permite implementarea masurilor de control ?- cat dureaza ?- cu ce costuri ?

mentenanta :- disponibilitatea echipamentelor- exista , din faza de proiect, facilitati de actualizare si dezvoltare ?- capacitati de mentenanta/service si dispunerea acestora

aplicarea masurilor de control : exista disponibilitati pentru implementarea si dezvoltarea masurilor de control ?

2.2 Stabilirea strategiei de securitateIn esenta, managementul riscului reprezinta “teoria”, in timp ce caile de reducere a riscurilor identificate revin

managementului securitatii, adica “practicii”.Structural, acesta consta dintr-un complex de masuri juridice, organizatorice,economice, fizico-tehnologice si informationale capabile sa preintampine actiunea factorilor distructivi pentru a le diminua sauanihila consecintele.In functie de riscul calculat si costurile asumate de institutie, se alege strategia de securitate, care se poatesitua pe urmatoarele trepte :

o minimala, risc asumat de circa (12-15)% ;

o suficienta, risc asumat de circa (8-12)%;

o acoperitoare, risc asumat de circa (5-8)%;

o sigura, risc asumat de circa (3-5)%.

In functie de gradul de acoperire a domeniului de activitate a institutiei strategiile sunt de 2 categorii:o globale (omogene sau ierarhice);

o partiale.

Costurile strategiilor globale sunt mari, calea de urmat depinde de importanta functionala a componentei protejate in sistem si denivelurile de risc acceptate.

3. Implementarea securităţii

3.1 Cerinţe de securitate specifice obiectivuluiPentru a-si indeplini misiunile, obiectivului trebuie sa i se asigure functionalitatea continua, in siguranta si stabilitate, atat

pentru elementele intrinseci, cat si pentru interconectarile operative, ceea ce impune : protectie fizica complexa si operativa ;

protectie la acces neautorizat ;

protectie la incendiu ;

securitatea informatiilor ;

protectia la supraveghere si radiatie elecromagnetica ;

posibilitatea organizarii unei riposte eficiente;

supravegherea permanenta a cailor de acces si a zonelor vitale.

Sistemul de securitate va fi conceput avand in vedere urmatoarele obiective principale : prevenirea accesului persoanelor neautorizate in perimetrul obiectivului si in zone stabilite in interiorul acestuia

detectia si evaluarea incercarilor de patrundere in forta sau pe ascuns la nivelul perimetrului exterior, precum si in zone stabilite

din interiorul acestuia

evaluarea gradului de amenintare in cazul unui atac

detectia si semnalizarea inceputurilor de incendiu

detectia si semnalizarea inundatiilor

detectia de substante din categoria CBRN si semnalizarea acestora .

Pentru realizarea primelor trei obiective care tin de protectia fizica a obiectivului, in urma studiului terenului si a modului deorganizare si desfasurare a activitatii in obiectiv, se vor defini zonele de securitate ale acestuia, ierarhizate dupa cum urmeaza:

ZONA DESCRIERE

1 Perimetrul exterior, inclusiv punctele de acces

2 Curte

3 Perimetrul cladirilor, inclusiv punctele de acces

4 Zona interioara a cladirilor, de circulatie comuna

5 Perimetrul unui compartiment, inclusiv punctele de acces

6 Zona interioara compartimentului, de circulatie comuna

7 Perimetrul sectoarelor de importanta deosebita, inclusiv puncte de acces

8 Zona interioara a sectoarelor de importanta deosebita

Dupa cum se vede , aceasta zonare aplica conceptul de “protectie in adancime” , de tip “cutie in cutie” , realizandu-se inele desecuritate in jurul sectoarelor de importanta deosebita .


Page 7 of 12

Mediul de securitate este un concept multidimensional, avand, ca principale, componentele: fizica , capabila sa asigure contracararea vulnerabilitatilor si amenintarilor fizice ; functionala , capabila sa faca fata amenintarilor si pericolelor de destabilizare sau nefunctionalitate; informationala , capabila sa faca fata pericolelor de disimulare si scurgeri de informatii sau de blocari

informationale; de personal , capabila sa contracareze amenintarile provocate, atat de persoanele din interiorul sistemului, cat si

de altele din afara acestuia, concomitent cu protectia propriului personal.La aceste componente majore se adauga procedurile juridice si specifice de actiune integrata, intr-un sistem mixt (tip om - masina)armonizat fizic, functional si informational.

Dintre cele patru componente ale securitatii, accente noi, dramatice, a capatat componenta informationala, datoritadublarii, in ultimii cinci ani, a numarului infractiunilor specifice (asupra calculatorului si cu ajutorul calculatorului), a diversitatii siinventivitatii atacurilor, vulnerabilitatii intrinseci a informatiilor si a proceselor de culegere, stocare, procesare, modificare si afisarea acestora, precum si a tratarii cu insuficienta atentie a fenomenului de vulnerabiltate informationala in sine.Din punctul de vedere al importantei, componenta informationala reprezinta o consistenta contributie decizionala, fiind pricipalulsuport procedural-tehnologic si de comunicatii si singurul element de “liant” al mecanismului om-masina, bazat numai si numai peinformatii.

3.2 ImplementareaDupa definitivarea cerintelor de securitate si stabilirea strategiei de securitate, urmeaza faza de proiectare . Necesitatea ei

nu mai trebuie mentionata, intrucat se stipuleaza , conform legii 10/1995 (legea calitatii in constructii ) , ca nu se admite trecereala executie fara proiect ; in plus, legea 333 precizeaza faptul ca , in cea mai mare parte a obiectivelor , proiectul trebuie aprobat deserviciul specializat al Politiei. Exista anumite exceptii, pentru beneficiarii din sectorul de aparare si alte categorii .

Implementarea practica trebuie sa respecte in totalitate prevederile proiectului, precum si pe cele ale normativelor sistandardelor in materie .

3.3 Testarea-evaluareaTestarea-evaluarea sistemelor de securitate instalate se face avand ca punct de plecare cerintele de securitate si proiectul

sistemului .Aceasta activitate se executa de catre personalul realizatorului, impreuna cu reprezentanti ai beneficiarului . Subliniez faptul

ca obiectul ei il constituie verificarea functionarii componentelor montate , precum si a intercorelarilor prevazute in sistem . Estecu totul alta problema testarea-evaluarea operationala , care constituie apanajul exclusiv al beneficiarului si in care se verifica, atatfunctionarea sistemului tehnic , cat si respectarea procedurilor de catre personalul de operare si cel de interventie , pe baza unorscenarii special concepute. Aceasta se va face conform prevederilor Planului de paza si aparare, care este clasificat „secret deserviciu”

Testarea-evaluarea reprezinta o masura cantitativa, partiala a sistemului instalat.Aceasta operatie si rezultatul ei nu inlocuiesc activitatea de receptie , care este prevazuta de reglementari .

3.4 Tratarea incidentelor de securitateIn cadrul functionarii unui sistem de securitate o activitate insemnata este reprezentata de tratarea incidentelor. Ea

consta dintr-un sir de operatii, astfel: inregistrarea obiectiva a elementelor caracteristice ale evenimentului de securitate (ora, data, loc, participanti ,etc ) raportarea evenimentelor de securitate colectarea dovezilor evidentierea slabiciunilor de securitate (tehnice sau operationale ) revizuirea responsabilitatilor si a procedurilor relevarea concluziilor si invatamintelor din producerea evenimentelor .

3.5 Raportul factor uman-sistem tehnicÎn raporturile acţionale faţă de mecanismul (sistemul) de securitate, factorul uman se află în următoarele ipostaze:

creator al conceptului, strategiei şi mecanismului de securitate coordonator al procesului central de funcţionare operator în diferite puncte de funcţionare component al echipei de întreţinere şi dezvoltare component al echipelor de intervenţie creator şi executant al scenariilor de antrenare autoritate de avizare, omologare şi autorizare beneficiar al comportamentului şi funcţionalităţii sistemului subiect de drept al acţiunii sistemului, fiind principalul generator al aspectelor negative, producătoare de insecuritate

.

3.6 Ciclul de viaţă al produsuluiRealizarea si functionarea unui sistem integrat de securitate pun in evidenta caracterul ciclic, permanent , al activitatilor ,

in principal cele care reprezinta scopul pentru care a fost implementat , precum si alte categorii de masuri care concura laasigurarea finalitatii sistemului si stabilitatii in functionare .

Principalele etape sunt : planificarea (care contine, in principal analiza de risc) - PLAN derularea functiei principale a sistemului (tratarea riscurilor ) - DO controlul riscurilor (functionarea sistemului ) -CHECK imbunatatirea functionarii - ACT


Page 8 of 12

Evident ultima etapa presupune schimbarea unor elemente ale sistemului , tehnice sau operationale , adica revenirea laplanificare si reluarea ciclului .

4. Sistemul Integrat de Securitate (SIS)

4.1 StructuraSIS reprezintă un ansamblu de echipamente tehnice, resurse umane şi proceduri operaţionale destinat prevenirii, detecţiei

şi avertizării încercărilor de intruziune în zonele cu acces limitat, precum şi supravegherii accesului în acestea.Componenta unui sistem de securitate , integrat, care raspunde cerintelor de securitate si obiectivelor propuse, poate fi

urmatoarea : Subsistem de securitate perimetrală Subsistem de control al accesului Subsistem de detecţie şi alarmare la efracţie Subsistem de supraveghere prin TVCI Subsistem de detecţie şi semnalizare la incendii, inundaţii, CO2, CH4, substanţe toxice, explozive, droguri, din

categoria CBRN, ş.a. Subsistem de comunicaţii de securitate Subsistem DISPECERAT Subsistem de ELECTROALIMENTARE Alte categorii de subsisteme integrabile

subsisteme de sonorizare si adresare publica posta pneumatica detectia si alarmarea la incercari de furt in centrele comerciale sisteme de management in cladiri „inteligente „ subsisteme de protectie la scurgerea informatiilor prin radiatii parazite subsisteme de protectie a retelelor interne de date ale organizatiilor fata de accesul neautorizat (prin

INTERNET ) sau incercari de introducere de software cu continut insidios ( virusi, viermi, malware , etc ) sisteme de securitate de tip „antitero” .

Din punctul de vedere al specificului componentelor , SIS conţine două părţi fundamentale : partea hardware (echipamente, dispozitive, instalaţii, cabluri, mobilier, etc) partea software ( programe interne încorporate în dispozitive, echipamente şi aplicaţiile software , dedicate, de

securitate )

4.2 Caracteristici generale ale unui Sistem Integrat de Securitate

Obiectivul principal al unui SIS este implementarea unui ansamblu de măsuri de protecţie şi reglementări în cadrul obiectivului,care asigură:

interzicerea accesului neautorizat, clandestin sau prin forţă la informaţiile clasificate gestionate controlul accesului la informaţiile clasificate, numai pe baza principiului „nevoia de a cunoaşte” siguranţa bunurilor şi valorilor deţinute cu orice titlu siguranta si sanatatea intregului personal din cadrul obiectivului prevenirea oricăror alte situaţii, împrejurări sau fapte intenţionate sau neintenţionate, de natură să afecteze informaţiile clasificate,

bunurile şi valorile deţinute, precum şi capabilităţile obiectivului asigurarea ,prin integrare hardware si softawre, a caracteristicii de sistem unitar asigurarea controlului si comenzii unice in sistem

Pentru îndeplinirea obiectivului sau, SIS trebuie sa aiba la baza un concept deosebit , precum si caracteristici constructiv-functionale ,dintre care mentionez :

sa respecte principiile de realizare ale unui sistem din categoria C3I (comanda-control-comunicatii si informatii ) arhitectura de sistem sa fie de tip deschis , adica sa permita dezvoltari ulterioare , fara modificari ale interfetelor

existente sistemul sa fie construit modular , pentru a facilita operatiile de mentenanta si service structura sistemului sa respecte principiul inelelor de securitate concentrice si al protectiei in adancime pentru asigurarea tratarii complete a tuturor amenintarilor identificate în obiectiv se vor aborda , in aceeasi conceptie

si elementele de protectie a integritatii corporale, a vietii persoanelor si sanatatii acestora sistemul sa asigure integrarea unitara a componentelor hardware si software , precum si a factorului uman ( personal

cu atributii in domeniul securitatii, personalul neimplicat al obiectivului, vizitatori , etc ) asigurarea corelarii activitatilor de monitorizare cu masurile de avertizare si evacuare personalului din obiectiv, in

situatiile de urgenta aplicarea masurilor de monitorizare , asigurand, in acelasi timp, neintruziunea in viata privata si respectarea

confidentialitatii datelor personale asigurarea redundantei componentelor si conexiunilor cu roluri deosebit de insemnate in functionarea sistemului efectuarea operatiilor de back-up asupra bazelor de date operationale

Preluând unele elemente ce ţin de practica şi teoria militară, se evidenţiază concepte de bază ale unui sistem de securitate , cafiind :

protecţia în adâncime redundanţa elementelor vitale dispersarea lor în obiectiv .

4.3 Obiective specifice protejate ( bănci, centre comerciale, aeroporturi, porturi, depozite, instituţii centrale, obiective deimportanţă naţională, unităţi militare, penitenciare, conducte magistrale petroliere, transport valori, alte categorii )


Page 9 of 12

Una din caracteristicile particulare ale unui sistem de securitate este faptul ca, desi foloseste scheme uzuale, generale, deinterconectare ale echipamentelor si sistemelor componente, ca si o gama repetabila de dispozitive (senzori, detectoare, cititoarede cartele, camere video , etc ) , fiecare sistem este unic . Aceasta unicitate este determinata de faptul ca obiectivul , bunulprotejat , este , de fiecare data, diferit , chiar daca cerintele de securitate pot fi similare .

In functie de apartenenta la diverse categorii de obiective , se pot identifica cerinte de securitate specifice : la obiective din sectorul bancar :

necesitatea protejarii , in mod deosebit , a tezaurului bancii asigurarea caracterului de spatiu public si a unei semitransparente fata de clienti efectuarea transportului de valori in conditii de siguranta functionarea permanenta a automatelor bancare, prin accesul liber al clientilor , in conditii de securitate a

banilor la centre comerciale :

separarea zonelor administrative fata de spatiile publice, dedicate vanzarilor supravegherea video a operatiilor de la casele de marcat supravegherea video a raioanelor cu marfuri de valori ridicate dotarea cu subsisteme de detectie si stingere incendii , pe spatii extinse asigurarea cu echipamente de sonorizare si adresare publica alarmarea publicului in caz de urgenta (incendiu, cutremur ) , deblocarea cailor de acces si a iesirilor de

siguranta la obiective aeroportuare :

asigurarea fluxurilor reglementare de circulatie ale publicului cooperarea cu fortele antitero pastrarea , in siguranta, a bunurilor de valoare supravegherea video a fluxurilor de circulatie supravegherea mijloacelor de transport specifice (aeronave, nave fluviale si maritime ) cooperarea cu serviciile vamale

la depozite : detectia timpurie a incercarilor de intruziune in perimetru asigurarea dispozitivelor de blocare a accesului neautorizat cu mijloace adecvate posibilelor incercari de

fortare (road blocker, tyre killer, turnicheti , etc), corespunzator cu amenintarile identificate dotarea fortelor interne de interventie, in functie de dimensiunile si caracteristicile terenului, cu mijloace auto

de deplasare (autovehicule de teren, ATV-uri , etc ) implementarea de subsisteme de detectie si alarmare la efractie , pentru spatiile de depozitare asigurarea cu subsistem de securitate a comunicatiilor , in conditii de confidentialitate si integritate

la obiective de importanta nationala : corelarea cerintelor de securitate reiesite din analiza de risc cu cerintele de indeplinire a reglementarilor

legale in materie, privitor la zonele de securitate implementarea masurilor de securitate pentru protectia retelelor de date din obiectiv asigurarea masurilor de comunicatii cu alte centre similare si cu fortele publice de interventie (jandarmeria )

la unitati militare : corelarea cerintelor de securitate reiesite din analiza de risc cu cerintele de indeplinire a reglementarilor

legale in materie, privitor la zonele de securitate asigurarea comunicatiilor cu esalonul superior si unitatile subordonate detectia incercarilor de acces neautorizat in obiectiv implementarea circulatiei personalului in obiectiv, conform drepturilor de acces, ordonate de beneficiar

la penitenciare : dotarea cu dispozitive de blocare a accesului neautorizat , corespunzatoare cu rezistenta elementelor de

constructie existente dotarea cu echipamente de control al persoanelor si bagajelor in scopul detectarii de arme, substante

periculoase, droguri ,etc proiectarea fluxurilor de circulatie a persoanelor in locatie, in acord cu procedurile interne si pentru

asigurarea evacuarii controlate a detinutilor , in situatii de urgenta alegerea dispozitivelor plasate in obiectiv (filtre de acces, camere video, etc ) din categoria „antivandal „

la conducte magistrale petroliere sau de gaze : identificarea segmentului de conducte unde s-a produs o incercare de furt sau distrugere amplasarea punctelor unde stationeaza fortele de interventie , in mod distribuit pe toata lungimea de

supravegheat , pentru asigurarea unui timp redus de deplasare la locul atacului mascarea si protejarea elementelor de detectie si comunicatie , atat la factorii de mediu , cat si fata de

eventualele incercari de distrugere in cazul transporturilor de valori :

monitorizarea permanenta a pozitiei vehiculului , precum si a parametrilor de functionare a acestuia asigurarea continua a comunicatiilor cu personalul din vehicul, in conditii de confidentialitate si integritate a

transmisiilor protejarea comunicatiilor fata de incercari de perturbare a acestora .

5. Funcţiile specifice ale subsistemelor de securitate componente5.1 Subsistem de securitate perimetrală

Functiile subsistemului de detectie perimetrala sunt: detectia incercarilor de patrundere sau iesire frauduloasa in/din perimetru

asigurarea continuitatii protectiei perimetrului , inclusiv a punctelor de control din perimetru


Page 10 of 12

anuntarea operatorilor cu privire la tentativele de efractie la nivelul perimetral, cu indicarea zonei in care au loc

acestea

alarmarea sistemului de televiziune in scopul atentionarii operatorilor, identificarii elementelor specifice intruziuniii si

comutarii la afisare pe monitoare a camerelor video de pe zona de perimetru in care s-a produs evenimentul de

securitate

transmiterea de semnale de alarma sau sabotaj, pe zone, catre sistemul DISPECERAT

transmiterea catre aplicatia software de management al securitatii a semnalelor de alarma sau sabotaj, oferind

acestuia controlul activarii si dezactivarii zonelor de perimetru si posibilitatea confirmarii primirii semnalelor de

alarma

dezactivarea individuala a zonelor de detectie perimetrala pentru permiterea accesului legal in perimetru, cu

comanda locala de la punctul de control sau din DISPECERAT

dezactivarea individuala a zonelor de detectie perimetrala in cazul in care este necesara efectuarea de lucrari care ar

duce la generarea de alarme false.

5.2 Subsistem de control al accesuluiFunctiile subsistemului de control acces sunt:

implementarea drepturilor de acces, stabilite pe baza Fişei postului şi cu respectarea principiului „necesităţii deacunoaşte „

interzicerea accesului neautorizat al persoanelor si vehiculelor in zonele de securitate ale obiectivului

implementarea functiei „anti-passback „ , la obiectivele cu un nivel ridicat al protectiei

anuntarea operatorilor cu privire la tentativele de patrundere neautorizata la nivelul inelelor de securitate, cu indicarea

filtrului (punctului de control acces ) unde au loc acestea

alarmarea subsistemului de televiziune in scopul atentionarii operatorilor si comutarii la afisare pe monitoare a camerelor

video care supravegheaza filtrul violat

transmiterea de semnale de alarma sau sabotaj, provenite de la filtre, catre sistemul DISPECERAT

transmiterea catre aplicatia software de management al securitatii a datelor privind accesele valide si invalide, a

semnalelor de alarma sau sabotaj

facilitarea obtinerii de situatii si rapoarte privind prezenta, circulatia si raspandirea personalului in zonele de securitate ale

obiectivului

dezactivarea automata a filtrelor de control acces la aparitia de situatii de urgenta, confirmate in sistemul de detectie a

incendiilor

dezactivarea manuala a filtrelor de control acces in situatii de urgenta .

5.3 Subsistem de detecţie şi alarmare la efracţieFunctiile subsistemului de detectie si alarmare la efractie sunt:

detectia incercarilor de intruziune in zonele de securitate, sau in incintele protejate

semnalizarea operatorilor cu privire la tentativele de efractie la nivelul zonelor de securitate, cu indicarea zonei in care au loc

acestea

alarmarea sistemului de televiziune in scopul atentionarii operatorilor si comutarii la afisare pe monitoare a camerelor video din

zona de securitate in care se produce evenimentul

transmiterea catre aplicatia software de management al securitatii a semnalelor de alarma sau sabotaj, pentru a comanda

activarea sau dezactivarea zonelor de securitate si posibilitatea confirmarii primirii semnalelor de alarma

dezactivarea individuala a zonelor de securitate pentru permiterea accesului autorizat in zona, cu comanda locala de

armare/dezarmare sau din DISPECERAT

posibilitatea de programare / reprogramare din DISPECERAT a codurilor de acces in vederea armarii / dezarmarii locale, de la

unitatile locale amplasate linga incintele protejate

dezactivarea individuala a zonelor de securitate in cazul in care este necesara efectuarea de lucrari care ar duce la generarea de

alarme false.

5.4 Subsistem de supraveghere prin TVCIFunctiile subsistemului de televiziune cu circuit inchis sunt:

supravegherea perimetrului obiectivului

detectia incercarilor de intruziune la nivelul perimetrului obiectivului, prin utilizarea functiei VMD

supravegherea zonelor interioare perimetrului (curtea )

supravegherea punctelor de control acces

supravegherea zonelor (intrarilor ) de securitate

urmarirea intrusilor in interiorul perimetrului

supravegherea unor zone importante din interiorul cladirii (spatii cu risc crescut de producere a incendiilor sau alte

evenimente deosebite )

evaluarea alarmelor date de sistemul de efractie, alertelor de control acces sau a evenimentelor critice

inregistrarea de imagini video pentru analiza post-eveniment


Page 11 of 12

redarea , la cerere, a imaginilor inregistrate , pe baza functiilor de inregistrare indexata .

5.5 Subsistem de detecţie şi semnalizare la incendii, inundaţii, CO2, CH4, substanţe toxice, explozive, droguri, din categoriaCBRN, ş.a.Conceptul general de protectie la foc pentru orice cladire are ca scop urmatoarele obiective: protectia vietii oamenilor

protectia bunurilor materiale

prevenirea intreruperii activitatii.

Riscurile la foc sunt definite intr-un concept multinivel de protectie la foc care defineste obiective de protectie specifice.Aceasta inseamna ca fiecare incinta trebuie protejata prin masuri adecvate astfel incat nici-un foc incipient sa nu se dezvolte intr-un incendiu serios.

Masurile de protectie la foc se pot imparti in doua grupe: masuri de protectie pasive (de natura constructiva )

masuri de protectie active (monitorizarea spatiilor de risc , detectarea incipienta, semnalizarea , stingerea ).

Pentru sistemele de detectie incendiu, gradul de supraveghere se defineste ca fiind aria supravegheata de un echipamentautomat, raportata la aria totala utila a cladirii. Exista mai multe concepte:

supraveghere partiala, selectiva, numai pentru anumite compartimente sau zone, mentionate la constructie prin asa-numitul scenariu de foc

supraveghere totala , care include toate spatiile circulate, incintele, casa scarilor, zone pentru canale de cabluri , s.a.

Functiile sistemului de detectie si semnalizare incendiu, inundatii sunt: detectarea incipienta a incendiilor prin identificarea unuia sau mai multor fenomene tipice focului, cum ar fi produsii de

combustie, fum, flacari sau caldura

anuntarea operatorilor cu privire la aparitia unui incendiu sau a unei alarme tehnice, cu indicarea zonei in care s-a produs

acesta

alarmarea sistemului de televiziune in scopul verificarii alarmei si evaluarii evenimentului

transmiterea catre aplicatia software-ul de management a securitatii, a semnalelor de alarma de incendiu sau tehnice, oferind

acesteia controlul activarii si dezactivarii zonelor de detectie incendiu

dezactivarea individuala a zonelor de detectie incendiu, in cazul in care este necesara efectuarea de lucrari care ar duce la

generarea de alarme false

testarea integrala sau pe zone a sistemului de detectie

semnalizarea aparitiei unui incendiu prin dispozitivele de alarmare locale (hupe, lampi , mesaje sonore preinregistrate )

comanda echipamentelor de stingere (pompe de incendiu, rezervoare de agenti de stingere, etc ) si a altor componente :

instalatia de ventilare, instalatia de evacuare mecanica a fumului, usi antifoc, etc

alertarea automata a fortelor de interventie, conform cu algoritmul prevazut in Planul de aparare al obiectivului impotriva

incendiilor

detectarea aparitiei inundatiilor si alertarea echipelor de interventie

detectarea existentei radiatiilor periculoase si/sau a substantelor toxice

detectia gazelor toxice si semnalizarea acesteia

instiintarea personalului prin sistemul de adresare publica .

5.6 Subsistem de comunicaţii de securitateSolutia propusa pentru subsistemul de comunicatii de securitate este o solutie complexa, menita sa asigure un nivel de

securitate informational ridicat, eficient si flexibil. In elaborarea solutiei s-au avut in vedere mai multe elemente importante : securitatea transmisiilor de voce , pentru asigurarea protectiei acestora, intre utilizatorii sistemului ( factori de conducere,

personal de supraveghere , forta de interventie locala si elementele de interventie externa )

securitatea comunicatiilor radio (de regula , in interiorul obiectivului )

securitatea retelelor de calculatoare care vehiculeaza date si elemente care se refera la starea de securitate din obiectiv .

In functie de complexitatea obiectivului si de importanta bunurilor si informatiilor de protejat se vor lua masuri speciale pentru

asigurarea confidentialitatii si integritatii comunicatiilor . In acest sens se poate avea in vedere aplicarea unor tehnici de protectie, prin

implementarea de aplicatii criptografice .

5.7 Subsistem DISPECERAT

Asa cum s-a evidentiat pana acum exista o varietate de subsisteme tehnice care au componente diferite si indeplinescfunctii specifice de asigurare a securitatii obiectivului . In cazul obiectivelor mari , asociate si cu personal numeros , se puneproblema comenzii unice si a controlului complet , ceea ce nu se poate obtine decat prin concentrarea intr-un singur spatiu sicorelarea functionarii tuturor echipamentelor instalate. Se impune ca necesitate stringenta integrarea fizica (hardware) siinteligenta (software) a subsistemelor de securitate componente .

Acest deziderat se poate realiza prin implementarea subsistemului denumit DISPECERAT .Funcţiile de bază ale DISPECERATULUI sunt : concentrarea tuturor semnalelor de la senzori şi a comunicaţiilor de securitate catre unitatile centrale de procesare monitorizarea permanentă a stării de securitate a obiectivului


Page 12 of 12

generarea şi distributia dintr-un punct central (camera de comanda-control sau DISPECERAT) a comenzilor catreelementele de executie ( dispozitive de blocare ale punctelor de control acces, camere video mobile , sirene de alarmare ,etc).

Integrarea la nivel software are rolul de a asigura , pe de o parte , conexiuni logice ,redundante fata de legaturile fizice si ,cel mai important rol, acela de a permite factorului uman comanda si controlul complet asupra sistemului . Prin aceasta functie sepot realiza interactiuni intre diverse subsisteme si componente , cum ar fi :

asocierea unei alarme provenite de la subsistemul de control acces, de detectie la efractie sau de detectie perimetrala cu

afisarea pe monitoare a zonei unde s-a semnalat evenimentul , precum si afisarea imaginii video a zonei (in situatia cand

exista instalate camere video )

asocierea unei alarme provenite de la subsistemul de detectie incendiu cu afisarea imaginii video a zonei unde s-a semnalat

fum

asocierea unei alarme provenite de la subsistemul de detectie perimetrala cu comanda urmaririi intrusilor in obiectiv prin

camerele video specializate (tracking )

transmiterea de comunicari sonore in vederea evacuarii controlate a personalului din zonele afectate de incendiu

dezactivarea selectiva a dispozitivelor de blocare apartinand subsistemului de control acces in cazul situatiilor de urgenta

realizarea eficienta a instruirii personalului operativ, prin simulari de evenimente de securitate .

5.8 Subsistemul de ELECTROALIMENTARESubsistemul are ca misiune principala asigurarea unor conditii de electroalimentare specifice pentru echipamentele de

securitate : continuitatea furnizarii de energie electrica pentru toate echipamentele componente protectia tablourilor si circuitelor fata de deconectari intamplatoare sau rauvoitoare alimentarea cu energie electrica a unor subsisteme ( control acces, antiefractie, detectie la incendiu ) din surse proprii

(acumulatori ), pe durate predeterminate de timp , in cazul intreruperii furnizarii din cauze externe (caderi accidentale aleretelei nationale de energie electrica )

asigurarea cu energie electrica, cu precadere, a componentelor vitale ale sistemului de securitate ( echipamentele de TVCI ) .

Documents

Curs I necesitate Evaluare, Implement