ACADEMIA DE STUDII ECONOMICE FACULTATEA DE CIBERNETIC STATISTIC I INFORMATIC ECONOMIC

MANAGEMENTUL SECURITII INFORMAIEI N ASIGURRI

REZUMATUL TEZEI DE DOCTORAT

Conductor tiinific: Prof. Univ. Dr. Floarea Nstase

Doctorand: Radu Constantinescu

Bucureti 2008

Cuprins
I. II. III. 1 2 Lista figurilor Lista tabelelor Glosar PARTEA I - CUNOATEREA DOMENIULUI CERCETAT Introducere Sisteme informaionale n domeniul asigurrilor 2.1 Managementul informaional 2.2 Caracteristicile sistemul informaional al unei societi de asigurri 2.2.1 Conducerea 2.2.2 Stabilirea primelor de asigurare 2.2.3 Raportarea statistic 2.2.4 Raportarea financiar 2.2.5 Servicii pentru clieni 2.3 Securitatea sistemelor informaionale n domeniul asigurrilor Riscul i securitatea n sistemele informatice 3.1 Concepte generale 3.2 Principiile securitii informatice 3.3 Obiectivele securitii sistemelor informatice 3.4 Metode de control 3.5 Planificarea securitii Managementul riscurilor informaionale 4.1 Evaluarea riscurilor 4.1.1 Metrici pentru evaluarea riscurilor 4.1.2 Etapele evalurii riscului 4.2 Reducerea riscurilor 4.2.1 Analiza metodelor de protecie i reducerea estimat a riscurilor 4.2.2 Costul metodelor de protecie 4.2.3 Analiza cost-beneficiu a metodelor de protecie 4.3 Monitorizarea performanelor procesului de management al riscului 4.4 Modelul de risc Jacobson Politici de securitate 5.1 Aspecte generale ale politicilor de securitate 5.2 Tipuri de politici de securitate 5.3 Rolul ncrederii n contextul politicilor de securitate 5.4 Modaliti de control al accesului 5.5 Limbaje pentru politicile de securitate 5.6 Precizia mecanismelor de securitate Modele de politici de securitate 6.1 Politici de confidenialitate i de integritate 6.2 Modelul Bell-LaPadula 6.2.1 Descrierea informal 6.2.2 Modelul formal 6.2.3 Principiul consecvenei 5 6 7 8 9 14 14 16 17 19 20 20 20 22 23 23 24 24 25 27 31 32 34 38 42 42 43 43 45 45 50 50 52 53 54 55 56 59 59 60 60 62 64

6.3 6.4 6.5 6.6 7

Modelul Biba Modelul Lipner Modelul Clark-Wilson Modele hibride

Modelul pentru controlul accesului bazat pe roluri 7.1 Caracteristici generale 7.2 Modelul de baz 7.3 Ierarhii de roluri 7.4 Constrngeri 7.5 Modelul consolidat 7.6 Modelul de administrare PARTEA II - SOLUIILE ORIGINALE DIN CERCETARE Modelul VMRE-RBAC 8.1 Introducere 8.2 Obiectivul modelului 8.3 Extinderea modelul RBAC 8.4 Descrierea procesului asociat metodologiei 8.5 Definirea rolurilor iniiale 8.6 Asocierea roluri cu profiluri (RPf) 8.7 Asocierea profilurilor cu sarcinile (PfSc) 8.8 Asocierea sarcinilor cu paii (ScPs) 8.9 Asocierea pailor cu permisiunile (PsP) 8.10 Identificarea constrngerilor 8.11 Testarea pailor 8.12 Testarea sarcinilor 8.13 Testarea profilurilor i rolurilor Studiu de caz 9.1 Modelul Neumann-Strembeck 9.2 Modelul Goncalves-Maranda PARTEA III - DISEMINAREA REZULTATELOR Implementarea unui sistem RBAC ntr-o firm de asigurri 10.1 Beneficii de securitate 10.2 Beneficii administrative i de cretere a productivitii 10.3 Analiza cost - beneficiu 10.4 Dezvoltarea unei aplicaii pentru autorizarea accesului prin modelul RBAC 10.4.1 Proiectarea soluiei 10.4.2 Modelul datelor i implementarea

10

Concluzii Bibliografie ANEXA I Rezumatul metodologiei VMRE-RBAC ANEXA II Lista acronimelor ANEXA III Lista variabilelor ANEXA IV Curriculum Vitae

11

65 67 70 73 75 75 77 79 82 83 83 85 86 86 87 88 94 96 99 101 102 104 106 109 110 110 115 115 119 124 125 125 127 128 132 132 134 137 142 149 151 152 154

CUVINTE CHEIE Securitatea informaional, sisteme de control al accesului, sisteme de control al accesului bazate pe roluri RBAC, metodologii de proiectare, politici de securitate, modele de control al accesului, mecanisme de control al accesului, proiectarea rolurilor, autorizare, roluri, permisiuni, constrngeri, ierarhii de roluri, conflicte de interese, asigurri, managementul securitii informaiei. SINTEZA PRILOR PRINCIPALE ALE TEZEI DE DOCTORAT: MANAGEMENTUL SECURITII INFORMAIEI N ASIGURRI Odat cu deschiderea adus de tehnologiile distribuite din ultimul deceniu, problemele de securitate informatic au depit zona exclusivist a marilor organizaii i au devenit un fenomen de mas. Cu att mai mult, riscurile pentru organizaii au devenit mai acute i mai complexe iar ca urmare aspectele de securitate au fost instituionalizate i standardizate. Pentru a obine rezultate notabile utilizarea mecanismelor de securitate trebuie s fie fcut n cadrul unui proces bine fundamentat la nivel de organizaie. Nucleul unui sistem de securitate a informaiei l constituie modul de asigurare a controlului accesului. Din studii de specialitate reiese c factorul uman este principalul responsabil pentru problemele de securitate iar ntr-o proporie semnificativ este vorba de persoane din interiorul organizaiilor. Dintre modelele de control al accesului, modelul de control al accesului bazat pe roluri - RBAC este varianta care se preteaz cel mai bine pentru organizaii cu o structura organizatoric n care responsabilitile sunt bine definite. n mod ideal implementarea unui nou model de control al accesului este fcut odat cu elaborarea sistemului informatic. Aceast situaie este ns puin probabil n cazul organizaiilor mature la nivelul crora automatizarea proceselor a fost deja fcut. Implementarea model RBAC presupune un studiu riguros al asocierilor dintre rolurile i permisiunile definite n sistem. Eficiena modelului depinde n proporie covritoare de abilitatea proiectantului de a identifica asocierile corecte. Acest deziderat poate fi obinut prin utilizarea unei metodologii flexibile care s susin un proces coerent de proiectare a rolurilor. Obiectivul lucrrii const n identificarea unor modele i metode pentru reducerea problemelor de securitate la nivelul unei organizaii. Pentru aceasta se dorete determinarea unei metodologii de identificare a permisiunilor i rolurilor dintr-o organizaie precum i a asocierilor dintre acestea. De asemenea se dorete construirea unei structuri ierarhice pentru rolurile definite i determinarea constrngerilor asociate. Rezultatele procesului de identificare a rolurilor vor fi folosite pentru elaborarea unei propuneri de implementare a unui sistem de control al accesului ntr-o companie de asigurri. Pentru aceasta, este propus o variant extins a modelului RBAC i un proces de identificare a asocierilor dintre permisiuni i roluri. Modelul propus, VMRE-RBAC, permite descompunerea rolurilor n permisiuni i apoi testarea rezultatelor obinute. Modelul este iterativ, la fiecare etap de testare se va face o nou optimizare a rezultatelor. Fiecare etap de descompunere va avea o etap de testare asociat n care se va face verificarea i validarea rezultatelor obinute. Pentru fundamentarea deciziilor n procesul de proiectare amintit sunt propuse o serie de proprieti care asigur simplitate, consisten i coeren modelului. Necesitatea elaborrii a acestei lucrri este dat de complexitatea procesului de definire a rolurilor coroborat cu inexistena unei abordri standardizate de

proiectare a rolurilor pentru sisteme de tip RBAC. Lucrarea este structurata n 3 pri i 11 capitole al cror coninut este sintetizat n cele ce urmeaz. Prima parte se intituleaz Cunoaterea domeniului cercetat i cuprinde 7 capitole. n aceast parte sunt abordare conceptele legate de cerinele informaionale n domeniul asigurrilor, managementul securitii informaionale la nivelul organizaiilor, politici i modele de securitate. De asemenea, sunt identificate cerinele de securitate eseniale pentru un sistem informaional i cerinele de securitate particulare domeniului economic al asigurrilor precum i principalele soluii informatice pentru controlul accesului. n capitolul 1, Introducere, este descris obiectivul tezei de doctorat, este justificat necesitatea acesteia i sunt trecute n revist capitolele tezei. De asemenea, este prezentat stadiul actual al cercetrii n domeniul specific al tezei de doctorat. Capitolul 2,Sisteme informaionale n domeniul asigurrilor, cuprinde o descriere a caracteristicilor unui sistem informaional definit la nivelul unei societi de asigurri. Sunt prezentate modalitile prin care un sistem informatic construit ca suport pentru sistemul informaional poate automatiza procesele organizaionale n vederea optimizrii funciilor de conducere, planificare, stabilire a primelor de asigurare, raportare statistic, raportare financiar sau a serviciilor oferite clienilor. Acest capitol surprinde principalele elemente de la nivelul fluxului informaional dintr-o companie de asigurri. De asemenea sunt identificate o serie de aspecte particulare legate de securitatea informaiei la nivelul firmelor de asigurri. Sistemul trebuie s faciliteze integrarea colaboratorilor externi, a agenilor de asigurare i a clienilor n fluxul informaional la nivelul societii de asigurare prin intermediul sistemului informatic. n plus, pentru a reduce volumul pierderilor, este nevoie s se reglementeze situaia clienilor problematici. Pentru rezolvarea acestor situaii se recomand integrarea sistemelor tuturor firmelor de asigurri ntr-un sistem de coordonare i control la nivelul Comisiei de Supraveghere a Asigurrilor. Un sistem bine pus la punct ar reduce per ansamblu rata daunei i ar permite descoperirea eventualelor persoane care fraudeaz sistemul de asigurri. Un sistem de control al accesului bazat pe principiile privilegiului minim i al separrii sarcinilor ar putea rezolva o mare parte a acestor disfuncionaliti. n capitolul 3, Riscul i securitatea n sistemele informatice, sunt definite conceptele eseniale ale securitii informatice, precum: vulnerabilitile, ameninrile sau mecanismele de control. Sunt trecute n revist principiile de baz ale securitii informatice i obiectivele eseniale ale unui sistem de securitate, i anume asigurarea confidenialitii, integritii i disponibilitii datelor. De asemenea, este prezentat necesitatea planificrii securitii informaiei i sunt analizate caracteristicile unui proces la nivel organizaional n acest sens. Capitolul 4, Managementul riscurilor informaionale, prezint etapele obligatorii pentru managementul riscului informaional la nivelul unei organizaii. Aceste sunt: evaluarea riscurilor, reducerea riscurilor, managementul securitii i auditarea. n prezentare sunt discutate pe larg primele dou etape. Pentru evaluarea riscului pot fi folosite att metrici calitative ct i metrici cantitative. Sunt prezentate avantajele i dezavantajele fiecrui sistem de metrici. De asemenea, este prezentat modelul Jacobson de management al riscului. Asigurarea securitii la nivelul unei organizaii presupune existena unor politici de securitate care, pe baza vulnerabilitilor cunoscute la nivelul sistemului, s defineasc ceea ce nseamn un sistem sigur. Aceste aspecte sunt definite formal n capitolul 5, Politici de securitate, pornind de la modelul automatelor finite. Sunt

prezentate o serie de modele de control al accesului i limbaje folosite pentru reprezentarea politicilor de securitate. Pentru a prefigura contextul apariiei modelului RBAC, n capitolul 6, Modele de politici de securitate, sunt prezentate o serie de modele de securitate din categoria celor cu acces bazat pe reguli i cu acces discreionar (MAC, DAC). Clasificarea se face n funcie de principalul obiectiv de securitate asociat fiecrui model n parte i implicit discutnd politica de securitate asociat. Obiectivul poate fi confidenialitatea n cazul modelului Bell-LaPadula, integritatea n cazul modelelor Biba, Lipner sau Clark-Wilson i obiective hibride n cazul politicii Zidului Chinezesc. Pentru acestea sunt prezentate modelele informale iar n cteva cazuri particulare sunt prezentate i modelele formale. n capitolul 7, Modelul pentru controlul accesului bazat pe roluri, este fcut o prezentare formal i informal a modelului RBAC. Sunt amintite elementele constitutive ale modelului, i anume: utilizatorii, rolurile i permisiunile, precum i asocierile dintre acestea. Sunt detaliate nivelurile adugate suplimentar peste modelul RBAC iniial, i anume nivelul constrngerilor i nivelul ierarhiilor de roluri. n final este definit modelul integrat i modelul administrativ. Tot n capitolul 7, sunt discutate i avantajele modelului n contextul unor organizaii mature prin implementarea unor principii de securitate, cum ar fi: principiul celui mai mic privilegiu, principiul separrii sarcinilor sau principiul abstractizrii. Am justificat astfel faptul c modelul RBAC poate fi folosit i n cazul sistemelor informatice la nivelul firmelor de asigurri. n partea a II-a, Soluiile originale din cercetare, sunt descrise principalele contribuii ale cercetrii doctorale obinute pe baza conceptelor i propunerilor identificate n prima parte. Partea a II-a cuprinde capitolele 8 i 9. Capitolul 8, Modelul VMRE-RBAC, prezint o metodologie nou pentru proiectarea rolurilor. Proiectarea rolurilor constituie o etap iniial fr de care implementarea unui sistem RBAC este imposibil. Am denumit modelul obinut VMRE-RBAC ca acronim pentru V-Model Role Engineering RBAC. Modelul VMRE-RBAC extinde modelul standardizat RBAC prin adugarea unor niveluri intermediare: profiluri, sarcini, activiti. Rolurile sunt determinate succesiv porninduse de la o mulime de roluri iniial determinat pe baza structurii organizatorice. Aceste roluri sunt asociate mai multor obiective care determin responsabiliti. Fiecare responsabilitate este dus la ndeplinire prin intermediul unui profil specific. Profilurile stau la baza ierarhiei de roluri finale. Fiecare profil este descompus n sarcini care la rndul lor sunt descompuse n mai muli pai. Paii sunt ulterior asociai unor mulimi de permisiuni. Descompunerea poate avea ca reper rolurile din sistem, funcionalitile sistemului sau permisiunile. Dup o prim descompunere, modelul trece ntr-o etap de testare pentru fiecare nivel al descompunerii. Testarea presupune validarea i verificarea modelului. Pentru verificare i optimizare au fost introduse o serie de proprieti, cum ar fi: echivalena, minimizarea, reutilizarea, completitudinea, consistena i coerena. Aceste proprieti sunt definite n scopul obinerii unui model ct mai simplu, complet i fr echivocuri. Validarea se face pe baza responsabilitilor organizaionale i a scenariilor de test. Modelul este prezentat att static prin descompunerea pe niveluri ct i dinamic ca proces iterativ. Modelul este extensibil, permind adugarea ulterioar a unor noi permisiuni, etape sau sarcini. De asemenea, n cazul n care apar noi responsabiliti la nivelul organizaiei acestea pot fi uor adugate rolurilor existente prin construirea unor noi profiluri. Metodologia propus cuprinde toate etapele

necesare pentru proiectarea rolurilor: identificarea rolurilor i permisiunilor, identificarea asocierilor ntre roluri i permisiuni, identificarea constrngerilor i construirea ierarhiilor de roluri. n capitolul 9, Studiu de caz este fcut o analiz comparativ a modelului VMRE-RBAC cu modelul NeumannStrembeck i modelul GoncalvesMaranda. Pentru fiecare studiu n parte sunt prezentate comparativ scopul, arhitectura, metodologia i rezultatele obinute. n final sunt prezentate aspectele comune, elementele distinctive i avantajele modelului VMRE-RBAC. Partea a III-a, Diseminarea rezultatelor, se axeaz pe analiza, identificarea i propunerea unor soluii de proiectare i dezvoltare a sistemelor informatice de autorizare a accesului. De asemenea este fcut o analiz cost-beneficiu pentru implementarea unui sistem de control al accesului ntr-o societate de asigurri. n final sunt prezentate modalitile prin care s-a fcut diseminarea rezultatelor cercetrii. Capitolul 10, Implementarea unui sistem RBAC ntr-o firm de asigurri, prezint o analiz a beneficiilor de securitate, de productivitate i de administrare aduse de implementarea unui sistem de control al accesului de tip RBAC. Cum orice decizie managerial are la baz considerente financiare, este fcut o estimare a costurilor de implementare pe baza datelor din studiile de specialitate. De asemenea, sunt estimate, pentru o societate de asigurri cu acoperire naional, beneficiile ce ar putea fi obinute prin implementarea modelului. Estimarea a avut la baz date statistice publicate de NIST i INSSE precum i date sedimentate n urma experienei avute n domeniu. n final am determinat beneficiul net aferent implementrii. Pe baza rezultatelor obinute n procesul de proiectare a rolurilor, este propus o soluie pentru construirea unui sistem care s fac autorizarea accesului. Sistemul va opera peste modulele deja existente n sistemul informatic al organizaiei, asociind o funcionalitate pentru fiecare metod care trebuie autorizat. Sunt detaliate o serie de recomandri att pentru partea de design al aplicaiei i al modelului datelor ct i pentru partea de implementare. Pentru a oferi o soluie optimizat fa de cele deja existente, este propus un mecanism de autorizare care se va aplica pentru fiecare funcionalitate att la nivelul datelor de intrare ct i la nivelul datelor de ieire. Prin aceast abordare se reduce efortul de calcul necesar verificrilor prin eliminarea preliminar a cazurilor n care accesul este restricionat datorit unor seturi de date de intrare neconforme. De asemenea, datele de ieire sunt filtrate n mod granular. Prin urmare controlul accesului este fcut att la nivel de funcionalitate ct i la nivel de date i mai specific la nivel de cmp de date. n capitolul 11, Concluzii, este prezentat un rezumat al studiului, o trecere n revist a rezultatelor originale obinute i dezvoltate n lucrare, precum i o serie de direcii de cercetare ulterioare. De asemenea este prezentat modul de diseminare a rezultatelor pe tot parcursul programului de cercetare doctoral. Bibliografia lucrrii cuprinde o suit de lucrri de specialitate din literatura romn i internaional. Dintre acestea o parte sunt titluri elaborate de autorul lucrrii. Bibliografia cuprinde pe lng un numr generos de cri de specialitate i un numr extins de articole de specialitate publicate n reviste sau conferine de renume, cum ar fi Symposium on Access Control Models and Technologies din perioada 1996 2008 sau lucrri publicate n baze de date Science Direct sau JStor. O selecie din titlurile cuprinse in Bibliografie este prezentat la finalul rezumatului. n concluzie, teza de doctorat fundamenteaz o metodologie nou i un model de proiectare i testare al rolurilor diferit fa de modelele deja existente n literatura de specialitate. Metodologia introduce un proces de descompunere distinct mpreun cu o serie de asocieri noi interpuse n asocierea general dintre roluri i permisiuni.

Aspectele particulare sunt trecute n revist pe parcursul lucrrii i discutate pe larg n analogie cu alte dou modele n Capitolul 9. De asemenea, este definit o abordare nou pentru proiectarea i implementarea unui modul de autorizare de tip RBAC. Toate aceste rezultate sunt obinute avnd ca referin un sistem pentru managementul securitii informaiei ntr-o societate de asigurri. Datorit flexibilitii metodologiei i a modelului de implementare, acestea pot fi utile i n alte domenii economice sau sociale. Activitatea de cercetare doctoral a presupus o activitate de documentare pentru identificarea rezultatelor deja obinute n domeniul controlului accesului ct i n cel al asigurrilor, obinerea unor rezultate experimentale prin metode de analiz economic sau prin dezvoltarea unor aplicaii informatice precum i folosirea experienei deja dobndite n domeniul informaticii economice. De asemenea, diseminarea unor pri din teza de doctorat n conferine naionale sau internaionale a facilitat evaluarea i mbuntirea rezultatelor obinute. Principalele contribuii personale din teza de doctorat i care au fost prezentate n paragrafele anterioare sunt: Identificarea unor probleme specifice legate de securitatea informaional n cadrul firmelor de asigurri i propunerea unor mecanisme pentru reducerea acestora. Analizarea stadiului actual al cunoaterii n domeniul controlului accesului. Construirea unei metodologii de proiectare a rolurilor - VMRE-RBAC. Elaborarea unui model de proces pe baza metodologiei propuse. mbuntirea unor modele de proiectare a rolurilor documentate n literatura de specialitate. Elaborarea unei analize cost-beneficiu pentru implementarea unui sistem RBAC n cazul unei societi de asigurri din Romnia. Proiectarea unui sistem pentru autorizarea accesului la funciile unui sistem informatic. n finalul lucrrii sunt identificate i o serie de direcii de cercetare ulterioare pentru mbuntirea modelului VMRE-RBAC. O prim direcie ar fi introducerea n model a conceptului de obligaie. O obligaie este o sarcin ce trebuie efectuat n momentul n care este acordat dreptul de acces. De asemenea, modelul nu trateaz problematica delegrilor, adic a posibilitii transferrii unor drepturi altor utilizatori pentru o serie de activiti specifice. Delegarea este o situaie des ntlnit n activitile manageriale sau atunci cnd o persoan este indisponibil. O alt direcie de cercetare ar fi construirea unui produs software care s permit automatizarea activitii de proiectare a rolurilor pe baza metodologiei propuse. De asemenea, este posibil elaborarea unei metodologii inverse de proiectare a rolurilor n sens, pornind de la permisiuni.

BIBLIOGRAFIE SELECTIVA
Cri [BuFe06] [Bish03] [BoKa08] [CoDa08] [Const05] [FeKu07] [IvTo06] [PaBi01] [Pfle03] [Schn08] [ShCl05] [Vose08] Buecker, A., Ferrell, M., Enterprise Security Architecture, IBM Redbooks, 2006. Bishop, M. Computer Security Art and Science, Ed. Addison-Wesley, 2003 Bosworth, S., Kabay, M., Computer Security Handbook, Wiley, 2008 Coyne, E., Davis, J., Role Engineering for Enterprise Security Management, Artech House, 2008 Constantinescu, D., Tratat de asigurri, Ed. Economic, 2005 Ferraiolo, D., Kuhn, D., Chandramouli, R., Role-Based Access Control - Second Edition, Artech House Publishers, 2007 Ivan, I., Toma, C., Constantinescu, R., Information Security Handbook, Editura ASE, 2006 Patriciu, V., Bica - Securitatea comertului electronic, Ed. All, 2001 Pfleeger, C. Security in Computing, Ed. Prentice Hall, 2003 Schneier, B., Schneier on Security, Ed. Wiley, 2008 Sherwood, J., Clark, A., Lynas, D., Enterprise Security Architecture, CMP Books, 2005 Vose, D., Risk Analysis: A Quantitative Guide, Wiley, 2008

Articole A. Contribuii proprii [CoBa07] [CoBa08] [Cons04] [Cons06-2] [CoZo05-1] [CoZo07] Constantinescu, R., Barbulescu, A., Systems Security through Capability Models, Competitiviness and European Integration International Conference Cluj, Oct, 2007 Constantinescu, R., Barbulescu, A., Controlul Accesului pentru Aplicaii Web, Simpozionul Internaional al Tinerilor Cercettori, Academia de Studii Economice din Moldova, Chiinu, 2008 Constantinescu, R., Information Security in eCommerce a Basic Methodology, The 7th International Conference of Informatics in Economy, Bucharest, 19-20 Mai, 2005 Constantinescu, R., Hybrid Security Policies, Revista Informatic Economic, nr. 3, 2006 Constantinescu, R., Zota, Vulnerabilities in e-Commerce Applications, The Impact of European Integration on the National Economy International Conference, Universitatea Babe Bolyai, Cluj Napoca, 28-29 Oct, 2005 Constantinescu, R., Zota, R., Vasilescu, A., Network Security in the Context of the Botnets Threat, a 6-a Conferin Internaional RoEduNet, Craiova, Noiembrie 2007

B. Articole de specialitate [CrIn02] [GoMa07] [He05] [NeSt02] [ScMo01] [Vija08] [ZhRa07] Crook,R., Ince, D., Nuseibeh, B., Towards an Analytical Role Modelling Framework for Security Requirements, Proc. of the 8 tn International Workshop on Requirements Engineering: Foundation for Software Quality (REFSQ'02), Essen, Germany, 2002 Goncalves, G., Poniszewska-Maranda, A., Role Engineering: From design to evolution of security schemes, Journal of Systems and Software, 2007 He, Q., "Requirements-based Access Control Analysis and Policy Specification", Ph.D. Thesis, North Carolina State University, 2005 Neumann, G., Strembeck, M., A Scenario-driven Role Engineering Process for Functional RBAC Roles, Proceedings of the 7th ACM Symposium on Access Control Models and Technologies, 2002 Schaad, A., Moffet, J., Jacob, J., The Role-Based Access Control System of a European Bank: A Case Study and Discussion, SACMAT, Chantilly 2001, Vijay Atluri, Panel on role engineering, SACMAT, 2008 Dana Zhang, Kotagiri Ramamohanarao, Tim Ebringer, Role engineering using graph optimisation, SACMAT, 2007

Curriculum Vitae
Informaii generale Nume i prenume: Data naterii: Email: Educaie 2004- prezent Radu Constantinescu 2 Decembrie 1979 radu.constantinescu@ie.ase.ro Academia de studii Economice (ASE) Bucureti doctorand n domeniul Cibernetic i Statistic Economic

2003-2004

Academia de studii Economice (ASE) Bucureti Studii Aprofundate Sisteme Informatice pentru Management Absolvit n iunie 2004 cu nota 10.00; Titlul lucrrii de dizertaie: Afaceri Electronice prin tehnologii open-source. Academia de studii Economice (ASE) Bucureti Facultatea de Cibernetic, Statistic i Informatic Economic (Secia de Informatic Economic) Absolvit n mai 2003 cu nota 9.66; Titlul lucrrii de diplom: Planificarea execuiei proceselor n reele clientserver.

1998-2003

1994-1998 Colegiul Naional Mihai Viteazul Bucureti Absolvit n iunie 1998, Media bacalaureat: 9.22.

Cursuri de pregtire suplimentar Activiti tiinifice/ premii

Academia Cisco din ASE; Seminarii de actuariat organizate de ARA n anul 2000. Membru n echipa de cercetare n contractul SIUM, director de proiect ICI Membru n echipa de cercetare n contractul CNCSIS 1064 - Cercetri privind securitatea afacerilor electronice, director de proiect prof.dr. Nstase Floarea Diplom ASE pentru tinerii cercettori, aprilie 2005 Membru n echipa de organizare a celei de-a aptea conferine internaionale de informatic economic Information and Knowledge Edge, Bucureti, mai 2005 Membru n echipa de organizare a workshop-ul germano-bulgaro-romn Actual Problems of Business Informatics in BRIE Master Program, Giurgiu, 13-14 decembrie 2003 Diplom Oracle pentru absolvirea cursului Oracle e-Business Suite May 2004. Diplom Oracle pentru participarea i absolvirea cursurilor din cadrul Iniiativei Academice Oracle Ianuarie 2003 Premii i participri la Olimpiada Naional de Matematic i la concursurile Gazetei Matematice (1993-1998);

10

Experiena n munc

2006 - prezent Academia de studii Economice (ASE) Bucureti Asistent n cadrul catedrei de Informatic Economic Sisteme de operare Programare Web Reele de calculatoare Bazele tehnologiei informaiei Afaceri Electronice 2004 2005 Certind S.A. Organism de Certificare Bucureti Membru n Consiliul de Administraie 2003 - 2005 Academia de studii Economice (ASE) Bucureti Preparator n cadrul catedrei de Informatic Economic 2003 - prezent Academia de studii Economice (ASE) Bucureti Secretar al cursului de master eBusiness 2000 2003 S.C. Naionala S.A. Companie de Asigurri Reasigurri Bucureti Specialist n evaluarea riscului i audit Administrator reea Statistician Actuar 1998 - 1999 Administrator IT: IT Systems Romania Bucureti

Cunotine IT

Sisteme de operare: Windows 9x, 2000, 2003, XP, Vista, Solaris, AIX, Linux, Fedora, MS Dos; Hardware: cunotine avansate; Reele: cunotine avansate; Securitate: cunotine avansate; Programare: C, C++, Visual C++ (MFC), C#, Pascal, Assembler; PL/SQL Baze de date: MySql, Oracle, SQL, Visual FoxPro, Access; Instrumente CASE: Oracle Designer; Internet: HTML, Java Script, PHP, ASP, ASP.Net, CGI, CSS; Metodologii de analiz i proiectare: SSADM, OMT, UML; Modele de proces: CMMI 1.1. ERP: Oracle E-Business Suite Utilitare/Aplicaii Office: Word, Excel, PowerPoint, Front Page, Visio, QM, Systat, Matlab, Corel Draw, Photoshop, Ilustrator Englez foarte bine: scris / citit / vorbit; Francez bine: scris / citit / vorbit; Spaniol - nceptor

Limbi strine

11