ACADEMIA TEHNICA

MILITARA

ABORDAREA SISTEMIC
A PROTECIEI INFORMATIILOR
N SISTEMELE DE COMUNICAII I DE
CALCULATOARE

prof. dr. ing. Alexandru erbnescu

ing. Gheorghe Mureanu

1/45

Cuprins
1. Introducere.. 3
2. Noiuni generale de teoria sistemelor. 5
3. Conceptul de sistem 6
3.1 Problema mediului n abordarea sistemic ciberspaiul 7
3.2 Ierarhie i rezoluie n sistem 9
3.3 Predicie i control10
3.4 Proprietile de emergen12
3.5 Punctul de vedere al proprietarului (ownership)..13
3,6 Punctul de vedere al lumii13
4. Principiile teoriei sistemelor13
5. Tipuri de sisteme.16
6. Sistemul de securitate..17
7. Abordarea sistemic19
7.1 Abordarea sistemica din punct de vedere al
problemelor hard .22
7.2 Metodologia de analiz a sistemelor hard..25
7.3 Abordarea sistemic din punct de vedere
hard a subsistemului de securitate26
7.4 Strategiile de tratare a riscurilor.28
7.5 Abordarea sistemic din punct de vedere soft30
7.6 Metodologia de abordare din punct de
vedere al problemelor soft.32
7.7 Abordarea soft a subsistemului de securitate 34
7.8 Abordarea sistemului din punct de vedere
al comportrii n situaii de criz.37
7.9 Abordarea sistemului de securitate din punct
de vedere al comportrii n situaii de criz40
7.10 Metodologia de aciune n cazul dezastrelor
- Disaster Recovery Plan..40
8. Abordarea sistemic a securitii pe
durata ciclului de via a sistemului41
9. Concluzii 43
10. Bibliografie 44

2/45

Rezumat
Referatul i propune s abordeze problema securitii n general i
problema securitii informaiilor n special printr-o tratare sistemic a funciei
de securitate a unui sistem ca o parte inseparabil a sistemului funcional al unei
organizaii.
Securitatea din aceast perspectiv apare ca unul din principiile
fundamentale ale sistemelor complexe principiul de supravieuire.
Referatul prezint conceptul modern de sistem deschis care
interacioneaz cu mediul i cuprinde echipamente, proceduri i oameni.
Abordarea trateaz factorul uman ca fiind inclus n sistem cu limitele dar i cu
creativitatea sa. Abordarea se strduiete s evidenieze faptul c sistemul de
securitate care inerent include i oameni, trebuie privit din patru puncte de
vedere complementare diferite:
1. Abordat ca un sistem bine delimitat, cu mrimi msurabile i comportri
in mare parte previzibile abordarea din punct de vedere hard;
2. Abordat ca un sistem cu delimitri vagi care interacioneaz puternic cu
mediul, este descris de mrimi nemsurabile i este supus aprecierilor
subiective, cu comportri imprevizibile abordarea din punct de vedere
soft,
3. Abordarea din punct de vedere al situaiilor de criz (avarie) studiat
atunci cnd unul sau mai multe elemente critice sunt scoase din funciune
datorit unor cauze naturale sau provocate;
4. Abordat pe durata ciclului de via cu caracteristici de securitate diferite
in fazele dezvoltrii i utilizrii sistemului: analiz sistem, proiectare,
implementare, testare, mentenan.
Referatul evideniaz i principalele instrumente de analiz ale acestor
abordri, rolul analistului i concluzioneaz c aceast abordare complementar
este capabil s realizeze un management al securitii optim. Ghidurile
internaionale de bun practic, reglementrile i standardele din domeniu
reprezint sintetizri, la nivel de securitate minim, ale abordrii securitii din
aceste puncte de vedere diferite.
1. Introducere
Tot mai frecvent lumea se confrunt cu probleme de securitate (de
protecie), se vorbete tot mai mult de securitatea naional, securitatea
traficului, securitatea alimentar, securitatea sistemelor informatice, securitatea
informaiei etc.
Se vorbete de terorism, de ciberterorism, de lupta mpotriva acestor
flageluri, care n fapt sunt tot probleme de securitate.
Pentru a rezolva problemele de securitate tot mai multe entiti i-au
dezvoltat mecanisme specializate care se ocup de securitatea (aprarea) lor.
Exist armate, servicii de informaii, n toate statele, dar i structuri de securitate
care au obiective clare de aprare n multe organizaii civile. Aceste structuri au
3/45

tot mai mult rolul de a crea cadrul organizatoric i a mobiliza eforturile

organizaiei n vederea depirii unor situaii perturbatoare ntmpltoare sau
provocate care tind s diminueze performanele sau chiar s i ntrerup
funcionarea.
Aceste structuri acioneaz conforma unor strategii i politici cu obiective
definite, cuprind oameni i echipamente care interacioneaz cu ntreaga
organizaie dar i cu mediul de lucru al organizaiei pe baza unor metodologii
proprii. Se poate spune c exist un sistem de securitate al organizaiei. Sau mai
exact exist un subsistem de securitate al sistemului organizaional al oricrei
entiti.
Dac se definete securitatea ca fiind funcia unui sistem de a-i asigura
supravieuirea n condiii de mediu concurenial cu resurse limitate se vede clar
c securitatea este una din funciile vitale ale oricrui sistem i nu poate fi
separat de activitatea de baz a sistemului.
La nivelul ntregii societi se poate spune c se cheltuiesc tot mai multe
resurse pentru a rezolva problemele de securitate i se pune tot mai mult
problema eficienei acestor cheltuieli.
Exist tendina, datorit faptului c problema securitii este o problem
vital pentru orice entitate, ca n anumite condiii de mediu, problema securitii
s devin o problem n sine care s atrag fonduri peste necesitile reale
impuse de condiiile de mediu. Aceast deturnare de fonduri de la dezvoltare
ctre securitate conduce la o micorare a competitivitii organizaiei n mediul
ei de lucru i n consecin la eliminarea ei din mediu.
Pe de alt parte micorarea resurselor destinate securitii sub un anumit
prag, dictat de mediu, poate conduce la apariia unui eveniment care s produc
prejudicii grave sau chiar s scoat din funciune organizaia eliminnd-o din
mediu.
Abordnd securitatea ca pe o funcie de aprare a tuturor valorilor unei
organizaii: valori materiale, informaii, sistem relaional, imagine,
funcionalitate, sistemul de securitate este compus din mai multe subsisteme
care coopereaz strns ntre ele i cu celelalte subsisteme ale organizaiei:
securitatea personalului, securitatea fizic, securitatea administrativ, securitatea
comunicaiilor, securitatea reelei IT, securitatea emisiilor parazite etc.
Este evident c atunci cnd se vorbete de securitatea informaiilor fcnd
abstracie de suportul material i viznd toate aspectele securitii problema
devine deosebit de complex i este dificil de a menine un echilibru corect ntre
toate aceste aspecte.
Globalizarea i dezvoltarea tehnologiilor de comunicaii i informatice au
condus la apariia unui mediu specific cu unele proprieti diferite de mediu fizic
real: mediul cibernetic ciberspaiul n care elementul esenial este informaia
desprins de suportul material.
In acest ansamblu securitatea informaiilor joac un rol deosebit,
informaia fiind fluidul care leag elementele sistemului i interaciunea sa cu
mediul.
4/45

Atunci cnd se vorbete de securitatea informaiilor trebuie avute n

vedere toate aspectele securitii acesteia: disponibilitatea, confidenialitatea,
integritatea, autenticitatea i nerepudierea, cu accent pe aspectele preponderente
rezultate din analiza de riscuri.
Este evident c este necesar o optimizare a sistemului de securitate
pentru a crete eficiena acestuia i o optimizare a partajrii resurselor ntre
subsistemul de securitate i sistem, funcie de condiiile de mediu.
Pe de alt parte fiecare organizaie (sistem) are interese, structur,
funcionalitate i mediu specific de lucru i n consecin i necesiti de
securitate specifice. Acest fapt face ca practic s nu existe soluii generale de
securitate ci eventual numai structuri i metodologii de securitate similare care
s conduc la nivele de risc rezidual echivalente i trebuie acceptate o mare
diversitate de forme de manifestare a funciei de securitate pentru fiecare sistem
n parte.
Dat fiind cele de mai sus apare evident c singura metod de abordare a
securitii capabil s conduc la o soluii rezonabile este abordarea sistemic a
proteciei informaiilor.
2. Noiuni generale de teoria sistemelor
Teoria sistemelor a fost definit ca studiu interdisciplinar al organizrii
abstracte a fenomenelor independent de substan, tip sau scara lor spaial sau
temporal. Investigheaz principiile comune tuturor entitilor precum i
modelele (matematice) care sunt utilizate pentru a descrie comportarea acestora.
Definiia a fost propus n anul 1940 de biologul Ludwig von Bertalanffy
i fundamentat de Ross Ashby n lucrarea Introduction to Cybernetics (1956).
Lucrarea a fost o reacie la introducerea ideilor de reducionism i de
unitate a tiinei. El arat c sistemele reale sunt deschise, interacioneaz cu
mediul lor i astfel capt noi proprieti calitative prin emergen rezultnd o
evoluie continu.
Ideile enunate mai sus reduc o entitate la proprietile prilor ei i teoria
sistemelor se focalizeaz pe prile i relaiile dintre ele care se conecteaz ntrun tot. (holism). Organizarea particular determin sistemul care este
independent de substana concret a elementelor.
Aceast idee st la baza unificrii tiinei.
Teoria sistemelor este apreciat astzi ca una dintre cele mai vaste
discipline tiinifice, conceptele ei fiind aplicate n egal msur n tehnic,
tiinele naturii i tiinele sociale.
Format la confluen dintre mai multe discipline tiinifice clasice,
teoria sistemelor constituie un instrument util de lucru pentru abordarea
sistemelor complexe.
Aa cum se vede i din figura de mai jos, propus n anul 1968 de
filozoful polonez Jan Zieleniewscki, teoria sistemelor i mparte sfera de
cuprindere cu cibernetica, filozofia tiinei, i praxeologia fr a se putea
substitui nici uneia.
5/45

Teoria sistemelor are n accepiunea filozofului un rol dominant i ca i

cibernetica i filozofia tiinei se bazeaz pe praxeologie, definit ca tiin a
condiiilor generale de eficien a ntregii aciuni umane, conceput ca i
comportament uman orientat ctre tiin i executat cu sentimentul libertii de
alegere al agenilor.
Aceast ngemnare cu tiinele cele mai generale precum i rolul
dominant pe care l deine n acest ansamblu fac din teoria sistemelor candidatul
cel mai bun pentru a studia locul i rolul subsistemului de securitate n cadrul
unui sistem care evolueaz ntr-un mediu specific, mediu, care nu ntodeauna i
n totalitate i este favorabil.
Sistemul de securitate sau mai corect subsistemul de securitate al unui
sistem este o entitate complex care nglobeaz toate funciile majore ale unui
sistem pentru ai asigura supravieuirea ntr-un mediu care poate uneori s i fie
ostil. Subsistemul de securitate include activiti umane, echipamente i funcii
specializate precum i un schimb permanent de informaii cu mediul
organizaional i cu mediul exterior organizaiei (sistemului). Managementul
securitii informaiilor necesit cunotine din domeniul mecanicii, opticii,
comunicaiilor, teoriei informaiilor, fizic, chimie, legislaie, psihologie etc.
Obiectul studiului ar fi extragerea caracteristicilor pentru o
proiectare eficient a subsistemului de securitate (ingineria securitii
sistemului).

Teoria
sistemelor

Cibernetica

Filozofia
tinelor
tehnice

Praxeologia

Figura 1.

6/45

3. Conceptul de sistem
Conceptul de sistem este unul dintre conceptele primare, fundamentale, cu
utilizri frecvente n numeroase domenii ale tiinei. Fiind un concept primar
foarte general nu are o definiie riguroas larg acceptat. Noiunea este neleas
la nivel intuitiv prin descrierea principalelor caracteristici ale sale.
Prin sistem, se nelege n general, un ansamblu de pri (denumite
componente) care interacioneaz ntre ele ntr-un mod organizat (implic
noiunea de structur) pentru atingerea unui obiectiv (trebuie s fac ceva).
Aceast definire a conceptului de sistem evideniaz noiunea
simplificat, mecanicist a sistemului. n care sistemul era vzut ca ceva izolat
de mediu, prevzut cu intrri i ieiri i care procesa ntr-un fel oarecare ceea ce
i se prezenta la intrare pentru a scoate ceva la ieire.
n accepiunea modern, noiunea clasic a sistemului mai trebuie
completat cu urmtoarele caracteristici:
- Adugarea sau scoaterea unei componente schimb sistemul;
- O component este afectat prin includerea n sistem;
- Componentele sunt percepute referitor la o structur ierarhic;
- Exist incluse metode de control i de comunicare care promoveaz
supravieuirea sistemului [1] (funcia de securitate);
- Sistemul are proprieti de emergen, dintre care unele sunt dificil de
prevzut (implic descriere probabilistic);
- Sistemul are limite (chiar dac nu pot fi riguros definite);
- n afara limitelor sistemului exist mediul care afecteaz sistemul;
- Sistemul aparine cuiva (cel care stabilete obiectivele).
Ca instrument de studiu al sistemelor s-a dezvoltat independent analiza
sistemelor aplicnd principiile teoriei sistemelor pentru fundamentarea
deciziilor n problemele: identificrii, reconstruciei, optimizrii i controlului
sistemelor (organizarea socio - tehnic) cnd se iau n calcul: obiective multiple,
constrngeri i resurse.
Se au n atenie diferite posibile cursuri de aciune asociate cu riscuri,
costuri i beneficii.
3.1 Problema mediului n abordarea sistemic
Este de subliniat referitor la nelegerea conceptului de sistem introducerea
noiunii de mediu cu care sistemul schimb materie, energie i informaii i fr
de care este dificil de evaluat performanele acestuia, precum i a noiunii de
observator (analist), care intervine cu experiena sa n evaluarea limitelor
sistemului, n determinarea elementelor care pot fi comandate direct, sau a
proceselor care-l afecteaz semnificativ (n modelare).
Din punctul de vedere al acestei lucrri, o poziie special printre
caracteristicile sistemelor o ocup metodele de control i comunicare care
promoveaz supravieuirea sistemului i care pot constitui baza subsistemului de
protecie (securitate).
7/45

Trebuie remarcat c funcia (principiul) de protecie este direct legat de

control i de comunicare deci de informaie. Cu alte cuvinte capacitatea de
supravieuire depinde de capacitatea de a strnge informaii, de a le prelucra (a
le converti n decizii) i a comunica deciziile elementelor controlate spre
execuie n vederea obinerii unei evoluii de supravieuire.
n acest tablou o analiz special o necesit modul de stabilire al obiectivelor
sistemului de securitate care pot fi determinate din analiza obiectivelor
sistemului general i a interaciunii acestuia cu mediul n ndeplinirea
obiectivelor sale specifice.
Problema ciberspaiului mediul informaiei n format electronic
O analiz special trebuie fcut mediului de evoluie al informaiilor n
format electronic, mediul sistemelor informatice i de comunicaii care este un
mediu special- ciberspaiul cu proprieti i legi specifice, diferite de legile
mediului fizic.
Analistul, n mod natural, are tendina de a evalua sistemul prin prisma
experienei sale. Dac nu este familiarizat cu legitile din mediul electronic
(INTERNET) percepia asupra situaiei va fi deformat i rolul su n
dimensionarea i evoluia sistemului va fi negativ.
Ciberspaiul, este definit ca mediul de propagare al informaiilor n format
electronic i a aprut ca urmare a dezvoltrii tehnologice care a inventat scule
noi i automatizeaz prelucrarea i transportul informaiilor: calculatoarele i
reelele de comunicaii. n procesul de prelucrare al informaiilor, aceste scule
se interpun ntre om i informaie constituindu-se n cea mai important interfa
ntre acestea, condiionnd viteza i modul de acces al omului la informaie.
Aceast interfa, care are o inteligen i memorie proprie (artificial,
primitiv dar cu un anumit grad de independen de utilizator, se dezvolt
exploziv dublndu-se la fiecare 2 ani) condiioneaz n bun msur capacitatea
omului de a cunoate mediul (este tot mai mult un substitut al ochilor i
urechilor n cunoaterea mediului). Aceast interfa este tot mai mult
depozitara cunotinelor omenirii.
Aceast interfa, subordonat parial, chiar pe termen scurt, poate provoca
prejudicii mari la nivelul societii prin fenomene de amplificare sociale datorit
interdependenelor ntre grupurile sociale i tensiunilor acumulate. Exercitarea
unui control sau a unei perturbaii semnificative asupra acestei interfee poate
produce prejudicii mari vieii sociale n anumite circumstane.
n acelai context dezvoltarea fr precedent a reelelor de comunicaii prin
interconexiunea reelelor de telefonie, comunicaii radio, prin satelii, prin
integrarea tuturor serviciilor de transport a informaiilor: voce, fax, imagini,
date, pot, ntr-o singur reea mondial i practic contopirea acesteia cu
INTERNETUL a condus la crearea Magistralei Informaionale Globale (M.I.G.).
Capacitatea de transporte a acestei magistrale este uria i dup unele surse de
dubleaz n fiecare an.

8/45

Amintim mai jos cteva din proprietile specifice acestui mediu ciberspaiului:
- este un mediu virtual cu o anumit reflectare a realitii dar care
interacioneaz strns cu mediul fizic prin intermediul informaiilor
folosite de oameni sau maini i are legiti specifice;
- este probabil cel mai socializat mediu - acoper ntreg globul, toate
mediile de comunicaii i toat scara social magistrala informaional
global;
- mediul poate fi modificat major i rapid prin intervenia omului;
- multiplicatul valorilor (informaiilor) n ciberspaiu se face foarte uor cu
costuri nule i operaia nu las urme asupra originalului;
- valorile (informaiile) por fi manipulate de la distane uriae, pot fi
deplasate cu viteza luminii (teleportate), distruse sau modificate fr ca
aceste operaii s lase urme n mediul local;
- utilizatorii beneficiaz de protecia anonimatului;
- mediul este in continu schimbare datorit progresului tehnologic
exploziv;
- justiia clasic are dificulti n exercitarea prerogativelor deoarece:
o este foarte lent n reglementare n comparaie cu viteze de
schimbare a mediului;
o inconsistena termenilor utilizai n comunicarea global
dificultatea definirii termenilor legai de informaii, sistem,
comunicaii, criminalitate electronic, precum i acceptarea lor
general cu consecine n instan:
ambiguitile trebuie s fie interpretate in favoarea
inculpatului;
situaia ofer grade de libertate suplimentare exploatabile
pentru aprare, n defavoarea adevrului;
o dificultatea incriminrii n codul penal;
o problema teritorialitii justiiei i independena de spai u (i chiar
de timp) a activitilor n ciberspaiu;
caracterul transfrontalier al criminalitii electronice;
o caracterul nematerial al probelor (informaiilor n form electronic
din sistem) i folosirea lor ntr-un sistem bazat pe materialitatea
probelor (sunt admise numai probe tangibile) ceea ce face ca
probarea s se poat face de regul prin administrare indirect de
probe;
semntura electronic;
expertiza tehnic i criminalistic;
Caracteristicile ciberspaiului i trecerea spre societatea informaional,
exprimarea a tot mai multor valori n bii, fac din ciberspaiu un cmp predilect
pentru infracionalitate.
De altfel, n prezent, infracionalitatea electronic crete mai repede dect
poate justiia i autoritile s o reprime.
9/45

Este de datoria sistemului de securitate de a contracara aceast situaie

de fapt prin descurajare, creterea dificultilor de manipulare frauduloas a
informaiilor i s creeze suficiente urme credibile care s probeze faptele
incriminate de lege.
Este interesat de subliniat c acest mecanism de creare a urmelor n
ciberspaiu (se poate vorbi n sens mai larg de spaiu informaional) implic cu
necesitate un sistem de monitorizare i nregistrare a activitilor. De asemenea
este necesar i un sistem de intervenie care s frneze (s ntrzie) unele
activiti pn se poate verifica nocivitatea unor activiti pentru a putea fi
permise sau stopate.
3.2 Ierarhie i rezoluie n sistem
Complexitatea sistemelor i dificultatea analizei lor a condus la ideea de
diviza sistemul n pri componente mai mici care s poat s fie analizate
relativ independent i aa a aprut conceptul de subsistem (element) focalizat pe
o component fizic, pe o anumit funcie, pe un anumit proces.
Conceptul de subsistem implic noiunile de ierarhie i rezoluie.
Prin rezoluie se nelege gradul de atomizare al sistemului astfel nct s
permit o analiz suficient de detaliat din partea analistului i o modelare cu un
grad de complexitate rezonabil.
Noiunea de rezoluie conduce imediat la noiunea de ierarhie indicnd
modul de interaciune ale subsistemelor (componentelor). Ierarhia poate fi
constituit n multe moduri funcie de analiza efectuat: pe relaia cauz efect,
pe element de comand - element condus, succesiune in timp, succesiune logic
etc.
Noiunea de ierarhie conduce la conceptul de structur i mpreun
constituie mijloace utile de reprezentare i modelare eficient a funcionalitii
sistemelor.
3.3 Predicie i control
Predicia i controlul se refer la capacitatea sistemului de a-i opri
disfuncionalitile atunci cnd acestea apar datorit aciunii mediului sau
hazardului i s refac capacitatea de aciune a sistemului (s supravieuiasc).
O caracteristic important a sistemelor reale este faptul c sistemele
complexe au de regul o serie de proprieti predictibile n anumite circumstane
dar este posibil s aib i unele proprieti impredictibile. Analiza sistemelor in
aceste situaii se poate face n termeni probabilistici iar rezultatele vor fi
exprimate prin estimri. Comportarea sistemelor n aceste cazuri va include i un
anumit grad de incertitudine.
Acest mod impredictibil de comportare al sistemelor chiar dac se
cunoate cu un grad suficient de precizie condiiile iniiale este ntlnit n
dinamica sistemelor nelineare n anumite condiii [4].
Acest mod de comportare este ns caracteristic sistemelor vii sau
sistemelor care includ componente vii, dar i sistemele tehnice complexe cum
sunt de exemplu i sistemele IT&C includ asemenea caracteristici.
10/45

Controlul este aciunea pe care o execut un element ( subsistem) asupra

altui element (subsistem) n urma monitorizrii i a constatrii unor abateri ale
elementului condus de la traseul ctre obiectiv. n acest context se pune
problema optimizrii controlului: a gsirii traseului optim din punct de vedere al
unei funcii cost pentru atingerea obiectivului.
n figura 3 este artat diagrama general a unei bucle de control.

Figura 3
In figura de mai sus se vede, c n general, bucla de control poate fi
complex i informaia despre elementul condus estre extras prin percepie (nu
este chiar exact i poate implica interpretare) este comparat cu o reprezentare
(implic o modelare) i informaia de comparaie este comunicat agentului de
decizie al aciunii.
Problema optimizrii controlului (conducerii)
Problema optimizrii poate fi formulat ntr-o manier de abordare
sistemic sau printr-o abordare analitic.
Abordarea sistemic are avantajul c are un grad mare de generalitate i se
poate aplica sistemelor reale care rareori pot fi descrise prin funcii analitice i
au numeroase elemente de incertitudine i in general includ aciunea uman.
Abordarea analitic are avantajul exprimrii precise i al existenei unui
aparat performant de formalizare care permite gsirea soluiilor optime cu
certitudine.
Dezavantajul metodei const n faptul c sistemele complexe reale se
comport rareori ntr-o manier determinist care s fac posibil modelarea
printr-o funcie analitic sau modelarea analitic exprim realitatea numai
aproximativ, fiind necesare monitorizri i corecii succesive n timpul
funcionrii prin mijloacele abordrii sistemice.
11/45

Este de remarcat c cele dou abordri sunt complementare i n ingineria

sistemelor trebuie aplicate mpreun. Este arta inginerului de a gsi mbinarea
optim.
Abordarea analitic este bine dezvoltat n perioada abordrii mecaniciste
a tiinei are la dispoziie o multitudine de metode de optimizare a conducerii
unui sistem.
n general, problema optimizrii controlului se reduce la problema gsirii
maximului sau minimului unei funcii de cost, funcie care depinde de mai
multe variabile.
De multe ori funcia cost poate fi exprimat sau aproximat printr-o
funcie analitic dar poate fi exprimat i printr-un algoritm sau chiar o
metodologie.
Atunci cnd costurile pot fi exprimate sau aproximate printr-o singur
funcie sau algoritm spunem c avem de a face cu optimizarea monocriterial.
Optimizarea monocriterial permite determinarea minimului sau maximului
chiar dac n mulimea variabilelor se introduc o serie de constrngeri exprimate
prin mai multe egaliti sau inegaliti dei aceste constrngeri extrem de mult
problema rezolvrii.
n form analitic, aceste condiii se pot exprima prin gsirea:
min F( x ) g ( x ) 0 , h ( x ) 0
F : n
g : n p

( n , p, q ) 3

h : n q

unde g(x) i h(x) sunt constrngerile.

n [5] sunt descrise mai multe metode de optimizare monocriteriale fr a
epuiza subiectul:
- metoda numrului de aur;
- metoda interpolrii hermitiene;
- metoda lui Newton;
- metoda cutrii formale;
- metoda simplex.
n fond, metoda optimizrii monocriteriale, const n pornirea dintr-un punct
al domeniului de definiie i a face un pas ntr-o direcie oarecare (de dorit n
direcia cu cea mai rapid descretere) folosind o lungime de pas oarecare
pentru a obine un nou punct de plecare. Pentru determinarea mrimii pasului se
poate optimiza relaia de mai jos:
x = x + *s
metodele de optimizare se difereniaz ntre ele prin strategia prin care aleg
parametrii (pasul) i s (gradientul).
O alt metod de optimizare const n aproximarea funciei pe un interval
iniial oarecare cu o funcie convenabil cu extrem cunoscut. Punctul de extrem
(minim) al funciei de aproximare devine noul capt al intervalului.
12/45

Procesul continu pn la ndeplinirea unui criteriu de oprire care trebuie s

semnifice minimum funciei. De regul, condiia de oprire este aceea ca n
vecintatea punctului curent funcia s fie minim pe orice direcie.
In practic, atunci cnd se discut problema sistemelor complexe, de cele
mai multe ori apare necesitatea optimizrii dup mai multe criterii (funcii cost)
pentru care nu se por gsi exprimri unitare i dintre care unele pot fi
concureniale (antagonice chiar). n aceast situaie beneficiarul trebuie s
aleag ntre mai multe soluii posibile i ne intereseaz dac se poate garanta
obinerea unei soluii optime. n aceast situaie vorbim de optimizarea
multicriterial.
n optimizarea multicriterial absena n general a unei soluii optimale
implic introducerea noiunii de: neinferioritate.
In [5] sunt menionate mai mute metode de optimizare multicriterial:
- metoda sumelor ponderate;
- metoda constrngerii lui ;
- metode de tip atingere obiectiv;
- metoda normei infinit ponderate;
Este de subliniat c nu exist o metod sigur care s conduc la cea mai
bun soluie i este important experiena analistului.
3.4 Proprietile de emergen
Proprietatea de emergen rezid din faptul c un sistem nu este suma prilor
componente. Interaciunea organizat a prilor componente produce efecte noi
care nu se regsesc calitativ sau cantitativ n suma prilor componente. Ex.:
balansierul, arcul i roile dinate ale unui ceas nu poart informaie despre timp.
Asamblate logic ca s formeze un oscilator mecanic cu demultiplicare ansamblul
poate msura timpul cu o precizie remarcabil.
3.5 Punctul de vedere al proprietarului (ownership)
Noiunea de proprietate nu trebuie neleas n sensul de proprietate ci in
sensul interes n comportarea sistemului i de drept de decizie. Aceste drepturi
pot fi si numai asupra unei pri a sistemului. Sistemul poate ngloba o parte din
interesele sale n structur nc din faza de proiectare sau implementare.
Noiunea este important pentru a stabili cine are responsabilitatea
managementului n diverse faze de implementare a proiectului. Semnificaia
aducerii includerii punctului de vedere al sistemului deriv din faptul c
proprietarul are dreptul (i obligaia) s intervin n sistem i comportarea
sistemului se schimb cnd se schimb managementul.
3,6 Punctul de vedere al lumii ( problema imaginii)
Reprezint un set complex de percepii, atitudini, valori, presupuneri i
motivaii care caracterizeaz atitudinea unui individ sau un grup de indivizi fa
13/45

de sistem. Acest punct de vedere este important datorit faptului c orice sistem
schimb materie, energie i informaii cu mediul dar mediul nu ntodeauna poate
fi considerat inert, omogen i obiectiv. Schimburile sistemului cu mediul
determin variaii ale comportrii acestuia de care trebuie s se in cont in
managementul general al sistemului i n managementul securitii acestuia.
Teoria sistemelor include elemente de cibernetic i de dinamica sistemelor
care modeleaz schimbrile ntr-o reea de variabile cuplate. Este n conexiune
cu studiul complexitii i al autoorganizrii, reele eterogene cu elemente
interactive, echilibrul termodinamic, dinamica haosului, viaa artificial, reele
neurale, simularea i modelarea pe calculator.
4. Principiile teoriei sistemelor principiile de existen i aciune ale
sistemelor
Pentru a fixa ideile, nainte de a intra n principiile generale care guverneaz
teoria sistemelor, s punctm diferenele dintre principii i teorii, precum i rolul
experimentului i al legitilor.
Legitile reprezint obiectivul fundamental al oricror cutri tiinifice.
Cercetarea tiinific are n final ca scop s gseasc o serie de regulariti, cu un
anumit grad de generalitate care s permit o predicie a unei situaii cnd sunt
ndeplinite o serie de condiii.
n domeniul proteciei sistemelor se poate vorbi de o cercetare pentru a gsi
legiti ale atacurilor probabile, i legiti utile n domeniul stabilirii
obiectivelor pentru sistemul de securitate funcie de natura mediului precum i
a orientrii resurselor organizaiei (sistemului) pentru a optimiza aprarea.
Experimentul a fost impus de praxisul ingineresc i medical i este folosit ca
baz a cunoaterii. Este folosit acum pentru a verifica ipoteze i a identifica
reguli noi. Cutarea de reguli noi depete interesul teoretic i trece n
domeniul intereselor practice de control al obiectelor.
Teoria este un ansamblu de legiti, cu aplicabilitate mai restrns, cu rol
unificator asupra legitilor care rezum suma cunotinelor noastre la un
moment dat. Teoria poate fi oricnd schimbat pentru a fi pus n concordan
cu experimentele, cu progresele cunotinelor noastre.
Principiile sunt bazate pe experien i acord social i din aceast cauz au o
arie de aplicabilitate mult mai mare. Ele reprezint axiome tiinifice care se
constituie n criterii fixe.
In fig. 2 Sunt prezentate principiile generale care guverneaz teoria
sistemelor i postulatele care le sunt subsumate.

14/45

Principiile de baz ale teoriei sistemelor complexe

Postulatul integralitii
Principiul
cauzalitii

Postulatul autonomiei

Postulatul complementaritii
Principiul
modelrii

Postulatul nedeterminrii
Postulatul aciunii

Postulatul recuperrii investitiei

Principiul
supravieuirii

Postulatul conservrii
funciilor critice

Principiul
orientrii spre
obiectiv

Postulatul alegerii

Figura 2.
Principiul cauzalitii oricrui sistem i sunt caracteristice legi fizice, ce
determin existena i funcionarea precum i legturi cauz efect interne,
posibil unice.
Principiul modelrii orice sistem complex poate fi reprezentat printr-o
mulime de modele fiecare dintre ele reprezentnd o anumit faet a sistemului.
Principiul ofer posibilitatea studierii unei proprieti sau a unui grup de
proprieti.
Principiul supravieuirii orice sistem complex, autoguvernabil i va orienta
procesele pentru a supravieui i a-i conserva procesele.
Principiul orientrii spre obiectiv orientarea spre obiectiv este tendina
fundamental a sistemului de atingere a obiectivelor fixate, a unei anumite stri
sau proces. Prin aceasta se dovedete capabil s contracareze o aciune extern,
15/45

s se adapteze, s utilizeze mediul i s supravieuiasc. Consecina direct este

postulatul alegerii.
Postulatul integralitii Sistemul ca ntreg posed proprieti sistemice
generale care nu se regsesc la componente pentru nici un procedeu de
descompunere. Proprietile sistemice se formeaz din interaciunea
componentelor. Operaiile de descompunere i recompunere trebuie s genereze
informaii pentru caracterizarea sistemului la un nivel mai nalt.
Postulatul autonomiei Sistemele complexe au metric spaio-temporal
autonom i legi intrasistemice de conservare care nu depind de mediul exterior.
Metrica autonom limiteaz posibilitile de descompunere.
Postulatul complementaritii Sistemele complexe, n medii diferite, pot
manifesta proprieti sistemice diferite chiar incompatibile.
Postulatul nedeterminrii Precizia de determinare a proprietilor unui sistem
depinde de nedeterminarea sistemului n ansamblu. Creterea preciziei
determinrii unui parametru este posibil s conduc la creterea nedeterminrii
altor parametrii.
Postulatul aciunii Pentru modificarea comportamentului unui sistem este
necesar o aciune care s depeasc o valoare de prag determinat de trei
variabile: cantitatea de substan, de energie i de cantitatea de informaii
schimbate n sistem.
Postulatul conservrii funciilor critice Orice
autoguvernabil, trebuie s-i conserve funciile critice.

sistem

complex,

Postulatul recuperrii investiiilor Orice sistem complex autoguvernabil se va

orienta n organizarea sistemului de aprare dup principiul recuperrii
investiiilor pentru securitate. (costurile de asigurare sunt mai mici dect
impactul prejudiciului)
Postulatul alegerii Sistemele complexe posed capacitatea i un domeniu de
alegere a comportamentului (a reaciei la stimulii externi) funcie de criteriile
interne de orientare ctre obiectiv. Nici un fel de cunotine apriorice nu permit
la nivelul unui supra sistem sau la nivelul sistemului s se influeneze alegerea.
5. Tipuri de sisteme
Dup cum am vzut noiunea de sistem este o noiune complex i nu
exist o definiie precis care s poat s mpart precis mulimea entitilor
complexe n sisteme i non sisteme. Este uor de catalogat o entitate ca ne fiind
sistem numai dac este extrem de simpl i nu este inclus intr-un ansamblu care
interacioneaz cu mediul.
16/45

Din acest motiv, n prezent, nu exist o clasificare complet unanim

acceptat a sistemelor. i nici nu exist criterii unanim acceptate dup care s se
fac aceast clasificare.
Trebuie avut n vedere c nici o clasificare nu poate cuprinde ntreaga
diversitate a lumii reale n interdependenele sale.
Au fost propuse numeroase criterii de clasificare a sistemelor dintre care
amintim:
- sisteme nchise i sisteme deschise, referitor la modul de interaciune cu
mediul;
- sisteme naturale, artificiale i sociale, referitor la contribuia uman la
crearea lor;
- sisteme ierarhice i sisteme distribuite (n reea);
n figura de mai jos este dat o clasificare i o ierarhizare a sistemelor din
punct de vedere apariiei lor n timp. Evoluia lor n timp a avut ca o consecin
creterea complexitii lor astfel c n partea superioar a diagramei se situeaz
sistemele creatoare cu auto organizare sau altfel numite: sistemele
hipercomplexe.
Sisteme artificiale

Sisteme sociale

Sisteme simbolice

Sisteme umane

Sisteme vii

Sisteme chimice

Sisteme fizice

Figura 4
6. Sistemul de securitate
Sistemul de securitate sau mai precis subsistemul de securitate este
reprezentat de structura de securitate i toat infrastructura care deservete
funciile de securitate ale sistemului. Sistemul de securitate nu poate fi separat
de funcionalitatea metasistemului. In general politicile de securitate conduc
17/45

ctre restrngerea funcionalitii sistemului i trebuie realizat un optim ntre

constrngeri i funcionalitate.
In alt ordine de idei trebuie subliniat c subsistemul de securitate este un
important consumator de resurse pe care le sustrage de la dezvoltarea
sistemului i la limit poate s provoace moartea metasistemului prin inaniie.
Sistemul de securitate folosete in mare msur facilitile metasistemului n
scopul obinerii securitii. Protecia sistemului este n fapt realizat de ntreaga
structur a organizaiei, rolul sistemului de securitate fiind de a coordona
activitile din sistem n scopul obinerii unui grad rezonabil de siguran privind
existena acestuia n condiiile provocrii mediului.
Din aceste motive este imperios necesar gsirea unor metodologii care s
optimizeze echilibrul dintre necesitile de securitate i facilitile sistemului.
Sistemul de securitate la rndul su poate avea o structur complex care
interacioneaz cu toate elementele metasistemului precum i cu mediul exterior.
Aprecierea eficienei sistemului de securitate este o problem dificil i
conine multe elemente de subiectivism.
Dei se discut mult de sistemele de securitate, totui este dificil ca acest s
fie delimitat precis n cadrul unei organizaii.
Totui se poate vorbi de o structur specializat cu un grad mare de
generalitate care a nceput s se structureze n ultimul timp. Sistemul de
securitate poate fi apreciat ca fiind compus din urmtoarele subsisteme:
- subsistemul de protecie fizic;
o subsistemul de control al accesului;
o subsistemul de protecie perimetral;
o subsistemul TVCI;
o subsistemul de alarm la efracie;
o subsistemul de control al incendiilor:
subsistemul de detecie incendii;
subsistemul de stingere automat a incendiilor;
o subsistemul detecie a inundaiilor;
- subsistemul de protecie IT&C:
o subsistemul de protecie a comunicaiilor COMSEC;
o subsistemul de protecie al reelei de calculatoare COMPUSEC;
subsistemul de control acces;
subsistemul de detecie al intruziunilor;
subsistemul de monitorizare a activitilor n reea (sistemul
logon);
o subsistemul de protecie criptografic CRIPTOSEC;
o subsistemul de protecie la scurgerile de radiaii parazite
TEMPEST;
o subsistemul de protecie a personalului;
o subsistemul de protecie fizic a echipamentelor i suporturilor de
memorie
- subsistemul de protecie a documentelor;
18/45

- subsistemul de protecie a personalului;

- subsistemul de protecie operaional reprezentat de mecanismele care
protejeaz la riscuri activitatea principal a organizaiei (ex. structura de
management al riscurilor financiare la o banc, sigurana zborurilor la un
aeroport etc.)
In prezent la multe organizaii aceste subsisteme sunt ncadrate din puncte de
vedere organizatoric in departamente diferite i nu coopereaz ntre ele situaie
care conduce la risip de resurse i n plus la vulnerabiliti exploatabile (bree
de securitate). Sistemul de protecie perimetral (paza) este separat, protecia
personalului este realizata de compartimentul resurse umane ca sarcin
secundar, protecia IT&C este in sarcina departamentului IT, protecia
operaional este la un compartiment separat.
O clasificare introdus recent referitor la principiul de supravieuire al
sistemelor (la securitatea sistemelor) n ultimul timp s-au introdus noiunile:
- sisteme critice;
- sisteme ordinare;
Aceast delimitare are o importan major n analiza securitii sistemului i
n special n ingineria securitii acestuia. Pentru sistemele critice trebuie s se
asigure redundan sau ci alternative, de ocolire, chiar temporar cnd nu se
poate altfel.
Noiunea de sistem critic se folosete pentru a delimita un subsistem vital,
relativ redus, al unui sistem complex, care dac este perturbat provoac
prejudicii majore (in avalan) sistemului mare (metasistemului) conducnd
chiar la distrugerea acestuia.
Prin sistem ordinar, n aceast clasificare, se neleg subsistememele care prin
scoaterea lor din funciune produc prejudicii suportabile la nivelul sistemului
(care nu pun n pericol supravieuirea acestuia).
Exemple de sisteme critice:
- sistemul de alimentare cu energie electric al unui ora prin scoaterea
din funciune blocheaz activitile n transporturi, comunicaii, spitale,
intreprinderi industriale etc.;
- sistemul de alimentare cu ap vital pentru via, salubrizare,sntate,
activiti industriale etc.;
- sistemul de sntate public;
- sistemul motor al unei aeronave;
- sistemul de orientare al aeronavei;
- sistemul IT&C, vital ntr-o societate informaional prins n sistemul
interdependenelor globale i tot mai dependent de schimbul de
informaii cu mediul.
Este de subliniat c mediul concurenial i viteza de evoluie a acestuia
conduce la creterea importanei informaiilor i face ca sistemul de
comunicaii i de prelucrare a informaiilor s devin sistem critic.
19/45

7. Abordarea sistemic
Fundamentarea teoriei generale a sistemelor se bazeaz pe convingerea c o
anumit clas de entiti complexe numite sisteme pot fi analizate numai
folosind o metodologie specific capabil s conduc la un rezultat satisfctor
n studiul sistemelor complexe care interacioneaz cu mediul.
Sunt ntlnite dou metodologii de abordare a studiului sistemelor:
- abordarea analitic;
- abordarea sistemic;
Abordarea analitic se caracterizeaz prin faptul c se bazeaz pe analiz,
pe descompunerea sistemului n pri componente i analiza interdependenelor
dintre ele, orientat spre detalii pentru a pune n eviden noutatea care apare n
sistem prin interaciunea elementelor. Analiza se bazeaz pe variaia a cte unui
parametru asupra obiectivului sistemului. Nu este orientat spre obiective i nu
ia in considerare interaciunea cu mediul dect prin intermediul intrrilor n
sistem.
Abordarea sistemic se caracterizeaz prin faptul c raporteaz sistemul la
mediul n care evolueaz, are n vedere obiectivele sistemului i analizeaz cile
de atingere a acestora. Privete sistemul din punct de vedere al percepiei unui
observator i integreaz efectele schimbrii unor grupuri de variabile. Urmrete
s integreze efectele schimbrilor pluridisciplinare.
Exist mai multe modele de abordare sistemic descrise n [1], [5] i [6]
dar probabil cel mai complex i mai eficient este modelul prezentat mai jos,
extras din [5], a crui utilitate se dovedete n ingineria sistemelor i care se
bazeaz pe modelarea i simularea sistemului.

20/45

Figura 5
Analiznd problema abordrii sistemice, un mod util de formulare (de
clasificare chiar) se gsete n [1]. Alan Waring, concentrndu-se pe analiza
sistemelor complexe din lumea real propune ca acestea s fie analizate din trei
puncte de vedere diferite.
Alan Waring definete trei tipuri de sisteme generice: sisteme hard, sisteme soft
i sisteme n afara regimului de lucru (n regim catastrofic).
Cele trei tipuri de sisteme reprezint puncte de vedere diferite ale
aceluiai sistem complex din lumea real. Cele trei puncte de vedere sunt
complementare i formeaz o imagine holistic a sistemului.
Sistemele hard sunt considerare sistemele care pot fi precis definite iar
mrimile care l descriu pot fi cuantificabile. n aceast categorie se nscriu
majoritatea sistemelor inginereti dar pot fi gsite aici i o serie de sisteme fizice
sau chimice. Sunt sisteme pentru care s-au dezvoltat metode analitice de analiz
sofisticate i pentru care de regul se poate gsi o soluie optim.
Sistemele soft sunt sistemele care nu pot fi descrise prin mrimi
cuantificabile, sunt dificil de definit i de ncadrat n limite precise. n aceast
categorie se nscriu sistemele care includ relaii umane, sistemele vii. Sunt
21/45

sisteme care pot fi analizate n baza unui proces continuu de nvare, bazat pe
experiena analistului.
Sisteme aflate n afara regimului de lucru sunt sistemele sunt
sistemele a cror funcionare a fost afectat ntr-un fel oarecare i nu i mai pot
atinge obiectivele pentru care au fost create. Abordarea sistemului din acest
punct de vedere are importan deosebit deoarece pot pune n eviden prin
intermediul interdependenelor ntre elementele sistemului distrugeri ireparabile
sau chiar moartea sistemului. Se are n vedere cu precdere determinarea
efectelor de avalan.
n diagrama din figura 6 sunt reprezentate aceste moduri de abordare a
unui sistem complex real.
Din diagram se observ c cele trei puncte de vedere se ntreptrund i
exist zone ale sistemului care pot fi descrise exclusiv prin metode hard, soft sau
considerat ca funcionnd n afara regimului de lucru, precum i zone care sunt
comune celor trei puncte de vedere i care nu pot fi separate.
Limitele celor trei moduri de abordare pot fi slab definite i n acest caz
analiza influenei mediului depinde de experiena analistului.
Acest mod complementar de a privi problema analizei unui sistem real
complex are avantajul c ofer un mod de organizare a informaiilor despre
sistem i menine n joc toate metodele de analiz cunoscute. Metoda permite
analiza chiar a unor tendine ireconciliabile din sistem care pot exista simultan
dar care sunt mediate la nivelul sistemului.
Avantajele acestui tip de abordare se vd foarte bine atunci cnd sistemul
evolueaz ntr-un mediu concurenial sau chiar ostil.
In situaia n care sistemul este confruntat cu o ameninare care se
manifest inteligent i care ncearc s creeze vulnerabiliti la nivelul
sistemului i s le exploateze contient, crete rolul abordrilor sistemice
neclasice: abordarea soft i abordarea catastrofic. Aceste abordri aduc un
plus de informaie prin metodologia care ia in consideraie alte categorii de
informaii despre sistem i un altfel de structurare a acestora precum i
experiena analistului, plus de informaie necesar compensrii virulenei
atacurilor inteligente care creaz i exploateaz vulnerabiliti ale sistemului.
Asemenea situaii apar n caz de rzboi, atacuri teroriste sau chiar n caz
de concuren neloaial.
Tot ctre acest tip de abordare conduce i abordarea sistemului de
securitate al informaiilor (sistemele IT&C). Aceste sisteme sunt evident foarte
complexe, includ o puternic component uman (informaia este produs de
oameni i este destinat tot oamenilor), oameni care sunt orientai de interese
dintre cele mai diverse iar unele sunt conflictuale.
Aceste sisteme evolueaz in mediul cibernetic cu proprieti speciale aa
cum am vzut iar justiia are o serie de probleme n a-i face datoria n acest
mediu.

22/45

Figura 6
7.1 Abordarea sistemica din punct de vedere al problemelor hard
Sistemele hard sunt descrise ca sistemele care pot fi definite precis i a
cror mrimi (variabile) sunt cuantificabile. Sunt cunoscute trei tipuri de
sisteme hard:
- Sistemele inginereti sau sistemele tehnice;
- Sistemele hard naturale;
- Sisteme simbolice sau abstracte;
Sistemele inginereti sunt sistemele tehnice construite de om n vederea
ndeplinirii unuia sau mai multor obiective i includ maini, echipamente,
procese. De multe ori obiectivele acestor sisteme sunt incluse n hard (n
structur). Sunt sistemele la care sunt cunoscute n detaliu datele i obiectivele
de
proiectare
(datele de creaie).
Unele sisteme tehnice sunt descrise sunt descrise n termeni funcionali cum
sunt sistemele informatice (sistem de e-mail, sistem de management al
documentelor etc.)
23/45

Aceste sisteme pot fi descrise prin diagrame de funcionare, comportarea lor

poate fi exprimat prin variabile cuantificabile i de multe ori descris prin
funcii analitice sau algoritmi determiniti.
Acest mod de abordare permite o descriere foarte exact a comportrii
sistemului i optimizri eficace n raport cu atingerea obiectivelor.
n aceast categorie sunt incluse sistemele mecanice, de comunicaii, de
calculatoare, dar i fabricile.
Sistemele hard naturale sunt sistemele care nu sunt fcute de om dar sunt
bine cunoscute de om n urma unor cercetri aprofundate. Aceste sisteme pot fi
n mare msur controlate de om i pot face obiectul unor sisteme inginereti.
Au un anumit grad de hazard dar n general se pot face predicii asupra
comportrii acestora.
Ca exemplu sunt: sistemele biologice (bacterii, virui, plante, etc.), sistemele
geologice, hidrografice, vulcanice, culturi agricole etc.
Sistemele simbolice sunt sisteme create de mintea uman i care nu au
corespondent fizic. Aceste sisteme conin simboluri i reguli. Ele pot fi
incorporate sau nu n sisteme inginereti.
Din aceast categorie fac parte sistemele lingvistice, matematica dar i
programele de calculator.
Elementul comun al acestor sisteme este faptul c analiza lor poate fi descris
n elemente cuantificabile, cu un grad ridicat de precizie.
Analiza sistemelor hard se poate face printr-o abordare sistematic, situaie
n care rezolvarea problemei este concentrat pe gsirea soluiei i presupun o
serie de etape deja rezolvate:
- definirea problemei;
- structura problemei permite o simplificare astfel nct s devin posibil
managementul soluiei;
- simplificarea nu reduce semnificativ soluia;
- exist o soluie acceptabil a problemei;
- selecia soluiei este un proces raional de comparaii pe baza unor criterii.
Cu aceste ipoteze ndeplinite, soluia este gsit aplicnd urmtoarea
metodologie:

24/45

Figura 6
O alt metodologie pentru a rezolva problema analizei sistemelor hard
este abordarea sistemic.
Abordarea sistemic pune accentul n rezolvarea unei probleme pe
formularea acesteia, lsnd pe planul doi gsirea soluiei.
Abordarea sistemic este util atunci cnd complexitatea problemei este
foarte mare i capacitatea de descriere sistematic a legturilor ntre elementele
sistemului este depit sau cnd posibilitile de cuantizare a mrimilor nu sunt
suficiente.
Abordarea sistemic necesit un analist care prin experiena sa va
contribui la corectitudinea descrierii problemei i deci va influena percepia
25/45

sistemului i pe cale de consecin formularea obiectivelor i comportarea

sistemului.
De asemenea rolul analistului este acela de a media diferenele de interese
i de percepie a diferitelor elemente (departamente) de la nivelul sistemului
pentru a stabili obiective consistente i convergente.
Abordarea sistemic este pus n practic printr-o metodologie de
abordare. Exist mai multe metodologii de abordare sistemic. Mai jos este
exemplificat metodologia descris n [1].
7.2 Metodologia de analiz a sistemelor hard
Metodologia descris const din nou etape care nu trebuie nelese ca fiind
seriale, unele dintre ele se pot desfura n paralele i de asemenea metodologia
poate cuprinde bucle de reacie i iteraii.
Cele nou etape recomandate sunt:
1. Identificarea problemelor. In aceast etap trebuie nelese legturile
dintre elementele sistemului i rolul fiecrui element n realizarea
obiectivelor. Rolul acestui studiu este de a da credibilitate identificrii
corecte a problemelor. Este util ca aceast etap s fie realizat de un
analist extern care s se poat desprinde de uzanele instituiei i s aduc
informaie nou din mediu pentru o percepie actualizat.
2. Contientizarea i nelegerea. Aceast etap care este implicit n
abordarea sistematic trebuie individualizat n abordarea sistemic. n
aceast etap analistul trebuie s descrie funcionarea sistemului n
funcie de structura i terminologia specific acestuia. Instrumentele de
lucru n aceast etap sunt diagramele de structur, diagramele de
funcionaliti i procese, diagrame de cauzalitate. Este util s se
priveasc sistemul din mai multe puncte de vedere.
3. Obiective i constrngeri. In aceast etap activitatea trebuie concentrat
spre soluiile practice pentru a identifica zona n care se gsesc soluii
fezabile. In aceast etap sunt inventariate constrngerile externe:
legislaie, caracteristici ale proceselor, abiliti ele elementelor sistemului,
sunt stabilite obiectivele care pot fi atinse i modul n care acestea ar
putea fi msurate sau evaluate. Este util s se realizeze o ierarhizare a
obiectivelor.
4. Strategii. n multe situaii obiectivele sunt etapizate i ierarhizate, pentru
a le putea atinge trebuie gsit un drum (o metodologie) de parcurgere care
s optimizeze efortul. Este util ca pe parcursul analizei strategiilor
posibile s se procedeze la o extindere a obiectivelor (introducerea unor
obiective virtuale) urmat de faze de restrngere a acestora pentru a
simplifica problemele. Este de asemenea util ca s nu elimine idei care n
prim faz par absurde n context. Este de luat n discuie modificarea
contextului (metoda brainstorming). Este util adeseori s se stabileasc o
serie de obiective de ordin nalt care probabil nu vor fi atinse niciodat
dar care vor dirija activitatea.
26/45

5. Msuri pentru evaluarea realizrii. n aceast etap sunt stabilii indicii

dup care se va face evaluarea strategiei. Aceste msuri (msurtori) vor
trebui s stabileasc care dintre strategii sunt cele mai bune pentru
atingerea obiectivelor. Aceste msurtori este util s fie cantitative i
sistemele hard permit acest lucru. Msurtori tipice sunt: costuri,
recuperarea investiiilor, economii (timp, materiale, energie, munc etc.)
In situaia n care ne se pot realiza msurtori cantitative se iau n
calcul msurtori calitative. Aceste msurtori sunt n general
caracteristice relaiei cu beneficiarii i se refer la percepia acestora
referitor la politicile organizaiei, tehnologii folosite, diverse modaliti de
reacie a unor grupuri de presiune etc.
6. Modelarea. n aceast etap se construiete un model (se simuleaz) prin
care se poate verifica modul n care ansamblul poate conlucra pentru
atingerea obiectivelor. Modelarea este foarte util pentru a pune n
eviden corectitudinea nelegerii funcionrii sistemului i a efortului
necesar pentru atingerea obiectivelor. Este util s se stabileasc un model
matematic i unul funcional.
7. Evaluarea modelului. In aceast etap se stabilete acurateea cu care
modelul emuleaz funcionarea real a sistemului i eficiena lui. Trebuie
s se stabileasc criterii de evaluare care s permit comparaia ntre
modele.
8. Selecia soluiei. Din rezultatele comparrii strategiilor, al evalurii
modelelor i in baza obiectivelor stabilite trebuie aleas soluia care pare
optim. Alegerea se va face pe baza aprecierii calitative a modului n care
sunt atinse obiectivele i a consumului de resurse.
9. Implementarea soluiei. Majoritatea problemelor ridicate n abordarea
sistemic a rezolvrii unei probleme (analiza sistemului hard) au fost
rezolvate pn n etapa 8. n faza de implementare pot apare probleme de
ncredere ntre parteneri i suspiciuni privind existena unor interese
ascunse care sunt implementate hard pentru a favoriza una din pri.
Pentru a preveni efectele acestei situaii trebuie accentuate problemele de
comunicare i constituirea unor organisme comune de implementare.
7.3 Abordarea sistemic din punct de vedere hard a subsistemului de
securitate
Aa cum an vzut n capitolele anterioare, unul din principiile de baz ale
sistemelor complexe cu autoorganizare este principiul supravieuirii. n virtutea
acestui principiu sistemul i dezvolta funcii i elemente fizice specializate.
Aceste elemente i funcii specializate se constituie ntr-un subsistem a crui
obiectiv principal este acela de a organiza i aplica msurile necesare pentru
supravieuirea sistemului n condiiile n care mediul este concurenial sau chiar
ostil.

27/45

Acest subsistem constituie subsistemul de securitate sau dac este privit

separat prin prisma obiectivelor de securitate ce le implementeaz pentru
sistemul general sistemul de securitate.
O prim concluzie a abordrii sistemice a sistemului de securitate este
aceea c sistemul de securitate nu poate fi tratat separat de sistemul a crui
securitate o realizeaz i obiectivele sale trebuie subordonate obiectivelor
majore ale sistemului printe.
Obiectivul general al sistemului de securitate este n acest caz asigurarea
funcionalitii sistemului printe n parametri rezonabili indiferent de
fluctuaiile mediului sau defectarea unor elemente interne. Ieirea sistemului
din parametri de regim normal care asigur competitivitatea trebuie semnalat
i trebuie s se declaneze msuri, s mobilizeze resurse care s permit
reintrarea n normalitate (respectarea condiiilor de competitivitate).
Identificarea problemelor de securitate
Abordnd sistemic sistemul de securitate, integrat n sistemul organizaiei
conform metodologiei de abordare, prima etap este identificarea problemelor
de securitate. Identificarea problemelor de securitate se realizeaz prin analiza
de riscuri. Aceasta are ca obiectiv s identifice riscurile, s le cuantifice i s
realizeze o ierarhizare a lor pentru a putea optimiza alocarea de resurse pentru
contracarare.
Diagrama din figura 8 arat procesul analizei de riscuri:

Figura 8
In diagrama de mai sus valorile avute n vedere s fie aprate sunt
informaiile, dar diagrama are valabilitate mult mai larg si se poate utiliza
28/45

pentru aprarea valorilor materiale, tangibile dar i pentru valorile ne

materiale ale organizaiei: relaii, imagine, poziie pe pia, funcionaliti,
procese etc.
Elementele principale ale diagramei de mai sus care aparin de metodologie
de identificare a problemelor de securitate (a riscurilor) sunt: valorile,
vulnerabilitile, ameninrile i contramsurile.
Procesul de identificare a riscurilor ncepe cu identificarea valorilor care
sunt supuse ameninrilor (intenionate sau nu, naturale sau create de om),
identificarea vulnerabilitilor pentru fiecare din ele. Identificarea modului n
care un vector de ameninare poate s exploateze o vulnerabilitate s creeze o
vulnerabilitate nou pentru a atenta la fiecare din valorile organizaiei.
Contientizarea i nelegerea problemelor de securitate ncepe n cadrul
procesului de analiz a riscurilor prin analiza impactului acestora, prin
calculul coeficienilor de expunere, analiza acestor date n staff-ul de
conducere al organizaiei o dat cu alocarea resurselor pentru contramsuri.
Contientizarea i nelegerea continu pe toat faza de implementare i
mentenan a sistemului de securitate.
Stabilirea obiectivelor i a constrngerilor de securitate se realizeaz prin
introducerea mecanismelor de aprare (a contramsurilor) n funcionalitatea
sistemului organizaional. De regul msurile de securitate restrng
funcionalitatea sistemului i pe lng costurile materiale i umane necesare
sistemului de securitate apar i costuri prin reducerea funcionalitii
organizaiei i deci a competitivitii ei. Pierderile datorit reducerii
competitivitii sunt de multe ori semnificativ mai importante dect costurile
materiale implicate n sistemul de securitate. Este necesar o optimizare a
acestor costuri i ceea ce este mai important, toate aceste costuri trebuie
evideniate i supuse aprobrii conducerii organizaiei, singura ndreptit
s le asume.
7.4 Strategiile de tratare a riscurilor
O dat stabilite contramsurile eligibile pentru contracararea ameninrilor
materializabile i resursele disponibile pentru aprare trebuie nceput tratarea
riscurilor care poate face pe mai multe ci.
Sunt eligibile mai multe strategii elementare de tratare a riscurilor:
- Asumarea riscurilor nivelul riscului este suficient de mic pentru a
suporta prejudiciile atunci cnd se produce;
- Diminuarea riscurilor riscurile inacceptabile sunt reduse prin
contramsuri pana la un nivel acceptabil;
- Eliminarea surselor generatoare de ameninare (valorilor) daca prin
costurile de securitate se depete valoarea aprata se renuna la ea ;
- Limitarea riscurilor in momentul producerii impactului se pun in funcie
masuri prin care se oprete propagarea efectelor impactului;
29/45

- Planificarea riscurilor planificarea prioritarilor de securitate funcie

contextul de mediu si monitorizarea mediului;
- Transferul riscurilor transferul unor valori, nchirierea unor valori sau
servicii, contracte de asigurare;
Se analizeaz apoi impactul materializrii ameninrii, se sumeaz impactul
tuturor ameninrilor pentru fiecare valoare i de determin resursele
disponibile pentru aprare contramsurile.
Prin acest mecanism al analizei de riscuri se identific amplitudinea
problemelor de securitate i funcie de acestea, n urma unei analize cost
beneficii se poate alege strategia de tratare a riscurilor i contramsurile
aferente.
Plecnd de la ameninri i resursele disponibile pentru aprare, pn la
atingerea obiectivului de securitate, trecnd prin vulnerabiliti i
contramsuri sunt posibile o multitudine de drumuri. Evident, foarte rar
resursele alocate securitii permit acoperirea tuturor vulnerabilitilor astfel
nct riscurile remanente s fie neglijabile. Este sarcina strategiei adoptate
pentru a optimiza aceste drumuri i contramsurile amplasate pe ele.
Strategia de securitate se concretizeaz n politica de securitate care dup
aprobarea conducerii devine legea fundamental a sistemului de securitate.
Orice nclcare a acestei legi se consemneaz ca incident de securitate.
Stabilirea metodelor de evaluare a progreselor.
n aceast etap sunt stabilii indicii dup care se va face evaluarea strategiei.
Indicele cel mai important al sistemului de securitate este numrul de
incidente de securitate, impactul lor i modul de reacie la acestea.
In figura de mai jos este artat diagrama managementului de securitate
pentru o organizaie.

30/45

Figura 9
Diagrama de mai sus este extras din standardul ISO 13335 i reflect clar
faptul c recomandrile organizaiei internaionale de standardizare includ
abordarea sistemic a problemei managementului securitii n reelele
IT&C, iar sistemul este vzut prioritar ca un sistem hard.
n partea de sus a diagramei se observ includerea sistemului de securitate
IT&C in managementul general al organizaiei i faptul c obiectivele
generale de securitate deriv din constrngerile funcionale ale sistemului, ele
se afl la confluena dintre investiii, afaceri i valori ale organizaiei.
Din ele deriv necesitile i funciile de securitate. Iar n urma analizei de
riscuri obiectivele specifice sistemului de securitate. Prin tratarea riscurilor se
aleg soluiile de securitate, se alege strategia i politica de securitate care va
fi implemetat prin procedurile i mecanismele de securitate.
7.5 Abordarea sistemic din punct de vedere soft
Aa cum am vzut anterior sistemele soft sunt caracterizate prin faptul c
funcionarea lor nu poate fi descris prin mrimi cuantificabile. Mai precis se
poate spune c analistul nu reuete s creeze un model al sistemului care s l
descrie cu mrimi cuantificabile. Prin acest mod de abordare se arat c n
realitate analistul are un anumit grad de libertate n alegerea manierei de
abordare a unui sistem.
Exist ns numeroase sisteme care nu pot fi descrise nc prin mrimi
cuantificabile i a cror comportare nu este predictibil.
31/45

n general, acest mod de abordare este caracteristic sistemelor care includ

relaii umane i/sau sisteme vii.
Este evident faptul c fiecare om este unic nu numai din punct de vedere
fizic dar n special din punct de vedere al modului cum gndete, al modului
cum percepe mediul i cum reacioneaz la provocrile acestuia.
Modul ce comportare al fiinei umane depinde de starea sa emoional de
natura relaiilor sale cu ceilali participani la procesele caracteristice
organizaiei, de interesele sale de perspectiv dar i conjuncturale.
Deciziile pe care le va lua n cadrul organizaiei pe nivelul su de
competen, aciunile pe care la va ntreprinde dar i influena pe care o va
radia n organizaie vor fi o sum de rezultante a factorilor enumerai mai sus.
Toate acestea evident vor influena performana organizaiei. Se pune
problema cum pot fi analizate aceste influene strnse ntr-o politic i
determinate s acioneze n avantajul organizaiei sau in unele cazuri cum pot fi
diminuate influenele negative.
Rolul cel mai important n aceste situaii l au efii pe diverse niveluri
ierarhice care dispun de autoritate pentru rezolvarea acestor probleme. Este bine
de subliniat c o mare parte din efortul de conducere al unui ef este destinat
rezolvrii acestor probleme soft n detrimentul rezolvrii problemelor hard
curente ale instituiei. eful are obligaia s menin unitatea i performana
echipei de lucru.
Trebuie subliniat c autoritatea este de mai multe feluri dintre care dou
joac un rol important n performana organizaiilor:
- autoritatea instituional dobndit prin numirea pe funcie i consolidat
sau compromis prin activitate;
- autoritatea personal profesional (calitatea de lider);
Ideal este ca cele dou tipuri de autoritate s se gseasc n aceiai
persoan.
Dificil este atunci cnd aceast autoritate este mprit la dou persoane
diferite i care nu au aceleai obiective. n aceast situaie performanele echipei
de lucru degenereaz rapid.
Instrumentele folosite pentru obiectivizarea acestui proces sunt:
- harta de relaii;
- interviul;
- analistul;
- dezbaterile;
Instrumentul principal de lucru n abordarea soft a sistemelor este
cunoaterea real a sistemului de relaii la un moment dat i a influenelor
probabile asupra activitii.
In acest scop se ntocmete o hart de relaii bazat pe procesele organizaiei
i a nivelului relaiilor dintre persoanele care intervin n aceste procese. Pentru
ntocmirea hrii se folosesc o serie de pictograme sugestive asociate relaiilor
intre departamentele sau persoanele implicate intr-un proces.
Interviul este elementul esenial pentru culegerea de informaii despre
percepia activitii angajailor i natura relaiilor dintre acetia. Exist o serie de
32/45

tehnici pentru culegerea de informaii prin intermediul interviurilor. n [1] sunt

descrise cteva din aceste tehnici care urmresc obinerea de informaii fr a
prejudicia drepturile intervievatului i a crete eficiena interviului.
Analistul este actorul principal n acest ansamblu i joac rolul
observatorului neutru. El trebuie s fie capabil de un grad de obiectivitate ct
mai mare astfel nct contribuia lui la percepia realitii s fie ct mai mic. Est
bine cunoscut c obiectivitatea nu poate fi absolut i din aceast cauz analistul
trebuie s fie contient de contribuia lui la percepia situaiei reale. Este evident
c aprecierile analistului depind de cultura lui general n domeniul auditat, de
experiena dobndit i de nivelul n care a reuit s se integreze in
funcionalitatea instituiei.
El trebuie s determine nivelul i modul n care se respect legislaia i
reglementrile de referin dar i reglementrile locale (politici, proceduri,
dispoziii). Trebuie s pun in eviden neconformitile i modul lor de tratare
pentru fiecare colectiv i proces.
Dezbaterile sunt mijloacele prin care se contientizeaz problemele
constatate i se caut soluii de rezolvare. Este elementul activ prin care
constituie o cultur organizaional i se determin atitudini fa de procesele din
instituie.
7.6 Metodologia de abordare din punct de vedere al problemelor soft
n figura 10, se prezint o variant metodologic de abordare a analizei
sistemelor soft n 7 etape:
1. n prim faz se culeg informaii despre sistem insistnd asupra motivelor
de insatisfacii sau de disfuncionalitate a sistemului. Aceste informaii
trebuie s ajute la formarea unei imagini despre cadrul de funcionare al
sistemului. Culegerea de informaii se face prin intervievarea persoanelor
cu poziii relevante n structura organizaiei. Interviul nu trebuie s fie
direcionat i orientat spre probleme generale pentru a permite s se aduc
n discuie elemente din zone ct mai diverse.
2. Analiza. Faza de analiz ncepe cu harta relaiilor referitoare la
principalele funcionaliti i procese ale instituiei. Este important gradul
de rezoluie al acestei hri. Este foarte important ca analistul s realizeze
o ierarhizare a importanei proceselor analizate i sa ataeze hrii nivelul
de presiune, de incertitudine sau de conflict existent.
3. Determinarea elementelor relevante i ale definiiile de baz. In aceast
faz se definesc elementele relevante care n interaciunea lor determin
funcionarea sistemului: beneficiarii, actorii proceselor, transformrile,
formatorii de imagine, utilizatorii interni, interaciunea cu mediul. Este
necesar s se determine ateptrile, necesitile i posibilitile pentru
aceste categorii.
4. Modelarea conceptual. Este un model conceptual logic (model virtual)
care descrie formal funcionarea sistemului. Modelul conceptual o dat
constituit trebuie verificat din punct de vedere funcional, dac are criterii
de monitorizare i dac poate fi apreciat eficiena lui ntr-un mod
33/45

obiectiv. Dac modelul reflect principalele interaciuni ntre elementele

constitutive.
5. Compararea diverselor modele pentru dezbaterea agendei de lucru. In
aceast faz analistul trebuie s se ntoarc n lumea real i s supun
dezbaterii factorilor de decizie variantele de lucru, trebuie s compare
modelele conceptuale cu lucrul real al sistemului. Ideea dezbaterii este de
a crea cadrul necesar pentru ca actorii s poat s etaleze cunotinele lor
i s se gseasc soluia cea mai bun. Nu trebuie ca analistul s impun
soluia lui, prin acest mecanism se transfer rspunderea de la actorii
proceselor ctre analist.

Figura 10

6. Discuia agendei cu factorii semnificativi. Sunt dou atitudini utilizabile

n aceste situaii:
34/45

- provider de soluii rol n care analistul intervine cu autoritatea de expert i

impune soluii dar cu riscul de a prelua rspunderea de la factorii din
instituie;
- terapeut rol n care creeaz cadrul necesar ca actorii s descopere
soluiile i modul lor de aplicare.
In general analistul trebuie s se fereasc s se substituie factorilor de
decizie din organizaie. Discuiile sunt puternic influenate de cultura
organizaional i analistul trebuie s recunoasc reprezentanii diverselor
interese tribale, valori, loialiti, atitudini etc. Cultura organizaional
servete la protecia diverilor lor membrii i a intereselor lor. Cultura
poate fi obiectul schimbrilor necesare. De multe ori analistul nu poate s
schimbe cultura dar atunci trebuie s ajute actorii s fac fa acesteia.
Trebuie s atrag atenia a naturii lente a procesului de schimbare a
mentalitilor.
7. Aciunea pentru schimbare. In aceast faz se trece de la cutarea
rspunsului la ntrebarea cum trebuie fcut? la rspunsul la ntrebarea
ce trebuie fcut?. Analistul trebuie s sintetizeze lista cu schimbrile
agreate de factorii semnificativi din organizaie. Teoretic sarcina
analistului se termin cu punctul 6. dar n fapt activitatea sa se prelungete
prin acordarea de suport pentru perioada de implementare.
7.7 Abordarea soft a subsistemului de securitate
Statisticile arat c 70-80% din incidentele de securitate dintr-o reea IT&C
sunt datorate personalului propriu la ntreprinderii. Rata ridicat a incidentelor
datorate personalului propriu ca si nivelul ridicat al prejudiciilor datorate acestui
tip de incidente arat c resursele de securitate principale trebuie orientate ctre
abordarea soft a subsistemului de securitate.
Metodologia de abordare soft recomand s se nceap cu:
1. Etapa culegerii de informaii o consultarea bazei de date cu incidentele de securitate;
o consultarea nregistrrilor sistemului de securitate i a fiierelor de
audit;
o interviuri cu personalul implicat;
o consultarea rapoartelor de audit intern i extern
Mecanismul cel mai relevant este auditul de securitate. Se practic dou
tipuri de audit cu mijloace i roluri diferite:
- Auditul intern este solicitat de conducerea instituiei, este efectuat de
personal specializat din instituie dar care nu este direct implicat cu
responsabiliti n securitatea instituiei. Auditul intern are ca obiectiv
analiza conformitii politicii de securitate i al procedurilor operaionale
cu activitatea practic din teren. Rapoartele de audit sunt surse de
informaii pentru restructurarea mecanismului de securitate. Este o
verificare independent a eficienei msurilor de securitate i a activitii
structurii de securitate.
35/45

- Auditul extern este solicitat de conducerea instituiei pentru o verificare

independent (efectuat de o parte de ncredere) privind structura de
securitate i conformitatea cu legislaia i standardele n vigoare. Auditul
extern se desfoar n baza unui mandat ncredinat de conducerea
organizaiei.
Metodologia general de desfurare a unui audit este prezentat n figura de
mai jos:

Figura 11
2. Analiza de securitate este alctuit din:
o Analiza de riscuri constituie elementul primordial al
managementului de securitate, are rolul de a inventaria valorile,
36/45

vulnerabilitile lor i modul n care ameninrile pot fructifica

vulnerabilitile n favoarea lor. Calculeaz riscurile, le prioritizeaz
pentru a optimiza alocarea de resurse pentru aprare;
o Analiza potenialului atacurilor evalueaz fora ameninrilor
pentru putea stabili natura i nivelul msurilor de aprare;
o Analiza periodic a incidentelor i a pierderilor cauzate de acestea;
o Evaluri i testri independente de securitate efectuate la
solicitarea conducerii de ctre o echip de experi ce are ca
obiectiv aducerea de informaii noi prin intermediul unui
observator calificate din exteriorul instituiei care prin experiena
sa s pun n faa structurilor proprii probleme noi.
3. Aspecte relevante i definiii de baz analiza interaciunilor pentru
determinarea parametrilor politicii de securitate a instituiei care trebuie s
se constituie intr-un model logic de securitate.
o Analiza impactului atacurilor determin nivelul pierderilor n
cazul reuitei atacului;
o Analiza ratei de expunere o Modul de tratare al incidentelor de securitate indic gradul de
adaptare a sistemului la provocrile mediului;
o Analiza cost beneficii indic modul de alocare a resurselor
pentru aprare i eficiena sistemului de aprare;
4. Modelul conceptual este modelul logic funcional al sistemului de
securitate i va fi concretizat n politica de securitate a instituiei.
Coordonatele modelului:
o Stabilete regulile generale dup care se ghideaz securitatea
instituiei delimiteaz ceea ce este legal i ce este ilegal din
punct de vedere al securitii n organizaie;
o Realizeaz compromisul dintre securitate i funcionalitate;
o Stabilete rspunderile structurii de securitate, ale angajailor i ale
clienilor;
o Stabilete condiiile de acces i de monitorizare a activitilor
pentru a fixa un nivel de securitate adecvat condiiilor de mediu i a
menine o rat rezonabil a incidentelor;
o Integreaz cultura de securitate n politica de securitate planific
programul de educaie de securitate;
5. Comparaii pentru stabilirea agendei
o Stabilirea strategiei pentru atingerea obiectivelor de securitate i a
modului de abordare n contextul culturii organizaionale (aprare
perimetral, aprare n adncime, disimularea intelor, divizarea i
izolarea intelor etc.);
o Formularea politicii de securitate i documentarea sa;
o Stabilirea echipelor de lucru: pentru discuia strategiei i a politicii
de securitate;
o Stabilirea echipelor de audit i a obiectivelor acestora;
37/45

o Stabilirea echipelor de testare i evaluare a securitii obiectivele

evalurii.
6. Discuia agendei cu factorii de rspundere are rol de mediere,
contientizare i responsabilizare. Cadrul de desfurare este:
o Discuia strategiei i a politicii cu toi factorii interni i externi
interesai;
o Supunerea pentru aprobare conducerii organizaiei la nivel nalt;
o Stabilirea punctelor de contact i a modului de comunicare cu
autoritile;
7. Aciuni pentru schimbare:
o Se face planificarea implementrii sistemului de protecie i a
politicii de securitate;
o Se concep procedurile operaionale de securitate n strns legtur
cu procedurile de lucru specifice fiecrui post de lucru;
o Se fac fiele de post n concordan cu procedurile operaionale de
lucru;
o Se implementeaz programele de perfecionare;
o Se fac controale i teste;
o Se solicit audituri de securitate interne i externe.
7.8 Abordarea sistemului din punct de vedere al comportrii n situaii de
criz
Scopul acestui tip de abordare este de a pune in eviden o serie de
interdependene ntre elementele sistemului i a evalua consecinele acestor
interdependene n situaia n care unul sau mai multe elemente critice ale
sistemului ies din funciune dintr-un motiv sau altul.
Suma acestor cunotine acumulate despre sistem permite o proiectare mult
mai adecvat a sistemului, pregtindu-l ca n cazul apariiei sau provocrii unor
defeciuni grave s supravieuiasc sau s salveze o motenire important.
Altfel spus sistemul trebuie pregtit s lucreze i n regim de avarie.
Ca exemplu pot fi date aici proiectarea cu redundan, proiectarea
avioanelor ca s poat s aterizeze fr motoare, proiectarea cutiilor negre ale
unui avion s reziste prbuirii, capacitatea unui organism de a supravieui fr
un organ etc.
In general acest tip de abordare este necesar acolo unde intervin viei
omeneti dependente de funcionarea sistemului sau atunci cnd sunt in joc
valori importante ce trebuie aprate (obiecte de art, informaii deosebite, arme
de distrugere n mas etc.)
Exist un numr importani de ageni de ameninare care pot produce
scenarii de avarie (catastrofice): cutremure, incendii, inundaii, furtuni, atacuri
teroriste, experimente scpate de sub control etc. n toate aceste cazuri se
impune o tratare a sistemului n regim de funcionare de avarie pentru a
38/45

determina msurile suplimentare necesare pentru a limita prejudiciile i a salva

ct mai mult din valorile existente n sistem n vedere unei folosiri ulterioare.
Deosebit de importante n acest caz sunt informaiile din sistem (starea
parametrilor, deciziile luate la diverse niveluri, experiena sistemului etc.)
Legat de abordarea unui sistem n regim de avarie este necesar
introducerea noiunilor de:
- structuri critice;
- misiuni critice;
Noiunea de structur critic a fost introdus recent n terminologia
internaional i nu are nc o definiie bine precizat. Prin structur critic se
nelege unul sau mai multe elemente, in legtur ntre ele, care prin scoatere din
funciune antreneaz prejudicii n regim de avalan sau de a cror funcionare
depinde existena sistemului.
Noiunea de misiune critic se refer la acea misiune a unui sistem care n
interaciunea cu mediul aduce parametrii sistemului la limita de suportabilitate.
Peste aceast limit elementele sistemului pot ncepe s cedeze i se poate intra
n regim de avarie.
Este util de subliniat acest aspect pentru a sublinia necesitatea testelor
echipamentelor critice in protecia informaiilor. Standardele internaionale
oblig productorii de echipamente de securitate a informaiilor s fie testate
mult in afara parametrilor de catalog pn la limita de distrugere. Sunt multe
componente electronice care in afara parametrilor de catalog (tensiuni de
alimentare, temperaturi, expuneri la diverse tipuri de radiaii) sunt nc parial
funcionale iar funcionarea parial poate conduce la o bre n sistemul de
securitate. Un exemplu in acest sens sunt sistemele de generare a cheilor pentru
criptare.
Din punct de vedere metodologic, abordarea comportrii sistemului n
regim de criz nseamn o comparaie ntre modelul aparent de criz construit de
analist i plaja de paradigme care o descriu situaii de criz. Rezultatul acestor
comparaii reprezint scenariul de criz propus de analist. Scenariul trebuie
ameliorat prin msuri de securitate.
Metodologia acestui tip de analiz este descris n figura 12 i a fost
dezvoltat pe la mijlocul anilor 80 i revizuit la mijlocul anilor 90.
Metodologia recomand patru etape principale:
1. Descrierea situaiei de criz (constituirea modelului ipotetic de criz ).
n aceast faz, analistul ncearc pe baza cunotinelor despre sistem s
imagineze situaiile care ar putea apare prin introducerea unor
disfuncionaliti. Modelele dezvoltate, datorit multiplelor conexiuni n
interior i exterior pot conduce la complexiti uriae.

39/45

Figura 12
Analistul trebuie s selecteze situaiile relevante din punct de vedere al
percepiei globale i a actorilor importani. In aceast etap culege
informaii despre alte situaii de criz sau de avarii cu care s-a confruntat
sistemul sau personalul care a deservit sisteme similare.
Informaiile culese este util s fie reprezentate ntr-o diagram.
2. Comparaia cu paradigme ale situaiei de criz comparaia cu modele
formale sau modele reale care au un grad de similitudine i care au suferit
diverse situaii de criz. Din aceste comparaii trebuie s extrag situaiile
care prin suprapunere s dea o imagine ct mai real a efectelor crizei i
eventual al modurilor de rezolvare.
3. Medierea rezultatelor comparaiei. n aceast etap se interpreteaz
rezultatele comparaiei. n aceast etap este necesar s se concentreze
efortul pe elementele de control, monitorizare i comunicare. Aceste
elemente transport informaii despre situaii care pot fi interpretate.
40/45

4. Etapa de nvare. Studiul situaiilor de criz acumuleaz informaii

despre comportarea sistemului n afara regimului normal de funcionare i
aceste informaii sunt utile pentru reproiectarea sistemului pentru a
include in structur mijloace de aprare, a introduce n sistem elemente
suplimentare care s atenueze unele efecte sau a identifica elemente de
mediu care sunt incompatibile cu sistemul.
7.9 Abordarea sistemului de securitate din punct de vedere al comportrii
n situaii de criz
O exemplificare a modului de abordare sistemic din punct de vedere a
comportrii organizaiei n situaii de criz o constituie recomandrile
standardelor i ghidurilor de management al securitii informaiilor care
determin organizaiile s abordeze comportarea sistemului informaional i
msurile de securitate pentru protecia acestuia pe trei paliere de nivel al
incidentelor:
- plan (metodologie) de rspuns la incidente analizeaz msurile necesare
pentru a limita prejudiciile n cazul incidentelor relativ minore (suportabile de
organizaie);
- plan continuitate al activitii (Contingensy Plan) analizeaz msurile
necesare pentru a conserva funcionalitatea organizaiei n situaia unor atacuri
cu impact major;
- plan de recuperare n caz de dezastre (Disaster Recovery Plan) palnificarea
msurilor necesare n cazul unor incidente care scot din funciune organizaia
ntr-o locaie.
7.10 Metodologia de aciune n cazul dezastrelor - Disaster Recovery Plan
1. Definirea dezastrului.
Dezastrul este definit ca un incident major care scoate din funciune
structura critic a instituiei iar prejudiciile cauzate nu pot fi cuantificate n
bani.
Cauzele dezastrelor sunt de dou feluri:
- Naturale:
o Cutremure;
o Incendii;
o Inundaii;
o Furtuni - trsnete;
o Uragane
- Intenionate:
o Atacuri teroriste cu bombe;
o ntreruperea alimentrii cu energie electric;
o Distrugerea softului (aplicaii, sisteme de operare aplicaii suport
etc.)
o Distrugerea hardware (servere, echipamente critice de comunicaii
etc.)
41/45

o Atacuri ale hacherilor cu refuzul serviciului

2. Identificarea informaiilor i sistemelor critice inventarierea acestora i
analiza impactului scoaterii din funciune a acestor sisteme asupra
activitii organizaiei. Analiza de riscuri privind probabilitatea de apariie
a tipului de dezastru i a impactului acestuia asupra activitii.
3. Tratarea impactului msurile de recuperare funcie de costuri pot fi:
o recuperare parial a funcionalitii organizaiei;
o recuperare total a funcionalitii organizaiei;
Recuperarea se poate face prin:
o organizarea unei oglinzi a sistemului la o alt locaie, comutarea
ntre locaii fcndu-se ntr-un server de DNS aproape instantaneu.
Metoda este scump i practic necesit dublarea echipamentelor de
calcul dac se dorete meninerea serviciilor la acelai nivel;
o organizarea unei locaii n care sunt salvate on line toate
informaiile. Distrugerea informaiilor din site-ul principal scoate
din funciune organizaia pe perioade scurte de timp pn se ncarc
din nou datele corecte din locaia de rezerv;
o amenajarea unei locaii de rezerv fr echipamente dar care o dat
transportate echipamentele acolo poate prelua toate serviciile
iniiale;
4. Alocarea de fonduri (rezervate) pentru situaii de urgen;
5. Stabilirea cooperrii cu autoritile i organizaiile de profil;
6. Stabilirea echipei de aciune n caz de dezastru i a celei de recuperare ele
vor lucra mpreun;
7. Stabilirea procedurilor generale de recuperare i aciune;
8. Abordarea sistemic a securitii pe durata ciclului de via a sistemului
Ideea acestei abordri este de a dezvolta funciile de securitate nc din
primele etape ale unui proiect sau de iniiere a unei organizaii (sistem) nou. Prin
abordarea problemelor de securitate nc din primele faze de via ale unui
proiect se pot face economii importante de resurse umane i materiale n faza de
utilizare. Principalele funcii de securitate fiind incluse n structura i
procedurile operaionale ale organizaiei nc din faza de concepie.
Pe de alt parte, fiecare faz de dezvoltare a unui proiect are ameninri i
vulnerabiliti specifice care trebuie individualizate pentru optimiza rspunsul.
Principalele avantaje ale abordrii securitii nc din faza de analiz a
sistemului sunt:
- Integrarea subsistemului de securitate n funcionalitatea sistemului n
ansamblul su;
- Reducerea costurilor pentru securitate fa de soluia securitii adugate;
- Analiza de riscuri individualizeaz riscurile ce trebuie acoperite cu msuri
de securitate specifice pentru fiecare etap simplificnd sistemul de
protecie;
42/45

In figura de mai jos sunt exemplificate fazele managementului de securitate

specifice pentru fiecare faz de dezvoltare a unui proiect.

Figura 13
n prima faz de dezvoltare a unui proiect faza de analiz, se definitiveaz
scopul sistemului, aplicaiile care vor rula i procesele in care este inclus
sistemul i se va realiza documentaia de baz a acestuia.
n aceast faz de dezvoltare se identific ameninrile principale,
vulnerabilitile i se identific riscurile. Se extrag cerinele de securitate
specifice sistemului.
n faza a doua de dezvoltare a sistemului faza de proiectare, se includ
msurile de securitate n arhitectura sistemului ajustndu-se raportul
funcionalitate securitate. Proiectarea se face lsnd o plaj mare de manevr
pentru securitatea sistemului prin configurare. n aceast etap sunt identificate
categoriile de informaii care vor fi prelucrate, se calculeaz impactul riscurilor,
se face analiza de riscuri i se aleg contramsurile cele mai adecvate din punct
de vedere al recuperrii investiiilor n securitate (ROI Return of
Investiments). Se determin structurile critice ale sistemului.
n faza a treia faza de implementare (construcie) n care sistemul este
construit conform documentaiei sunt create i funciile de securitate conform
contramsurilor de acoperire a riscurilor ca parte a procesului de construcie a
sistemului.
In faza a patra de construcie faza de testare a sistemului, se testeaz
sistemul de securitate conform specificaiilor din proiect i se iniiaz
43/45

procedurile de tratare a incidentelor de securitate. Se activeaz planurile de

continuitate al afacerilor (Business Continuity Plan) de tratare a incidentelor
importante.
Dac sistemul prelucreaz informaii clasificate, se iniiaz procedurile de
acreditare a funcionrii cu informaii clasificate.
In faza de mentenan a sistemului se revd anual vulnerabilitile nou
descoperite , ameninrile nou aprute i se actualizeaz contramsurile.
9. Concluzii
1. Funcia de securitate este o funcie esenial a tuturor sistemelor complexe
i deriv din capacitatea acestora de a se adapta provocrile mediului de
evoluie.
2. Securitatea este o funcie intrinsec sistemului dar interacioneaz strns
cu mediul i determin reacia sistemului la schimbrile de mediu pentru a
menine obiectivele acestuia in parametrii rezonabili.
3. Mediul concurenial stimuleaz nevoia de securitate;
4. Structura de securitate folosete intens facilitile sistemului dar se
dezvolt i un subsistem specializate care coordoneaz msurile de
securitate.
5. Se justific studiul specializat al sistemului de securitate interaciune cu
sistemul i cu mediul. Elementul de legtur este analiza de riscuri.
6. Abordarea sistemic a sistemului de securitate al unei organizaii cu
precdere al sistemului de protecie a informaiilor impune analiza
acestuia din patru puncte de vedere complementare: abordarea din punct
de vedere a sistemului hard, a sistemului soft, a situaiilor de criz pe toat
durata de dezvoltare i utilizare a sistemului. Pentru protecia
informaiilor analiza se prelungete la le faza de casare a acestuia.
7. Dezvoltarea tehnologic i construcia societii informaionale au condus
la un mediu de dezvoltare virtual, specific informaiei n format electronic
ciberspaiul cu proprieti i legi specifice. Sistemele de securitate
n acest mediu joac un rol deosebit n protecia informaiilor.

44/45

10. Bibliografie
1. Alan Warning, PRACTICAL SYSTEMS THINKING, ed.: International
Business Presss;
2. Andrew P. Sage, SYSTEMS ENGINEERING, ed.: John Willey & Sons,
Inc.
3. Jay W. Forrester, PRINCIPIILE SISTEMELOR, ed.: Editura Tehnica;
4. Prof. dr. ing. Alexandru erbnescu, APLICATII ALE SISTEMELOR
DINAMICE HAOTICE IN COMUNICATII, ed.: Academia Tehnic
Militar;
5. Prof. dr. ing. Alexandru erbnescu, LOptimisation Multicriterielle
dans lApproche Systmique en utilisant des Algorithmes Gntiques
et les Stratgies Evolutionnistes, ed.: Academia Tehnic Militar;
6. Conf. Dr. ing. Ionel Lazr, TEORIA SISTEMELOR TEHNICE
Concepte fundamentale, ed.: Academia Tehnic Militar;
7. Standard ISO 17799
8. Standard ISO 13335
9. Standard ISO 15408

45/45