Academia de Studii Economice din Bucureti, Facultatea de Cibernetic, Statistic i Informatic Economic, Masterat : Managementul Informatizat al Proiectelor

LUCRARE DE DISERTAIE

Coordonator : Profesor Univ. Dr. Ivan Ion Absolvent : Bra Daniel Valentin

Bucureti 2010

CUPRINS

INTRODUCERE............................................................................................................. 3 Metodologia de realizare a sistemelor de securitate informatic.............................10 Infrastructura de chei publice...................................................................................14 21 ETAPELE DEZVOLTRII UNUI PROIECT DE SECURITATE A DOCUMENTELOR TRANZACIONATE N CADRUL UNEI BNCI...............................................................21 Prezentarea mediului de lucru........................................................................22 Diagnosticarea procesului................................................................................23 Definirea problemei ........................................................................................25 Prezentarea soluiei.........................................................................................26 4. MANAGEMENTUL PROIECTULUI DE CONFIGURARE I FUNCIONALIZARE A UNEI INFRASTRUCTURI DE CHEI PUBLICE N CADRUL UNEI BNCI.....................................28 MSURAREA EFECTELOR DERULRII PROIECTULUI N CONDIII DE MANAGEMENT EFICIENT.................................................................................................................... 38 Rezultatele experimentale...............................................................................38 Sursa: observaii relevate n urma etapei de testare final a sistemului de ctre angajaii bncii.......................................................................................................... 38 Analiza proiectului de securitate Implementare infrastructur chei publice. 39 Se observ c implementarea unei astfel de soluii suscit probleme de management doar la nivelul integrrii noii aplicaii cu structura organizatoric i fluxul de lucru al documenelor deja implementat la nivelul bncii. Prin mecanismele preventive ale managementului de risc aceast integrare cu aplicaiile deja existente la nivelul bncii pot suprasolicita resursele umane ale bncii n procesul de implementare i testare ale infrastructurii de chei publice. La nivelul imaginii, implementarea unei astfel de soluii aduce un plus valoare bncii genernd soluii suplimentare de atragere de noi clieni i mai ales de securizare a tranzaciilor la nivelul portalului web al bncii. Din punct de vedere al managementului organizaional, integrarea unei astfel de soluii genereaz automatisme de flux al semnturilor digitale, care pot fi integrate cu soluiile deja existente pe pia la nivel de aplicaii software (modulul de semntur electronic disponibil n pachetul Microsoft Office 2007, Forefront Identity Manager 2010)..........................................42

6.. CONCLUZII............................................................................................................42 Riscul tehnic este ridicat datorit structurii ierarhice pe dou niveluri pe care este implementat structura PKI. Ultimul pas din proiectul de implementare a structurii PKI este acela de mentenan periodic ceea ce presupune disponibilitatea personalului specializat n cazul apariiei unei defectri ale sistemului. ..................44 BIBLIOGRAFIE............................................................................................................45

MANAGEMENTUL PROIECTELOR DE SECURITATE INFORMATIC

INTRODUCERE

A discuta de managementul proiectelor de securitate informatic nu se reduce doar la a identifica breele care pot aprea n cadrul diferitelor structuri de securitate din domeniul IT i a diagnostica msuri preventive i de combatere a acestora, dar i despre structura corect pe care trebuie s o ndeplineasc un proiect ce vizeaz msurile de protecie aplicabile unui proiect de securitate informatic. De multe ori am observat folosindu-se termenii "securitate" i "protecie" n mod interschimbabil i este necesar a se face o distincie clar ntre acestea. Mai precis s facem o distincie ntre problemele generale implicate de asigurarea c datele unei organizaii nu sunt citite ori modificate de persoane neautorizate, date care includ aspecte tehnice, administrative, legale i politice pe de o parte i mecanismele specifice pentru a asigura securitatea , pe de alt parte. 3

Multe companii dein informaii de valoare pe care le protejeaz cu minuiozitate. Aceste informaii pot fi de natur tehnic (de exemplu proiectul unui nou cip sau soft), de natur comercial (studii asupra concurenei, planuri de marketing), de natur financiar (planuri de lansare a aciunilor pe pia), de natur juridic (documente despre o potenial fuziune sau achiziie), printre multe altele. Adeseori aceste informaii sunt protejate de un portar n uniform aflat la intrarea n cldirea companiei care verific dac toi cei care intr n cldire poart un ecuson corespunztor. In plus, multe birouri pot fi ncuiate, la fel i unele dulapuri cu acte pentru a se asigura doar accesul persoanelor autorizate la aceste informaii. Pe msur ce tot mai multe asemenea informaii sunt stocate n sisteme de calcul, nevoia de a le proteja devine din ce n ce mai important. De aceea, protejarea acestor informaii mpotriva accesului neautorizat reprezint o preocupare major n toate sistemele de operare. Din pcate, acest deziderat devine, de asemenea, din ce n ce mai dificil, datorit acceptrii pe scar larg a extinderii complexitii sistemelor, ca fiind un fenomen normal i acceptabil. In seciunile urmtoare vom aborda o serie de subiecte legate de securitate i protecie, cu efect direct n modelarea unui proiect specific de asigurare a securitii unui proces informatic. Din perspectiva securitii, sistemele informatice au trei obiective generale, cu ameninrile corespondente lor. Primul dintre acestea, confidenialitatea datelor, are n vedere ca datele secrete s rmn secrete. Mai precis, dac proprietarul anumitor date decide c acestea trebuie s fie disponibile doar anumitor persoane i nu altora, sistemul ar trebui s garanteze c datele nu vor fi disponibile persoanelor neautorizate. Ca un minim necesar, proprietarul datelor ar trebui s poat specifica cine la ce s aib acces, iar sistemul s impun aceste specificaii. Al doilea obiectiv, integritatea datelor, prevede ca utilizatorii neautorizai sa nu poat modifica date fr permisiunea proprietarilor. n acest context, modificarea datelor nseamn nu numai schimbarea datelor dar i tergerea datelor ori adugarea de date false. Dac un sistem nu poate garanta c datele depozitate n el rmn nemodificate pn cnd proprietarul datelor decide s le modifice, sistemul respectiv nu este demn de a fi un sistem informaional. Cel de-al treilea obiectiv, disponibilitatea sistemului, are semnificaia c nimeni nu poate deranja sistemul, pentru a-1 aduce ntr-o stare de instabilitate. Astfel de atacuri prin refuzare de serviciu (denial of service) sunt din ce n ce mai ntlnite. De exemplu, dac un calculator este server n Internet, bombardarea acestuia cu cereri l poate paraliza consumndu-i tot timpul de procesor doar pentru examinarea i nlturarea cererilor primite. Dac, de exemplu, procesarea unei cereri primite pentru citirea unei pagini de Web dureaz 100 s, atunci oricine este n stare s 4

trimit 10000 de cereri pe secund poate nimici serverul. Sunt disponibile modele convenabile i tehnologii pentru a mpiedica atacurile asupra confidenialitii i integritii datelor; mpiedicarea atacurilor prin refuzare de serviciu este mult mai dificil. Fie c vorbim de confidenialitatea sau integritatea datelor ori de disponibilitatea unui sistem informatic trebuie s avem n vedere c msurile de reaciune la atacurile ndreptate asupra acestuia sunt menite doar s nlture efectele nocive neavnd un efect direct asupra cauzelor care au generat aceste atacuri. Proiectarea unui sistem complet de management al proiectului informatic n cauz va genera implicit msuri preventive de aciune mpotriva intruziunilor neautorizate n sistemul informatic. Identificarea din timp a punctelor puternice i a slbiciunilor unui sistem informatic sunt elemente cheie ce stabilesc pilonii unui proiect de management de calitate. Proiectul de fa se constituie ntr-un act de remodelare a procesului de elaborare, semnare i aprobare a documentelor tranzacionate n cadrul unei bnci. Am implementat la nivel organizatoric o infrastructur de chei publice (PKI) care s ofere att angajailor ct mai ales clienilor o metod facil de a soluiona cererile de a accesa mprumuturi prin scurtarea timpului de elaborare, aprobare i definitivare a acestora. Prin intermediul unei infrastructuri de chei publice ne dorim n primul rnd s eliminm paii suplimentari ce apar n cadrul unui proces de semnare a unui document, implementnd n locul semnturii olografe, semntura electronic bazat pe certificatele digitale emise de autoritatea de certificare din cadrul infrastructurii de chei publice. Pe lng eliminarea acestui neajuns, faptul c vom avea la dispoziie o ierarhie de acest gen, ne ofer posibilitatea de a furniza multiple imbuntiri securitii electronice precum i un grad crescut de securizare a autentificrii clienilor pe portalul web proprietar bncii. Ne propunem deci s implementm att o soluie de nlocuire a semnturii olografe cu o semntur electronic certificat de o autoritate de certificare autorizat, ct i s aducem un plus de valoare tranzaciilor electronice efectuate prin intermediul portalului web al bncii noastre implementnd la nivel de securitate electronic o comunicaie securizat de tip SSL bazat pe certificate emise de autoritatea de certificare. Speculnd pe baza soluiilor existente deja pe pia, putem concluziona c implementarea unei infrastructurii de chei publice suscit probleme de configurare doar privind prin prisma mediului n care aceast soluie este cerut i suntem ndreptii s credem c aa este, numai c procesul de management al unui astfel de proiect un este un deziderat uor de atins. Provocrile 5

pe care le implic un astfel de proiect att n procesul de implementare, dar mai ales n partea de mentenan a modulelor funcionale consider c sunt definitorii pentru a defini punctul de plecare n realizarea unui management de calitate pentru un astfel de proiect. Pornind de la structura mediului i a problemei care necesit implementarea unei soluii de securitate informatic, voi genera un plan de management al proiectului de implementare al unei structuri PKI ce va avea la baz diagrmele PBS (product breakdown structure) i WBS (work breakdown structure) pe care se va baza managementul de calitate al proiectului att n faza de implementare ct i n faza de administrare a acestuia. Pentru elaborarea acestui proiect am avut ocazia s folosesc experiena profesional dobndit prin implementarea unei infrastructuri de chei publice de test pe o structur software de tip Microsoft. Fluxul operaional de lucru din cadrul unei bnci presupune vehicularea unui numr relativ mare de documente att ntre departamentele unei bnci ct i intre filialele acesteia dac vorbim despre o banc dezvoltat pe filiale regionale. Am avut ocazia s fac parte din echipa de implementare a unui proiect PKI pe o structur ierarhic pe dou nivele cu o autoritate de certificare Root ce funcioneaz n mod offline care genereaz certificate pentru o autoritate subordonat care la rndul ei elibereaz i administreaz certificatele utilizatorilor. Cnd vorbim despre utilizatori, ne referim aici nu doar de angajai ai instituiei n care soluia este implementat ci i la dispozitive hardware (staii, servere, routere) crora le pot fi eliberate certificate digitale folosite pentru gestionarea comunicaiilor securizate ntre acestea. Ca manuale de studiu i de punct de plecare n dezvoltarea prezentei lucri am avut la dispoziie lucrarea de licen elaborat n cadrul Academiei Tehnice Militare Bucureti cu titlul Securitatea reelelor informatice i a sistemelor de gestiune a identitii electronice sub ndrumarea Prof. Univ. dr. Victor Valeriu Patriciu i deasemeni pentru implementarea unei infrastructuri de chei publice pe o platform Microsoft, am avut ca punct de plecare documentele publicate de Brian Komar de configurarare a unei astfel de proiect (Windows server 2008 PKI and Certificate Security, Windows server 2003 PKI and Certificate Security). Elaborarea structurii de implementare a proiectului i analiza calitii proiectului n condiii de management eficient a fost realizat ghidndu-m dup urmtoarea bibliografie selectiv:

[IVAN99] Managementul calitii software - Ion IVAN, Laureniu TEODORESCU Revista Informatica Economic, nr. 12/1999 [GILB88] Tom Gilb, Principles of Software Engineering Management, Addison Wesley, 1988.

Lucrarea de fa este elaborat urmnd nlnuirea logic de dezvoltare a unui proiect de management al unei aplicaii de securitatea informatic. Dup introducerea specific lucrrii, al doilea capitol prezint elementele fundamentale ale securitii informatice cu aplicaie practic pe necesarul de securitate pe care un sistem criptografic trebuie s l ndeplineasc (confidenialitate, integritate, autentificare, nerepudiere). Structura unui certificat digital este prezentat pe larg n acest prim capitol, pentru a putea nelege diferenele fundamentale dintre o semntur olograf i una care are la baza ei chiar principiile fundamentale ale criptografiei, prezenate anterior. Am identificat n acest capitol i utilizrile practice ale unei infrastructuri de chei publice pornind de la dezideratul proiectului de securitate informatic de a implementa semntura electronic n cadrul unei instituii pn la aplicaii specifice de autentificare pe baza certificatului stocat pe un dispozitiv hardware sau de criptarea datelor sensibile. Dup prezentarea detaliilor criptografice i de management ale unui proiect de securitate informatic, capitolul 3 detaliaz pe larg structura organizatoric a mediului pe care se va realiza implementarea infrastructurii de chei publice. Implementarea unui astfel de sistem vizeaz optimizarea unui proces, n cazul de fa gestionarea fluxului de semnare a documentelor din cadrul unei bnci, astfel c tot n cadrul acestui al treilea capitol este definit procesul care necesit optimizare i este identificat soluia de securitate i modul de implementare a unui management de calitate. Capitolul 4 definete efectiv paii de implementare a unui astfel de proiect cu stabilirea echipei, a resurselor i a etapelor de lucru. Implementarea etapelor i a resurselor identificate anterior este realizat utiliznd aplicaia Microsoft Office Project pentru a gestiona corect alocarea resurselor i a ordona din punct de vedere structural etapele principale de lucru. Sincretic aceste etape pot fi prezentate astfel: 1. Analiza 2. Proiectarea sistemului 7

3. Construcia sistemului

4. Predarea sistemului 5. Mentenan Capitolul 5 analizeaz din punct de vedere al riscurilor pe care implementarea unui astfel de proiect de securitate le implic. De asemenea am studiat din punct de vedere al procesului diagnosticat n cadrul capitolul 3 care sunt mbuntirile pe care implementarea infrastructurii de chei publice la nivelul bncii le aduce procesului de semnare a documentelor. Concluziile proiectului prezint eventualele mbuntiri sau elemente de inovaie care pot fi implementate pe viitor n cadrul bncii, avnd ca punct de plecare infrastructura de chei publice deja implementat.

1. SECURITATEA INFORMATIC

Securitatea informatic a devenit una din componentele majore ale Internetului. Analitii acestui concept au sesizat o contradicie ntre nevoia de comunicaii i conectivitate, pe de o parte i necesitatea asigurrii confidenialitii, integritii i autenticitii informaiilor, pe de alt parte. Domeniul relativ nou al securitii informatice caut soluii tehnice pentru rezolvarea acestei contradicii aparente. Viteza i eficiena comunicaiilor instantanee de documente i mesaje confer numeroase atuuri actului decizional ntr-o societate modern, bazat pe economie concurenial. ns utilizarea serviciilor de pot electronic, web, transfer de fonduri etc. se bazeaz pe un sentiment, adeseori fals de securitate a comunicaiilor, care poate transforma potenialele ctiguri generate de accesul rapid la informaii, n pierderi majore, cauzate de furtul de date sau de inserarea de data false ori denaturate. Sistemele informatice sunt ameninate att din interior ct i din exterior. Pot fi persoane bine intenionate care fac diferite erori de operare sau persoane ru intenionate, care sacrific timp i bani pentru penetrarea sistemelor informatice. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare sau anumite defecte ale echipamentelor de calcul sau de comunicaie. De asemenea, lipsa unei pregtiri adecvate a administratorului, operatorilor i utilizatorilor de sisteme amplific probabilitatea unor

bree de securitate. Folosirea abuziv a unor sisteme (piraterie informatic) reprezint, de asemenea, unul din factorii de risc major privind securitatea sistemelor informatice. n ultimii ani, n rile dezvoltate, hrtia a devenit numai un mediu de prezentare a informaiilor nu i de arhivare sau transport. Aceste ultime dou funcii au fost preluate de calculatoare i de reele de interconectare a acestora. De aceea au trebuit s fie gsite soluii pentru nlocuirea sigiliilor, tampilelor i semnturilor olografe din documentele clasice cu variantele lor digitale, bazate pe criptografia clasic i cu chei publice. Criptografia computaional este tot mai folosit pentru contracararea problemelor de securitate informatic. Utilizat mult vreme doar pentru asigurarea confidenialitii comunicaiilor militare i diplomatice, criptografia a cunoscut n ultimii 20 de ani progrese spectaculoase, datorate aplicaiilor sale n securitatea datelor pentru calculatoare i reele. Ameliorarea securitii sistemelor informatice trebuie s fie un obiectiv important al oricrei organizaii. Trebuie ns avut n vedere asigurarea unui bun echilibru ntre costurile aferente i avantajele concrete obinute. Msurile trebuie s descurajeze tentativele de penetrare neautorizat, s le fac mai costisitoare dect obinerea legala accesului la aceste programe i date. OCED (Organization of Economic Cooperation and Development) este unul din organismele internaionale preocupate de domeniul proteciei datelor cu caracter personal, securitii sistemelor informatice, politicii de cifrare i al proteciei proprietii intelectuale. n ceea ce privete protecia datelor cu caracter personal, OECD a elaborat n anul 1985 Declaraia cu privire la fluxul transfrontalier al datelor. Ideea fundamental era de a se realiza, prin msuri juridice i tehnice, controlul direct individual asupra datelor cu caracter personal i asupra utilizrii acestora.Eforturile actuale sunt dirijate ctre realizarea unui cadru internaional n ceea ce privete viaa personal i autonomia individual a persoanelor (libertatea de micare, libertatea de asociere i drepturile fundamentale ale omului). n domeniul sistemelor informatice, trile OECD au cerut, n 1988 secretariatului OECD s pregteasc un raport complet asupra acestui domeniu, cu evidenierea inclusiv a problemelor tehnologice de gestiune, administrative i juridice. Urmare a acestui raport, rile membre au negociat i adoptat n anul 1992 liniile directoare privind securitatea sistemelor informatice n OECD. Ele ofer un cadru internaional de referin pentru dezvoltarea i punerea n practic a unor msuri, practici sau coerene de securitate informatic n sectoarele public i privat. Consiliul OECD recomand revizuirea periodic a acestor reglementri la fiecare 5 ani. 9

Metodologia de realizare a sistemelor de securitate informatic. n urma creterii complexitii agenilor economici, mai ales n etapa de trecere la economia de pia, apare o extraordinar cretere a cantitii de informaii obinute i manipulate, accentuat i de formularea unor condiii tot mai severe n ceea ce privete calitatea informaiei (corectitudinea, operativitatea acesteia). Domeniile de utilizare a informaticii se diversific n ritm rapid, incluznd o gam tot mai larg de activiti umane: rezolvarea calculelor tehnico inginereti i fizico-matematice (informatica tehnico-tiinific), supravegherea, comanda i controlul proceselor de producie, a mainilor unelte (informatica industrial), prelucrarea automat a informaiei economice privitoare la toate activitile desfurate n unitile economice (informatica economic de gestiune) etc.La aceasta se adaug tot mai pregnant n ultima perioad informatizarea activitilor de birou i administrative, informatica proiectrii produselor i tehnologiilor (proiectarea asistat de calculator). Noiunea de sistem este una foarte general, cuprinztoare practic n orice domeniu de activitate se are de-a face, ntr-o form sau alta, cu sisteme. Un sistem este un ansamblu de elemente care respecta de un pachet de reguli de funcionare bine definite, n vederea ndeplinirii unui anumit scop. n funcie de domeniul studiat, putem avea sisteme cibernetice, economice, fizice, etc. n cadrul unei unitti, definit ca sistem economic, distingem trei sisteme:

sistemul de conducere decizional; sistemul condus operaional; sistemul informaional.

De la sistemul de conducere la sistemul condus vor circula mesaje, informaii care trebuie s fie exacte, complete, infinite, din punct de vedere al coninutului prelucrrii i nregistrrii lor, operative, care vor fi asigurate printr-un proces de informare continu. Sistemul informaional este, deci, un instrument indispensabil, constituit din mijloace, metode i oameni prin care se asigur desfurarea activitilor specifice procesului informaional: nregistrarea, transmiterea, prelucrarea, selecionarea i pstrarea informaiilor despre resursele existente, despre eventualele perturbaii i abaterii de la traiectoria fixat. ntr-o 10

form mai detaliat, putem spune c sistemul informaional reprezint un ansamblu de fluxuri i circuite informaionale organizate ntr-o concepie unitar, care utilizeaz modele, proceduri, resurse umane i materiale pentru culegerea ,nregisrarea i/sau transmiterea datelor i a informaiilor prin intermediul crora se asigur interconexiunile dintre sistemul de conducere i sistemul condus, dintre mecanismul social-economic pe care l deservete i mediul social economic extern, avnd drept scop final realizarea obiectivelor proprii unitii economice n condiii de maxim eficien. Un sistem informaional modern trebuie s asigure: informarea la toate nivelele, operativitatea informrii, selectarea informaiilor, adaptabilitatea la modificrii (modificarea cererilor de informaii, modificarea datelor de intrare, modificarea structurii organizatorice, modificarea metodelor de prelucrare a datelor), precizia i exactitatea informaiilor. Sistemul informaional reprezint latura dinamic a sistmului managerial, fcnd legtura dintre sistemul conductor i cel condus n cadrul unitii economice, dar i ntre aceasta i mediul n care i desfoar activitatea. Sistemul informaional permite cunoaterea situaiei existente ntr-o unitate economic, a celei trecute, dar i anticipri ale evoluiei viitoare, contribuind la elaborarea i ndeplinirea obiectivelor stabilite. Prin intermediul su se obin informaiile necesare fundamentrii deciziilor, implementrii acestora, precum i cele necesare adaptrii sistemului unitii economice la modificrile interne i externe ei. Abandonarea concepiei traditionale in favoarea uneia noi, moderne, se aplic prin contientizarea faptului c o utilizare corespunztoare a informaiilor permite raionalizarea distribuiei mrfurilor n condiiil n care este evident mai avantajos, mai eftin, s miti informaia dect marfa. Proiectarea i realizarea unui sistem informaional capabil s capteze informaii utile unei uniti economice, permite o mai bun adaptare a acesteia la mediu, oferind chiar posibilitatea adoptrii unor strategii active de influienare a mediului n sensul dorit. Pentru ca realizarea unui sistem informatic s fie posibil va trebui mai nti s determinm care sunt problemele pe care trebuie s le rezolve, care este aria de activiti din domeniul respectiv pe care el trebuie s le acopere. Apare deci necesar realizarea unui studiu asupra sistemului informaional existent. Aceast analiz are scopul de a efectua un studiu complex asupra activitilor i fluxurilor informaionale existente, a volumului de informaii prelucrate, a ariei de cuprindere a sistemului informaianal i a dotrii existente cu tehnic de calcul, pentru a evidenia calitile, limitele i deficienele actualului sistem, n vederea stabilirii 11

cerinelor generale ce vor fi asigurate prin intermediul unui nou sistem informatic ce urmeaz a fi proiectat pe baza unor variante de realizare. De fapt mai nti se realizeaz un studiu preliminar, prin care se determin oportunitatea realizrii unui sistem informatic, dac activitatea din domeniul respectiv decurge mai bine fr sistemul informatic, evident c acesta nu mai are rost, sau chiar dac prin implementarea sistemului informatic activitatea se mbuntete dar sporul de eficien nu justific cheltuielile ocazionate de realizarea sistemului informatic, acesta nu va fi realizat. Numai dac studiul preliminar indic oportunitatea realizrii unui sistem informatic se realizeaz studiul de detaliu al sistemului. Evaluarea critic a sistemului informaional existent urmrete evidenierea

performanelor i limitelor acestuia n raport cu cerinele sistemului de conducere, pentru a formula principalele direcii de ameliorare a calitii sistemului i a defini una sau mai multe variante de utilizare global. Formularea de aprecieri critice asupra sistemului informaional are la baz ansamblul criteriilor de calitate impuse acestuia prin prisma informaiilor economice prelucrate i difuzate diverilor utilizatori din unitatea economic. Pentru a putea aprecia sistemul respectiv, trebuie avute n vedere o serie de criterii de calitate a informaiilor, dintre care cele mai impotante sunt:

operativitatea informaiilor poate fi evaluat pe baza timpului de rspuns al sistemului informaional care reprzint intervalul mediu de timp ntre producerea unei operaii sau proces economic i difuzarea rezultatelor informaionale care decurg din aceasta.

precizia informaieise refer la fidelitatea cu care este reflectat activitatea desfurat n unitate.

oportunitatea informaiilor n timp i spaiu prevede ca informaiile s ajung la timp la destinaiile prevzute.

spaiile i implicit costurile de depozitare a datelor.

Sistemul informatic preia i dezvolt o parte din baza informaional i operaiile de prelucrare ale sistemului unitii economice, putnd fi privit din acest punct de vedere ca un sistem informaional automatizat. Sistemul informatic asigur memorarea i prelucrarea automat a unei pri a informaiilor dintr-o unitate economic, pentru a asigura urmtoarele cerine: 12

- asigurarea, simplificarea i ameliorarea lucrrilor i procedurilor informaionale care presupun simpla execuie a unor operaii i prelucrri de rutin; n cadrul unui sistem informatic pot exista mai multe aplicaii care folosesc aceleai informaii generate de alte aplicaii.n asemenea situaii,pentru a evita introducerea repetat a informaiilor comune, se apeleaz la integrarea sistemului. Un sistem informatic integrant asigur prelucrarea unic a fiecrei informaii i difuzarea acesteia tuturor aplicaiilor care o solicit. Integrarea sistemelor informatice se poate realiza pe urmtoarele ci: memorarea fiecrei informaii astfel nct, s corespund integral tuturor cerinelor specifice ale aplicaiilor i s fie disponibil pentru fiecare dintre ele.

asistarea i sprijinirea procesului de conducere i n mod deosebit a procesului decizional.

Avnd n vedere c decizia aparine omului, sistemul informatic are rolul de a-i furniza toate elementele necesare i de a-i permite s fac alegerea deciziei optime pe baza unui maxim de informaii. De asemenea, sistemul informatic poate servi ca instrument de simulare, permind evaluarea rapid a consecinelor prevezibile ale fiecrei decizii i adoptare celei mai eficiente. Informatizarea care cuprinde, n mod obiectiv, numai acele pri ale sistemului informaional care sunt formalizabile, prin definirea unor funcii de transformare a intrrilor n ieiri. Cercetrile din domeniul modelrii matematice a proceselor economice, ct i cele din domeniul inteligenei artificiale conduc la lrgirea continu a ariei de utilizare a informaticii n cadrul unitilor economice. Utilizarea calculatorului pentru un grup omogen de lucrri sau probleme ale unitii beneficiare constituie o aplicaie informatic cu meniunea c un sistem informatic poate cuprinde una sau mai mute aplicaii informatice. Aria unei aplicaii informatice este determinat de omogenitatea funcional a prelucrrilor realizate i de delimitare dintre procesele formalizabile i cele neformalizabile. n acest caz, sistemul informatic va include o baz informaional comun, actualizat n mod unitar i consultat n toate aplicaiile, sau baze informaionale specializate pe aplicaii.

13

Integrarea poate fi realizat la nivelul unui sistem informatic specific unei uniti economice sau ntre sisteme informatice aparinnd unor uniti ntre care exist sisteme informatice aparinnd unor uniti ntre care exist relaii de subordonare coordonare i care pot fi dispersate teritorial (de exemplu o sucursal cu filialele sale se gsete n relaii de subordonare-cooordonare). Din punct de vedere fizic, integrarea poate fi realizat prin intermediul unei reele de calculatoare, care s asigure distribuirea coleciilor de date memorate ntre unitile economice ce se afl n relaii de subordonare, n vederea furnizrii necesarului de informaii pentru fiecare dintre acestea. n aceste condiii integrarea conduce la arhitecturi de sisteme informatice ierarhizate, cu prelucrare, manipulare i stocare distribuit a datelor, n care prelucrarea interactiv i n timp real are o pondere tot mai nsemnat.

Infrastructura de chei publice Scopul criptografiei este de a securiza informaia stocat i transmis indiferent dac transmisia respectiv este monitorizat sau nu. Serviciile furnizate de criptografie sunt: Confidenialitate - meninerea caracterului privat al informaiei (secretizarea informaiei); Integritate - dovada c respectiva informaie nu a fost modificat (asigurarea mpotriva manipulrii frauduloase a informaiei);

Autentificare - dovada identitii celui care transmite mesajul (verificarea identitii unui individ sau a unei aplicaii); Nerepudiere - sigurana c cel ce genereaz mesajul nu poate s-l denigreze mai trziu (asigurarea paternitii mesajului); Criptografia realizeaz aceste servicii prin criptare. n sistemul criptografic mesajul este

criptat folosind o cheie, la expeditor, i apoi este trimis prin reea. La destinatar, mesajul criptat este decriptat tot cu o cheie, obindu-se mesajul original. Exist dou metode primare de criptare

14

folosite astzi: criptografia cu cheie secret (criptografia simetric) i cea cu cheie public (criptografia asimetric). Semntura digital reprezint un eantion de date care l identific pe cel care a semnat un document. Semntura digital este creat prin criptarea coninutului documentului, folosind cheia criptografic a expeditorului. Aceasta face ca semnatura s fie unic att pentru fiier ct i pentru deintorul cheii. Orice modificri aduse documentului afecteaz semntura, oferindu-se astfel att integritate ct i autentificare. Dezvoltarea comerului electronic este subordonat existenei unei garanii de securitate a transmisiilor de date i a plilor electronice. Graie unui sistem de codificare, aplicat mesajului transmis, semntura electronic constituie un rspuns la aceast problem, garantnd att autenticitatea i integritatea datelor, ct i identificarea semnatarului. Semnturile electronice se utilizeaz n circumstane i aplicaii foarte variate, ceea ce determin apariia unei serii de noi servicii i produse legate de utilizarea acestui tip de semntur. Orice disfuncie sau inadverten n aplicarea i recunoaterea juridic a semnturii electronice risc s devin un obstacol serios n calea utilizrii comunicaiilor electronice i a comerului electronic. Semntura digital, ca modalitate a semnturii electronice, garanteaz identitatea, autenticitatea i integritatea prilor implicate n contract. Semntura digital reprezint un atribut al unui utilizator, fiind folosit pentru recunoaterea acestuia, i se bazeaz pe sisteme criptografice cu chei publice. Pentru semnarea digital a datelor, acestea sunt prelucrate astfel:

15

Document

Document semnat electronic

M S RSA Rezumat Semntura S

HASH

Dan Dan
CARD cu cheie secret

Figura 3: Semnarea unui document electronic Documentul M este cifrat cu cheia privat a emitorului, care astfel semneaz; n exemplu de mai sus este vorba despre utilizatorul Dan, care furnizeaz, prin intermediul unui card, cheia sa secret, PRIVDan i folosete un algoritm cu chei publice cunoscut, cum este RSA (Rivest-Shamir-Adleman); Documentul este transmis la receptor; Receptorul verific semntura prin decriptarea documentului cu cheia public a emitorului. Funciile de dispersie (hash functions) joac un rol important n autentificarea coninutului unui mesaj transmis n reelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor, ci de a crea o valoare h=H(M), numit i rezumat (digest), cu rol n procedura de semntur digital, foarte greu de falsificat. Funciile hash care pot fi folosite sunt MD5 i SHA1. Semnturile digitale au dou proprieti importante: permit identificarea emitentului unui mesaj electronic i a oricror modificri aduse mesajului original. Aceste proprieti fac ca semnturile digitale s aibe un rol important la securizarea comerului electronic deoarece ajut la: - demonstrarea autenticitii unei tranzacii electronice pentru a preveni falsurile; - confirmarea identitii unei persoane; - asigur dovada transmisiei i recepionrii tranzaciilor pentru a preveni repudierea mesajelor. 16

Ca i criptarea, semntura electronic este implementat n serverele i browserele Web prin SSL, pentru a permite utilizatorilor: - s-i demonstreze identitatea ntr-un mod care este mult mai eficient dect mecanismul nume utilizator/parol; - s confirme identitatea serverului Web cu care comunic (pentru a fi siguri c nu trimit informaie sensibil la un alt site Web). n concluzie, utilizarea acestui tip de semntur este de natur s favorizeze negocierile la distan specifice comerului electronic deoarece satisface exigene cum ar fi, valoare juridic cel puin egal cu cea a unei semnturi manuscrise, i admisibilitate ca prob n instan n aceeai manier ca la semntura manuscris. Pentru a utiliza n practic semnturile digitale, trebuiesc utilizate o gam complex de tehnologii, standarde i practici, cunoscute sub numele de infrastructuri cu chei publice (PKI). PKI (Public Key Infrastructure) este standardul acceptat pentru identificarea

persoanelor prin intermediul certificatelor. El include suportul pentru tot ciclul de via al certificatelor i cheilor de la crearea pn la distrugerea acestora. Din aceast cauz soluiile bazate pe PKI sunt scumpe, complexe i destul de greu de administrat i utilizat, ceea ce a mpiedicat utilizarea lor pe scar larg. PKI este o combinaie de produse hardware i software, politici i proceduri care asigur securitatea de baz necesar astfel nct doi utilizatori, care nu se cunosc sau se afl n puncte diferite de pe glob, s poat comunica n siguran. La baza PKI se afl certificatele digitale, un fel de paapoarte electronice care mapeaz semntura digital a utilizatorului la cheia public a acestuia. Aceste obiecte informaionale sunt crmizile care stau la baza unei implementri PKI i reprezint mijlocul de identificare digital a fiecrui subiect participant ntr-o relaie derulat prin mijloace electronice. Componentele PKI sunt:

Autoritatea Certificatoare (CA) - responsabil cu generarea i revocarea certificatelor; Autoritatea Registratoare (RA) - responsabil cu verificarea construciei generate de cheile publice i identitatea deintorilor;

17

Deintorii de Certificate (subiecii) - Oameni, maini sau ageni software care dein certificate i le pot utiliza la semnarea documentelor;

Clienii - ei valideaz semntura digital i certificarea de la un CA.; Depozitele - stocheaz i fac accesibile certificatele i Listele de Revocare a Certificatelor (CRLs -Certificate Revocation Lists);

Politicile de securitate: definesc procesele i principiile de utilizare a criptografiei Utilizarea unei infrastructuri de chei publice la nivelul unui sistem sau a unei instituii

are avantajul c pe lng plus valoarea pe care implementarea unui astfel de proiect l aduce, creeaz i un modul organizaional bazat pe partajarea drepturilor de acces la resursele din cadrul instituiei. Din punct de vedere al securitii, putem adapta implementarea unei astfel de structuri informaionale la diferite aplicaii din cadrul unei companii. Securizarea mesageriei electronice: la nivelul comunicaiilor din cadrul unei bnci o astfel de aplicaie nu este pretabil, dar n cazul de fa, cnd vorbim de comunicaia ntre filialele bncii i sediul central, securizarea acestei comunicaii este vital pentru pstrarea unui grad crescut de disponibilitate a sistemului. Att la nivelul aplicaiilor de comunicaie, (Exchange,Outlook) ct i la nivel de conexiuni hardware (routere, servere) certificatele digitale administrate de o astfel de infrastructur pot deservi o astfel de comunicaie securizat. Administrarea documentelor i implicit a semnturilor, de data aceasta semnturi digitale, devine un deziderat mai uor de atins n acest nou cadru de lucru. Integrarea unui modul de scanare a documentelor coroborat cu administrarea unei baze de date creeaz premisele necesare nlturrii oricrui obstacol n gestionarea unui flux de documente care n format tiprit suprasolicit de obicei ntreaga structur organizatoric a unei instituii. Din punct de vedere al gestionrii identitilor i drepturilor de acces la resurse, sunt disponibile pe pia soluii comerciale de gestionare a ntregului ciclu de via a identitilor digitale ale angajailor reducnd la minimum procesul de administrare a acesului la resurse. Un modul software pretabil pentru o astfel de implementare poate reprezenta soluia Microsoft Forefront Identity Manager 2010. Aceasta permite prin intermediul certificatelor emise utilizatorilor i printr-un sistem n 5 puncte de alocare a drepturilor stabilirea unui sistem informaional de securitate i de acces la resurse bazat numai pe baza certificatelor digitale.

18

O alt aplicaie practic a unei astfel de infrastructuri de chei publice l reprezint autentificarea la nivelul sistemului de operare i al aplicaiilor pe baza certificatelor emise utilizatorilor din cadrul unei instituii. n cadrul unei instituii, autentificarea prin nume i parola este soluia cea mai vulnerabil i n plus, oblig utilizatorul la memorarea unei astfel de combinaii pentru fiecare aplicaie folosit. Folosirea certificatului digital stocat pe smartcard contribuie nu numai la creterea gradului de sigurana dar i la o utilizare mai facil, prin folosirea unui mijloc unic de autentificare pentru toate aplicaiile folosite. PKI gestioneaz cheile i certificatele digitale folosite pentru implementarea criptografiei n aplicaii precum, email-ul i mesageria, browsere i servere Web, EDI; n aplicaii care presupun realizarea unor tranzacii n reea sau sesiuni de comunicaii securizate peste Web sau VPN-uri care folosesc protocoale S/MIME, SSl i IPsec, i funcii (de exemplu, semnarea unui document). n plus, aplicaiile dezvoltate n particular pot utiliza suport PKI . Emailul i mesageria : Email-ul i mesageria folosesc perechi de chei pentru criptarea mesajelor i fiierelor, i pentru semntura digital. De exemplu, programele de pot electronic Microsoft Exchange i IBM Note Mail folosesc criptarea pentru transportul informaiilor speciale. Acelai lucru este valabil i pentru programe de mesagerie destinate grupurilor de utilizatori, cum este de exemplu, Novell Groupwise. Sistemele EDI permit realizarea de tranzacii financiare care necesit autentificare, confidenialitate i integritatea datelor.
Aplicaii cu suport PKI Servere PKI

Server Client de email securizat Certificate Certificat Router VPN deintor

Client cu acces de la distan Server Web

Server de recuperare a cheii

19

Consol management

Figura 4: Principalele componente server ale unei infrastructuri cu chei publice sunt serverul de certificare, deintorul i serverul de recuperare a cheii (de obicei nsoite de o consol de management)

Accesul Web : Browserele i serverele Web folosesc criptarea pentru autentificare i confidenialitate i pentru aplicaii precum online banking i online shopping. Tipic, folosind SSL (Secure Sockets Layer) serverele se pot autentifica n faa clienilor. De asemenea, SSL realizeaz i criptarea traficului. Autentificarea clientului este prezent i ea, ca opiune. SSL nu este limitat doar la HTTP, suportnd i protocoalele FTP i Telnet. VPN : Criptarea i autentificarea sunt tehnologiile principale folosite pentru convertirea legturilor standard din Internet n VPN-uri, folosite fie pentru confidenialitatea site site (router - router), fie pentru accesul securizat de la distan (client - server). n figura 5 sunt prezentate relaiile care exist ntre aplicaii i infrastructur, i standardele asociate lor.

E-mail Groupware

Online Banking Online Shopping

VPN

Aplicaii

.
Cod i fiiere semnate electronic

EDI SSL S/MIME TLS IPSEC PPTP

Standarde care se bazeaz pe PKI

20
X.509 PKIX PKCS

Standarde care definesc PKI

Figura 5: Standarde PKI care definesc PKI

ETAPELE DEZVOLTRII UNUI PROIECT DE SECURITATE A DOCUMENTELOR TRANZACIONATE N CADRUL UNEI BNCI Proiectul de fa are ca scop principal, remodelarea procesului de elaborare, semnare i aprobare a documentelor tranzacionate n cadrul unei bnci. Ne propunem s implementm la nivel organizatoric o infrastructur de chei publice (PKI) care s ofere att angajailor ct mai ales clienilor o metod facil de a soluiona cererile de a accesa mprumuturi prin scurtarea timpului de elaborare, aprobare i definitivare a acestora. Prin intermediul unei infrastructuri de 21

chei publice ne dorim n primul rnd s eliminm paii suplimentari ce apar n cadrul unui proces de semnare a unui document, implementnd n locul semnturii olografe, semntura electronic bazat pe certificatele digitale emise de autoritatea de certificare din cadrul infrastructurii de chei publice. Pe lng eliminarea acestui neajuns, faptul c vom avea la dispoziie o ierarhie de acest gen, ne ofer posibilitatea de a furniza multiple imbuntiri securitii electronice precum i un grad crescut de securizare a autentificrii clienilor pe portalul web proprietar bncii. Prezentul proiect implementeaz la nivelul unei bnci att o soluie de nlocuire a semnturii olografe cu o semntur electronic certificat de o autoritate de certificare autorizat, dar n acelai timp va scoate n eviden elementul de plus valoare adus tranzaciilor electronice efectuate prin intermediul portalului web al bncii noastre implementnd la nivel de securitate electronic o comunicaie securizat de tip SSL bazat pe certificate emise de autoritatea de certificare. Elementul de provocare ridicat de acest proiect un vine cu preponderen din implementarea lui ct din procesul de management necesar administrrii unei astfel de infrastructuri. Structura organizatoric a unui asfele de proces de implementare este uor de urmrit din cauza exemplelor prezente pe pia,dar administrarea ntregii structuri i mai ales a ciclului de via a certificatelor digitale emise tuturor clienilor din cadrul bncii suscit un nivel ridicat de management. nlnuirea logic a pailor necesari n stabilirea unui plan de aplicarea a unui management de calitate pentru un proiect de securitate informtic sunt schematizai n continuare.

Prezentarea mediului de lucru Activitatea din fiecare zi a bncii solicit ntreaga structur organizatoric a acesteia prin incrcarea excesiv cu documente ce trebuie verificate la fiecare nivel decizional, dar i semnate corespunzator de persoanele abilitate. Deasemeni, studiile privind atacurile de tip phising ne ndreptatesc s ne orientm atenia ctre securizarea tranzaciilor electronice vehiculate la nivelul bncii utiliznd un portal web securizat. Un grad crescut de siguran obinem securiznd serviciul de mesagerie electronic i criptnd datele vehiculate n cadrul reelei intranet a bncii. 22

Diagnosticarea procesului Discutnd pe baza tandemului client-securitate putem identifica problemele ce decurg din modul de gestionare a documentelor de ctre filialelele teritoriale i deasemeni din comunicaia bidirecional dintre filialele teritoriale i structurile decizionale din cadrul bncii centrale. Parcurgnd procesul de acordare a unui credit bancar putem observa necesitatea integrrii n cadrul acestuia a unei aplicaii de semnare digital a documentelor necesare contractrii unui astfel de credit. Pe lng mbuntirile aduse la nivelul gestionrii documentelor electronice trebuie mbuntite att capacitatea de semnare a acestora ct i posibilitatea de non-repudiere a semnturilor aplicate asupra acestora. Mecanismele de verificare a sursei i destinaiei unui document n momentul n care acesta parcurge tot lanul ierarhic al bncii, sunt practic inexistente n acest moment. Volumul mare de documente suprancarc att personalul care are n atribuii aceste sarcini, dar i persoane din cadrul sectorului de top decizional al bncii care sunt inevitabil angrenate n mecanismul de semnare olograf a documentelor vehiculate. La nivelul comunicrii ntre filiale i direciile decizionale din cadrul bncii centrale, securitatea mesageriei electronice se regsete numai la nivelul comunicaiei securizate asigurate de clientul de e-mail proprietar Google sau Yahoo. Datele sunt trimise in clar asigurndu-se doar un grad sczut de securitate prin intermediul conexiuni SSL oferit de clientul de e-mail. O soluie de implementare unui server de pot electronic propriu cu certificate de autentificare pentru fiecare utilizator va asigura o confidenialitate crescut datelor i documentelor transmise prin intermediul acestui serviciu. Deasemeni aceste date n cazul n care nu sunt transmise prin intermediul curieratului rapid, sunt transmise prin intermediul postei electronice n clar. Confidenialitatea acestor date este realizat cu ajutorul procesului de criptare. Folosirea cheii publice dintr-un certificat pentru stabilirea unui canal de comunicaie criptat are ca rezultat faptul c doar entitatea menionat n certificat (cea care este i deintoarea cheii private) va fi capabil s decripteze mesajele criptate. Pe lng securizarea canalului de comunicaie ntre filiale i departamentele bncii, asigurm astfel i confidenialitatea datelor vehiculate prin intermediul canalului respectiv, renunnd astflel la serviciul de curierat rapid folosit pentru documentele cu o sensibilitate ridicat. Tranzaciile electronice la nivelul bncii sunt realizate doar prin intermediul bancomatelor, portalul web oferit de banc avnd doar caracter informativ. Cererile la nivelul e23

commerce nu sunt implementate corespunztor cu cerinele de securitate actuale astfel nct tranzaciile dintre clieni i bncile-filiale fcndu-se tot prin intermediul biroului administrativ. Tranzaciile dintre clieni i banc n comerul electronic pot include cereri de informaie, cursuri bancare, plasri de cereri, pli/extrageri bancare online. Gradul ridicat de ncredere necesar pentru asigurarea autenticitii, confidenialitii i livrarea la timp, al acestor tipuri de tranzacii poate fi dificil de meninut att timp ct acestea au loc ntr-o reea public, lipsit de ncredere, cum este Internetul. Interceptarea datelor transmise prin Internet n timpul unei tranzacii i n particular a datelor referitoare la cardul de credit, a fost adesea menionat ca un obstacol major al confidenialitii comerului electronic. Principalele ameninri asupra tranzaciilor din comerul electronic sunt prezentate n tabelul de mai jos: Tabel nr. 1: Principalele ameninri asupra tranzaciilor din comerul electronic Ameninri Impact asupra afacerii

Interceptarea informaiilor referitoare Pierderea confidenialitii clientului, mai ales n cazul n la plat (de exemplu numarul cardului care acestea sunt folosite pentru a efectua cumprturi de credit) neautorizate Interceptarea parolelor sau a altor Pierderea de informaii sensibile datorit accesului informaii de acces ale sistemului neautorizat n sisteme Modificarea datelor unei tranzacii Bunurile sunt expediate unui escroc naintea livrrii

Identificm astfel principalele probleme care vor fi abordate n procesul de re-planificare a activitii bncii:
a. Gestionarea i semnarea documentelor n format electronic b. Securitatea canalului de comunicaie filiale-banca central i deasemneni securitatea

datelor i documentelor vehiculate ntre acestea

c. Securizare portalului web pentru autentificarea i confidenialitate aplicaiilor de tip

online banking 24

Definirea problemei Pentru a implementa corect i eficient acest nou sistem lum ca puncte de reper

importante clientul i securitate comunicaiilor. n acest moment problemele importante apar la nivelul securiii informatice dintre filialele bncii i structurile organizaionale de decizie ale bncii centrale. Deasemeni trebuie observat i procesul lent de cerere-documentare-aprobarereturnare a creditelor bancare la nivelul filialelor teritoriale, proces ce solicit un volum mare de documente ce trebuie aprobate la nivelul conducerii bncii teritoriale. Astfel, de exemplu, paii pe care un client trebuie s i urmeze pentru a accesa un credit ipotecar sunt : Pasul 1: Depunerea dosarului de credit (cerere de credit, acorduri interogare Biroul de credit, documente doveditoare ale venitului, copii acte de identitate). Analiza dosarului depinde n funcie de banc i de dosar, de la 1 la 5 zile. n funcie de valoarea creditului i de complexitatea dosarului, acesta ar putea fi analizat la sediul central, ceea ce ar putea prelungi termenul de analiz. Pasul 2: Depunerea copiilor dup actele proprietii: act de proprietate vnztor, cadastru i intabulare, extras de carte funciar pentru informare, copii dup actele de identitate ale vnztorilor. Daca nu exist cadastru i intabulare, obinerea acestora de la Oficiul de Cadastru i Intabulare poate dura pn la 45 de zile. Pasul 3: Dup ce actele sunt verificate de ctre departamentul juridic al bncii, banca face comanda de evaluare. Evaluarea dureaz ntre 2 zile i o sptmn. Pasul 4: Odat emis raportul de evaluare, dosarul intr ntr-o ultim revizuire la departamentul juridic (1-2 zile). Pasul 5: n paralel se poate contacta un notar (dac nu s-a semnat deja antecontractul) i se poate solicita (prin notariat) extrasul de carte funciar pentru autentificare. Pasul 6: Dosarul este finalizat la banc. Odat ce se tie cnd iese extrasul de carte funciar pentru autentificare Pasul 7: Dup semnarea contractelor, unele bnci vireaz imediat banii n contul vnztorului, iar altele, cele mai multe, ateapt (pn la 7 zile) un nou extras de carte

25

funciar de informare, din care s reias c a fost inscris ipoteca n cartea funciar a imobilului, dup care vireaz sau deblocheaz contul vnztorului. Observm c fiecare din paii de mai sus presupun un flux mare de documente ce trebuie vehiculate ntre biroul de credite, departamentul juridic al bncii, notar, departamentul financiar, documente ce trebuie s poarte semnatura directorului filialei. Volumul mare de documente ce sunt vehiculate uneori n mai multe exemplare suprasolicit att clientul ct i personalul din cadrul biroului de credit, dar ncurc nejustificat actul decizional de la nivelul de conducere al bncii. Deasemeni la nivelul securitii informatice ultimele rapoarte ne prezint un procent crescut al atacurilor informatice de tip phising asupra bncilor i implicit asupra clienilor i a datelor personale ale bncii i a eventualilor clieni. Un raport general cu privire la atacurile tip phising nregistrate n ultimul an este prezentat n figura de mai jos:

Figura 6: Atacuri phishing 2009 Sursa: http://www.freerepublic.com/~aprpeh/ Structura ierarhic a bncii centrale momentan nu este susinut corect din punct de vedere al securitaii informatice ntrucat aa cum am menionat, comunicarea ntre filiale i sediul central i deasemeni ntre filiale i departamentele organizatorice se face prin intermediul clientului de e-mail. Prezentarea soluiei

26

Semntura digital, ca modalitate de implementare a semnturii electronice, garanteaz identitatea, autenticitatea i integritatea prilor implicate n contract. Semnatura digital reprezint un atribut al unui utilizator, fiind folosit pentru recunoaterea acestuia, i se bazeaz pe sisteme criptografice cu chei publice. Prin implementarea noului proces de semnare a unui document, paii ce vor fi parcuri din momentul cererii unui mprumut pn la aprobarea acestuia sunt exemplificai mai jos:
-

Clientul se logheaz pe web site-ul bncii securzat i are posibilitatea fie doar de a prelua informaii preioase cu privire la actele necesare acordrii unui credit fie i poate creea un cont personal prin intermediul cruia s furnizeze online documentele menionate. Astfel reducem considerabil perioada de timp necesar pentru deschiderea dosarului de credit. timp:1 zi

Documentele sunt preluate de serviciul clieni iar dup verificarea acestora din punct de vedere al conformitii cu cerinele de pe site, angajatul de la nivelul departament clieni aplic propria semntur digital asupra actelor i le transmite la departamentul juridic al bncii prin intermediul potei electronice. 3 zile4

Dup analiza de la departamentul juridic i n cazul n care nu este nevoie de alte verificri de la nivelul altor filiale, documentele sunt semnate i trimise la departamentul financiar pentru punerea n aplicare a deciziilor de acordarea a creditului.3 zile

Acordarea creditului : finalizarea creditului depinde de perioada necesar doar pentru deblocarea fondurilor financiare din cadrul bncii ctre contul clientului. Din acest punct de vedere se observ mbuntirea adus de sistem, singura dependen fiind de deblocare a fondurilor financiare i nu de ntrzieri datorate vehiculrii documentelor necesare creditului

n funcionarea sistemelor cu chei publice este necesar un sistem de generare, circulaie i autentificare a cheilor folosite de utilizatori. Un model des ntlnit n comerul electronic este prezentat n figura de mai jos:

27

Figura 7: Autentificare securizat n acest caz plus valoarea este adus de elementele de securitate crescut oferit

clientului ce acceseaz site-ul web al bncii. Deasemeni prin nlocuirea sistemului tradiional de semnare a unui document cu semntura electronic este eliminat surplusul de documentaie necesar pentru aprobarea operaiunilor bancare reducndu-se astfel fluxul ridicat de informaii vehiculate n cadrul reelei.

4.

MANAGEMENTUL CADRUL UNEI BNCI

PROIECTULUI

DE

CONFIGURARE

FUNCIONALIZARE A UNEI INFRASTRUCTURI DE CHEI PUBLICE N

28

Sistemul informatic ce este implementat va utiliza resurse interne din cadrul bncii, cu excepia activitilor de instalare a serverelor, a aplicaiei i a bazei de date. Implementarea se va desfura pe mai multe etape, fiecare cu livrabile specifice. Prima etap este cea de analiz, desfurat de ctre analitii de proiect i reprezentani din cadrul tuturor departamentelor bncii i a departamentului IT. Aceast etap este finalizat cu un document ce va prezenta specificaiile cerinelor reprezentanilor din toate departamentele bncii. Proiectul continu ulterior cu proiectarea soluiei care s rspund cerinelor identificate n etapa de analiz. Va fi identificat arhitectura sistemului, funciile pe care trebuie s le ndeplineasc i cerinele de configurare pentru modulele aplicaiei. Livrabile acestei etape sunt: documentul de specificaie funcional pentru modulele aplicaiei i documentul de specificaie a cerinelor pentru infrastructura hardware. Dup proiectarea soluiei, n etapa de construcie a sistemului de management al documentelor vor fi derulate activitile de achiziie a echipamentelor i a licenelor necesare. Tot n aceast etap vor fi instalate i configurate echipamentele i baza de date. Construcia sistemului va avea ca rezultat sistemul de management al semnturilor digitale complet funcional, validat n urma unei testri interne de ctre specialitii din cadrul echipei de proiect. Testarea i predarea n producie a aplicaiei constituie etapa final a proiectului. Aceasta se finalizeaz odat cu validarea funcionalitilor sistemului n urma testrii aplicaiei de ctre utilizatori. Tot n cadrul acestei etape se face intruirea utilizatorilor i se redacteaz manualele de administrare i de utilizare. n condiiile unui management de calitate vor fi urmrite ndeplinirea activitilor prezentate n cadrul Diagramei WBS i furnizarea produselor stipulate n cadrul diagramei PBS. Aceste diagrame sunt prezentate mai jos i sunt, din punctul meu de vedere, paii care sunt necesari pentru a duce la bun ndeplinire un management de calitate pentru proiectul de implementare a unei structuri PKI n cadrul bncii. Echipa de proiect este compus din : Project manager-ul este responsabil cu verificarea stadiului de implementare i funcionare a proiectului. Deasemeni este implicat direct n procesul de analiz a specificaiilor 29

sistemului i pe baza discuiilor cu reprezentanii departamentelor bncii contribuie la elaborarea cerinelor funcionale ale proiectului de securitate informatic. Analistul software analizeaz cerinele departamentelor bncii i produce specificaiile cerinelor necesare implementrii proiectului din punct de vedere software. Este implicat direct n pasul de definire a parametrilor de implementare i configurare a infrastructurii PKI. Analistul hardware analizeaz cerinele departamentelor bncii i produce specificaiile cerinelor necesare implementrii proiectului din punct de vedere hardware. mpreun cu personalul specializat este implicat n pasul de configurare a echipamentelor hardware ce compun infrastructura PKI. Specialistul PKI care este nsrcinat cu implementarea corect a structurii PKI stabilit n pasul de analiz a proiectului. Din punct de vedere a implicrii pe etape de implementare, acesta este implicat direct n toate etapele de analiz, configurare, implementare i testare a infrastructurii. Specialistul software definete i implementeaz parametrii de configurare a modulului de indexare i arhivare a documentelor. Este direct responsabil pentru instalarea sistemelor de operare pe serverele de lucru ale aplicaiei i desemeni va superviza instalarea i configurarea aplicaiei ce va administra certificatele emise utilizatorilor. Deasemeni este implicat direct n procesul de testare a aplicaiei i asigur mentenana acesteia. Specialistul hardware este cel care definete i implementeaz mpreun cu specialistul PKI structura hardware a infrastructurii de chei publice. Deasemeni este implicat n procesul de testare funcional a proiectului. Specialist baze de date e responsabil cu instalarea i configurearea bazei de date ce deservete aplicaie de management al certificatelor digitale. Angajaii bncii testeaz funcionarea ntregii infrastructuri de chei publice i particip la sesiunile de instruire cu privire la modul de utilizare a acestora. Elaborarea unui proiect corect poate fi realizat pornind de la ceea ce dorim s obinem de la acesta i aici ne referim la livrabilele proiectului. Pentru aceasta n figurile de mai jos am prezentat structura PBS (Product Breakowdn Structure) cu livrabile specific fiecrei etape de implementare a proiectului, etape care de altfel sunt surprinse n cadrul celei de-a doua diagram 30

 WBS (Work BreakdownStructure). Livrabilele proiectului sunt att modulele funcionale ale structurii PKI (servere, staii de lucru, scanere, aplicaie administrare certificate, licene ), dar i manualele generate n procesul instruire ale personalului aa cum sunt diferite manual de utilizare a aplicaiei sau de administrare a infrastructurii PKI (documente instruire, utilizare aplicaie, administrare i management). Aceste livrabile specifice sunt exemplificate i n tabelul de mai jos. Observm c n momenul n care vorbim de livrabile ne referim nu numai la echipamente ct i la bunuri ne-materiale aa cum sunt sesiunile de instruire realizate de echipa de proiect n etapa de predare a aplicaiei. Tabel nr.2 : Livrabilele specifice proiectului Echipamente Servere Licene Baza de date Documente Specificaie cerinelor departamentelor Instruire Sesiune1

Staii de lucru

Aplicaie PKI

Specificaia funcional PKI

Sesiune2

Aplicaie Scanere Aplicaie indexare/arhivare documente Manuale

Utilizare Sesiune3 Administrare Sesiune n

Aplicaie workflow semnturi

Instruire

31

Structura PBS (product breakdown structure) pentru produsele (livrabilele) tehnice ale proiectului.
Infrastructur PKI de administrare certificate digitale

Echipamente

Licene

Documente

Instruire

Servere

Baza de date

Specificaia cerinelor Departartament relaii clieni Departament vnzri Departament operaiuni bancare Specificaia funcional Specificaie hardware Manuale

Sesiunea 1

Staii de lucru

Aplicaie

Sesiunea n

Scanere

Modul PKI Modul Indexare i arhivare documente Modul workflow semnturi digitale

Planul de testare

Utilizare

Administrare

Instruire

32

Structura WBS (Work Breakdown Structure) pentru cele mai importante activiti ale proiectului
Realizare infrastructur PKI de administrare a cert. digitale

Analiz

Proiectarea sistemului

Construcia sistemului

Predarea sistemului

Analiza cerine depart. Rel cu clienii Analiza cerinelor depart. de Vnzri Analiza cerinelor depart. de operaiuni Producerea specificaiei cerinelor Documentarea fluxurilor de semnare a documentelor

Definirea param. de config a structurii PKI Definirea param. config. modul indexare i arhivare doc Definirea param. de config. modul workflow semnare Definirea arhitecturii hardware Definirea param. de config. pt baza de date

Achiziia sistemului Instalarea sistemului Instalarea echipam. hardware Instalarea aplicaiei Instalarea bazei de date Configurarea bazei de date Testarea intern a sistemului

Instruirea utilizatorilor Testarea final a sistemului Producerea manualelor

Manuale de instruire Manuale de administrare Manuale de utilizare

Configurarea aplicaiei

Configurarea structurii PKI

Configurarea modulului indexare i arhivare

Configurarea modul workflow semnare

33

Aceste activiti prezentate n diagrama de mai sus i detaliate n acest capitol sunt prezentate n cadrul diagramei Gantt de mai jos.

Figura 8: Diagrama WBS pe activiti de lucru Prima etap a proiectului este cea de analiz, desfurat de ctre analiti de proiect i reprezentani din cadrul tuturor departamentelor bncii i a departamentului IT. Aceast etap

34

este finalizat cu un document ce va prezenta specificaiile cerinelor reprezentanilor din toate departamentele bncii. Proiectul continu ulterior cu proiectarea soluiei care s rspund cerinelor identificate n etapa de analiz. Va fi identificat arhitectura sistemului, funciile pe care trebuie s le ndeplineasc i cerinele de configurare pentru modulele aplicaiei. Livrabile acestei etape sunt: documentul de specificaie funcional pentru modulele aplicaiei i documentul de specificaie a cerinelor pentru infrastructura hardware. Dup proiectarea soluiei, n etapa de construcie a sistemului de management al documentelor vor fi derulate activitile de achiziie a echipamentelor i a licenelor necesare. Tot n aceast etap vor fi instalate i configurate echipamentele i baza de date. Construcia sistemului va avea ca rezultat sistemul de management al semnturilor digitale complet funcional, validat n urma unei testri interne de ctre specialitii din cadrul echipei de proiect. Testarea i predarea n producie a aplicaiei constituie etapa final a proiectului. Aceasta se finalizeaz odat cu validarea funcionalitilor sistemului n urma testrii aplicaiei de ctre utilizatori. Tot n cadrul acestei etape se face intruirea utilizatorilor i se redacteaz manualele de administrare i de utilizare. Ca ultim etap de implementare a acestui proiect, avem n vedere jurnalizarea unui proces de menetenan a sistemului ce include toate operaiile specifice unui astfel de proces:
-

Mentenan sisteme de operare; Verificare i realizare back-up sistem i aplicaie; Aplicare patch-uri de securitatea sistem de operare i patch-uri aplicaie;

Prezentarea proiectului cu resursele aferente i ncrcarea acestora este prezentat n figura de mai jos:

35

Figura 9: Resursele alocate pentru fiecare activitate i activitile critice Se pot observa activitile critice ale proiectului, simbolizate prin culoarea roie i deasemeni resursele alocate fiecrei activiti. Diagrama de reea a proiectului ne prezint aceeleai activiti critice, din care putem identifica mai clar activitile mari ale proiecului.

36

Figura 10 : Network diagram pentru principalele activiti ale proiectului Cu ajutorul diagramei de reea generat de aplicaia Microsoft Office Project am identificat activitile principale de implementare ale proiectului PKI n care puteam observa care din aceste activiti sunt critice pentru derularea proiectului. Din punct de vedere al alocrii resurselor putem observa c din toi cei implicai n procesul de implementare a acestui proiect, doar specialistul PKI este singura resurs supra-alocat.

Figura 11 : Alocarea resurselor pentru proiectul de implementare unei infrastructuri PKI 37

MSURAREA EFECTELOR DERULRII PROIECTULUI N CONDIII DE MANAGEMENT EFICIENT

Rezultatele experimentale Rezultatele obinute n urma implementrii unei infrastructuri de chei publice sunt prezentate n tabelul de mai jos. Am luat n calcul varianta de lucru pentru un credit ipotecar care de obicei necesit aprobarea acestuia la nivelul conducerii bncii. Pentru creditele cu anvergur sczut, implementarea unei infrastructuri de chei publice aduce plus valoare prin integrarea unui automatism de semnare intern a documentelor, neavnd un impact deosebit pentru clieni. Tabel nr. 3 :Comparaie workflow documente Nr.crt. Stadiu Depunerea dosarului de credit Departamentul juridic Conducere filial Departamentul financiar Timp necesar scenariu clasic vehiculare documente 1-5 zile 5 zile 3 zile - 1 sptmn 5 zile 2 sptmni Timp necesar scenariu semntur digital 1 zi 4 zile 1 zi 3 zile 1 sptmn1

1. 2. 3. 4.

Sursa: observaii relevate n urma etapei de testare final a sistemului de ctre angajaii bncii

Se observ o diminuare a perioadei minime necesare pentru acordarea unui credit ipotecar cu un procent de 40% n varianta cu semntur digital dect n variant clasic. Perioadele critice de analiz a dosarului de credit sunt cele n care acesta este prezentat departamentelor juridic i financiar unde mecanismele de aprobare i verificare a documentelor nu sunt influenate substanial de implementare noului sistem.
1

ntruct ultima faz de acordare a creditului de la secia financiar nu depinde de nivelul de implementare a unui infrastructuri de chei publice, perioada de lucru nu se modific.

38

Analiza proiectului de securitate Implementare infrastructur chei publice Implementarea unei infrastructuri de chei publice are un impact deosebit asupra

organizaiei mai ales din cauza complexitii pe care acesta l aduce astfel c trebuie luate n considerare riscurile care pot aprea. Metodele de verificare a semnturii electronice trebuie s fie ntelese bine de ctre anagajai i mai ales s se reflecte corect n ochii clieniilor. Analiza riscurilor de implementare: n cazul nostru, riscurile sunt legate de urmtoarele aspecte:
Toi angajaii trebuie s fie contieni de importana principiilor criptografice ce

guverneaz un sistem de chei publice i mai ales de importana cheii private care va deveni echivalentul semnturii olografe.
Migrarea sistemului tradiional de semnare a documentelor ctre semntura electronic

se poate ntinde pe o perioad mai lung de timp ntruct complexitatea sistemului este dat i de sensibilitatea datelor ce sunt vehiculate n cadrul firmei int.
Integrarea noilor documente semnate electronic pe platformele electronice ale

partenerilor bncii.Certificatele digitale trebuie s fie global recunoscute i verificabile pentru a asigura interoperabilitatea cu bncile i instituiile partenere.
Managementul crescut al noului sistem spre deosebire de vechiul sistem de

gestionare a documentelor , n cadrul unui PKI , documentele electronice i certificatele digitale aferente lor sunt susceptibile unei permanente verificri din punct de vedere a valabilitii semnturilor aplicate asupra acestora. Mecanisme de verificare gen OCSP (Online Certificate Signing Protocol) sau Autoriti de Marc Temporal trebuie implementate i corect administrate pentru a susine omogenitatea sistemului PKI.
Costurile de dezvoltare a unei infrastructuri PKI sunt ridicate.

Riscurile pe care le implic soluia propus sunt sintetizate n urmtorul tabel pe o scar de 10 uniti pentru paguba pe care o funcionare defectuoas a noului sistem o poate aduce bncii. Importana unui astfel de eveniment este calculat n funcie de elementele de securitate ale proiectului care sunt afectate i de impactul pe care probabilitate sau apariia unui eventual risc l are asupra mediului de lucru.

39

Ce afecteaz? Relaia cu clienii Sntatea financiar Profitabilitatea Eficiena organizaiei Imaginea organizaiei

Paguba 3 2 2 5 6

Importana 3 3 4 5 5

Impactul 2 4 1 6 9

Din punct de vedere al riscului pe care o asemenea implementare o presupune, consider c n relaia cu clienii bncii, prejudiciul adus imaginii bncii este cel mai important pentru ca securitatea tranzaciilor este cea mai important. Eficiena organizaiei este serios afectat ntruct odat ce mecanismele semnturii electronice sunt implementate, acestea trebuie s prezinte un procent de disponibilitate foarte ridicat, orice disfunionalitate n procesul de semnare a documentelor reprezentnd o ntrziere inevitabil a proceselor bncii. Anticiparea probabilitii evenimentelor nedorite: Evenimentele nedorite ce pot aprea att pe parcursul procesului de implementare a infrastructruii PKI ct i n procesul de utilizare a acesteia sunt strict legate de urmtori indicatori de calitate a proiectului:
1. Complexitatea proiectului:

Probabilitate Personal insuficient pregtit Integrarea cu aplicaia de lucru existent Mic Medie

40

2. Organizarea ineficient: Probabilitate Suprasolicitarea resurselor existente Apariia conflictelor Formularea concret a deciziilor Foarte mic Medie Medie

Datorit mecanismelor de administrare a ciclului de via a certificatelor digitale i implicit a identitii personalului bncii, probabilitatea de apariie a conflictelor sau de suprasolicitare a resurselor interne este redus la maxim. Aplicaia software integrat n cadrul infrastructurii, respect principiile de baz ale criptografiei (confidenialitate, integritate, autentificare, nerepudiere) reducnd posibilitatea de apariie a conflictelor datorate unei organizri ineficiente. 3. Mecanismele managementului de risc: Integrarea intern i extern Risc mediu Risc sczut Incapacitatea de a lega sistemul cu aplicaia de suport existent Suprasolicitarea resurselor Planificarea controlului Apariia conflictelor

Atribuirea sarcinilor

41

Se observ c implementarea unei astfel de soluii suscit probleme de management doar la nivelul integrrii noii aplicaii cu structura organizatoric i fluxul de lucru al documenelor deja implementat la nivelul bncii. Prin mecanismele preventive ale managementului de risc aceast integrare cu aplicaiile deja existente la nivelul bncii pot suprasolicita resursele umane ale bncii n procesul de implementare i testare ale infrastructurii de chei publice. La nivelul imaginii, implementarea unei astfel de soluii aduce un plus valoare bncii genernd soluii suplimentare de atragere de noi clieni i mai ales de securizare a tranzaciilor la nivelul portalului web al bncii. Din punct de vedere al managementului organizaional, integrarea unei astfel de soluii genereaz automatisme de flux al semnturilor digitale, care pot fi integrate cu soluiile deja existente pe pia la nivel de aplicaii software (modulul de semntur electronic disponibil n pachetul Microsoft Office 2007, Forefront Identity Manager 2010).

6..

CONCLUZII

Proiectul pe care l implementm la nivel de evaluare a performanelor de lucru din cadrul unei instituii bancare, ofer un plus considerabil de valoare instituiei n sine fr a lua n calcul beneficiile prezentate n cadrul rezultatelor experimentale. Reducerea considerabil a timpului necesar unui client pentru a obine un credit este un factor important n luarea deciziei de a implementa un astfel de sistem la nivelul bncii. Securizarea tranzaciilor la nivelul portalului web al bncii crete volumul de produse de tip e-market pe care instituia le comercializeaz n mediul on-line. S nu uitm de securitatea crescut pe care acest proiect o implementeaz portalului web amintit mai sus. Avnd n vedere aceste mbuntiri considerabile i deasemeni rezultatele superioare obinute n comparaie cu tranzaciile bancare clasice, este imperios necesar implementarea unei infrastructuri de chei publice pentru gestionarea certificatelor digitale i pentru uurarea traficului generat de volumul mare de documente necesare operaiunilor de la nivelul bncii. Managementul unui astfel de proiect decurge din situaia impus de mediul de implementare. Din analiza rezultatelor experimentale, observm c un proiect ce ranforseaz securitatea din cadrul unui sistem are parte de elemente care pot fi privite cu reticen n stadiul de analiz a acestuia.

42

Analiza SWOT a proiectului de implementare a unei infrastructuri de chei publice n cadrul unei bnci: Puncte tari: Structura bncii este una care permite organizare pe module funcionale ale aplicaiei PKI. Fluxul de lucru deja existent n cadrul bncii permite o implementare facil a structurii funcionale PKI exact pe structura organizaional a bncii. Scderea timpului necesar pentru acordarea unui credit cu un procent de aproximativ 40% identific punctul forte al acestui proiect. Existen personalului specializat (specialist software, specialist hardware) n cadrul bncii reprezint un atu al acestui proiect, avantaj evideniat i de timpul relativ restrns de implementare a proiectului n cadrul diagramei Gantt. Reducerea fraudelor la nivelul portalului web al bncii coroborat cu analiza atacurilor de tip phising pe anii 2008-2009. Puncte slabe: Complexitatea implementrii proiectului care necesit personal pregtit din toate domeniile (software, hardware, baze de date, analiti) poate fi privit cu reticen pe personalul bncii. Incapacitatea de a lega complet aplicaia de management cu toate departamentele bncii. La nivelul departamentelor financiar i juridic, timpii de acces sunt aproape neschimbai datorit mecanismelor interne ce nu pot fi influenate de implementarea unei astfel de soluii. Oportuniti: Se impune o activitate mai ampl, de gsire a unor noi oportuniti de reprezentare a produselor pe pia prin intermediul unui serviciu de tip self-banking disponibil direct pe portalul web al bncii. Infrastructura implementat ofer suport pentru generarea i administrarea unor reele securizate de tip VPN-SSL prin autentificarea pe baz de certificate digitale a dispozitivelor ce interconecteaz banca central i filialele teritoriale. Ameninri: 43

Riscul tehnic este ridicat datorit structurii ierarhice pe dou niveluri pe care este implementat structura PKI. Ultimul pas din proiectul de implementare a structurii PKI este acela de mentenan periodic ceea ce presupune specializat n cazul apariiei unei defectri ale sistemului. Ameninrile de securitate sunt permanente ceea ce presupune ca pasul de mentenan s fie meninut mai mult dect este stipulat n cadrul diagramei Gantt (1 an dup predarea sistemului). disponibilitatea personalului

44

BIBLIOGRAFIE n elaborarea lucrrii de disertaie s-au folosit surse de date electronice precum i diverse lucrri de cercetare din cadrul facultii, dar i mediul actual de munc. Manualele de documentare sunt prezentate n lista de mai jos cu departajarea acestora pe tipuri de surs:
1. [IVAN02] Ion Ivan, Paul Pocatilu - Semnatura electronica si securitatea datelor

n comertul electronic; Revista Informatica Economica, nr. 3(23)/2002;

2. [PATR01] Victor-Valeriu Patriciu, Securitatea comerului electronic , Ed. All,

Bucureti, 2001;
3. [STAL98] W. Stalings - Cryptography & Network Security, Prentice Hall, USA,

1998;
4. [IVAN99]

Managementul

calitii

software

Ion

IVAN,

Laureniu

TEODORESCU - Revista Informatica Economic, nr. 12/1999; 5. [BODE07] Bodea, C. An Innovative system for Learning Services in Project Management, Proceedings of 2007- IEEE/INFORMS International Conference on Service Operations and Logistics and Informatics, Philadephia, SUA, ISBN 14244-1117-3, IEEE, august 2007 6. [PATR98] Valeriu Patriciu, Securitatea informatic n UNIX i INTERNET, Ed. Tehnic, 1998; 7. [KOMA08] Brian Komar Windows server 2008 PKI and Certificate Security, 2008, Microsoft 8. [KOMA03] Brian Komar Windows server 2003 PKI and Certificate Security, 2003, Microsoft
9. [GILB88] Tom Gilb, Principles of Software Engineering Management, Addison

Wesley, 1988.
10. [BODE07]

Constana Bodea Cursul de Fundamente ale Managementul

Proiectelor, ASE, Bucureti, noiembrie 2007

45

Internet: http://www.freerepublic.com/~aprpeh/ http://ospkibook.sourceforge.net/ http://www.webopedia.com/TERM/P/PKI.html http://www.pmi.org

46