20

numărul 2/2010 Arta de a tr^i în siguran]^Alarma

ConCeperea sistemelor tehniCe de proteCţie şi alarmare împotriva efraCţiei

Stelian Arion – Director General Secant Security, Vicepreşedinte A.R.T.S..

Introducere

În conformitate cu HG nr. 1010/2004 pentru aprobarea normelor metodologice şi a documentelor prevăzute la art. 69 din Legea nr.333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, sistemele tehnice de protecţie şi alarmare împotriva efracţiei realizează securitatea mecanică şi elelctronică a obiectivului protejat. Din acelaşi document oficial de-ducem că un sistem tehnic de protecţie şi alarmare îm-potriva efracţiei include mijloace de protecţie mecano-fizică şi instalaţii electronice de detecţie şi alarmare la efracţie şi agresiune, control al accesului şi televiziune cu circuit închis. În alte părţi ale lumii, Securitatea fizică este definită ca domeniul aplicativ al securităţii care prezintă atât măsuri pentru prevenire cât şi pentru împiedica-rea atacatorilor să aibă acces la obiective, resurse sau informaţii şi recomandări privind proiectarea infrastruc-turii pentru a opune rezistenţă la actele ostile. Poate fi la fel de simplă ca o uşă încuiată sau poate fi complexă incluzând mai multe niveluri de pază armată, corpuri de gardă etc. Securitatea fizică are un istoric respectabil, oamenii căutând protecţia în peşteri, la adăpostul zidu-rilor sau mai tîrziu în adăposturi mai mult sau mai puţin sofisticate. Pricipalul factor de schimbare peste timp este tehnologia. Necunoscute cu puţin timp în urmă, detectoarele pasive în infraroşu, sistemele electronice de control al accesului sau supravegherea cu televizi-une cu circuit închis, contribuie la creşterea eficienţei şi eficacităţii sistemelor tehnice de protecţie şi alarmare împotriva efracţiei. Ca noţiune fundamentală, securitatea este con-junctura în care eşti protejat împotriva pericolelor şi a pierderilor. Se obţine prin reducerea consecinţelor ad-verse asociate cu acţiuni intenţionate sau iraţionale ale altora. Aşa cum sugerează, cuvântul iraţional din cadrul definiţiei, acţiunile intenţionate ale altora care sunt le-gale şi acceptabile, cel puţin în ochii apărătorului, sunt excluse din domeniul de aplicare al securităţii. Spre exem-plu acţiunile altora din societăţi economice concurente pot avea consecinţe adverse, dar prevenirea acestor consecinţe legale, normale, fac obiectul altor domenii ca, de exemplu, cel de management al riscurilor finan-ciare. Într-un cadru general securitatea este un concept similar celui de siguranţă, dar ca termen teh-nic securitatea reprezintă ceva care nu numai că este sigur dar şi că a fost securizat. În acest context, securi-tatea se referă la măsuri utilizate pentru protecţia ac-tivelor organizaţionale sensibile care împreună crează, facilitează şi menţin capabilităţile organizaţionale. Ast-

fel de active pot diferi în funcţie de natura activităţilor organizaţiei dar includ, în general, informaţii clasificate sau senzitive, active fizice de valoare, persoane, procese unicat, alianţe sau parteneriate şi capital intelectual. Persoanele care încalcă protecţia produc o violare a securităţii. Gestionarea securităţii la nivelul organizaţiilor este o preocupare tot mai mult acceptată ca majoră şi, în consecinţă, în perioada recentă au fost elaborate dife-rite modele aplicative, dintre care putem menţiona ma-nagementul securităţii informaţiei sau protecţia infras-tructurilor critice. Implementarea unuia sau mai multor astfel de modele la nivelul unei organizaţii, presupune, de regulă, un proces de management al riscurilor, mijloa-cele de control utilizate pentru reducerea acestora fiind selectate din diferite domenii aplicative ale securităţii tehnice (securitatea fizică, securitate informatică etc.), organizaţionale şi de personal. Conceperea sistemelor tehnice de protecţie şi alarmare împotriva efracţiei trebuie deci să răspundă mai multor cerinţe pe care organizaţia beneficiară trebuie să le satisfacă. Dintre acestea cele mai importante sunt cerinţele de conformitate legală şi de reglementare, standarde relevante în vigoare, vulnerabilităţi şi riscuri idetificate şi evaluate în contextul în care organizaţia activează. În acest articol vom analiza modalitatea în care trebuie alese mijloacele de control de securitate şi vom numi rezultatul acestei activităţi specificaţie tehnico-operativă a sistemului tehnic de protecţie şi alarmare împotriva efracţiei.

Cerinţe de conformitate legală

Complexitatea aspectelor de securitate, popularitatea din ce în ce mai mare a domeniului, precum şi percepţia tot mai acută a ameninţărilor şi vulnerabilităţilor au condus la specificarea multor cerinţe de securitate în cadrul unor documente ofi-ciale, fie că sunt legi, hotărâri de guvern sau ordine ale miniştrilor care coordonează activitatea unor instituţii cu responsabilităţi în diferite domenii de activitate.Într-o listă care nu are pretenţia de a fi exhaustivă pot fi incluse:

Legea 333/2003 – privind paza obiectivelor, bunurilor, • valorilor şi protecţia persoanelor şi modificările aduse prin Legea 40/2010;HG 1010/2004 pentru aprobarea normelor metodo-• logice şi a documentelor prevăzute la art. 69 din Legea nr. 333/2003 privind paza obiectivelor, bu-nurilor, valorilor şi protecţia persoanelor;Directiva 2008/114/CE A Consiliului Europei • din 8 decembrie 2008, privind identificarea şi

22

numărul 2/2010 Arta de a tr^i în siguran]^Alarma

desemnarea infrastructurilor critice europene şi eva-luarea necesităţii de îmbunătăţire a protecţiei aces-tora; Legislaţia naţională se află în fază avansată de elaborare;Ordinul nr. 660 din 22 noiembrie 2005 al Ministrului • Economiei şi Comerţului, privind aprobarea Ghidului de identificare a elementelor de infrastructură critică din economie; Ordinul 1507 din 18 august 2009 al Ministrului Economiei şi Comerţului, privind măsuri pentru punerea în aplicare a prevederilor Direcţivei 2008/114/CE;Legea nr. 535/2004 privind prevenirea şi combaterea • terorismului;Legislaţia naţională şi ordinele Directorului ORNISS • cu privire la informaţiile clasificate (Legea 182/2002 privind protecţia informaţiilor clasificate; HG 585/2002 pentru aprobarea standardelor naţionale de protecţie a informaţiilor clasificate în România; HG 781/2002 privind protecţia informaţiilor secrete de serviciu; HG 1576/2002, privind aprobarea listei cuprinzând informaţii secrete de stat, pe niveluri de secretizare; HG 01600/2002, privind obiectivele, sectoarele şi locurile care prezintă importanţă deosebită pentru protecţia informaţiilor secrete de stat; HG 1349/2002, privind colectarea, transportul, distribuirea şi protecţia informaţiilor clasificate; Norme cadrul din 05.02.2006, privind securitatea informaţiilor UE clasificate);Legea 677/2001 privind protecţia persoanelor cu pri-• vire la prelucrarea datelor cu caracter personal şi li-bera circulaţie a acestor date;Legi sectoriale privind sectorul electric, sectorul pe-• trol şi gaze, sectorul bancar, sectorul bursier etc.

Modele şi standarde

Pentru creşterea eficacităţii şi eficienţei în tra-tarea diverselor aspecte de securitate au fost dezvoltate şi aplicate mai multe modele, pentru care au fost elabo-rate standarde naţionale şi internaţionale care cuprind liste de bune practici, linii directoare şi chiar cerinţe pen-tru certificare de terţă parte. Dintre acestea pot fi rele-vante pentru conceperea sistemului tehnic de protecţie şi alarmare împotriva efracţiei următoarele:Standardul SR ISO/IEC 9001:2008 privind sistemul de management al calităţii;

Familia de standarde SR ISO/IEC 27000 privind sistemul • de management al securităţii informaţiei; SR ISO/IEC TR 18044 Managementul incidentelor privind secu-ritatea informaţiilor; SR ISO/IEC 24762 Tehnologia informaţiei - Tehnici de securitate. Linii directoare pentru serviciile de recuperare după dezastru a teh-nologiei informaţiei şi comunicaţiilor;Standardul BS25999 privind planificarea continuităţii • activităţii.

Alte standarde se referă direct la tehnologii de detecţie şi alarmare la efracţie, control al accesului, tele-viziune cu circuit închis etc. şi tratează inclusiv aspectele legate de alegere şi dimensionare în funcţie de cerinţele aplicaţiei. Dintre acestea putem menţiona:

SR EN 50131-1 Sisteme de alarmă – Sisteme de alarmă • împotriva efracţiei – Partea 1: Cerinţe de sistem;SR CLS/TS 50131-7 Sisteme de alarmă – Sisteme de • alarmă împotriva efracţiei – Partea 7: Ghid de apli-care;SR EN 50133-1 Sisteme de alarmă – Sisteme de con-• trol al accesului utilizate pentru securitate - Partea 7: Ghid de aplicare;IT baseline protection manual;• ASIS International: Facilities Physical Security • Measures Guideline;ASIS International: Threat Advisory System Response • Guideline;ASIS International: Information Asset Protection • Guideline

Cum procedăm

Pentru a concepe securitatea unei organizaţii este necesar efortul conjugat al specialistului în secu-ritate, al beneficiarului şi, după caz, al unor experţi în alte domenii de specialitate. O schema logica a acestei activităţi este propusă în figura 1. În esenţă modelul propus este fundamentat pe instituirea unui proces de management al riscurilor, în care unele dintre riscuri să se refere la conformitatea cu legile, reglementările, cerinţele contractuale etc. pe care organizaţia trebuie să le respecte. După cum se poate vedea in figura nr.1 o parte importantă a activităţii se refera la legislaţia cu specific de securitate la care organizaţia trebuie să răspundă. Cerinţele de securitate din această categorie de legi pot avea corespondent în riscuri de neconformitate sau pot conduce la mijloace de control de securitate clar specificate. Spre exemplu, în cazul în care organizaţia primeşte, emite, păstrează, procesează, transmite, dis-truge informaţii clasificate, trebuie să instituie un cadru organizatoric clar specificat şi să aplice măsuri de secu-ritate fizică, securitate informatică, securitate de perso-nal, securitate juridică într-un cadru bine definit.

Figura 1: Conceperea sistemelor tehnice de protecţie

şi alarmare împotriva efracţiei

24

numărul 2/2010 Arta de a tr^i în siguran]^Alarma

Organizaţiile care deţin, administrează sau operează infrastructuri critice, trebuie să aibe în ve-dere, cu precădere ameninţarea teroristă, analiza aprofundată a impactului unui incident, inclusiv prin evaluarea interdependenţelor, precum şi asigurarea unui răspuns gradual prin măsuri de securitate care spo-resc proporţional cu nivelul de alertă teroristă.

Cel mai complex model de gestionare a securităţii este reprezentat de sistemele de manage-ment al securităţii informaţiei aşa cum sunt definite în familia de standarde SR ISO/IEC 27000. Caracterisc siste-melor de management este aspectul procesual de tip ‚concepe’ – ‚aplică’ – ‚măsoară’ – ‚îmbunătăţeşte’ care asigură atât actualitatea sistemului în raport cu con-textul general în care organizaţia îşi desfăşoară activi-tatea, cât şi îmbunătăţirea eficacităţii şi eficienţei aces-tuia în timp. Formalismul sistemului de management al securităţii informaţiei este identic cu cel al altor sisteme de management care fac obiectul unor standarde (ma-nagementul calităţii, al mediului, al continuităţii) ceea ce permite ca problematica de securitate să fie cunoscută de managementul superior şi să i se acorde importanţa cuvenită. Conceperea unui sistem de management al securităţii informaţiei se bazează pe un proces de ma-nagement al riscurilor faţă de activele informaţionale, finalizat prin selectarea şi aplicarea unor mijloace de control pentru reducerea riscurilor inacceptabile pentru organizaţie. Parte dintre aceste mijloace de control sunt măsuri de securitate fizică.

Ce este managementul riscului

Managementul riscurilor de securitate reprezintă cultura, procesele şi structurile care sunt direcţionate către maximizarea beneficiilor şi reducerea efectelor adverse asociate cu acţiunile intenţionate sau iraţionale ale altora împotriva activelor organizaţionale. Ameninţarea reprezintă un pericol sau o sursă de risc (criminali, terorişti etc.), de regulă evaluate în termenii intenţiei şi capabilităţii. Riscul are în vedere plauzibili-tatea unui atac şi cel mai credibil impact sau consecinţă asupra activului(elor).

Figura rocesul de management al riscului

Managementul riscurilor de securitate reprezintă un subset şi o parte esenţială a unui sistem de management al riscului mai larg. În cadrul unui sistem de management al riscului, managementul riscurilor de securitate este interconectat la fiecare etapă cu toate celelalte activităţi (ca, de exemplu, financiar, securi-tatea muncii, marketing, reputaţie, reglementare etc.). Deşi aplicarea managementului riscurilor de securitate necesită cunoştinţe de specialitate, procesul general de management al riscului rămâne cel prezentat în stan-dardul ISO 31000. Etapele unui process tipic de manage-ment al riscului sunt prezentate în fig 2.

Un exemplu de metodologie de management al riscurilor de securitate este prezentat în ‚Linii directoare privind evaluarea riscurilor de securitate generală’ do-cument elaborat de ASIS International în 2003. Ghidul recomandă următoarele etape:

Înţelegerea organizaţiei şi identificarea persoanelor • şi activelor supuse riscurilor. Sub termenul de active sunt incluse tot ce intră în patrimoniu (active tangi-bile, precum monetar şi alte bunuri de valoare, dar şi active intangibile, precum proprietatea intelectuală), procese de afaceri importante, infrastructură şi informaţie şi personal. În rândul persoanelor sunt incluşi asociaţi, angajaţi, vizitatori, delegaţi, furnizori şi clienţi, alţii care au legătură directă sau indirectă cu organizaţia.

Specificarea evenimentelor care conduc la un im-• pact defavorabil. Evenimentele care produc impact defavorabil se pot datora unor condiţii specifice, a valorii şi atractivităţii unor active pentru atacator şi uneori pot fi deduse din istoricul organizaţiei. Se pot determina printr-o analiză a vulnerabilităţii care va evidenţia punctele slabe şi va fundamenta măsuri de protecţie.

Estimarea pluzibilităţii riscului. Plauzibilitatea este în • legătura cu frecvenţa estimată pentru manifestarea unui risc şi poate fi bazată pe analiza istoricului inci-dentelor în organizaţie, al tendinţelor, avertisment-elor sau ameninţărilor, a altor statistici disponibile.

Dterminarea impactului în cazul evenimentelor. Im-• pactul poate fi financiar, psihologic sau urmare a afectării activelor tangibile sau intangibile (precum, de exemplu afectarea reputaţiei şi diminuarea cotei de piaţă în consecinţă).

Identificarea opţiunilor de reducere a riscurilor. Există • mai multe opţiuni de diminuare a riscurilor, dintre care semnificativă pentru metodă este slectarea unor mijloace de control de securitate fizică, procedurală, a informaţiei sau de personal.

Studiul de fezabilitate privind implementarea • opţiunilor, inclusiv analize cost/efect.

25

numărul 2/2010Arta de a tr^i în siguran]^Alarma

Figura 3: Procesul de management al

riscurilor de securitate recomandat de ASIS International

Măsuri de securitate fizică

Pentru a alege măsurile de securitate fizică adecvate este important ca mai întâi să fie efectuată o analiză a riscurilor. Rezultatele analizei riscurilor însoţite de o bună înţelegere a măsurilor de securitate fizică fac posibilă selectarea măsurilor de securitate fizică adec-vate pentru reducerea riscurilor identificate la un nivel acceptabil pentru organizaţie.

Dintre categoriile de măsuri de securitate fizică, cele mai importante sunt:

Măsuri preventive introduse prin proiectarea obiec-• tivului;Bariere fizice şi fortificarea obiectivului;• Control accesului la intrarea în obiectiv;• Iluminatul de securitate;• Sisteme de alarmare la efracţie şi agresiune;• Supraveghere cu televiziune cu circuit închis;• Personalul de securitate;• Politici şi proceduri de securitate;• Convergenţa securităţii fizice cu securitatea informaţiei.•

O proiectare adecvată şi o utilizare efectivă a mediului construit al unui obiectiv poate conduce la reducerea oportunităţilor, temerilor şi incidenţei criminalităţii de tip atacuri din exterior, precum şi la îmbunătăţirea calităţii vieţii, fie că este vorba de locuinţe, locuri de muncă etc. Pentru a permite optimizarea contro-lului mediul obiectivului este divizat în zone mai mici şi mai clar definite, cunoscute şi sub numele de spaţii protejabile. Soluţiile de proiectare în vederea prevenirii incidentelor trebui integrate în concepţia şi funcţiile clădirilor. Ele se bazează pe înţelegerea modului în care oamenii utilizează spaţiile cu scopuri legitime sau ilegitime.

Acest mod de proiectare are în vedere descurajarea ace-lor care au în intenţie declaşarea unor atacuri, precum şi încurajarea vigilenţei şi răspunsului activ la utilizatorii legitimi. Aceste concepte şi soluţii pot fi aplicate şi la clădirile si construcţiile existente ca şi la cele noi sau în curs de modernizare (renovare).

După cum remarcăm din enumerarea de mai sus, cele mai multe dintre categoriile de măsuri de se-curitate fizică se suprapun celor incluse în categoria sistemelor tehnice de protecţie şi alarmare împotriva efracţiei menţionate în legislaţia din România. Mai trebuie avute în vedere unele măsuri adiacente precum cele legate de configuraţia arhitecturală sau iluminat şi, mai ales, serviciile de pază şi intervenţie, pe de o parte şi, modul de activitate al personalului organizaţiei şi al altor persoane interesate.

Concluzii

Elaborarea unui proiect pentru un sistem de protecţie şi alarmare la efracţie nu se limitează la deta-lierea soluţiei tehnice, decât în situaţia în care elabora-torul are la dispoziţie o temă detaliată.

Dacă se cere elaborarea acestei teme se poate proceda în două moduri. În varianta simplă, se aplică un model de echipare al obiectivelor de tipul celui anali-zat (agenţie bancară, staţie PECO, spaţiu rezidenţial ş.a.m.d.). Astfel de modele sunt puse la dispoziţie de furnizorii de tehnologii, de literatura de specialitate sau chiar de regelementări legale. Modelul adesea implică şi servicii de pază şi/sau intervenţie şi un anumit mod de activitate al personalului, chiar dacă nu sunt prea bine descrise. Este evident că această abordare poate conduce la ignorarea unor riscuri majore sau la costuri exegerate, în special pentru acele obiective care prezintă diferenţe faţă de model.

În celaltă variantă, este necesară analiza riscurilor de securitate ale organizaţiei, inclusiv prin identificarea cerinţelor de conformitate legală, şi fun-damentarea alegerii între mai multe variante de măsuri de securitate care să reducă aceste riscuri la un nivel acceptabil pentru organizaţie. Măsurile de securitate includ soluţii conceptuale ale sistemului de protecţie şi alarmare la efracţie (variante de dimensionare şi compo-nente tehnologice), specificaţii pentru serviciile de pază şi intervenţie şi proceduri organizaţionale, iar varianta finală ar trebui să fie rezultatul unui proces de analiză şi decizie din partea beneficiarului. Se obţine astfel specificaţia tehnico-operativă (tema) de la care se poate elabora proiectul tehnic.