Académique Documents
Professionnel Documents
Culture Documents
Abordarea sistemica a
securitatii retelelor
D-rand. Ing. Gh. Muresanu e-mail: ghemuresanu@rdslink.ro
:
Obiectivele cursului
Introducerea conceptului de securitate ca o
parte necesara oricarui sistem complex;
Intelegerea faptului ca securitatea informatiilor
intr-o organizatie este o problema complexa
care nu poate fi tratata in afara contextului
organizatiei.
Intelegerea necesitatii de a aborda problema
securitatii informatiilor si a retelelor ca o
problema interdisciplinara care include
echipamente, reglementari si oameni;
Formarea unui mod de gandire sistemic atunci
cand se pune problema realizarii unui sistem de
securitate pentru o organizatie;
Abordarea sistemica a
securitatii informatiilor
Viziunea holistica asupra securitatii informatiei;
Integrarea sarcinilor de securitate in organizatie;
Managementul securitatii;
Conceptul de sistem
Conceptul clasic de sistem:
Prin sistem, se nelege n general, un
ansamblu de pri (componente) care
interacioneaz ntre ele ntr-un mod
organizat (implic noiunea de
structur) pentru atingerea unui
obiectiv (trebuie s fac ceva).
Critica conceptului:
concepe sistemul simplist ca o cutie cu intrari
si iesiri;
vede sistemul izolat;
Conceptul modern de sistem
Conceptul clasic + caracteristicile:
Adugarea sau scoaterea unei componente schimb
sistemul;
O component este afectat prin includerea n sistem;
Componentele sunt percepute referitor la o structur
ierarhic;
Exist incluse metode de control i de comunicare
care promoveaz supravieuirea sistemului [1]
(funcia de securitate);
Sistemul are proprieti de emergen, dintre care unele
sunt dificil de prevzut (implic descriere probabilistic);
Sistemul are limite (chiar dac nu pot fi riguros definite);
n afara limitelor sistemului exist mediul care afecteaz
sistemul;
Sistemul aparine cuiva (cel care stabilete obiectivele).
Ce aduce nou conceptul modern
de sistem
Componenta sistemului: elemente, structuri si
procese;
Opereaza si cu marimi slab definite (vagi);
Capacitatea de predicie si control nu mai este
stricta;
Analiza sistemului include mediul de lucru;
Implica subsisteme cu ierarhii si rezoluii;
Existenta punctelor de vedere diferite care coexista:
proprietar, public, concurenta etc.;
Proprieti de emergenta (sistemul este mai mult decat
suma componentelor);
Rolul analistului (observatorului aduce informatie
noua nu trebuie sa fie neaparat neutru - obiectiv);
Principiile de baz ale teoriei sistemelor complexe
Postulatul integralitii
Principiul
Postulatul autonomiei
cauzalitii
Postulatul complementaritii
Principiul
orientrii spre Postulatul alegerii
obiectiv
Tipuri de sisteme
Sisteme mecanice: ceas, pompa, bicicleta etc.;
Sisteme tehnice complexe: avioane, retele de
comunicatii;
Sisteme informatice: baze de date, retele de
calculatoare (echipamente + infomatii);
Sisteme biologice: plante, animale, virusi si
bacterii etc.;
Sisteme sociale: sistemul de sanatate, sistemul
de asigurari sociale, sistemul financiar etc.;
Sisteme simbolice: sistemul de numeratie,
sistemul limbajelor,
Sisteme artificiale complexe
Sisteme reale (mixte): fabrici, sistemul de
transport aerian;
Clasificarea sistemelor
Sisteme inchise si sisteme deschise
referitor la interactiunea cu mediul;
Sisteme naturale, artificiale si sociale
referitor la contributia umana la creare;
Sisteme ierarhice si distribuite (retele)
referitor la relatiile dintre elementele sale;
Sisteme critice si sisteme ordinare
referitor la capacitatea de supravietiure;
Analiza sistemelor
Aplica principiile teoriei sistemelor
pentru:
Identificarea sistemelor;
Constructia si reconstructia sistemelor;
Optimizarea si controlul sistemelor;
In conditii:
Obiective multiple;
Constrangeri de mediu;
Resurse limitate;
Se cauta cursuri de actiune asociate
cu riscuri, costuri si beneficii.
Mecanismul clasic al controlului
Controlul sistemului
Elementul controlor:
Constituit: reprezentarea elem controlat si
agentul de actionare;
Are ca parametrii de intrare: obiectivul
sistemului si perceptia asupra parametrilor
elem. controlat;
Elementul controlat:
Are o comportare dictata de legi si reguli;
Are parametrii de intrare: perturbatiile
mediului si actiunile agentului de control;
Furnizeaza o imagine a functionarii
Reflectarea mecanismului de control in
SMS - bazat de Manag. Risc. (RM)
Reflectarea mecanismului de control in
SMS - bazat de manag. riscurilor
Mecanismul de control implica mediul de lucru
stabilirea contextului;
Implica multiple bucle de control cu obiective
de control (reactie) diferite si agenti de decizie
(actiune) diferiti;
Buclele de control includ emente fizice,
reglemetari si oameni (observatori) cu puncte
de vedere diferite.
Actualizarea buclelor se face functie de context
(rata de incidente).
Prin acest mecanism se realizeaza implicit o
abordare sistemica a managementului
sistemului de securitate.
Definitia securitatii unui sistem
Deriva din principiul supravietuirii sistemelor;
Are la baza postulatele:
conservarii structurilor (functiilor) critice;
recuperarea investitiilor;
securitatea unui sistem este subsistemul
care ii asigura atingerea obiectivelor pentru
care a fost creat sistemul reactionand la
conditiile variabile impuse de mediu;
securitatea este funcia unui sistem de a-i
asigura supravieuirea n condiii de mediu
concurenial cu resurse limitate;
Relatia sistemului de management al
securitatii cu sistemul organizatiei (ISO 13335)
Impactul subsistemului de securitate
asupra sistemului (costurile securitatii)
Restrange functionalitatea (eficienta)
securitatea ridicata implica o functionalitate mai
redusa;
Creste controlul asupra elementelor sistemului
implica monitorizare, inregistrare, baze de
date restrange dreptul la intimitate
Implica investitii specifice in securitate si
deturneaza resurse de la dezvoltare scade
expansiunea sistemului;
Restrangerea functionalitatii si reducerea
dezvoltarii sunt certe castigul de securitate este
probabil (vinde cioara de pe gard);
Impactul subsistemului de securitate
asupra sistemului (costurile securitatii)
Nu exista sistem fara mecanisme, mijloace
si procese de securitate (subsistem de
securitate).
Cu cat sistemele sunt mai complexe cu
atat subsistemul de securitate este mai
evoluat, mai sofisticat si coordonat la
nivelul cel mai inalt.
Cele mai complexe sisteme naturale,
sistemele vii si sistemele sociale si-au
dezvoltat pe cale naturala sisteme de
securitate specializate vezi sistemul
imunitar biologic.
Afectarea sistemului de securitate duce la
disparitia sistemului din mediu.
Abordarea analizei sitemului de
securitate
Abordarea analitica descompune sistemul
in elemente componenete si analizeaza
interactiunea dintre ele si efectele fiecarui
parametru asupra iesirii;
Problema descompunerii - modelul;
Problema rezolutiei;
Abordarea sistemica se raporteaza la
obiectivele sistemului si la mediul de evolutie.
Priveste sistemul din punct de vedere al
perceptiei unui observator, urmareste
integrarea efectelor schimbatilor
pluridisciplinare.
Abordarea sistemica a securitatii
informatiei in mediul IT&C (virtual)
Stabileste obiectivele misiunile (sistemului si
ale securitatii);
Definiste limitele sist. + integrarea activitatilor;
Mediul de lucru mediul material + virtual;
Modelul (modele multiple + reprezentarile lor);
Legitatile de evolutie (ale mediului si ale
organizatiei);
Punctul de vedere al proprietarului;
Punctul de vedere al publicului;
Proprietatile de emergenta;
Observatorul;
Caracterizarea mediului
mediul este format din: echipamente, canale de
comunicatie, baze de date, reglementari si standarde
tehnice, oameni si mediul fizic (mediul intern, mediul
extern).
mediul IT&C este artificial (creat de om) si are ca
element de baza informatia (nemateriala) si tehnologia
(materiala);
evolutiile componentelor mediului se fac cu viteze
diferite.
este un mediu virtual cu o anumit reflectare a
realitii dar care interacioneaz strns cu mediul fizic
prin intermediul informaiilor folosite de oameni sau
maini i care are legiti specifice;
este probabil cel mai socializat mediu - acoper ntreg
globul, toate mediile de comunicaii i toat scara
social magistrala informaional global;
Caracterizarea mediului
multiplicatul valorilor (informaiilor) n
ciberspaiu se face foarte uor cu costuri nule i
operaia nu las urme asupra originalului;
valorile (informaiile) por fi manipulate de la
distane uriae, pot fi deplasate cu viteza
luminii (teleportate), distruse sau modificate
fr ca aceste operaii s lase urme n mediul
local sistemul de securitate trebuie sa asigure
trasabilitatea activitatilor;
utilizatorii beneficiaz de protecia anonimatului
(impusa prin lege sau dat. sistemului tehnic;
justiia clasic are dificulti n exercitarea
prerogativelor;
mediul este in continu schimbare datorit
progresului tehnologic exploziv;
Caracterizarea mediului
Evolutia tehnologica (1)
Culegerea informatiilor;
Analiza;
Definitii de baza si aspecte relevante;
Modelarea conceptuala;
Comparatii pentru constituirea agendei;
Discutia agendei cu factorii semnificativi;
Actiuni pentru schimbare.
Abordarea din punct de vedere soft
a subsistemului de securitate (2/3)
Culegerea de informatii:
Baza de date cu incidente de securitate
Auditul de securitate;
Analiza de securitate:
Analiza de riscuri;
Evaluarea de securitate;
Definitii de baza si aspecte relevante:
Tratarea neconformitatilor;
Prioritizarea riscurilor;
Analiza cost beneficii;
Abordarea din punct de vedere soft a
subsistemului de securitate (3/3)
Modelul conceptual:
Structura de securitate;
Atributii de securitate;
Echipe de lucru (audit, analize, evaluari
etc.)
Cultura de securitate - rolul educatiei;
Tratarea riscurilor;
Comparatii pentru stabilira agendei;
Stabilirea strategiei traseul de
abordare;
Politica de securitate;
Abordarea din punct de vedere soft
a subsistemului de securitate
Discutia agendei cu actorii:
Conducerea asumarea riscurilor;
Autoritatile standarde, acreditari de
securitate, puncte de contact interventii;
Departamentele implicate utilizatori;
Furnizori si beneficiari.
Actiuni pentru schimbare:
Planificare;
Proceduri operationale;
Controale, testare, audit intern si extern;
Masuri operationale.
Abordarea din punct de vedere al
comportarii sistemului in regim de criza
Infrastructuri critice;
Misiuni critice;