05_alarma 2-2010.pdf - Revista-Alarma.ro

numărul 2/2010
<strong>Alarma</strong>
Arta de a tr^i în siguran]^
Conceperea sistemelor tehnice de protecţie şi
<strong>alarma</strong>re împotriva efracţiei
Stelian Arion – Director General Secant Security, Vicepreşedinte A.R.T.S..
Introducere
În conformitate cu HG nr. 1010/2004 pentru
aprobarea normelor metodologice şi a documentelor
prevăzute la art. 69 din Legea nr.333/2003 privind paza
obiectivelor, bunurilor, valorilor şi protecţia persoanelor,
sistemele tehnice de protecţie şi <strong>alarma</strong>re împotriva
efracţiei realizează securitatea mecanică şi elelctronică
a obiectivului protejat. Din acelaşi document oficial deducem
că un sistem tehnic de protecţie şi <strong>alarma</strong>re împotriva
efracţiei include mijloace de protecţie mecanofizică
şi instalaţii electronice de detecţie şi <strong>alarma</strong>re la
efracţie şi agresiune, control al accesului şi televiziune
cu circuit închis.
În alte părţi ale lumii, Securitatea fizică este
definită ca domeniul aplicativ al securităţii care prezintă
atât măsuri pentru prevenire cât şi pentru împiedicarea
atacatorilor să aibă acces la obiective, resurse sau
informaţii şi recomandări privind proiectarea infrastructurii
pentru a opune rezistenţă la actele ostile. Poate fi
la fel de simplă ca o uşă încuiată sau poate fi complexă
incluzând mai multe niveluri de pază armată, corpuri de
gardă etc. Securitatea fizică are un istoric respectabil,
oamenii căutând protecţia în peşteri, la adăpostul zidurilor
sau mai tîrziu în adăposturi mai mult sau mai puţin
sofisticate. Pricipalul factor de schimbare peste timp
este tehnologia. Necunoscute cu puţin timp în urmă,
detectoarele pasive în infraroşu, sistemele electronice
de control al accesului sau supravegherea cu televiziune
cu circuit închis, contribuie la creşterea eficienţei şi
eficacităţii sistemelor tehnice de protecţie şi <strong>alarma</strong>re
împotriva efracţiei.
Ca noţiune fundamentală, securitatea este conjunctura
în care eşti protejat împotriva pericolelor şi a
pierderilor. Se obţine prin reducerea consecinţelor adverse
asociate cu acţiuni intenţionate sau iraţionale ale
altora. Aşa cum sugerează, cuvântul iraţional din cadrul
definiţiei, acţiunile intenţionate ale altora care sunt legale
şi acceptabile, cel puţin în ochii apărătorului, sunt
excluse din domeniul de aplicare al securităţii. Spre exemplu
acţiunile altora din societăţi economice concurente
pot avea consecinţe adverse, dar prevenirea acestor
consecinţe legale, normale, fac obiectul altor domenii
ca, de exemplu, cel de management al riscurilor financiare.
Într-un cadru general securitatea este un
concept similar celui de siguranţă, dar ca termen tehnic
securitatea reprezintă ceva care nu numai că este
sigur dar şi că a fost securizat. În acest context, securitatea
se referă la măsuri utilizate pentru protecţia activelor
organizaţionale sensibile care împreună crează,
facilitează şi menţin capabilităţile organizaţionale. Astfel
de active pot diferi în funcţie de natura activităţilor
organizaţiei dar includ, în general, informaţii clasificate
sau senzitive, active fizice de valoare, persoane, procese
unicat, alianţe sau parteneriate şi capital intelectual.
Persoanele care încalcă protecţia produc o violare a
securităţii.
Gestionarea securităţii la nivelul organizaţiilor
este o preocupare tot mai mult acceptată ca majoră şi, în
consecinţă, în perioada recentă au fost elaborate diferite
modele aplicative, dintre care putem menţiona managementul
securităţii informaţiei sau protecţia infrastructurilor
critice. Implementarea unuia sau mai multor
astfel de modele la nivelul unei organizaţii, presupune,
de regulă, un proces de management al riscurilor, mijloacele
de control utilizate pentru reducerea acestora fiind
selectate din diferite domenii aplicative ale securităţii
tehnice (securitatea fizică, securitate informatică etc.),
organizaţionale şi de personal.
Conceperea sistemelor tehnice de protecţie şi
<strong>alarma</strong>re împotriva efracţiei trebuie deci să răspundă mai
multor cerinţe pe care organizaţia beneficiară trebuie
să le satisfacă. Dintre acestea cele mai importante sunt
cerinţele de conformitate legală şi de reglementare,
standarde relevante în vigoare, vulnerabilităţi şi riscuri
idetificate şi evaluate în contextul în care organizaţia
activează. În acest articol vom analiza modalitatea în
care trebuie alese mijloacele de control de securitate
şi vom numi rezultatul acestei activităţi specificaţie
tehnico-operativă a sistemului tehnic de protecţie şi
<strong>alarma</strong>re împotriva efracţiei.
Cerinţe de conformitate legală
Complexitatea aspectelor de securitate,
popularitatea din ce în ce mai mare a domeniului,
precum şi percepţia tot mai acută a ameninţărilor
şi vulnerabilităţilor au condus la specificarea multor
cerinţe de securitate în cadrul unor documente oficiale,
fie că sunt legi, hotărâri de guvern sau ordine ale
miniştrilor care coordonează activitatea unor instituţii
cu responsabilităţi în diferite domenii de activitate.
Într-o listă care nu are pretenţia de a fi exhaustivă pot
fi incluse:
• Legea 333/2003 – privind paza obiectivelor, bunurilor,
valorilor şi protecţia persoanelor şi modificările aduse
prin Legea 40/2010;
• HG 1010/2004 pentru aprobarea normelor metodologice
şi a documentelor prevăzute la art. 69 din
Legea nr. 333/2003 privind paza obiectivelor, bunurilor,
valorilor şi protecţia persoanelor;
• Directiva 2008/114/CE A Consiliului Europei
din 8 decembrie 2008, privind identificarea şi
20

numărul 2/2010
<strong>Alarma</strong>
Arta de a tr^i în siguran]^
desemnarea infrastructurilor critice europene şi evaluarea
necesităţii de îmbunătăţire a protecţiei acestora;
Legislaţia naţională se află în fază avansată de
elaborare;
• Ordinul nr. 660 din 22 noiembrie 20<strong>05</strong> al Ministrului
Economiei şi Comerţului, privind aprobarea Ghidului
de identificare a elementelor de infrastructură critică
din economie; Ordinul 1507 din 18 august 2009 al
Ministrului Economiei şi Comerţului, privind măsuri
pentru punerea în aplicare a prevederilor Direcţivei
2008/114/CE;
• Legea nr. 535/2004 privind prevenirea şi combaterea
terorismului;
• Legislaţia naţională şi ordinele Directorului ORNISS
cu privire la informaţiile clasificate (Legea 182/2002
privind protecţia informaţiilor clasificate; HG
585/2002 pentru aprobarea standardelor naţionale
de protecţie a informaţiilor clasificate în România;
HG 781/2002 privind protecţia informaţiilor secrete
de serviciu; HG 1576/2002, privind aprobarea listei
cuprinzând informaţii secrete de stat, pe niveluri
de secretizare; HG 01600/2002, privind obiectivele,
sectoarele şi locurile care prezintă importanţă
deosebită pentru protecţia informaţiilor secrete de
stat; HG 1349/2002, privind colectarea, transportul,
distribuirea şi protecţia informaţiilor clasificate;
Norme cadrul din <strong>05</strong>.02.2006, privind securitatea
informaţiilor UE clasificate);
• Legea 677/2001 privind protecţia persoanelor cu privire
la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date;
• Legi sectoriale privind sectorul electric, sectorul petrol
şi gaze, sectorul bancar, sectorul bursier etc.
Modele şi standarde
Pentru creşterea eficacităţii şi eficienţei în tratarea
diverselor aspecte de securitate au fost dezvoltate
şi aplicate mai multe modele, pentru care au fost elaborate
standarde naţionale şi internaţionale care cuprind
liste de bune practici, linii directoare şi chiar cerinţe pentru
certificare de terţă parte. Dintre acestea pot fi relevante
pentru conceperea sistemului tehnic de protecţie
şi <strong>alarma</strong>re împotriva efracţiei următoarele:
Standardul SR ISO/IEC 9001:2008 privind sistemul de
management al calităţii;
• Familia de standarde SR ISO/IEC 27000 privind sistemul
de management al securităţii informaţiei; SR ISO/IEC
TR 18044 Managementul incidentelor privind securitatea
informaţiilor; SR ISO/IEC 24762 Tehnologia
informaţiei - Tehnici de securitate. Linii directoare
pentru serviciile de recuperare după dezastru a tehnologiei
informaţiei şi comunicaţiilor;
• Standardul BS25999 privind planificarea continuităţii
activităţii.
Alte standarde se referă direct la tehnologii de
detecţie şi <strong>alarma</strong>re la efracţie, control al accesului, televiziune
cu circuit închis etc. şi tratează inclusiv aspectele
legate de alegere şi dimensionare în funcţie de cerinţele
aplicaţiei. Dintre acestea putem menţiona:
• SR EN 50131-1 Sisteme de alarmă – Sisteme de alarmă
împotriva efracţiei – Partea 1: Cerinţe de sistem;
• SR CLS/TS 50131-7 Sisteme de alarmă – Sisteme de
alarmă împotriva efracţiei – Partea 7: Ghid de aplicare;
• SR EN 50133-1 Sisteme de alarmă – Sisteme de control
al accesului utilizate pentru securitate - Partea 7:
Ghid de aplicare;
• IT baseline protection manual;
• ASIS International: Facilities Physical Security
Measures Guideline;
• ASIS International: Threat Advisory System Response
Guideline;
• ASIS International: Information Asset Protection
Guideline
Cum procedăm
Pentru a concepe securitatea unei organizaţii
este necesar efortul conjugat al specialistului în securitate,
al beneficiarului şi, după caz, al unor experţi în
alte domenii de specialitate. O schema logica a acestei
activităţi este propusă în figura 1. În esenţă modelul
propus este fundamentat pe instituirea unui proces de
management al riscurilor, în care unele dintre riscuri
să se refere la conformitatea cu legile, reglementările,
cerinţele contractuale etc. pe care organizaţia trebuie să
le respecte.
După cum se poate vedea in figura nr.1 o parte
importantă a activităţii se refera la legislaţia cu specific
de securitate la care organizaţia trebuie să răspundă.
Cerinţele de securitate din această categorie de legi
pot avea corespondent în riscuri de neconformitate sau
pot conduce la mijloace de control de securitate clar
specificate. Spre exemplu, în cazul în care organizaţia
primeşte, emite, păstrează, procesează, transmite, distruge
informaţii clasificate, trebuie să instituie un cadru
organizatoric clar specificat şi să aplice măsuri de securitate
fizică, securitate informatică, securitate de personal,
securitate juridică într-un cadru bine definit.
Figura 1: Conceperea sistemelor tehnice de protecţie
şi <strong>alarma</strong>re împotriva efracţiei
22

numărul 2/2010
<strong>Alarma</strong>
Arta de a tr^i în siguran]^
Organizaţiile care deţin, administrează sau
operează infrastructuri critice, trebuie să aibe în vedere,
cu precădere ameninţarea teroristă, analiza
aprofundată a impactului unui incident, inclusiv prin
evaluarea interdependenţelor, precum şi asigurarea
unui răspuns gradual prin măsuri de securitate care sporesc
proporţional cu nivelul de alertă teroristă.
Cel mai complex model de gestionare a
securităţii este reprezentat de sistemele de management
al securităţii informaţiei aşa cum sunt definite în
familia de standarde SR ISO/IEC 27000. Caracterisc sistemelor
de management este aspectul procesual de tip
‚concepe’ – ‚aplică’ – ‚măsoară’ – ‚îmbunătăţeşte’ care
asigură atât actualitatea sistemului în raport cu contextul
general în care organizaţia îşi desfăşoară activitatea,
cât şi îmbunătăţirea eficacităţii şi eficienţei acestuia
în timp. Formalismul sistemului de management al
securităţii informaţiei este identic cu cel al altor sisteme
de management care fac obiectul unor standarde (managementul
calităţii, al mediului, al continuităţii) ceea
ce permite ca problematica de securitate să fie cunoscută
de managementul superior şi să i se acorde importanţa
cuvenită. Conceperea unui sistem de management al
securităţii informaţiei se bazează pe un proces de management
al riscurilor faţă de activele informaţionale,
finalizat prin selectarea şi aplicarea unor mijloace de
control pentru reducerea riscurilor inacceptabile pentru
organizaţie. Parte dintre aceste mijloace de control sunt
măsuri de securitate fizică.
Ce este managementul riscului
Managementul riscurilor de securitate
reprezintă cultura, procesele şi structurile care sunt
direcţionate către maximizarea beneficiilor şi reducerea
efectelor adverse asociate cu acţiunile intenţionate sau
iraţionale ale altora împotriva activelor organizaţionale.
Ameninţarea reprezintă un pericol sau o sursă de risc
(criminali, terorişti etc.), de regulă evaluate în termenii
intenţiei şi capabilităţii. Riscul are în vedere plauzibilitatea
unui atac şi cel mai credibil impact sau consecinţă
asupra activului(elor).
Figura
rocesul de management al riscului
Managementul riscurilor de securitate
reprezintă un subset şi o parte esenţială a unui sistem de
management al riscului mai larg. În cadrul unui sistem
de management al riscului, managementul riscurilor de
securitate este interconectat la fiecare etapă cu toate
celelalte activităţi (ca, de exemplu, financiar, securitatea
muncii, marketing, reputaţie, reglementare etc.).
Deşi aplicarea managementului riscurilor de securitate
necesită cunoştinţe de specialitate, procesul general de
management al riscului rămâne cel prezentat în standardul
ISO 31000. Etapele unui process tipic de management
al riscului sunt prezentate în fig 2.
Un exemplu de metodologie de management al
riscurilor de securitate este prezentat în ‚Linii directoare
privind evaluarea riscurilor de securitate generală’ document
elaborat de ASIS International în 2003. Ghidul
recomandă următoarele etape:
• Înţelegerea organizaţiei şi identificarea persoanelor
şi activelor supuse riscurilor. Sub termenul de active
sunt incluse tot ce intră în patrimoniu (active tangibile,
precum monetar şi alte bunuri de valoare, dar şi
active intangibile, precum proprietatea intelectuală),
procese de afaceri importante, infrastructură şi
informaţie şi personal. În rândul persoanelor sunt
incluşi asociaţi, angajaţi, vizitatori, delegaţi, furnizori
şi clienţi, alţii care au legătură directă sau indirectă
cu organizaţia.
• Specificarea evenimentelor care conduc la un impact
defavorabil. Evenimentele care produc impact
defavorabil se pot datora unor condiţii specifice, a
valorii şi atractivităţii unor active pentru atacator şi
uneori pot fi deduse din istoricul organizaţiei. Se pot
determina printr-o analiză a vulnerabilităţii care va
evidenţia punctele slabe şi va fundamenta măsuri de
protecţie.
• Estimarea pluzibilităţii riscului. Plauzibilitatea este în
legătura cu frecvenţa estimată pentru manifestarea
unui risc şi poate fi bazată pe analiza istoricului incidentelor
în organizaţie, al tendinţelor, avertismentelor
sau ameninţărilor, a altor statistici disponibile.
• Dterminarea impactului în cazul evenimentelor. Impactul
poate fi financiar, psihologic sau urmare a
afectării activelor tangibile sau intangibile (precum,
de exemplu afectarea reputaţiei şi diminuarea cotei
de piaţă în consecinţă).
• Identificarea opţiunilor de reducere a riscurilor. Există
mai multe opţiuni de diminuare a riscurilor, dintre
care semnificativă pentru metodă este slectarea unor
mijloace de control de securitate fizică, procedurală,
a informaţiei sau de personal.
• Studiul de fezabilitate privind implementarea
opţiunilor, inclusiv analize cost/efect.
24

<strong>Alarma</strong>
Arta de a tr^i în siguran]^
numărul 2/2010
Figura 3: Procesul de management al
riscurilor de securitate recomandat de ASIS International
Măsuri de securitate fizică
Pentru a alege măsurile de securitate fizică
adecvate este important ca mai întâi să fie efectuată o
analiză a riscurilor. Rezultatele analizei riscurilor însoţite
de o bună înţelegere a măsurilor de securitate fizică fac
posibilă selectarea măsurilor de securitate fizică adecvate
pentru reducerea riscurilor identificate la un nivel
acceptabil pentru organizaţie.
Dintre categoriile de măsuri de securitate fizică,
cele mai importante sunt:
• Măsuri preventive introduse prin proiectarea obiectivului;
• Bariere fizice şi fortificarea obiectivului;
• Control accesului la intrarea în obiectiv;
• Iluminatul de securitate;
• Sisteme de <strong>alarma</strong>re la efracţie şi agresiune;
• Supraveghere cu televiziune cu circuit închis;
• Personalul de securitate;
• Politici şi proceduri de securitate;
• Convergenţa securităţii fizice cu securitatea informaţiei.
O proiectare adecvată şi o utilizare efectivă a
mediului construit al unui obiectiv poate conduce la
reducerea oportunităţilor, temerilor şi incidenţei
criminalităţii de tip atacuri din exterior, precum şi la
îmbunătăţirea calităţii vieţii, fie că este vorba de locuinţe,
locuri de muncă etc. Pentru a permite optimizarea controlului
mediul obiectivului este divizat în zone mai mici şi mai
clar definite, cunoscute şi sub numele de spaţii protejabile.
Soluţiile de proiectare în vederea prevenirii incidentelor
trebui integrate în concepţia şi funcţiile clădirilor. Ele se
bazează pe înţelegerea modului în care oamenii utilizează
spaţiile cu scopuri legitime sau ilegitime.
Acest mod de proiectare are în vedere descurajarea acelor
care au în intenţie declaşarea unor atacuri, precum
şi încurajarea vigilenţei şi răspunsului activ la utilizatorii
legitimi. Aceste concepte şi soluţii pot fi aplicate şi la
clădirile si construcţiile existente ca şi la cele noi sau în
curs de modernizare (renovare).
După cum remarcăm din enumerarea de mai
sus, cele mai multe dintre categoriile de măsuri de securitate
fizică se suprapun celor incluse în categoria
sistemelor tehnice de protecţie şi <strong>alarma</strong>re împotriva
efracţiei menţionate în legislaţia din România. Mai
trebuie avute în vedere unele măsuri adiacente precum
cele legate de configuraţia arhitecturală sau iluminat şi,
mai ales, serviciile de pază şi intervenţie, pe de o parte
şi, modul de activitate al personalului organizaţiei şi al
altor persoane interesate.
Concluzii
Elaborarea unui proiect pentru un sistem de
protecţie şi <strong>alarma</strong>re la efracţie nu se limitează la detalierea
soluţiei tehnice, decât în situaţia în care elaboratorul
are la dispoziţie o temă detaliată.
Dacă se cere elaborarea acestei teme se poate
proceda în două moduri. În varianta simplă, se aplică un
model de echipare al obiectivelor de tipul celui analizat
(agenţie bancară, staţie PECO, spaţiu rezidenţial
ş.a.m.d.). Astfel de modele sunt puse la dispoziţie de
furnizorii de tehnologii, de literatura de specialitate sau
chiar de regelementări legale. Modelul adesea implică
şi servicii de pază şi/sau intervenţie şi un anumit mod de
activitate al personalului, chiar dacă nu sunt prea bine
descrise. Este evident că această abordare poate conduce
la ignorarea unor riscuri majore sau la costuri exegerate,
în special pentru acele obiective care prezintă diferenţe
faţă de model.
În celaltă variantă, este necesară analiza
riscurilor de securitate ale organizaţiei, inclusiv prin
identificarea cerinţelor de conformitate legală, şi fundamentarea
alegerii între mai multe variante de măsuri
de securitate care să reducă aceste riscuri la un nivel
acceptabil pentru organizaţie. Măsurile de securitate
includ soluţii conceptuale ale sistemului de protecţie şi
<strong>alarma</strong>re la efracţie (variante de dimensionare şi componente
tehnologice), specificaţii pentru serviciile de pază
şi intervenţie şi proceduri organizaţionale, iar varianta
finală ar trebui să fie rezultatul unui proces de analiză şi
decizie din partea beneficiarului.
Se obţine astfel specificaţia tehnico-operativă
(tema) de la care se poate elabora proiectul tehnic.
25