Sunteți pe pagina 1din 16

METODE

MEHARI 2010
PRIVIRE GENERAL

Noiembrie 2010

Comision Metodelor

CLUB DE LA SECURITE DE LINFORMATION FRANAIS


11, rue de Mogador, 75009 PARIS (France) Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr Web : http://www.clusif.asso.fr

Mehari este marc nregistrat a CL !"#MULUMIRI

Clusif ar dori s mulumeasc n special lui Jean-Philippe Jouas pentru contributia sa, lui Jean-Louis Roule pentru traducere ct i membrilor comisiei Metodelor care au participat la reali area acestui document! "raducerea n limba romn a fost reali at de Cnipariu Petronela i Grigora Anca-Laura, studeni ai #acultii de $conomie i %dministrarea %facerilor din cadrul &ni'ersitii %le(andru )oan Cu a din )ai! Proiectul a fost coordonat de r ! Alina Marin i r! Valentin-Petru M"#"reanu, cercettor postdoc i cadru didactic asociat n instituia mai sus menionat! Contact* +++!mana,ementul-riscurilor!ro +++!feaa!uaic!ro 'ali!ma areanu-feaa!uaic!ro

CUPRINS

1."N$%&' C(%(.......................................................................................................................................) 2. $"L"*+%" ,L( M(-,%"........................................................................................................................... 2.1 ,nali/a sau e0aluarea riscului........................................................................................................1 2.1.1 ,nali/a sistematic a situa2iilor 3e risc....................................................................................1 2.1.2 ,nali/a spontan a situa2iilor 3e risc.......................................................................................4 2.1.5 ,nali/a riscului n proiecte noi................................................................................................4 2.2 (0aluri ale securita2ii....................................................................................................................4 2.2.1 %ecen/ia 0ulnerabilit6ii7 un element 3e anali/ a riscului......................................................4 2.2.2 8lanuri 3e securitate ba/ate pe recen/ii ale 0ulnerabilit2ii....................................................4 2.2.5 !uport oferit 3e ba/ele 3e cuno9tin2e n crearea unor ca3re 3e referin2 a securita2ii...........: 2.2.) 'omenii acoperite 3e mo3ulul 3e e0aluare a 0ulnerabilit2ii..................................................: 2.2.. 8ri0ire 3e ansamblu asupra mo3ulului 3e e0aluare................................................................: 2.5 ,nali/area mi/elor..........................................................................................................................; 2.5.1 ,nali/area mi/elor7 ba/a pentru o anali/ a riscului..............................................................10 2.5.2 ,nali/a mi/elor 3e securitate: piatra 3e temelie pentru orice planificare 3e ac6iune strategic.......................................................................................................................................10 2.5.5 Clasificare: un element esen6ial pentru politica 3e securitate..............................................10 2.5.) ,nali/a mi/elor 3e securitate: ba/a planificrii securit6ii.....................................................10 2.). 8re/entare general a utili/rilor M(-,%"..................................................................................11 5.M(-,%" <i "!&/"(C 24000 !$,N',%'!............................................................................................12 5.1 &biecti0ele respecti0e ale lui "!& / "(C 2400172400272400. <i M(-,%".......................................12 5.1.1 &biecti0ele stan3ar3ului "!& / "(C 24002:2400. ..................................................................12 5.1.2 !copuri ale "!& / "(C 24001:200...........................................................................................12 5.1.5 !copurile "!& / "(C 2400.:200:.............................................................................................15 5.1.) !copurile M(-,%".................................................................................................................15 5.1.. Compara6ie a obiecti0elor M(-,%" stan3ar3ele "!& / "(C 24001 <i 24002 ..........................1) 5.2. Compatibilitatea 3intre aceste abor3ri......................................................................................1) 5.2.1 Compatibilitatea cu stan3ar3ul "!& / "(C 24002:200. ..........................................................1) 5.2.2 Compatibilitatea cu stan3ar3ul "!&/"(C 24001.....................................................................1) 5.2.5 Compatibilitatea cu stan3ar3ul "!&/"(C 2400.:200:............................................................1.

1.INTRODUCERE
Metodolo,ia M$.%R) a fost proiectat iniial /i este actuali at n permanen0 pentru a asista 1fierii-2ef de 3ecuritate a )nformaiilor 4C)315, n ,estionarea sarcinilor de securitate a informa0iilor! %cest re umat este destinat n principal lor, dar este, de asemenea, destinat i auditorilor, C)1 sau mana,erilor de risc care mprt/esc n mare parte acelea/i pro'ocri sau unele similare! Principalul scop al acestui document este de a descrie modul in care M$.%R) poate fi utili at! 1 descriere mai detaliat a metodolo,iei si a uneltelor asociate este pre' ut n alte documente disponibile la Clusif, in special* M$.%R)* Concepte i 3pecificaii funcionale, M$.%R)* 6hiduri pentru* o o o anali a mi elor i clasificare, e'aluarea ser'iciilor de securitate i anali a riscului,

M$.%R)* Manual de referin al ser'iciilor de securitate, M$.%R) cunotine de ba

Principalul obiecti' al M$.%R) este de a furni a o e'aluare a riscurilor i o metod de ,estionare, specifice domeniului securitaii informaiilor, conforme cu cerinele )317)$C 89::;*8::< i oferind setul de unelte si elemente necesare pentru impementarea sa! 1biecti'ele suplimentare sunt* 3 permit o anali direct si indi'idual a situaiilor de risc descrise de scenarii, 3 ofere un set complet de instrumente special concepute pentru mana,ementul securitaii pe termen scurt, mediu si lun,, adaptabile la diferite ni'eluri de maturitate si tipuri de aciuni considerate! )ntr-ade'r, M$.%R) furni ea o metodolo,ie consistent, cu ba e de date adec'ate de cunotine, pentru a 'eni n a=utor 1fierilor 2efi in 3ecuritatea )nformaional, directorilor ,enerali si mana,erilor de securitate sau alte persoane implicate n reducerea riscurilor, n diferitele lor sarcini i aciuni! Raportul dintre M$.%R) i standardele )317)$C 89::: este descris la sfaritul documentului!

Mehari 2010

) / 11

= CL !"# 2010

2.UTILIZRI ALE MEHARI


M$.%R) este mai presus de toate o metod de e'aluare si mana,ement a riscului! In practic, aceasta nseamn c MEHARI si bazele sale de cunotine asociate au fost concepute pentru o analiz precis a situaiilor de risc descrise prin scenarii. >n termeni de i cu i, mana,ementul securitaii este o funcie sau acti'itate care e'oluea dea lun,ul timpului! %ciunile corecti'e sunt diferite in funcie de faptul dac or,ani aia a fcut ce'a in domeniu sau ? dimpotri' ? a facut in'estiii substaniale in ceea ce pri'ete timpul si efortul! >n parcur,erea primilor pa/i n securitate este fr ndoial recomandabil s se 0in seama de starea msurilor de securitate e(istente si politicilor or,ani aiei, i s se compare cu cele mai bune practici, pentru a clarifica ,olul care trebuie umplut! >n urma acestei e'aluri a strii /i a deci iei de a implementa securitatea or,ani a0ional, ac0iuni concrete 'or trebui s fie decise! %stfel de deci ii, care 'or fi ,rupate de obicei n planuri, re,uli corporatiste, politici sau de un cadru de referin0 al securitaii, ar trebui s se fac cu a=utorul unei abordri structurate! %ceasta abordare se poate ba a pe anali a riscului, aa cum este solicitat de )317)$C 89::@ ca parte a )3M3 43istemul de Mana,ement al 3ecuritaii )nformaionale5! $(ist i alte mi=loace, precum compararea, fie intern, profesional sau inter-profesional! >n acest stadiu, este ade'rat c, fr a men0iona n mod deosebit anali a riscului, trebuie adresat problema mi elor implicate! Aestul de des, indiferent de modul n care a fost luat deci ia, persoana creia i apar0ine deci ia final pentru alocarea bu,etului corespun tor 'a pune fr ndoial ntrebarea* Beste acest lucru cu ade'rat necesarCB! Ain cau a lipsei unei e'aluri preliminare a - /i a unui consim0mnt ,eneral asupra - mi elor implicate, multe proiecte de securitate sunt abandonate sau amnate! Aeseori mai tr iu, dar uneori chiar de la inceputul unei abordri a securitii, riscul real la care or,ani aia sau ntreprinderea este e(pus este pus la ndoiala! %cest lucru este adesea formulat in termeni similari cu acetia* B%u fost identificate toate riscurile la care este e(pus or,ani aia, i e(ist 'reo asi,urare cum c ni'elurile acestora sunt acceptabileCB %ceast ntrebare ar putea fi la fel de uor adresat la un ni'el corporati', sau cu referire la un anumit proiect! 3e impune o metodolo,ie care s includ anali a riscului! M$.%R) este fondat pe principiul c uneltele necesare fiecrui stadiu de de 'oltare a securitaii trebuie sa fie consec'ente! Prin aceasta se ntele,e c orice re ultate ,enerate la un anumit stadiu trebuie sa fie reutili abile mai tr iu de ctre alte unelte sau oriunde altunde'a in or,ani aie! Di$eritele unelte %i &o ule ale 'etului e &eto ologie ME(ARI) concepute pentru a n'o*i o anali#" irect" i in i+i ual" a ri'cului) pot $i $olo'ite 'eparat una e cealalt" la orice pa' al e#+olt"rii 'ecurit"*ii) $olo'in i$erite a,or "ri ale &anage&entului) %i garantea#" o con'ec+en*" a eci#iilor re#ultate! "oate aceste unelte i module ? descrise pe scurt mai sus ? alctuiesc o metod consec'ent de e'aluare a riscului mpreun cu uneltele a=uttoare necesare i module pentru anali a mi elor si de control a calitaii msurilor de securitate, etc!

Mehari 2010

. / 11

= CL !"# 2010

2.1 Analiza sau evaluarea riscului


%nali a riscului este menionat in aproape orice publicaie referitoare la securitate, ca fiind fora motrice pentru a e(prima cerinele de securitate si acest lucru este preci at din nou de ctre standardele )317)$C! Cu toate acestea, cele mai multe euea n a discuta despre ce metode ar trebui sa fie utili ate! Pentru mai mult de @; ani, M$.%R) a furni at o abordare structurat de e'aluare a riscului, ba at pe cte'a principii simple! 1 situaie de risc poate fi caracteri at de di'eri factori* #actori structurali 4sau or,ani aionali5, care nu depind de msurile de securitate, ci de acti'itatea de ba a or,ani aiei, de mediul su i de conte(tul acesteia! #actori de reducere a riscului care repre int o funcie direct a msurilor de securitate implementate! Ae fapt, anali a mi elor de securitate este necesar pentru a determina ni'elul de ma(im serio itate a consecinelor unei situaii de risc! %cesta este de re,ul un factor structural, n timp ce e'aluarea securitaii 'a fi utili at pentru a aprecia factorii de reducere a riscului! M$.%R) permite e'aluarea calitati' si cantitati' a acestor factori i ca urmare a=ut la e'aluarea ni'elurilor de risc! >n acest sens, M$.%R) inte,rea instrumente 4precum criterii de e'aluare, formule, etc5 i ba e de cunotine 4n special pentru dia,nosticarea msurilor de securitate5, care sunt completri eseniale pentru cadrul minim propus de )317)$C 89::;! 2.1.1 Analiza siste atic! a situa"iil#r $e risc >n ideea de a rspunde la ntrebarea Bcare sunt riscurile de deasupra or,ani aiei i sunt acestea acceptabile sau nuCB, o abordare structurat este necesar pentru a identifica toate situaiile poteniale de risc, pentru a anali a n mod indi'idual pe cele mai critice dintre acestea, i apoi pentru a identifica aciuni de reducere a riscului la un ni'el acceptabil! %bordarea oferit de M$.%R) se ba ea pe o ba a de cunotine cu situaii de risc si pe proceduri automati ate pentru e'aluare factorilor ce caracteri ea fiecare risc si care permit aprecierea ni'elului acestora! Mai mult dect att, metoda ofer asisten pentru selecia planurilor de n,ri=ire adec'ate! Cu scopul de a e'alua riscul, dou opiuni principale sunt propuse* #ie utili ai un set de funcii ale ba ei de cunotine 4pentru Microsoft $(cel sau 1pen 1ffice5 care s permit s inte,re e re ultatele modulelor M$.%R) 4e(* clasificarea acti'elor din anali a mi elor, dia,nostice de securitate5! Pentru aceste funcii, este posibil s se e'alue e ni'elul actual de risc si s se propun msuri adiionale pentru reducerea riscului! #ie o aplicaie soft+are 4precum R)3)C%R$5 care ofer o interfa cu utili atorul mai ampl i care permite simulri, 'i uali ri i optimi ri ulterioare!

Mehari 2010

1 / 11

= CL !"# 2010

2.1.2 Analiza s%#ntan! a situa"iil#r $e risc %celai set de instrumente poate fi folosit n orice moment n cadrul altor abordri de mana,ement a securitaii! >n unele moduri de pilotare a securitii, unde mana,ementul riscului nu este principalul obiecti' si unde securitatea este ,estionata prin intermediul re'i iilor sau cadrelor de referin a securitaii, 'or e(ista adesea ca uri specifice unde re,ulile nu pot fi aplicate! %nali a spontan a riscului poate fi utili at pentru a decide cum este cel mai bine sa se procede e! 2.1.& Analiza riscului 'n %r#iecte n#i Modelul i mecanismele de anali a riscului pot fi folosite n mana,ementul proiectelorD pentru a planifica mpotri'a riscului i pentru a decide ce msuri ar trebui utili ate ca urmare!

2.2 Evalu!ri ale securita"ii


M$.%R) inte,rea chestionare de dia,nosticare amnunit a controalelor de securitate, permind e'aluarea ni'elului de calitate al mecanismelor si soluiilor menite sa reduc riscul! 2.2.1 Recenzia vulnera(ilit!)ii* un ele ent $e analiz! a riscului M$.%R) furni ea un model structurat de risc care ia n considerare Bfactorii de reducere a risculuiB, sub forma ser'iciilor de securitate! $'aluarea re ultat a 'ulnerabilitii 'a repre enta, prin urmare, o contribuie important anali a riscului, asi,urnd faptul c ser'iciile de securitate i ndeplinesc ntr-ade'r rolul ? un punct esenial pentru credibilitatea i fiabilitatea anali ei riscului! &n punct forte esenial al M$.%R) este capacitatea sa de a e'alua att ni'elul curent de risc, ct i ni'elul 'iitor ba ndu-se pe o ba de cunotine e(pert fie de e'aluare a ni'elul de calitate, fie de operare sau deci ie! 2.2.2 +lanuri $e securitate (azate %e recenzii ale vulnera(ilit!"ii 1 posibil abordare este de a construi planuri de aciune direct ca urmare a e'alurii strii ser'iciilor de securitate! Procesul de mana,ement a securitii care urmea a aceast abordare este e(trem de simplu* rulea o e'aluare si decide s mbunteasc toate acele ser'icii care nu au un ni'el de calitate suficient! Chestionarele de dia,nosticare M$.%R) pot fi utili ate n aceast abordare! 1 anali preliminar a mi elor de afaceri ar trebui s fie planificat, de asemenea, pentru a oferi astfel o le,tur ctre acest modul al M$.%R)! %nali a mi elor permite constatarea ni'elurilor de calitate necesare pentru ser'iciile de securitate rele'ante i, n consecin, ca ceilali s fie i,norai n calitate de parte a e'alurii!

Mehari 2010

4 / 11

= CL !"# 2010

2.2.& ,u%#rt #-erit $e (azele $e cun#.tin"e 'n crearea un#r ca$re $e re-erin"! a securita"ii Ea a de cunotine unic M$.%R) poate fi utili at n mod direct pentru a crea un cadru de referin al securitii 4sau politici de securitate5 care s conin i s descrie setul de re,uli de securitate i instruciuni pe care ntreprinderea sau or,ani aia le 'a urmri! %ceast abordare este adesea utili at n or,ani aii sau ntreprinderi cu un numr de site-uri sau uniti operaionale independente! %cesta ar fi, n mod tipic, ca ul companiilor multinaionale mari cu un numr de filialeD dar se aplic la fel de uor companiilor de dimensiuni medii cu un numr mare de sucursale sau a,enii re,ionale! >n astfel de ca uri, este efecti' dificil s se efectue e numeroase e'aluri sau anali e de risc!

Construirea cadrului de referin al securitii


Chestionarele de e'aluare M$.%R) sunt o bun ba de lucru pentru mana,erii de securitate pentru a decide ce ar trebui s fie aplicat n or,ani aia lor!

estionarea e!cepiilor de la re"uli


Crearea unui set de re,uli, prin intermediul unui cadru de referin al securitii, de multe ori 'ine mpotri'a dificultilor locale de implementareD aadar, dero,rile i e(cepiile de la re,uli trebuie ,estionate! &tili area unei ba e de cunotine coerent, cu un set consistent de instrumente i metodolo,ie analitic, ofer posibilitatea ca di'er,enele locale s fie ,estionate! Cererile pentru e(cepii pot fi incluse ntr-o anali specific a riscului, a(at pe dificultatea identificat! 2.2./ D# enii ac#%erite $e #$ulul $e evaluare a vulnera(ilit!"ii

Aintr-un punct de 'edere al anali ei riscului, referitor la identificarea tuturor situaiilor de risc si dorinei de a acoperi toate riscurile inacceptabile, M$.%R) nu se limitea pur i simplu la domeniul )"! Modulul de e'aluare include, n afar de sistemul de informaii, or,ani aia in ansamblu i protecia site-ului n ,eneral, precum i mediul de lucru si aspecte =uridice si de re,lementare! 2.2.0 +rivire $e ansa (lu asu%ra #$ulului $e evaluare

3in,urul lucru ce trebuie a'ut n 'edere cu pri'ire la modului de e'aluare a securitii este acela c ofer o perspecti' e(tins i consec'ent asupra securitii! %ceasta poate fi utili at ntr-o 'arietate de abordri, e'oluti'e n profun imea i ,ranularitatea anali ei, i poate fi utili at n toate stadiile de maturitate ale contienti rii i or,ani rii securitii ntreprinderii!

Mehari 2010

: / 11

= CL !"# 2010

2.& Analizarea

izel#r

3ecuritatea se refera la prote=area acti'elor! )ndiferent de orientrile politicii de securitate, e(ist un principiu asupra cruia to0i mana,erii sunt de acordD c trebuie s e(iste un echilibru doar ntre in'esti0iile n securitate pe de o parte /i importan0a mi elor de afaceri rele'ante! %ceasta nseamn c o n0ele,ere corespun toare a mi elor de afaceri este fundamental, /i c o anali a mi elor de securitate merit un ni'el de prioritate nalt /i o metod strict /i structurat de e'aluare! 3copul anali ei mi elor de securitate este de a rspunde la dou ntrebri* #Ce s$ar putea nt%mpla, &i dac a fcut$o, ar fi serios'# %cest lucru arat c, n domeniul securit0ii, mi ele sunt ' ute ca fiind consecin0ele e'enimentelor care deran=ea opera0iunile planificate ale unei ntreprinderi sau or,ani a0ii! MEHARI ofer un modul de anali a mi elor, descris n MEHARI* %nali a mi elor /i clasificare, care produce dou tipuri de re ultate* 1 scal a defeciunilor 1 clasificare a informa0iei /i a bunurilor )"

(cala defectiunilor )dentificarea defec0iunilor sau a e'enimentelor poten0iale este un proces care ncepe cu acti'it0ile ntreprinderii /i const n identificarea posibilelor defec0iuni din procesele sale opera0ionale!%ceasta 'a duce la* 1 descriere a tipurilor de defec0iuni posibile 1 defini0ie a parametrilor care influen0ea ,ra'itatea fiecrei defec0iuni 1 e'aluare a pra,urilor critice a acelor parametri care schimb ni'elul de ,ra'itate al defec0iunii!

%cest set de re ultate constituie o scar de 'alori a defec0iunilor! Clasificarea informa)iei &i a bunurilor $ste de obicei, n sistemul )" de securitate,a 'orbi de clasificarea clasificarea bunurilor )"! informa0iilor /i de

1 astfel de clasificare const n definirea, pentru fiecare tip de informa0ii /i pentru fiecare bun )", /i pentru fiecare criteriu de clasificare 4clasic* Aisponibilitate, )nte,ritate, /i Confiden0ialitate de/i alte criterii pot fi utili ate, cum ar fi trasabilitatea5, indicatorilor repre entati'i a criteriului ,ra'itatii care este afectat sau pierdut pentru aceast informa0ie sau acti'! Clasificarea informa0iei /i a bunurilor, pentru sistemele de informa0ii, este scara de 'alori a defec0iunilor definit mai de'reme tradus n indicatori de sensibilitate asocia0i cu bunurile )"! Mehari 2010 ; / 11 = CL !"# 2010

E!primarea mizelor de securitate 3cara de 'alori a defec0iunilor /i clasificarea informa0iei /i a bunurilor sunt dou moduri distincte de e(primare a mi elor de securitate! Prima este mai detaliat /i ofer mai multe informa0ii pentru C)31s!%cesta din urm este este mai ,lobal /i mai utila pentru campanii de sensibili are /i de comunicare, dar este mai pu0in ,ranuloas! 2.&.1 Analizarea izel#r* (aza %entru # analiz! a riscului >n mod clar, acest modul este un element cheie n anali a riscului!#r un acord comun asupra consecin0elor defec0iunilor poten0iale, nici o hotrre pri'ind ni'elurile de risc Fa,onul posibil! M$.%R) pre int o metod ri,uroas de e'aluare a mi elor /i clasificare a acti'elor, care ofer re ultate obiecti'e /i ra0ionale! 2.&.2 Analiza izel#r $e securitate1 %iatra $e te elie %entru #rice %lani-icare $e ac)iune strate2ic! $'ident, anali area mi elor este necesar pentru punerea n aplicare orice form de plan de securitate! $fecti', orice abordare este folosit, la un moment dat, nseamn ca 'a trebui s fie alocate pentru punerea n aplicare a planurilor de ac0iune, /i ine'itabil, =ustificarea pentru astfel de in'esti0ii 'a fi pus la ndoial! Mi=loacele /i fondurile care 'or fi alocate pentru securitate sunt, ca /i pentru poli0ele de asi,urare, n direct propor0ional cu riscul!n ca ul n care nu e(ist un acord comun asupra poten0ialului defec0iunilor, atunci este foarte pu0in probabil ca bu,etele 'or fi alocate! 2.&.& Clasi-icare1 un ele ent esen)ial %entru %#litica $e securitate Cadrele de referin0 de securitate, politicile de securitate, /i abordarea asociate mana,ementul securit0ii au fost de=a men0ionate n acest document! >n practic, companiile care administrea securitatea printr-un set de re,uli sunt obli,ate s diferen0ie e,n ele nsele normele, ntre ac0iunile care urmea s fie efectuate ca o func0ie de sensibilitate al informa0iilor prelucrate!$ste obi/nuit s se fac referire la o clasificare a informa0iilor /i acti'elor sistemului )"! Modulul M$.%R) al anali ei mi elor de securitate ofer mi=loacele pentru a efectua aceast clasificare! 2.&./ Analiza izel#r $e securitate1 (aza %lani-ic!rii securit!)ii Proces de anali a mi elor de securitate, care necesit n mod e'ident contribu0ia mana,erilor opera0ionali, de foarte multe ori duce la ne'oia de ac0iune imediat! $(perien0a arat c, atunci cnd mana,ementul opera0ional de top au fost inter'ie'ate, indiferent de mrimea or,ani a0iei, /i-au e(plicat punctul de 'edere /i estimarea de defec0iuni ,ra'e, acest lucru conduce la ne'oi de securitate pe care ace/tia nu au considerat anterior /i care necesit rspunsuri rapide! Planurile de ac0iune pot fi apoi create direct, folosind o abordare u/oar /i direct ba at pe combinarea a dou seturi de e(perti * aceea a profesiei nse/i, oferit de mana,ementul opera0ional, /i de solutii de securitate, oferite de e(pertii in securitate!

Mehari 2010

10 / 11

= CL !"# 2010

2./. +rezentare 2eneral! a utiliz!ril#r MEHARI


>n mod clar, principala orientare M$.%R) este e'aluarea riscurilor /i de reducere!Ea ele sale de cuno/tin0e, mecanismele /i uneltele au fost create n acest scop! Ae asemenea, n min0ile desi,nerilor setului de metodolo,ii, necesitatea pentru o metod structurat pentru anali a /i reducerea riscului poate fi, n func0ie de or,ani a0ie* 1 metod de lucru permanent-liniile directoare pentru un ,rup speciali at, 1 metod de lucru folosit n paralel cu alte practici de mana,ement al securit0ii, 1 metod de lucru folosit oca ional pentru a completa practicile obi/nuite!

%'nd n 'edere acest lucru, M$.%R) ofer un set de abordri /i instrumente de anali a riscului care s permit s se fac atunci cnd este ne'oie! Metodolo,ia M$.%R), cuprin nd ba ele de cuno/tin0e, manualele /i ,hidurile care descriu diferitele module 4mi e, riscuri, 'ulnerabilit0i5, este aici pentru a a=uta persoanele implicate n mana,ementul securit0ii 4C)31, mana,eri de risc, auditori, C)1 ,!!!5 , n diferitele lor sarcini /i ac0iuni!

Mehari 2010

11 / 11

= CL !"# 2010

&.MEHARI 3i I,O4IEC 25666 ,TANDARD,


1 ntrebare care deseori este pusa* cum corespunde M$.%R) standardelor interna0ionale, n special seriei )31 7 )$C 89:::! 3copul aici este de a e(plica modul n care M$.%R) se potri'e/te cu standardele )31 89::@,89::8 /i 89::;, n termeni de compatibilitate /i obiecti'e!

&.1 O(iectivele res%ective ale lui I,O 4 IEC 25661*25662*25660 3i MEHARI


&.1.1 O(iectivele stan$ar$ului I,O 4 IEC 25662125660 %cest standard pre'ede c o or,ani a0ie ar trebui s identifice cerin0ele de securitate folosind trei surse principale* %nali a de risc, Le,ale, statutare, de re,lementare, sau cerin0e contractuale, 3et de principii, scopuri, /i cerin0e ce se aplic la procesarea informa0iilor pe care or,ani a0ia le-a de 'oltat pentru a spri=ini opera0iunile sale!

#olosind acest drept ba , punctele de control pot fi alese /i implementate folosind lista pre' ut n sec0iunea Gcod de practic pentru mana,ementul securit0ii informa0ionaleG din standard sau din orice alt set de puncte de control ! NB: n domeniul de aplicare al 27002:2005, se stipuleaz c standardul o!er "liniile directoare #i principiile $enerale pentru initierea, implementarea, men%inerea #i m&un t %irea mana$ementului securit %ii in!orma%ionale", ceea ce nseamn c standardul I'( poate !i ) zut ca un punct de plecare* +u toate acestea, I'( , IE+ 2700- stipuleaz c orice e.cludere tre&uie s !ie /usti!icat #i c este accepta&il s se adau$e puncte de control 0Ane.a A 1 A*-2* 3tandardul )31 89::8 ofer o compila0ie de indica0ii, pe care o or,ani a0ie le poate folosi! %cesta constat, totu/i, c lista nu este e(hausti', /i c msurile complementare pot fi necesare! Cu toate acestea, nici o metodolo,ie nu este recomandata pentru crearea unui sistem complet de mana,ement de securitate! Pe de alt parte, fiecare parte a ,hidului de bune practici include introducere /i comentarii cu pri'ire la obiecti'ele propuse, care poate fi un a=utor foarte util! NB: 'tandardul I'(, de asemenea, pre)ede, n domeniul s u de aplicare care poate !i !olosit pentru a "a/uta la construirea ncrederii n acti)it %i inter1or$aniza%ionale"* Acest lucru nu este inclus din nt3mplare, #i scoate n e)iden% un aspect esen%ial c suporterii ai promotiei standard, care este e)aluarea 0c4iar certi!icarea2, din punct de )edere al securit %ii in!orma%iilor, de partenerii #i !urnizorii* &.1.2 ,c#%uri ale I,O 4 IEC 2566112660 3copul clar al )31 7 )$C 89::@ este acela de a Goferi un model pentru a crea /i administra un 'i'te& e &anage&ent al 'ecuritatii in$or&atiilor ale companiei -I.M./0 /i s fie Gfolosit fie intern sau de ctre ter0e pr0i, inclusi' autorit0ile de certificareG!

Mehari 2010

12 / 11

= CL !"# 2010

3copul de e'aluare /i certificare pune un puternic accent pe aspectele formale 4documenta0ia /i nre,istrarea deci iilor, declararea aplicabilit0ii, re,istre, etc5 /i control 4re'i ii, audituri, etc5 $ste clar c ba a abordrii de securitate implic faptul c o anali de risc trebuie s se desf/oare, pentru a e(amina riscurile la care or,ani a0ia ar putea fi e(pus, /i pentru a selecta msurile corespun toare pentru a reduce riscurile la un ni'el acceptabil 4para,raful H!8!@5 ! )31 7 )$C 89::@ stipulea c o metod de anali a riscului ar trebui s fie folosit, dar aceasta nu este o parte din standard, /i nu este propusa nici o metod specific, n afar de inte,rarea PAC% 4Planifica, #a, Ferifica, %ctionea a5 proces recursi' a modelului astfel cum este definit pentru crearea )3M3* Ae asemenea, recomandrile sau cele mai bune practici care pot fi utili ate pentru a reduce riscul sunt Galiniate la cele enumerate n )31 7 )$C 89::8*8::;G, n timp ce o list asociat cu punctele de control este pre' uta n ane(e! >n conformitate cu )31 7 )$C 89::@, ba a de e+aluare a 'i'te&ului e &anage&ent al 'ecurit"*ii nu este att de mult cunoa/terea sau 'erificarea faptului dac deci iile care au fost efectuate sunt corespun toare /i adaptate la ne'oile or,ani a0iei, ci mai de,rab pentru a 'erifica c, odat ce deci iile au fost reali ate, sistemul de mana,ement este de a/a natur nct un auditor sau certificator poate fi si,ur c deci iile au fost implementate cu ade'rat! &.1.& ,c#%urile I,O 4 IEC 2566012667 1biecti'ele acestui standard nu trebuie s constituie o metod de ,estionare a riscurilor ci, mai de,rab, s se stabileasc un cadru minim /i pentru a descrie cerin0ele, pentru procesul de e'aluare a riscului n sine, pentru identificarea amenin0rilor /i 'ulnerabilit0ilor care s permit estimarea riscurilor, ni'elul lor /i apoi s fie n po i0ia de a selecta un mod de tratament asociat /i msurtori care 'i ea e'aluarea /i mbunt0irea situa0iei! 3tandardul pre'ede c o metod de e'aluare a riscului trebuie s fie selectata n conformitate cu aceste cerin0e n scopul de a e'ita utili area metodelor inconsistente sau simpliste, n compara0ie cu inten0ia editorilor standardului! &.1./ ,c#%urile MEHARI M$.%R) este un set consistent de instrumente /i caracteristici metodolo,ice pentru mana,ementul securit0ii si msurilor asociate, pe ba a unei anali e de risc e(acte! %specte fundamentale M$.%R)* modelul su de risc 4calitati' /i cantitati'5, luarea n considerare a eficien0ei msurilor de securitate n loc sau planificate, capacitatea de a e'alua /i simula ni'elurile de risc re idual care re ult din msuri suplimentare,

sunt completari obli,atorii la cerin0ele )31 7 )$C 89::: /i, n special de standarde )31 7 )$C 89::;! Mehari 2010 15 / 11 = CL !"# 2010

&.1.0 C# %ara)ie a #(iectivel#r MEHARI stan$ar$ele I,O 4 IEC 25661 3i 25662 3copurile M$.%R) /i ale standardelor )31 men0ionate mai sus sunt radical diferite! M$.%R) 0inte/te s ofere unelte /i metode care pot fi folosite pentru a ale,e cele mai potri'ite msuri de securitate pentru o or,ani a0ie dat /i pentru a e'alua riscurile re iduale odat ce aceste msuri 'or fi de operate!%cesta nu este obiecti'ul principal declarat al standardelor )31! 3tandardele )31 ofer un set de bune practici, care sunt cu si,uran0 foarte utile, dar nu neaprat potri'ite pentru ceea ce este n =oc n or,ani a0ie,sunt utile pentru a acoperi aspectele de maturitate n si,uran0,planificarea informa0iilor de securitate, unit0i independente interne /i parteneri !

Manualul e re$erinta pri+in 'er+iciile e 'ecuritate M$.%R) ofer eficiente elemente detaliate care pot fi folosite pentru a construi un cadru de securitate /i poate fi comparat cu )31 7 )$C 89::8! La acest punct, este clar c acoperirea M$.%R) este mai lar, dect cea a )31, /i acoper aspecte esen0iale ale securit0ii nu doar a sistemelor informationale!

&.2. C# %ati(ilitatea $intre aceste a(#r$!ri


%bordarea M$.%R) este complet compatibil cu )31 89::8 deoarece, n timp ce ei nu au acelea/i obiecti'e declarate, este relati' u/or s se repre inte re ultatele unei anali e M$.%R) n ceea ce pri'e/te indicatorii )31 89::8! M$.%R) rspunde la necesitatea, e(primat n ambele standarde )31 89::@ /i 89::8, pentru o anali a riscului pentru a defini msurile care ar trebui s fie puse n aplicare! &.2.1 C# %ati(ilitatea cu stan$ar$ul I,O 4 IEC 2566212660 Punctele de control standard sau cele mai bune practici ale )31 sunt n ,eneral comportamentale sau or,ani a0ionale, n timp ce M$.%R), n plus fa0 de ei, sublinia necesitatea unor msuri a cror eficien0 poate fi ,arantat! >n ciuda acestor diferente, re'i uirea 'ulnerabilit0ii M$.%R) ofer tabele de coresponden0 pentru a afi/a indicatorii aliniati cu )31 89::8*8::;, utili abile pentru cei care au ne'oie de a do'edi conformitatea lor cu acest standard! Merit men0ionat aici despre chestionarele Mehari de audit care au fost concepute /i constituite astfel nct s permit mana,erilor opera0ionali sa rule e re'i uiri ale 'ulnerabilitatii /i a deduce capacitatea fiecrui ser'iciu de securitate pentru a reduce aceste riscuri! &.2.2 C# %ati(ilitatea cu stan$ar$ul I,O4IEC 25661 M$.%R) poate fi inte,rat cu uurin in procesele PAC% 4Planific ? $(ecut ? Ferific ? %cionea 5 dup cum se menionea n standardele )317)$C 89::@, n special fa a BPL%I)#)CJB 4KH!8!@5! Mehari acoper n totalitate descrierea sarcinilor care permit crearea ba elor )3M3! Mehari 2010 1) / 11 = CL !"# 2010

Pentru fa a B$L$C&"JB 4KH!8!85 , care urmrete sa implemente e i s administre e )3M3ul, Mehari ofer elemente de nceput folositoare, precum construirea planurilor pentru mana,ementul riscului, cu prioriti are direct le,at de clasificarea riscului i msurarea pro,resului n timpul de utili are al acestora! Pentru fa a BF$R)#)C%B 4KH!8!M5 , Mehari ofer elemente care permit e'aluarea riscurilor re iduale i a pro,reselor reali ate n msurile de securitate! >n plus, orice schimbri ale mediului 4mi ele, ameninrile, soluiile i or,ani area5 pot fi ree'aluate cu uurin de auditurile 'i ate care folosesc re ultatele auditului Mehari iniial! %stfel, planurile de securitate pot fi re'i uite si pot e'olua n timp! Pentru fa a B%CN)1I$%OJB 4KH!8!H5, Mehari necesit implicit controale i mbunt0ire continu a securitii, asi,urnd astfel c obiecti'ele de reducere a riscurilor sunt ndeplinite! >n aceste trei fa e, ct timp Mehari nu se afl n centrul proceselor, are o mare contribuie la e(ecuia lor i le asi,ur eficiena! &.2.& C# %ati(ilitatea cu stan$ar$ul I,O4IEC 2566012667 Cadrul stabilit de acest nou standard este pe deplin aplicabil modului n care Mehari permite ,estionarea riscului, de e(emplu* Procesele pentru anali a, e'aluarea i tratamentul riscului 4preluate din )31 @MMM;5 )dentificarea acti'elor primare i de spri=in plus ni'elurile de clasificare ataate acestora, urmrind anali a mi elor )dentificarea ameninrilor inclu nd ni'elul lor 4e(punere natural5 pentru care Mehari este mai precis n descrierea scenariilor de risc! )dentificarea i cuantificarea eficienei msurilor 4sau controalelor5 de securitate n reducerea 'ulnerabilitilor Combinaia acestor elemente pentru e'aluarea ni'elului de ,ra'itate a scenariilor de risc, pe o scar cu H ni'eluri! %bilitatea de a selecta n mod direct msurile de securitate necesare pentru planurile de reducere a riscului!

Prin urmare, M$.%R) nu este doar inte,rat cu uurin ntr-un proces )3M3, aa cum e promo'at de )31 89::@, ci se i conform n totalitate cu cerinele )31 89::; n le,tur cu o metod de mana,ement a riscului!

Mehari 2010

1. / 11

= CL !"# 2010

L1 E . P R I T D E L1 2 C ( A N G E

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS


11, rue de Mogador 75009 Paris France ) > 55 1 53 25 08 80 clusif@clusif.asso.fr

www.clusif.asso.fr

Mehari 2010

11 / 11

= CL !"# 2010