MEHARI 2007 Concepte Si Mecanisme

MEHARI 2007
Concepte !i Mecanisme
MEHARI este marc! nregistrat! a CLUSIF
Concepte !i mecanisme
10 februarie 2008
Recunoa!tere CLUSIF dore!te s" mul#umeasc" membrilor echipei de lucru care au contribuit la crearea acestui document. CLUSIF dore!te de asemenea s" mul#umeasc" dlui. Valentin P. M"z"reanu !i echipei sale (Alina Marin, Raluca Ungureanu) care au acceptat s" furnizeze aceast" traducere. Dl. Valentin P. M"z"reanu !i desf"!oar" activitatea n cadrul Facult"#ii de Economie !i Administrarea Afacerilor, Universitatea Al.I.Cuza Ia!i !i este director general al Paideia Consulting Ia!i. Pentru mai multe informa#ii despre activitatea dlui. Valentin P. M"z"reanu v" invit"m s" accesa#i www.managementul-riscurilor.ro. V" rug"m s" trimite#i ntreb"rile !i comentariile dumneavoastr" la adresa mehari@clusif.asso.fr
10 februarie 2008
Cuprins
Cuprins ...........................................................................................................................................................................................3 1 Introducere ..................................................................................................................................................................................4 2 Evaluarea mizelor de securitate !i clasificarea informa#iei !i a bunurilor ...................................................................................6 2.1 Introducere ...........................................................................................................................................................................6 2.2 Definirea mizelor de securitate: scara de valori !i clasificarea defec#iunilor........................................................................7 3 Evaluarea st"rii serviciilor de securitate......................................................................................................................................9 3.1 Introducere ...........................................................................................................................................................................9 3.2 Servicii de securitate ............................................................................................................................................................9 3.3 Evaluarea calit"#ii serviciului de securitate ........................................................................................................................11 3.4 Procesul de recenzie a vulnerabilit"#ii ................................................................................................................................14 3.5 Sumar al recenziei vulnerabilit"#ii......................................................................................................................................15 4 Analizarea situa#iilor de risc......................................................................................................................................................16 4.1 Introducere .........................................................................................................................................................................16 4.2 Scenarii de risc ...................................................................................................................................................................16 4.3 Analiza unui scenariu de risc: privire general" asupra abord"rii globale........................................................................17 4.4 Utilizarea bazelor de cuno!tin#e MEHARI.........................................................................................................................33 4.5 Procesul analizei situa#iei de risc........................................................................................................................................33 4.6 Sumar al abord"rii analiza riscului .....................................................................................................................................35 5 Identificarea situa#iilor de risc ...................................................................................................................................................36 5.1 Abordarea direct" care folose!te scara de valori a defec#iunilor ........................................................................................36 5.2 Identificarea sistematic" folosind baza de cuno!tin#e.........................................................................................................36 5.3 Cele dou" abord"ri sunt complementare ............................................................................................................................37 6 Utilizarea modulelor Mehari .....................................................................................................................................................38 6.1 Planuri de securitate pe baz" de analiza riscului ................................................................................................................38 6.2 Planuri de securitate pe baza unui audit .............................................................................................................................45 6.3 Securitatea proiectelor de dezvoltare..................................................................................................................................48 7 Recenzia principalelor mbun"t"#iri n compara#ie cu versiunile anterioare ale mehari............................................................51 7.1 Crearea tabelului impactului intrinsec................................................................................................................................51 7.2 M"surile de conformare ISO 17799 dup" un audit MEHARI ............................................................................................51 7.3 Amintirea mbun"t"#irilor anterioare ale lui MEHARI.......................................................................................................51
10 februarie 2008
1 Introducere
Fiecare CISO (Chief Information Security Officer Ofi#er $ef pentru Securitatea Informa#ional") se confrunt" atunci cnd accept" o nou" func#ie cu acelea!i dou" provoc"ri de baz", acestea fiind: ! Care este mandatul ct de cuprinz"toare este misiunea !i care sunt obiectivele? ! Care ar trebui s" fie planul de atac ce metodologii !i unelte exist" care s" ntruneasc" scopurile managementului securit"#ii? De!i este destul de u!or s" fii de acord cu mandatul, exist" multe posibilit"#i pentru a face fa#" celei de-a doua provoc"ri. Majoritatea oamenilor sunt de acord c" securitatea sistemului informa#ional implic" minimizarea riscurilor asociate cu sistemul informa#ional al ntreprinderii sau al organiza#iei. Totu!i, din cauz" c" minimizarea nu este u!or cuantificabil", unele persoane sugereaz" c" defini#ia ar fi mai bine formulat" prin riscurile devin acceptabile. Acest lucru, n sine, nu este nici el suficient, deoarece nu specific" clar ce este acceptabil sau inacceptabil. Din nou, majoritatea persoanelor au o idee despre cum s" judece ce este inacceptabil; iar un risc se poate spune c" este inacceptabil atunci cnd un bun foarte valoros sau critic este foarte vulnerabil.
Bunuri critice Risc inaccep tabil Vulner abilitat e mare
Figura 1.
Bunuri critice + Vulnerabilitate mare " Risc inacceptabil
Formularea inacceptabilit"#ii n acest mod simplu ne permite s" afirm"m c" scopul managementului securit"#ii este de a preveni ca bunurile de valoare ale organiza#iei s" fie foarte vulnerabile. %innd cont de acest lucru, putem s" ne uit"m acum la unele moduri pentru a g"si r"spunsuri posibile la ce-a de-a doua provocare a unui CISO: ! ! ! ! ncepe#i cu cele mai valoroase bunuri, !i analiza#i, pentru fiecare din ele, modul n care ar putea fi supuse riscului. Apoi stabili#i m"suri preventive !i de protec#ie corespunz"toare ca rezultat la aceasta. ncepe#i cu o evaluare a vulnerabilit"#ii fiec"rui bun, !i apoi reduce#i vulnerabilitatea pn" cnd se ajunge la un nivel acceptabil al riscului. Construi#i scenarii de risc care combin" valoarea bunurilor !i vulnerabilitatea lor. Apoi analiza#i riscurile !i decide#i ce ac#iuni trebuiesc realizate. Amesteca#i !i potrivi#i aceste trei abord"ri n func#ie de circumstan#e.
4 10 februarie 2008
Este clar, deci, c" nu exist" o singur! metod" a managementului securit"#ii, ci un spectru de abord"ri care pot fi folosite n func#ie de modelul de afacere !i dimensiunea organiza#iei, de cultura de securitate a acesteia, de reguli de conducere, sau chiar de stilul personal de management !i de abordarea CISO. De!i nu exist" o formul" magic" pentru a alege abordarea care trebuie folosit", toate abord"rile trebuie s" se foloseasc" de unelte de n"dejde. Valoarea real" a oric"rei metodologii este de a asigura un set consistent !i complet de unelte, cu mijloacele de a te mi!ca flexibil ntre ele. n acest mod, profesioni!tii n securitate sunt ajuta#i la implementarea sistemului lor de management al securit"#ii f"r" a li se impune o abordare sau un rezultat anume. MEHARI a fost dezvoltat n aceast" idee. Reprezint" mai mult dect o metodologie. El este !i un set de unelte. n func#ie de nevoile !i circumstan#ele unei organiza#ii, el se asigur" c" se poate concepe o solu#ie adecvat" pentru managementul securit"#ii, indiferent de abordarea folosit". Abord"rile diferite, !i utilizarea modulelor MEHARI, sunt ilustrate n diagrama de mai jos.
Analiza mizelor & a bunurilor - Clasificare
Auditul serviciilor de securitate Identificarea riscurilor critice Analiza situa#iilor de risc
Planuri de ac#iune bazate pe auditul vulnerabilit"#ii
Planuri de ac#iune bazate pe analiza riscului Planuri
Managemen tul riscului pe baz" de proiect
Planuri de ac#iune bazate pe analiza
Figura 2. Utilizarea modulelor MEHARI pentru diferite abord"ri ale securit"#ii. Vom ncepe prin descrierea diferitelor componente. Mai trziu, vom ar"ta cum poate fi folosit MEHARI n diferite circumstan#e. Acesta va fi prezentat ca un exerci#iu de nv"#are !i nu este n mod sigur f"cut pentru a dicta singurul mod n care poate fi utilizat.
10 februarie 2008
2 Evaluarea mizelor de securitate !i clasificarea informa"iei !i a bunurilor

2.1 Introducere
n toate formele de management, !i decizii manageriale, trebuie f"cut" o evaluare a ceea ce se afl" n joc, !i care va fi impactul deciziei asupra bunurilor companiei. n managementul securit"#ii, exact asta e situa#ia, doar c" ntrebarea este pus" dintr-un unghi diferit. n loc s" caute s" maximizeze c!tigurile, scopul este s" minimizeze pierderile. Miza managementului securit"#ii nu este s" caute oportunit"#i pentru profit, ci s" limiteze posibilitatea pierderilor.
2.1.1 Scopurile unei evalu#ri a mizelor securit#"ii

O astfel de analiz" caut" s" g"seasc" r"spunsuri la ntrebarea dubl": Ce s-ar putea ntmpla !i, dac" s-ar ntmpla, ar fi grav? Acest lucru arat" c" n sectorul securit"#ii, mizele pot fi v"zute ca fiind consecin#ele evenimentelor care perturb" opera#iunile planificate ale unei ntreprinderi sau organiza#ii.
2.1.2 De ce !i cnd ar trebui f#cut# o evaluare?

ntrebarea de baz": Ce s-ar putea ntmpla !i, dac" s-ar ntmpla, ar fi grav? este ntrebarea care este pus" de fiecare dat" cnd reflect"m asupra modului n care ar trebui s" desf"!ur"m opera#iunile. Asta se poate ntmpla atunci cnd se ncepe un nou proiect IT, n timpul unei recenzii a unei strategii, sau cnd este creat un plan de securitate. ntrebarea ce s-ar putea ntmpla este una bun" care d" dovad" de bun sim# !i pruden#". Reflectarea la ct de grave ar putea fi efectele, izvor"!te din nevoia de a aloca mai mult timp !i aten#ie evenimentelor mai grave. Motivele din spatele acestui fapt sunt att de natur" economic" ct !i cultural": ! Bugetele sunt ntotdeauna limitate, !i de aceea este normal s" d"m prioritate protec#iei mpotriva evenimentelor grave. ! Securitatea aduce deseori constrngeri. Este mai u!or s" le accep#i atunci cnd miza este mare. Dac" suntem de acord c" m"surile de securitate ar trebui s" fie n concordan#" cu nivelul de gravitate al poten#ialelor defec#iuni, atunci exist" mai multe moduri de a continua: ! Analize tipice pentru fiecare defec#iune, nso#ite de alegerea solu#iilor corespunz"toare, ! Abord"ri mai sistematice cu solu#ii generice folosite mpotriva defec#iunilor tipice !i praguri de gravitate pentru defec#iuni. Aceast" a doua abordare conduce la no#iunea de clasificare, care va fi discutat" mai trziu. Oricare abordare ar fi aleas", primul pas l reprezint" identificarea poten#ialelor defec#iuni !i a gravit"#ii lor. Atunci cnd se face acest lucru, este preferabil s" se fac" sistematic, !i nu degajat, astfel nct resursele necesare s" poat" fi dedicate !i coordonate corespunz"tor.
10 februarie 2008
2.2 Definirea mizelor de securitate: scara de valori !i clasificarea defec"iunilor

Analiza mizelor de securitate cuprinde: ! Identificarea defec#iunilor suspectate, ! evaluare a gravit"#ii acestor defec#iuni, sub forma unei sc"ri de valori a defec#iunilor, ! Clasificarea bunurilor1 folosind cele trei criterii de baz" (Disponibilitate, Integritate, Confiden#ialitate). Pot fi completate tabelele folosite pentru analiza riscului. Scara de valori a defec#iunilor !i clasificarea informa#iilor !i a bunurilor sunt dou" modalit"#i separate de a exprima mizele de securitate. Prima este mai detaliat" !i ofer" mai multe informa#ii managerilor de securitate. Cea de-a doua este mai global", !i mai util" n comunicarea nivelului de sensibilitate, dar mai pu#in precis".
2.2.1 Scara de valori a defec"iunilor

Identificarea defec#iunilor sau a poten#ialelor evenimente este un proces care ncepe cu activit"#ile ntreprinderii !i este format" din identificarea posibilelor defec#iuni n procesele opera#ionale. Va rezulta n: ! descriere a posibilelor tipuri de defec#iuni, ! defini#ie a parametrilor care influen#eaz" gravitatea fiec"rei defec#iuni, ! evaluare a pragurilor critice ale acestor parametri care modific" nivelul de gravitate al defec#iunii. Acest set de rezultate formeaz" o scar" de valori pentru defec#iuni, numit" n MEHARI scara de valori a defec#iunilor.
2.2.2 Clasificarea informa"iilor !i a bunurilor

Se obi!nuie!te, n securitatea sistemelor IT, s" se vorbeasc" despre clasificarea informa#iilor !i despre clasificarea bunurilor. O astfel de clasificare const" n definirea, pentru fiecare tip de informa#ie !i pentru fiecare bun IT, !i pentru fiecare criteriu de clasificare (clasic: Disponibilitate, Integritate, !i Confiden#ialitate), a indicatorilor reprezentativi ai gravit"#ii n eventualitatea c" acest criteriu se pierde sau este redus pentru acest bun. Astfel: ! Clasificarea confiden#ialit"#ii pentru o informa#ie reprezint" gravitatea dezv"luirii acesteia unei persoane neautorizate ! Clasificarea integrit"#ii pentru o informa#ie reprezint" gravitatea modific"rii sale ilicite sau neautorizate ! Clasificarea integrit"#ii software-ului reprezint" gravitatea modific"rii sale ilicite sau neautorizate ! Clasificarea disponibilit"#ii pentru o informa#ie reprezint" gravitatea ca aceasta s" nu fie disponibil" atunci cnd este necesar" pentru a fi procesat" ! Clasificarea disponibilit"#ii pentru un server reprezint" gravitatea ca acesta s" nu fie disponibil atunci cnd este necesar pentru a rula un proces Se disting de obicei bunurile primare (activit"#ile de afaceri !i informa#iile legate de acestea) !i bunurile auxiliare.
1
10 februarie 2008
Etc.
Clasificarea informa#iilor !i a bunurilor auxiliare reprezint" scara de valori a defec#iunilor definit" mai devreme transpus" n indicatori de sensibilitate asocia#i cu bunurile IT.
2.2.3 Procesul pentru analizarea mizelor de securitate

Procesul pentru crearea sc"rii de valori a defec#iunilor !i a clasific"rii bunurilor sistemelor informa#ionale sunt descrise n: Analiza MEHARI a mizelor !i Ghidul de Clasificare.
10 februarie 2008
3 Evaluarea st#rii serviciilor de securitate
3.1 Introducere
Fiecare manager de securitate, din orice organiza#ie, trebuie, la un moment dat, s" ia n considerare vulnerabilitatea curent" a organiza#iei, cnd se confrunt" cu diferite posibile riscuri, precum accidente, erori umane, sau acte inten#ionate. Vulnerabilitatea este definit" n dic#ionar ca reprezentnd expunerea la pericol. Vulnerabilitatea unui sistem informa#ional reprezint" totalitatea punctelor sale slabe prin care un accident, eroare sau act inten#ionat ar putea d"una organiza#iei. n practic", m"surile de securitate, inclusiv controlul evenimentelor sau al ac#iunilor umane, etc. limiteaz" nivelul de vulnerabilitate. n aceast" m"sur", analiza vulnerabilit"#ii necesit" evaluarea st"rii securit"#ii. MEHARI consider" c" securitatea este implementat" prin servicii de securitate. O analiz" a vulnerabilit"#ii necesit" astfel o recenzie a calit"#ii acelor servicii de securitate. Pe scurt, aceast" recenzie se va numi Recenzie a Vulnerabilit"#ii, sau Auditul de Securitate. Un audit de securitate pentru a analiza securitatea existent" poate reprezenta baza, sau o parte integrant", a unui num"r de abord"ri pentru managementul securit"#ii. Oricare ar fi abordarea pentru managementul securit!"ii, o evaluare a calit!"ii serviciilor de securitate este considerat! deseori ca fiind indispensabil!. Exist" mai multe motive pentru asta: ! n primul rnd, este ntotdeauna mai bine s" #i cuno!ti punctele slabe. Chiar dac", n ! configura#ia actual" a sistemului informa#ional, un punct slab poate fi considerat acceptabil deoarece nu ar rezulta nici o consecin#" grav", este mai bine s" fie consemnat pentru ca s" fie luat n considerare n orice evolu#ie a sistemului, a mediului s"u, sau n poten#ialele atacuri noi. ! n al doilea rnd, pentru mul#i utilizatori, un punct slab care este l"sat n acea stare este considerat ca fiind o demonstra#ie c" managementul de top nu acord" o prea mare importan#" securit"#ii din organiza#ie. Cu ct este mai important !i mai vizibil punctul slab, cu att mai negativ" va fi percep#ia asupra securit"#ii. ! n ultimul rnd, orice atac care reu!e!te s" exploateze un punct slab va face ntotdeauna o impresie negativ" dac" se vorbe!te despre el, oricare ar fi consecin#ele reale (a reu!i accesarea unui sistem care apar#ine serviciilor militare de informa#ii !i apoi s" se vorbeasc" despre asta, va avea ntotdeauna un impact asupra mediei, chiar dac" sistemul nu era sensibil).
3.2 Servicii de securitate

3.2.1 Defini"ie
Un serviciu de securitate reprezint" un r"spuns la o nevoie de securitate, exprimat" n termeni generici !i func#ionali care descriu ce ar trebui s" fac" serviciul, !i care se refer" n general la anumite tipuri de amenin#are.
Concepte !i mecanisme 9 10 februarie 2008
Un serviciu de securitate descrie o func#ie de securitate. Aceast" func#ie este independent" fa#" de mecanismele sau solu#iile reale care asigur" implementarea eficient" a serviciului. De exemplu: serviciul de control al accesului este proiectat (dup" cum sugereaz" !i numele s"u) s" controleze accesul utilizatorilor, sau s" acorde accesul doar utilizatorilor autoriza#i.
3.2.2 Serviciile !i sub-serviciile de securitate

Serviciile de securitate ofer" func#ii care pot, ele nsele, s" necesite servicii complementare, sau subservicii, dup" cum vor fi numite. n exemplul anterior, controlul accesului necesit" identificarea persoanelor autorizate s" acceseze anumite bunuri, ceea ce necesit" un serviciu de autorizare care s" !tie cine este utilizatorul, ceea ce necesit" un serviciu de autentificare care s" filtreze accesul, care necesit" un serviciu de filtrare, !i a!a mai departe. Un serviciu de securitate poate, astfel, s" fie compus dintr-o serie de sub-servicii care sunt combinate pentru a r"spunde unei anumite nevoi. Fiecare component! este, n terminologia MEHARI, un subserviciu al serviciului de securitate principal. Fiecare sub-serviciu !i men#ine propriile sale caracteristici pentru propriile sale func#ii specifice.
3.2.3 Mecanisme !i solu"ii de securitate

Un Mecanism reprezint" un mod specific de asigurare a func#iei unui serviciu sau sub-serviciu (fie total sau par#ial). Acesta poate lua forma, de exemplu, unei proceduri, unui algoritm, sau a unei tehnologii anume. Pentru sub-serviciul de autentificare, men#ionat mai sus, mecanismele posibile pentru autentificarea n sistemele informa#ionale o reprezint" parolele, token-urile, procese !i algoritmi pe baz" de smart card, sisteme biometrice, !i a!a mai departe. Pentru un sub-serviciu dat sunt posibile de obicei mai multe mecanisme. Selec#ia acestora poate deseori avea un efect direct asupra calit"#ii sub-serviciului n discu#ie. O solu"ie de securitate reprezint" implementarea real" a unui mecanism !i include componentele de hardware !i/sau software necesare pentru desf"!urarea sa, procedurile de instalare, !i suportul opera#ional, precum !i structurile organiza#ionale necesare pentru utilizarea sa corect".
3.2.4 Tipuri de servicii de securitate

Unele servicii pot fi considerate a fi m"suri generale, n timp ce altele sunt tehnice. ! M"surile generale reprezint" m"surile de securitate care sunt considerate a fi n general utile, sau chiar necesare, pentru securitatea sistemului informa#ional. Totu!i, efectul lor poate fi observat la nivelul organiza#iei, opera#iunii de securitate sau al con!tientiz"rii, dar f"r" o influen#" direct" asupra situa#iilor de risc specifice. ! M"surile tehnice au un rol specific, un obiectiv direct !i un efect imediat n anumite situa#ii de risc care pot fi definite.
10
10 februarie 2008
3.2.5 Baza de cuno!tin"e a serviciilor de securitate

MEHARI cuprinde o baz" de cuno!tin#e a serviciilor !i sub-serviciilor de securitate. Aceasta combin" mai mult de 200 de sub-servicii aplicabile n securitatea sistemelor informa#ionale. Acestea sunt serviciile care vor fi auditate.
3.3 Evaluarea calit#"ii serviciului de securitate

Serviciile de securitate pot varia n performan#"; acestea vor fi mai mult sau mai pu#in eficiente n activitatea lor, !i mai mult sau mai pu#in robuste n capacitatea lor de a rezista atacurilor directe, n func#ie de mecanismele !i procesele folosite.
3.3.1 Parametri obligatorii

Pentru a m"sura performan#a serviciului, trebuie lua#i n considerare mai mul#i parametri: - Eficien#a, - Robuste#ea, - Permanen#a.
3.3.1.1 Eficien"a serviciului de securitate

Pentru serviciile de natur" tehnic", eficien#a reprezint" o m"sur" a capacit"#ii lor de a asigura eficient func#ia necesar" atunci cnd se confrunt" cu utilizatori mai mult sau mai pu#in competen#i sau cu circumstan#e mai mult sau mai pu#in neobi!nuite. S" lu"m, drept exemplu, sub-serviciul Managementul autoriz"rii accesului la sistemul informa#ional, care implic" atribuirea drepturilor de acces utilizatorilor. Func#ia acestui serviciu este de a se asigura c" doar acele persoane care au autoriza#ia managementului lor primesc efectiv accesul corespunz"tor la sistemul informa#ional. n practic", eficien#a unui serviciu depinde de stricte#ea controalelor asupra autenticit"#ii cererii de autorizare, !i de corelarea rela#iei ierarhice dintre solicitant !i utilizator. Dac" nu se solicit" dect o simpl" coresponden#", f"r" semn"tur" sau certificat, oricine cunoa!te pu#in procesul de autorizare ar putea s" !i aloce necorespunz"tor drepturi de acces, iar calitatea sub-serviciului ar fi considerat" ca fiind slab". Eficien#a unui serviciu care administreaz" ac#iunile umane reprezint" astfel m"sura competen#ei necesare pentru a permite unui utilizator s" treac" de verific"rile existente, sau chiar s" le abuzeze. Pentru serviciile care vizeaz" evenimente naturale (precum detectarea incendiilor, stingerea incendiilor, !i a!a mai departe), eficien#a lor corespunde capacit"#ii lor de a se aplica unor evenimente mai mult sau mai pu#in excep#ionale sau obi!nuite. Dac" este vorba, de exemplu, despre un baraj care trebuie s" mpiedice un ru s" se reverse din cauza ploilor abundente, eficien#a este direct legat" de nivelul apei (puterea inunda#iei) c"reia i se mpotrive!te. n practic!, puterea va fi m!surat! deseori ca o func"ie a caracterului mai mult sau mai pu"in excep"ional al evenimentului. Serviciile care ofer" m"suri generale nu pot, n principiu, s" fie evaluate ca func#ie a efectului lor direct, ci doar prin rolul lor indirect.
Eficien#a m"surilor generale corespunde capacit"#ii lor de a crea planuri de ac#iune sau modific"ri comportamentale semnificative.
3.3.1.2 Robuste"ea serviciului de securitate

Robuste#ea unui serviciu de securitate m"soar" capacitatea acestuia de a se opune unei ac#iuni care este menit" s" treac" de serviciu, sau s" i restric#ioneze eficien#a. Robuste#ea prive!te doar acele servicii care sunt considerate ca fiind tehnice. n exemplul precedent (managementul autoriz"rii accesului), robuste#ea sub-serviciului depinde mai ales de ct de u!or este s" modifici direct tabelul drepturilor de acces ale utilizatorului, care ar permite astfel cuiva s" !i atribuie drepturi de acces f"r" a mai trebui s" urmeze procesele normale de control. Atunci cnd avem de-a face cu servicii pentru administrarea accidentelor sau a evenimentelor naturale (precum detectarea incendiilor, stingerea automat" a incendiilor, !i a!a mai departe), robuste#ea lor va acoperi !i capacitatea lor de a evita s" fie scurt-circuitate sau evitate (fie accidental, sau inten#ionat).
3.3.1.3 Permanen"a serviciului de securitate

Calitatea global" a unui serviciu de securitate necesit" ca serviciul s" fie garantat n timp. Pentru aceasta, orice distrugere a serviciului de securitate sau orice schimbare n parametri care poate interac#iona cu eficien#a sau robuste#ea sa trebuie detectat" !i luate m"suri de remediere. Permanen#a depinde, astfel, de viteza de detectare !i de capacitatea de a reac#iona. Permanen#a m"surilor generale reprezint" capacitatea acestora de a fi evaluate n func#ie de implementare sau eficien#" !i necesit" de asemenea ca indicatorii !i procedurile de control s" func#ioneze eficient. 3.3.2 Defini"ia nivelurilor de calitate pentru serviciile de securitate Calitatea unui serviciu de securitate evalueaz" eficien#a acestuia, robuste#ea lui, !i permanen#a. Global, de aceea, calitatea unui serviciu de securitate include capacitatea sa de a rezista unui atac prin ap"rarea sa de!i nici un castel nu poate fi considerat ca fiind complet ap"rat. Calitatea serviciului de securitate se noteaz" pe o scar" ntre 1 !i 4. Aceast" scar" reflect" competen#a sau hot"rrea necesar" pentru a trece de sistemele ap"rare, pentru a le scurt-circuita, sau pentru a mpiedica sau a face inutil" detectarea neutraliz"rii serviciului. De!i aceast" scar" de valori permite valori decimale, este util s" se dea informa#ii despre valorile ntregi pentru un serviciu de securitate. Calitatea serviciului de securitate evaluat! ca fiind de nivelul 1: Acest serviciu are un nivel minim. Ar putea fi complet ineficient (sau s" nu opun" rezisten#") atunci cnd se confrunt" cu un utilizator obi!nuit, f"r" nici un fel de calificare deosebit", sau slab educat, de asemenea, n domeniul evenimentelor naturale, este posibil s" nu fie de folos n problemele de zi cu zi. Pentru m"surile generale, vor avea un efect mic sau nici unul asupra comportamentului sau eficien#ei organiza#iei.
Calitatea serviciului de securitate evaluat! ca fiind de nivelul 2: Serviciul este de obicei eficient !i continu" s" opun" rezisten#" n fa#a hacker-ului obi!nuit sau pu#in competent. Totu!i, nu este cu siguran#" suficient atunci cnd se confrunt" cu un profesionist cu experien#" n acel domeniu (acesta ar putea fi un profesionist IT, un ho# bine echipat, sau un expert n spargeri fizice). n ceea ce prive!te evenimentele naturale, serviciul va fi rareori suficient pentru a acoperi evenimentele grave de!i acestea se ntmpl" rar. Pentru m"suri generale, un serviciu la acest nivel ar mbun"t"#i doar situa#iile de zi cu zi. Calitatea serviciului de securitate evaluat! ca fiind de nivelul 3: Serviciul este mai eficient !i rezist" n fa#a atacurilor !i a evenimentelor descrise mai sus, dar ar putea fi insuficient contra atacurilor specializate (hackeri bine echipa#i !i cu experien#", ingineri de sistem specializa#i, mai ales dac" ace!tia au unelte sau experien#" n domeniu, spioni profesioni!ti, !i a!a mai departe), sau contra dezastrelor naturale cu adev"rat excep#ionale. Pentru m"suri generale, un serviciu la acest nivel ar avea un oarecare efect asupra unui num"r mare de circumstan#e, totu!i, nu ar oferi cu siguran#" nici o garan#ie pentru probleme sau atacuri grave. Calitatea serviciului de securitate evaluat! ca fiind de nivelul 4: Acesta este cel mai nalt nivel, !i serviciul de securitate va r"mne activ !i eficient n fa#a tuturor evenimentelor !i agresiunilor descrise mai sus. Ar putea totu!i s" fie dep"!it n circumstan#e excep#ionale: cei mai buni sp"rg"tori de coduri din lume cu cele mai bune unelte de spart coduri din lume (ceea ce este posibil dac" unele #"ri vor ca acest lucru s" se ntmple) sau o combina#ie excep#ional" de circumstan#e excep#ionale. Procesul folosit de MEHARI pentru a evalua calitatea serviciului de securitate a fost construit pentru a oferi evalu"ri de calitate care s" corespund" cu defini#iile de mai sus.
3.3.3 Chestionarele MEHARI pentru evaluarea serviciilor de securitate

Setul de metodologie MEHARI , pe lng" metoda n sine, include !i baze de cuno!tin#e. Una dintre aceste baze este o baz" de audit pentru servicii de securitate. Ea este sub form" de chestionare, cu un sistem de evaluare aplicat pentru r"spunsuri. Structura detaliat" a chestionarelor !i sistemul de evaluare sunt descrise n Ghidul MEHARI de evaluare pentru servicii de securitate.
3.3.4 Evaluarea direct# a calit#"ii serviciilor de securitate

MEHARI ofer" de asemenea, pentru acele servicii de securitate definite n baza de cuno!tin#e, un Manual de Referin"e pentru Serviciile de Securitate, care descrie fiecare serviciu, func#ia sa, mecanismele !i posibilele solu#ii, precum !i acele criterii care ar putea fi folosite pentru a m"sura calitatea serviciului. Astfel, este posibil s" se evalueze direct calitatea serviciilor de securitate folosind defini#iile pentru calitatea serviciilor !i indica#iile oferite n manualul men#ionat mai sus.
13
10 februarie 2008
3.4 Procesul de recenzie a vulnerabilit#"ii

Serviciile de securitate, a!a cum sunt ele definite n MEHARI, sunt func#ii de securitate iar aceste func#ii sunt implementate prin solu#ii de securitate care sunt, sau vor fi, instalate n organiza#ie. n practic!, evaluarea vulnerabilit!"ii const! n analizarea sau auditul acelor solu"ii care au fost implementate pentru a asigura func"iile de securitate. Totu!i, exist" n general un num"r de diferite solu#ii n cadrul unei organiza#ii date pentru a asigura aceea!i func#ie de securitate. De exemplu, controlul accesului fizic n incint" este oferit desigur de diferite mecanisme !i solu#ii precum pentru accesul la camerele cu computere, sau alte centre tehnice, precum instala#iile PABX, camerele de conferin#", !i instala#iile electrice importante. Este de asemenea posibil ca controlul accesului logic la diferite sisteme (mainframe-uri, UNIX, NT, !i a!a mai departe) s" poat" fi administrat n mai multe moduri n func#ie de sistem. nainte ca m"car s" ne gndim la un proces de analiz" !i evaluare a serviciilor de securitate, este necesar, mai nti, s" se identifice acele solu#ii care trebuie analizate !i auditate. n MEHARI acesta este motivul pentru ceea ce se nume!te planul de audit sau schema de audit.
3.4.1 Schema de audit

n mod ideal, fiecare serviciu de securitate ar trebui s" fie examinat, !i toate aceste solu#ii care ofer" aceste servicii n organiza#ie ar trebui identificate, astfel nct s" poat" fi auditate individual. Acest lucru ar conduce probabil la o cantitate mare de munc" pentru un rezultat al c"rui nivel al detaliilor ar fi foarte excesiv. n mod eficient, deseori o singur" echip" sau serviciu selecteaz" diferitele solu#ii care pot fi folosite. Alegerile sunt deseori luate pe baza constrngerilor practice !i nu pe baza viziunilor diferite ale cerin#elor de securitate. Diferitele solu#ii de securitate pot folosi mecanisme diferite n timp ce r"mn consecvente n ceea ce prive!te securitatea. Pe aceast" baz", MEHARI sugereaz! crearea unei scheme de audit care s! fac! distinc"ie ntre varia"iile care vor fi analizate la nivel tehnic, coinciznd cu domeniile de responsabilitate. Se poate hot"r c" este cel mai bine s" se analizeze securitatea fizic" a birourilor de management, camerele sistemelor informa#ionale, !i alte zone separate una de cealalt". Procesul detaliat pentru construirea unei scheme de audit este descris n detaliu n Ghidul MEHARI de evaluare pentru serviciile de securitate. Aceast" abordare poate p"rea c" simplific" prea mult necesitatea de a analiza fiecare varia#ie la nivel de sub-serviciu, dar experien#a a dovedit c", n afara cazurilor excep#ionale, este bine adaptat" la o analiz" global" a vulnerabilit"#ii !i a riscului.
3.4.2 Procesul propriu-zis de recenzie a vulnerabilit#"ii

Odat" ce a fost definit" schema de audit, !i varia#iile utile au fost identificate, tot ce mai r"mne de f"cut este s" se evalueze starea serviciilor de securitate corespunz"toare. Acest lucru poate fi f"cut prin chestionarele MEHARI pentru audit (unele dintre care e posibil s" trebuiasc" multiplicate), sau prin analiz" direct" dup" cum a fost explicat mai devreme. Procesul va rezulta ntr-o declara#ie a calit"#ii
serviciilor de securitate. Pentru o descriere mai detaliat", vezi Ghidul MEHARI de evaluare pentru serviciile de securitate.
3.5 Sumar al recenziei vulnerabilit#"ii

n sumar, recenzia vulnerabilit"#ii rezult" n urm"toarele elemente livrabile: ! schem" de audit care face distinc#ia ntre diferite domenii de solu#ii care trebuiesc analizate separat. ! evaluare, pentru fiecare domeniu, a serviciilor de securitate. Aceasta va lua n considerare eficien#a fiec"rui serviciu, robuste#ea sa, !i permanen#a sa. Aceast" evaluare este realizat" fie direct, sau folosind chestionarele MEHARI. ! Un sumar al vulnerabilit"#ilor.
15
10 februarie 2008
4 Analizarea situa"iilor de risc

4.1 Introducere
Aproape fiecare document care prive!te securitatea trateaz" managementul riscului sau analiza riscului. Totu!i, conceptul privind ceea ce constituie un risc nu este neap"rat clar sau universal n#eles. Este incendiul un risc? Este neplata unei facturi sau un client insolvent un risc? Este def"imarea de c"tre competitor un risc? Descrie riscul o situa#ie, o serie de evenimente, sau o m"sur" a pericolului? Att de multe ntreb"ri, la care nu se poate r"spunde pe deplin n acest document! Aceast" sec#iune va aborda concepte mai clare care sunt mai u!or de n#eles: ! Scenarii de risc sau situa#ii de risc ! Evaluarea nivelurilor de risc, sau pe scurt evaluarea riscului. Un scenariu de risc reprezint! descrierea unei defec"iuni #i modul n care defec"iunea poate avea loc. Defec"iunea reprezint! daunele poten"iale, sau deteriorarea direct! cauzat! de defec"iune, #i orice consecin"e indirecte. Este neobi#nuit s! vorbim despre o situa"ie de risc, acolo unde se n"elege c! organiza"ia este poten"ial expus! la un astfel de scenariu. O situa#ie de risc este deseori identificat" ca rezultat al unei analize a mizelor. Totu!i ar putea de asemenea s" fie identificat" la nivelul unui proiect, sau detectat" prin c"utare sistematic". MEHARI ajut" n aceste domenii prin oferirea unei baze de cuno!tin#e cu scenarii de risc. Aceast" sec#iune presupune c" situa#ia/situa#iile de risc au fost identificate. Metoda structurat" pentru identificarea situa#iilor de risc va fi abordat" n capitolul 5 al acestui document. Evaluarea nivelurilor de risc caut! s! cuantifice no"iunea de pericol. Metoda de evaluare folosit" de c"tre MEHARI va fi descris" n acest Capitol.
4.2 Scenarii de risc

Mai devreme n acest document, s-a explicat c" analiza mizelor necesit" identificarea poten#ialelor defec#iuni !i o evaluare a gravit"#ii lor. Descrierea defec#iunii eviden#iaz" doar tipul de consecin#" poten#ial" !i poate degradarea ini#ial" a procesului. Pentru a descrie mai bine !i a analiza ntreg scenariul de risc, este necesar s" definim cauzele !i originea riscului, sau circumstan#ele din care se na!te scenariul. Fiecare scenariu va fi deci descris dup" cum urmeaz": ! Tipul de consecin#" (uneori n rela#ie cu scara de valori predefinit"), ! Tipul de bunuri implicate de c"tre scenariu (uneori n rela#ie cu bunurile critice predefinite), ! Tipurile de cauze care pot conduce la situa#ia de risc.
16
10 februarie 2008
Mai jos este descris un scenariu care poate avea loc: Descrierea scenariului Descrierea evenimentului #i a consecin"ei (consecin"elor sale) Distrugerea datelor de baz " folosite pentru plata salariilor (calcule & parametri) Distrugerea datelor de baz " folosite pentru plata salariilor (calcule & parametri) Descriere a cauzei #i a originii sale ... datorit" unei erori opera#ionale: o defec#iune a dischetei care nu permite citirea datelor ... datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni
4.3 Analiza unui scenariu de risc: privire general# asupra abord#rii globale
Scopul acestei analize este de a evalua doi parametri caracteristici ai riscului care sunt administra#i de c"tre organiza#ie, presupunnd c" scenariul are loc. Ace!ti parametri sunt: - Poten#ialitatea riscului. Aceasta reprezint", ntr-un mod calitativ, probabilitatea ca riscul s" se produc". Producerea nu poate fi modelat" n termeni de probabilitate, care reprezint" o perspectiv" cantitativ", a!a c" MEHARI prefer" termenul de poten#ialitate. Poten#ialitatea reprezint" o func#ie a contextului !i m"surile de securitate aplicate. - Impactul riscului asupra organiza#iei, care reprezint" gravitatea consecin#elor directe !i indirecte ale producerii riscului. Acest impact reprezint" o func#ie a impactului maxim, sau a impactului intrinsec, care a fost definit" n timpul clasific"rii n ceea ce prive!te mizele (sau nivelul pe scara de valori), redus" de c"tre oricare m"suri de securitate adecvate care au fost implementate. Pentru a cuantifica riscul care corespunde scenariului analizat, se vor face evalu"ri ale poten#ialit"#ii !i ale impactului pe o scar" de 4 niveluri. Aceste niveluri sunt descrise mai jos.
4.3.1 Evaluarea poten"ialit#"ii unui scenariu de risc

Obiectivul aici este de a r"spunde la ntrebarea simpl": Ct de probabil! este producerea riscului analizat, #i anume c! scenariul are loc #i creeaz! daune reale?. Pentru a face producerea riscului mai mult sau mai pu#in probabil" pot intra n joc mul#i factori. MEHARI ofer" o abordare analitic" care face distinc#ia ntre diferi#i factori de risc. El eviden#iaz" ceea ce poate face riscul mai probabil sau, invers, care m"suri de securitate ar putea reduce probabilitatea apari#iei lui. nainte de a examina ace!ti factori, este util s" n#elegem scara valorilor de poten#ialitate.
17
10 februarie 2008
Scara valorilor de poten"ialitate: Nivelul 4: foarte probabil La acest nivel, scenariul poate fi considerat c" va avea loc cu siguran#", !i relativ n termen scurt. Atunci cnd se produce, nimeni nu este surprins. Nivelul 3: Probabil Acestea sunt scenarii care se pot produce cu u!urin#", ntr-un termen mai mult sau mai pu#in scurt. Speran#a c" riscul nu se produce este ridicol", dar d" dovad" cu siguran#" de un anumit nivel de optimism. Atunci cnd se produce, oamenii sunt dezam"gi#i, dar nimeni nu este surprins. Nivelul 2: Improbabil Acestea sunt scenarii care, n mod rezonabil, pot fi considerate c" nu se vor produce niciodat". Experien#a din trecut arat" c" ele nu s-au produs niciodat". Ele r"mn, totu!i, posibile, !i nu sunt nerealiste. Nivelul 1: foarte improbabil Producerea riscului este total improbabil". Astfel de scenarii nu sunt strict imposibile deoarece exist" ntotdeauna o posibilitate infinit de mic" ca ele s" se produc". Nivelul 0: Neluat n considerare Aceste scenarii sunt att de imposibile nct nu sunt incluse n setul de scenarii care trebuiesc analizate. Deseori, !i din motive diferite, scenarii care nu trebuiesc analizate sunt clasificate la acest nivel. Evaluarea direct" a poten#ialit"#ii este deseori destul de dificil". Abordarea MEHARI recomand" analiza mai multor factori: ! Expunerea natural" la situa#ia de risc ! Pentru scenariile care privesc actele voluntare, riscul asumat de c"tre r"uf"c"tori ! Condi#iile n care are loc scenariul
4.3.1.1 Expunerea natural!

Prima chestiune privind poten#ialitatea o reprezint" nivelul de expunere la risc. Activit"#ile unei organiza#ii, contextul s"u economic, social sau geografic, toate influen#eaz" modul n care este expus" la diferite tipuri de risc, independent de m"surile n vigoare. - O companie high-tech lider de pia#" este mai expus" la piraterie !i spionaj industrial dect altele. - O companie aflat" pe malurile unui ru este mai expus" la riscul de inunda#ie dect altele. - O organiza#ie care se ocup" de multe tranzac#ii financiare este mai expus" la posibilitatea de fraud". Posibila existen#" a factorilor care ar putea expune organiza#ia la un tip dat de risc trebuie deci s" fie examinat".
18
10 februarie 2008
Organiza#ia este deosebit de expus" sau protejat" atunci cnd se confrunt" cu acest tip de situa#ie?
Poten#ialitate
Pentru o situa"ie de risc dat!, anumite organiza"ii sunt mai expuse dect altele. Cu ct este mai expus! organiza"ia, cu att mai mare este riscul. Expunerea la un risc dat poate depinde de mai mul#i factori: ! Locul unde se afl" !i mediul s"u nconjur"tor, pentru riscuri naturale, ! C!tigurile poten#iale pentru r"uf"c"tori voluntari: precum furtul, jaful, sau satisfac#ia intelectual". ! Probabilitatea ca un act inten#ionat s" vizeze organiza#ia (invers propor#ional cu num"rul de #inte poten#iale) Este relativ obi!nuit ca expunerea natural" la un tip de risc s" creasc" printr-o combina#ie de circumstan#e: ! Anun#area unui plan de redundan#", pentru reavoin#" intern", ! Concentrarea mediei asupra circumstan#elor sau evenimentelor care ar putea deranja popula#ii externe (precum accidente de mediu), sau acordarea unei aten#ii speciale asupra organiza#iei (de exemplu, anun#area unor m"suri de securitate puternice). Invers, este uneori posibil s" se implementeze m"suri pentru a reduce expunerea natural". Aceste m"suri sunt numite, n MEHARI, m"suri structurale: ! Administrarea mediului (fizic", social", etc.): mutarea, ! Dispersarea poten#ialelor #inte ale atacurilor inten#ionate, ! Motiva#ia !i managementul crizei. Expunerea natural" a organiza#iei la un risc dat va fi clasificat" pe o scar" de la 1 la 4, dup" cum este descris mai jos: Expunerea natural! la risc Nivelul 1: Expunere foarte mic" Independent de orice m"sur" de securitate, probabilitatea ca un astfel de scenariu s" aib" loc este foarte redus" !i practic neglijabil". Nivelul 2: Expunere mic" (abia expus) Chiar !i f"r" m"suri de securitate, combina#ia dintre mediu (cultural, uman, geografic sau altul) !i context (strategic, competitiv, social) face ca probabilitatea ca un astfel de scenariu s" se produc", pe termen scurt sau mediu, mic". Nivelul 3: Expunere medie (nu deosebit de expus") Mediul !i contextul ntreprinderii sunt de a!a m"sur" nct, dac" nu se face nimic pentru a-l evita, un astfel de scenariu este menit s" aib" loc pe termen mai mult sau mai pu#in scurt. Nivelul 4: Expunere mare: (deosebit de expus") Mediul !i contextul ntreprinderii sunt de a!a m"sur" nct, dac" nu se face nimic pentru a-l evita, un astfel de scenariu este inevitabil pe termen foarte scurt.
Aceast" evaluare este, de fapt, o prim" reflec#ie asupra nivelului de poten#ialitate al unui scenariu n absen#a oric"rei m"suri de securitate. n exemplul de mai devreme Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, ar trebui f"cut" o analiz" pentru a vedea dac" exist" rela#ii conflictuale cu personalul pentru opera#iuni, dac" ace!tia sunt motiva#i sau nemotiva#i, !i dac" o astfel de ac#iune r"uvoitoare va beneficia cuiva anume. Atunci cnd nu se pot g"si motive anume, entitatea este considerat" ca fiind abia expus" (observnd c" acest lucru nu s-a ntmplat niciodat"), cu un nivel de expunere de gradul 2. O metod! bun! de a evalua expunerea natural! este s! fie considerat! ca o m!sur! cu poten"ialitate intrinsec!, sau ca poten"ialitate f!r! nici o m!sur! de securitate n vigoare.
4.3.1.2 Riscul perceput de c!tre r!uf!c!torul unui act inten"ionat

A doua chestiune se limiteaz" la acele scenarii care privesc actele inten#ionate efectuate de c"tre o persoan" real". Multe dintre aceste acte sunt de natur" r"uvoitoare. Un astfel de act poate reprezenta un risc pentru r"uf"c"tor, care va avea un efect disusiv. Existen#a factorilor disuasivi ar trebui examinat" pentru a struni dorin#ele poten#ialilor r"uf"c"tori. Este organiza#ia deosebit de expus" sau protejat" dac" se confrunt" cu acest tip de situa#ie? Exist" m"suri disuasive pentru acest tip de risc? Sunt ele eficiente?
Poten#ialitate
Hot"rrea asupra unui act r"uvoitor poate reprezenta n mod clar un risc pentru r"uf"c"tor. Cu ct percep"ia riscului este mai mare, cu att este mai pu"in probabil ca r!uf!c!torul s! l ncerce, #i astfel riscul pentru organiza"ie este mai redus. Riscul a!a cum este el perceput de c"tre r"uf"c"torul unui act inten#ionat depinde de: - Mijloacele existente pentru a detecta ac#iunea !i pentru a putea fi g"sit r"uf"c"torul, - Calitatea dovezilor pentru imputare, - Sanc#iunile aplicate, - Cunoa!terea de c"tre r"uf"c"tor a mijloacelor folosite n cazurile anterioare. Ca !i consecin#" la acest lucru, exist" unele ac#iuni sau m"suri care genereaz" reducerea riscului, numite m"suri disuasive n MEHARI: - Detectarea ac#iunilor voluntare ncercate !i nregistrarea ac#iunilor efectuate, - Atribuirea ac#iunilor inten#ionate, ncercate sau efectuate, - Autentificarea puternic" incontestabil", - Reglementarea, cu sanc"iuni severe, - Comunicarea despre sistemele de detectare !i nregistrare. Existen#a acestor m"suri trebuie deci examinat", dar de asemenea !i eficacitatea lor. Aceast" eficacitate va fi m"surat" pe o scar" de la 1 la 4, dup" cum este descris mai jos.
Eficacitatea m!surilor disuasive: Nivelul 1: Efectul m"surilor disuasive este mic sau nul. Poten#ialul atacator poate considera n mod logic c" el sau ea nu se supune la nici un risc personal, deoarece este improbabil s" existe vreun mod de a identifica r"uf"c"torul. Acesta poate deci s" considere c" nu va fi identificat, sau c" va avea posibilitatea de a folosi argumente puternice pentru a refuta orice acuza#ii privind ac#iunile realizate, sau c" orice pedeaps" va fi foarte u!oar". Nivelul 2: Efectul m"surilor disuasive este mediu. Poten#ialul atacator poate considera n mod logic c" el sau ea se supune doar unui risc mic. n orice caz, orice poten#ial prejudiciu personal va fi suportabil. Nivelul 3: Efectul m"surilor disuasive este mare. Poten#ialul atacator poate considera n mod logic c" el sau ea se supune unui risc mare, !i ar trebui s" !i dea seama c" va fi identificat cu siguran#", !i c" pedeapsa va fi grav". Nivelul 4: Efectul m"surilor disuasive este foarte mare. Poten#ialul atacator poate considera n mod logic c" el sau ea ar trebui s" abandoneze orice idee de a realiza ac#iunea. El ar trebui s"-!i dea seama c" va fi identificat cu siguran#", !i c" pedeapsa care va rezulta va dep"!i cu mult orice poten#ial c!tig. Aceast" evaluare ofer" un al doilea nivel de gndire asupra poten#ialit"#ii scenariului. De exemplu n scenariul descris mai devreme Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, exist" necesitatea de a examina num"rul de persoane care au acces la casetele de stocare a fi!ierelor bazei de date, pentru a vedea dac" aceste persoane au deseori ocazia de a fi singuri n camera computerelor, !i pentru a verifica dac" casetele de stocare se afl" sub supravegherea camerelor de filmat cu circuit nchis. F"r" o supraveghere strict" !i vizibil", personalul poate considera pe bun" dreptate c" nu exist" nici un risc pentru ei. O astfel de gndire ar putea duce la presupunerea c" nu exist" m"suri disuasive n vigoare pentru acest scenariu (nivelul 1).
4.3.1.3 Condi"ii pentru ca riscul s! se produc!

Cea de-a treia !i ultima chestiune care trebuie abordat" prive!te condi#iile n care scenariul s-ar putea produce, !i natura mai mult sau mai pu#in obi!nuit" a acestor condi#ii.
21
10 februarie 2008
Este organiza#ia deosebit de expus" sau protejat" dac" se confrunt" cu acest tip de situa#ie? Exist" m"suri disuasive pentru acest tip de risc? Sunt ele eficiente? Exist" m"suri preventive care s" fac" dificil" ndeplinirea acestui scenariu? Sunt ele eficiente? Poten#ialitate
Un scenariu de risc va ajunge un adev!rat dezastru doar dac! anumite condi"ii sunt ndeplinite simultan. Cu ct aceste condi"ii sunt mai obi#nuite, cu att este mai mare riscul de producere. Natura obi!nuit" a acestor condi#ii de producere poate depinde de: - Natura obi!nuit" sau excep#ional" a condi#iilor externe (vreme, tip de accident, etc.), - Nivelul relativ redus de competen#" necesar pentru un act inten#ionat, - Cuno!tin#ele, care sunt mai mult sau mai pu#in necesare, despre organiza#ie !i contextul s"u, - Mijloacele !i resursele necesare (umane, financiare, timp, etc.), - Gradul de noroc sau !ans" necesar. Ca #i consecin"! la acestea, exist! ac"iunile sau m!surile care genereaz! reducerea riscului, numite n MEHARI m!suri preventive: - M"suri pentru securitatea fizic", - M"suri pentru controlul accesului, - Controale preventive integrate n procesele !i aplica#iile computerelor. Existen#a acestor m"suri trebuie deci examinat", dar de asemenea !i eficacitatea lor. Eficacitatea va fi m"surat" pe o scar" de la 1 la 4, dup" cum este descris mai jos: Eficacitatea m!surilor preventive: Nivelul 1: Efectul m"surilor preventive este mic sau nul. Orice persoan" din organiza#ie, sau apropiat" ei, sau chiar cineva care cunoa!te cte ceva despre ea, poate pune n mi!care acest scenariu, cu mijloacele pe care le are la dispozi#ie (sau care sunt u!or de ob#inut). Cauza acestui scenariu o poate reprezenta circumstan#e perfect obi!nuite (utilizare gre!it", eroare, condi#ii nefavorabile obi!nuite). Nivelul 2: Efectul m"surilor preventive este mediu. Un profesionist poate derula scenariul, f"r" necesitatea mijloacelor sau uneltelor speciale n afar"
de cele disponibile n profesie. Acela!i rezultat poate fi produs de circumstan#e naturale rare. Nivelul 3: Efectul m"surilor preventive este mare. Doar un specialist, sau un profesionist cu unelte sau mijloace speciale, sau un grup de profesioni!ti care colaboreaz" !i care !i folosesc mijloacele !i uneltele mpreun" ar putea avea succes. Nivelul 4: Efectul m"surilor preventive este foarte mare. Doar c#iva exper#i hot"r#i, cu mijloace excep#ionale ar putea reu!i. Doar conjunc#ia unor circumstan#e foarte rare sau extrem de excep#ionale ar permite ca acest scenariu s" aib" loc. Aceast" evaluare ofer" un al treilea !i ultim nivel de gndire asupra poten#ialit"#ii scenariului. Pentru scenariul de exemplu descris mai devreme Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, exist" necesitatea de a analiza dac" ntreg personalul de opera#iuni, sau aproape tot, este capabil de a reu!i ntr-un astfel de scenariu, sau dac" este nevoie de o expertiz" anume pentru a reu!i, sau dac" este nevoie de o expertiz" special". n cazul acestui exemplu, ntreg personalul pentru opera#iuni ar putea fi considerat capabil s" reu!easc", !i astfel nivelul m"surilor preventive este mic (nivelul 1).
4.3.1.4 Evaluarea poten"ialit!"ii unui scenariu de risc

Odat! ce a fost evaluat! expunerea natural! la risc care este analizat!, precum #i eficacitatea m!surilor disuasive #i preventive de a limita poten"ialitatea au fost evaluate, apoi urm!torul pas este evaluarea poten"ialit!"ii scenariului care rezult!. Evaluarea global" va utiliza reflec#iile !i rezultatele anterioare, !i va aplica defini#iile nivelurilor de poten#ialitate descrise mai devreme. Pentru scenariul de exemplu utilizat mai devreme Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, cu un nivel 2 de expunere natural" !i m"suri disuasive !i preventive de nivel 1, poten#ialitatea care rezult" ar putea fi considerat" a fi 2, sau Improbabil". Poten#ialitatea este, astfel, o evaluare global" a probabilit"#ii scenariului de a avea loc pn" la final, pe o scar" de 4 niveluri. Include poten#ialitatea intrinsec", m"surat" prin expunerea natural", !i doi factori de reducere a riscului: disuasiunea (pentru actele inten#ionale) !i preven#ia.
4.3.2 Evaluarea impactului unui scenariu de risc

Aici, obiectivul este de a r"spunde la simpla ntrebare: Dac! riscul care este analizat are loc ntr-adev!r, care ar fi gravitatea final! a consecin"elor?. Mul#i factori pot face consecin#ele riscului, sau impactul acestuia, mai mult sau mai pu#in grave.
MEHARI ofer" o abordare analitic" care identific" factorii de risc, n timp ce eviden#iaz" influen#ele care pot face consecin#ele mai grave, sau dimpotriv", care m"suri de securitate ar putea reduce gravitatea impactului s"u. nainte de a analiza ace!ti factori, mai jos este definit" o scar" a impactului, identic" n toate sensurile cu cea introdus" n sec#iunea analizei mizelor de mai sus din acest document !i mai detaliat" n Ghidul analizei #i al clasific!rii mizelor. Scara impactului: Nivelul 4: Vital La acest nivel, defec#iunea posibil" este att de grav" nct pune n pericol pn" !i existen#a sau supravie#uirea organiza#iei sau a uneia dintre principalele sale activit"#i. Dac" organiza#ia ar supravie#ui, ar r"mne urme durabile !i grave. Nivelul 3: Foarte grav Acesta reprezint" defec#iuni foarte grave pentru organiza#ie, f"r" a compromite neap"rat viitorul s"u. n termeni financiari, acest lurcru ar reduce mult rezultatele anuale, de!i ac#ionarii ar putea continua s"-!i p"streze ac#iunile. n termeni de imagine, nivelul pierderii de imagine a brandului ar necesita multe luni pentru a fi recuperat, de!i costul pentru a face acest lucru este greu de evaluat. Dezastrele care creeaz" dezorganizare evident" pentru o perioad" de mai multe luni ar fi !i ele evaluate la acest nivel. Nivelul 2: Grav Acest nivel reprezint" defec#iuni care au un impact accentuat asupra opera#iunilor entit"#ii, rezultatelor sale sau imaginii sale, dar consecin#ele sunt de obicei suportabile. Nivelul 1: Nesemnificativ Daunele care rezult" dintr-o defec#iune la acest nivel nu au practic nici un impact observabil asupra rezultatelor entit"#ii sau a imaginii sale, chiar dac" mai multe persoane vor trebui s" cheltuiasc" mult timp !i energie pentru a aduce situa#ia la normal. Evaluarea direct" a impactului final, rezidual a unui risc este deseori dificil". n abordarea MEHARI, este mai nti analizat impactul intrinsec, apoi mai mul#i factori de reducere. Ace!tia sunt: ! Atenuarea consecin#elor directe ale riscului prin izolarea sau limitarea acestuia, ! Atenuarea consecin#elor directe ale riscului prin m"suri paliative, ! Transferul ntregului risc sau a unei p"r#i din acesta asupra unei ter#e p"r#i.
4.3.2.1 Impactul intrinsec

Dac" scenariul analizat a fost creat ca rezultat al unei analize a mizelor !i ncepnd cu o poten#ial" defec#iune, gravitatea defec#iunii a fost deja evaluat" folosind scara de valori.
Dac" scenariul este creat f"r" o analiz" a mizelor anterioar", de exemplu ca parte a unui proiect, gravitatea intrinsec" ar trebui evaluat" folosind procesul descris n Ghidul MEHARI al analizei #i al clasific!rii mizelor. Se presupune de aceea c" o evaluare preliminar" a impactului scenariului asupra sc"rii de valori a fost f"cut". Scara de valori a defec#iunilor
Care este gravitatea maxim" a consecin#elor unui scenariu de risc?
Impact
Merit" observat faptul c" aceast" prim" evaluare este o estimare maxim". De fapt, n timpul acestui pas, m"surile de securitate care ar putea reduce gravitatea consecin#elor riscului poten#ial nu ar trebui luate n calcul. Aceste m"suri vor fi luate n calcul n timpul analizei riscului. Prima evaluare a impactului, dedus! din scara de valori a defec"iunilor sau evaluat! direct, poate fi considerat! ca impact intrinsec, cu alte cuvinte cel mai r!u caz (sau valoarea maxim!) pentru consecin"ele riscului f!r! nici o m!sur! de securitate. Pentru scenariul de exemplu utilizat mai devreme Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, scara de valori a defec#iunilor ofer" o valoare de referin#" pentru !tergerea unor astfel de date (iar dac" nu apare nici o defec#iune privind datele despre plat" n scara de valori, impactul corespunz"tor ar fi considerat neglijabil). Pentru a continua cu exemplul, scara de valori a defec#iunilor pentru pierderea acestor date ar fi considerat" ca ar"tnd nivelul 3 (foarte grav).
4.3.2.2 Limitarea consecin"elor directe: limitarea riscului

Prima chestiune care trebuie adresat" privind limitarea riscului este limitarea consecin#elor directe ale producerii riscului. Anumite daune care rezult" dintr-un eveniment pot, de fapt, fi limitate n spa#iu sau timp de c"tre precau#iile sau interven#iile anterioare: - Un incendiu poate fi limitat la o zon" prin mai multe mijloace (pere#i parafoc, al#i separatori) sau prin interven#ie direct" (detectare !i stingere). - Inunda#ia poate fi limitat" n consecin#ele sale directe prin interven#ie (detectarea scurgerilor sau umezelii, nchiderea conductelor) sau prin mijloace specializate (inundare controlat", scurgere natural"). - O eroare poate fi limitat" n efectele sale spa#iale (propagare) sau n timp, prin sisteme de detectare sau proceduri de control. - Proliferarea unui virus poate fi oprit" folosind sisteme antivirus. - Hacking-ul poate fi limitat n timp sau importan#" prin sisteme de detectare a intruziunii !i alte mijloace asociate.
n mod clar, trebuie pus" problema dac" exist" factori care ar limita gravitatea consecin#elor directe ale unui risc, spa#ial sau temporal, !i asta n compara#ie cu nivelul maximal ini#ial de gravitate evaluat la nceput. Care este gravitatea maxim" a consecin#elor unui risc? Exist" m"suri de limitare care ar limita extinderea riscului? Sunt aceste m"suri eficiente? Impact Scara de valori a defec#iunilor
Consecin"ele directe unui scenariu de risc care are loc efectiv se pot ntinde sau propaga n timp #i spa"iu, sau pot fi limitate. Riscul va fi mai mare dac! limitarea este mai slab!. Limitarea consecin#elor directe ale unui risc depinde de: - Izolarea bunurilor unul de altul, sau compartimentarea. - Detectarea m"surilor specifice riscului n discu#ie, - Capacitatea organiza#iei de a reac#iona atunci cnd se confrunt" cu acest tip de risc. Corolar: Exist" ac#iuni sau m"suri de reducere a riscului, !i anume m"suri de limitare, de asemenea numite !i m"suri de protec#ie2 n MEHARI. - M"suri pentru izolare !i compartimentare fizic", - M!suri de detectare (intruziune, accidente, erori, etc.), - Post-controale integrate n procese !i aplica#ii ale computerului, - Capacit"#i de investiga#ie asupra detect"rii anomaliilor, - Capacit"#i de interven#ie rapid". Existen#a !i eficacitatea acestor m"suri trebuie s" fie examinat". Eficacitatea lor va fi evaluat" pe o scar" de la 1 la 4, dup" descrierea de mai jos: Eficacitatea m!surilor de limitare sau de protec"ie Nivelul 1: Efectele limit"rii !i limitarea consecin#elor directe sunt foarte slabe sau nule. Fie dauna !i consecin#ele sale directe nu pot fi limitate, fie nu va fi detectat" pentru ceva timp. M"surile de corectare posibile vor avea deci doar o influen#" restrns" asupra nivelului consecin#elor directe. Nivelul 2: Efectele limit"rii !i limitarea consecin#elor directe sunt medii. Chiar dac" dauna !i consecin#ele sale directe pot fi limitate, timpul pentru a le detecta este mare,
2
Aceste m"suri, numite m"suri de protec#ie n Mehari, sunt deseori m"suri de detec#ie / reac#ie Concepte !i mecanisme 26 10 februarie 2008
sau reac#ia este nceat". M"surile de corectare posibile pot avea o oarecare influen#" asupra impactului, dar consecin#ele directe sunt nc" foarte mari. Nivelul 3: Efectele limit"rii !i limitarea consecin#elor directe sunt mari. Evenimentul este detectat rapid, cu reac#ie imediat". M"surile de corectare posibile vor avea o anumit" influen#" asupra impactului direct, care r"mne real dar limitat n scop, !i manevrabil. Nivelul 4: M"surile au un efect foarte puternic. nceputul scenariului este detectat n timp real !i m"surile sunt puse n func#iune imediat. Consecin#ele directe sunt imediat limitate la deteriorare datorit" accidentului, erorii sau ac#iunii inten#ionate (uneori r"uvoitoare). Aceast" evaluare ofer" un prim nivel de reflec#ie asupra nivelului real al consecin#elor directe ale scenariului. Pentru scenariul de exemplu folosit n aceast" sec#iune Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, ar trebui f"cut" o examinare pentru a identifica dac" exist" m"suri de limitare care s" asigure interven#ia nainte ca vinova#ii s" !tearg" complet fi!ierele cu date !i istoria acestora. R"spunsul este probabil nu, dac" datele istorice nu au un sistem de management specific, care s" permit" detectarea anomaliilor.
4.3.2.3 Limitarea consecin"elor indirecte ale unui risc: m!suri paliative

A doua chestiune care trebuie adresat", privind consecin#ele unui risc, este legat" de posibilele reac#ii odat" ce evenimentul a fost detectat !i dauna limitat". Nici o organiza#ie nu ar putea s" nu reac#ioneze, totu!i, nivelul consecin#elor reale va depinde de calitatea reac#iei.
Care este gravitatea maxim" a consecin#elor scenariului de risc? Exist" m"suri de limitare care ar limita extinderea riscului? Sunt aceste m"suri eficiente?
Scara de valori a defec#iunilor
Impact Exist" m"suri paliative care s" atenueze gravitatea acestui tip de risc? Sunt ele eficiente? Situa"ia de criz! generat! de producerea unui risc poate fi anticipat! #i preg!tit!.
Cu ct preg!tirea este mai pu"in!, cu att mai mare va fi riscul. Nivelul de preg"tire pentru o situa#ie de criz" depinde de: - Identificarea n prealabil a modurilor de operare degradate acceptabile: func#ii minime care trebuiesc ndeplinite !i servicii indispensabile, - Anticiparea !i preg"tirea solu#iilor paliative corespunz"toare, - Preg"tirea !i educarea personalului pentru a face fa#" situa#iilor de criz" (managementul de criz", comunicarea de criz", etc.). Corolar: exist" ac#iuni sau m"suri pentru reducerea consecin#elor indirecte. Acestea sunt numite m"suri paliative n MEHARI, !i includ: - Examinarea n prealabil a ce servicii minime ar trebui oferite precum !i planificarea de urgen#", - Preg!tirea planurilor de ntre"inere #i de recuperare (planuri de rezerv", planuri de continuitate a afacerii, planuri de restaurare, etc.), - Preg"tirea !i educarea echipelor (teste tehnice, media-training, etc.). Existen#a !i eficacitatea acestor m"suri trebuie examinat". Eficacitatea lor va fi evaluat" pe o scar" de la 1 la 4, dup" descrierea de mai jos: Eficacitatea m!surilor paliative Nivelul 1: Efectele limit"rii consecin#elor indirecte sunt foarte mici sau nule. Fie sunt folosite m"suri complet improvizate fie se consider" c" acestea nu vor avea nici un efect. Nivelul 2: Efectele limit"rii consecin#elor indirecte sunt medii. Solu#iile de recuperare sau paliative au fost planificate n mare, dar lipsesc detaliile. S-a considerat c", din cauza lipsei detaliilor, va exista o lips" de eficien#" corespondent" ale m"surilor paliative. Timpul pentru a restabili opera#iunile normale nu poate fi prev"zut cu precizie, sau nu va schimba fundamental gravitatea daunelor cauzate. Nivelul 3: Efectele limit"rii consecin#elor indirecte sunt mari. M"surile paliative nu numai c" au fost bine planificate !i organizate, ci !i testate !i validate. Timpul pentru a restabili opera#iunile normale poate fi estimat sau cunoscut precis, !i este de a!a natur" nct va reduce considerabil gravitatea consecin#elor indirecte ale scenariului. Nivelul 4: Efectele limit"rii consecin#elor indirecte sunt ntr-adev"r foarte mari. Opera#iunile normale vor continua f"r" o ntrerupere observabil". Aceast" evaluare ofer" un al doilea tip de reflec#ie asupra nivelului real al consecin#elor indirecte ale scenariului. Pentru scenariul de exemplu folosit n aceast" sec#iune Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, ar trebui f"cut" o analiz" pentru a vedea dac" sunt f"cute back-up-uri ca m"suri paliative, !i dac" acestea vor asigura restaurarea bazei de date, m"car pentru datele istorice pentru ultimul an. Acest lucru ar reduce nivelul de impact la 2 (distrugerea datelor pentru anul curent fiind
evaluat" ca fiind de nivel 2 n timpul analizei mizelor), sau ar limita chiar pierderea datelor la luna curent", ceea ce ar reduce nivelul impactului la 1. Rezultatul va depinde desigur de faptul dac" se fac sau nu back-up-uri, dar !i de vrsta lor maxim posibil" (!i deci frecven#a lor).
4.3.2.4 Limitarea pierderilor totale: transferul riscului

Cea de-a treia !i ultima chestiune despre consecin#ele unui risc prive!te posibilitatea de a reduce pierderile prin transferarea unora dintre ele asupra unei p"r#i ter#e. n mod tipic, acest lucru ar privi asigurarea sau procedurile criminale. Scara de valori a defec#iunilor
Care este gravitatea maxim" a consecin#elor scenariului de risc? Exist" m"suri de limitare care ar limita extinderea riscului? Sunt aceste m"suri eficiente? Exist" m"suri paliative care ar atenua gravitatea acestui tip de risc? Sunt ele eficiente?
Impact
Ar putea fi recuperate unele dintre aceste pierderi prin asigurare sau proceduri criminale? Pierderile totale pot fi poten"ial transferate par"ial asupra p!r"ilor ter"e precum asigurarea, sau prin proceduri criminale. Caracterul eficient al acestui transfer depinde de: - Identificarea n prealabil a situa#iilor de risc IT specifice care ar trebui acoperite de asigurare, - Poli#e de asigurare corespunz"toare pentru riscurile care ar trebui acoperite, - Analiza precis" a situa#iilor care sunt excluse, !i m"surile ulterioare care sunt luate, - Preg"tirea elementelor de dovad", cu considerarea procedurilor criminale poten#iale, !i validarea acceptabilit"#ii lor n tribunal (juridic). Corolar: exist" ac#iuni sau m"suri pentru a reduce riscul, numite m"suri de recuperare n MEHARI. Acestea includ: - Analiza specific" a riscurilor care ar trebui acoperite de c"tre poli#ele de asigurare, - Acoperirea riscurilor care sunt peste nivelul acceptat de c"tre asiguratori, - Preg"tirea specific" a procedurilor criminale. Existen#a !i eficacitatea acestor m"suri va fi evaluat" pe o scar" de la 1 la 4, dup" descrierea de mai jos: M!suri de recuperare:
Nivelul 1: Efectul m"surilor de recuperare este mic sau nul. Ceea ce poate fi recuperat prin asigurare sau procese legale nu este nimic n compara#ie cu daunele cauzate de impactul global al scenariului !i consecin#ele sale. Nivelul 2: Efectul m"surilor de recuperare este mediu. Ceea ce poate fi recuperat nu este neglijabil, dar organiza#ia este responsabil" pentru cea mai mare parte a impactului scenariului. n cazul unui incident major, nu este sigur c" transferul riscului ar permite organiza#iei s" continue opera#iunile. Nivelul 3: Efectul m"surilor de recuperare este ridicat. Ceea ce este recuperat prin asigurare sau procese legale este destul pentru a atenua serios impactul scenariului. n orice caz, opera#iunile pot continua. Nivelul 4: Efectul m"surilor de recuperare este foarte ridicat. Orict de grav este dezastrul, impactul rezidual este a!teptat s" r"mn" suportabil. NOT$: Defini#iile de mai sus corespund cu ceea ce se a!teapt" asiguratorii n general. De fapt, poli#ele de asigurare nu sunt f"cute ca s" fac" consecin#ele unui risc complet neglijabile ci de obicei pentru a evita insuportabilul, sau m"car pentru a limita scopul consecin#elor unui risc grav dar suportabil. Aceast" evaluare ofer" un al treilea !i ultim nivel de reflec#ie asupra nivelului real al consecin#elor globale ale unui scenariu. Pentru scenariul de exemplu folosit n aceast" sec#iune Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, ar trebui f"cut" o analiz" pentru a vedea dac" poli#ele de asigurare ar reduce nivelul de risc, !i dac" un caz legal ar avea succes (ceea ce ar presupune, printre altele, c" persoana n cauz" ar fi g"sit" vinovat", !i ar avea destui bani pentru a acoperi daunele). n cazul acestui exemplu, r"spunsul se pare c" este nu.
4.3.2.5 Evaluarea impactului global al scenariului de risc

Impactul intrinsec care a fost definit prin scara de valori #i evaluarea eficacit!"ii m!surilor de atenuare care ar limita impactul riscului (m!suri de protec"ie, paliative #i de recuperare) va oferi impactul global al scenariului. Pentru evaluarea nivelului global al riscului, vezi defini#iile date mai devreme. n timpul evalu"rii globale ar trebui luate n considerare nivelurile precedente de reflec#ie. n scenariul de exemplu folosit n aceast" sec#iune, impactul global rezidual poate fi evaluat la nivelul 2 (grav), sau chiar 1 (neglijabil) dac", n ciuda absen#ei m"surilor de protec#ie sau de recuperare, m"surile paliative sunt considerate a fi suficient de eficiente. Impactul este deci o evaluare global! a nivelului consecin"elor, pe o scar! de 4 niveluri, care ia n considerare impactul intrinsec #i cei trei factori de atenuare (de protejare, paliativ #i de recuperare).
30
10 februarie 2008
4.3.3 Gravitatea rezultant# unei situa"ii de risc

Gravitatea unui scenariu de risc sau a unei situa#ii de risc este o func#ie a poten#ialit"#ii sale !i a impactului s"u. Aceasta nu este o simpl" formul" matematic" care folose!te cele dou" valori, ci o judecat" asupra acceptabilit"#ii (sau nu) a situa#iei. Ca func#ie a poten#ialit"#ii !i a impactului riscului care este analizat, singura ntrebare care mai r"mne este: Este situa"ia de risc acceptabil! a#a cum este ea, sau dac! nu ce ar trebui f!cut? Pentru scenariul de exemplu folosit n aceast" sec#iune Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, trebuie luat" o decizie pentru a vedea dac" este sau nu acceptabil ca personalul de opera#iuni s" poat" !terge baza de date, chiar dac" producerea este improbabil" n timp ce impactul s"u este limitat, dar totu!i ridicat. Dac" se analizeaz" mai multe situa#ii de risc, la diferite momente n timp, se poate s" merite crearea unui tabel al deciziilor pentru a asigura coeren#a deciziilor luate la momente diferite sau de c"tre persoane diferite. Acest tabel al deciziilor poate fi reprezentat printr-un tabel al acceptabilit"#ii riscului sau tabel al aversiunii fa#" de risc care define!te, ca func#ie a impactului estimat !i a poten#ialit"#ii, dac" riscul este acceptabil. MEHARI propune trei categorii de risc: - Riscuri insuportabile, care necesit" m"suri urgente, peste ciclurile normale de buget. - Riscuri inadmisibile, care trebuiesc reduse sau eliminate la un moment dat. Acest lucru ar trebui integrat n ciclul de planificare (planul de securitate). - Riscuri tolerabile. Primele dou" categorii corespund cu ceea ce a fost numit mai devreme riscuri inacceptabile. Un tabel de prob" al acceptabilit"#ii riscului este ar"tat mai jos. n acest exemplu, S reprezint" gravitatea global" evaluat" ca func#ie a impactului (I) !i poten#ialit"#ii (P). Un nivel al gravit"#ii de valoare 4 corespunde unui risc insuportabil, de nivelul 3 unui risc inadmisibil !i valorile mai mici riscurilor tolerabile.
I=4 S = 2 I=3 S = 2 I=2 S = l I=1 S = l P=1
S=3 S=3 S=2 S=l

P=2
S=4 S=3 S=2 S=l

P=3
S=4 S=4 S=3 S=2

P=4
Figura 4: Tabelul acceptabilit"#ii riscului
4.3.4 Privire general# asupra procesului de analiz# a riscului

Abordarea care a fost descris" mai sus poate fi rezumat" prin figura de mai jos:
Identificarea unei situa#ii de risc Evaluarea expunerii naturale
Evaluarea factorilor disuasivi !i de prevenire
Evaluarea Poten#ialit"#ii
Ajutor poten#ial: Scara de valori a defec#iunilor sau clasificarea n prealabil
Evaluarea impactului intrinsec
Evaluarea factorilor de protec#ie, paliativi !i de recuperare
Evaluarea reducerii impactului Evaluarea impactului
Evaluarea riscului global
Decizia dac" riscul este acceptabil Figura 5: Analiza situa#iei de risc
32
10 februarie 2008
4.4 Utilizarea bazelor de cuno!tin"e MEHARI

Printre bazele sale de cuno!tin#e, MEHARI ofer" o baz" a scenariului de risc (Manualul MEHARI de referin"e). Exist" mai multe situa#ii n care se cuvine s" se foloseasc" aceast" baz" de cuno!tin#e: - Scenariile bazei de cuno!tin#e sunt descrise ntr-un mod general, astfel nct s" poat" fi folosite pentru situa#ii de risc ntlnite mai frecvent. Frecvent, o anumit" situa#ie de risc, detectat" n timpul unui proiect sau datorit" cererii managementului pentru mai multe detalii, corespunde foarte ndeaproape cu unul din scenariile din baz". Astfel, scenariul de exemplu folosit n aceast" sec#iune Distrugerea datelor de baz" folosite pentru plata salariilor (calcule & parametri) datorit" !tergerii inten#ionate a fi!ierelor de c"tre un membru al personalului pentru opera#iuni, corespunde scenariului 10.31 din baza MEHARI: distrugerea masiv" a arhivelor !i a datelor de c"tre personalul de opera#iuni. - Exist" !i abord"ri care constau n analizarea tuturor situa#iilor de risc care par critice. Baza de cuno!tin#e poate fi folosit" pentru a selecta scenariile, !i apoi pentru a continua cu analiza acestora.
4.4.1 Folosirea manualului de referin"e pentru scenariul de risc

Paragrafele anterioare au oferit defini#ii generice ale expunerii naturale la risc !i ale eficacit"#ii m"surilor disuasive !i de prevenire. De asemenea, au fost oferite defini#ii generice pentru impactul intrinsec, eficacitatea m"surilor de protec#ie, paliative !i de recuperare. Manualul MEHARI de referin#e pentru scenarii ofer", pentru ace!ti factori diver!i, !i pentru fiecare scenariu din baz", defini#ii care sunt ajustate corespunz"tor pentru cazul n discu#ie. Pe lng" defini#ii, baza ofer", sub form" de comentarii, detalii privind ntreb"rile pertinente care ajut" la evaluarea fiec"ruia dintre ace!ti parametri. Procesul detaliat de analiz" a riscului care folose!te bazele de cuno!tin#e MEHARI este descris ntr-un document specific: Ghidul MEHARI de analiz! a riscului.
4.4.2 Folosirea procedurilor automatizate MEHARI

MEHARI ofer", n baza sa de cuno!tin#e, mai multe ajutoare pentru analiza riscului: - Asisten#" n evaluarea expunerii naturale, - Proceduri automatizate pentru evaluarea factorilor de atenuare a riscului (disuasivi, preventivi, de protec#ie, paliativi !i de recuperare) ca func#ie a calit"#ii serviciilor de securitate dac" au fost evaluate n prealabil de c"tre un audit MEHARI. - Un tabel generic al impactului intrinsec care poate fi m"rit ca rezultat al unei proceduri de clasificare sau direct dintr-o scar" de valori a defec#iunilor. - Proceduri automatizate pentru calcularea poten#ialit"#ii !i a impactului, ca func#ie a expunerii naturale, !i a impactului intrinsec !i a factorilor de atenuare a riscului. Pentru a facilita abordarea global" a MEHARI, aceste ajutoare sunt aplicabile pentru fiecare dintre scenariile la care se face referin#" n baza de scenarii MEHARI. Procesul de analiz" a riscului care folose!te baza de scenarii MEHARI !i procedurile sale automatizate sunt detaliate n Ghidul MEHARI de analiz! a riscului.
4.5 Procesul analizei situa"iei de risc

n sumar, procesul de analiz" a situa#iei de risc include o abordare de baz", sau global", cu posibila
asisten#" a procedurilor automatizate, n func#ie de modul n care este descris" situa#ia !i de existen#a unui audit anterior a serviciilor de securitate. Procesul total !i capacit"#ile de asisten#" pe care le poate oferi MEHARI pentru studiul situa#iilor de risc (fie extrase din baza MEHARI sau asem"n"toare) sunt ar"tate mai jos:
Identificarea unei situa#ii de risc Evaluarea expunerii naturale

Asisten"!, dac! este asem!n!tor cu un scenariu MEHARI Tabelul standard al expunerii Comentarii n baza de cuno!tin#e global" Asisten"!, dac! este asem!n!tor cu un scenariu MEHARI: Comentarii n baza de cuno!tin#e global" Procedura automatizat" de calcul STATUS dac" exist" un audit anterior Asisten"!: Tabele standard sau specifice ntreprinderii, n func#ie de situa#ia de risc Asisten"!: Scara de valori a defec#iunilor sau clasificare predefinit"
Evaluarea factorilor disuasivi !i de prevenire
Evaluarea Poten#ialit"#ii
Evaluarea impactului intrinsec
Evaluarea factorilor de protec#ie, paliativi !i de recuperare
Asisten"!, dac! este asem!n!tor cu un scenariu MEHARI: Comentarii n baza de cuno!tin#e global" Procedura automatizat" de calcul STATUS dac" exist" un audit anterior Asisten"!: Tabele standard sau specifice ntreprinderii, n func#ie de situa#ia de risc
Evaluarea reducerii impactului Evaluarea impactului
Evaluarea riscului global
Asisten"!: Tabele standard sau specifice ntreprinderii de acceptabilitate a riscului
Decizia dac" riscul este acceptabil
Figura 6: Procesul de analiz" a riscului, !i ajutorul !i asisten#a MEHARI
34
10 februarie 2008
Merit" men#ionat faptul c" procedurile automatizate men#ionate mai sus sunt op#ionale pentru fiecare pas. Practic, asta nseamn" c" rezultatele generate de ele ar trebui considerate ntotdeauna ca propuneri, !i s" fie validate nainte de a fi acceptate !i aplicate n organiza#ie.
4.6 Sumar al abord#rii analiza riscului

n sumar: ! situa#ie de risc poate fi caracterizat" de c"tre poten#ialitatea sa intrinsec" !i de impact, n absen#a oric"ror m"suri de securitate. ! Poten#ialitatea intrinsec" !i impactul pot fi evaluate. ! M"surile de securitate pot reduce riscul intrinsec prin factori semnificativi de reducere a riscului. ! Factorii de reducere a riscului pot, ei n!i!i, s" fie evalua#i. ! Pe aceast" baz", este posibil s" evalu"m poten#ialitatea real", impactul rezidual, caracteristici riscului, !i s" deducem un indicator al gravit"#ii riscului. ! MEHARI ofer" unelte pentru a asista pe parcursul acestui proces de analiz" !i evaluare.
35
10 februarie 2008
5 Identificarea situa"iilor de risc

Capitolul anterior a tratat analiza unei anumite situa#ii de risc. Identificarea acelor situa#ii de risc care trebuiesc analizate reprezint" evident un stagiu anterior important pentru care uneltele sunt cheia. Exist" dou" modalit"#i principale de identificare a riscului: ! abordare direct", care folose!te scara de valori a defec#iunilor, ! abordare organizat" !i sistematic" cu o evaluare automatizat" care folose!te baza de scenarii oferit" de MEHARI.
5.1 Abordarea direct# care folose!te scara de valori a defec"iunilor

Fiec"rui tip de defec#iune, identificat" n timpul unei analize de securitate a mizelor !i trecut" n scara de valori a defec#iunilor, i corespunde un set de scenarii care au fost identificate prin c"utarea cauzelor posibile pentru defec#iune, sau prin originile sale posibile (vezi explica#ia din subsec#iunea Scenarii de risc). Este, astfel, u!or s" se construiasc" o baz" a scenariilor de risc ca rezultat al sc"rii de valori a defec#iunilor. Toate scenariile cu un nivel nalt al consecin#elor (nivelul 3 sau 4) ar trebui s" fie considerate ca fiind critice !i examinate mai n detaliu.
5.2 Identificarea sistematic# folosind baza de cuno!tin"e

MEHARI ofer" de asemenea asisten#" n identificarea sistematic" a situa#iilor de risc. Identificarea sistematic" va folosi baza de cuno!tin#e MEHARI a scenariilor de risc !i procedurile automatizate descrise deja n capitolul anterior. Acest lucru se bazeaz" pe: ! analiz" preliminar" a mizelor de securitate, ntruchipat" de o scar" de valori a defec#iunilor !i clasificarea bunurilor primare !i secundare. ! Un audit de securitate. Procedurile automatizate sunt folosite pentru a eviden#ia acele scenarii care ar putea avea o gravitate inacceptabil" (de obicei 3 !i mai mult) folosind tabelul de acceptabilitate a riscului. Din baza de scenarii specific" !i evaluarea automatizat" a gravit"#ii lor, este u!or s" se selecteze scenariile critice. Asta nseamn" acele scenarii care trebuiesc analizate folosind o abordare de analiz" a riscului precum s-a descris n capitolul anterior. NOT$: Ar fi n#elept s" se ia n considerare, pentru aceast" selec#ie automat", un tabel al acceptabilit"#ii care este relativ sever. Acest tabel poate fi diferit atunci cnd este folosit pentru a identifica scenarii critice fa#" de cel folosit pentru identificarea gravit"#ii finale !i totale a situa#iei de risc. Lua#i n considerare tabelul (relativ sever) ar"tat mai jos:
36
10 februarie 2008
I=4 S = 3 I=3 S = 2 I=2 S = l I=1 S = l P=1
S=3 S=3 S=2 S=l

P=2
S=4 S=3 S=3 S=l

P=3
S=4 S=4 S=3 S=3

P=4
Func#ia gravit"#ii (S) Poten#ialit"#ii (P) !i a Impactului (I)
5.3 Cele dou# abord#ri sunt complementare

n mod clar, cele dou" modalit"#i de identificare a situa#iilor de risc critice (selec#ia direct", folosind scara de valori a defec#iunilor, !i identificarea automat", folosind bazele de cuno!tin#e) ncep cu puncte de vedere diferite !i vor eviden#ia, inevitabil, scenarii diferite. Prima abordare va eviden#ia scenariile care sunt cel mai aproape de activit"#ile de baz" ale organiza#iei !i de problemele managerului, astfel nct s" fie mai relevante pentru utilizatori. A doua abordare este mai detaliat", de!i mai generic", !i va scoate la iveal" n plus acele scenarii care au un impact mai slab dar o poten#ialitate mai mare care ar fi putut trece altfel nev"zute n folosirea unei abord"ri directe. Cele dou" abord"ri sunt complementare !i ar trebui derulate simultan.
37
10 februarie 2008
6 Utilizarea modulelor Mehari

Modulele MEHARI pot fi aplicate ntr-o mare varietate de moduri. La fel, exist" multe abord"ri de management al securit"#ii diferite care pot beneficia de MEHARI !i bazele sale de cuno!tin#e. Nu exist", astfel, motive pentru a impune o utilizare standard a modulelor. Acest capitol #inte!te s" ilustreze valoarea ad"ugat" a MEHARI n managementul securit"#ii, prin trei abord"ri structurate pe care cei care le-au conceput au avut ocazia s" le implementeze, !i care !i-au dovedit eficacitatea.
6.1 Planuri de securitate pe baz# de analiza riscului

n general, planurile de securitate sunt create pentru a defini, desf"!ura !i implementa sau consolida servicii de securitate. Aceast" subsec#iune va descrie planuri care sunt create folosind o analiz" a riscului organizat" !i metodic". nainte de a merge mai departe, ar p"rea util s" se fac" distinc#ia ntre dou" niveluri diferite de decizie: ! Mai nti, un nivel central de decizie, care asigur" consecven#a ac#iunilor !i faptul c" sunt potrivite pentru mizele colective ale organiza#iei. ! Un al doilea nivel este cel al unit"#ilor autonome, care iau decizii locale necesare pentru securitate. Aceasta este o situa#ie clasic" pentru organiza#iile mari, dar devine mai comun", pentru organiza#iile mp"r#ite n Unit"#i de Afaceri separate, fiecare responsabil" pentru propriile rezultate. Deciziile la primul nivel sunt strategice, n timp ce cele de la al doilea nivel sunt de natur" opera#ional". Un alt mod de a distinge ntre aspectele strategice !i opera#ionale este de a lua n considerare caracterul pe termen lung sau scurt al deciziilor. ! Nivelul strategic prive!te deciziile pe termen lung, cele care sunt asociate cu func#iile de baz" ale organiza#iei !i sunt independente de procesele sau tehnologia care este implementat". ! Nivelul opera#ional se ocup" cu deciziile de zi cu zi care pot fi schimbate ca func#ie a proceselor sau tehnologiei care evolueaz". Nivelul strategic asigur" consecven#a deciziilor n timp accentund importan#a deciziilor care au un impact pe termen lung. NOT$: Distinc#ia ntre deciziile strategice !i cele opera#ionale poate fi neadecvat" sau inaplicabil" pentru anumite situa#ii. O astfel de distinc#ie este, totu!i, adecvat" pentru viziunea organiza#iilor mari cu multe unit"#i separate. Ea poate fi de asemenea adecvat" pentru ac#iunile pe termen lung. Este, totu!i, util s" facem aceast" distinc#ie din motive de consecven#" sau cicluri de planificare. Pentru ac#iunile selectate sau limitate, distinc#ia oficial" dintre deciziile strategice !i opera#ionale poate aduce o complexitate mai mare, !i ar trebui deci ignorat". Totu!i, indiferent de stilul de management sau abordare, este logic s" distingem ntre principiile fundamentale care conduc ac#iunile pe termen lung din planurile opera#ionale pe termen scurt.
38
10 februarie 2008
6.1.1 Abordarea la nivel strategic: identificarea elementelor permanente !i independente ale planurilor de securitate opera"ionale
Scopurile nivelului strategic sunt: ! S" defineasc" scopurile de securitate care vor ghida managerii care iau deciziile privind managementul riscului, ! S" identifice tipurile de solu#ii care ar trebui implementate ca o prioritate. Ea reprezint" deci o perspectiv" global", strategic" care r"spunde la dou" nevoi diferite: ! S" implice managementul sau unitatea de top al companiei n selec#ia obiectivelor de securitate. Acest lucru implic" acceptarea de c"tre ei a unui anumit num"r de riscuri !i adoptarea uneltelor de management adecvate pentru nivelul lor. ! S" ofere managerilor de securitate, !i managementului n general, elemente adecvate pentru a men#ine consecven#a n deciziile opera#ionale care sunt luate. Exist" trei componente principale la acest nivel, care pot constitui trei pa!i separa#i atunci cnd se creeaz" un plan strategic: ! Crearea sau validarea formal" a unei politici de securitate a corpora#iei. ! Fixarea #elurilor de securitate !i convenirea asupra parametrilor de m"surare a riscului. ! Crearea sau validarea formal" a unei carte de management al securit"#ii a corpora#iei. Con#inutul acestor elemente diferite va fi descris mai jos. Observa#i c" aceste elemente pot fi considerate ca fiind independente de planurile opera#ionale, dat fiind faptul c", pentru ac#iuni care sunt limitate n timp sau spa#iu, anumite aspecte pot fi considerate de prisos, !i pot fi ignorate.
6.1.1.1 Politica de securitate

Politica de securitate dicteaz" orient"rile generale de securitate ale organiza#iei. Este un document de baz" important care ar trebui distribuit c"tre ntreg personalul. Ar trebui, deci, s" fie independent n totalitate de orice metod" sau tehnologie de lucru profesional". Crearea unei politici de securitate nu face ntotdeauna parte din crearea planurilor de securitate. ntradev"r, este preferabil ca acest document s" fie creat cu ceva timp nainte. Totu!i, dac" acesta nu exist", crearea sa este recomandat" viguros dac" organiza#ia este dedicat" unui management al securit"#ii bazat pe o analiz" a riscului global" !i sustenabil". Politica de securitate ar trebui s" acopere patru domenii principale: ! Structura organiza#ional" general", !i mai ales, structurile care sunt implicate n managementul securit"#ii: o Roluri !i func#ii ale managerilor de securitate n diferitele unit"#i (func#ie central", func#ie local", coresponden#i de securitate locali, etc.). o Roluri !i responsabilit"#i ale managerilor de opera#iuni !i ierarhia lor. o Responsabilitatea individual" a fiec"rui membru al personalului. o Structura consiliului de exper#i ai organiza#iei (fie acesta formal sau nu) !i modul n care este mp"rt"!it" expertiza. ! Elementele de baz" ale unei culturi de securitate a ntreprinderii: o Declararea unui num"r de principii de baz" care ar trebui s" fie comune pentru toate departamentele. Printre aceste principii comune, urm"toarele ar putea fi exemple: ! Nevoia de a ac#iona ca func#ie a sensibilit"#ii informa#iei !i a bunurilor; !i astfel nevoia de a defini o clasificare a acestora.
Identificarea !i rolul proprietarilor informa#iei sau a bunurilor, Condi#iile n care sunt acordate drepturile !i privilegiile, Principiul dup" care poate fi auditat" fiecare ac#iune, Posibilitatea de a monitoriza munca fiec"rui manager, !i drepturile !i obliga#iile managementului lor n acest domeniu. Aceast" list" nu este exhaustiv" !i toate principiile care contribuie la asigurarea consecven"ei comportamentului tuturor celor din cadrul organiza#iei implica#i n securitate constituie subiectul acestui capitol. o Schema general" de clasificare comun" folosit" pentru toate p"r#ile organiza#iei: niveluri de clasificare, criterii de clasificare, defini#ii generale ale nivelurilor de sensibilitate, etc. o Obliga#ia de a atrage aten#ia !i de a educa personalul n elemente de securitate !i elemente cheie care asigur" faptul c" un astfel de training mp"rt"!e!te principii comune. ! Elemente federa#ionale care asigur" consecven#a solu#iilor care sunt implementate. n considerarea solu#iilor tehnice de securitate implementate, ar trebui luate n considerare n mod deosebit dou" puncte: o Securitatea acelor elemente care sunt, prin natura lor, comune, precum re#eaua global" a ntreprinderii !i anumite infrastructuri care trebuiesc mp"rt"!ite. o Alegerea elementelor de arhitectur" a securit"#ii care mping organiza#ia ntr-o anumit" direc#ie pentru structurarea solu#iilor, !i care prin natura lor au o influen#" strategic" important" asupra capacit"#ii viitoare de evolu#ie a sistemelor informa#ionale. ! Aceste dou" elemente reprezint" mize ridicate pentru fiecare dintre departamente !i pentru ntreaga organiza#ie sau ntreprindere. De aceea este foarte important s" se defineasc" n politica de securitate: o Modul n care ac#iunile din acest domeniu sunt ndeplinite, o Cine ia ini#iativa pentru ele, !i cine asigur" coordonarea, o Cine are ultimul cuvnt n deciziile care angajeaz" organiza#ia la o anumit" direc#ie? n afar" de aceste dou" aspecte specifice, toate acele principii care contribuie la asigurarea consecven"ei deciziilor tehnice privind securitatea global" a organiza#iei fac obiectul acestui capitol. ! Moduri !i mijloace pentru asigurarea managementului opera#ional al securit"#ii. o Alegerea metodelor de management al securit"#ii, o Uneltele de audit al securit"#ii, mijloace !i structur" n cadrul organiza#iei, o Structura de monitorizare a securit"#ii !i crearea sistemelor de m"surare la nivel de departament ct !i de corpora#ie.
! ! ! !
6.1.1.2 Obiective de securitate #i armonizarea parametrilor de m!surare a riscului

n managementul prin analiza riscului, decizia de a accepta sau refuza o situa#ie de risc reprezint" o ac#iune de management esen#ial". Scopurile de securitate sunt formate din criterii care definesc dac" un risc este acceptabil sau nu. MEHARI, f"r" ndoial" cea mai avansat" abordare pentru managementul riscului, sugereaz" folosirea unui tabel al acceptabilit"#ii (vezi gravitatea rezultant" a unei situa#ii de risc). Un astfel de tabel ar trebui definit n acest stadiu al utiliz"rii abord"rii. n ceea ce prive!te m"surarea, crearea acestui tabel va permite conversia evalu"rii celor doi parametri, poten#ialitate !i impact, ntr-o singur" m"surare, !i anume gravitatea unui risc. n orice caz, pentru asigurarea consecven#ei folosind procedurile automatizate MEHARI n diferite unit"#i ale afacerii n timp, trebuie fixa#i anumi#i parametri folosi#i de c"tre aceste proceduri. Ace!ti parametri sunt descri!i n Ghidul MEHARI de analiz! a riscului.
40
10 februarie 2008
6.1.1.3 Carta managementului

Carta managementului trateaz" aspecte ale politicii de securitate privind rela#ia dintre organiza#ie !i angaja#ii s"i. Ea este separat" de politica de securitate n sine, deseori, exist" aspecte care nu sunt pentru distribu#ia c"tre ntregul personal. n general, ar trebui tratate drepturile !i obliga#iile personalului, dar !i cele ale ntreprinderii. Sanc#iunile, !i modul n care acestea sunt clasificate, ar trebui definite clar. Felul de puncte care ar trebui acoperite este: ! Capacitatea de urm"rire a ac#iunilor individuale, !i capacitatea de a atribui ac#iuni, ! Posibilitatea de a monitoriza activitatea n timp real, ! Posibilit"#ile pentru proceduri de audit !i de control, ! Obliga#iile !i responsabilit"#ile personalului, ! Sanc#iunile care sunt aplicabile atunci cnd exist" o nc"lcare a eticii companiei, ! Posibilit"#ile, !i limitele investiga#iilor n cazul anomaliilor sau incidentelor, ! Etc. Este important, de la acest nivel strategic, ca regulile pe care ntreprinderea sau organiza#ia le va urma !i aplica, s" fie definite corespunz"tor pentru personal. Anumite m"suri, mai ales cele care trateaz" disuasiunea, sunt eficiente doar dac" organiza#ia are o politic" clar" !i se asigur" c" aceasta este aplicat" ferm, !i astfel aplic" sanc#iunile n caz c" se ncalc" procedura. Dac" resursele umane sau managementul general nu sunt hot"r#i s" aplice o politic" riguroas", s" urmeze investiga#iile necesare atunci cnd au loc anomalii sau incidente, nu instig" n organiza#ie procedurile de control !i audit privind toate ac#iunile f"cute de personal, este mai bine s" se !tie imediat pentru a nu baza o strategie pe principii care nu vor fi urmate niciodat". n orice caz, managerii care vor trebui s" ia decizii privind managementul riscului vor trebui s" !tie ce s" fac". NOT$: Acest tip de document poate fi greu de creat !i sensibil la comunicare. Deci crearea sa formal" nu reprezint" ntotdeauna regula. Totu!i, n spiritul MEHARI, acest pas, condus de c"tre CISO sau un consultant pare esen#ial.
6.1.2 Crearea planurilor opera"ionale de securitate

La nivelul de plan opera#ional, abordarea este mai preocupat" de specifica#iile func#ionale ale solu#iilor care ar trebui implementate, !i de planificarea unor astfel de solu#ii. Acest proces este derulat intern c"tre o entitate cu putere de decizie !i rezultate independente ntr-un plan, cunoscut n MEHARI ca plan opera"ional. Scopurile sale sunt: ! S" ofere o analiz" precis" a riscurilor implicate, ! S" ofere o specifica#ie detaliat" a solu#iilor !i m"surilor de securitate care trebuiesc implementate, ! S" planifice mbun"t"#irile necesare n timp.
Abordarea este n principal responsabilitatea CISO sau a managerilor de risc (care ar putea fi manageri de opera#iuni), sau a ambilor. Sunt cinci pa!i principali n crearea unui plan opera#ional: ! Analiza mizelor !i clasificarea informa#iilor !i a bunurilor sistemului informa#ional, ! recenzie a vulnerabilit"#ii securit"#ii, ! Identificarea !i evaluarea riscurilor poten#iale pentru entitate, ! Exprimarea necesit"#ilor pentru mbun"t"#irea securit"#ii, ! Crearea unui plan de ac#iune pentru securitate.
6.1.2.1 Analiza mizelor #i clasificarea

Abordarea MEHARI este descris" n detaliu n Ghidul MEHARI de analiz! #i de clasificare a mizelor !i face distinc#ia ntre: ! Scara de valori a defec#iunilor, ! Clasificarea informa#iei !i a bunurilor sistemelor informa#ionale, ! Crearea tabelului impactului intrinsec folosit de baza de cuno!tin#e a scenariilor de risc. Trebuie men#ionat c", pentru managementul pe baz" de analiza riscului, scara de valori a defec#iunilor este obligatorie, n timp ce pasul clasific"rii formale este op#ional. Este suficient s" se foloseasc" scara de valori pentru a evalua impactul intrinsec pentru fiecare scenariu de risc analizat. n practic", MEHARI sugereaz" ca evaluarea impactului intrinsec s" fie sistematizat" prin utilizarea tabelului impactului intrinsec. Acest lucru fiind folosit mai trziu de c"tre procedurile automatizate oferite de MEHARI. NOT&: Analiza mizelor poate fi considerat" ca fiind parte din abordarea strategic", deoarece de obicei r"mne valabil" pentru o perioad" de timp mai lung".
6.1.2.2 Recenzia vulnerabilit!"ii, sau auditul de securitate

Acesta este auditul de securitate care a fost descris n Evaluarea st"rii serviciilor de securitate. Termenul audit de securitate este folosit adesea, de!i deseori el nu este mai mult dect o recenzie. Merit" observat" aici diferen#a dintre o recenzie care folose!te chestionare !i un audit adev"rat care verific" dac" politicile !i regulile sunt aplicate eficient.
6.1.2.3 Identificarea #i evaluarea riscului

Acest lucru prive!te identificarea situa#iilor de risc, a!a cum se descrie n Identificarea situa#iilor de risc, !i evaluarea lor cantitativ", a!a cum se descrie n Analizarea situa#iilor de risc. Acest pas rezult" ntr-un set de situa#ii de risc care pot fi considerate inadmisibile, !i care trebuiesc reduse la un nivel acceptabil printr-un plan de ac#iune.
6.1.2.4 Exprimarea necesit!"ilor de mbun!t!"ire n securitate

Acest pas este specific acestui tip de management, deoarece prive!te efectiv analiza unui set de situa#ii de risc care ar trebui tratate global. nainte de a crea un plan de ac#iune real, exist" nevoia de a defini ce se cere de la serviciile de securitate care pot transforma situa#iile de risc inadmisibile n unele tolerabile. n cazul obi!nuit, unde analiza riscului !i recenzia vulnerabilit"#ii au fost realizate cu ajutorul unui profesionist n securitate, CISO sau consultantul extern, nu prea exist" nevoia unei metodologii adi#ionale
sau a uneltelor specifice pentru a exprima aceste nevoi: ! Analiza, pentru fiecare situa#ie de risc, a tipurilor de m"suri care sunt deja folosite !i o evaluare a eficacit"#ii lor va da o idee imediat" asupra m"surilor adi#ionale necesare pentru a reduce nivelul de risc. ! Recenzia vulnerabilit"#ii sau auditul de securitate ofer" adi#ional o idee clar" asupra problemelor majore care trebuiesc rezolvate, independent de orice analiz" a riscului. ! compara#ie a st"rii securit"#ii, a!a cum a fost evaluat" prin auditul de securitate, !i politica de securitate va rezulta n identificarea nevoilor specifice. MEHARI ofer", printre alte unelte, un algoritm pentru selectarea m"surilor de securitate. Acest lucru este descris n Ghidul MEHARI de analiz! a riscului.
6.1.2.5 Luarea n considerare a m!surilor generale sau organiza"ionale

Capitolul Evaluarea st"rii serviciilor de securitate a pus n discu#ie m"suri generale care nu au nici un efect direct asupra scenariilor de risc. Totu!i, orice sl"biciune, detectat" n m"surile generale, trebuie acoperit" n timpul cre"rii planurilor opera#ionale. Aceste m"suri, de!i pot s" nu aib" nici un efect direct asupra scenariilor de risc, pot fi indispensabile n motivarea personalului !i n determinarea lor pentru a adopta scopurile de securitate ale organiza#iei. Cel mai adesea, acest lucru necesit" doar bun sim#. Asisten#a unui profesionist n securitate va fi de obicei destul pentru a se asigura c" punctele cele mai importante sunt acoperite.
6.1.2.6 Crearea unui plan de securitate opera"ional

A!a cum spune n defini#ia nevoilor de securitate, rareori exist" nevoia pentru orice unelte specifice sau metodologie pentru a construi un plan de securitate din necesit"#ile exprimate. Experien#a ar recomanda, totu!i, c" este mai bine ca un prim pas s" se grupeze m"surile n jurul proiectelor cu aceea!i tem" (securitatea logic", planificarea de rezerv", etc.), sau n sub-proiectele mai specifice (n planificarea de rezerv" exist" realizarea rezervelor, refacerea dup" rezerve, planificarea continuit"#ii misiunii, etc.). Sub-proiectelor ar trebui atunci s" li se aloce un nivel de prioritate, lund n considerare impactul lor asupra gravit"#ii scenariilor !i poten#iala dificultate de implementare (dat fiind c" unele proiecte impun constrngeri asupra altora).
6.1.3 Consolidarea planurilor opera"ionale din diferite departamente independente

Aceast" faz", care se desf"!oar" pe toat" ntreprinderea, asigur" consolidarea !i consecven#a planurilor opera#ionale din diferitele departamente independente !i ofer" un cadru pentru arbitrare, dac" este necesar. Acest lucru poate reprezenta !i o ocazie de a re-echilibra diferite departamente, dac" grupul responsabil pentru consolidare are acest mandat. Figura de mai jos ilustreaz" abordarea general".
43
10 februarie 2008
Decizia de a crea planuri de ac#iune pe baz" de analiza riscului
Politica de securitate %eluri de securitate Carta de management
Parametrii de m"surare a riscului
Recenzia vulnerabilit"#ii sistemului informa#ional
Mize ale defec#iunii: Scara de valori
Identificarea resurselor critice !i clasificare
Analiza riscului: Selectarea scenariilor de risc Evaluarea riscului
Exprimarea cerin#elor de securitate
6
Planuri opera#ionale ale entit"#ii
Consolidarea nevoilor: Proiecte !i planificare
Consolidarea planurilor entit"#ilor !i arbitrarea Planuri opera#ionale ale corpora#iei
Figura 7: Crearea planurilor de securitate pe baz" de analiza riscului

6.2 Planuri de securitate pe baza unui audit

O abordare relativ obi!nuit" este de a crea planuri de securitate direct ca rezultat al unui audit de securitate, sau dup" o recenzie a vulnerabilit"#ii. Multe persoane, care au folosit n trecut metodologia Marion, au aplicat pur !i simplu pasul 3 al acelei metodologii: un plan de ac#iune pe baza unui audit. n func#ie de circumstan#e, aceast" abordare poate fi practic", iar MEHARI ofer" mijloacele pentru aceasta.
6.2.1 Procesul pentru crearea planurilor de securitate pe baza unui audit

Procesul pentru derularea unui audit este extrem de simplu: cuprinde o recenzie a vulnerabilit"#ii !i planurile de ac#iune care rezult" pentru mbun"t"#irea acelor servicii care nu au un nivel al calit"#ii suficient de ridicat. Decizia de a crea planuri de ac#iune pe baza rezultatelor auditului Recenzia vulnerabilit"#ii Identificarea serviciilor insuficiente
Selectarea m"surilor care trebuiesc mbun"t"#ite Definirea solu#iilor
Plan de ac#iune al securit"#ii
Figura 8: Administrarea securit"#ii printr-un audit
6.2.2 Chestionarul de audit !i evaluarea ntreb#rilor

Trebuiesc puse n discu#ie dou" puncte privind chestionarul folosit n timpul unui audit: ! Poate un chestionar care este specific pentru aceast" abordare s" fie acela!i cu cel folosit n timpul analizei riscului? ! Poate, !i ar trebui, evaluarea r"spunsurilor s" fie la fel?
Nu exist" un r"spuns universal la aceste ntreb"ri, iar r"spunsurile lor vor depinde de ct de matur" este organiza#ia n ceea ce prive!te securitatea. Dac" organiza#ia se afl" doar n stadiul de prime reflec#ii asupra securit"#ii sistemului informa#ional, o evaluare u!oar" ar trebui s" fie suficient". Totu!i, dac" a existat deja de ceva timp o abordare serioas" pentru securitatea sistemului informa#ional, un audit mai detaliat ar fi mai indicat. Primul caz va ncerca s" identifice cele mai evidente sl"biciuni !i s" le corecteze n timp ce m"re!te vigilen#a managementului !i s" accepte faptul c" anumite sl"biciuni vor r"mne. n cel de-al doilea caz, totu!i, se va crea un plan complet pentru a avea o acoperire omogen" care s" ofere un nivel al securit"#ii satisf"c"tor.
6.2.2.1 Politicile de referin"! n securitate #i notarea pentru un audit de evaluare u#oar!

Termenul de politici de referin#" n securitate se refer" n general la setul de reguli care vor fi verificate n timpul unui audit. n acest caz, include setul de ntreb"ri care vor fi adresate. ntr-un audit de evaluare u!oar", nu se inten#ioneaz" s" se adreseze ntreb"ri mai profunde, ci s" se caute o evaluare general" a st"rii securit"#ii !i principala sa sl"biciune. Foarte des, doar func#iile de baz" vor fi analizate, f"r" a c"uta s" se verifice robuste#ea sau permanen#a solu#iilor care sunt implementate. Evaluarea u!oar" folose!te un chestionar specific care caut" s" identifice care domenii de securitate sunt acoperite n prezent !i care nu. Cu acest lucru n minte, evaluarea ntreb"rilor este simpl" !i nu exist" nici un motiv pentru a introduce un sistem mai bun de evaluare precum cel folosit de recenzia MEHARI a vulnerabilit"#ii. ntreb"rile vor fi notate doar de c"tre un sistem de evaluare simplu.
6.2.2.2 Politicile de referin"! n securitate #i notarea pentru un audit detaliat

Spre deosebire de evaluarea u!oar", un audit detaliat caut" s" verifice toate aspectele serviciilor de securitate (eficacitate, robuste#e !i permanen#"). Este deci aceea!i abordare din punct de vedere global precum cea necesar" pentru o analiz" a riscului. Pot fi folosite acelea!i chestionare !i acela!i sistem de evaluare ca pentru analiza riscului. Totu!i, deoarece auditul nu are aceea!i pozi#ie n cele dou" abord"ri generale, sunt necesare cteva puncte de clarificare. ntr-o analiz" a riscului, dup" recenzia vulnerabilit"#ii, exist" un stadiu de analiz" unde realitatea recenziei poate fi pus" sub semnul ntreb"rii, fie de tehnicieni sau de utilizatori. Recenzia poate fi contrabalansat" de c"tre analiza riscului. Auditul, ntr-o abordare de analiz! a riscului, poate fi bazat pe r!spunsuri la ntreb!ri, f!r! nevoia de a verifica adev!rul r!spunsurilor date. Cu o abordare a managementului bazat" doar pe audit, lucrurile nu stau la fel. Nici un stadiu nu permite ca rezultatul s" fie contestat. R"spunsurile trebuie deci s" fie verificate, pentru a asigura un rezultat viabil. Acest lucru nu era important n cazul evalu"rii u!oare, dar este un element cheie pentru un plan de securitate pe baz" de audit. De aceea este important s! se termine o recenzie a vulnerabilit!"ii de c!tre un audit al practicilor reale
ale profesioni#tilor n securitate #i ale utilizatorilor.
6.2.3 Pragul de acceptabilitate al calit#"ii serviciului de securitate

Tot a!a cum trebuie luat" o decizie privind riscurile inacceptabile n timpul analizei riscului, trebuie, n aceast" abordare de management, luat" o decizie privind pragul sub care calitatea serviciului de securitate este considerat" inacceptabil". Deciderea asupra nivelului acestui prag va depinde, din nou, de maturitatea organiza#iei. n timpul unei evalu"ri u!oare, nu are nici un sens s" fim deosebit de ambi#io!i. Scopul ei este doar s" corecteze acele sl"biciuni care sunt cel mai evidente. Pragul calit"#ii serviciului poate deci s" fie relativ sc"zut (ntre 2 !i 2.5). Pentru un audit detaliat, !i pentru administrarea securit"#ii pe baz" de audit, ar p"rea mai bine !i mai adecvat s" se aleag" un prag mai ridicat (3, de exemplu).
6.2.4 Crearea planurilor de ac"iune

Crearea planurilor de ac#iune este deosebit de simpl" cu aceast" abordare, deoarece ea este un rezultat direct al recenziei nse!i. Simpla analizare a motivului pentru care un serviciu nu a avut o not" satisf"c"toare, cu alte cuvinte acele ntreb"ri cu un r"spuns negativ vor oferi o alegere a ac#iunilor. A!a cum s-a explicat deja pentru planurile de securitate de c"tre entitate pe baza analizei riscului, este de cele mai multe ori mai bine s" se grupeze diferitele m"suri asupra c"rora s-a luat o hot"rre n proiecte consecvente (securitate logic", planuri de rezerv", !i a!a mai departe), sau chiar n sub-proiecte specifice. Apoi, pot fi alocate acestor proiecte priorit"#ile corespunz"toare, incluznd poate constrngerile implement"rii.
6.2.5 Luarea n considerare a mizelor

Este clar cu aceast" abordare c" procesul de baz" nu prevede explicit includerea mizelor de securitate atunci cnd se iau decizii, ci doar valorile vulnerabilit"#ii. n practic", mizele sunt deseori incluse informal n timpul cre"rii planurilor de ac#iune de c"tre exper#ii n securitate care particip" la acest pas. Pertinen#a planurilor de ac#iune va depinde de aprecierea de c"tre ele a mizelor, sau de modul n care au fost capabile s" le evalueze. n mod clar, includerea unui pas pentru crearea sc"rii de valori !i clasificare poate mbun"t"#i serios pertinen#a planurilor de ac#iune de securitate pe baz" de audit. Abordarea corespunz"toare este rezumat" n figura de mai jos:
47
10 februarie 2008
Decizia de a crea planuri de ac#iune pe baza unui audit
Recenzia vulnerabilit"#ii Detectarea nivelurilor insuficiente
2 Mizele defec#iunilor: Scara de valori
Selectarea m"surilor care vor fi mbun"t"#ite Definirea solu#iilor
Planul de ac#iune al securit"#ii
Domeniul managementului
Domeniul tehnic
Figura 9: Managementul securit"#ii prin audit !i mize
6.3 Securitatea proiectelor de dezvoltare

Pn" acum, acest document a discutat diferite metode de management care pot fi folosite pentru a crea planuri de ac#iune generale. Aici va fi discutat" problema managementului securit"#ii ntr-un proiect specific, !i nu un plan de securitate global (sau opera#ional). Abordarea general" folosit" pentru un plan pe baz" de analiz" a riscului va fi reutilizat", dar cu nevoi de adaptare evidente.
6.3.1 Abordarea managementului securit#"ii pe baz# de proiect

O privire general" a abord"rii este ilustrat" n figura de mai jos:
Decizia de a revizui proiectul
Mizele defec#iunii: Scara de valori
Analiza principalelor riscuri: Alegerea scenariilor de risc Evaluarea riscului
Exprimarea cerin#elor de securitate prin activitate

4
Planul de ac#iune al proiectului
Consolidarea cerin#elor proiectului: Propuneri de planuri prin entitate
Planul opera#ional prin entitate
Domeniul proiectului
Domeniul infrastructurii generale Figura 10: Managementul securit"#ii proiectului
6.3.2 Niveluri strategice !i opera"ionale

Nu se face nici o distinc#ie ntre aceste dou" niveluri.
Este evident de dorit ca elementele strategice s" fie definite independent de orice proiect. Acest lucru nu poate dect s" faciliteze sarcinile liderilor de proiect, dar acest pas nu face parte din managementul securit"#ii proiectului. n plus, aceste elemente nu mai au acela!i nivel al nevoii. Este posibil s" se foloseasc" o metod" de analiz" a riscului ntr-un proiect f"r" ca elementele strategice s" fie definite n prealabil. Acest lucru ar fi n detrimentul consecven#ei dintre proiecte, dar ar putea fi considerat secundar n compara#ie cu provocarea de a se asigura c" liderii de proiect !i asum" o analiz" a riscului pentru proiectele lor !i hot"r"sc, ca rezultat, planuri de ac#iune pe care le vor integra n planurile lor de proiect.
6.3.3 Nivelul standard al serviciilor de securitate

Nivelul serviciului de securitate care va fi luat n considerare n timpul analizei riscului nu rezult" dintrun audit formal al securit"#ii. Acest lucru se ntmpl" din simplul motiv c" proiectul nu este nc" implementat !i evident, la evaluarea ini#ial", multe puncte nu ar fi nc" decise. Foarte des, nivelurile standard ale serviciului de securitate, a!a cum este definit de c"tre politicile de referin#" ale securit"#ii, vor fi incluse n analiza riscului a proiectului. n absen#a standardelor definite global, analiza ar considera nivelurile serviciului de calitate ca fiind foarte mici, cu presupunerea c" nu trebuie decis nimic la nceput. n acest fel, abordarea va conduce la crearea unei descrieri a muncii care va fi efectuat" pentru a r"spunde planurilor de ac#iune care rezult" din analiza riscului.
6.3.4 Analiza mizelor !i scara de valori a defec"iunilor

Va fi folosit un proces de evaluare general" a mizelor !i va fi creat" o scar" de valori a defec#iunilor specific" proiectului. Totu!i, nu este neap"rat obligatoriu s" se deduc" o clasificare.
6.3.5 Analiza riscurilor majore

Va fi aplicat" o abordare de analiz" a riscurilor unui set de scenarii de risc care sunt direct definite de c"tre liderii de proiect, ca rezultat al sc"rii de valori a defec#iunilor. Va fi folosit" o abordare direct", f"r" a folosi procedurile automatizate, !i se va concentra asupra riscurilor majore.
6.3.6 Crearea planurilor de ac"iune

Cerin#ele de securitate vor fi deduse n final din analiza precedent" a riscurilor. Acestea vor fi deci: ! Direct integrate n specifica#iile proiectului, pentru partea specific" care poate fi decis" la acest nivel, ! Distribuite c"tre managerii infrastructurii generale, pentru ca ace!tia s" le poat" integra n planurile lor !i n planurile entit"#ilor concentrate (sau prezentate pentru arbitrare).
6.3.7 Execu"ia global# a abord#rii

Global, abordarea este mult mai simpl" dect cea care corespunde cre"rii planurilor de securitate pentru o entitate sau activitate.
50
10 februarie 2008
7 Recenzia principalelor mbun#t#"iri n compara"ie cu versiunile anterioare ale mehari

MEHARI 2007 aduce mbun"t"#iri n compara#ie cu versiunile anterioare n dou" domenii principale: ! Crearea tabelului impactului intrinsec, ! Asigurarea, dup" un audit MEHARI, unui raport asupra st"rii securit"#ii ntr-un format folosind punctele de control ISO/IEC 17799:2005. n aceast" nou" versiune a bazei de cuno!tin#e sunt incluse mai multe mbun"t"#iri detaliate.
7.1 Crearea tabelului impactului intrinsec

Pentru a ajuta utilizatorii n crearea unui astfel de tabel, MEHARI 2007 include un proces extrem de detaliat Acest proces include: ! Descrierea tabelelor care vor fi completate n timpul analizei mizelor de securitate !i clasific"rii bunurilor, ! Indica#ii pentru a asista n mutarea de la aceste tabele la tabelul impactului intrinsec.
7.2 M#surile de conformare ISO 17799 dup# un audit MEHARI

MEHARI !i ISO 17799:2005 au scopuri diferite (vezi documentul Privirea general" MEHARI). Totu!i, exist" o cerin#" pentru a ob#ine m"surile de conformare de securitate ISO 17799 (cu punctele de control pentru entitate) ca rezultat al unui studiu MEHARI al vulnerabilit"#ii. MEHARI ofer" aceast" m"surare prin chestionare exhaustive care permit cartografierea punctelor de control cerute de c"tre Standard. Tabelele de coresponden#"3, oferite n baza de cuno!tin#e, au fost rafinate pentru a lua n considerare cerin#ele ISO 17799:2005, repetate de ISO 27001. Anumite ntreb"ri au fost introduse n mod special cu acest scop n chestionarele de audit MEHARI.
7.3 Amintirea mbun#t#"irilor anterioare ale lui MEHARI

7.3.1 Evaluarea expunerii naturale
Cu MEHARI, expunerea natural" poate fi v"zut" ca o poten#ialitate intrinsec", sau poten#ialitatea care ar fi ob#inut" f"r" orice m"sur" disuasiv" sau preventiv". Este cu siguran#" un mod bun de a te gndi la expunere. Nu schimb" nimic n aparen#", dar este o dimensiune mai u!or de n#eles !i de estimat. Avnd acest lucru n minte, este clar c", chiar !i f"r" orice m"suri structurale, nu toate scenariile au aceea!i poten#ialitate ! Poten#ialitatea intrinsec" a unui atac terorist poate fi considerat" ca fiind mic" pentru majoritatea organiza#iilor.
RISCARE produce automat raporturi de audit

51 10 februarie 2008
Cea a unei erori de introducere a datelor, totu!i, este f"r" ndoial" destul de mare.
Defini"ia expunerii naturale Expunerea natural" este o m"surare a poten#ialit"#ii intrinsece n lipsa oric"rei m"suri disuasive sau preventive. n astfel de condi#ii, a!a cum este explicat n Ghidul MEHARI de analiz! a riscului, evaluarea expunerii naturale poate fi f"cut" prin evaluarea direct", f"r" chestionar, a poten#ialit"#ii intrinsece a unui anumit num"r de evenimente caracteristice. Acest lucru permite calcularea direct" a valorilor STATUSEXPO pentru scenarii. NOT$: Este important de re#inut c" expunerea natural" ar trebui (re)evaluat" la fiecare audit (de ex.: lund n considerare vrsta !i cre!terea n num"r de sisteme, schimb"rile la expunere inunda#ii mai frecvente etc.). Evaluarea expunerii naturale: Principiile metodei permit s" se evalueze expunerea natural" ca poten#ialitate intrinsec" a unui anumit num"r de evenimente caracteristice. Un tabel ajut"tor pentru aceast" evaluare este oferit n Anexa 1 al Ghidului MEHARI de analiz! a riscului. Acest tabel este completat, prin lips", cu valori mici care sunt valabile pentru majoritatea organiza#iilor. n acest mod, dac" tabelul nu este reevaluat, valorile folosite pentru expunerea natural" vor fi mai mult sau mai pu#in n conformitate cu situa#ia standard a majorit"#ii organiza#iilor.
7.3.2 Introducerea ideii impactului intrinsec pentru scenariile de risc !i calculele corespunz#toare
7.3.2.1 No"iunea de impact intrinsec

Modelul de risc MEHARI a f"cut ntotdeauna referin#" implicit la impactul maximal, deoarece un indicator de reducere a impactului (STATUS-RI) este evaluat. Totu!i, evaluarea impactului intrinsec nu fusese inclus" n analiza riscului. Impactul intrinsec n MEHARI Impactul intrinsec al unui scenariu de risc reprezint" o evaluarea maximal" a consecin#elor unui risc, f"r" nici o m"sur" de securitate. Evaluarea impactului intrinsec poate fi dedus" din o scar" de valori a defec#iunilor (care ar putea conduce la clasificare), sau ob#inut" direct. Acesta este un pas formal n analiza riscului.
7.3.2.2 Referin"! la impactul intrinsec n bazele de cuno#tin"e

Atunci cnd bazele de cuno!tin#e sunt folosite pentru o c"utare sistematic" a situa#iilor de risc, MEHARI necesit" completarea unui tabel al impactului intrinsec. Acest tabel include diferitele tipuri de bunuri asupra c"rora scenariile de risc pot avea impact, !i diferitele tipuri de impact asupra acestor bunuri, cu alte cuvinte, prin lips", disponibilitatea, integritatea !i confiden#ialitatea.
Deoarece scenariile se refer" la bunurile asupra c"rora are loc impactul, !i tipul de impact, evaluarea impactului intrinsec este automat". Observa#i c" este posibil s" se includ" !i alte criterii dect disponibilitatea, integritatea !i confiden#ialitatea prin completarea tabelului impactului intrinsec !i generarea tabelelor de evaluare corespunz"toare prin crearea scenariilor ad hoc.
7.3.2.3 Personalizarea tabelului impactului intrinsec pentru anumite tipuri de bunuri

A!a cum s-a explicat deja, unii utilizatori vor s" diferen#ieze ntre scenarii ca o func#ie a tipului specific de bunuri asupra c"ruia are loc impactul (de exemplu: datele unui anumit departament sau ale unui anumit domeniu func#ional). Faptul c" scenariile fac referin#" explicit la tipurile de bunuri permite aceast" diferen#iere. Tot ceea ce se cere este crearea varia#iilor de bunuri n tabelul impactului intrinsec (fie c" este pentru date, servere, re#ele, sau alte bunuri), !i s" se completeze tabelul pentru fiecare criteriu relevant. Cu MEHARI, acest lucru se nume!te descompunere cartografic". Cititorul ar trebui totu!i s" !tie c" varia#iile de bunuri create astfel ar fi folosite pentru a genera varia#ii de scenariu. Acest lucru poate duce la un num"r foarte mare de scenarii, !i aceast" posibilitate ar trebui folosit" cu grij".
7.3.3 Introducerea scenariilor neevolutive !i calculele corespunz#toare

Modul n care au fost prezentate m"surile de protec#ie n unele din versiunile anterioare poate fi confuz. Ele au fost definite ca avnd obiectivul, f"r" a preveni deteriorarea sistemului, de a limita scopul s"u. De!i acest lucru este corect, n practic" acestea erau confundate cu m"surile de detectare a deterior"rii, acolo unde o astfel de detectare ar putea provoca o reac#ie, ceea ce nu se ntmpl" ntotdeauna. De fapt, dac" reac#ia posibil" nu reduce gravitatea consecin#elor scenariului, nu are nici un rost s" fie inclus". Cu alte cuvinte, m"surile de protec#ie ar trebui luate n considerare doar dac" acestea reduc eficient impactul intrinsec al scenariului, a!a cum a fost evaluat ini#ial. Pentru a simplifica includerea acestei nuan#e, a fost creat" no#iunea de scenariu neevolutiv. Scenariul neevolutiv: Dac! un scenariu nu evolueaz! #i este fix n timp #i spa"iu, nici o m!sur! de protec"ie nu i poate limita consecin"ele directe. Anumite scenarii, care nu sunt fixe n timp #i spa"iu, pot fi de a#a natur! nct m!surile de protec"ie poten"iale nu au nici un efect asupra impactului intrinsec. Acestea trebuie deci considerate ca fiind neevolutive, #i tratate ca atare. n mod deosebit, exist" cazuri pentru care efectul real al m"surilor de protec#ie poate fi decis doar n contextul global al organiza#iei: ! Atunci cnd datele sunt modificate (caz de fraud"), sau programele sunt modificate (rea voin#" sau erori), impactul intrinsec poate (sau nu) fi redus prin detectarea timpurie n func#ie de faptul dac" exist" un drept al erorii sau nu.
Atunci cnd informa#ia este dezv"luit" necorespunz"tor, prevenirea repet"rii prin detectarea din timp poate reduce impactul intrinsec n func#ie de context !i de subiectul informa#iei.
Evident, aceste exemple ale caracterului evolutiv (sau nu) al scenariului nu depind doar de baza de cuno!tin#e. Ele ar trebui s" depind" !i de alegerea !i deciziile care trebuiesc luate de c"tre utilizatori. De la versiunea precedent" a MEHARI, managementul scenariului de c"tre procedurile automatizate permit declararea unui scenariu ca fiind neevolutiv, de!i a fost considerat ini#ial ca fiind evolutiv.
7.3.4 Abord#ri propuse de MEHARI
7.3.4.1 Un spectru larg de abord!ri

Modelul de risc al lui MEHARI !i bazele de cuno!tin#e au permis din totdeauna multe abord"ri, dar setul de documenta#ie precedent a accentuat o abordare specific" care a condus la formalizarea planurilor strategice !i opera#ionale pentru organiza#ie. Pe de alt" parte natura modular" !i complementar" a uneltelor setului de metodologii este acum accentuat". Aceasta este o parte esen#ial" a MEHARI. Pentru cei care au aplicat deja MEHARI, !i au preg"tit planuri strategice sau opera#ionale formale, nu exist" nici o revolu#ie doar evolu#ie. Pentru aceia care au considerat c" MEHARI este prea formal n planificarea strategic", ei vor g"si ghiduri care permit evitarea anumitor constrngeri, pe care structurile mai mici nu trebuie s" le nfrunte. Cei care vor s" foloseasc" MEHARI doar pentru proiecte vor g"si !i ei sfaturi corespunz"toare.
7.3.4.2 Unicitatea abord!rii de analiz! a riscului

n MEHARI, abordarea analizei riscului este unic" !i no#iunile de abordare global" !i abordare analitic" sunt legate. Exist" o abordare fundamental" care include evaluarea (a impactului intrinsec, expunerii naturale !i factorii de reducere a riscului), ra#ionamentul !i judecata final" asupra poten#ialit"#ii !i a impactului riscului !i, n final, acceptabilitatea riscului. Procedurile automate ofer" asisten#" n procesul de baz" !i sunt un ajutor esen#ial n c"utarea sistematic" a situa#iilor de risc, dar nu pot fi considerate niciodat" o nlocuire pentru judecata uman".
7.3.4.3. Natura complementar! a uneltelor MEHARI #i principiile de proiectare

Natura complementar" a uneltelor asociate cu metoda impune principii de proiectare stricte, care trebuiesc explicate. Din acest motiv, chiar !i n versiunile anterioare ale MEHARI, principiile de proiectare au fost explicate. Exist" dou" principii principale !i un num"r de principii complementare. Principiile principale sunt: - Procedurile automate ale metodei nu trebuie s" conduc" niciodat" la subestimarea unui risc. Este ntotdeauna preferabil ca un risc s" fie supra-estimat ini#ial, cu posibilitatea de a fi redus de o analiz" detaliat" ulterioar", dect s" fie subestimat !i s" nu fie selectat pentru o examinare am"nun#it". - n orice caz, procedurile automate ale metodei trebuie s" permit" explicarea !i justificarea pentru rezultatele ob#inute.
7.3.5 Bazele de cuno!tin"e
7.3.5.1 Domeniul de aplica"ie

Cu MEHARI, domeniul de aplica#ie al bazelor de cuno!tin#e acoper" sistemul informa#ional n cel mai larg sens. Ca un rezultat specific, dimensiunile mediului de lucru al utilizatorului sunt luate n considerare (documente, po!t", spa#iu al biroului, etc.).
7.3.5.2 Baza de cuno#tin"e a serviciilor de securitate

Principiile de baz" pentru bazele de cuno!tin#e !i chestionare au fost descrise deja. Aplicarea lor a condus la o revizuire a bazei de cuno!tin#e a serviciilor de securitate. n plus, a fost creat un dosar descriptiv (manualul de referin#e al serviciilor de securitate).
7.3.5.3 Baza de cuno#tin"e a scenariilor

Principiile care au fost aplicate n definirea acestei baze au fost descrise clar.
7.3.5.4 Tabelele de evaluare a factorilor reducerii riscului

n timp ce tabelele de evaluare pot fi modificate de c"tre utilizatori, este preferabil ca crearea lor s" fie fundamentat" pe ni!te principii clare. Principiile folosite pentru a crea tabelele sunt documentate.
55
10 februarie 2008

MEHARI 2007 Concepte Si Mecanisme

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

MEHARI 2007 Concepte Si Mecanisme

Încărcat de

Drepturi de autor:

Formate disponibile

MEHARI 2007

MEHARI este marc! nregistrat! a CLUSIF

Bunuri critice Risc inaccep tabil Vulner abilitat e mare

Bunuri critice + Vulnerabilitate mare " Risc inacceptabil

Analiza mizelor & a bunurilor - Clasificare

Auditul serviciilor de securitate Identificarea riscurilor critice Analiza situa#iilor de risc

Planuri de ac#iune bazate pe auditul vulnerabilit"#ii

Planuri de ac#iune bazate pe analiza riscului Planuri

Managemen tul riscului pe baz" de proiect

Planuri de ac#iune bazate pe analiza

2 Evaluarea mizelor de securitate !i clasificarea informa"iei !i a bunurilor

2.1.1 Scopurile unei evalu#ri a mizelor securit#"ii

2.1.2 De ce !i cnd ar trebui f#cut# o evaluare?

2.2 Definirea mizelor de securitate: scara de valori !i clasificarea defec"iunilor

2.2.1 Scara de valori a defec"iunilor

2.2.2 Clasificarea informa"iilor !i a bunurilor

2.2.3 Procesul pentru analizarea mizelor de securitate

3 Evaluarea st#rii serviciilor de securitate

3.2 Servicii de securitate

3.2.2 Serviciile !i sub-serviciile de securitate

3.2.3 Mecanisme !i solu"ii de securitate

3.2.4 Tipuri de servicii de securitate

3.2.5 Baza de cuno!tin"e a serviciilor de securitate

3.3 Evaluarea calit#"ii serviciului de securitate

3.3.1 Parametri obligatorii

3.3.1.1 Eficien"a serviciului de securitate

3.3.1.2 Robuste"ea serviciului de securitate

3.3.1.3 Permanen"a serviciului de securitate

3.3.3 Chestionarele MEHARI pentru evaluarea serviciilor de securitate

3.3.4 Evaluarea direct# a calit#"ii serviciilor de securitate

3.4 Procesul de recenzie a vulnerabilit#"ii

3.4.1 Schema de audit

3.4.2 Procesul propriu-zis de recenzie a vulnerabilit#"ii

3.5 Sumar al recenziei vulnerabilit#"ii

4 Analizarea situa"iilor de risc

4.2 Scenarii de risc

4.3.1 Evaluarea poten"ialit#"ii unui scenariu de risc

4.3.1.1 Expunerea natural!

4.3.1.2 Riscul perceput de c!tre r!uf!c!torul unui act inten"ionat

4.3.1.3 Condi"ii pentru ca riscul s! se produc!

4.3.1.4 Evaluarea poten"ialit!"ii unui scenariu de risc

4.3.2 Evaluarea impactului unui scenariu de risc

4.3.2.1 Impactul intrinsec

Care este gravitatea maxim" a consecin#elor unui scenariu de risc?

4.3.2.2 Limitarea consecin"elor directe: limitarea riscului

4.3.2.3 Limitarea consecin"elor indirecte ale unui risc: m!suri paliative

Scara de valori a defec#iunilor

4.3.2.4 Limitarea pierderilor totale: transferul riscului

4.3.2.5 Evaluarea impactului global al scenariului de risc

4.3.3 Gravitatea rezultant# unei situa"ii de risc

S=3 S=3 S=2 S=l

S=4 S=3 S=2 S=l

S=4 S=4 S=3 S=2

Figura 4: Tabelul acceptabilit"#ii riscului

4.3.4 Privire general# asupra procesului de analiz# a riscului

Identificarea unei situa#ii de risc Evaluarea expunerii naturale

Evaluarea factorilor disuasivi !i de prevenire

Ajutor poten#ial: Scara de valori a defec#iunilor sau clasificarea n prealabil

Evaluarea impactului intrinsec

Evaluarea factorilor de protec#ie, paliativi !i de recuperare

Evaluarea reducerii impactului Evaluarea impactului

Evaluarea riscului global

Decizia dac" riscul este acceptabil Figura 5: Analiza situa#iei de risc

4.4 Utilizarea bazelor de cuno!tin"e MEHARI