MEHARI 2007

Ghid de analiz! a riscului

MEHARI este marc! nregistrat! a CLUSIF CLUB DE LA SECURITE DE LINFORMATION FRANCAIS

Ghid de analiz! a riscului

24 februarie 2008

Recunoa!tere
CLUSIF dore"te s! mul#umeasc! membrilor echipei de lucru care au contribuit la crearea acestui document. CLUSIF dore"te de asemenea s! mul#umeasc! dlui. Valentin P. M!z!reanu "i echipei sale (Alina Marin, Raluca Ungureanu) care au acceptat s! furnizeze aceast! traducere. Dl. Valentin P. M!z!reanu "i desf!"oar! activitatea n cadrul Facult!#ii de Economie "i Administrarea Afacerilor, Universitatea Al.I.Cuza Ia"i "i este director general al Paideia Consulting Ia"i. Pentru mai multe informa#ii despre activitatea dlui. Valentin P. M!z!reanu v! invit!m s! accesa#i www.managementulriscurilor.ro. V! rug!m s! trimite#i ntreb!rile "i comentariile dumneavoastr! la adresa mehari@clusif.asso.fr

Ghid de analiz! a riscului

24 februarie 2008

Cuprins
Cuprins ......................................................................................................................................................................................3 1 Introducere..............................................................................................................................................................................4 2 Analiza situa#iilor de risc ........................................................................................................................................................5 2.1 Trecerea n revist! a procesului de analiz! a riscului.......................................................................................................5 2.2 Evaluarea expunerii naturale ...........................................................................................................................................6 2.2.1.Expunerea natural! standard .....................................................................................................................................6 2.2.2 Expunerea natural! specific! ntreprinderilor pentru un risc dat ..............................................................................7 2.3 Evaluarea impactului intrinsec.........................................................................................................................................7 2.3.1 Tabelul impactului intrinsec .....................................................................................................................................7 2.3.2 Extinderea tabelului impactului intrinsec .................................................................................................................8 2.3.3 Evaluarea scenariilor impactului intrinsec ................................................................................................................9 2.3.4 Descompunerea cartografic! .....................................................................................................................................9 2.4 Evaluarea factorilor de reducere a riscului printr-un audit de securitate MEHARI.........................................................9 2.4.1 Indicatorii de eficacitate pentru serviciile de securitate pe scenariu "i m!sura reducerii riscului ...........................10 2.4.2 Factorii de reducere a riscului calculat ................................................................................................................11 2.4.3 Evaluarea factorilor de risc .....................................................................................................................................12 2.5. Evaluarea poten#ialit!#ii "i a impactului........................................................................................................................12 2.5.1 Evaluarea automat! a poten#ialit!#ii: STAUS-P......................................................................................................12 2.5.2 Evaluarea automat! a impactului: STATUS-I ........................................................................................................13 2.5.3 Principii de construire a tabelului de evaluare ........................................................................................................14 2.5.4 Evaluarea poten#ialit!#ii "i a impactului..................................................................................................................14 2.6 Evaluarea gravit!#ii unui scenariu..................................................................................................................................14 2.7 Exprimarea cerin#elor de securitate ..............................................................................................................................14 2.8 Sfaturi practice...............................................................................................................................................................15 2.8.1 Gndirea din spatele abord!rii analizei riscului ......................................................................................................15 2.8.2 Structura unui comitet de evaluare a riscului..........................................................................................................15 2.8.3 Utilizarea abord!rii n conjunc#ie cu un audit de securitate ....................................................................................15 3 Identificarea situa#iilor de risc ..............................................................................................................................................16 3.1 Identificarea sistematic! folosind baza de cuno"tin#e ....................................................................................................16 3.2 Crearea unui baze de scenarii specifice .........................................................................................................................17 3.2.1 Baza de scenarii de risc generice ............................................................................................................................17 3.2.2 Personalizarea scenariilor ca func#ie a bunurilor implicate ....................................................................................18 3.2.3 Luarea n considerare a solu#iilor de securitate specifice........................................................................................18 3.3. Evaluarea automat! a scenariilor ..................................................................................................................................19 3.4. Selectarea scenariilor critice care ar trebui luat! n considerare n timpul analizei riscului..........................................19 Anexa 1: Tabelul expunerii naturale standard .........................................................................................................................21 Anexa 2 : Defini#ia nivelurilor de expunere natural! ...............................................................................................................23 Anexa 3 : Tabelul impactului intrinsec....................................................................................................................................24 Anexa 4: Defini#ia nivelurilor factorilor de reducere a riscului ...............................................................................................25 Anexa 5: Principii pentru construirea tabelelor de evaluare STATUS ....................................................................................28 Anexa 6 : Tabele standard de evaluare ....................................................................................................................................29 Anexa 7: Cerin#e speciale de securitate ...................................................................................................................................31

Ghid de analiz! a riscului

24 februarie 2008

1 Introducere
O recenzie a principiilor analizei riscurilor "i identificarea situa#iilor de risc este dat! n documentul MEHARI - Concepte !i Mecanisme. Principalele puncte sunt amintite mai jos: - O situa#ie de risc poate fi caracterizat! prin poten#ialitatea "i impactul s!u intrinsec, n absen#a oric!ror m!suri de securitate. - Poten#ialitatea intrinsec! "i impactul intrinsec pot fi evaluate. - M!surile de securitate pot fi aplicate pentru a reduce riscul prin factori semnificativi de reducere a riscului. Analiza unei situa#ii de risc poate fi f!cut! direct folosind principiile generale "i explica#iile oferite n documentul MEHARI - Concepte !i Mecanisme. Dac! situa#ia de risc care este analizat! corespunde unuia din scenariile cuprinse n baza de cuno"tin#e MEHARI, este posibil "i - pentru o evaluare direct! a nivelului riscului s! se utilizeze Manualul de referin"e pentru scenarii de risc. Documentul ofer!, pentru fiecare scenariu, indica#ii specifice despre factorii de reducere a riscului. n acest document descriem modul n care procedurile automate MEHARI ar trebui folosite pentru a ajuta la evaluarea unei situa#ii de risc. Exemplele care sunt folosite vor fi cele n care situa#ia care este analizat! corespunde unui scenariu din baza de cuno"tin#e MEHARI. De asemenea vom descrie modul n care trebuie folosite procedurile automate pentru a eviden#ia situa#iile de risc "i pentru a le selecta pentru o analiz! detaliat!.

Ghid de analiz! a riscului

24 februarie 2008

2 Analiza situa"iilor de risc

2.1 Trecerea n revist! a procesului de analiz! a riscului
Figura 1, de mai jos, arat! procesul total pentru analiza riscului, dup! cum a fost deja descris n documentul MEHARI Concepte !i mecanisme.
Asisten"a oferit# de MEHARI pentru un scenariu standard Evaluarea expunerii naturale Evaluarea factorilor disuasivi "i preventivi Evaluarea poten#ialit!#ii Evaluarea impactului intrinsec Evaluarea factorilor protectori, paliativi "i recuperatori Evaluarea reducerii impactului Evaluarea impactului Tabelul expunerii standard Comentarii n baza de cuno"tin#e global!

Identificarea unei situa#ii de risc

Comentarii n baza de cuno"tin#e global!. Calcularea automat! a STATUS-ului dac! exist! un audit anterior Tabelele de decizie standard sau specifice ntreprinderii, n func#ie de situa#ia de risc Scara de valori a defec#iunilor Sau clasificarea predefinit! Comentarii n baza de cuno"tin#e global! Calcularea automat! a STATUS-ului dac! exist! un audit anterior Tabelele de decizie standard sau specifice ntreprinderii, n func#ie de situa#ia de risc

Evaluarea riscului global

Tabelele de acceptabilitate a riscului standard sau specifice ntreprinderii

Decizia dac! riscul este acceptabil

Figura 1: Procesul de analiz! a riscului "i asisten#a oferit! de MEHARI Astfel, prin baza sa de cuno"tin#e, MEHARI propune diferite ajutoare pentru analiza riscului. ! Asisten#! n evaluarea expunerii naturale ! Proceduri automate pentru evaluarea factorilor de reducere a riscului (factori disuasivi, preventivi, protectori, paliativi "i recuperatori) n func#ie de calitate serviciilor de securitate,
Ghid de analiz! a riscului 5 24 februarie 2008

! !

dac! acestea au fost evaluate prin un audit MEHARI. Un tabel generic al impactului intrinsec poate fi creat ca rezultat al clasific!rii sau direct folosind o scar! a valorilor defec#iunilor. Proceduri automate pentru calcularea poten#ialit!#ii "i impactului actual, ca func#ie a factorilor expunerii naturale, impactului intrinsec, "i de atenuare a riscului.

Toate aceste ajutoare sunt disponibile automat pentru toate scenariile din baza de cuno"tin#e MEHARI.

2.2 Evaluarea expunerii naturale

Am explicat deja, n documentul MEHARI - Concepte "i Mecanisme, c! expunerea natural! poate varia pentru aceea"i organiza#ie n func#ie de fenomene conjuncturale. Totu"i, pentru multe organiza#ii, r!mne adev!rat faptul c! expunerea normal! sau standard la un anumit tip de risc (de ex. n absen#a oric!rui fenomen excep#ional anume) este n conformitate cu ceea ce poate fi observat n general, "i poate fi f!cut! o evaluarea n prealabil.

2.2.1.Expunerea natural# standard

Scenariile1 din baza de cuno"tin#e MEHARI sunt comparate cu o list! de evenimente caracteristice, fie c! sunt accidente, erori sau ac#iuni voluntare (mali#ioase sau nu), "i pentru care este propus! o evaluare standard anterioar! a expunerii. Deci, de exemplu, este estimat c! expunerea natural! standard la incendii pentru o ntreprindere este de nivel 2 (destul de improbabil); la pierderea unui serviciu al echipamentului ICT este de nivel 3 (destul de probabil); iar la o eroare n timpul procesului de introducere a datelor este de nivel 4 (foarte probabil). Lista acestor evenimente "i a expunerii naturale standard este dat! n Anexa 1. Fiecare scenariu se refer! la un tip de eveniment, dup! cum este ar!tat n exemplul de mai jos: 10.31: Pierderea fi"ierelor de date, prin "tergerea r!uvoitoare a mediilor de c!tre personalul de opera#iuni.
TYP-EXPO MA010 EFF-PROT MAX(08C01 ;08C05) EFF-DISS MAX(MIN(07C02;08E02);08C01) EFF-PALL MAX(MIN(08D05;09D03);09D02) EFF-PREV 08A02 EFF-RECUP 01D02

Tipul de expunere MAO 10 din tabel n Anexa 1 este: $tergerea voluntar! a datelor sau furtul de medii "i este evaluat cu o valoare standard de nivel 3 (destul de probabil).

Scenariile din baza de cuno"tin#e MEHARI sunt grupate pe familii care au consecin#e similare. n aceast! versiune, exist! 12 familii standard de scenarii. Ghid de analiz! a riscului 6 24 februarie 2008

2.2.2 Expunerea natural# specific# ntreprinderilor pentru un risc dat

Ar trebui f!cut clar faptul c! evaluarea standard oferit! este doar o evaluare prin lips!, "i c! evaluarea specific! a expunerii ntreprinderii la situa#ia de risc analizat! este cu mult mai preferabil!. Pentru o astfel de evaluare, face#i referire la defini#iile nivelurilor de expunere date n documentul MEHARI - Concepte "i Mecanisme. Acestea sunt rezumate n Anexa 2. Pentru un scenariu specific, ar trebui de asemenea s! consulta#i Manualul de Referin#! al Scenariilor de Risc, care con#ine informa#ii specifice despre evaluarea expunerii naturale. NOT$: Dac! situa#iile de risc vor fi analizate sistematic, sau dac! mai multe situa#ii de risc vor fi examinate, este preferabil s! se nceap! cu trecerea n revist! a tuturor evenimentelor, "i s! se fac! o apreciere general! referitor la expunerea ntreprinderii la fiecare dintre acestea.

2.3 Evaluarea impactului intrinsec

Defini#ia impactului intrinsec al unui scenariu, dat! n MEHARI Concepte "i mecanisme, este evaluarea consecin#elor evenimentului de risc care are loc efectiv, independent de orice m!suri de securitate. Pentru fiecare din scenariile definite n baza de cuno"tin#e MEHARI, exist! o #int! a scenariului (un bun care va fi deteriorat sau afectat de scenariu). Aceasta ar putea fi un tip de date sau de informa#ii care este furat, un tip de bunuri a c!rui disponibilitate este redus!, sau un bun care este modificat. Acest lucru va depinde de faptul dac! scenariul va afecta confiden#ialitatea, disponibilitatea, sau integritatea bunului. Acestea sunt cele trei criterii de baz! pe care MEHARI le acoper! ca standard. Evaluarea impactului intrinsec n astfel de condi#ii implic! evaluarea criticalit!#ii sau a gravit!#ii pierderii disponibilit!#ii, integrit!#ii sau confiden#ialit!#ii, n func#ie de tipul de scenariu, "i de tipul de bunuri implicat n scenariu. Abordarea clasific!rii folosit! de MEHARI permite crearea unui tabel al clasific!rii generice. Acest tabel arat! tipurile de bunuri identificate n mod specific prin scenariile din baza de cuno"tin#e. Abordarea clasific!rii este descris! n documentului MEHARI Concepte !i mecanisme, "i n Analiza mizelor de securitate !i ghidul de clasific#ri.

2.3.1 Tabelul impactului intrinsec

Abordarea folosit! pentru a evalua impactul intrinsec poate fi apoi organizat!. Const! n completarea unui tabel al impactului intrinsec, pe baza tabelului oferit n Anexa 3, din care este ar!tat un extras mai jos.

Ghid de analiz! a riscului

24 februarie 2008

Tabelul impactului intrinsec Clasificarea datelor, informa#iilor "i elementelor de infrastructur! Date !i informa"ii D01 Dosare cu date, sau baze de date cu aplica#ii D07 Po"t! "i faxuri .../... Infrastructura IT !i telecom R02 Echipament "i leg!turi pentru re#eaua local! S01 Mainframe-uri, servere de aplica#ii A I C

Acest tabel este completat prin transcrierea nivelului de consecin#! sau de impact asupra disponibilit!#ii, integrit!#ii sau confiden#ialit!#ii pentru fiecare tip de bun identificat. Totu"i, anumite intr!ri nu vor fi completate, de exemplu cea pentru confiden#ialitatea unei componente hardware. Abordarea de baz! folose"te tabelele de clasificare, dup! cum este descris n MEHARI Analiza mizelor de securitate !i ghidul de clasificare. n cel mai r!u caz, poate fi f!cut! n mod direct, dar abordarea clasific!rii definit! n MEHARI Concepte !i mecanisme, a"a cum este completat! de procesul de mai sus, este f!r! ndoial! mai bun!. Principiul general pentru completarea tabelului impactului intrinsec este c! se copie cea mai mare valoare a clasific!rii g!sit! n timpul procesului de clasificare pentru fiecare tip de informa#ie "i pentru fiecare criteriu. Detaliile despre modul de completare al tabelului impactului intrinsec din rezultatele clasific!rii sunt descrise n MEHARI Analiza mizelor de securitate !i ghidul de clasificare. Acest lucru produce deci o sintez! care poate fi folosit! pentru a defini nivelul impactului intrinsec pentru fiecare din scenariile din baza de cuno"tin#e MEHARI care au impact asupra tipului de informa#ii sau de bunuri de la fiecare examinare.

2.3.2 Extinderea tabelului impactului intrinsec

Tabelul MEHARI standard se refer! doar la trei criterii standard: disponibilitate, integritate "i confiden#ialitate. Alte criterii pot, desigur, s! fie folosite. Tabelul poate fi extins pentru a include criterii precum, dovad!, capacitatea de a fi urm!rit, capacitatea de a fi auditat, "i a"a mai departe. Pentru a efectua o astfel de extindere, ar trebui create scenarii care aduc noile criterii n joc (sau modific! scenariile existente). n plus, tabelele de evaluare corespondente ar trebui definite. Pachetul software Risicare2 permite s! fie luate n considerare pn! la opt criterii.

Marc! nregistrat! a BUC S.A. 8 24 februarie 2008

Ghid de analiz! a riscului

2.3.3 Evaluarea scenariilor impactului intrinsec

Impactul intrinsec al fiec!rui scenariu al bazei de cuno"tin#e este evaluat destul de simplu. Fiecare scenariu are o leg!tur! cu un tip de bunuri n tabelul impactului intrinsec "i un criteriu de aplicare (A, I sau C sau, poate, altele). Altfel spus, fiecare scenariu din baza de cuno"tin#e face referire n mod explicit la un tip de bunuri afectat de scenariu, "i la modul n care este afectat (A, I sau C). n acest mod, impactul intrinsec poate fi evaluat folosind tabelul din Anexa 3.

2.3.4 Descompunerea cartografic#

Tabelul standard al impactului intrinsec, a"a cum este dat n Anexa 3, arat! doar o singur! linie pentru toate serverele de aplica#ii sau mainframe-urile. De asemenea, exist! o singur! linie pentru toate bazele de date cu aplica#ii "i n general doar o singur! referin#! pentru fiecare tip de bunuri. Aceast! abordare global! permite analiza situa#iilor de risc lund n considerare sensibilitatea maxim! a bunurilor n discu#ie, f!r! a diferen#ia ntre bunuri, sau a le numi. Aceasta este o simplificare care restric#ioneaz! situa#iile care pot fi analizate, f!r! consecin#e practice, deoarece va exista ntotdeauna o oportunitate, atunci cnd se construiesc planurile de ac#iune, pentru a limita ac#iunile corective pentru acele bunuri care sunt cele mai sensibile. Totu"i, se poate distinge ntre diferite varia#ii ale tipurilor de bunuri, tot a"a cum varia#iile serviciilor de securitate pot fi diferen#iate n timpul unui audit MEHARI. Pentru mai multe detalii, vezi schema de audit n Ghidul de audit al serviciilor de securitate. Crearea varia#iilor a tipurilor de bunuri n tabelul impactului intrinsec este cunoscut! ca descompunere cartografic#. Aceasta permite diferen#ierea, de exemplu, ntre servere n mai multe domenii diferite, domenii de baze de date de aplica#ii, a software-ului n domenii, "i a"a mai departe. Utilizarea descompunerii cartografice permite tratamentul specific al unuia sau a mai multor domenii specifice de activitate. Pachetul software RisicareTM folose"te posibilitatea de a crea varia#ii de scenarii n func#ie de varia#iile cartografice care sunt create3. ATEN%IE: Utilizarea acestei op#iuni poate, totu"i, complica mult sarcina, deoarece va crea n mod inevitabil mai multe scenarii.

2.4 Evaluarea factorilor de reducere a riscului printr-un audit de securitate MEHARI

Evaluarea poten#ialit!#ii impactului unui scenariu de risc depinde de analiza existen#ei factorilor de
3

Atunci cnd Risicare nu este folosit pentru aceast! lucrare, "i cnd foile de calcul din Excel ale bazei de cuno"tin#e standard a Clusif sunt folosite, tabelul de clasific!ri T1 descris n documentul Mehari Principii de baz! "i Concepte generale ar trebui modificat. Tabelul impactului intrinsec oferit n Anexa 3 ar trebui de asemenea modificat pentru a lua n considerare descompunerea cartografic!. 9 24 februarie 2008

Ghid de analiz! a riscului

reducere a riscului, "i de o evaluare a nivelurilor acestora. Factorii de reducere a riscului sunt disuasiunea "i preven#ia pentru poten#ialitate, protec#ie, paliativ "i recuperare pentru impact. n baza sa de cuno"tin#e, MEHARI ofer! evalu!ri ale nivelurilor acestor factori de reducere a riscului, n func#ie de calitatea serviciilor de securitate potrivite pentru scenariul care este analizat. Aceast! evaluare automat! este efectuat! n doi pa"i: ! Calcularea indicatorilor de eficacitate pentru serviciile de securitate, pentru fiecare tip de factor de reducere a riscului, ! Calcularea factorilor de reducere a riscului n"i"i.

2.4.1 Indicatorii de eficacitate pentru serviciile de securitate pe scenariu !i m#sura reducerii riscului
MEHARI define"te un indicator de eficacitate pentru fiecare scenariu "i pentru fiecare tip de m!sur! de reducere a riscului. Eficacitatea pentru fiecare m!sur! de reducere a riscului este ar!tat! cu urm!toarele not!ri: EFF-DISS pentru eficacitatea m#surilor disuasive EFF-PREV pentru eficacitatea m#surilor preventive EFF-PROT pentru eficacitatea m#surilor protectoare EFF-PALL pentru eficacitatea m#surilor paliative EFF-RECUP pentru eficacitatea m#surilor recuperatoare Ace"ti indicatori sunt calcula#i folosind formule care fac toat! diferen#a pentru serviciile de securitate. Formulele oferite n baza de cuno"tin#e MEHARI apeleaz! la: ! Fie la un serviciu de securitate direct, prin identificatorul4 s!u, atunci cnd serviciul este singurul care are acest tip de efect asupra scenariului; ! Sau formule care con#in func#ii: MIN (arg1; arg2; ...) sau MAX (arg1; arg2; ...), parametrii (arg1; arg2; ...) fiind identificatori ai serviciilor de securitate ai bazei de cuno"tin#e MEHARI. Formulele pot deci s! aib! urm!toarele forme, de exemplu: EFF-PALL = 06B01 EFF-PREV = MAX(04B04;MIN(04B01;04B02;04B03)) Prima formul! semnific! faptul c! eficacitatea (propus!) a m!surilor paliative este o func#ie direct! a serviciului 06B01 "i ia ca valoare nivelul de calitate a acelui serviciu. A doua formul! semnific! faptul c! eficacitatea (propus!) a m!surilor preventive este egal! cu valoarea mai mare dintre calitatea serviciului a 04B04 "i func#ia care reprezint! minimul serviciilor 04B01, 04B02, "i 04B03.
4

Identificatorul unui sub-serviciu este compus dintr-un num!r de domeniu, o liter! care indic! serviciul la care este ata"at, "i un num!r de sub-serviciu (ex.: 06B01) Ghid de analiz! a riscului 10 24 februarie 2008

NOT&: Func#ia MIN nseamn! c! serviciile numite ca parametri sunt complementare. Dac! nivelul unuia este mic, nivelul ntregului va fi mic. Un exemplu al unui astfel de caz se g!se"te n managementul accesului utilizatorului "i autentificarea; dac! unul din ele are un nivel mic, ntregul control al accesului se afl! la un nivel mic. Func#ia MAX semnific! c! serviciile numite parametri sunt alternative. Dac! unul din servicii are un nivel al calit!#ii ridicat, atunci ntregul va avea un nivel al calit!#ii ridicat. Un exemplu pentru un astfel de caz, n func#ie de anumite scenarii, l reprezint! controlul accesului la date "i criptarea datelor. Este posibil ca nici unul din serviciile de securitate existente s! nu aib! o influen#! asupra unui tip de reducere a riscului dat pentru un scenariu dat. Ca un exemplu, ilustra#ia de mai jos arat! con#inutul bazei de cuno"tin#e MEHARI pentru scenariul 10.31: 10.31: Pierderea fi"ierelor de date, prin "tergerea r!uvoitoare personalul de opera#iuni.
TYP-EXPO MA010 EFF-PROT MAX(08C01;08C05) EFF-DISS MAX(MIN(07C02; 08E02);08C01) EFF-PALL MAX(MIN(08D05;09D03);09D02)

a mediilor de c!tre

EFF-PREV 08A02 EFF-RECUP 01D02

2.4.2 Factorii de reducere a riscului calculat

n mod clar, coeficien#ii de eficacitate evalua#i mai sus (EFF-XXXX) sunt calcula#i pe baza valorilor calit!#ii serviciului, care nu au de ce s! fie valori ntregi, "i coeficien#ii de eficacitate nu sunt nici ei n"i"i valori ntregi. Pentru a face evaluarea final! a poten#ialit!#ii "i a impactului mai u"oar!, MEHARI le transform! n valori ntregi pentru evaluarea factorilor de reducere a riscului. n MEHARI, factorii de reducere a riscului sunt nota#i cu STATUS-XXXX (de exemplu STATUSDISS pentru factorul de disuasiune). Valorile pentru STATUS sunt ob#inute prin rotunjirea valorii la cel mai apropiat num!r ntreg: STATUS-XXXX = 1 dac! EFF-XXXX< 1,5 STATUS-XXXX = 2 dac! 1,5 < EFF-XXXX < 2,5 STATUS-XXXX = 3dac! 2,5 < EFF-XXXX < 3,5 STATUS-XXXX = 4 dac! 3,5 < EFF-XXXX Unde XXXX poate fi DISS, PREV, PROT, PALL sau RECUP Not!: Valoarea pentru evaluarea expunerii naturale va fi de asemenea dat! prin notarea STATUSEXPO. Ace"ti factori de reducere a riscului sunt factorii calcula#i. Asta nseamn! c! valoarea ob#inut! poate s! nu fie n totalitate pertinent! n contextul specific al ntreprinderii sau organiza#iei. Este
Ghid de analiz! a riscului 11 24 februarie 2008

posibil s! existe situa#ii, de exemplu, cnd personalul nu este sensibil la m!surile disuasive, cnd personalul este format din exper#i, unde m!surile preventive nu au nsemn!tate, "i situa#ii unde m!surile de protejare sau paliative nu ar avea nici un efect asupra impactului real. MEHARI ajut! prin oferirea de valori calculate pentru factorii de reducere a riscului. Aceste valori ar trebui, totu"i, s! fie verificate nainte de a le aplica. Un caz deosebit de frecvent este cel al scenariilor pentru care se poate considera c! m!surile protectoare nu ar reduce semnificativ impactul intrinsec al scenariului (deoarece detectarea fraudei sau dezv!luirea informa#iilor, de exemplu, nu ar reduce gravitatea riscului, indiferent de m!surile aplicate). Un astfel de scenariu poate fi considerat non-evolutiv, "i poate fi declarat ca atare5.

2.4.3 Evaluarea factorilor de risc

Factorii de risc pentru un scenariu dat ar trebui verifica#i contra defini#iilor lor de baz! nainte de ai aplica la scenariu, (vezi Anexa 4).

2.5. Evaluarea poten#ialit!#ii "i a impactului

2.5.1 Evaluarea automat# a poten"ialit#"ii: STAUS-P
MEHARI ofer! o evaluare automat! a poten#ialit!#ii, ncepnd cu o evaluare a expunerii naturale (STATUS-EXPO), pe de o parte, "i nivelurile m!surilor disuasive "i preventive (STATUS-DISS "i STATUS-PREV), pe de alt! parte. Din expresia STATUS-ului de mai sus n numere ntregi, MEHARI evalueaz! poten#ialitatea sub denumirea STATUS-P. Aceasta este dedus! direct din STATUS-EXPO, STATUS-DISS "i STATUS-PREV de tabelele de evaluare. n MEHARI sunt folosite trei tabele standard, n func#ie de motivele pentru accidentul sau evenimentele care conduc la scenariu: ! Eveniment natural sau accident ! Eroare uman! ! Ac#iune uman! voluntar! (mali#ioas! sau nu). Aceste tabele standard pot fi modificate dac! este necesar. Not!: Logica din spatele acestor tabele de evaluare este s! se considere c! pentru fiecare tip de cauz! (accident, eroare sau ac#iune voluntar!), ar trebui urmat acela"i ra#ionament independent de descrierea precis! a scenariului. Cu niveluri de expunere, disuasiune, "i preven#ie egale, poten#ialitatea a dou! scenarii ar trebui s! fie aceea"i.

n Risicare, aceast! op#iune este disponibil! pentru scenarii care sunt ini#ial considerate evolutive. Selectarea acestei op#iuni are efectul de a for#a aplicarea unui anumit tabel de evaluare care nu ia n considerare m!surile protectoare. 12 24 februarie 2008

Ghid de analiz! a riscului

2.5.2 Evaluarea automat# a impactului: STATUS-I

MEHARI ofer! "i o evaluare automat! a impactului, pornind de la impactul intrinsec al scenariului pe de o parte "i nivelurile de m!suri protectoare, paliative "i recuperatoare (m!surate de STATUS-PROT, STATUS-PALL "i STATUS-RECUP), pe cealalt! parte. Evaluarea este format! din doi pa"i: ! Evaluarea unui indicator de reducere a impactului: STATUS-RI ! Evaluarea impactului: STATUS-I

2.5.2.1 Evaluarea reducerii impactului: STATUS-RI

MEHARI ofer! ini#ial o evaluare a reducerii impactului, reprezentat! de indicatorului STATUS-RI. Aceasta este dedus! direct din STATUS-PROT, STATUS-PALL "i STATUS-RECUP prin tabele de evaluare. Acest factor de reducere a impactului m!soar! atenuarea consecin#elor riscului, n compara#ie cu impactul intrinsec evaluat n prealabil. MEHARI folose"te trei tabele standard de evaluare pentru a evalua STATUS-RI, n func#ie de tipul de consecin#! al scenariului: ! Pierderea disponibilit!#ii ! Pierderea integrit!#ii ! Pierderea confiden#ialit!#ii Aceste tabele iau n considerare "i dac! scenariul este evolutiv sau nu. Aceast! caracteristic! este definit! explicit n baza de cuno"tin#e. Ea poate fi for#at! la un status non-evolutiv pentru acele scenarii care au fost ini#ial declarate n baz! ca fiind evolutive. Aceste tabele standard pot fi "i modificate dac! este necesar. Not!: Logica din spatele acestor tabele de evaluare este s! se considere c! pentru fiecare tip de consecin#! (pierderea, disponibilit!#ii, integrit!#ii sau confiden#ialit!#ii), ar trebui urmat acela"i ra#ionament independent de descrierea precis! a scenariului. Cu niveluri egale de m!suri protectoare, paliative "i recuperatoare, reducerea impactului intrinsec pentru dou! scenarii comparabile ar trebui s! fie aceea"i.

2.5.2.2 Evaluarea impactului: STATUS-I

Impactul rezidual este dedus din impactul intrinsec "i indicatorul de reducere a impactului prin urm!toarea formul!: I = MIN (INTRINSIC IMPACT; 5 - STATUS-RI) Ceea ce nseamn! c! STATUS-RI are efectul de a defini nivelul maxim al impactului: ! Nivelul maxim de impact 4 dac! STATUS-RI este 1 ! Nivelul maxim de impact 3 dac! STATUS-RI este 2
Ghid de analiz! a riscului 13 24 februarie 2008

! !

Nivelul maxim de impact 2 dac! STATUS-RI este 3 Nivelul maxim de impact 1 dac! STATUS-RI este 4

Evaluarea STATUS-I poate fi reprezentat! "i prin tabelul de mai jos: Tabelul de calcul pentru STATUS-I STATUS-RI " 1 Impact intrinsec # 4 3 2 1 4 3 2 1 2 3 3 2 1 3 2 2 2 1 4 1 1 1 1

2.5.3 Principii de construire a tabelului de evaluare

n practic!, tabelele standard, fie c! sunt pentru poten#ialitate sau impact, sunt construite folosind un anumit num!r de principii (descrise n Anexa 5 Principii pentru construirea tabelelor de evaluare STATUS). Pentru a modifica aceste tabele, trebuie s! se nceap! cu principiile, "i s! se modifice dup! cum este necesar, apoi s! se reconstruiasc! tabelele ca rezultat. Tabelele de evaluare standard sunt documentate n Anexa 6.

2.5.4 Evaluarea poten"ialit#"ii !i a impactului

Precum "i pentru factorii de reducere a riscului, procedurile automate oferite prin tabelele de decizie ofer! doar un ajutor n judecarea valorilor indicatorilor numi#i STATUS n MEHARI. O judecat! final! ar trebui f!cut!, ca regul! general!, asupra pertinen#ei nivelurilor poten#ialit!#ii P "i ale impactului I.

2.6 Evaluarea gravit!#ii unui scenariu

Gravitatea unui scenariu va fi dedus! din evaluarea poten#ialit!#ii "i a impactului (P "i I), prin tabelul acceptabilit!#ii riscului, a"a cum este definit n documentul MEHARI Concepte !i Mecanisme.

2.7 Exprimarea cerin#elor de securitate

Acest pas este folosit doar atunci cnd se folose"te managementul riscului la nivelul entit!#ii. Const! n evaluarea cerin#elor consolidate, dup! evaluarea gravit!#ii tuturor situa#iilor de risc identificate n timpul unui audit al serviciilor de securitate. Aceast! abordare este bazat! pe defini#ia cerin"elor de securitate, a"a cum este detaliat! n Anexa 7.

Ghid de analiz! a riscului

14

24 februarie 2008

2.8 Sfaturi practice

2.8.1 Gndirea din spatele abord#rii analizei riscului
Am ar!tat n mod inten#ionat modul n care procedurile automate ale MEHARI pot fi folosite n evaluarea nivelurilor de risc. Este important s! se re#in! c! acesta este un proces de evaluare, "i c! consensul unui comitet de evaluare este ntotdeauna mai de ncredere dect procedurile automate.

2.8.2 Structura unui comitet de evaluare a riscului

Abordarea pe care am descris-o func#ioneaz! "i mai bine atunci cnd un grup sau comitet de lucru reprezentativ efectueaz! evaluarea riscului. Structura acestui comitet este deosebit de important!, "i ar trebui s! con#in!: ! Utilizatori din zona n cauz!. Ace"tia ar trebui s! aib! un profil care le permite s! judece dac! m!surile de securitate vor aduce cu adev!rat atenuarea necesar! a consecin#elor. ! Personal IT care poate s! explice, celorlal#i membri ai comitetului, eficacitatea diferitelor m!suri de securitate "i modul n care aceste m!suri ar putea fi mpiedicate sau trecute (robuste#ea "i controlul/monitorizarea). ! Un facilitator care este bine versat n metoda ns!"i, "i care are competen#e specifice n securitatea IT.

2.8.3 Utilizarea abord#rii n conjunc"ie cu un audit de securitate

Am spus deja c! procedurile automate ar trebui luate n considerare doar ca un ajutor n procesul de evaluare. Totu"i, este de asemenea posibil ca, chiar "i cu un comitet competent "i reprezentativ, calitatea serviciilor de securitate s! fie supra-evaluat! fie prin optimism involuntar sau prin voin#! politic!. Un audit de securitate poate asigura n plus calitatea total! a abord!rii, "i poate oferi un punct de referin#! pentru a scoate la iveal! "i alte ntreb!ri. Evaluarea riscurilor mari folosind procedurile automate poate scoate n eviden#! sl!biciuni sau vulnerabilit!#i care ar fi trecut neobservate ntr-o evaluare direct!. Orice diferen#! ntre aceste dou! abord!ri necesit! examinare mai am!nun#it!. n acest sens, confirmarea evalu!rii directe prin utilizarea procedurilor automate ar trebui considerat! ca fiind o cea mai bun! practic!.

Ghid de analiz! a riscului

15

24 februarie 2008

3 Identificarea situa"iilor de risc

n capitolul anterior, am discutat despre analiza unui anumit isc. Identificarea situa#iilor care vor fi analizate reprezint! deci un pas preliminar pentru a stabili "i care unelte sunt necesare. Exist! dou! metode principale de identificare a riscurilor: ! abordare direct!, folosind scara valorilor defec#iunilor (MEHARI Concepte !i mecanisme). ! identificare organizat! "i sistematic! folosind o evaluare automat! a bazei de scenarii oferit! de MEHARI. Aceast! sec#iunea va examina cea de-a doua din aceste op#iuni.

3.1 Identificarea sistematic! folosind baza de cuno"tin#e

Vom acoperi aici asisten#a adus! se MEHARI n identificarea sistematic! a situa#iilor de risc. Identificarea sistematic! va folosi baza de cuno"tin#e a scenariilor de risc care a fost deja descris! "i, mai ales, procedurile automate descrise n sec#iunea anterioar!. Este bazat! pe o analiz! preliminar! care rezult! ntr-o scar! de valori a defec#iunilor, o clasificare a bunurilor sistemului informa#ional "i un audit de securitate. Procesul folosit de MEHARI este bazat pe o selec#ia unui set de scenarii care sunt specifice organiza#iei care este studiat!; ntreaga ntreprindere, o unitate opera#ional!, etc. Exist! doi pa"i principali n proces, dup! cum se vede n figura de mai jos:

Ghid de analiz! a riscului

16

24 februarie 2008

Decizia de a derula un proiect de identificare a situa#iilor de risc 1 Crearea unei baze specifice de scenarii de risc

2 Selec#ia scenariilor critice, n func#ie de o scar! de valori "i un audit al vulnerabilit!#ii Scenarii critice care vor fi analizate specific

Figura 2: Identificarea situa#iilor de risc

3.2 Crearea unui baze de scenarii specifice

O baz! de scenarii specifice poate fi derivat! din scenariile generice care fac parte din baza de cuno"tin#e MEHARI.

3.2.1 Baza de scenarii de risc generice

Bazele de cuno"tin#e MEHARI cuprind o baz! de scenarii care a fost deja discutat! n capitolul anterior. Ea reprezint! un set de scenarii, clasificate prin familia tipului de consecin#! (n aceast! versiune, exist! cam 170 de scenarii "i variantele lor clasificate n 12 familii). Pentru fiecare scenariu, exist!: ! descriere a consecin#elor scenariului. ! descriere a cauzei "i originii scenariului. ! Tipul de eveniment caracteristic, pentru a evalua expunerea natural!. ! Tipul de bunuri implicat, pentru a evalua impactul intrinsec. ! Serviciile de securitate pertinente pentru scenariu, n func#ie de rezultatul a"teptat (disuasiv, preventiv, protector, paliativ, sau recuperator). ! Formulele utilizate de procedurile automate pentru a calcula eficacitatea m!surilor de securitate pentru scenariu. ! Indicatorii globali ai tipului de consecin#! (A, I sau C, pentru Disponibilitate, Integritate, sau Confiden#ialitate), ai naturii evolutive (sau nu) a scenariului, "i tipurile de cauz! (A, E sau V, pentru Accident, Eroare sau Act voluntar). Ace"ti indicatori sunt folosi#i "i de
Ghid de analiz! a riscului 17 24 februarie 2008

procedurile automate pentru a calcula poten#ialitatea "i reducerea impactului (pentru tabelele de evaluare selectate folosite). n plus, baza de cuno"tin#e include, pentru fiecare scenariu, un asistent de analiz! (numit abordarea global!). Acesta este compus din defini#ii adaptate la fiecare tip de m!sur! de securitate, "i comentarii pentru a evalua direct eficacitatea m!surilor de securitate.

3.2.2 Personalizarea scenariilor ca func"ie a bunurilor implicate

Dup! cum s-a descris anterior, scenariile generice din MEHARI acoper! doar bunurile implicate prin raportarea lor pe tip, la un nivel relativ global. Se poate dori diferen#ierea fiec!rui scenariu, n func#ie de bunurile implicate. n mod deosebit, dac! o clasificare a fost f!cut! pentru fiecare set de servere sau alte bunuri IT, "i fiecare set de date specifice pentru fiecare domeniu de aplicare, este tentant s! se analizeze fiecare scenariu de tot attea ori cte domenii de aplicare exist!. Cu alte cuvinte, s! se creeze tot attea ipostaze de scenarii cte domenii de aplicare sunt. S! lu!m, ca exemplu, unul din scenariile generice MEHARI, care este furarea datelor prin accesul la sistem "i copierea fi"ierelor, de un hacker. Este posibil s! se creeze ipostaze separate ale aceluia"i scenariu pentru tipuri diferite de date (Resurse umane, vnz!ri, "i a"a mai departe). Acest lucru ar implica crearea, de la scenariul generic, a scenariilor specifice pentru fiecare set de bunuri pentru care a fost f!cut! o clasificare. Aceast! abordare este posibil!, "i folose"te ceea ce noi am numit mai devreme n acest document Descompunere Cartografic!. Acest lucru ar putea duce la un num!r considerabil de scenarii; "i ar trebui avut grij! la folosirea acestei abord!ri pentru a nu complica via#a inutil. n practic!, abordarea MEHARI de baz! const! n folosirea unui scenariu generic doar cu un tip de bunuri general, raportat la scenariu, "i a c!rui sensibilitate este luat! din tabelul impactului intrinsec. Aceast! simplificare poate fi justificat! de faptul c! motivul pentru aceast! analiz! este identificarea c!ror situa#ii de risc ar putea fi critice "i vor necesita o analiz! mai detaliat. Va identifica care scenariu poate implica ce bunuri avnd ce nivel de sensibilitate.

3.2.3 Luarea n considerare a solu"iilor de securitate specifice

n identificarea c!ror scenarii ar putea fi critice, solu#iile de securitate existente folosite vor avea, desigur, o influen#!. Cu ct aceste solu#ii sunt mai eficiente, cu att mai pu#in critic va fi scenariul. De aceea este clar c! acele scenarii pentru care exist!, de exemplu, diferite medii sau sisteme, sau mai general diferite tipuri de solu#ii de securitate, ar trebui tratate separat. Asta este exact aceea"i abordare folosit! "i n timpul unui audit "i schema care a fost folosit! pentru audit ar trebui re-folosit! pentru a selecta situa#iile critice de risc.
Ghid de analiz! a riscului 18 24 februarie 2008

Un alt mod de a aplica schema de audit la selectarea scenariilor critice este s! se ia n considerare c!, pentru a face selec#ia, vom baza selec#ia pe rezultatele auditului de securitate. Dac! de aceea, n timpul auditului, s-a considerat important s! se disting! ntre diferite ipostaze, atunci ar trebui luate n considerare la fel de multe scenarii (diferite ipostaze ale scenariului generic) n timpul procesului de selec#ie dup! cum este necesar. n acest mod, diferitele servicii de securitate implicate n scenariu pot fi tratate separat, "i evaluate independent de altele. Ar trebui re#inut faptul c! acest lucru ar putea crea foarte rapid un num!r mare de scenarii. O schema de audit foarte simpl!6 poate duce la multiplicarea num!rului de scenarii generice cu un factor destul de mare.

3.3. Evaluarea automat! a scenariilor

Procedurile automate MEHARI au fost descrise n capitolul anterior. Aceste proceduri automate folosesc rezultatele unui audit de securitate ("i, mai ales, schema de audit folosit! pentru a construi baza de scenarii specifice). Procedurile automate sunt folosite pentru a evalua STATUS-ul detaliat "i, n func#ie de poten#ialitate "i de impactul intrinsec al fiec!rui scenariu, poten#ialitatea "i impactul care rezult! pentru fiecare scenariu. Gravitatea global! pentru fiecare scenariu "i criticalitatea acestuia (sau nu) poate deci fi dedus! dintr-un tabel de acceptabilitate a riscului.

3.4. Selectarea scenariilor critice care ar trebui luat! n considerare n timpul analizei riscului
ncepnd cu baza de scenarii specifice, "i evaluarea automat! a gravit!#i lor, devine u"or s! se selecteze scenariile critice; adic!, acele scenarii care ar trebui luate n considerare ntr-o analiz! a riscului f!cut! folosind procesul descris n capitolul anterior. Scenariile a c!ror gravitate este peste un anumit nivel vor fi selectate pentru analiz!. De obicei, scenariile cu o gravitate de 3 sau mai mare (pe o scar! de la 1 la 4) sunt selectate, dar nu este nici o regul! stabilit!. Not!: Dat fiind pruden#a recomandat! n sec#iunea anterioar! privind evaluarea automat!, recomand!m folosirea unui tabel al acceptabilit!#ii riscului relativ sever pentru selec#ia automat!. Efectiv, tabelul acceptabilit!#ii riscului poate fi diferit la nivelul de selec#ie al scenariului critic de cel folosit n judecata final! a gravit!#ii unei situa#ii de risc.
De exemplu, o unitate organiza#ional!, dou! tipuri de loca#ii regionale (sediul central "i agen#ia regional!), dou! tipuri de premise (tehnic! "i IT pe de o parte, "i altele, zone de birouri, pe cealalt! parte), un singur tip de re#ea cu o singur! operare a re#elei, 2 tipuri de sistem (mainframe "i sisteme deschise) cu o singur! operare IT, 2 tipuri de aplica#ii (unul pe mainframe "i unul pe sistemul deschis) "i 2 tipuri de dezvoltare (mainframe "i sisteme deschise). Ghid de analiz! a riscului 19 24 februarie 2008
6

Un tabel relativ sever pentru gravitate, precum cel ar!tat mai jos, ar putea fi folosit. I=4 I=3 I=2 I=1 3 2 1 1 P=1 Important: n general, consider!m c! scenariile cu o gravitate de nivel 4 sunt insuportabile, c! acelea cu o gravitate de nivel 3 sunt inadmisibile "i cele cu niveluri mai joase de gravitate sunt tolerabile. 3 3 2 1 P=2 4 3 3 1 P=3 4 4 3 3 P=4

Ghid de analiz! a riscului

20

24 februarie 2008

Anexa 1: Tabelul expunerii naturale standard

Evaluarea expunerii naturale Evaluarea poten#ialit!#ii evenimentelor enumerate mai jos Foarte improbabil Destul de improbabil Destul de probabil Foarte probabil StatuExpo

Accidente
AC01 Scurt-circuit: fie cablu de alimentare sau echipament. AC02 Fulger AC03 Incendiu: origine intern!: co" de gunoi, scrumier!, etc. AC04 Accidente datorate apei sau lichidelor (scurgerea unei #evi, lichid v!rsat accidental, etc.) AC05 Inunda#ie datorat! unei #evi sparte sau care curge AC06 Inunda#ie datorat! cre"terii apei rului sau de adncime AC07 Inunda#ie datorat! stingerii unui incendiu n apropiere AC08 Pan! de curent de lung! durat! datorat! unei cauze externe AC09 Nedisponibilitatea loca#iei: interzicere decis! de autorit!#i (risc de poluare, r!scoal!, etc.) AC10 Pierderea personalului strategic AC11 Defectarea echipamentului auxiliar (alimentarea cu energie, aer condi#ionat, etc.) AC12 Defectarea echipamentului IT sau telecom AC13 Defectarea hardware a unui echipament IT sau telecom care nu poate fi rezolvat! de ntre#inere sau furnizorul de ntre#inere este nedisponibil AC14 Impas software care nu poate fi rezolvat de ntre#inere: editorul sau furnizorul de ntre#inere este nedisponibil AC15 Saturarea accidental! a resurselor (CPU, memorie, disc, etc.) AC16 Accident n timpul oper!rii, rezultnd n distorsionarea datelor AC17 Datele sau configurarea "terse sau poluate de un virus AC18 Pierderea accidental! a fi"ierelor de date cauzat! de un proces automat AC19 Pierderea accidental! a fi"ierelor de date cauzat! de nvechire, poluare, etc. AC20 Pierderea accidental! a fi"ierelor de date cauzat! de defectarea echipamentului (stricarea dischetei, etc.) X X X X X X X X X X X X X 2 2 2 2 2 2 2 2 2 2 2 2 2

X X X X X X X

2 3 3 3 3 2 2

Reavoin#!
MA01 Vandalism din afar!: gloan#e sau obiecte aruncate din strad!, etc. MA02 Vandalism din interior: de persoane autorizate n loca#ie (personal, subcontractor, etc.). MA03 Terorism: sabotaj, exploziv l!sat n apropierea loca#iilor X sensibile MA04 Saturarea mali#ioas! "i repetat! a resurselor IT de un grup de utilizatori MA05 Saturarea re#elei cauzat! de un vierme MA06 $tergerea mali#ioas! (direct sau indirect) a software-ului de pe unitatea de depozitare MA07 Modificarea mali#ioas! (direct! sau indirect!) a func#ionalit!#ilor unui program sau a oper!rii unui MA08 Introducerea datelor distorsionate sau modificarea datelor MA09 Accesul inten#ionat la date sau informa#ii "i dezv!luirea informa#iilor X X 2 2 1 X X X X X X 2 2 2 3 3 3

Ghid de analiz! a riscului

21

24 februarie 2008

MA10 Diversiunea fi"ierelor sau furtul mediilor de date MA11 $tergerea inten#ionat! (direct! sau indirect!) furtul sau distrugerea recipientelor de date sau programe MA12 Furtul PC-ului portabil n afara loca#iei organiza#iei MA13 $tergerea mali#ioas! a configur!rilor de re#ea MA14 $tergerea mali#ioas! a configur!rilor de sistem sau aplica#ii MA15 Diversiunea codului surs! a programului MA16 Spionarea de un stat str!in sau mafia (folosind resurse X importante) MA17 Furtul echipamentului IT sau de re#ea, n cadrul organiza#iei X X X

X X X

3 3 3 2 2 2 1

Ac#iuni inten#ionate de"i nu mali#ioase

AV01 Absen#a sau greva personalului opera#ional IT AV02 Plecarea sau demisia personalului strategic AV03 Intruziunea n resursele IT a unei p!r#i ter#e, ini#iat! de organiza#ie sau de personalul acesteia AV04 Utilizarea ilegal! a software-ului sau produselor cu licen#! Erori ER01 Retrogradarea neinten#ionat! a performan#elor, rezultnd din o opera#iune de ntre#inere ER02 $tergerea neinten#ionat! a programului de software din ntmplare sau eroare uman! ER03 Alterarea neprev!zut! a datelor n timpul opera#iunii de ntre#inere ER04 Eroarea n timpul introducerii datelor ER05 Bug al sistemului de operare, pachetului middleware sau software ER06 Bug n programul de aplica#ie ER07 Eroare introdus! n timpul modific!rii func#iilor sau a macro n spreadsheet X X X X X X X X X X X 2 3 3 3

2 3 3 4 4 4 3

Ghid de analiz! a riscului

22

24 februarie 2008

Anexa 2 : Defini"ia nivelurilor de expunere natural#

Expunerea natural# la risc ! ! Nivelul 1 : Expunere foarte mic! ! Independent de orice m!suri de securitate, probabilitatea ca un scenariu dat va avea loc este foarte mic! "i practic neglijabil!. Nivelul 2 : Expunere mic! (abia expus). ! Chiar "i f!r! orice m!suri de securitate, combina#ia dintre mediu (cultural, uman, geografic sau altul) "i context (strategic, competitiv, social, ) fac ca probabilitatea ca un scenariu dat s! aib! loc, n termen scurt sau mediu, foarte mic!. Nivelul 3 : Expunere medie (nu deosebit de expus) ! Mediul "i contextul ntreprinderii sunt de a"a natur! nct, dac! nu se face nimic pentru a-l evita, scenariul dat este menit s! se produc! n termen mai mult sau mai pu#in scurt. Nivelul 4 : Expunere mare : (deosebit de expus). ! Mediul "i contextul ntreprinderii sunt de a"a natur! nct, dac! nu se face nimic pentru a-l evita, producerea scenariului dat este probabil s! aib! loc n termen foarte scurt.

Ghid de analiz! a riscului

23

24 februarie 2008

Anexa 3 : Tabelul impactului intrinsec

Clasificarea nivelului datelor, informa"iilor !i componentelor de infrastructur# Date "i Informa#ii
D01 D02 D03 D04 D05 D06 D07 Fi"iere de date sau baze de date accesate de aplica#ii Fi"iere office "i date comune Fi"iere office personale (pe PC, etc.) Informa#ii "i date printate sau scrise p!strate de utilizatori "i arhive personale List!ri sau documente printate Mesaje trimise, vizualiz!ri de monitor, etc. (date par#iale) Mailuri "i faxuri

D08 Arhive patrimoniale sau documente folosite ca dovezi D09 Date "i informa#ii publicate pe site-uri publice sau interne

Infrastructur! : telecomunica#ii "i sisteme

R01 R02 R03 R04 S01 Echipamente "i linkuri Wide Area Network (sisteme de re#ea "i software asociat) Echipamente "i linkuri Local Area Network (sisteme de re#ea "i software asociat) Date de configurare WAN Date de configurare LAN Sisteme principale, servere care g!zduiesc aplica#ii "i echipamentele lor periferiale, servere de fi"iere comune

S02 Fi"iere de configurare legate de sistemele "i serverele principale S03 Sta#ii de lucru "i terminale ale utilizatorilor (PC, imprimante locale, periferice, interfe#e specifice, etc.) A01 Software, pachet sau middleware de aplica#ii (cod executabil) A02 Cod surs! A03 Fi"iere de configurare legate de aplica#ii A04 Software "i aplica#ii ale utilizatorului sau clientului

Infrastructur! general!
E01 Spa#iul de lucru "i mediul utilizatorului E02 Echipamente folosite pentru schimburi vocale (telefon, etc.) I01 Totalitatea camerei computerelor "i loca#ia telecom

Impacturi intrinseci (obiecte globale sau nelegate de un obiect anume) Pierderea sau distrugerea complet! a unui utilaj Nedisponibilitatea personalului
P01 Echipe de speciali"ti (legat de afaceri) P02 Personalul de opera#iuni IT

Neconformarea legal! sau reglementatoare

C01 Neconformarea la legile "i reglement!rile legate de protec#ia vie#ii private C02 Neconformarea la legile "i reglement!rile legate de controalele financiare C03 Neconformarea la legile "i reglement!rile legate de drepturile de proprietate intelectual! C04 Neconformarea la legile "i reglement!rile legate de protec#ia sistemului informa#ional

C05 Neconformarea la legile "i reglement!rile legate de punerea n pericol al personalului "i siguran#a public! "i a mediului Ghid de analiz! a riscului 24 24 februarie 2008

Anexa 4: Defini"ia nivelurilor factorilor de reducere a riscului

M#suri disuasive ! Nivelul 1: Efectul m!surilor disuasive este mic sau zero. ! Poten#ialul atacator poate considera n mod logic c! el sau ea nu se supune nici unui risc personal. Ei consider! c! nu vor fi identifica#i, sau vor avea posibilitatea de a folosi argumente puternice pentru a refuta orice acuza#ie privind ac#iunile efectuate, sau c! orice pedeaps! va fi u"oar!. Nivelul 2: Efectul m!surilor disuasive este mediu. ! Poten#ialul atacator poate considera n mod logic c! el sau ea se supune doar unui risc mic. n orice caz, orice prejudiciu personal poten#ial va fi suportabil. Nivelul 3: Efectul m!surilor disuasive este mare. ! Poten#ialul atacator poate considera n mod logic c! el sau ea se supune uni risc mare. Ar trebui s! realizeze c! vor fi identifica#i cu siguran#!, "i c! pedeapsa va fi grav!. Nivelul 4: Efectul m!surilor disuasive este foarte mare. ! Poten#ialul atacator poate considera n mod logic c! el sau ea ar trebui s! abandoneze orice idee de a efectua ac#iunea. Ar trebui s! realizeze c! vor fi identifica#i cu siguran#!, "i c! orice pedeaps! care rezult! va dep!"i cu mult orice c"tig poten#ial.

M#suri preventive ! Nivelul 1: Efectul m!surilor preventive este mic sau zero. ! Orice persoan! din organiza#ie, sau din apropierea ei, sau chiar cineva care "tie ceva despre ea, este capabil! s! pun! acest scenariu n mi"care, cu mijloacele pe care le au la dispozi#ie (sau sunt u"or de ob#inut). ! Circumstan#e perfect obi"nuite pot fi cauza acestui scenariu (utilizare necorespunz!toare, condi#ii obi"nuite nefavorabile). Nivelul 2: Efectul m!surilor preventive este mediu. ! Un profesionist poate porni scenariul, f!r! necesitatea mijloacelor sau uneltelor speciale n afar! de cele disponibile n profesie. ! Circumstan#e naturale rare pot produce acela"i rezultat. Nivelul 3: Efectul m!surilor preventive este mare. ! Doar un specialist, sau un profesionist cu unelte sau mijloace speciale, sau un grup de profesioni"ti n n#elegere "i care folosesc mijloacele "i uneltele lor colective ar putea reu"i. ! De obicei este rezultatul conjunc#iei a circumstan#elor rare sau excep#ionale. Nivelul 4: Efectul m!surilor preventive este foarte mare. ! Doar c#iva exper#i hot!r#i, cu mijloace excep#ionale, ar putea reu"i. ! Doar conjunc#ia circumstan#elor foarte rare sau excep#ionale ar permite ca acest scenariu s! aib! loc.
25 24 februarie 2008

Ghid de analiz! a riscului

M#suri protectoare sau restrngere

! Nivelul 1: Efectele restrngerii "i limitarea consecin#elor directe sunt foarte mici sau zero. ! Fie daunele "i consecin#ele lor directe nu pot fi limitate, sau nu vor fi detectate pentru ceva timp. M!surile protectoare posibile au atunci doar o influen#! restrns! asupra nivelului consecin#elor directe. Nivelul 2: Efectele restrngerii "i limitarea consecin#elor directe sunt medii. ! Chiar dac! dauna "i consecin#ele sale directe pot fi limitate, timpul pentru a le detecta este lung, sau reac#ia este nceat!. M!surile protectoare care sunt folosite au o influen#! real! asupra rezultatului, dar consecin#ele directe sunt nc! foarte mari. Nivelul 3: Efectele restrngerii "i limitarea consecin#elor directe sunt mari. ! Evenimentul este detectat rapid, cu reac#ie imediat!. ! M!surile protectoare care sunt folosite au o influen#! real! asupra impactului direct, care r!mne real dar limitat n scop "i administrabil. Nivelul 4: M!surile au un efect foarte puternic. ! nceputul scenariului este detectat n timp real, nainte ca s! poat! fi f!cut! vreo daun! real!, "i m!surile protectoare sunt puse n func#iune imediat. ! Consecin#ele directe sunt limitate la deterior!ri mici imediate datorit! accidentului, erorii sau ac#iunii voluntare.

M#suri paliative
! ! Nivelul 1: Efectele limit!rii consecin#elor indirecte sunt foarte mici sau zero. ! Fie sunt folosite m!suri total improvizate, sau se consider! c! efectul lor va fi mic. Nivelul 2: Efectele limit!rii consecin#elor indirecte sunt medii. ! M!surile paliative sau de ajutorare au fost planificate n mare, dar detaliile fine lipsesc. Se poate considera c!, datorit! lipsei de detalii, va exista o lips! corespondent! de eficien#! a m!surii paliative. Timpul pentru a restabili opera#iunile normale nu poate fi prezis cu siguran#!, sau nu va schimba fundamental natura daunei cauzate. Nivelul 3: Efectele limit!rii consecin#elor indirecte sunt mari. ! Nu numai c! m!surile paliative au fost planificate "i organizate bine, ci au fost "i testate "i validate. ! Timpul pentru a restabili opera#iunile normale poate fi estimat sau "tiut precis, "i este de a"a natur! nct va reduce considerabil gravitatea consecin#elor indirecte ale scenariului Nivelul 4: Efectele limit!rii consecin#elor indirecte sunt ntr-adev!r foarte mari. ! Opera#iunile normale continu! f!r! nici o ntrerupere observabil!.

Ghid de analiz! a riscului

26

24 februarie 2008

M#suri recuperatoare
! Nivelul 1: Efectul m!surilor recuperatoare este mic sau zero. ! Ceea ce poate fi recuperat prin asigur!ri sau procese legale nu este nimic n compara#ie cu daunele cauzate de impactul global al scenariului "i consecin#ele sale. Nivelul 2: Efectul m!surilor recuperatoare este mediu. ! Ceea ce poate fi recuperat nu este neglijabil, dar organiza#ia are responsabilitatea pentru cea mai mare parte a impactului scenariului. n cazul unui incident major, nu este sigur c! transferul riscului ar permite organiza#iei s! continue opera#iunile. Nivelul 3: Efectul m!surilor recuperatoare este mare. ! Ceea ce este recuperat prin asigur!ri sau procese legale este suficient pentru a atenua serios impactul scenariului. n orice caz, opera#iunile pot continua. ! Impactul rezidual ar fi, foarte grav, dar nu ar atinge nivelul Vital . Nivelul 4: Efectul m!surilor recuperatoare este extrem de mare. ! Orict de grav ar fi dezastrul, impactul rezidual r!mne suportabil (nivelul 2).

Ghid de analiz! a riscului

27

24 februarie 2008

Anexa 5: Principii pentru construirea tabelelor de evaluare STATUS

Principiile descrise mai jos sunt cele care au fost folosite pentru a crea tabelele STATUS-P "i STATUS-RI pentru transformarea STATUS-ului detaliat n STATUS global.

Tabelul de evaluare STATUS-P

Tabelul se bazeaz! pe urm!torul ra#ionament: ! Expunerea natural! fiind definit! ca fiind evaluarea poten#ialit!#ii intrinseci f!r! nici o alt! m!sur!, valoarea maxim! a STATUS-P este cea a STATUS-EXPO (n absen#a oric!rei alte m!suri, "i anume, dac! STATUS-DISS "i STATUS-PREV au ambele o valoare de 1) ! Dac! valoarea STATUS-PREV este 3 sau 4, pentru accidente sau erori; atunci STATUS-P are o valoare maxim! de 2 sau 1, respectiv. ! Dac! valoarea STATUS-PREV este 4, pentru ac#iune voluntar!; atunci STATUS-P are o valoare maxim de 2 ! Dac! valoarea STATUS-PREV este 4, pentru ac#iune voluntar!; "i dac! expunerea este mai mic! sau egal! cu 3, atunci STATUS-P are o valoare maxim! de 1. Pe acest ra#ionament au fost construite tabelele bazei de cuno"tin#e standard MEHARI.

Tabelul de evaluare STATUS-RI

Tabelul se bazeaz! pe urm!torul ra#ionament: ! Dac! valoarea lui STATUS-RECUP este 3, atunci valoarea lui STATUS-RI este cel pu#in 2 ! Dac! valoarea lui STATUS-RECUP este 4, atunci valoarea lui STATUS-RI este cel pu#in 3 ! Dac! valoarea lui STATUS-RECUP este 3 sau 4, pentru scenarii de disponibilitate, atunci valoarea lui STATUS-RI este cel pu#in 3 (dac! planificarea de ajutorare este planificat! corespunz!tor, atunci impactul care rezult! nu poate fi grav). ! Dac! valoarea lui STATUS-PROT este 4 ntr-un scenariu de integritate, totul poate fi evitat dac! restaurarea rapid! este posibil!, "i deci STATUS-RI este aliniat la valoarea lui STATUS-PALL, care, n acest caz, se ocup! de restaurare. ! Dac! valoarea lui STATUS-PROT este 3 ntr-un scenariu de integritate, dac! restaurarea rapid! este posibil! (STATUS-PALL = 3 sau 4), f!r! ndoial! c! ceea ce era mai r!u a fost evitat, dar situa#ia poate nc! s! fie foarte grav!: STATUS-RI = 2. Totu"i, dac! restaurarea rapid nu este posibil! (STAUS-PALL = 1 sau 2), nimic nu este atenuat, "i STATUS-RI = 1. ! Dac! valoarea lui STATUS-PROT este 1 sau 2 ntr-un scenariu de integritate, atunci valoarea lui STATUS-RI este 1, dect dac! o ac#iune planificat! nu este identificat! n STATUS-RECUP (protec#ie mic! f!r! m!sur! paliativ!, deoarece acestea sunt compuse doar din m!suri fortifiante care nu au nici un efect asupra consecin#elor directe, "i doar m!surile fortifiante joac! un rol) Pe acest ra#ionament au fost construite tabelele bazei de cuno"tin#e standard MEHARI.

Ghid de analiz! a riscului

28

24 februarie 2008

Anexa 6 : Tabele standard de evaluare

Grile de evaluare pentru STATUS-P pentru scenariu care rezult# din: 1. Un accident

2.

O eroare

3.

O ac#iunea r!uvoitoare

Grile de evaluare pentru STATUS-RI (Reducerea impactului) Scenariile ne-evolu#ionare sunt reprezentate ca PROT = 0. 1. Scenarii care afecteaz! Disponibilitatea (A)

Ghid de analiz! a riscului

29

24 februarie 2008

2.

Scenarii care afecteaz! Integritatea (I)

3.

Scenarii care afecteaz! Confiden#ialitatea (C)

Ghid de analiz! a riscului

30

24 februarie 2008

Anexa 7: Cerin"e speciale de securitate

Dup! ce s-a evaluat gravitatea unui set de situa#ii de risc "i s-au folosit rezultatele auditului serviciilor de securitate7, este posibil s! se exprime cerin#ele de securitate ca o evaluare a nevoilor consolidate, urmate de ordonarea lor a priorit!#ii. Aceast! abordare folose"te defini#ia cerin"elor serviciului dup! cum este descris mai jos. Cerin#ele serviciului O cerin#! a serviciului de securitate este definit! pentru fiecare scenariu, folosind urm!toarele principii de baz!. Cerin#a serviciului pentru un scenariu dat Un serviciu de securitate dat poate avea o influen#! asupra gravit!#ii unui scenariu. Dac# acesta este cazul, atunci o cerin"# de securitate exist# pentru acest serviciu pentru scenariu. Cantitativ, cerin#a serviciului va fi chiar mai important! dect: ! influen#a sa (reprezentat! de factorul s#u de influen"#), pentru acest scenariu, va fi foarte mare; ! gravitatea scenariului va fi considerat! mare; ! calitatea actual! a serviciului va fi mic!. Deci, pentru serviciul i confruntat cu scenariul k, cerin#a serviciului poate fi calculat! de formula: BS i k = e i k * b G k * (4 - $ i ) Unde: BS i k eik b Gk = cerin#a serviciului pentru serviciul i pentru scenariul k = coeficientul de influen#! al serviciului i pentru scenariul k = parametrul de sensibilitate = gravitatea scenariului k = calitatea serviciului de securitate i

$i

Coeficientul de influen#! e, cu o valoare ntre 0 "i 16, reprezint! gradul de influen#! al serviciului de securitate asupra scenariului. Este dedus din formula folosit! de MEHARI pentru a evalua eficacitatea diferitelor tipuri (disuasiv, preventiv, protector, paliativ, sau recuperator) de m!suri asupra scenariului. Acest coeficient este calculat folosind formula de mai jos: eik = 'ik (ik
7

Un serviciu de securitate al MEHARI are de obicei o sfer! mai mare dect un Control ISO 17799. 31 24 februarie 2008

Ghid de analiz! a riscului

Dac! serviciul este atribuit doar pentru un tip de m!sur!, valoarea lui 'ik este stabilit! n acest mod: ! Dac! serviciul este singurul care va fi folosit pentru tipul de m!sur! luat! n considerare, 'ik = 2 ! Dac! serviciul este folosit de o formul! de tipul min (serv_A; serv_B) 'ik = 2 ! Dac! serviciul este folosit de o formul! de tipul max (serv_A; serv_B) 'ik = 1 n cazul unei formule complexe, doar func#ia (min sau max) care atribuie direct acest serviciu de securitate va fi luat! n considerare. Valoarea lui (ik este determinat! de faptul dac! serviciul de securitate I are: ! o influen#! disuasiv! pentru scenariul k, (ik = 4 ! o influen#! preventiv! pentru scenariul k, (ik = 8 ! o influen#! protectoare pentru scenariul k, (ik = 4 ! o influen#! paliativ! pentru scenariul k, (ik = 8 ! influen#! recuperatoare pentru scenariul k, (ik = 2 Dac! serviciul de securitate este folosit pentru mai multe tipuri de m!suri, vor fi calcula#i la fel de mul#i coeficien#i de influen#!, "i cea mai mare valoare a coeficientului de influen#! ca fi re#inut!. b, care este folosit ca parametru de sensibilitate, pentru a ancora gravitatea fiec!rui scenariu, are o mare influen#! asupra rezultatului final: ! valoarea de 2 minimalizeaz! efectul gravit!#ii unui scenariu ! n general, o valoarea de 8 este considerat! ca fiind o alegere bun!. Consolidarea cerin"elor serviciului Consolidarea cerin#elor serviciului: BSi pentru serviciul I, va fi evaluat! prin suma simpl!: BSi = ) k BSik BSi, cerin#a serviciului astfel calculat!, are chiar o mai mare importan#! dect serviciul folosit de mai multe scenarii, "i dac! aceste scenarii sunt grave, "i dac! serviciul poate influen#a gravitatea scenariilor. Totu"i, alegerea de a mbun!t!#i un serviciu poate fi inconsistent! cu alegerea f!cut! n organiza#ie, la nivelul planific!rii strategice (dac! o politic! de securitate a fost definit!). MEHARI propune de aceea urm!toarea abordare: ! ! ! Sorta#i scenariile pentru a le ar!ta clar pe cele care necesit! servicii de securitate cu cele mai mari cerin#e globale; Analiza#i dac! aceste servicii de securitate sunt consistente cu directivele "i recomand!rile politicii de securitate globale. Orice r!spuns negativ la acest nivel va pune inevitabil politica de securitate la ndoial!. Dac! r!spunsul este pozitiv, evalua#i nivelul de calitate revizuit al fiec!rui serviciu de securitate ca o func#ie a mbun!t!#irilor decise deja n ceea ce l prive"te (ad!ug!ri
32 24 februarie 2008

Ghid de analiz! a riscului

! !

sau modific!ri la proceduri "i/sau mecanisme); Re-estima#i gravitatea care rezult! "i noile cerin#e ale serviciului; Lua#i-o de la cap!t!

Pachetul software RISICARE8 include automatisme pentru a urma acel proces.

RISICARE este produs de BUC S.A. 33 24 februarie 2008

Ghid de analiz! a riscului