Documente Academic
Documente Profesional
Documente Cultură
MEHARI 2007 Risk Analysis 2007
MEHARI 2007 Risk Analysis 2007
i
= calitatea serviciului de securitate i
Coeficientul de influen e, cu o valoare ntre 0 i 16, reprezint gradul de influen al
serviciului de securitate asupra scenariului.
Este dedus din formula folosit de MEHARI pentru a evalua eficacitatea diferitelor tipuri
(disuasiv, preventiv, protector, paliativ, sau recuperator) de msuri asupra scenariului.
Acest coeficient este calculat folosind formula de mai jos:
e
ik =
ik
ik
7
Un serviciu de securitate al MEHARI are de obicei o sfer mai mare dect un Control ISO 17799.
Ghid de analiz a riscului 24 februarie 2008 32
Dac serviciul este atribuit doar pentru un tip de msur, valoarea lui
ik
este stabilit n acest
mod:
Dac serviciul este singurul care va fi folosit pentru tipul de msur luat n
considerare,
ik
= 2
Dac serviciul este folosit de o formul de tipul min (serv_A; serv_B)
ik
= 2
Dac serviciul este folosit de o formul de tipul max (serv_A; serv_B)
ik
= 1
n cazul unei formule complexe, doar funcia (min sau max) care atribuie direct acest
serviciu de securitate va fi luat n considerare.
Valoarea lui
ik
este determinat de faptul dac serviciul de securitate I are:
o influen disuasiv pentru scenariul k,
ik
= 4
o influen preventiv pentru scenariul k,
ik
= 8
o influen protectoare pentru scenariul k,
ik
= 4
o influen paliativ pentru scenariul k,
ik
= 8
influen recuperatoare pentru scenariul k,
ik
= 2
Dac serviciul de securitate este folosit pentru mai multe tipuri de msuri, vor fi calculai la fel
de muli coeficieni de influen, i cea mai mare valoare a coeficientului de influen ca fi
reinut.
b, care este folosit ca parametru de sensibilitate, pentru a ancora gravitatea fiecrui scenariu,
are o mare influen asupra rezultatului final:
valoarea de 2 minimalizeaz efectul gravitii unui scenariu
n general, o valoarea de 8 este considerat ca fiind o alegere bun.
Consolidarea cerinelor serviciului
Consolidarea cerinelor serviciului: BS
i
pentru serviciul I, va fi evaluat prin suma simpl:
BS
i
=
k
BS
ik
BS
i,
cerina serviciului astfel calculat, are chiar o mai mare importan dect serviciul folosit
de mai multe scenarii, i dac aceste scenarii sunt grave, i dac serviciul poate influena
gravitatea scenariilor.
Totui, alegerea de a mbunti un serviciu poate fi inconsistent cu alegerea fcut n
organizaie, la nivelul planificrii strategice (dac o politic de securitate a fost definit).
MEHARI propune de aceea urmtoarea abordare:
Sortai scenariile pentru a le arta clar pe cele care necesit servicii de securitate cu
cele mai mari cerine globale;
Analizai dac aceste servicii de securitate sunt consistente cu directivele i
recomandrile politicii de securitate globale. Orice rspuns negativ la acest nivel va
pune inevitabil politica de securitate la ndoial.
Dac rspunsul este pozitiv, evaluai nivelul de calitate revizuit al fiecrui serviciu de
securitate ca o funcie a mbuntirilor decise deja n ceea ce l privete (adugri
Ghid de analiz a riscului 24 februarie 2008 33
sau modificri la proceduri i/sau mecanisme);
Re-estimai gravitatea care rezult i noile cerine ale serviciului;
Luai-o de la capt!
Pachetul software RISICARE
8
include automatisme pentru a urma acel proces.
8
RISICARE este produs de BUC S.A.
Ghid de analiz a riscului 24 februarie 2008 34