MEHARI 2007

Privire General

MEHARI este marc nregistrat a CLUSIF

Privire general

10 februarie 2008

Recunoatere
CLUSIF dorete s mulumeasc membrilor echipei de lucru care au contribuit la crearea acestui document.
CLUSIF dorete de asemenea s mulumeasc dlui. Valentin P. Mzreanu i echipei sale (Alina Marin, Raluca Ungureanu)
care au acceptat s furnizeze aceast traducere. Dl. Valentin P. Mzreanu i desfoar activitatea n cadrul Facultii de
Economie i Administrarea Afacerilor, Universitatea Al.I.Cuza Iai i este director general al Paideia Consulting Iai. Pentru
mai multe informaii despre activitatea dlui. Valentin P. Mzreanu v invitm s accesai www.managementul-riscurilor.ro.
V rugm s trimitei ntrebrile i comentariile dumneavoastr la adresa mehari@clusif.asso.fr

Privire general

10 februarie 2008

Cuprins
1 Introducere ..................................................................................................................................................................................4
2 Utlizri ale Mehari ......................................................................................................................................................................5
2.1 Evalurile de securitate ........................................................................................................................................................6
2.1.1 Recenzia vulnerabilitii, un element al analizei riscului ..............................................................................................6
2.1.2 Planuri de securitate pe baza trecerilor n revist ale vulnerabilitilor .........................................................................6
2.1.3 Sprijin oferit de bazele de cunotine n crearea unui cadru de referin pentru securitate............................................7
2.1.4 Domenii acoperite de modulul de evaluare ...................................................................................................................7
2.1.5 Rezumat al modulului de evaluare ................................................................................................................................7
2.2 Analizarea mizelor ...............................................................................................................................................................7
2.2.1 Analizarea mizelor, baza pentru o analiz a riscului .....................................................................................................8
2.2.2 Analiza mizelor de securitate: piatra de temelie pentru orice planificare de aciune strategic ....................................9
2.2.3 Clasificare: un element esenial pentru politica de securitate ........................................................................................9
2.2.4 Analiza mizelor de securitate: baza planificrii securitii ............................................................................................9
2.3 Analiza riscului ....................................................................................................................................................................9
2.3.1 Analiza riscului: un ajutor n planificarea strategic ...................................................................................................10
2.3.2 Analiza sistematic a situaiilor de risc .......................................................................................................................10
2.3.3 Analiza spontan a situaiilor de risc...........................................................................................................................10
2.3.4 Analiza riscului n proiecte noi....................................................................................................................................10
2.4 Rezumat general al utilizrilor pentru MEHARI................................................................................................................10
3 MEHARI i standardele internaionale......................................................................................................................................12
3.1 Scopurile ISO 17799, ISO/IEC 27001 i MEHARI ...........................................................................................................12
3.1.1 Scopurile standardului ISO/IEC 17799:2005 ..............................................................................................................12
3.1.2 Scopurile ISO/IEC 27001............................................................................................................................................13
3.1.3 Scopurile MEHARI.....................................................................................................................................................13
3.1.4 Compararea scopurilor MEHARI i ale standardelor ISO 17799 i ISO/IEC 27001 ..................................................13
3.2 Compatibilitatea dintre aceste abordri ..............................................................................................................................14
3.2.1 Compatibilitatea cu standardul ISO 17799..................................................................................................................14
3.2.2 Compatibilitatea cu standardul ISO 27001..................................................................................................................14

Privire general

10 februarie 2008

1 Introducere
MEHARI a fost conceput iniial pentru a ajuta Ofierii efi n Securitate Informaional (CISO) la
sarcinile lor de management al securitii sistemului informaional. El se afl ntr-o evoluie continu,
pentru a satisface natura evolutiv a mediului de afaceri.
Acest rezumat este destinat n principal pentru CISO, dar el este i pentru auditorii sau managerii de risc
care se confrunt n mare cu aceleai provocri sau cu unele asemntoare.
Principalul scop al acestui document este de a descrie pe scurt modul n care MEHARI poate fi folosit. O
descriere mai detaliat a metodologiei i a uneltelor asociate este oferit n alte documente disponibile de
la Clusif, n special:
MEHARI; Concepte i Mecanisme
MEHARI: Analiza mizelor i Ghidul de clasificare
MEHARI: Ghidul de evaluare pentru serviciile de securitate
MEHARI: Ghidul Analizei Riscului
MEHARI: Baze de cunotine i Manuale cu referine (servicii de securitate i scenarii de risc).
MEHARI dorete s ofere un set de unelte concepute specific pentru managementul securitii, care
cuprinde un set de aciuni manageriale, fiecare cu un scop specific.
Cteva exemple pentru acestea sunt:
Dezvoltarea planurilor de securitate, sau a planurilor strategice,
Implementarea politicilor sau a regulilor de securitate, care vor fi grupate mpreun sub termenul
de cadru de referin pentru securitate,
Desfurarea evalurilor uoare sau detaliate a strii securitii,
Evaluarea i managementul riscului,
Asigurarea includerii securitii n managementul proiectelor aflate n dezvoltare,
Contientizarea securitii i sesiuni de training,
Managementul operaional al securitii i controlul/monitorizarea aciunilor svrite.
Aceste aciuni manageriale, i altele asemntoare pot fi efectuate fie n paralel sau n serie, de grupuri
specifice sau de acelai grup, n funcie de cerinele permanente sau specifice. n aceeai msur, aceste
aciuni pot fi efectuate fie independent sau ca parte constituent a unui program general.
Aceleai aciuni manageriale pot fi efectuate n moduri diferite, n funcie de numrul de factori:
Maturitatea, n ceea ce privete securitatea, a organizaiei i a personalului su,
Nivelul de implicare a conducerii n luarea deciziilor n securitatea informaional,
Cultura ntreprinderii: ierarhic i tehnocrat (regulile exist i sunt aplicate), sau, dimpotriv,
descentralizat i permisiv.
Dat fiind aceste diferene, principala cerin a unei metodologii este de a veni cu un set nsoitor de unelte,
potrivite pentru fiecare situaie, consecvente i complementare ntre ele, permind micarea de la una la
alta fr duplicarea sarcinilor sau munc suplimentar.
MEHARI ofer o metodologie consecvent, cu baze de cunotine corespunztoare, pentru a ajuta
Ofierii efi n Securitate Informaional (CISO), managerii generali, i managerii de securitate, sau alte
persoane implicate n reducerea riscului, la diferitele lor sarcini i aciuni.
Acest document ofer un rezumat al modului n care MEHARI poate fi folosit. Standardele internaionale
aplicabile, i relaia MEHARI cu ele, sunt descrise pe scurt la sfritul documentului.
Privire general

10 februarie 2008

2 Utlizri ale Mehari

MEHARI este mai presus de toate o metod pentru analiza riscului i pentru managementul riscului.
n practic, acest lucru nseamn c MEHARI i bazele sale de cunotine asociate au fost menite
pentru analiza exact a riscului, atunci cnd este necesar, dei fr a impune analiza riscului ca o
prioritate a politicii de management.
n termeni de zi cu zi, managementul securitii este o funcie sau activitate care evolueaz n timp.
Aciunile manageriale sunt diferite n funcie de faptul dac organizaia a fcut ceva n domeniu, sau
dimpotriv a fcut investiii substaniale n ceea ce privete timpul i efortul.
Atunci cnd se fac primii pai n securitate, este fr ndoial recomandabil s se evalueze starea
msurilor i politicilor de securitate existente ale organizaiei, i s se compare cu cele mai bune practici,
pentru a clarifica golul care trebuie umplut.
Dup aceast evaluare a strii i decizia de a implementa securitatea organizaional, se vor decide
aciunile concrete. Astfel de decizii, care vor fi grupate de obicei n planuri, reguli ale corporaiei, politici
sau un cadru de referin al securitii, ar trebui luate folosind o abordare structurat. Aceast abordare se
poate baza pe analiza riscului, sau poate include conceptul de risc, dei nu este obligatoriu. Exist i alte
mijloace, precum compararea, fie intern, profesional sau inter-profesional.
n acest stadiu, este adevrat c, fr a meniona n mod deosebit analiza riscului, trebuie adresat
problema mizelor implicate. Destul de des, indiferent de modul n care a fost luat decizia, persoana
creia i aparine decizia final pentru alocarea bugetului corespunztor va pune fr ndoial ntrebarea
este acest lucru cu adevrat necesar?. Datorit lipsei unei evaluri preliminare a i a unui
consimmnt general asupra mizelor implicate, multe proiecte de securitate sunt abandonate sau
amnate.
Deseori mai trziu, dar uneori chiar de la nceputului unei abordri de securitate, riscul real pe care
organizaia sau ntreprinderea i-l asum este pus sub semnul ndoielii. Acest lucru este deseori formulat
n termeni asemntori cu urmtoarea fraz: Au fost identificate toate riscurile la care organizaia ar
putea fi expus, i exist o oarecare asigurare c nivelurile acestora sunt acceptabile?. Aceast ntrebare
ar putea la fel de uor s fie adresat la nivelul corporaiei, sau n legtur cu un anumit proiect. Este
necesar o metodologie care include analiza riscului.
MEHARI este fundamentat pe principiul c uneltele necesare la fiecare stadiu de dezvoltare a securitii
trebuie s fie consecvente. Prin asta, se poate nelege c orice rezultate generate la un anumit stadiu
trebuie s fie reutilizabile de alte unelte mai trziu sau n alt parte n organizaie.
Diferitele unelte i module a setului de metodologie MEHARI, concepute pentru a nsoi analiza
riscului, pot fi folosite separat una de cealalt la orice pas al dezvoltrii securitii, folosind diferite
abordri de management, i pot garanta o consecven a deciziilor care rezult.
Toate aceste unelte i module descrise pe scurt mai jos cuprind unelte pentru evaluarea strii
securitii, un modul pentru analizarea mizelor, i o metod de analiz a riscului cu uneltele ajuttoare.

Privire general

10 februarie 2008

2.1 Evalurile de securitate

n setul MEHARI exist dou module de evaluare:

Un modul de evaluare rapid1

Un modul de evaluare mai detaliat

n fiecare din cazuri, scopul este evaluarea nivelului securitii. n practic, evaluarea va analiza serviciile
de securitate. n mod clar, rezultatele vor depinde de profunzimea evalurii: dac este mai rapid, este mai
puin precis; dac este detaliat, este mai de ncredere.
Primul modul ar trebui folosit pentru o evaluare rapid a principalelor slbiciuni, sau o recenzie a
vulnerabilitilor. Serviciile de securitate care sunt examinate sunt aceleai cu cele pentru evaluarea
detaliat, sau audit, dar ntrebrile au scopul de a afla dac funcia de securitate a fost implementat fr a
fi validat pentru slbiciuni. n acest sens, orice slbiciuni identificate sunt cu siguran slbiciuni, dar
punctele tari poteniale pot s nu fie puncte tari.
Modulul evalurii detaliate caut, n detaliu, posibilele slbiciuni ale fiecrui serviciu de securitate
individual. El constituie astfel o baz de expertiz, utilizabil pentru analiza riscului.
Consecvena dintre aceste dou module permite ca prima abordare s fie folosit ca un punct de plecare,
i apoi s repete n profunzime n orice moment, i pentru orice punct care poate necesita asigurare.
Modulele de evaluare pot fi folosite n mai multe moduri2.

2.1.1 Recenzia vulnerabilitii, un element al analizei riscului

MEHARI ofer o metod de analiz a riscului structurat care va fi explicat mai trziu. n acest moment,
ar trebui s fie suficient a se ti faptul c modelul riscului ia n considerare factori de reducere a
riscului, sub forma serviciilor de securitate.
Evaluarea detaliat va fi deci un adaos important pentru analiza riscului la asigurarea faptului c serviciile
de securitate i ndeplinesc cu adevrat rolul un punct esenial pentru credibilitatea analizei riscului.

2.1.2 Planuri de securitate pe baza trecerilor n revist ale vulnerabilitilor

O abordare relativ popular este de a construi planuri de aciune direct ca rezultat al evalurii strii
serviciilor de securitate.
Procesul de management al securitii care urmeaz aceast abordare este extrem de simplu: efectueaz o
evaluare i decide s mbunteti toate acele servicii care nu au un nivel al calitii suficient de bun.
Utilizarea analizei preliminare a mizelor de securitate este i ea planificat, oferind astfel o legtur cu
acest modul al MEHARI (descris mai trziu n acest document).
Stadiile diferite i sfaturile pentru implementarea acestei forme de management sunt descrise n MEHARI
Ghidul de Evaluare pentru serviciile de securitate.

Acest modul se afl momentan n dezvoltare

Trecerile n revist ale vulnerabilitii sunt descrise n MEHARI Ghidul de evaluare pentru serviciile de securitate
Privire general
10 februarie 2008
6
2

2.1.3 Sprijin oferit de bazele de cunotine n crearea unui cadru de referin

pentru securitate
Modulul de evaluare detaliat utilizeaz baza de cunotine a serviciilor de securitate (documentat n
MEHARI manualul de referine pentru servicii de securitate3). Acesta descrie, pentru fiecare serviciu, la
ce folosete, mpotriva a ce este folosit, mecanismele i soluiile care sprijin serviciul, i acele elemente
care ar trebui considerate atunci cnd se evalueaz calitatea serviciului.
Aceast baz de cunotine unic poate fi folosit direct pentru a crea un cadru de referin pentru
securitate (sau politici de securitate) care va conine, i va descrie, setul de reguli i instruciuni de
securitate pe care ntreprinderea sau organizaia le va urma.
Aceast abordare este deseori folosit n organizaii sau ntreprinderi cu mai multe uniti sau site-uri
operaionale independente. Acesta ar fi de obicei cazul pentru companiile multinaionale mari cu mai
muli afiliai; dar se aplic la fel de uor pentru companiile medii cu un numr mare de filiale sau agenii
regionale. n astfel de cazuri, este greu s se efectueze numeroase evaluri sau analize ale riscului.
Construirea cadrului de referin al securitii
Chestionarele de evaluare i, mai presus de toate, manualul de referine pentru servicii de securitate cu
explicaiile suplimentare pe care le ofer reprezint o bun baz de lucru pentru managerii de securitate
pentru a decide ce ar trebui aplicat n organizaia lor.
Administrarea excepiilor de la regul
Crearea unui set de reguli, printr-un cadru de referin pentru securitate, intr deseori n conflict cu
dificultile de implementare locale; aa c, trebuiesc administrate abandonuri i excepii de la reguli.
Utilizarea unei baze de cunotine coerente, cu un set de unelte consecvent i o metodologie analitic,
permite administrarea divergenelor locale. Cererile pentru excepii pot fi acoperite printr-o analiz a
riscului specific concentrat pe dificultatea identificat.

2.1.4 Domenii acoperite de modulul de evaluare

Din punctul de vedere al analizei riscului, n ceea ce privete toate situaiile de risc i dorina de a acoperi
toate riscurile inacceptabile, MEHARI nu este restricionat doar la domeniul IT.
Modulul de evaluare acoper, n afar de sistemul informaional, organizaia n ansamblu, i protecia
site-ului n general, precum i mediul de lucru i aspectele legale i reglementatoare.

2.1.5 Rezumat al modulului de evaluare

Lucrul care trebuie reinut n legtur cu modulul de evaluare este c ofer o privire larg i consecvent
asupra securitii. Acest lucru poate fi folosit n mai multe abordri, care evolueaz n ceea ce privete
profunzimea i granulozitatea analizei, i poate fi folosit n toate stadiile de maturitate ale contientizrii
securitii ntreprinderii i a organizaiei.

2.2 Analizarea mizelor

Securitatea se refer la protecia bunurilor. Oricare ar fi orientrile politicii de securitate, exist un
3

Manualul de referine pentru serviciile de securitate face parte din bazele de cunotine Mehari.
Privire general
10 februarie 2008
7

principiu asupra cruia toi managerii sunt de acord; acela c trebuie s existe un echilibru just ntre
investiiile n securitate pe de o parte i importana mizelor de securitate n sine.
Acest lucru nseamn c o nelegere corespunztoare a mizelor de securitate este fundamental, i c
analiza mizelor de securitate merit un nivel ridicat al prioritii i o metod de evaluare strict i
structurat.
Scopul unei analize a mizelor de securitate este acela de a rspunde la dubla ntrebare:
Ce s-ar putea ntmpla, i dac s-ar ntmpla, ar fi grav?.
Acest lucru arat c, n domeniul securitii, mizele sunt vzute ca fiind consecinele evenimentelor care
deranjeaz operaiunile planificate ale unei ntreprinderi sau organizaii.
MEHARI ofer un modul de analiz a mizelor, descris n MEHARI: Analiza mizelor i clasificare, care
produce dou tipuri de rezultate:
scar de valori a defeciunilor
clasificare a informaiei i a bunurilor IT
Scara de valori a defeciunilor
Identificarea defeciunilor sau a evenimentelor poteniale este un proces care ncepe cu activitile
ntreprinderii i const n identificarea posibilelor defeciuni din procesele sale operaionale. Va rezulta
n:
descriere a tipurilor de defeciuni posibile
definiie a parametrilor care influeneaz gravitatea fiecrei defeciuni
evaluare a pragurilor critice a acelor parametri care schimb nivelul de gravitate al defeciunii.
Acest set de rezultate constituie o scar de valori a defeciunilor.
Clasificarea informaiei i a bunurilor
Este ceva obinuit, n securitatea sistemului IT, s se vorbeasc despre clasificarea informaiei i despre
clasificarea bunurilor IT.
O astfel de clasificare const n definirea, pentru fiecare tip de informaie i pentru fiecare bun IT, i
pentru fiecare criteriu de clasificare (n mod clasic: Disponibilitate, Integritate, i Confidenialitate), a
indicatorilor reprezentativi a gravitii criteriului care este afectat sau pierdut pentru aceast informaie
sau bun.
Clasificarea informaiei i a bunurilor, pentru sistemele informaionale, reprezint scara de valori a
defeciunilor definit mai devreme tradus n indicatori de sensibilitate asociai cu bunurile IT.
Exprimarea mizelor de securitate
Scara de valori a defeciunilor i clasificarea informaiei i a bunurilor reprezint dou moduri distincte de
a exprima mizele de securitate.
Prima este mai detaliat i ofer mai multe informaii pentru CISO. Cea din urm este mai global i mai
util pentru campaniile de contientizare i comunicare, dar este mai puin granuloas.

2.2.1 Analizarea mizelor, baza pentru o analiz a riscului

n mod clar, acest modul este foarte important n analiza riscului. Fr un acord comun asupra
Privire general

10 februarie 2008

consecinelor defeciunilor poteniale, nu va fi posibil nici o judecat referitor nivelurile de risc.

2.2.2 Analiza mizelor de securitate: piatra de temelie pentru orice planificare de

aciune strategic
Dup cum a fost descris n introducere, analizarea mizelor este foarte des necesar pentru implementarea
oricrei forme a planului de securitate. Efectiv, orice abordare este folosit, la un anumit punct, vor trebui
alocate bunuri pentru a implementa planurile de aciune, i inevitabil, justificarea pentru o astfel de
investiie va fi pus la ndoial.
Bunurile i fondurile care vor fi alocate pentru securitate sunt, la fel ca i pentru poliele de asigurare, n
proporie direct cu riscul. Dac nu exist un acord comun asupra potenialului defeciunilor, atunci este
puin probabil ca s fie alocat vreun buget.

2.2.3 Clasificare: un element esenial pentru politica de securitate

Cadrele de referin pentru securitate, politicile de securitate, i abordarea asociat managementului
securitii au fost deja menionate n acest document.
n practic, companiile care administreaz securitatea printr-un set de reguli sunt obligate s diferenieze,
chiar n reguli, ntre aciuni care vor fi efectuate ca o funcie a sensibilitii informaiei care este
procesat. Este obinuit s se fac referire la o clasificare a informaiei i a bunurilor sistemelor IT.
Modulul analizei mizelor de securitate a MEHARI ofer mijloacele pentru a efectua aceast clasificare.

2.2.4 Analiza mizelor de securitate: baza planificrii securitii

Chiar procesul de analiz a mizelor de securitate, care necesit n mod evident contribuia managerilor
operaionali, conduce foarte des la necesitatea pentru aciune imediat.
Experiena arat c, atunci cnd managementul operaional de top a fost intervievat, indiferent de
mrimea organizaiei, i i-au explicat punctul de vedere i estimarea asupra defeciunilor grave, acest
lucru conduce la nevoi de securitate pe care nu le luaser n considerare nainte i care necesit rspunsuri
rapide.
Planurile de aciune pot fi apoi create direct, folosind o abordare uoar i direct bazat pe combinarea a
dou seturi de expertiz: aceea a profesiei nsei, oferit de managementul operaional, i cea a soluiilor
de securitate, oferit de experii n securitate.

2.3 Analiza riscului

Analiza riscului este menionat n aproape toate publicaiile care privesc securitatea, ca fiind fora
propulsoare n securitate. Totui, majoritatea nu discut metodele care trebuiesc folosite.
Pentru mai mult de zece ani, MEHARI a oferit o abordare structurat pentru evaluarea riscului4, pe baza a
cteva principii simple.
O situaie de risc poate fi caracterizat de mai muli factori:
Factori structurali (sau organizaionali), care nu depind de msuri de securitate, ci de activitatea de
baz a organizaiei, de mediul su, i de contextul acesteia.
4

O descriere detaliat a modelului de risc este oferit n MEHARI Concepte Generale i Mecanisme Principale
Privire general
10 februarie 2008
9

Factori de reducere a riscului care sunt o funcie direct a msurilor de securitate implementate.

MEHARI permite evaluarea calitativ i cantitativ a acestor factori, i ajut la evaluarea nivelurilor de
risc ca rezultat.
De fapt, analiza mizelor de securitate este folosit pentru a determina un nivel de gravitate maxim al
consecinelor unei situaii de risc. Acest lucru este de obicei un factor structural, n timp ce evaluarea
securitii va fi folosit pentru a evalua factorii de reducere a riscului.

2.3.1 Analiza riscului: un ajutor n planificarea strategic

Identificarea factorilor de reducere a riscului, ei nii o funcie a msurilor de securitate, ofer o baz
metodologic pentru construirea unui plan de securitate sau a unui plan general strategic. Pentru a ajuta la
acest lucru, MEHARI ofer o abordare structurat i organizat pentru planificarea securitii.
Abordarea este bazat pe o baz de cunotine a situaiilor de risc i proceduri automate pentru evaluarea
factorilor de reducere a riscului. n sprijinul abordrii, o unealt de software5 scutete utilizatorul de la a
trebui s fac calcule, i ofer i simulri i optimizri.
Aceast utilizare a MEHARI se concentreaz pe optimizarea global a msurilor de securitate cu scopul
de a reduce riscurile.

2.3.2 Analiza sistematic a situaiilor de risc

Pe aceeai baz metodologic, o abordare uor diferit este: s se identifice toate potenialele situaii de
risc, s se analizeze cele mai critice dintre ele, i s se identifice aciuni pentru a reduce riscul la un nivel
acceptabil. MEHARI, sprijinit de bazele sale de cunotine, ofer pentru aceast abordare ceea ce trebuie.
Aceast utilizare a MEHARI se concentreaz pe a se asigura c fiecare situaie critic de risc a fost
identificat i este acoperit de un plan de aciune.

2.3.3 Analiza spontan a situaiilor de risc

Acelai set de unelte poate fi folosit n orice moment n alte abordri de management al securitii. n
cazurile descrise deja, unde securitatea este administrat prin audituri sau cadre de referin pentru
securitate, vor exista ntotdeauna cazuri specifice unde regulile nu pot fi aplicate. Analiza spontan a
riscului poate fi folosit pentru a decide cum este mai bine s se mearg mai departe.

2.3.4 Analiza riscului n proiecte noi

Modelul i mecanismele de analiz a riscului pot fi folosite n managementul proiectelor, pentru a
planifica mpotriva riscului i a decide ce msuri ar trebui folosite ca rezultat.

2.4 Rezumat general al utilizrilor pentru MEHARI

n mod clar, principala orientare a MEHARI o reprezint analiza i reducerea riscului. Bazele sale de
cunotine, mecanismele i uneltele au fost create pentru acel scop.
De asemenea, n minile designerilor setului de metodologii, necesitatea pentru o metod structurat
pentru analiza i reducerea riscului poate fi, n funcie de organizaie:
5

Risicare, o unealt de software, marc nregistrat a BUC SA

Privire general
10

10 februarie 2008

metod de lucru permanent ndrumrile pentru un grup specializat,

metod de lucru folosit n paralel cu alte practici de management al securitii,
metod de lucru folosit ocazional pentru a completa practicile obinuite.

Avnd n minte aceste lucruri, MEHARI ofer un set de abordri i unelte care permit analizei riscului s
fie efectuat atunci cnd este nevoie.
Metodologia MEHARI, cuprinznd bazele de cunotine, manualele i ghidurile care descriu diferitele
module (mize, riscuri, vulnerabiliti), se afl aici pentru a ajuta persoanele implicate n managementul
securitii (CISO, manageri de risc, auditori. CIO, ....), n diferitele lor sarcini i aciuni.

Privire general

11

10 februarie 2008

3 MEHARI i standardele internaionale

O ntrebare care este deseori pus este: cum corespunde MEHARI standardelor internaionale n special
pentru ISO 13335, ISO177996 i ISO/IEC 270017.
Aici, MEHARI nu va fi comparat direct cu standardele i uneltele la care au dat natere acestea. Intenia
este mai degrab de a explica modul n care MEHARI se ncadreaz n standardele ISO, n ceea ce
privete compatibilitatea scopurilor.
Standardul ISO 13335 include un model de management al riscului la care MEHARI face referire, i cu
care MEHARI este ntru totul compatibil. MEHARI ofer o metod i unelte dup cum este cerut de
standard.
ISO 17799 i ISO/IEC 27001 vor fi discutate aici cu privire la MEHARI.

3.1 Scopurile ISO 17799, ISO/IEC 27001 i MEHARI

3.1.1 Scopurile standardului ISO/IEC 17799:2005
Acest standard stipuleaz c o organizaie ar trebui s-i identifice cerinele de securitate folosind trei
surse principale:
Analiza riscului,
Cerinele legale, statutare, sau contractuale,
Setul de principii, scopuri, i cerine care se aplic la procesarea informaiilor pe care organizaia
l-a dezvoltat pentru a-i sprijini operaiunile.
Folosind acest lucru drept baz, pot fi alese i implementate puncte de control folosind lista oferit n
seciunea codul de practic pentru managementul securitii informaionale din standard sau din orice
alt set de puncte de control (4.2).
NOT: n scopul 17799:2005, se stipuleaz c standardul ofer indicaii i principii generale pentru
iniierea, implementarea, ntreinerea i mbuntirea managementului securitii informaionale, ceea
ce nseamn c standardul ISO poate fi vzut ca un punct de pornire. Totui, ISO/IEC 27001 stipuleaz
(1.2) c orice excludere trebuie s fie justificat i c este acceptabil s se adauge puncte de control
(Anexa A A.I).
Standardul ISO 17799 ofer o compilaie de indicaii, pe care o organizaie le poate folosi. Acesta noteaz
totui, c lista nu este exhaustiv, i c pot fi necesare msuri complementare. Totui, nu este
recomandat nici o metodologie pentru crearea unui sistem de management al securitii complet.
Pe de alt parte, fiecare parte din ghidul cu cele mai bune practici include introducere i comentarii despre
scopurile vizate, ceea ce poate fi un ajutor foarte util.

ISO/IEC 17799:2005(E)
ISO/IEC 27001-2005
Privire general
7

12

10 februarie 2008

NOT: Standardul ISO stipuleaz n scopul su i c poate fi folosit pentru a ajuta la formarea
ncrederii n activiti inter-organizaionale. Acest lucru nu este inclus din ntmplare, i scoate la
iveal un aspect esenial pe care cei care sprijin standardul l promoveaz, i anume evaluarea (chiar
certificarea), din punctul de vedere al securitii informaionale, al partenerilor i furnizorilor.

3.1.2 Scopurile ISO/IEC 27001

Scopul clar al ISO/IEC 27001 este de a oferi un model pentru a crea i administra un sistem de
management al securitii informaionale (ISMS) corporativ i de a fi folosit fie intern sau de ctre
teri, inclusiv autoritile de certificare.
Scopul de evaluare i certificare pune o accentuare puternic pe aspectele formale (documentaie i
nregistrarea deciziilor, declararea aplicabilitii, registre, etc.) i pe control (revizii, audituri, etc.).
Este clar c baza abordrii de securitate implic c o analiz a riscului ar trebui efectuat, pentru a
examina riscurile la care ar putea fi expus o organizaie, i pentru a selecta msurile corespunztoare
pentru a reduce riscurile la un nivel acceptabil (paragraful 4.2.1).
ISO/IEC 27001 stipuleaz c o metod de analiz a riscului ar trebui folosit, dar acest lucru nu face parte
din standard, i nu este propus nici o metod anume, n afar de integrarea procesului recursiv PDCA
(Planific, F, Verific, Acioneaz) al modelului dup cum este definit pentru crearea ISMS.
De asemenea, recomandrile sau cele mai bune practici care pot fi folosite pentru a reduce riscul sunt
aliniate la cele enumerate n ISO/IEC 17799:2005, n timp ce este oferit o list asociat cu puncte de
control n anexe.
Potrivit ISO/IEC 27001, baza pentru evaluarea sistemului de management al securitii nu este att de
mult cunoaterea sau verificarea faptului dac deciziile care au fost luate sunt corespunztoare i adaptate
la nevoile organizaiei, ci mai degrab de a verifica c, odat ce deciziile au fost luate, sistemul de
management este de aa natur nct un auditor sau certificator poate fi sigur c deciziile au fost
implementate cu adevrat.

3.1.3 Scopurile MEHARI

MEHARI reprezint un set consecvent de unelte i metode pentru managementul securitii, bazat pe
analiza riscului. Cele dou aspecte fundamentale ale MEHARI: modelul su de risc (calitativ i cantitativ)
i analiza riscului bazat pe modele de management al securitii nu au componente echivalente nici n
ISO/IEC 27001 nici n ISO 17799.

3.1.4 Compararea scopurilor MEHARI i ale standardelor ISO 17799 i ISO/IEC

27001
Scopurile MEHARI i cele ale standardelor ISO menionate mai sus sunt diferite radical.

MEHARI intete s ofere unelte i metode care pot fi folosite pentru a alege cele mai potrivite
msuri de securitate pentru o organizaie dat. Acest lucru nu este cu siguran scopul declarat al
nici unuia din standardele ISO.
Standardele ISO ofer un set de cele mai bune practici, care sunt cu siguran foarte utile, dar nu
neaprat potrivite pentru ceea ce este n joc n organizaie, i sunt utile pentru a acoperi aspectele
maturitii n securitate, planificarea securitii informaionale, auditurile interne independente i
partenerii.

Singurul punct din setul MEHARI care poate fi comparat cu ISO 17799 (i Anexa A a ISO/IEC 27011)
Privire general

13

10 februarie 2008

este manualul de referine pentru serviciile de securitate al MEHARI. Acesta ofer eficient elemente
detaliate care pot fi folosite pentru a cldi un cadru de securitate. La acest punct, este clar c acoperirea
MEHARI este mai mare dect cea a ISO, i c acoper aspecte eseniale ale securitii trecnd peste cele
care in doar de sisteme informaionale.

3.2 Compatibilitatea dintre aceste abordri

Abordarea MEHARI este complet reconciliabil cu ISO 17799 deoarece, dei nu au aceleai obiective
declarate, este relativ uor s se reprezinte rezultatele unei analize MEHARI n ceea ce privete indicatorii
ISO 17799.
MEHARI rspunde la necesitatea, exprimat n ambele standarde ISO, ca o analiz a riscului s
defineasc msurile care ar trebui implementate.

3.2.1 Compatibilitatea cu standardul ISO 17799

Punctele de control ale standardului sau cele mai bune practici ale ISO sunt n principal msuri generale,
comportamentale sau organizaionale, n timp ce MEHARI accentueaz necesitatea msurilor tehnice ale
cror eficien poate fi garantat. Rezultatele, n ceea ce privete managementul securitii, vor fi radical
diferite cu aceste dou abordri.
n ciuda acestor diferene, recenzia vulnerabiliti din MEHARI 2007 ofer tabele de coresponden
pentru a arta indicatorii aliniai la mprirea folosit n standardul ISO 17799:2005, utilizabil pentru cei
care trebuie s dovedeasc conformarea la acel standard.
Merit menionat faptul c aici chestionarele MEHARI pentru audit au fost concepute i constituite astfel
nct s permit managerilor operaionali s efectueze treceri n revist a vulnerabilitilor n mod eficient
i s deduc capacitatea fiecrui serviciu de securitate pentru a reduce aceste riscuri.

3.2.2 Compatibilitatea cu standardul ISO 27001

MEHARI poate fi integrat cu uurin n procesul ISO/IEC 27001, mai ales n faza PLANIFIC
(4.2.1). MEHARI acoper complet descrierea sarcinilor care permit crearea bazelor ISMS.
Pentru faza F (4.2.2), care intete s implementeze i s administreze ISIS, MEHARI ofer elemente
de pornire utile precum construirea planurilor pentru managementul riscului, cu prioritizarea legat direct
de clasificarea riscului, i msurarea progresului n timpul utilizrii lor. Pentru faza VERIFIC
(4.2.3), MEHARI ofer elemente care permit evaluarea riscurilor reziduale, i msurtorile realizate n
msurile de securitate. n plus, orice modificri la mediu (mizele, ameninrile, soluiile i organizaia)
pot fi reevaluate cu uurin prin audituri vizate care folosesc rezultatele auditului MEHARI iniial.
Astfel, planurile de securitate pot fi revizuite i pot evolua n timp.
Pentru faza ACIONEAZ (4.2.4), MEHARI recurge implicit la controale i mbuntirea continu a
securitii; asigurnd astfel c scopurile de reducere a riscurilor sunt atinse. n aceste trei faze, dei
MEHARI nu se afl n mijlocul proceselor, el contribuie mult la executarea lor i asigur eficiena lor.

Privire general

14

10 februarie 2008