Documente Academic
Documente Profesional
Documente Cultură
Privire General
Privire general
10 februarie 2008
Recunoatere
CLUSIF dorete s mulumeasc membrilor echipei de lucru care au contribuit la crearea acestui document.
CLUSIF dorete de asemenea s mulumeasc dlui. Valentin P. Mzreanu i echipei sale (Alina Marin, Raluca Ungureanu)
care au acceptat s furnizeze aceast traducere. Dl. Valentin P. Mzreanu i desfoar activitatea n cadrul Facultii de
Economie i Administrarea Afacerilor, Universitatea Al.I.Cuza Iai i este director general al Paideia Consulting Iai. Pentru
mai multe informaii despre activitatea dlui. Valentin P. Mzreanu v invitm s accesai www.managementul-riscurilor.ro.
V rugm s trimitei ntrebrile i comentariile dumneavoastr la adresa mehari@clusif.asso.fr
Privire general
10 februarie 2008
Cuprins
1 Introducere ..................................................................................................................................................................................4
2 Utlizri ale Mehari ......................................................................................................................................................................5
2.1 Evalurile de securitate ........................................................................................................................................................6
2.1.1 Recenzia vulnerabilitii, un element al analizei riscului ..............................................................................................6
2.1.2 Planuri de securitate pe baza trecerilor n revist ale vulnerabilitilor .........................................................................6
2.1.3 Sprijin oferit de bazele de cunotine n crearea unui cadru de referin pentru securitate............................................7
2.1.4 Domenii acoperite de modulul de evaluare ...................................................................................................................7
2.1.5 Rezumat al modulului de evaluare ................................................................................................................................7
2.2 Analizarea mizelor ...............................................................................................................................................................7
2.2.1 Analizarea mizelor, baza pentru o analiz a riscului .....................................................................................................8
2.2.2 Analiza mizelor de securitate: piatra de temelie pentru orice planificare de aciune strategic ....................................9
2.2.3 Clasificare: un element esenial pentru politica de securitate ........................................................................................9
2.2.4 Analiza mizelor de securitate: baza planificrii securitii ............................................................................................9
2.3 Analiza riscului ....................................................................................................................................................................9
2.3.1 Analiza riscului: un ajutor n planificarea strategic ...................................................................................................10
2.3.2 Analiza sistematic a situaiilor de risc .......................................................................................................................10
2.3.3 Analiza spontan a situaiilor de risc...........................................................................................................................10
2.3.4 Analiza riscului n proiecte noi....................................................................................................................................10
2.4 Rezumat general al utilizrilor pentru MEHARI................................................................................................................10
3 MEHARI i standardele internaionale......................................................................................................................................12
3.1 Scopurile ISO 17799, ISO/IEC 27001 i MEHARI ...........................................................................................................12
3.1.1 Scopurile standardului ISO/IEC 17799:2005 ..............................................................................................................12
3.1.2 Scopurile ISO/IEC 27001............................................................................................................................................13
3.1.3 Scopurile MEHARI.....................................................................................................................................................13
3.1.4 Compararea scopurilor MEHARI i ale standardelor ISO 17799 i ISO/IEC 27001 ..................................................13
3.2 Compatibilitatea dintre aceste abordri ..............................................................................................................................14
3.2.1 Compatibilitatea cu standardul ISO 17799..................................................................................................................14
3.2.2 Compatibilitatea cu standardul ISO 27001..................................................................................................................14
Privire general
10 februarie 2008
1 Introducere
MEHARI a fost conceput iniial pentru a ajuta Ofierii efi n Securitate Informaional (CISO) la
sarcinile lor de management al securitii sistemului informaional. El se afl ntr-o evoluie continu,
pentru a satisface natura evolutiv a mediului de afaceri.
Acest rezumat este destinat n principal pentru CISO, dar el este i pentru auditorii sau managerii de risc
care se confrunt n mare cu aceleai provocri sau cu unele asemntoare.
Principalul scop al acestui document este de a descrie pe scurt modul n care MEHARI poate fi folosit. O
descriere mai detaliat a metodologiei i a uneltelor asociate este oferit n alte documente disponibile de
la Clusif, n special:
MEHARI; Concepte i Mecanisme
MEHARI: Analiza mizelor i Ghidul de clasificare
MEHARI: Ghidul de evaluare pentru serviciile de securitate
MEHARI: Ghidul Analizei Riscului
MEHARI: Baze de cunotine i Manuale cu referine (servicii de securitate i scenarii de risc).
MEHARI dorete s ofere un set de unelte concepute specific pentru managementul securitii, care
cuprinde un set de aciuni manageriale, fiecare cu un scop specific.
Cteva exemple pentru acestea sunt:
Dezvoltarea planurilor de securitate, sau a planurilor strategice,
Implementarea politicilor sau a regulilor de securitate, care vor fi grupate mpreun sub termenul
de cadru de referin pentru securitate,
Desfurarea evalurilor uoare sau detaliate a strii securitii,
Evaluarea i managementul riscului,
Asigurarea includerii securitii n managementul proiectelor aflate n dezvoltare,
Contientizarea securitii i sesiuni de training,
Managementul operaional al securitii i controlul/monitorizarea aciunilor svrite.
Aceste aciuni manageriale, i altele asemntoare pot fi efectuate fie n paralel sau n serie, de grupuri
specifice sau de acelai grup, n funcie de cerinele permanente sau specifice. n aceeai msur, aceste
aciuni pot fi efectuate fie independent sau ca parte constituent a unui program general.
Aceleai aciuni manageriale pot fi efectuate n moduri diferite, n funcie de numrul de factori:
Maturitatea, n ceea ce privete securitatea, a organizaiei i a personalului su,
Nivelul de implicare a conducerii n luarea deciziilor n securitatea informaional,
Cultura ntreprinderii: ierarhic i tehnocrat (regulile exist i sunt aplicate), sau, dimpotriv,
descentralizat i permisiv.
Dat fiind aceste diferene, principala cerin a unei metodologii este de a veni cu un set nsoitor de unelte,
potrivite pentru fiecare situaie, consecvente i complementare ntre ele, permind micarea de la una la
alta fr duplicarea sarcinilor sau munc suplimentar.
MEHARI ofer o metodologie consecvent, cu baze de cunotine corespunztoare, pentru a ajuta
Ofierii efi n Securitate Informaional (CISO), managerii generali, i managerii de securitate, sau alte
persoane implicate n reducerea riscului, la diferitele lor sarcini i aciuni.
Acest document ofer un rezumat al modului n care MEHARI poate fi folosit. Standardele internaionale
aplicabile, i relaia MEHARI cu ele, sunt descrise pe scurt la sfritul documentului.
Privire general
10 februarie 2008
Privire general
10 februarie 2008
Manualul de referine pentru serviciile de securitate face parte din bazele de cunotine Mehari.
Privire general
10 februarie 2008
7
principiu asupra cruia toi managerii sunt de acord; acela c trebuie s existe un echilibru just ntre
investiiile n securitate pe de o parte i importana mizelor de securitate n sine.
Acest lucru nseamn c o nelegere corespunztoare a mizelor de securitate este fundamental, i c
analiza mizelor de securitate merit un nivel ridicat al prioritii i o metod de evaluare strict i
structurat.
Scopul unei analize a mizelor de securitate este acela de a rspunde la dubla ntrebare:
Ce s-ar putea ntmpla, i dac s-ar ntmpla, ar fi grav?.
Acest lucru arat c, n domeniul securitii, mizele sunt vzute ca fiind consecinele evenimentelor care
deranjeaz operaiunile planificate ale unei ntreprinderi sau organizaii.
MEHARI ofer un modul de analiz a mizelor, descris n MEHARI: Analiza mizelor i clasificare, care
produce dou tipuri de rezultate:
scar de valori a defeciunilor
clasificare a informaiei i a bunurilor IT
Scara de valori a defeciunilor
Identificarea defeciunilor sau a evenimentelor poteniale este un proces care ncepe cu activitile
ntreprinderii i const n identificarea posibilelor defeciuni din procesele sale operaionale. Va rezulta
n:
descriere a tipurilor de defeciuni posibile
definiie a parametrilor care influeneaz gravitatea fiecrei defeciuni
evaluare a pragurilor critice a acelor parametri care schimb nivelul de gravitate al defeciunii.
Acest set de rezultate constituie o scar de valori a defeciunilor.
Clasificarea informaiei i a bunurilor
Este ceva obinuit, n securitatea sistemului IT, s se vorbeasc despre clasificarea informaiei i despre
clasificarea bunurilor IT.
O astfel de clasificare const n definirea, pentru fiecare tip de informaie i pentru fiecare bun IT, i
pentru fiecare criteriu de clasificare (n mod clasic: Disponibilitate, Integritate, i Confidenialitate), a
indicatorilor reprezentativi a gravitii criteriului care este afectat sau pierdut pentru aceast informaie
sau bun.
Clasificarea informaiei i a bunurilor, pentru sistemele informaionale, reprezint scara de valori a
defeciunilor definit mai devreme tradus n indicatori de sensibilitate asociai cu bunurile IT.
Exprimarea mizelor de securitate
Scara de valori a defeciunilor i clasificarea informaiei i a bunurilor reprezint dou moduri distincte de
a exprima mizele de securitate.
Prima este mai detaliat i ofer mai multe informaii pentru CISO. Cea din urm este mai global i mai
util pentru campaniile de contientizare i comunicare, dar este mai puin granuloas.
10 februarie 2008
O descriere detaliat a modelului de risc este oferit n MEHARI Concepte Generale i Mecanisme Principale
Privire general
10 februarie 2008
9
Factori de reducere a riscului care sunt o funcie direct a msurilor de securitate implementate.
MEHARI permite evaluarea calitativ i cantitativ a acestor factori, i ajut la evaluarea nivelurilor de
risc ca rezultat.
De fapt, analiza mizelor de securitate este folosit pentru a determina un nivel de gravitate maxim al
consecinelor unei situaii de risc. Acest lucru este de obicei un factor structural, n timp ce evaluarea
securitii va fi folosit pentru a evalua factorii de reducere a riscului.
10 februarie 2008
Avnd n minte aceste lucruri, MEHARI ofer un set de abordri i unelte care permit analizei riscului s
fie efectuat atunci cnd este nevoie.
Metodologia MEHARI, cuprinznd bazele de cunotine, manualele i ghidurile care descriu diferitele
module (mize, riscuri, vulnerabiliti), se afl aici pentru a ajuta persoanele implicate n managementul
securitii (CISO, manageri de risc, auditori. CIO, ....), n diferitele lor sarcini i aciuni.
Privire general
11
10 februarie 2008
ISO/IEC 17799:2005(E)
ISO/IEC 27001-2005
Privire general
7
12
10 februarie 2008
NOT: Standardul ISO stipuleaz n scopul su i c poate fi folosit pentru a ajuta la formarea
ncrederii n activiti inter-organizaionale. Acest lucru nu este inclus din ntmplare, i scoate la
iveal un aspect esenial pe care cei care sprijin standardul l promoveaz, i anume evaluarea (chiar
certificarea), din punctul de vedere al securitii informaionale, al partenerilor i furnizorilor.
MEHARI intete s ofere unelte i metode care pot fi folosite pentru a alege cele mai potrivite
msuri de securitate pentru o organizaie dat. Acest lucru nu este cu siguran scopul declarat al
nici unuia din standardele ISO.
Standardele ISO ofer un set de cele mai bune practici, care sunt cu siguran foarte utile, dar nu
neaprat potrivite pentru ceea ce este n joc n organizaie, i sunt utile pentru a acoperi aspectele
maturitii n securitate, planificarea securitii informaionale, auditurile interne independente i
partenerii.
Singurul punct din setul MEHARI care poate fi comparat cu ISO 17799 (i Anexa A a ISO/IEC 27011)
Privire general
13
10 februarie 2008
este manualul de referine pentru serviciile de securitate al MEHARI. Acesta ofer eficient elemente
detaliate care pot fi folosite pentru a cldi un cadru de securitate. La acest punct, este clar c acoperirea
MEHARI este mai mare dect cea a ISO, i c acoper aspecte eseniale ale securitii trecnd peste cele
care in doar de sisteme informaionale.
Privire general
14
10 februarie 2008