Sunteți pe pagina 1din 55

MEHARI 2007

Concepte i Mecanisme

MEHARI este marc nregistrat a CLUSIF

Concepte i mecanisme

10 februarie 2008

Recunoatere
CLUSIF dorete s mulumeasc membrilor echipei de lucru care au contribuit la crearea acestui document.
CLUSIF dorete de asemenea s mulumeasc dlui. Valentin P. Mzreanu i echipei sale (Alina Marin, Raluca Ungureanu)
care au acceptat s furnizeze aceast traducere. Dl. Valentin P. Mzreanu i desfoar activitatea n cadrul Facultii de
Economie i Administrarea Afacerilor, Universitatea Al.I.Cuza Iai i este director general al Paideia Consulting Iai. Pentru
mai multe informaii despre activitatea dlui. Valentin P. Mzreanu v invitm s accesai www.managementul-riscurilor.ro.
V rugm s trimitei ntrebrile i comentariile dumneavoastr la adresa mehari@clusif.asso.fr

Concepte i mecanisme

10 februarie 2008

Cuprins
Cuprins ...........................................................................................................................................................................................3
1 Introducere ..................................................................................................................................................................................4
2 Evaluarea mizelor de securitate i clasificarea informaiei i a bunurilor ...................................................................................6
2.1 Introducere ...........................................................................................................................................................................6
2.2 Definirea mizelor de securitate: scara de valori i clasificarea defeciunilor........................................................................7
3 Evaluarea strii serviciilor de securitate......................................................................................................................................9
3.1 Introducere ...........................................................................................................................................................................9
3.2 Servicii de securitate ............................................................................................................................................................9
3.3 Evaluarea calitii serviciului de securitate ........................................................................................................................11
3.4 Procesul de recenzie a vulnerabilitii ................................................................................................................................14
3.5 Sumar al recenziei vulnerabilitii......................................................................................................................................15
4 Analizarea situaiilor de risc......................................................................................................................................................16
4.1 Introducere .........................................................................................................................................................................16
4.2 Scenarii de risc ...................................................................................................................................................................16
4.3 Analiza unui scenariu de risc: privire general asupra abordrii globale........................................................................17
4.4 Utilizarea bazelor de cunotine MEHARI.........................................................................................................................33
4.5 Procesul analizei situaiei de risc........................................................................................................................................33
4.6 Sumar al abordrii analiza riscului .....................................................................................................................................35
5 Identificarea situaiilor de risc ...................................................................................................................................................36
5.1 Abordarea direct care folosete scara de valori a defeciunilor ........................................................................................36
5.2 Identificarea sistematic folosind baza de cunotine.........................................................................................................36
5.3 Cele dou abordri sunt complementare ............................................................................................................................37
6 Utilizarea modulelor Mehari .....................................................................................................................................................38
6.1 Planuri de securitate pe baz de analiza riscului ................................................................................................................38
6.2 Planuri de securitate pe baza unui audit .............................................................................................................................45
6.3 Securitatea proiectelor de dezvoltare..................................................................................................................................48
7 Recenzia principalelor mbuntiri n comparaie cu versiunile anterioare ale mehari............................................................51
7.1 Crearea tabelului impactului intrinsec................................................................................................................................51
7.2 Msurile de conformare ISO 17799 dup un audit MEHARI ............................................................................................51
7.3 Amintirea mbuntirilor anterioare ale lui MEHARI.......................................................................................................51

Concepte i mecanisme

10 februarie 2008

1 Introducere
Fiecare CISO (Chief Information Security Officer Ofier ef pentru Securitatea Informaional) se
confrunt atunci cnd accept o nou funcie cu aceleai dou provocri de baz, acestea fiind:

Care este mandatul ct de cuprinztoare este misiunea i care sunt obiectivele?

Care ar trebui s fie planul de atac ce metodologii i unelte exist care s ntruneasc scopurile
managementului securitii?
Dei este destul de uor s fii de acord cu mandatul, exist multe posibiliti pentru a face fa celei de-a
doua provocri.
Majoritatea oamenilor sunt de acord c securitatea sistemului informaional implic minimizarea
riscurilor asociate cu sistemul informaional al ntreprinderii sau al organizaiei. Totui, din cauz c
minimizarea nu este uor cuantificabil, unele persoane sugereaz c definiia ar fi mai bine formulat
prin riscurile devin acceptabile.
Acest lucru, n sine, nu este nici el suficient, deoarece nu specific clar ce este acceptabil sau inacceptabil.
Din nou, majoritatea persoanelor au o idee despre cum s judece ce este inacceptabil; iar un risc se poate
spune c este inacceptabil atunci cnd un bun foarte valoros sau critic este foarte vulnerabil.

Bunuri
critice
Risc
inaccep
tabil
Vulner
abilitat
e mare

Figura 1.

Bunuri critice + Vulnerabilitate mare Risc inacceptabil

Formularea inacceptabilitii n acest mod simplu ne permite s afirmm c scopul managementului


securitii este de a preveni ca bunurile de valoare ale organizaiei s fie foarte vulnerabile.
innd cont de acest lucru, putem s ne uitm acum la unele moduri pentru a gsi rspunsuri posibile la
ce-a de-a doua provocare a unui CISO:

ncepei cu cele mai valoroase bunuri, i analizai, pentru fiecare din ele, modul n care ar putea fi
supuse riscului. Apoi stabilii msuri preventive i de protecie corespunztoare ca rezultat la
aceasta.
ncepei cu o evaluare a vulnerabilitii fiecrui bun, i apoi reducei vulnerabilitatea pn cnd se
ajunge la un nivel acceptabil al riscului.
Construii scenarii de risc care combin valoarea bunurilor i vulnerabilitatea lor. Apoi analizai
riscurile i decidei ce aciuni trebuiesc realizate.
Amestecai i potrivii aceste trei abordri n funcie de circumstane.

Concepte i mecanisme

10 februarie 2008

Este clar, deci, c nu exist o singur metod a managementului securitii, ci un spectru de abordri care
pot fi folosite n funcie de modelul de afacere i dimensiunea organizaiei, de cultura de securitate a
acesteia, de reguli de conducere, sau chiar de stilul personal de management i de abordarea CISO.
Dei nu exist o formul magic pentru a alege abordarea care trebuie folosit, toate abordrile trebuie s
se foloseasc de unelte de ndejde. Valoarea real a oricrei metodologii este de a asigura un set
consistent i complet de unelte, cu mijloacele de a te mica flexibil ntre ele. n acest mod, profesionitii
n securitate sunt ajutai la implementarea sistemului lor de management al securitii fr a li se impune o
abordare sau un rezultat anume.
MEHARI a fost dezvoltat n aceast idee. Reprezint mai mult dect o metodologie. El este i un set de
unelte. n funcie de nevoile i circumstanele unei organizaii, el se asigur c se poate concepe o soluie
adecvat pentru managementul securitii, indiferent de abordarea folosit.
Abordrile diferite, i utilizarea modulelor MEHARI, sunt ilustrate n diagrama de mai jos.

Analiza mizelor & a bunurilor - Clasificare

Auditul serviciilor de securitate


Identificarea riscurilor critice
Analiza situaiilor de risc

Planuri de
aciune bazate
pe auditul
vulnerabilitii

Planuri de
aciune bazate
pe analiza
riscului Planuri

Managemen
tul riscului
pe baz de
proiect

Planuri de
aciune
bazate pe
analiza

Figura 2. Utilizarea modulelor MEHARI pentru diferite abordri ale securitii.


Vom ncepe prin descrierea diferitelor componente. Mai trziu, vom arta cum poate fi folosit MEHARI
n diferite circumstane. Acesta va fi prezentat ca un exerciiu de nvare i nu este n mod sigur fcut
pentru a dicta singurul mod n care poate fi utilizat.

Concepte i mecanisme

10 februarie 2008

2 Evaluarea mizelor de securitate i clasificarea informaiei i a


bunurilor
2.1 Introducere
n toate formele de management, i decizii manageriale, trebuie fcut o evaluare a ceea ce se afl n joc,
i care va fi impactul deciziei asupra bunurilor companiei. n managementul securitii, exact asta e
situaia, doar c ntrebarea este pus dintr-un unghi diferit. n loc s caute s maximizeze ctigurile,
scopul este s minimizeze pierderile.
Miza managementului securitii nu este s caute oportuniti pentru profit, ci s limiteze posibilitatea
pierderilor.

2.1.1 Scopurile unei evaluri a mizelor securitii


O astfel de analiz caut s gseasc rspunsuri la ntrebarea dubl: Ce s-ar putea ntmpla i, dac s-ar
ntmpla, ar fi grav?
Acest lucru arat c n sectorul securitii, mizele pot fi vzute ca fiind consecinele evenimentelor care
perturb operaiunile planificate ale unei ntreprinderi sau organizaii.

2.1.2 De ce i cnd ar trebui fcut o evaluare?


ntrebarea de baz: Ce s-ar putea ntmpla i, dac s-ar ntmpla, ar fi grav? este ntrebarea care este
pus de fiecare dat cnd reflectm asupra modului n care ar trebui s desfurm operaiunile. Asta se
poate ntmpla atunci cnd se ncepe un nou proiect IT, n timpul unei recenzii a unei strategii, sau cnd
este creat un plan de securitate.
ntrebarea ce s-ar putea ntmpla este una bun care d dovad de bun sim i pruden. Reflectarea la ct
de grave ar putea fi efectele, izvorte din nevoia de a aloca mai mult timp i atenie evenimentelor mai
grave. Motivele din spatele acestui fapt sunt att de natur economic ct i cultural:
Bugetele sunt ntotdeauna limitate, i de aceea este normal s dm prioritate proteciei mpotriva
evenimentelor grave.
Securitatea aduce deseori constrngeri. Este mai uor s le accepi atunci cnd miza este mare.
Dac suntem de acord c msurile de securitate ar trebui s fie n concordan cu nivelul de gravitate al
potenialelor defeciuni, atunci exist mai multe moduri de a continua:
Analize tipice pentru fiecare defeciune, nsoite de alegerea soluiilor corespunztoare,
Abordri mai sistematice cu soluii generice folosite mpotriva defeciunilor tipice i praguri de
gravitate pentru defeciuni. Aceast a doua abordare conduce la noiunea de clasificare, care va
fi discutat mai trziu.
Oricare abordare ar fi aleas, primul pas l reprezint identificarea potenialelor defeciuni i a gravitii
lor.
Atunci cnd se face acest lucru, este preferabil s se fac sistematic, i nu degajat, astfel nct resursele
necesare s poat fi dedicate i coordonate corespunztor.

Concepte i mecanisme

10 februarie 2008

2.2 Definirea mizelor de securitate: scara de valori i clasificarea


defeciunilor
Analiza mizelor de securitate cuprinde:
Identificarea defeciunilor suspectate,
evaluare a gravitii acestor defeciuni, sub forma unei scri de valori a defeciunilor,
Clasificarea bunurilor1 folosind cele trei criterii de baz (Disponibilitate, Integritate,
Confidenialitate). Pot fi completate tabelele folosite pentru analiza riscului.
Scara de valori a defeciunilor i clasificarea informaiilor i a bunurilor sunt dou modaliti separate de
a exprima mizele de securitate.
Prima este mai detaliat i ofer mai multe informaii managerilor de securitate. Cea de-a doua este mai
global, i mai util n comunicarea nivelului de sensibilitate, dar mai puin precis.

2.2.1 Scara de valori a defeciunilor


Identificarea defeciunilor sau a potenialelor evenimente este un proces care ncepe cu activitile
ntreprinderii i este format din identificarea posibilelor defeciuni n procesele operaionale. Va rezulta
n:
descriere a posibilelor tipuri de defeciuni,
definiie a parametrilor care influeneaz gravitatea fiecrei defeciuni,
evaluare a pragurilor critice ale acestor parametri care modific nivelul de gravitate al defeciunii.
Acest set de rezultate formeaz o scar de valori pentru defeciuni, numit n MEHARI scara de valori a
defeciunilor.

2.2.2 Clasificarea informaiilor i a bunurilor


Se obinuiete, n securitatea sistemelor IT, s se vorbeasc despre clasificarea informaiilor i despre
clasificarea bunurilor.
O astfel de clasificare const n definirea, pentru fiecare tip de informaie i pentru fiecare bun IT, i
pentru fiecare criteriu de clasificare (clasic: Disponibilitate, Integritate, i Confidenialitate), a
indicatorilor reprezentativi ai gravitii n eventualitatea c acest criteriu se pierde sau este redus pentru
acest bun. Astfel:
Clasificarea confidenialitii pentru o informaie reprezint gravitatea dezvluirii acesteia unei
persoane neautorizate
Clasificarea integritii pentru o informaie reprezint gravitatea modificrii sale ilicite sau
neautorizate
Clasificarea integritii software-ului reprezint gravitatea modificrii sale ilicite sau neautorizate
Clasificarea disponibilitii pentru o informaie reprezint gravitatea ca aceasta s nu fie
disponibil atunci cnd este necesar pentru a fi procesat
Clasificarea disponibilitii pentru un server reprezint gravitatea ca acesta s nu fie disponibil
atunci cnd este necesar pentru a rula un proces
Se disting de obicei bunurile primare (activitile de afaceri i informaiile legate de acestea) i bunurile
auxiliare.
1

Concepte i mecanisme

10 februarie 2008

Etc.

Clasificarea informaiilor i a bunurilor auxiliare reprezint scara de valori a defeciunilor definit mai
devreme transpus n indicatori de sensibilitate asociai cu bunurile IT.

2.2.3 Procesul pentru analizarea mizelor de securitate


Procesul pentru crearea scrii de valori a defeciunilor i a clasificrii bunurilor sistemelor informaionale
sunt descrise n: Analiza MEHARI a mizelor i Ghidul de Clasificare.

Concepte i mecanisme

10 februarie 2008

3 Evaluarea strii serviciilor de securitate

3.1 Introducere
Fiecare manager de securitate, din orice organizaie, trebuie, la un moment dat, s ia n considerare
vulnerabilitatea curent a organizaiei, cnd se confrunt cu diferite posibile riscuri, precum accidente,
erori umane, sau acte intenionate.
Vulnerabilitatea este definit n dicionar ca reprezentnd expunerea la pericol. Vulnerabilitatea unui
sistem informaional reprezint totalitatea punctelor sale slabe prin care un accident, eroare sau act
intenionat ar putea duna organizaiei.
n practic, msurile de securitate, inclusiv controlul evenimentelor sau al aciunilor umane, etc. limiteaz
nivelul de vulnerabilitate.
n aceast msur, analiza vulnerabilitii necesit evaluarea strii securitii.
MEHARI consider c securitatea este implementat prin servicii de securitate. O analiz a
vulnerabilitii necesit astfel o recenzie a calitii acelor servicii de securitate. Pe scurt, aceast recenzie
se va numi Recenzie a Vulnerabilitii, sau Auditul de Securitate.
Un audit de securitate pentru a analiza securitatea existent poate reprezenta baza, sau o parte integrant,
a unui numr de abordri pentru managementul securitii. Oricare ar fi abordarea pentru
managementul securitii, o evaluare a calitii serviciilor de securitate este considerat deseori ca
fiind indispensabil.
Exist mai multe motive pentru asta:
n primul rnd, este ntotdeauna mai bine s i cunoti punctele slabe. Chiar dac, n
configuraia actual a sistemului informaional, un punct slab poate fi considerat acceptabil
deoarece nu ar rezulta nici o consecin grav, este mai bine s fie consemnat pentru ca s fie luat
n considerare n orice evoluie a sistemului, a mediului su, sau n potenialele atacuri noi.
n al doilea rnd, pentru muli utilizatori, un punct slab care este lsat n acea stare este considerat
ca fiind o demonstraie c managementul de top nu acord o prea mare importan securitii din
organizaie. Cu ct este mai important i mai vizibil punctul slab, cu att mai negativ va fi
percepia asupra securitii.
n ultimul rnd, orice atac care reuete s exploateze un punct slab va face ntotdeauna o impresie
negativ dac se vorbete despre el, oricare ar fi consecinele reale (a reui accesarea unui sistem
care aparine serviciilor militare de informaii i apoi s se vorbeasc despre asta, va avea
ntotdeauna un impact asupra mediei, chiar dac sistemul nu era sensibil).

3.2 Servicii de securitate


3.2.1 Definiie
Un serviciu de securitate reprezint un rspuns la o nevoie de securitate, exprimat n termeni generici i
funcionali care descriu ce ar trebui s fac serviciul, i care se refer n general la anumite tipuri de
ameninare.
Concepte i mecanisme

10 februarie 2008

Un serviciu de securitate descrie o funcie de securitate.


Aceast funcie este independent fa de mecanismele sau soluiile reale care asigur implementarea
eficient a serviciului.
De exemplu: serviciul de control al accesului este proiectat (dup cum sugereaz i numele su) s
controleze accesul utilizatorilor, sau s acorde accesul doar utilizatorilor autorizai.

3.2.2 Serviciile i sub-serviciile de securitate


Serviciile de securitate ofer funcii care pot, ele nsele, s necesite servicii complementare, sau subservicii, dup cum vor fi numite. n exemplul anterior, controlul accesului necesit identificarea
persoanelor autorizate s acceseze anumite bunuri, ceea ce necesit un serviciu de autorizare care s tie
cine este utilizatorul, ceea ce necesit un serviciu de autentificare care s filtreze accesul, care necesit un
serviciu de filtrare, i aa mai departe.
Un serviciu de securitate poate, astfel, s fie compus dintr-o serie de sub-servicii care sunt combinate
pentru a rspunde unei anumite nevoi. Fiecare component este, n terminologia MEHARI, un subserviciu al serviciului de securitate principal. Fiecare sub-serviciu i menine propriile sale
caracteristici pentru propriile sale funcii specifice.

3.2.3 Mecanisme i soluii de securitate


Un Mecanism reprezint un mod specific de asigurare a funciei unui serviciu sau sub-serviciu (fie
total sau parial). Acesta poate lua forma, de exemplu, unei proceduri, unui algoritm, sau a unei tehnologii
anume.
Pentru sub-serviciul de autentificare, menionat mai sus, mecanismele posibile pentru autentificarea n
sistemele informaionale o reprezint parolele, token-urile, procese i algoritmi pe baz de smart card,
sisteme biometrice, i aa mai departe.
Pentru un sub-serviciu dat sunt posibile de obicei mai multe mecanisme. Selecia acestora poate deseori
avea un efect direct asupra calitii sub-serviciului n discuie.
O soluie de securitate reprezint implementarea real a unui mecanism i include componentele de
hardware i/sau software necesare pentru desfurarea sa, procedurile de instalare, i suportul operaional,
precum i structurile organizaionale necesare pentru utilizarea sa corect.

3.2.4 Tipuri de servicii de securitate


Unele servicii pot fi considerate a fi msuri generale, n timp ce altele sunt tehnice.
Msurile generale reprezint msurile de securitate care sunt considerate a fi n general utile, sau
chiar necesare, pentru securitatea sistemului informaional. Totui, efectul lor poate fi observat la
nivelul organizaiei, operaiunii de securitate sau al contientizrii, dar fr o influen direct
asupra situaiilor de risc specifice.
Msurile tehnice au un rol specific, un obiectiv direct i un efect imediat n anumite situaii de risc
care pot fi definite.

Concepte i mecanisme

10

10 februarie 2008

3.2.5 Baza de cunotine a serviciilor de securitate


MEHARI cuprinde o baz de cunotine a serviciilor i sub-serviciilor de securitate. Aceasta combin mai
mult de 200 de sub-servicii aplicabile n securitatea sistemelor informaionale. Acestea sunt serviciile care
vor fi auditate.

3.3 Evaluarea calitii serviciului de securitate


Serviciile de securitate pot varia n performan; acestea vor fi mai mult sau mai puin eficiente n
activitatea lor, i mai mult sau mai puin robuste n capacitatea lor de a rezista atacurilor directe, n funcie
de mecanismele i procesele folosite.

3.3.1 Parametri obligatorii


Pentru a msura performana serviciului, trebuie luai n considerare mai muli parametri:
- Eficiena,
- Robusteea,
- Permanena.

3.3.1.1 Eficiena serviciului de securitate


Pentru serviciile de natur tehnic, eficiena reprezint o msur a capacitii lor de a asigura eficient
funcia necesar atunci cnd se confrunt cu utilizatori mai mult sau mai puin competeni sau cu
circumstane mai mult sau mai puin neobinuite.
S lum, drept exemplu, sub-serviciul Managementul autorizrii accesului la sistemul informaional,
care implic atribuirea drepturilor de acces utilizatorilor. Funcia acestui serviciu este de a se asigura c
doar acele persoane care au autorizaia managementului lor primesc efectiv accesul corespunztor la
sistemul informaional.
n practic, eficiena unui serviciu depinde de stricteea controalelor asupra autenticitii cererii de
autorizare, i de corelarea relaiei ierarhice dintre solicitant i utilizator. Dac nu se solicit dect o simpl
coresponden, fr semntur sau certificat, oricine cunoate puin procesul de autorizare ar putea s i
aloce necorespunztor drepturi de acces, iar calitatea sub-serviciului ar fi considerat ca fiind slab.
Eficiena unui serviciu care administreaz aciunile umane reprezint astfel msura competenei necesare
pentru a permite unui utilizator s treac de verificrile existente, sau chiar s le abuzeze.
Pentru serviciile care vizeaz evenimente naturale (precum detectarea incendiilor, stingerea incendiilor, i
aa mai departe), eficiena lor corespunde capacitii lor de a se aplica unor evenimente mai mult sau mai
puin excepionale sau obinuite.
Dac este vorba, de exemplu, despre un baraj care trebuie s mpiedice un ru s se reverse din cauza
ploilor abundente, eficiena este direct legat de nivelul apei (puterea inundaiei) creia i se mpotrivete.
n practic, puterea va fi msurat deseori ca o funcie a caracterului mai mult sau mai puin
excepional al evenimentului.
Serviciile care ofer msuri generale nu pot, n principiu, s fie evaluate ca funcie a efectului lor direct, ci
doar prin rolul lor indirect.
Concepte i mecanisme

11

10 februarie 2008

Eficiena msurilor generale corespunde capacitii lor de a crea planuri de aciune sau modificri
comportamentale semnificative.

3.3.1.2 Robusteea serviciului de securitate


Robusteea unui serviciu de securitate msoar capacitatea acestuia de a se opune unei aciuni care este
menit s treac de serviciu, sau s i restricioneze eficiena.
Robusteea privete doar acele servicii care sunt considerate ca fiind tehnice.
n exemplul precedent (managementul autorizrii accesului), robusteea sub-serviciului depinde mai
ales de ct de uor este s modifici direct tabelul drepturilor de acces ale utilizatorului, care ar permite
astfel cuiva s i atribuie drepturi de acces fr a mai trebui s urmeze procesele normale de control.
Atunci cnd avem de-a face cu servicii pentru administrarea accidentelor sau a evenimentelor naturale
(precum detectarea incendiilor, stingerea automat a incendiilor, i aa mai departe), robusteea lor va
acoperi i capacitatea lor de a evita s fie scurt-circuitate sau evitate (fie accidental, sau intenionat).

3.3.1.3 Permanena serviciului de securitate


Calitatea global a unui serviciu de securitate necesit ca serviciul s fie garantat n timp.
Pentru aceasta, orice distrugere a serviciului de securitate sau orice schimbare n parametri care poate
interaciona cu eficiena sau robusteea sa trebuie detectat i luate msuri de remediere.
Permanena depinde, astfel, de viteza de detectare i de capacitatea de a reaciona.
Permanena msurilor generale reprezint capacitatea acestora de a fi evaluate n funcie de implementare
sau eficien i necesit de asemenea ca indicatorii i procedurile de control s funcioneze eficient.
3.3.2 Definiia nivelurilor de calitate pentru serviciile de securitate
Calitatea unui serviciu de securitate evalueaz eficiena acestuia, robusteea lui, i permanena. Global, de
aceea, calitatea unui serviciu de securitate include capacitatea sa de a rezista unui atac prin aprarea sa
dei nici un castel nu poate fi considerat ca fiind complet aprat.
Calitatea serviciului de securitate se noteaz pe o scar ntre 1 i 4. Aceast scar reflect competena sau
hotrrea necesar pentru a trece de sistemele aprare, pentru a le scurt-circuita, sau pentru a mpiedica
sau a face inutil detectarea neutralizrii serviciului.
Dei aceast scar de valori permite valori decimale, este util s se dea informaii despre valorile ntregi
pentru un serviciu de securitate.
Calitatea serviciului de securitate evaluat ca fiind de nivelul 1:
Acest serviciu are un nivel minim. Ar putea fi complet ineficient (sau s nu opun rezisten) atunci cnd
se confrunt cu un utilizator obinuit, fr nici un fel de calificare deosebit, sau slab educat, de
asemenea, n domeniul evenimentelor naturale, este posibil s nu fie de folos n problemele de zi cu zi.
Pentru msurile generale, vor avea un efect mic sau nici unul asupra comportamentului sau eficienei
organizaiei.
Concepte i mecanisme

12

10 februarie 2008

Calitatea serviciului de securitate evaluat ca fiind de nivelul 2:


Serviciul este de obicei eficient i continu s opun rezisten n faa hacker-ului obinuit sau puin
competent. Totui, nu este cu siguran suficient atunci cnd se confrunt cu un profesionist cu experien
n acel domeniu (acesta ar putea fi un profesionist IT, un ho bine echipat, sau un expert n spargeri
fizice). n ceea ce privete evenimentele naturale, serviciul va fi rareori suficient pentru a acoperi
evenimentele grave dei acestea se ntmpl rar. Pentru msuri generale, un serviciu la acest nivel ar
mbunti doar situaiile de zi cu zi.
Calitatea serviciului de securitate evaluat ca fiind de nivelul 3:
Serviciul este mai eficient i rezist n faa atacurilor i a evenimentelor descrise mai sus, dar ar putea fi
insuficient contra atacurilor specializate (hackeri bine echipai i cu experien, ingineri de sistem
specializai, mai ales dac acetia au unelte sau experien n domeniu, spioni profesioniti, i aa mai
departe), sau contra dezastrelor naturale cu adevrat excepionale. Pentru msuri generale, un serviciu la
acest nivel ar avea un oarecare efect asupra unui numr mare de circumstane, totui, nu ar oferi cu
siguran nici o garanie pentru probleme sau atacuri grave.
Calitatea serviciului de securitate evaluat ca fiind de nivelul 4:
Acesta este cel mai nalt nivel, i serviciul de securitate va rmne activ i eficient n faa tuturor
evenimentelor i agresiunilor descrise mai sus. Ar putea totui s fie depit n circumstane excepionale:
cei mai buni sprgtori de coduri din lume cu cele mai bune unelte de spart coduri din lume (ceea ce este
posibil dac unele ri vor ca acest lucru s se ntmple) sau o combinaie excepional de circumstane
excepionale.
Procesul folosit de MEHARI pentru a evalua calitatea serviciului de securitate a fost construit pentru a
oferi evaluri de calitate care s corespund cu definiiile de mai sus.

3.3.3 Chestionarele MEHARI pentru evaluarea serviciilor de securitate


Setul de metodologie MEHARI , pe lng metoda n sine, include i baze de cunotine. Una dintre
aceste baze este o baz de audit pentru servicii de securitate. Ea este sub form de chestionare, cu un
sistem de evaluare aplicat pentru rspunsuri.
Structura detaliat a chestionarelor i sistemul de evaluare sunt descrise n Ghidul MEHARI de evaluare
pentru servicii de securitate.

3.3.4 Evaluarea direct a calitii serviciilor de securitate


MEHARI ofer de asemenea, pentru acele servicii de securitate definite n baza de cunotine, un
Manual de Referine pentru Serviciile de Securitate, care descrie fiecare serviciu, funcia sa,
mecanismele i posibilele soluii, precum i acele criterii care ar putea fi folosite pentru a msura calitatea
serviciului.
Astfel, este posibil s se evalueze direct calitatea serviciilor de securitate folosind definiiile pentru
calitatea serviciilor i indicaiile oferite n manualul menionat mai sus.

Concepte i mecanisme

13

10 februarie 2008

3.4 Procesul de recenzie a vulnerabilitii


Serviciile de securitate, aa cum sunt ele definite n MEHARI, sunt funcii de securitate iar aceste funcii
sunt implementate prin soluii de securitate care sunt, sau vor fi, instalate n organizaie.
n practic, evaluarea vulnerabilitii const n analizarea sau auditul acelor soluii care au fost
implementate pentru a asigura funciile de securitate.
Totui, exist n general un numr de diferite soluii n cadrul unei organizaii date pentru a asigura
aceeai funcie de securitate.
De exemplu, controlul accesului fizic n incint este oferit desigur de diferite mecanisme i soluii
precum pentru accesul la camerele cu computere, sau alte centre tehnice, precum instalaiile PABX,
camerele de conferin, i instalaiile electrice importante.
Este de asemenea posibil ca controlul accesului logic la diferite sisteme (mainframe-uri, UNIX, NT, i aa
mai departe) s poat fi administrat n mai multe moduri n funcie de sistem.
nainte ca mcar s ne gndim la un proces de analiz i evaluare a serviciilor de securitate, este necesar,
mai nti, s se identifice acele soluii care trebuie analizate i auditate.
n MEHARI acesta este motivul pentru ceea ce se numete planul de audit sau schema de audit.

3.4.1 Schema de audit


n mod ideal, fiecare serviciu de securitate ar trebui s fie examinat, i toate aceste soluii care ofer
aceste servicii n organizaie ar trebui identificate, astfel nct s poat fi auditate individual.
Acest lucru ar conduce probabil la o cantitate mare de munc pentru un rezultat al crui nivel al detaliilor
ar fi foarte excesiv.
n mod eficient, deseori o singur echip sau serviciu selecteaz diferitele soluii care pot fi folosite.
Alegerile sunt deseori luate pe baza constrngerilor practice i nu pe baza viziunilor diferite ale cerinelor
de securitate. Diferitele soluii de securitate pot folosi mecanisme diferite n timp ce rmn consecvente n
ceea ce privete securitatea.
Pe aceast baz, MEHARI sugereaz crearea unei scheme de audit care s fac distincie ntre variaiile
care vor fi analizate la nivel tehnic, coinciznd cu domeniile de responsabilitate.
Se poate hotr c este cel mai bine s se analizeze securitatea fizic a birourilor de management,
camerele sistemelor informaionale, i alte zone separate una de cealalt. Procesul detaliat pentru
construirea unei scheme de audit este descris n detaliu n Ghidul MEHARI de evaluare pentru serviciile
de securitate.
Aceast abordare poate prea c simplific prea mult necesitatea de a analiza fiecare variaie la nivel de
sub-serviciu, dar experiena a dovedit c, n afara cazurilor excepionale, este bine adaptat la o analiz
global a vulnerabilitii i a riscului.

3.4.2 Procesul propriu-zis de recenzie a vulnerabilitii


Odat ce a fost definit schema de audit, i variaiile utile au fost identificate, tot ce mai rmne de fcut
este s se evalueze starea serviciilor de securitate corespunztoare. Acest lucru poate fi fcut prin
chestionarele MEHARI pentru audit (unele dintre care e posibil s trebuiasc multiplicate), sau prin
analiz direct dup cum a fost explicat mai devreme. Procesul va rezulta ntr-o declaraie a calitii
Concepte i mecanisme

14

10 februarie 2008

serviciilor de securitate. Pentru o descriere mai detaliat, vezi Ghidul MEHARI de evaluare pentru
serviciile de securitate.

3.5 Sumar al recenziei vulnerabilitii


n sumar, recenzia vulnerabilitii rezult n urmtoarele elemente livrabile:
schem de audit care face distincia ntre diferite domenii de soluii care trebuiesc analizate
separat.
evaluare, pentru fiecare domeniu, a serviciilor de securitate. Aceasta va lua n considerare
eficiena fiecrui serviciu, robusteea sa, i permanena sa. Aceast evaluare este realizat fie
direct, sau folosind chestionarele MEHARI.
Un sumar al vulnerabilitilor.

Concepte i mecanisme

15

10 februarie 2008

4 Analizarea situaiilor de risc


4.1 Introducere
Aproape fiecare document care privete securitatea trateaz managementul riscului sau analiza riscului.
Totui, conceptul privind ceea ce constituie un risc nu este neaprat clar sau universal neles.
Este incendiul un risc?
Este neplata unei facturi sau un client insolvent un risc?
Este defimarea de ctre competitor un risc?
Descrie riscul o situaie, o serie de evenimente, sau o msur a pericolului?
Att de multe ntrebri, la care nu se poate rspunde pe deplin n acest document!
Aceast seciune va aborda concepte mai clare care sunt mai uor de neles:
Scenarii de risc sau situaii de risc
Evaluarea nivelurilor de risc, sau pe scurt evaluarea riscului.
Un scenariu de risc reprezint descrierea unei defeciuni i modul n care defeciunea poate avea loc.
Defeciunea reprezint daunele poteniale, sau deteriorarea direct cauzat de defeciune, i orice
consecine indirecte. Este neobinuit s vorbim despre o situaie de risc, acolo unde se nelege c
organizaia este potenial expus la un astfel de scenariu.
O situaie de risc este deseori identificat ca rezultat al unei analize a mizelor. Totui ar putea de
asemenea s fie identificat la nivelul unui proiect, sau detectat prin cutare sistematic. MEHARI ajut
n aceste domenii prin oferirea unei baze de cunotine cu scenarii de risc.
Aceast seciune presupune c situaia/situaiile de risc au fost identificate. Metoda structurat pentru
identificarea situaiilor de risc va fi abordat n capitolul 5 al acestui document.
Evaluarea nivelurilor de risc caut s cuantifice noiunea de pericol. Metoda de evaluare folosit de
ctre MEHARI va fi descris n acest Capitol.

4.2 Scenarii de risc


Mai devreme n acest document, s-a explicat c analiza mizelor necesit identificarea potenialelor
defeciuni i o evaluare a gravitii lor.
Descrierea defeciunii evideniaz doar tipul de consecin potenial i poate degradarea iniial a
procesului. Pentru a descrie mai bine i a analiza ntreg scenariul de risc, este necesar s definim cauzele
i originea riscului, sau circumstanele din care se nate scenariul.
Fiecare scenariu va fi deci descris dup cum urmeaz:
Tipul de consecin (uneori n relaie cu scara de valori predefinit),
Tipul de bunuri implicate de ctre scenariu (uneori n relaie cu bunurile critice predefinite),
Tipurile de cauze care pot conduce la situaia de risc.

Concepte i mecanisme

16

10 februarie 2008

Mai jos este descris un scenariu care poate avea loc:


Descrierea scenariului
Descrierea evenimentului i a consecinei
(consecinelor sale)
Distrugerea datelor de baz folosite pentru
plata salariilor (calcule & parametri)

Descriere a cauzei i a originii sale

Distrugerea datelor de baz folosite pentru


plata salariilor (calcule & parametri)

... datorit tergerii intenionate a fiierelor de


ctre un membru al personalului pentru
operaiuni

... datorit unei erori operaionale: o defeciune a


dischetei care nu permite citirea datelor

4.3 Analiza unui scenariu de risc: privire general asupra abordrii globale
Scopul acestei analize este de a evalua doi parametri caracteristici ai riscului care sunt administrai de
ctre organizaie, presupunnd c scenariul are loc. Aceti parametri sunt:
- Potenialitatea riscului. Aceasta reprezint, ntr-un mod calitativ, probabilitatea ca riscul s se
produc. Producerea nu poate fi modelat n termeni de probabilitate, care reprezint o perspectiv
cantitativ, aa c MEHARI prefer termenul de potenialitate. Potenialitatea reprezint o funcie a
contextului i msurile de securitate aplicate.
- Impactul riscului asupra organizaiei, care reprezint gravitatea consecinelor directe i indirecte ale
producerii riscului. Acest impact reprezint o funcie a impactului maxim, sau a impactului intrinsec, care
a fost definit n timpul clasificrii n ceea ce privete mizele (sau nivelul pe scara de valori), redus de
ctre oricare msuri de securitate adecvate care au fost implementate.
Pentru a cuantifica riscul care corespunde scenariului analizat, se vor face evaluri ale potenialitii i ale
impactului pe o scar de 4 niveluri. Aceste niveluri sunt descrise mai jos.

4.3.1 Evaluarea potenialitii unui scenariu de risc


Obiectivul aici este de a rspunde la ntrebarea simpl:
Ct de probabil este producerea riscului analizat, i anume c scenariul are loc i creeaz daune
reale?.
Pentru a face producerea riscului mai mult sau mai puin probabil pot intra n joc muli factori. MEHARI
ofer o abordare analitic care face distincia ntre diferii factori de risc. El evideniaz ceea ce poate face
riscul mai probabil sau, invers, care msuri de securitate ar putea reduce probabilitatea apariiei lui.
nainte de a examina aceti factori, este util s nelegem scara valorilor de potenialitate.

Concepte i mecanisme

17

10 februarie 2008

Scara valorilor de potenialitate:


Nivelul 4: foarte probabil
La acest nivel, scenariul poate fi considerat c va avea loc cu siguran, i relativ n termen scurt.
Atunci cnd se produce, nimeni nu este surprins.
Nivelul 3: Probabil
Acestea sunt scenarii care se pot produce cu uurin, ntr-un termen mai mult sau mai puin
scurt. Sperana c riscul nu se produce este ridicol, dar d dovad cu siguran de un anumit
nivel de optimism. Atunci cnd se produce, oamenii sunt dezamgii, dar nimeni nu este
surprins.
Nivelul 2: Improbabil
Acestea sunt scenarii care, n mod rezonabil, pot fi considerate c nu se vor produce niciodat.
Experiena din trecut arat c ele nu s-au produs niciodat. Ele rmn, totui, posibile, i nu
sunt nerealiste.
Nivelul 1: foarte improbabil
Producerea riscului este total improbabil. Astfel de scenarii nu sunt strict imposibile deoarece
exist ntotdeauna o posibilitate infinit de mic ca ele s se produc.
Nivelul 0: Neluat n considerare
Aceste scenarii sunt att de imposibile nct nu sunt incluse n setul de scenarii care trebuiesc
analizate. Deseori, i din motive diferite, scenarii care nu trebuiesc analizate sunt clasificate la
acest nivel.
Evaluarea direct a potenialitii este deseori destul de dificil. Abordarea MEHARI recomand analiza
mai multor factori:
Expunerea natural la situaia de risc
Pentru scenariile care privesc actele voluntare, riscul asumat de ctre rufctori
Condiiile n care are loc scenariul

4.3.1.1 Expunerea natural


Prima chestiune privind potenialitatea o reprezint nivelul de expunere la risc.
Activitile unei organizaii, contextul su economic, social sau geografic, toate influeneaz modul n
care este expus la diferite tipuri de risc, independent de msurile n vigoare.
- O companie high-tech lider de pia este mai expus la piraterie i spionaj industrial dect altele.
- O companie aflat pe malurile unui ru este mai expus la riscul de inundaie dect altele.
- O organizaie care se ocup de multe tranzacii financiare este mai expus la posibilitatea de fraud.
Posibila existen a factorilor care ar putea expune organizaia la un tip dat de risc trebuie deci s fie
examinat.

Concepte i mecanisme

18

10 februarie 2008

Organizaia este deosebit de


expus sau protejat atunci cnd se
confrunt cu acest tip de situaie?

Potenialitate

Pentru o situaie de risc dat, anumite organizaii sunt mai expuse dect altele. Cu ct este mai expus
organizaia, cu att mai mare este riscul.
Expunerea la un risc dat poate depinde de mai muli factori:
Locul unde se afl i mediul su nconjurtor, pentru riscuri naturale,
Ctigurile poteniale pentru rufctori voluntari: precum furtul, jaful, sau satisfacia intelectual.
Probabilitatea ca un act intenionat s vizeze organizaia (invers proporional cu numrul de inte
poteniale)
Este relativ obinuit ca expunerea natural la un tip de risc s creasc printr-o combinaie de circumstane:
Anunarea unui plan de redundan, pentru reavoin intern,
Concentrarea mediei asupra circumstanelor sau evenimentelor care ar putea deranja populaii
externe (precum accidente de mediu), sau acordarea unei atenii speciale asupra organizaiei (de
exemplu, anunarea unor msuri de securitate puternice).
Invers, este uneori posibil s se implementeze msuri pentru a reduce expunerea natural. Aceste msuri
sunt numite, n MEHARI, msuri structurale:
Administrarea mediului (fizic, social, etc.): mutarea,
Dispersarea potenialelor inte ale atacurilor intenionate,
Motivaia i managementul crizei.
Expunerea natural a organizaiei la un risc dat va fi clasificat pe o scar de la 1 la 4, dup cum este
descris mai jos:
Expunerea natural la risc
Nivelul 1: Expunere foarte mic
Independent de orice msur de securitate, probabilitatea ca un astfel de scenariu s aib loc este
foarte redus i practic neglijabil.
Nivelul 2: Expunere mic (abia expus)
Chiar i fr msuri de securitate, combinaia dintre mediu (cultural, uman, geografic sau altul)
i context (strategic, competitiv, social) face ca probabilitatea ca un astfel de scenariu s se
produc, pe termen scurt sau mediu, mic.
Nivelul 3: Expunere medie (nu deosebit de expus)
Mediul i contextul ntreprinderii sunt de aa msur nct, dac nu se face nimic pentru a-l evita,
un astfel de scenariu este menit s aib loc pe termen mai mult sau mai puin scurt.
Nivelul 4: Expunere mare: (deosebit de expus)
Mediul i contextul ntreprinderii sunt de aa msur nct, dac nu se face nimic pentru a-l evita,
un astfel de scenariu este inevitabil pe termen foarte scurt.
Concepte i mecanisme

19

10 februarie 2008

Aceast evaluare este, de fapt, o prim reflecie asupra nivelului de potenialitate al unui scenariu n
absena oricrei msuri de securitate.
n exemplul de mai devreme Distrugerea datelor de baz folosite pentru plata salariilor (calcule &
parametri) datorit tergerii intenionate a fiierelor de ctre un membru al personalului pentru
operaiuni, ar trebui fcut o analiz pentru a vedea dac exist relaii conflictuale cu personalul pentru
operaiuni, dac acetia sunt motivai sau nemotivai, i dac o astfel de aciune ruvoitoare va beneficia
cuiva anume. Atunci cnd nu se pot gsi motive anume, entitatea este considerat ca fiind abia expus
(observnd c acest lucru nu s-a ntmplat niciodat), cu un nivel de expunere de gradul 2.
O metod bun de a evalua expunerea natural este s fie considerat ca o msur cu potenialitate
intrinsec, sau ca potenialitate fr nici o msur de securitate n vigoare.

4.3.1.2 Riscul perceput de ctre rufctorul unui act intenionat


A doua chestiune se limiteaz la acele scenarii care privesc actele intenionate efectuate de ctre o
persoan real. Multe dintre aceste acte sunt de natur ruvoitoare. Un astfel de act poate reprezenta un
risc pentru rufctor, care va avea un efect disusiv. Existena factorilor disuasivi ar trebui examinat
pentru a struni dorinele potenialilor rufctori.
Este organizaia deosebit de expus
sau protejat dac se confrunt cu
acest tip de situaie?
Exist msuri disuasive pentru
acest tip de risc? Sunt ele
eficiente?

Potenialitate

Hotrrea asupra unui act ruvoitor poate reprezenta n mod clar un risc pentru rufctor.
Cu ct percepia riscului este mai mare, cu att este mai puin probabil ca rufctorul s l ncerce, i
astfel riscul pentru organizaie este mai redus.
Riscul aa cum este el perceput de ctre rufctorul unui act intenionat depinde de:
- Mijloacele existente pentru a detecta aciunea i pentru a putea fi gsit rufctorul,
- Calitatea dovezilor pentru imputare,
- Sanciunile aplicate,
- Cunoaterea de ctre rufctor a mijloacelor folosite n cazurile anterioare.
Ca i consecin la acest lucru, exist unele aciuni sau msuri care genereaz reducerea riscului, numite
msuri disuasive n MEHARI:
- Detectarea aciunilor voluntare ncercate i nregistrarea aciunilor efectuate,
- Atribuirea aciunilor intenionate, ncercate sau efectuate,
- Autentificarea puternic incontestabil,
- Reglementarea, cu sanciuni severe,
- Comunicarea despre sistemele de detectare i nregistrare.
Existena acestor msuri trebuie deci examinat, dar de asemenea i eficacitatea lor.
Aceast eficacitate va fi msurat pe o scar de la 1 la 4, dup cum este descris mai jos.
Concepte i mecanisme

20

10 februarie 2008

Eficacitatea msurilor disuasive:


Nivelul 1: Efectul msurilor disuasive este mic sau nul.
Potenialul atacator poate considera n mod logic c el sau ea nu se supune la nici un risc
personal, deoarece este improbabil s existe vreun mod de a identifica rufctorul. Acesta poate
deci s considere c nu va fi identificat, sau c va avea posibilitatea de a folosi argumente
puternice pentru a refuta orice acuzaii privind aciunile realizate, sau c orice pedeaps va fi
foarte uoar.
Nivelul 2: Efectul msurilor disuasive este mediu.
Potenialul atacator poate considera n mod logic c el sau ea se supune doar unui risc mic. n
orice caz, orice potenial prejudiciu personal va fi suportabil.
Nivelul 3: Efectul msurilor disuasive este mare.
Potenialul atacator poate considera n mod logic c el sau ea se supune unui risc mare, i ar
trebui s i dea seama c va fi identificat cu siguran, i c pedeapsa va fi grav.
Nivelul 4: Efectul msurilor disuasive este foarte mare.
Potenialul atacator poate considera n mod logic c el sau ea ar trebui s abandoneze orice idee
de a realiza aciunea. El ar trebui s-i dea seama c va fi identificat cu siguran, i c pedeapsa
care va rezulta va depi cu mult orice potenial ctig.
Aceast evaluare ofer un al doilea nivel de gndire asupra potenialitii scenariului.
De exemplu n scenariul descris mai devreme Distrugerea datelor de baz folosite pentru plata salariilor
(calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al personalului pentru
operaiuni, exist necesitatea de a examina numrul de persoane care au acces la casetele de stocare a
fiierelor bazei de date, pentru a vedea dac aceste persoane au deseori ocazia de a fi singuri n camera
computerelor, i pentru a verifica dac casetele de stocare se afl sub supravegherea camerelor de filmat
cu circuit nchis. Fr o supraveghere strict i vizibil, personalul poate considera pe bun dreptate c nu
exist nici un risc pentru ei. O astfel de gndire ar putea duce la presupunerea c nu exist msuri
disuasive n vigoare pentru acest scenariu (nivelul 1).

4.3.1.3 Condiii pentru ca riscul s se produc


Cea de-a treia i ultima chestiune care trebuie abordat privete condiiile n care scenariul s-ar putea
produce, i natura mai mult sau mai puin obinuit a acestor condiii.

Concepte i mecanisme

21

10 februarie 2008

Este organizaia deosebit de expus


sau protejat dac se confrunt cu
acest tip de situaie?
Exist msuri disuasive pentru acest
tip de risc? Sunt ele eficiente?

Potenialitate

Exist msuri preventive care s


fac dificil ndeplinirea acestui
scenariu? Sunt ele eficiente?

Un scenariu de risc va ajunge un adevrat dezastru doar dac anumite condiii sunt ndeplinite
simultan.
Cu ct aceste condiii sunt mai obinuite, cu att este mai mare riscul de producere.
Natura obinuit a acestor condiii de producere poate depinde de:
- Natura obinuit sau excepional a condiiilor externe (vreme, tip de accident, etc.),
- Nivelul relativ redus de competen necesar pentru un act intenionat,
- Cunotinele, care sunt mai mult sau mai puin necesare, despre organizaie i contextul su,
- Mijloacele i resursele necesare (umane, financiare, timp, etc.),
- Gradul de noroc sau ans necesar.
Ca i consecin la acestea, exist aciunile sau msurile care genereaz reducerea riscului, numite n
MEHARI msuri preventive:
- Msuri pentru securitatea fizic,
- Msuri pentru controlul accesului,
- Controale preventive integrate n procesele i aplicaiile computerelor.
Existena acestor msuri trebuie deci examinat, dar de asemenea i eficacitatea lor.
Eficacitatea va fi msurat pe o scar de la 1 la 4, dup cum este descris mai jos:
Eficacitatea msurilor preventive:
Nivelul 1: Efectul msurilor preventive este mic sau nul.
Orice persoan din organizaie, sau apropiat ei, sau chiar cineva care cunoate cte ceva despre
ea, poate pune n micare acest scenariu, cu mijloacele pe care le are la dispoziie (sau care sunt
uor de obinut).
Cauza acestui scenariu o poate reprezenta circumstane perfect obinuite (utilizare greit,
eroare, condiii nefavorabile obinuite).
Nivelul 2: Efectul msurilor preventive este mediu.
Un profesionist poate derula scenariul, fr necesitatea mijloacelor sau uneltelor speciale n afar
Concepte i mecanisme

22

10 februarie 2008

de cele disponibile n profesie.


Acelai rezultat poate fi produs de circumstane naturale rare.
Nivelul 3: Efectul msurilor preventive este mare.
Doar un specialist, sau un profesionist cu unelte sau mijloace speciale, sau un grup de
profesioniti care colaboreaz i care i folosesc mijloacele i uneltele mpreun ar putea avea
succes.
Nivelul 4: Efectul msurilor preventive este foarte mare.
Doar civa experi hotri, cu mijloace excepionale ar putea reui.
Doar conjuncia unor circumstane foarte rare sau extrem de excepionale ar permite ca acest
scenariu s aib loc.
Aceast evaluare ofer un al treilea i ultim nivel de gndire asupra potenialitii scenariului.
Pentru scenariul de exemplu descris mai devreme Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, exist necesitatea de a analiza dac ntreg personalul de operaiuni, sau
aproape tot, este capabil de a reui ntr-un astfel de scenariu, sau dac este nevoie de o expertiz anume
pentru a reui, sau dac este nevoie de o expertiz special. n cazul acestui exemplu, ntreg personalul
pentru operaiuni ar putea fi considerat capabil s reueasc, i astfel nivelul msurilor preventive este
mic (nivelul 1).

4.3.1.4 Evaluarea potenialitii unui scenariu de risc


Odat ce a fost evaluat expunerea natural la risc care este analizat, precum i eficacitatea
msurilor disuasive i preventive de a limita potenialitatea au fost evaluate, apoi urmtorul pas este
evaluarea potenialitii scenariului care rezult.
Evaluarea global va utiliza refleciile i rezultatele anterioare, i va aplica definiiile nivelurilor de
potenialitate descrise mai devreme.
Pentru scenariul de exemplu utilizat mai devreme Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, cu un nivel 2 de expunere natural i msuri disuasive i preventive de
nivel 1, potenialitatea care rezult ar putea fi considerat a fi 2, sau Improbabil.
Potenialitatea este, astfel, o evaluare global a probabilitii scenariului de a avea loc pn la final, pe o
scar de 4 niveluri. Include potenialitatea intrinsec, msurat prin expunerea natural, i doi factori de
reducere a riscului: disuasiunea (pentru actele intenionale) i prevenia.

4.3.2 Evaluarea impactului unui scenariu de risc


Aici, obiectivul este de a rspunde la simpla ntrebare:
Dac riscul care este analizat are loc ntr-adevr, care ar fi gravitatea final a consecinelor?.
Muli factori pot face consecinele riscului, sau impactul acestuia, mai mult sau mai puin grave.
Concepte i mecanisme

23

10 februarie 2008

MEHARI ofer o abordare analitic care identific factorii de risc, n timp ce evideniaz influenele care
pot face consecinele mai grave, sau dimpotriv, care msuri de securitate ar putea reduce gravitatea
impactului su.
nainte de a analiza aceti factori, mai jos este definit o scar a impactului, identic n toate sensurile cu
cea introdus n seciunea analizei mizelor de mai sus din acest document i mai detaliat n Ghidul
analizei i al clasificrii mizelor.
Scara impactului:
Nivelul 4: Vital
La acest nivel, defeciunea posibil este att de grav nct pune n pericol pn i existena sau
supravieuirea organizaiei sau a uneia dintre principalele sale activiti.
Dac organizaia ar supravieui, ar rmne urme durabile i grave.
Nivelul 3: Foarte grav
Acesta reprezint defeciuni foarte grave pentru organizaie, fr a compromite neaprat viitorul
su.
n termeni financiari, acest lurcru ar reduce mult rezultatele anuale, dei acionarii ar putea
continua s-i pstreze aciunile.
n termeni de imagine, nivelul pierderii de imagine a brandului ar necesita multe luni pentru a fi
recuperat, dei costul pentru a face acest lucru este greu de evaluat.
Dezastrele care creeaz dezorganizare evident pentru o perioad de mai multe luni ar fi i ele
evaluate la acest nivel.
Nivelul 2: Grav
Acest nivel reprezint defeciuni care au un impact accentuat asupra operaiunilor entitii,
rezultatelor sale sau imaginii sale, dar consecinele sunt de obicei suportabile.
Nivelul 1: Nesemnificativ
Daunele care rezult dintr-o defeciune la acest nivel nu au practic nici un impact observabil
asupra rezultatelor entitii sau a imaginii sale, chiar dac mai multe persoane vor trebui s
cheltuiasc mult timp i energie pentru a aduce situaia la normal.
Evaluarea direct a impactului final, rezidual a unui risc este deseori dificil. n abordarea MEHARI, este
mai nti analizat impactul intrinsec, apoi mai muli factori de reducere. Acetia sunt:
Atenuarea consecinelor directe ale riscului prin izolarea sau limitarea acestuia,
Atenuarea consecinelor directe ale riscului prin msuri paliative,
Transferul ntregului risc sau a unei pri din acesta asupra unei tere pri.

4.3.2.1 Impactul intrinsec


Dac scenariul analizat a fost creat ca rezultat al unei analize a mizelor i ncepnd cu o potenial
defeciune, gravitatea defeciunii a fost deja evaluat folosind scara de valori.
Concepte i mecanisme

24

10 februarie 2008

Dac scenariul este creat fr o analiz a mizelor anterioar, de exemplu ca parte a unui proiect, gravitatea
intrinsec ar trebui evaluat folosind procesul descris n Ghidul MEHARI al analizei i al clasificrii
mizelor.
Se presupune de aceea c o evaluare preliminar a impactului scenariului asupra scrii de valori a fost
fcut.
Scara de
valori a
defeciunilor

Care este gravitatea maxim a


consecinelor unui scenariu de risc?

Impact

Merit observat faptul c aceast prim evaluare este o estimare maxim. De fapt, n timpul acestui pas,
msurile de securitate care ar putea reduce gravitatea consecinelor riscului potenial nu ar trebui luate n
calcul.
Aceste msuri vor fi luate n calcul n timpul analizei riscului.
Prima evaluare a impactului, dedus din scara de valori a defeciunilor sau evaluat direct, poate fi
considerat ca impact intrinsec, cu alte cuvinte cel mai ru caz (sau valoarea maxim) pentru
consecinele riscului fr nici o msur de securitate.
Pentru scenariul de exemplu utilizat mai devreme Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, scara de valori a defeciunilor ofer o valoare de referin pentru
tergerea unor astfel de date (iar dac nu apare nici o defeciune privind datele despre plat n scara de
valori, impactul corespunztor ar fi considerat neglijabil). Pentru a continua cu exemplul, scara de valori a
defeciunilor pentru pierderea acestor date ar fi considerat ca artnd nivelul 3 (foarte grav).

4.3.2.2 Limitarea consecinelor directe: limitarea riscului


Prima chestiune care trebuie adresat privind limitarea riscului este limitarea consecinelor directe ale
producerii riscului.
Anumite daune care rezult dintr-un eveniment pot, de fapt, fi limitate n spaiu sau timp de ctre
precauiile sau interveniile anterioare:
- Un incendiu poate fi limitat la o zon prin mai multe mijloace (perei parafoc, ali separatori) sau prin
intervenie direct (detectare i stingere).
- Inundaia poate fi limitat n consecinele sale directe prin intervenie (detectarea scurgerilor sau
umezelii, nchiderea conductelor) sau prin mijloace specializate (inundare controlat, scurgere natural).
- O eroare poate fi limitat n efectele sale spaiale (propagare) sau n timp, prin sisteme de detectare
sau proceduri de control.
- Proliferarea unui virus poate fi oprit folosind sisteme antivirus.
- Hacking-ul poate fi limitat n timp sau importan prin sisteme de detectare a intruziunii i alte
mijloace asociate.
Concepte i mecanisme

25

10 februarie 2008

n mod clar, trebuie pus problema dac exist factori care ar limita gravitatea consecinelor directe ale
unui risc, spaial sau temporal, i asta n comparaie cu nivelul maximal iniial de gravitate evaluat la
nceput.
Care este gravitatea maxim a
consecinelor unui risc?

Scara de valori
a defeciunilor

Exist msuri de limitare care


ar limita extinderea riscului?
Sunt aceste msuri eficiente?
Impact

Consecinele directe unui scenariu de risc care are loc efectiv se pot ntinde sau propaga n timp i
spaiu, sau pot fi limitate.
Riscul va fi mai mare dac limitarea este mai slab.
Limitarea consecinelor directe ale unui risc depinde de:
- Izolarea bunurilor unul de altul, sau compartimentarea.
- Detectarea msurilor specifice riscului n discuie,
- Capacitatea organizaiei de a reaciona atunci cnd se confrunt cu acest tip de risc.
Corolar: Exist aciuni sau msuri de reducere a riscului, i anume msuri de limitare, de asemenea
numite i msuri de protecie2 n MEHARI.
- Msuri pentru izolare i compartimentare fizic,
- Msuri de detectare (intruziune, accidente, erori, etc.),
- Post-controale integrate n procese i aplicaii ale computerului,
- Capaciti de investigaie asupra detectrii anomaliilor,
- Capaciti de intervenie rapid.
Existena i eficacitatea acestor msuri trebuie s fie examinat.
Eficacitatea lor va fi evaluat pe o scar de la 1 la 4, dup descrierea de mai jos:
Eficacitatea msurilor de limitare sau de protecie
Nivelul 1: Efectele limitrii i limitarea consecinelor directe sunt foarte slabe sau nule.
Fie dauna i consecinele sale directe nu pot fi limitate, fie nu va fi detectat pentru ceva timp.
Msurile de corectare posibile vor avea deci doar o influen restrns asupra nivelului
consecinelor directe.
Nivelul 2: Efectele limitrii i limitarea consecinelor directe sunt medii.
Chiar dac dauna i consecinele sale directe pot fi limitate, timpul pentru a le detecta este mare,
2

Aceste msuri, numite msuri de protecie n Mehari, sunt deseori msuri de detecie / reacie
Concepte i mecanisme
26
10 februarie 2008

sau reacia este nceat.


Msurile de corectare posibile pot avea o oarecare influen asupra impactului, dar consecinele
directe sunt nc foarte mari.
Nivelul 3: Efectele limitrii i limitarea consecinelor directe sunt mari.
Evenimentul este detectat rapid, cu reacie imediat.
Msurile de corectare posibile vor avea o anumit influen asupra impactului direct, care
rmne real dar limitat n scop, i manevrabil.
Nivelul 4: Msurile au un efect foarte puternic.
nceputul scenariului este detectat n timp real i msurile sunt puse n funciune imediat.
Consecinele directe sunt imediat limitate la deteriorare datorit accidentului, erorii sau aciunii
intenionate (uneori ruvoitoare).
Aceast evaluare ofer un prim nivel de reflecie asupra nivelului real al consecinelor directe ale
scenariului.
Pentru scenariul de exemplu folosit n aceast seciune Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, ar trebui fcut o examinare pentru a identifica dac exist msuri de
limitare care s asigure intervenia nainte ca vinovaii s tearg complet fiierele cu date i istoria
acestora. Rspunsul este probabil nu, dac datele istorice nu au un sistem de management specific, care s
permit detectarea anomaliilor.

4.3.2.3 Limitarea consecinelor indirecte ale unui risc: msuri paliative


A doua chestiune care trebuie adresat, privind consecinele unui risc, este legat de posibilele reacii
odat ce evenimentul a fost detectat i dauna limitat.
Nici o organizaie nu ar putea s nu reacioneze, totui, nivelul consecinelor reale va depinde de calitatea
reaciei.

Scara de
valori a
defeciunilor

Care este gravitatea maxim a


consecinelor scenariului de risc?
Exist msuri de limitare care ar
limita extinderea riscului? Sunt
aceste msuri eficiente?

Impact
Exist msuri paliative care s
atenueze gravitatea acestui tip de
risc? Sunt ele eficiente?
Situaia de criz generat de producerea unui risc poate fi anticipat i pregtit.
Concepte i mecanisme

27

10 februarie 2008

Cu ct pregtirea este mai puin, cu att mai mare va fi riscul.


Nivelul de pregtire pentru o situaie de criz depinde de:
- Identificarea n prealabil a modurilor de operare degradate acceptabile: funcii minime care trebuiesc
ndeplinite i servicii indispensabile,
- Anticiparea i pregtirea soluiilor paliative corespunztoare,
- Pregtirea i educarea personalului pentru a face fa situaiilor de criz (managementul de criz,
comunicarea de criz, etc.).
Corolar: exist aciuni sau msuri pentru reducerea consecinelor indirecte. Acestea sunt numite msuri
paliative n MEHARI, i includ:
- Examinarea n prealabil a ce servicii minime ar trebui oferite precum i planificarea de urgen,
- Pregtirea planurilor de ntreinere i de recuperare (planuri de rezerv, planuri de continuitate a
afacerii, planuri de restaurare, etc.),
- Pregtirea i educarea echipelor (teste tehnice, media-training, etc.).
Existena i eficacitatea acestor msuri trebuie examinat.
Eficacitatea lor va fi evaluat pe o scar de la 1 la 4, dup descrierea de mai jos:
Eficacitatea msurilor paliative
Nivelul 1: Efectele limitrii consecinelor indirecte sunt foarte mici sau nule.
Fie sunt folosite msuri complet improvizate fie se consider c acestea nu vor avea nici un
efect.
Nivelul 2: Efectele limitrii consecinelor indirecte sunt medii.
Soluiile de recuperare sau paliative au fost planificate n mare, dar lipsesc detaliile. S-a
considerat c, din cauza lipsei detaliilor, va exista o lips de eficien corespondent ale
msurilor paliative. Timpul pentru a restabili operaiunile normale nu poate fi prevzut cu
precizie, sau nu va schimba fundamental gravitatea daunelor cauzate.
Nivelul 3: Efectele limitrii consecinelor indirecte sunt mari.
Msurile paliative nu numai c au fost bine planificate i organizate, ci i testate i validate.
Timpul pentru a restabili operaiunile normale poate fi estimat sau cunoscut precis, i este de aa
natur nct va reduce considerabil gravitatea consecinelor indirecte ale scenariului.
Nivelul 4: Efectele limitrii consecinelor indirecte sunt ntr-adevr foarte mari.
Operaiunile normale vor continua fr o ntrerupere observabil.
Aceast evaluare ofer un al doilea tip de reflecie asupra nivelului real al consecinelor indirecte ale
scenariului.
Pentru scenariul de exemplu folosit n aceast seciune Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, ar trebui fcut o analiz pentru a vedea dac sunt fcute back-up-uri ca
msuri paliative, i dac acestea vor asigura restaurarea bazei de date, mcar pentru datele istorice pentru
ultimul an. Acest lucru ar reduce nivelul de impact la 2 (distrugerea datelor pentru anul curent fiind
Concepte i mecanisme

28

10 februarie 2008

evaluat ca fiind de nivel 2 n timpul analizei mizelor), sau ar limita chiar pierderea datelor la luna
curent, ceea ce ar reduce nivelul impactului la 1. Rezultatul va depinde desigur de faptul dac se fac sau
nu back-up-uri, dar i de vrsta lor maxim posibil (i deci frecvena lor).

4.3.2.4 Limitarea pierderilor totale: transferul riscului


Cea de-a treia i ultima chestiune despre consecinele unui risc privete posibilitatea de a reduce pierderile
prin transferarea unora dintre ele asupra unei pri tere.
n mod tipic, acest lucru ar privi asigurarea sau procedurile criminale.
Scara de
valori a
defeciunilor

Care este gravitatea maxim a


consecinelor scenariului de risc?
Exist msuri de limitare care ar
limita extinderea riscului? Sunt
aceste msuri eficiente?
Exist msuri paliative care ar
atenua gravitatea acestui tip de
risc? Sunt ele eficiente?

Impact

Ar putea fi recuperate unele


dintre aceste pierderi prin
asigurare sau proceduri
criminale?
Pierderile totale pot fi potenial transferate parial asupra prilor tere precum asigurarea, sau prin
proceduri criminale.
Caracterul eficient al acestui transfer depinde de:
- Identificarea n prealabil a situaiilor de risc IT specifice care ar trebui acoperite de asigurare,
- Polie de asigurare corespunztoare pentru riscurile care ar trebui acoperite,
- Analiza precis a situaiilor care sunt excluse, i msurile ulterioare care sunt luate,
- Pregtirea elementelor de dovad, cu considerarea procedurilor criminale poteniale, i validarea
acceptabilitii lor n tribunal (juridic).
Corolar: exist aciuni sau msuri pentru a reduce riscul, numite msuri de recuperare n MEHARI.
Acestea includ:
- Analiza specific a riscurilor care ar trebui acoperite de ctre poliele de asigurare,
- Acoperirea riscurilor care sunt peste nivelul acceptat de ctre asiguratori,
- Pregtirea specific a procedurilor criminale.
Existena i eficacitatea acestor msuri va fi evaluat pe o scar de la 1 la 4, dup descrierea de mai jos:
Msuri de recuperare:
Concepte i mecanisme

29

10 februarie 2008

Nivelul 1: Efectul msurilor de recuperare este mic sau nul.


Ceea ce poate fi recuperat prin asigurare sau procese legale nu este nimic n comparaie cu
daunele cauzate de impactul global al scenariului i consecinele sale.
Nivelul 2: Efectul msurilor de recuperare este mediu.
Ceea ce poate fi recuperat nu este neglijabil, dar organizaia este responsabil pentru cea mai
mare parte a impactului scenariului. n cazul unui incident major, nu este sigur c transferul
riscului ar permite organizaiei s continue operaiunile.
Nivelul 3: Efectul msurilor de recuperare este ridicat.
Ceea ce este recuperat prin asigurare sau procese legale este destul pentru a atenua serios
impactul scenariului. n orice caz, operaiunile pot continua.
Nivelul 4: Efectul msurilor de recuperare este foarte ridicat.
Orict de grav este dezastrul, impactul rezidual este ateptat s rmn suportabil.
NOT:
Definiiile de mai sus corespund cu ceea ce se ateapt asiguratorii n general. De fapt, poliele de
asigurare nu sunt fcute ca s fac consecinele unui risc complet neglijabile ci de obicei pentru a evita
insuportabilul, sau mcar pentru a limita scopul consecinelor unui risc grav dar suportabil.
Aceast evaluare ofer un al treilea i ultim nivel de reflecie asupra nivelului real al consecinelor globale
ale unui scenariu.
Pentru scenariul de exemplu folosit n aceast seciune Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, ar trebui fcut o analiz pentru a vedea dac poliele de asigurare ar
reduce nivelul de risc, i dac un caz legal ar avea succes (ceea ce ar presupune, printre altele, c persoana
n cauz ar fi gsit vinovat, i ar avea destui bani pentru a acoperi daunele). n cazul acestui exemplu,
rspunsul se pare c este nu.

4.3.2.5 Evaluarea impactului global al scenariului de risc


Impactul intrinsec care a fost definit prin scara de valori i evaluarea eficacitii msurilor de
atenuare care ar limita impactul riscului (msuri de protecie, paliative i de recuperare) va oferi
impactul global al scenariului.
Pentru evaluarea nivelului global al riscului, vezi definiiile date mai devreme.
n timpul evalurii globale ar trebui luate n considerare nivelurile precedente de reflecie.
n scenariul de exemplu folosit n aceast seciune, impactul global rezidual poate fi evaluat la nivelul 2
(grav), sau chiar 1 (neglijabil) dac, n ciuda absenei msurilor de protecie sau de recuperare, msurile
paliative sunt considerate a fi suficient de eficiente.
Impactul este deci o evaluare global a nivelului consecinelor, pe o scar de 4 niveluri, care ia n
considerare impactul intrinsec i cei trei factori de atenuare (de protejare, paliativ i de recuperare).

Concepte i mecanisme

30

10 februarie 2008

4.3.3 Gravitatea rezultant unei situaii de risc


Gravitatea unui scenariu de risc sau a unei situaii de risc este o funcie a potenialitii sale i a
impactului su.
Aceasta nu este o simpl formul matematic care folosete cele dou valori, ci o judecat asupra
acceptabilitii (sau nu) a situaiei.
Ca funcie a potenialitii i a impactului riscului care este analizat, singura ntrebare care mai rmne
este:
Este situaia de risc acceptabil aa cum este ea, sau dac nu ce ar trebui fcut?
Pentru scenariul de exemplu folosit n aceast seciune Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, trebuie luat o decizie pentru a vedea dac este sau nu acceptabil ca
personalul de operaiuni s poat terge baza de date, chiar dac producerea este improbabil n timp ce
impactul su este limitat, dar totui ridicat.
Dac se analizeaz mai multe situaii de risc, la diferite momente n timp, se poate s merite crearea unui
tabel al deciziilor pentru a asigura coerena deciziilor luate la momente diferite sau de ctre persoane
diferite.
Acest tabel al deciziilor poate fi reprezentat printr-un tabel al acceptabilitii riscului sau tabel al
aversiunii fa de risc care definete, ca funcie a impactului estimat i a potenialitii, dac riscul este
acceptabil.
MEHARI propune trei categorii de risc:
- Riscuri insuportabile, care necesit msuri urgente, peste ciclurile normale de buget.
- Riscuri inadmisibile, care trebuiesc reduse sau eliminate la un moment dat. Acest lucru ar trebui
integrat n ciclul de planificare (planul de securitate).
- Riscuri tolerabile.
Primele dou categorii corespund cu ceea ce a fost numit mai devreme riscuri inacceptabile.
Un tabel de prob al acceptabilitii riscului este artat mai jos. n acest exemplu, S reprezint gravitatea
global evaluat ca funcie a impactului (I) i potenialitii (P). Un nivel al gravitii de valoare 4
corespunde unui risc insuportabil, de nivelul 3 unui risc inadmisibil i valorile mai mici riscurilor
tolerabile.
I=4 S = 2

S=3

S=4

S=4

I=3 S = 2

S=3

S=3

S=4

I=2 S = l

S=2

S=2

S=3

I=1 S = l

S=l

S=l

S=2

P=2

P=3

P=4

P=1

Figura 4: Tabelul acceptabilitii riscului

4.3.4 Privire general asupra procesului de analiz a riscului


Abordarea care a fost descris mai sus poate fi rezumat prin figura de mai jos:
Concepte i mecanisme

31

10 februarie 2008

Identificarea
unei situaii
de risc
Evaluarea expunerii
naturale

Evaluarea factorilor
disuasivi i de prevenire

Evaluarea Potenialitii

Ajutor potenial:
Scara de valori a defeciunilor
sau clasificarea n prealabil

Evaluarea impactului
intrinsec

Evaluarea factorilor de
protecie, paliativi i de
recuperare

Evaluarea reducerii
impactului
Evaluarea impactului

Evaluarea riscului global

Decizia
dac riscul
este
acceptabil
Figura 5: Analiza situaiei de risc

Concepte i mecanisme

32

10 februarie 2008

4.4 Utilizarea bazelor de cunotine MEHARI


Printre bazele sale de cunotine, MEHARI ofer o baz a scenariului de risc (Manualul MEHARI de
referine).
Exist mai multe situaii n care se cuvine s se foloseasc aceast baz de cunotine:
- Scenariile bazei de cunotine sunt descrise ntr-un mod general, astfel nct s poat fi folosite pentru
situaii de risc ntlnite mai frecvent. Frecvent, o anumit situaie de risc, detectat n timpul unui proiect
sau datorit cererii managementului pentru mai multe detalii, corespunde foarte ndeaproape cu unul din
scenariile din baz.
Astfel, scenariul de exemplu folosit n aceast seciune Distrugerea datelor de baz folosite pentru plata
salariilor (calcule & parametri) datorit tergerii intenionate a fiierelor de ctre un membru al
personalului pentru operaiuni, corespunde scenariului 10.31 din baza MEHARI: distrugerea masiv a
arhivelor i a datelor de ctre personalul de operaiuni.
- Exist i abordri care constau n analizarea tuturor situaiilor de risc care par critice. Baza de
cunotine poate fi folosit pentru a selecta scenariile, i apoi pentru a continua cu analiza acestora.

4.4.1 Folosirea manualului de referine pentru scenariul de risc


Paragrafele anterioare au oferit definiii generice ale expunerii naturale la risc i ale eficacitii msurilor
disuasive i de prevenire. De asemenea, au fost oferite definiii generice pentru impactul intrinsec,
eficacitatea msurilor de protecie, paliative i de recuperare.
Manualul MEHARI de referine pentru scenarii ofer, pentru aceti factori diveri, i pentru fiecare
scenariu din baz, definiii care sunt ajustate corespunztor pentru cazul n discuie. Pe lng definiii,
baza ofer, sub form de comentarii, detalii privind ntrebrile pertinente care ajut la evaluarea fiecruia
dintre aceti parametri.
Procesul detaliat de analiz a riscului care folosete bazele de cunotine MEHARI este descris ntr-un
document specific: Ghidul MEHARI de analiz a riscului.

4.4.2 Folosirea procedurilor automatizate MEHARI


MEHARI ofer, n baza sa de cunotine, mai multe ajutoare pentru analiza riscului:
- Asisten n evaluarea expunerii naturale,
- Proceduri automatizate pentru evaluarea factorilor de atenuare a riscului (disuasivi, preventivi, de
protecie, paliativi i de recuperare) ca funcie a calitii serviciilor de securitate dac au fost evaluate n
prealabil de ctre un audit MEHARI.
- Un tabel generic al impactului intrinsec care poate fi mrit ca rezultat al unei proceduri de clasificare
sau direct dintr-o scar de valori a defeciunilor.
- Proceduri automatizate pentru calcularea potenialitii i a impactului, ca funcie a expunerii
naturale, i a impactului intrinsec i a factorilor de atenuare a riscului.
Pentru a facilita abordarea global a MEHARI, aceste ajutoare sunt aplicabile pentru fiecare dintre
scenariile la care se face referin n baza de scenarii MEHARI.
Procesul de analiz a riscului care folosete baza de scenarii MEHARI i procedurile sale automatizate
sunt detaliate n Ghidul MEHARI de analiz a riscului.

4.5 Procesul analizei situaiei de risc


n sumar, procesul de analiz a situaiei de risc include o abordare de baz, sau global, cu posibila
Concepte i mecanisme

33

10 februarie 2008

asisten a procedurilor automatizate, n funcie de modul n care este descris situaia i de existena unui
audit anterior a serviciilor de securitate.
Procesul total i capacitile de asisten pe care le poate oferi MEHARI pentru studiul situaiilor de risc
(fie extrase din baza MEHARI sau asemntoare) sunt artate mai jos:

Identificarea unei
situaii de risc
Evaluarea expunerii
naturale

Evaluarea factorilor
disuasivi i de prevenire

Asisten, dac este asemntor cu un


scenariu MEHARI
Tabelul standard al expunerii
Comentarii n baza de cunotine global
Asisten, dac este asemntor cu un
scenariu MEHARI:
Comentarii n baza de cunotine global
Procedura automatizat de calcul
STATUS dac exist un audit anterior

Evaluarea Potenialitii

Asisten:
Tabele standard sau specifice
ntreprinderii,
n funcie de situaia de risc

Evaluarea impactului
intrinsec

Asisten:
Scara de valori a defeciunilor sau
clasificare predefinit

Evaluarea factorilor de
protecie, paliativi i de
recuperare

Asisten, dac este asemntor cu un


scenariu MEHARI:
Comentarii n baza de cunotine global
Procedura automatizat de calcul
STATUS dac exist un audit anterior

Evaluarea reducerii
impactului
Evaluarea impactului

Asisten:
Tabele standard sau specifice
ntreprinderii,
n funcie de situaia de risc

Evaluarea riscului global

Asisten:
Tabele standard sau specifice
ntreprinderii de acceptabilitate a riscului

Decizia dac riscul este


acceptabil

Figura 6: Procesul de analiz a riscului, i ajutorul i asistena MEHARI

Concepte i mecanisme

34

10 februarie 2008

Merit menionat faptul c procedurile automatizate menionate mai sus sunt opionale pentru fiecare pas.
Practic, asta nseamn c rezultatele generate de ele ar trebui considerate ntotdeauna ca propuneri, i s
fie validate nainte de a fi acceptate i aplicate n organizaie.

4.6 Sumar al abordrii analiza riscului


n sumar:
situaie de risc poate fi caracterizat de ctre potenialitatea sa intrinsec i de impact, n absena
oricror msuri de securitate.
Potenialitatea intrinsec i impactul pot fi evaluate.
Msurile de securitate pot reduce riscul intrinsec prin factori semnificativi de reducere a riscului.
Factorii de reducere a riscului pot, ei nii, s fie evaluai.
Pe aceast baz, este posibil s evalum potenialitatea real, impactul rezidual, caracteristici
riscului, i s deducem un indicator al gravitii riscului.
MEHARI ofer unelte pentru a asista pe parcursul acestui proces de analiz i evaluare.

Concepte i mecanisme

35

10 februarie 2008

5 Identificarea situaiilor de risc


Capitolul anterior a tratat analiza unei anumite situaii de risc. Identificarea acelor situaii de risc care
trebuiesc analizate reprezint evident un stagiu anterior important pentru care uneltele sunt cheia.
Exist dou modaliti principale de identificare a riscului:
abordare direct, care folosete scara de valori a defeciunilor,
abordare organizat i sistematic cu o evaluare automatizat care folosete baza de scenarii
oferit de MEHARI.

5.1 Abordarea direct care folosete scara de valori a defeciunilor


Fiecrui tip de defeciune, identificat n timpul unei analize de securitate a mizelor i trecut n scara de
valori a defeciunilor, i corespunde un set de scenarii care au fost identificate prin cutarea cauzelor
posibile pentru defeciune, sau prin originile sale posibile (vezi explicaia din subseciunea Scenarii de
risc).
Este, astfel, uor s se construiasc o baz a scenariilor de risc ca rezultat al scrii de valori a
defeciunilor.
Toate scenariile cu un nivel nalt al consecinelor (nivelul 3 sau 4) ar trebui s fie considerate ca fiind
critice i examinate mai n detaliu.

5.2 Identificarea sistematic folosind baza de cunotine


MEHARI ofer de asemenea asisten n identificarea sistematic a situaiilor de risc.
Identificarea sistematic va folosi baza de cunotine MEHARI a scenariilor de risc i procedurile
automatizate descrise deja n capitolul anterior. Acest lucru se bazeaz pe:
analiz preliminar a mizelor de securitate, ntruchipat de o scar de valori a defeciunilor i
clasificarea bunurilor primare i secundare.
Un audit de securitate.
Procedurile automatizate sunt folosite pentru a evidenia acele scenarii care ar putea avea o gravitate
inacceptabil (de obicei 3 i mai mult) folosind tabelul de acceptabilitate a riscului.
Din baza de scenarii specific i evaluarea automatizat a gravitii lor, este uor s se selecteze scenariile
critice. Asta nseamn acele scenarii care trebuiesc analizate folosind o abordare de analiz a riscului
precum s-a descris n capitolul anterior.
NOT: Ar fi nelept s se ia n considerare, pentru aceast selecie automat, un tabel al acceptabilitii
care este relativ sever. Acest tabel poate fi diferit atunci cnd este folosit pentru a identifica scenarii
critice fa de cel folosit pentru identificarea gravitii finale i totale a situaiei de risc. Luai n
considerare tabelul (relativ sever) artat mai jos:

Concepte i mecanisme

36

10 februarie 2008

I=4 S = 3

S=3

S=4

S=4

I=3 S = 2

S=3

S=3

S=4

I=2 S = l

S=2

S=3

S=3

I=1 S = l

S=l

S=l

S=3

P=1

P=2

P=3

P=4

Funcia gravitii (S) Potenialitii (P) i a Impactului (I)

5.3 Cele dou abordri sunt complementare


n mod clar, cele dou modaliti de identificare a situaiilor de risc critice (selecia direct, folosind scara
de valori a defeciunilor, i identificarea automat, folosind bazele de cunotine) ncep cu puncte de
vedere diferite i vor evidenia, inevitabil, scenarii diferite.
Prima abordare va evidenia scenariile care sunt cel mai aproape de activitile de baz ale organizaiei i
de problemele managerului, astfel nct s fie mai relevante pentru utilizatori. A doua abordare este mai
detaliat, dei mai generic, i va scoate la iveal n plus acele scenarii care au un impact mai slab dar o
potenialitate mai mare care ar fi putut trece altfel nevzute n folosirea unei abordri directe.
Cele dou abordri sunt complementare i ar trebui derulate simultan.

Concepte i mecanisme

37

10 februarie 2008

6 Utilizarea modulelor Mehari


Modulele MEHARI pot fi aplicate ntr-o mare varietate de moduri. La fel, exist multe abordri de
management al securitii diferite care pot beneficia de MEHARI i bazele sale de cunotine. Nu exist,
astfel, motive pentru a impune o utilizare standard a modulelor.
Acest capitol intete s ilustreze valoarea adugat a MEHARI n managementul securitii, prin trei
abordri structurate pe care cei care le-au conceput au avut ocazia s le implementeze, i care i-au
dovedit eficacitatea.

6.1 Planuri de securitate pe baz de analiza riscului


n general, planurile de securitate sunt create pentru a defini, desfura i implementa sau consolida
servicii de securitate.
Aceast subseciune va descrie planuri care sunt create folosind o analiz a riscului organizat i
metodic.
nainte de a merge mai departe, ar prea util s se fac distincia ntre dou niveluri diferite de decizie:
Mai nti, un nivel central de decizie, care asigur consecvena aciunilor i faptul c sunt potrivite
pentru mizele colective ale organizaiei.
Un al doilea nivel este cel al unitilor autonome, care iau decizii locale necesare pentru securitate.
Aceasta este o situaie clasic pentru organizaiile mari, dar devine mai comun, pentru
organizaiile mprite n Uniti de Afaceri separate, fiecare responsabil pentru propriile
rezultate.
Deciziile la primul nivel sunt strategice, n timp ce cele de la al doilea nivel sunt de natur operaional.
Un alt mod de a distinge ntre aspectele strategice i operaionale este de a lua n considerare caracterul pe
termen lung sau scurt al deciziilor.
Nivelul strategic privete deciziile pe termen lung, cele care sunt asociate cu funciile de baz ale
organizaiei i sunt independente de procesele sau tehnologia care este implementat.
Nivelul operaional se ocup cu deciziile de zi cu zi care pot fi schimbate ca funcie a proceselor
sau tehnologiei care evolueaz.
Nivelul strategic asigur consecvena deciziilor n timp accentund importana deciziilor care au un
impact pe termen lung.
NOT:
Distincia ntre deciziile strategice i cele operaionale poate fi neadecvat sau inaplicabil pentru anumite
situaii.
O astfel de distincie este, totui, adecvat pentru viziunea organizaiilor mari cu multe uniti separate.
Ea poate fi de asemenea adecvat pentru aciunile pe termen lung. Este, totui, util s facem aceast
distincie din motive de consecven sau cicluri de planificare.
Pentru aciunile selectate sau limitate, distincia oficial dintre deciziile strategice i operaionale poate
aduce o complexitate mai mare, i ar trebui deci ignorat.
Totui, indiferent de stilul de management sau abordare, este logic s distingem ntre principiile
fundamentale care conduc aciunile pe termen lung din planurile operaionale pe termen scurt.

Concepte i mecanisme

38

10 februarie 2008

6.1.1 Abordarea la nivel strategic: identificarea elementelor permanente i


independente ale planurilor de securitate operaionale
Scopurile nivelului strategic sunt:
S defineasc scopurile de securitate care vor ghida managerii care iau deciziile privind
managementul riscului,
S identifice tipurile de soluii care ar trebui implementate ca o prioritate.
Ea reprezint deci o perspectiv global, strategic care rspunde la dou nevoi diferite:
S implice managementul sau unitatea de top al companiei n selecia obiectivelor de securitate.
Acest lucru implic acceptarea de ctre ei a unui anumit numr de riscuri i adoptarea uneltelor de
management adecvate pentru nivelul lor.
S ofere managerilor de securitate, i managementului n general, elemente adecvate pentru a
menine consecvena n deciziile operaionale care sunt luate.
Exist trei componente principale la acest nivel, care pot constitui trei pai separai atunci cnd se creeaz
un plan strategic:
Crearea sau validarea formal a unei politici de securitate a corporaiei.
Fixarea elurilor de securitate i convenirea asupra parametrilor de msurare a riscului.
Crearea sau validarea formal a unei carte de management al securitii a corporaiei.
Coninutul acestor elemente diferite va fi descris mai jos. Observai c aceste elemente pot fi considerate
ca fiind independente de planurile operaionale, dat fiind faptul c, pentru aciuni care sunt limitate n
timp sau spaiu, anumite aspecte pot fi considerate de prisos, i pot fi ignorate.

6.1.1.1 Politica de securitate


Politica de securitate dicteaz orientrile generale de securitate ale organizaiei.
Este un document de baz important care ar trebui distribuit ctre ntreg personalul. Ar trebui, deci, s fie
independent n totalitate de orice metod sau tehnologie de lucru profesional.
Crearea unei politici de securitate nu face ntotdeauna parte din crearea planurilor de securitate. ntradevr, este preferabil ca acest document s fie creat cu ceva timp nainte. Totui, dac acesta nu exist,
crearea sa este recomandat viguros dac organizaia este dedicat unui management al securitii bazat
pe o analiz a riscului global i sustenabil.
Politica de securitate ar trebui s acopere patru domenii principale:
Structura organizaional general, i mai ales, structurile care sunt implicate n managementul
securitii:
o Roluri i funcii ale managerilor de securitate n diferitele uniti (funcie central, funcie
local, corespondeni de securitate locali, etc.).
o Roluri i responsabiliti ale managerilor de operaiuni i ierarhia lor.
o Responsabilitatea individual a fiecrui membru al personalului.
o Structura consiliului de experi ai organizaiei (fie acesta formal sau nu) i modul n care
este mprtit expertiza.
Elementele de baz ale unei culturi de securitate a ntreprinderii:
o Declararea unui numr de principii de baz care ar trebui s fie comune pentru toate
departamentele. Printre aceste principii comune, urmtoarele ar putea fi exemple:
! Nevoia de a aciona ca funcie a sensibilitii informaiei i a bunurilor; i astfel
nevoia de a defini o clasificare a acestora.
Concepte i mecanisme

39

10 februarie 2008

!
!
!
!

Identificarea i rolul proprietarilor informaiei sau a bunurilor,


Condiiile n care sunt acordate drepturile i privilegiile,
Principiul dup care poate fi auditat fiecare aciune,
Posibilitatea de a monitoriza munca fiecrui manager, i drepturile i obligaiile
managementului lor n acest domeniu.
Aceast list nu este exhaustiv i toate principiile care contribuie la asigurarea consecvenei
comportamentului tuturor celor din cadrul organizaiei implicai n securitate constituie subiectul acestui
capitol.
o Schema general de clasificare comun folosit pentru toate prile organizaiei: niveluri
de clasificare, criterii de clasificare, definiii generale ale nivelurilor de sensibilitate, etc.
o Obligaia de a atrage atenia i de a educa personalul n elemente de securitate i elemente
cheie care asigur faptul c un astfel de training mprtete principii comune.
Elemente federaionale care asigur consecvena soluiilor care sunt implementate. n considerarea
soluiilor tehnice de securitate implementate, ar trebui luate n considerare n mod deosebit dou
puncte:
o Securitatea acelor elemente care sunt, prin natura lor, comune, precum reeaua global a
ntreprinderii i anumite infrastructuri care trebuiesc mprtite.
o Alegerea elementelor de arhitectur a securitii care mping organizaia ntr-o anumit
direcie pentru structurarea soluiilor, i care prin natura lor au o influen strategic
important asupra capacitii viitoare de evoluie a sistemelor informaionale.
Aceste dou elemente reprezint mize ridicate pentru fiecare dintre departamente i pentru
ntreaga organizaie sau ntreprindere. De aceea este foarte important s se defineasc n politica
de securitate:
o Modul n care aciunile din acest domeniu sunt ndeplinite,
o Cine ia iniiativa pentru ele, i cine asigur coordonarea,
o Cine are ultimul cuvnt n deciziile care angajeaz organizaia la o anumit direcie?
n afar de aceste dou aspecte specifice, toate acele principii care contribuie la asigurarea consecvenei
deciziilor tehnice privind securitatea global a organizaiei fac obiectul acestui capitol.
Moduri i mijloace pentru asigurarea managementului operaional al securitii.
o Alegerea metodelor de management al securitii,
o Uneltele de audit al securitii, mijloace i structur n cadrul organizaiei,
o Structura de monitorizare a securitii i crearea sistemelor de msurare la nivel de
departament ct i de corporaie.

6.1.1.2 Obiective de securitate i armonizarea parametrilor de msurare a riscului


n managementul prin analiza riscului, decizia de a accepta sau refuza o situaie de risc reprezint o
aciune de management esenial. Scopurile de securitate sunt formate din criterii care definesc dac un
risc este acceptabil sau nu.
MEHARI, fr ndoial cea mai avansat abordare pentru managementul riscului, sugereaz folosirea
unui tabel al acceptabilitii (vezi gravitatea rezultant a unei situaii de risc). Un astfel de tabel ar trebui
definit n acest stadiu al utilizrii abordrii.
n ceea ce privete msurarea, crearea acestui tabel va permite conversia evalurii celor doi parametri,
potenialitate i impact, ntr-o singur msurare, i anume gravitatea unui risc.
n orice caz, pentru asigurarea consecvenei folosind procedurile automatizate MEHARI n diferite uniti
ale afacerii n timp, trebuie fixai anumii parametri folosii de ctre aceste proceduri. Aceti parametri
sunt descrii n Ghidul MEHARI de analiz a riscului.

Concepte i mecanisme

40

10 februarie 2008

6.1.1.3 Carta managementului


Carta managementului trateaz aspecte ale politicii de securitate privind relaia dintre organizaie i
angajaii si. Ea este separat de politica de securitate n sine, deseori, exist aspecte care nu sunt pentru
distribuia ctre ntregul personal.
n general, ar trebui tratate drepturile i obligaiile personalului, dar i cele ale ntreprinderii.
Sanciunile, i modul n care acestea sunt clasificate, ar trebui definite clar.
Felul de puncte care ar trebui acoperite este:
Capacitatea de urmrire a aciunilor individuale, i capacitatea de a atribui aciuni,
Posibilitatea de a monitoriza activitatea n timp real,
Posibilitile pentru proceduri de audit i de control,
Obligaiile i responsabilitile personalului,
Sanciunile care sunt aplicabile atunci cnd exist o nclcare a eticii companiei,
Posibilitile, i limitele investigaiilor n cazul anomaliilor sau incidentelor,
Etc.
Este important, de la acest nivel strategic, ca regulile pe care ntreprinderea sau organizaia le va urma i
aplica, s fie definite corespunztor pentru personal.
Anumite msuri, mai ales cele care trateaz disuasiunea, sunt eficiente doar dac organizaia are o politic
clar i se asigur c aceasta este aplicat ferm, i astfel aplic sanciunile n caz c se ncalc procedura.
Dac resursele umane sau managementul general nu sunt hotri s aplice o politic riguroas, s urmeze
investigaiile necesare atunci cnd au loc anomalii sau incidente, nu instig n organizaie procedurile de
control i audit privind toate aciunile fcute de personal, este mai bine s se tie imediat pentru a nu baza
o strategie pe principii care nu vor fi urmate niciodat.
n orice caz, managerii care vor trebui s ia decizii privind managementul riscului vor trebui s tie ce s
fac.
NOT:
Acest tip de document poate fi greu de creat i sensibil la comunicare. Deci crearea sa formal nu
reprezint ntotdeauna regula. Totui, n spiritul MEHARI, acest pas, condus de ctre CISO sau un
consultant pare esenial.

6.1.2 Crearea planurilor operaionale de securitate


La nivelul de plan operaional, abordarea este mai preocupat de specificaiile funcionale ale soluiilor
care ar trebui implementate, i de planificarea unor astfel de soluii.
Acest proces este derulat intern ctre o entitate cu putere de decizie i rezultate independente ntr-un plan,
cunoscut n MEHARI ca plan operaional.
Scopurile sale sunt:
S ofere o analiz precis a riscurilor implicate,
S ofere o specificaie detaliat a soluiilor i msurilor de securitate care trebuiesc implementate,
S planifice mbuntirile necesare n timp.
Concepte i mecanisme

41

10 februarie 2008

Abordarea este n principal responsabilitatea CISO sau a managerilor de risc (care ar putea fi manageri de
operaiuni), sau a ambilor.
Sunt cinci pai principali n crearea unui plan operaional:
Analiza mizelor i clasificarea informaiilor i a bunurilor sistemului informaional,
recenzie a vulnerabilitii securitii,
Identificarea i evaluarea riscurilor poteniale pentru entitate,
Exprimarea necesitilor pentru mbuntirea securitii,
Crearea unui plan de aciune pentru securitate.

6.1.2.1 Analiza mizelor i clasificarea


Abordarea MEHARI este descris n detaliu n Ghidul MEHARI de analiz
i de clasificare a mizelor i face distincia ntre:
Scara de valori a defeciunilor,
Clasificarea informaiei i a bunurilor sistemelor informaionale,
Crearea tabelului impactului intrinsec folosit de baza de cunotine a scenariilor de risc.
Trebuie menionat c, pentru managementul pe baz de analiza riscului, scara de valori a defeciunilor
este obligatorie, n timp ce pasul clasificrii formale este opional. Este suficient s se foloseasc scara de
valori pentru a evalua impactul intrinsec pentru fiecare scenariu de risc analizat. n practic, MEHARI
sugereaz ca evaluarea impactului intrinsec s fie sistematizat prin utilizarea tabelului impactului
intrinsec. Acest lucru fiind folosit mai trziu de ctre procedurile automatizate oferite de MEHARI.
NOT: Analiza mizelor poate fi considerat ca fiind parte din abordarea strategic, deoarece de obicei
rmne valabil pentru o perioad de timp mai lung.

6.1.2.2 Recenzia vulnerabilitii, sau auditul de securitate


Acesta este auditul de securitate care a fost descris n Evaluarea strii serviciilor de securitate. Termenul
audit de securitate este folosit adesea, dei deseori el nu este mai mult dect o recenzie. Merit
observat aici diferena dintre o recenzie care folosete chestionare i un audit adevrat care verific dac
politicile i regulile sunt aplicate eficient.

6.1.2.3 Identificarea i evaluarea riscului


Acest lucru privete identificarea situaiilor de risc, aa cum se descrie n Identificarea situaiilor de risc,
i evaluarea lor cantitativ, aa cum se descrie n Analizarea situaiilor de risc.
Acest pas rezult ntr-un set de situaii de risc care pot fi considerate inadmisibile, i care trebuiesc reduse
la un nivel acceptabil printr-un plan de aciune.

6.1.2.4 Exprimarea necesitilor de mbuntire n securitate


Acest pas este specific acestui tip de management, deoarece privete efectiv analiza unui set de situaii de
risc care ar trebui tratate global.
nainte de a crea un plan de aciune real, exist nevoia de a defini ce se cere de la serviciile de securitate
care pot transforma situaiile de risc inadmisibile n unele tolerabile.
n cazul obinuit, unde analiza riscului i recenzia vulnerabilitii au fost realizate cu ajutorul unui
profesionist n securitate, CISO sau consultantul extern, nu prea exist nevoia unei metodologii adiionale
Concepte i mecanisme

42

10 februarie 2008

sau a uneltelor specifice pentru a exprima aceste nevoi:


Analiza, pentru fiecare situaie de risc, a tipurilor de msuri care sunt deja folosite i o evaluare a
eficacitii lor va da o idee imediat asupra msurilor adiionale necesare pentru a reduce nivelul
de risc.
Recenzia vulnerabilitii sau auditul de securitate ofer adiional o idee clar asupra problemelor
majore care trebuiesc rezolvate, independent de orice analiz a riscului.
comparaie a strii securitii, aa cum a fost evaluat prin auditul de securitate, i politica de
securitate va rezulta n identificarea nevoilor specifice.
MEHARI ofer, printre alte unelte, un algoritm pentru selectarea msurilor de securitate. Acest lucru este
descris n Ghidul MEHARI de analiz a riscului.

6.1.2.5 Luarea n considerare a msurilor generale sau organizaionale


Capitolul Evaluarea strii serviciilor de securitate a pus n discuie msuri generale care nu au nici un
efect direct asupra scenariilor de risc.
Totui, orice slbiciune, detectat n msurile generale, trebuie acoperit n timpul crerii planurilor
operaionale. Aceste msuri, dei pot s nu aib nici un efect direct asupra scenariilor de risc, pot fi
indispensabile n motivarea personalului i n determinarea lor pentru a adopta scopurile de securitate ale
organizaiei.
Cel mai adesea, acest lucru necesit doar bun sim. Asistena unui profesionist n securitate va fi de obicei
destul pentru a se asigura c punctele cele mai importante sunt acoperite.

6.1.2.6 Crearea unui plan de securitate operaional


Aa cum spune n definiia nevoilor de securitate, rareori exist nevoia pentru orice unelte specifice sau
metodologie pentru a construi un plan de securitate din necesitile exprimate.
Experiena ar recomanda, totui, c este mai bine ca un prim pas s se grupeze msurile n jurul
proiectelor cu aceeai tem (securitatea logic, planificarea de rezerv, etc.), sau n sub-proiectele mai
specifice (n planificarea de rezerv exist realizarea rezervelor, refacerea dup rezerve, planificarea
continuitii misiunii, etc.). Sub-proiectelor ar trebui atunci s li se aloce un nivel de prioritate, lund n
considerare impactul lor asupra gravitii scenariilor i poteniala dificultate de implementare (dat fiind c
unele proiecte impun constrngeri asupra altora).

6.1.3 Consolidarea planurilor operaionale din diferite departamente independente


Aceast faz, care se desfoar pe toat ntreprinderea, asigur consolidarea i consecvena planurilor
operaionale din diferitele departamente independente i ofer un cadru pentru arbitrare, dac este
necesar.
Acest lucru poate reprezenta i o ocazie de a re-echilibra diferite departamente, dac grupul responsabil
pentru consolidare are acest mandat.
Figura de mai jos ilustreaz abordarea general.

Concepte i mecanisme

43

10 februarie 2008

Decizia de a crea
planuri de aciune pe
baz de analiza
riscului

Politica de securitate
eluri de securitate
Carta de management

Parametrii de msurare a
riscului

Recenzia vulnerabilitii
sistemului informaional

Mize ale defeciunii:


Scara de valori

Identificarea resurselor
critice i clasificare

Analiza riscului:
Selectarea scenariilor de
risc
Evaluarea riscului

Exprimarea cerinelor de
securitate

Consolidarea nevoilor:
Proiecte i planificare
Planuri operaionale
ale entitii
Consolidarea planurilor
entitilor i arbitrarea
Planuri operaionale
ale corporaiei

Figura 7: Crearea planurilor de securitate pe baz de analiza riscului


Concepte i mecanisme

44

10 februarie 2008

6.2 Planuri de securitate pe baza unui audit


O abordare relativ obinuit este de a crea planuri de securitate direct ca rezultat al unui audit de
securitate, sau dup o recenzie a vulnerabilitii.
Multe persoane, care au folosit n trecut metodologia Marion, au aplicat pur i simplu pasul 3 al acelei
metodologii: un plan de aciune pe baza unui audit.
n funcie de circumstane, aceast abordare poate fi practic, iar MEHARI ofer mijloacele pentru
aceasta.

6.2.1 Procesul pentru crearea planurilor de securitate pe baza unui audit


Procesul pentru derularea unui audit este extrem de simplu: cuprinde o recenzie a vulnerabilitii i
planurile de aciune care rezult pentru mbuntirea acelor servicii care nu au un nivel al calitii
suficient de ridicat.
Decizia de a crea planuri
de aciune pe baza
rezultatelor auditului
Recenzia vulnerabilitii
Identificarea serviciilor insuficiente

Selectarea msurilor care trebuiesc


mbuntite
Definirea soluiilor

Plan de aciune al
securitii

Figura 8: Administrarea securitii printr-un audit

6.2.2 Chestionarul de audit i evaluarea ntrebrilor


Trebuiesc puse n discuie dou puncte privind chestionarul folosit n timpul unui audit:
Poate un chestionar care este specific pentru aceast abordare s fie acelai cu cel folosit n timpul
analizei riscului?
Poate, i ar trebui, evaluarea rspunsurilor s fie la fel?
Concepte i mecanisme

45

10 februarie 2008

Nu exist un rspuns universal la aceste ntrebri, iar rspunsurile lor vor depinde de ct de matur este
organizaia n ceea ce privete securitatea.
Dac organizaia se afl doar n stadiul de prime reflecii asupra securitii sistemului informaional, o
evaluare uoar ar trebui s fie suficient. Totui, dac a existat deja de ceva timp o abordare serioas
pentru securitatea sistemului informaional, un audit mai detaliat ar fi mai indicat. Primul caz va ncerca
s identifice cele mai evidente slbiciuni i s le corecteze n timp ce mrete vigilena managementului i
s accepte faptul c anumite slbiciuni vor rmne. n cel de-al doilea caz, totui, se va crea un plan
complet pentru a avea o acoperire omogen care s ofere un nivel al securitii satisfctor.

6.2.2.1 Politicile de referin n securitate i notarea pentru un audit de evaluare


uoar
Termenul de politici de referin n securitate se refer n general la setul de reguli care vor fi verificate
n timpul unui audit. n acest caz, include setul de ntrebri care vor fi adresate.
ntr-un audit de evaluare uoar, nu se intenioneaz s se adreseze ntrebri mai profunde, ci s se caute o
evaluare general a strii securitii i principala sa slbiciune.
Foarte des, doar funciile de baz vor fi analizate, fr a cuta s se verifice robusteea sau permanena
soluiilor care sunt implementate.
Evaluarea uoar folosete un chestionar specific care caut s identifice care domenii de securitate sunt
acoperite n prezent i care nu.
Cu acest lucru n minte, evaluarea ntrebrilor este simpl i nu exist nici un motiv pentru a introduce un
sistem mai bun de evaluare precum cel folosit de recenzia MEHARI a vulnerabilitii.
ntrebrile vor fi notate doar de ctre un sistem de evaluare simplu.

6.2.2.2 Politicile de referin n securitate i notarea pentru un audit detaliat


Spre deosebire de evaluarea uoar, un audit detaliat caut s verifice toate aspectele serviciilor de
securitate (eficacitate, robustee i permanen). Este deci aceeai abordare din punct de vedere global
precum cea necesar pentru o analiz a riscului. Pot fi folosite aceleai chestionare i acelai sistem de
evaluare ca pentru analiza riscului.
Totui, deoarece auditul nu are aceeai poziie n cele dou abordri generale, sunt necesare cteva puncte
de clarificare.
ntr-o analiz a riscului, dup recenzia vulnerabilitii, exist un stadiu de analiz unde realitatea recenziei
poate fi pus sub semnul ntrebrii, fie de tehnicieni sau de utilizatori. Recenzia poate fi contrabalansat
de ctre analiza riscului.
Auditul, ntr-o abordare de analiz a riscului, poate fi bazat pe rspunsuri la ntrebri, fr nevoia de a
verifica adevrul rspunsurilor date.
Cu o abordare a managementului bazat doar pe audit, lucrurile nu stau la fel. Nici un stadiu nu permite
ca rezultatul s fie contestat. Rspunsurile trebuie deci s fie verificate, pentru a asigura un rezultat viabil.
Acest lucru nu era important n cazul evalurii uoare, dar este un element cheie pentru un plan de
securitate pe baz de audit.
De aceea este important s se termine o recenzie a vulnerabilitii de ctre un audit al practicilor reale
Concepte i mecanisme

46

10 februarie 2008

ale profesionitilor n securitate i ale utilizatorilor.

6.2.3 Pragul de acceptabilitate al calitii serviciului de securitate


Tot aa cum trebuie luat o decizie privind riscurile inacceptabile n timpul analizei riscului, trebuie, n
aceast abordare de management, luat o decizie privind pragul sub care calitatea serviciului de securitate
este considerat inacceptabil.
Deciderea asupra nivelului acestui prag va depinde, din nou, de maturitatea organizaiei.
n timpul unei evaluri uoare, nu are nici un sens s fim deosebit de ambiioi. Scopul ei este doar s
corecteze acele slbiciuni care sunt cel mai evidente. Pragul calitii serviciului poate deci s fie relativ
sczut (ntre 2 i 2.5).
Pentru un audit detaliat, i pentru administrarea securitii pe baz de audit, ar prea mai bine i mai
adecvat s se aleag un prag mai ridicat (3, de exemplu).

6.2.4 Crearea planurilor de aciune


Crearea planurilor de aciune este deosebit de simpl cu aceast abordare, deoarece ea este un rezultat
direct al recenziei nsei.
Simpla analizare a motivului pentru care un serviciu nu a avut o not satisfctoare, cu alte cuvinte acele
ntrebri cu un rspuns negativ vor oferi o alegere a aciunilor.
Aa cum s-a explicat deja pentru planurile de securitate de ctre entitate pe baza analizei riscului, este de
cele mai multe ori mai bine s se grupeze diferitele msuri asupra crora s-a luat o hotrre n proiecte
consecvente (securitate logic, planuri de rezerv, i aa mai departe), sau chiar n sub-proiecte specifice.
Apoi, pot fi alocate acestor proiecte prioritile corespunztoare, incluznd poate constrngerile
implementrii.

6.2.5 Luarea n considerare a mizelor


Este clar cu aceast abordare c procesul de baz nu prevede explicit includerea mizelor de securitate
atunci cnd se iau decizii, ci doar valorile vulnerabilitii.
n practic, mizele sunt deseori incluse informal n timpul crerii planurilor de aciune de ctre experii n
securitate care particip la acest pas. Pertinena planurilor de aciune va depinde de aprecierea de ctre
ele a mizelor, sau de modul n care au fost capabile s le evalueze.
n mod clar, includerea unui pas pentru crearea scrii de valori i clasificare poate mbunti serios
pertinena planurilor de aciune de securitate pe baz de audit.
Abordarea corespunztoare este rezumat n figura de mai jos:

Concepte i mecanisme

47

10 februarie 2008

Decizia de a crea
planuri de aciune pe
baza unui audit

Recenzia vulnerabilitii
Detectarea nivelurilor insuficiente

2
Mizele defeciunilor:
Scara de valori

Selectarea msurilor care vor fi


mbuntite
Definirea soluiilor

Planul de aciune
al securitii

Domeniul
managementului

Domeniul tehnic

Figura 9: Managementul securitii prin audit i mize

6.3 Securitatea proiectelor de dezvoltare


Pn acum, acest document a discutat diferite metode de management care pot fi folosite pentru a crea
planuri de aciune generale.
Aici va fi discutat problema managementului securitii ntr-un proiect specific, i nu un plan de
securitate global (sau operaional).
Abordarea general folosit pentru un plan pe baz de analiz a riscului va fi reutilizat, dar cu nevoi de
adaptare evidente.
Concepte i mecanisme

48

10 februarie 2008

6.3.1 Abordarea managementului securitii pe baz de proiect


O privire general a abordrii este ilustrat n figura de mai jos:

Decizia de a
revizui
proiectul

Mizele defeciunii:
Scara de valori

Analiza principalelor riscuri:


Alegerea scenariilor de risc
Evaluarea riscului

Exprimarea cerinelor de
securitate prin activitate
4

Planul de
aciune al
proiectului

Consolidarea cerinelor proiectului:


Propuneri de planuri prin entitate

Planul
operaional prin
entitate

Domeniul
proiectului

Domeniul infrastructurii
generale
Figura 10: Managementul securitii proiectului

6.3.2 Niveluri strategice i operaionale


Nu se face nici o distincie ntre aceste dou niveluri.
Concepte i mecanisme

49

10 februarie 2008

Este evident de dorit ca elementele strategice s fie definite independent de orice proiect. Acest lucru nu
poate dect s faciliteze sarcinile liderilor de proiect, dar acest pas nu face parte din managementul
securitii proiectului.
n plus, aceste elemente nu mai au acelai nivel al nevoii. Este posibil s se foloseasc o metod de
analiz a riscului ntr-un proiect fr ca elementele strategice s fie definite n prealabil. Acest lucru ar fi
n detrimentul consecvenei dintre proiecte, dar ar putea fi considerat secundar n comparaie cu
provocarea de a se asigura c liderii de proiect i asum o analiz a riscului pentru proiectele lor i
hotrsc, ca rezultat, planuri de aciune pe care le vor integra n planurile lor de proiect.

6.3.3 Nivelul standard al serviciilor de securitate


Nivelul serviciului de securitate care va fi luat n considerare n timpul analizei riscului nu rezult dintrun audit formal al securitii. Acest lucru se ntmpl din simplul motiv c proiectul nu este nc
implementat i evident, la evaluarea iniial, multe puncte nu ar fi nc decise.
Foarte des, nivelurile standard ale serviciului de securitate, aa cum este definit de ctre politicile de
referin ale securitii, vor fi incluse n analiza riscului a proiectului.
n absena standardelor definite global, analiza ar considera nivelurile serviciului de calitate ca fiind foarte
mici, cu presupunerea c nu trebuie decis nimic la nceput. n acest fel, abordarea va conduce la crearea
unei descrieri a muncii care va fi efectuat pentru a rspunde planurilor de aciune care rezult din analiza
riscului.

6.3.4 Analiza mizelor i scara de valori a defeciunilor


Va fi folosit un proces de evaluare general a mizelor i va fi creat o scar de valori a defeciunilor
specific proiectului. Totui, nu este neaprat obligatoriu s se deduc o clasificare.

6.3.5 Analiza riscurilor majore


Va fi aplicat o abordare de analiz a riscurilor unui set de scenarii de risc care sunt direct definite de
ctre liderii de proiect, ca rezultat al scrii de valori a defeciunilor.
Va fi folosit o abordare direct, fr a folosi procedurile automatizate, i se va concentra asupra
riscurilor majore.

6.3.6 Crearea planurilor de aciune


Cerinele de securitate vor fi deduse n final din analiza precedent a riscurilor. Acestea vor fi deci:
Direct integrate n specificaiile proiectului, pentru partea specific care poate fi decis la acest
nivel,
Distribuite ctre managerii infrastructurii generale, pentru ca acetia s le poat integra n
planurile lor i n planurile entitilor concentrate (sau prezentate pentru arbitrare).

6.3.7 Execuia global a abordrii


Global, abordarea este mult mai simpl dect cea care corespunde crerii planurilor de securitate pentru o
entitate sau activitate.

Concepte i mecanisme

50

10 februarie 2008

7 Recenzia principalelor mbuntiri n comparaie cu versiunile


anterioare ale mehari
MEHARI 2007 aduce mbuntiri n comparaie cu versiunile anterioare n dou domenii principale:
Crearea tabelului impactului intrinsec,
Asigurarea, dup un audit MEHARI, unui raport asupra strii securitii ntr-un format folosind
punctele de control ISO/IEC 17799:2005.
n aceast nou versiune a bazei de cunotine sunt incluse mai multe mbuntiri detaliate.

7.1 Crearea tabelului impactului intrinsec


Pentru a ajuta utilizatorii n crearea unui astfel de tabel, MEHARI 2007 include un proces extrem de
detaliat
Acest proces include:
Descrierea tabelelor care vor fi completate n timpul analizei mizelor de securitate i clasificrii
bunurilor,
Indicaii pentru a asista n mutarea de la aceste tabele la tabelul impactului intrinsec.

7.2 Msurile de conformare ISO 17799 dup un audit MEHARI


MEHARI i ISO 17799:2005 au scopuri diferite (vezi documentul Privirea general MEHARI).
Totui, exist o cerin pentru a obine msurile de conformare de securitate ISO 17799 (cu punctele de
control pentru entitate) ca rezultat al unui studiu MEHARI al vulnerabilitii.
MEHARI ofer aceast msurare prin chestionare exhaustive care permit cartografierea punctelor de
control cerute de ctre Standard.
Tabelele de coresponden3, oferite n baza de cunotine, au fost rafinate pentru a lua n considerare
cerinele ISO 17799:2005, repetate de ISO 27001. Anumite ntrebri au fost introduse n mod special cu
acest scop n chestionarele de audit MEHARI.

7.3 Amintirea mbuntirilor anterioare ale lui MEHARI


7.3.1 Evaluarea expunerii naturale
Cu MEHARI, expunerea natural poate fi vzut ca o potenialitate intrinsec, sau potenialitatea care
ar fi obinut fr orice msur disuasiv sau preventiv. Este cu siguran un mod bun de a te gndi la
expunere. Nu schimb nimic n aparen, dar este o dimensiune mai uor de neles i de estimat.
Avnd acest lucru n minte, este clar c, chiar i fr orice msuri structurale, nu toate scenariile au
aceeai potenialitate

Potenialitatea intrinsec a unui atac terorist poate fi considerat ca fiind mic pentru majoritatea
organizaiilor.

RISCARE produce automat raporturi de audit

Concepte i mecanisme

51

10 februarie 2008

Cea a unei erori de introducere a datelor, totui, este fr ndoial destul de mare.

Definiia expunerii naturale


Expunerea natural este o msurare a potenialitii intrinsece n lipsa oricrei msuri disuasive sau
preventive.
n astfel de condiii, aa cum este explicat n Ghidul MEHARI de analiz a riscului, evaluarea
expunerii naturale poate fi fcut prin evaluarea direct, fr chestionar, a potenialitii intrinsece a unui
anumit numr de evenimente caracteristice. Acest lucru permite calcularea direct a valorilor STATUSEXPO pentru scenarii.
NOT: Este important de reinut c expunerea natural ar trebui (re)evaluat la fiecare audit (de ex.:
lund n considerare vrsta i creterea n numr de sisteme, schimbrile la expunere inundaii mai
frecvente etc.).
Evaluarea expunerii naturale:
Principiile metodei permit s se evalueze expunerea natural ca potenialitate intrinsec a unui anumit
numr de evenimente caracteristice.
Un tabel ajuttor pentru aceast evaluare este oferit n Anexa 1 al Ghidului MEHARI de analiz a
riscului.
Acest tabel este completat, prin lips, cu valori mici care sunt valabile pentru majoritatea organizaiilor.
n acest mod, dac tabelul nu este reevaluat, valorile folosite pentru expunerea natural vor fi mai mult
sau mai puin n conformitate cu situaia standard a majoritii organizaiilor.

7.3.2 Introducerea ideii impactului intrinsec pentru scenariile de risc i calculele


corespunztoare

7.3.2.1 Noiunea de impact intrinsec


Modelul de risc MEHARI a fcut ntotdeauna referin implicit la impactul maximal, deoarece un
indicator de reducere a impactului (STATUS-RI) este evaluat. Totui, evaluarea impactului intrinsec nu
fusese inclus n analiza riscului.
Impactul intrinsec n MEHARI
Impactul intrinsec al unui scenariu de risc reprezint o evaluarea maximal a consecinelor unui risc, fr
nici o msur de securitate.
Evaluarea impactului intrinsec poate fi dedus din o scar de valori a defeciunilor (care ar putea conduce
la clasificare), sau obinut direct. Acesta este un pas formal n analiza riscului.

7.3.2.2 Referin la impactul intrinsec n bazele de cunotine


Atunci cnd bazele de cunotine sunt folosite pentru o cutare sistematic a situaiilor de risc, MEHARI
necesit completarea unui tabel al impactului intrinsec. Acest tabel include diferitele tipuri de bunuri
asupra crora scenariile de risc pot avea impact, i diferitele tipuri de impact asupra acestor bunuri, cu alte
cuvinte, prin lips, disponibilitatea, integritatea i confidenialitatea.
Concepte i mecanisme

52

10 februarie 2008

Deoarece scenariile se refer la bunurile asupra crora are loc impactul, i tipul de impact, evaluarea
impactului intrinsec este automat.
Observai c este posibil s se includ i alte criterii dect disponibilitatea, integritatea i
confidenialitatea prin completarea tabelului impactului intrinsec i generarea tabelelor de evaluare
corespunztoare prin crearea scenariilor ad hoc.

7.3.2.3 Personalizarea tabelului impactului intrinsec pentru anumite tipuri de bunuri


Aa cum s-a explicat deja, unii utilizatori vor s diferenieze ntre scenarii ca o funcie a tipului specific
de bunuri asupra cruia are loc impactul (de exemplu: datele unui anumit departament sau ale unui
anumit domeniu funcional).
Faptul c scenariile fac referin explicit la tipurile de bunuri permite aceast difereniere. Tot ceea ce se
cere este crearea variaiilor de bunuri n tabelul impactului intrinsec (fie c este pentru date, servere,
reele, sau alte bunuri), i s se completeze tabelul pentru fiecare criteriu relevant.
Cu MEHARI, acest lucru se numete descompunere cartografic.
Cititorul ar trebui totui s tie c variaiile de bunuri create astfel ar fi folosite pentru a genera variaii de
scenariu. Acest lucru poate duce la un numr foarte mare de scenarii, i aceast posibilitate ar trebui
folosit cu grij.

7.3.3 Introducerea scenariilor neevolutive i calculele corespunztoare


Modul n care au fost prezentate msurile de protecie n unele din versiunile anterioare poate fi confuz.
Ele au fost definite ca avnd obiectivul, fr a preveni deteriorarea sistemului, de a limita scopul su. Dei
acest lucru este corect, n practic acestea erau confundate cu msurile de detectare a deteriorrii, acolo
unde o astfel de detectare ar putea provoca o reacie, ceea ce nu se ntmpl ntotdeauna.
De fapt, dac reacia posibil nu reduce gravitatea consecinelor scenariului, nu are nici un rost s fie
inclus.
Cu alte cuvinte, msurile de protecie ar trebui luate n considerare doar dac acestea reduc eficient
impactul intrinsec al scenariului, aa cum a fost evaluat iniial.
Pentru a simplifica includerea acestei nuane, a fost creat noiunea de scenariu neevolutiv.
Scenariul neevolutiv:
Dac un scenariu nu evolueaz i este fix n timp i spaiu, nici o msur de protecie nu i poate limita
consecinele directe.
Anumite scenarii, care nu sunt fixe n timp i spaiu, pot fi de aa natur nct msurile de protecie
poteniale nu au nici un efect asupra impactului intrinsec. Acestea trebuie deci considerate ca fiind
neevolutive, i tratate ca atare.
n mod deosebit, exist cazuri pentru care efectul real al msurilor de protecie poate fi decis doar n
contextul global al organizaiei:
Atunci cnd datele sunt modificate (caz de fraud), sau programele sunt modificate (rea voin sau
erori), impactul intrinsec poate (sau nu) fi redus prin detectarea timpurie n funcie de faptul dac
exist un drept al erorii sau nu.
Concepte i mecanisme

53

10 februarie 2008

Atunci cnd informaia este dezvluit necorespunztor, prevenirea repetrii prin detectarea din
timp poate reduce impactul intrinsec n funcie de context i de subiectul informaiei.

Evident, aceste exemple ale caracterului evolutiv (sau nu) al scenariului nu depind doar de baza de
cunotine. Ele ar trebui s depind i de alegerea i deciziile care trebuiesc luate de ctre utilizatori.
De la versiunea precedent a MEHARI, managementul scenariului de ctre procedurile automatizate
permit declararea unui scenariu ca fiind neevolutiv, dei a fost considerat iniial ca fiind evolutiv.

7.3.4 Abordri propuse de MEHARI

7.3.4.1 Un spectru larg de abordri


Modelul de risc al lui MEHARI i bazele de cunotine au permis din totdeauna multe abordri, dar setul
de documentaie precedent a accentuat o abordare specific care a condus la formalizarea planurilor
strategice i operaionale pentru organizaie.
Pe de alt parte natura modular i complementar a uneltelor setului de metodologii este acum
accentuat. Aceasta este o parte esenial a MEHARI.
Pentru cei care au aplicat deja MEHARI, i au pregtit planuri strategice sau operaionale formale, nu
exist nici o revoluie doar evoluie.
Pentru aceia care au considerat c MEHARI este prea formal n planificarea strategic, ei vor gsi ghiduri
care permit evitarea anumitor constrngeri, pe care structurile mai mici nu trebuie s le nfrunte.
Cei care vor s foloseasc MEHARI doar pentru proiecte vor gsi i ei sfaturi corespunztoare.

7.3.4.2 Unicitatea abordrii de analiz a riscului


n MEHARI, abordarea analizei riscului este unic i noiunile de abordare global i abordare analitic
sunt legate.
Exist o abordare fundamental care include evaluarea (a impactului intrinsec, expunerii naturale i
factorii de reducere a riscului), raionamentul i judecata final asupra potenialitii i a impactului
riscului i, n final, acceptabilitatea riscului.
Procedurile automate ofer asisten n procesul de baz i sunt un ajutor esenial n cutarea sistematic a
situaiilor de risc, dar nu pot fi considerate niciodat o nlocuire pentru judecata uman.

7.3.4.3. Natura complementar a uneltelor MEHARI i principiile de proiectare


Natura complementar a uneltelor asociate cu metoda impune principii de proiectare stricte, care
trebuiesc explicate.
Din acest motiv, chiar i n versiunile anterioare ale MEHARI, principiile de proiectare au fost explicate.
Exist dou principii principale i un numr de principii complementare. Principiile principale sunt:
- Procedurile automate ale metodei nu trebuie s conduc niciodat la subestimarea unui risc. Este
ntotdeauna preferabil ca un risc s fie supra-estimat iniial, cu posibilitatea de a fi redus de o analiz
detaliat ulterioar, dect s fie subestimat i s nu fie selectat pentru o examinare amnunit.
- n orice caz, procedurile automate ale metodei trebuie s permit explicarea i justificarea pentru
rezultatele obinute.
Concepte i mecanisme

54

10 februarie 2008

7.3.5 Bazele de cunotine

7.3.5.1 Domeniul de aplicaie


Cu MEHARI, domeniul de aplicaie al bazelor de cunotine acoper sistemul informaional n cel mai
larg sens.
Ca un rezultat specific, dimensiunile mediului de lucru al utilizatorului sunt luate n considerare
(documente, pot, spaiu al biroului, etc.).

7.3.5.2 Baza de cunotine a serviciilor de securitate


Principiile de baz pentru bazele de cunotine i chestionare au fost descrise deja. Aplicarea lor a condus
la o revizuire a bazei de cunotine a serviciilor de securitate. n plus, a fost creat un dosar descriptiv
(manualul de referine al serviciilor de securitate).

7.3.5.3 Baza de cunotine a scenariilor


Principiile care au fost aplicate n definirea acestei baze au fost descrise clar.

7.3.5.4 Tabelele de evaluare a factorilor reducerii riscului


n timp ce tabelele de evaluare pot fi modificate de ctre utilizatori, este preferabil ca crearea lor s fie
fundamentat pe nite principii clare. Principiile folosite pentru a crea tabelele sunt documentate.

Concepte i mecanisme

55

10 februarie 2008