Evaluare Risc Informatic

PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011
RAPORT PRIVIND IDENTIFICAREA SI

EVALUAREA RISCURILOR SISTEMULUI
INFORMATIONAL
Revizia : 0 /25.11.2011
Aprobarea:
Primar :
Semnatura
ING. ROMEO RADULESCU
Data : 03.04.2012
__________
Verificat :
VICEPRIMAR/ RM :
Semnatura
CONSTANTINESCU COSMIN-DRAGO
Data : 03.04.2012
__________
Elaborat : ef Birou Informatica i C.I.C.

AURORA
Semnatura
JOLTEA ELENA
Data : 03.04.2012
__________
Exemplar nr.: ___

Detinator exemplar:
________________________
1
Confidential Pentru utilizare in cadrul PRIMRIEI MUNICIPIULUI RAMNICU VALCEA
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
LISTA
Nr.
exemplar
RAPORT PRIVIND
DE
Revizia : 0 /25.11.2011
DIFUZARE
IDENTIFICAREA SI EVALUAREA RISCURILOR SISTEMULUI

INFORMATIONAL
ediia 1,revizia 0
Destinatar
Nume i
prenume
Funcia
Data
Semnatura
2
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
LISTA DE CONTROL
MODIFICARILOR
Revizia : 0 /25.11.2011
Valabile pentru ediia 1 , REV 0

RAPORT PRIVIND IDENTIFICAREA SI EVALUAREA RISCURILOR
SISTEMULUI INFORMATIONAL
Editia
/Revizia /
Data
aplicarii
Pag./Cap./
Motivul i coninutul actualizrii
Par./
Revizuite
( pe scurt )
Data
modificari
i
Semntur
RM
3
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
INTRODUCERE
Securitatea informatiei (information security)" reprezinta capacitatea unui
sistem informational de a rezista, la un nivel dat de confidentialitate, intruziunilor
accidentale sau nelegale, ori actiunilor rauvoitoare care pot compromite accesibilitatea,
autenticitatea, integritatea si confidentialitatea datelor si informatiilor stocate sau
transmise, cat si a serviciilor colaterale oferite de acestea sau accesibile prin intermediul
acestor sisteme; in conditiile in care "accesibilitatea (availability)" inseamna ca
informatiile sau datele sunt accesibile, iar serviciul este operational, "autentificarea
(authentication)" se refera la confirmarea unei identitati reale, corecte, certe a unei
entitati sau a unui utilizator, "integritatea datelor (data integrity)" presupune confirmarea
ca datele care au fost transmise, receptionate sau stocate sunt complete si nemodificate
iar "confidentialitatea datelor (data confidentiality)" vizeaza protectia comunicatiilor sau
a datelor stocate impotriva interceptarilor si citirii acestora de catre persoane
neautorizate.
In acest sens, prin notiunea de "risc (risk)" se intelege gradul de probabilitate ca
o vulnerabilitate a sistemului sa afecteze autentificarea sau accesibilitatea, autenticitatea,
integritatea sau confidentialitatea datelor sau informatiilor procesate sau transferate, cat
si severitatea, gradul sau nivelul acestui efect, consecutiv ori datorat utilizarii sau
exploatarii intentionate sau neintentionate a unei asemenea vulnerabilitati. Daca ar fi
exploatate, aceste vulnerabilitati ar putea duce la dezvaluirea neautorizata sau
modificarea informatiilor apartinand primriei municipiului Rm. Valcea si
compromiterea serviciilor sau accesul la date al utilizatorilor neautorizati.
"Evaluarea riscului (risk assessment)" se refera la un proces bazat pe stiinta si
tehnologie, constand in patru etape si anume identificarea amenintarilor, caracterizarea
amenintarilor, expunerea evaluarilor sau analizelor si caracterizarea riscurilor, iar
"managementul riscului (risk management)" reprezinta procesul, distinct de cel anterior,
de evaluarea riscului, de stabilire si analiza a tacticilor si politicilor alternative in etapa
consultarilor cu partile interesate, in considerarea riscurilor evaluate si a altor factori
legitimi, cat si, daca este necesar, selectarea optiunilor de prevenire si control.
Acest raport documenteaza vulnerabilitatile descoperite pe parcursul auditarii
PRIMRIEI MUNICIPIULUI RAMNICU VALCEA si furnizeaza recomandari
pentru solutii eficiente din punct de vedere al costului care ar elimina sau minimiza
efectele riscurilor indentificate pentru sistem.
2.1 Domeniul de aplicare a evaluarii de risc
Aceasta evaluare a riscurilor este o radiografie a sistemului informatic si retelei de
calculatoare, ca o concluzie a datelor colectate din procesul de evaluare al activitatii in
domeniul IT a ...................................................... municipiului Rm. Valcea, din toate
departamentele funionale:
Direcia de Eviden a Persoanelor - str Regina Maria nr 6

4
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
Direcia Administraie, Juridic, Contencios str. Gen. Praporgescu, 14

Direcia Resurse Umane str. Gen. Praporgescu, 14
Direcia Economico Financiar - str. Carol nr 3-5
Direcia Eviden Patrimoniu, Cadastru i Servicii Publice - B-dul Tudor
Vladimirescu nr 15
Direcia Urbanism str. Gen. Praporgescu, 14
Direcia Investiii i Achiziii Publice str. Gen. Praporgescu, 14
Direcia Programe Externe str. Gen. Praporgescu, 14
Direcia Protecie Social - str. Matei Basarab bloc 113, parter
Biroul Audit Intern Calea lui Traian, nr.147, Bl. D2, parter
Serviciul Corp Control Primar, Inspectori Zonali str. Gen. Praporgescu,
nr. 3
Rolul acestei evaluari este de a identifica posibilele riscuri si a putea fi prevenite,

gestionate si rezolvate problemele de securitate ale retelei de calculatoare si ale
sistemului informatic apartinand .............................................departamentelor de mai sus.
Reteaua de comunicatii si sistemul informatic reprezinta factori esentiali pentru
dezvoltarea ............................................., municipiului, ceea ce determina ca securizarea
acestora sa devina o cerinta majora, din ce in ce mai importanta, chiar indispensabila,
pentru a face functionala economia digitala, in conditiile in care concomitent, societatea
informationala devine tot mai indispensabila, penetrand toate structurile vietii, atat cea
individuala, cat si a institutiilor, a administratiei publice si a sectorului de afaceri.
In consecinta, aceasta evaluare se aplica pentru toate componentele retelei de
comunicatii si sistemului informatic.
5
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
1. PREZENTAREA METODEI DE EVALUARE A RISCULUI

Realizarea obiectivelor firmei presupune cunoaterea i asumarea unor riscuri
multiple. Procesul de management al riscului cuprinde trei faze: identificarea riscului,
analiza riscului i reacia la risc.
Identificare riscurilor are la baza o serie de vulnerabilitati si amenintari aferente
sistemelor si tehnologiilor informatice apartinand ............................................, primariei
municipiului Rm. Valcea, si care au fost identificate in urma discutiilor cu personalul
apartinand primriei municipiului Rm. Valcea, si a unor edine de identificare a
riscurilor i analiza documentelor arhivate. Apoi identificarea riscurilor s-a realizat prin
imperecherea vulnerabilitatilor cu amenintarile, rezultand riscurile la care este supus
sistemul informatic.
Analiza riscului presupune abordarea sistemica a lurii deciziilor, realizrii
procedurilor i aciunilor practice n procesul de soluionare a problemelor de avertizare
(prentmpinare), ori de reducere a pericolului ntreruperii funcionrii sistemelor
informaionale. Esena gestiunii riscului se reduce la colectarea i analiza informaiilor
privind funcionarea sistemului informaional n ansamblu i a fiecrei componente a lui,
la analiza riscului (pericolului) i controlului funcionrii sistemului de securitate
informaional. Procedura analizei riscului este parte component declarativ a
securitii, expertizei, analizei economice n baza criteriilor valoare securitate-profit;
asigurrii i a altor categorii de analiz i estimare a situaiei securitii sistemelor
informaionale.
Metoda de evaluare a riscului utilizata in cazul sistemului informaional al
primariei municipiului Rm. Valcea are la baza metoda americana, descrisa in Risk
Management Guide for Information Technology Systems elaborat de National Institute
of Standards and Technology-SUA.
Procesul de analiz a riscurilor s-a derulat n urmtoarele faze:
a. Constituirea echipei de evaluare
b. Descrierea (caracterizarea) sistemului IT
c. Identificarea amenintarilor
d. Identificarea vulnerabilitatilor
e. Evaluarea riscurilor
f. Identificarea mijloacelor de protecie si intocmirea recomandrilor
Obiectivul prezentei analizei de risc este de a identifica si evalua riscurile la care
sunt expuse sistemele informatice din cadrul primariei municipiului Rm. Valcea, pentru a
identifica si selecta cele mai potrivite masuri de securitate. Cand are loc evaluarea
riscului, sunt luate in considerare numeroase aspecte dintre care, mai importante sunt
impactul si probabilitatea de aparitie.
Impactul poate fi evaluat prin diferite metode- printre care si cea folosita in acest
caz- si anume prin unitati de masura calitative (care se bazeaza pe utilizarea
adjectivelor: negijabil, scazutmic, mediu, ridicatmare, foarte ridicatfoarte mare), carora
6
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
li se asociaza cifre de la 1 la 5 (1-negijabil, 2-micscazut, 3-mediu, 4-mareridicat, 5foarte mareridicat).

De asemenea, fiecare probabilitate de aparitie risc identificat este evaluata prin
unitati de masura calitative carora li se asocieaza cifre de la 1 la 5 ( foarta rara=1,
rara=2, medie=3, ridicata=4, foarte ridicata=5 )
Cele mai multe metode au la baza tabele ce contin unitati de masura empirice,
subiective sau combinatii ale celor doua. In general, cea mai potrivita metoda este cea
in care compania are incredere.
7
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
4. DESCRIEREA SISTEMULUI IT
Sistemul informatic apartinand sistemului informatic al primariei Rm. Valcea
ofer suport pentru procesele administrative din cadrul instituiei i nu este un sistem
informatic integrat, la locaiile unde funcioneaz compartimente ale executivului
primriei se gsesc reele de calculatoare care nu sunt integrate ntre ele.
Sistemului informatic al primariei Rm. Valcea acopera activitile din
departamentele proprii, si anume
Direcia de Eviden a Persoanelor - str Regina Maria nr 6
Direcia Administraie, Juridic, Contencios str. Gen. Praporgescu, 14
Direcia Resurse Umane str. Gen. Praporgescu, 14
Direcia Economico Financiar - str. Carol nr 3-5
Direcia Eviden Patrimoniu, Cadastru i Servicii Publice - B-dul Tudor
Vladimirescu nr 15
Direcia Urbanism str. Gen. Praporgescu, 14
Direcia Investiii i Achiziii Publice str. Gen. Praporgescu, 14
Direcia Programe Externe str. Gen. Praporgescu, 14
Direcia Protecie Social - str. Matei Basarab bloc 113, parter
Biroul Audit Intern Calea lui Traian, nr.
Poliia Local a Municipiului Rm. Valcea
Serviciul Corp Control Primar, Inspectori Zonali , str. Gen. Praporgescu,
nr. 3
Anexat este prezentata lista cu echipamntele IT si caracteristicile acestora.
In cadrul fiecrei locaii unde funcioneaz departamentele funcionale ale
primriei sunt realizate reele de calculatoare pe platform Windows conectate la internet
prin intermediul unui router. Arhitectura retelelor de calculatoare este prezentata in
anexa:
Sistemul informatic apartinand executivului primariei Rm. Valcea ofer suport
pentru procesele de administratie locala din cadrul institutiei.
Numarul total de calculatoare din cadrul aparatulului de specialitate al primarului este de
274.
8
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
Distributia retelelor de calculatoare si echipamente de calcul este urmtoarea:

Locatia
Corp Control Primar
Directia Programe
externe
Calculatoare
Imprimante
/Multifunctionale
Copiatoare
Scaner
22
Primarie
Evidenta persoanei si
stare civ
Directia de protectie
sociala
81
51
20
27
20
Directia Economica
74
42
Politia locala
17
Audit
Cantina de ajutor social
21
15
254
154
10
Casa Casatoriilor
TOTAL
Din momentul in care a fost implementat sistemul informatic, numarul de calculatoare a

crescut. In cladirile primariei exist retele separate formate in total din 274 de
calculatoare, din care, 11 servere:
1. 5 servere la sediul central: Un server dedicat - server de aplicatie pentru
Managementul Documentelor din primarie si baza de date cu Hotararile de
Consiliu Local; Un desktop cu rol de server cu functia de backup pt aplicatia
Managementul Documentelor; Un desktop cu rol de server are aplicatia
managementului integrat al resurselor umane i salarizrii (Server RUSAL);
Un desktop cu rol de server pentru aplicatia de legislatie Legis Studio.
(Server Legis); Server dedicat pentru aplicatia de Sistem Legislativ
Managerial Public (Server MPO)
2. 6 servere la Directia economica (retea, 2 pt aplicatii taxe, contabilitate,
registratura si legis, iar ultimul server date)
In camera serverelor exista si centrala telefonica.
Pe statiile de lucru ruleaz sistemul de operare Windows XP. Aceste calculatoare
sunt legate in retea prin intermediul distribuitoarelor de retea in care se gasesc switch-uri
si huburi.
Legatura la Internet, pentru toate sediile primarie, este asigurata de furnizorul de internet
prin fibra optica, asigurand o capacitate de 8Mbps pe canal extern, fara limita de trafic.
9
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
Solutia aleasa pentru interconectarea echipamentelor de calcul din toate sediele

primariei este o retea de transmisie voce/date deschisa, reconfigurabila hard si soft la
dorinta, dupa necesitati, ce permite circulatia datelor digitale cu o viteza de 100 Mbps si
a vocii cu 10 Mbps.
Sistemul a fost conceput ca un sistem flexibil, cu arhitectura deschisa ce confera
posibilitatea unei dezvoltari continue asigurand satisfacerea cerintelor interne cat si o
previzibila interconectare cu instituii publice precum si cu societati comerciale locale
furnizoare de servicii publice. Platforma de retea aleasa a fost Microsoft Windows
Network cu server Windows NT care ulterior a fost upgradat la Windows 2000, apoi a
evoluat la Windows 2003. Internetul este asigurat de Serviciul de Transmisiuni Speciale
prin cablu optic la toate cladirile primriei din municipiu.
Situatia software
1. In cadrul sediului central inclusiv Directia de Patrimoniu, Directia Programe externe,
Biroul Audit Intern, Serviciul Corp Control Primar, sunt implementate urmatoarele
aplicatii:
aplicatia de Management al Documentelor care include si registratura ;
baza de date cu Hotararile de Consiliul Local
aplicatia de Legislatie
aplicaia de personal-pontaj
aplicatia Dosare profesionale electronice ale functionarilor publici si Registru
electronic de evidenta al functionarilor publici;
De asemenea, pentru buna utilizare a activitatii in primarie, echipa din cadrul biroului de
informatica a implementat o serie de pograme cu baze de date specifice diverselor
activitati proprii administratiei publice:
Program Diplome de fidelitate;
Program de legitimatii si ecusoane pentru personal in cadrul Biroului
Informatica;
Aplicatia pentru Legea nr. 10/2001 la Biroul de Informare Documentare;
Aplicatia privind Titlurile de proprietate la Serviciul Cadastru;
Aplicatia de Autorizatii TAXI;
Aplicatia Autorizatii trafic greu pentru Biroul Autorizari;
Baza de date - solicitari locuinte tineri
2. Direcia Economico Financiara

aplicatia Taxe si Impozite, pentru gestiunea taxelor si impozitelor locale
aplicatie Managementul Documentelor cu registratura
aplicaie Legis
aplicatie contabilitate-financiar-salarizare
3. Directia Evidenta Persoanelor
10
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
Aplicaia RJEP.exe - baza de date pentru actualizarea Registrului Judeean

de Eviden a Persoanelor
aplicatie pentru consultarea
Registrulul Judeean de Eviden a
Persoanelor
aplicatie pentru consultarea
RegistrululNaional de Eviden a
Persoanelor
aplicaie Legis
4. Direcia Social
aplicaie Indemnizatii crestere copil

aplicatie Buget-contabilitate-salarizare,
Inventar(XLS),
Ajutor incalzire,
Salarizare asistenti,
Plati sociale
RUSAL
Dari de seama statistice
Transport gratuit,
Asigurati medical
VMG (venit minim garantat)
Indemnizatii insotitori,
REVISAL,
Subventii energie,
Prg evidenta centrele MARA si IOANA
Alocatii, Trusouri
Mijloace
fixe
Ob.
Pentru restul activitatilor, ca de exemplu activitatile de redactare-elaborare

documente, respectiv calcul tabelar este utilizat pachetul Microsoft Office, iar protectia
statiilor de lucru este realizata utilizand aplicatii antivirus.
11
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
5. IDENTIFICAREA RISCURILOR
Scopul acestei etape este de a identifica riscurile sistemului informatic. In sistemele
informatice riscul apare cand vulnerabilitatile acestora pot fi exploatate de catre amenintari.
Procesul de identificare al riscurilor in cadrul sistemului informatic al primariei Rm.
Valcea este format din trei componente:
- Identificarea vulnerabilitatilor sistemelor informatice
- Identificarea pericolelor credibile ce pot afecta sistemele informatice
- Imperecherea vulnerabilitatilor cu pericolele reale pentru a identifica riscul la care
este expus sitemul informatic
5.1 Identificarea vulnerabilitatilor
No.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
Pentru a efectua identificarea vulnerabilitatilor, au fost efectuate urmtoarele activiti:

- Interviuri cu personalul din firma
- Utilizarea documentelor de sistem
- Vizite la sediul firmei si discutii cu personalul (utilizatorii) cheie
In cadrul sistemului informatic al primariei Rm. Valcea vulnerabilitatile identificate sunt:
Vulnerabilitate
Securitatii fizica a cladirii
Posibilitatea fluctuatiei tensiunii de alimentare
Posibilitatea aparitiei inundatiilor
Posibilitatea aparitiei incendiului
Posibilitatea deteriorarii mediilor de stocare
Un sistem slab pentru managementul paraolelor
Parolele nu sunt setate sa expire
Lipsa unui plan pentru continuitatea afacerii sau a procedurilor de recuperare si
restaurare a informatiilor
Spatiu de utilizare
Posibilitatea utilizarii de software neautorizat (freeware, shareware, fara licenta)
Posibilitatea virusarii fiierelor, programelor
Posibilitatea furtului de fiiere sau baze de date
Erori si omisiuni de date cauzate de personalul angajat
Utilizarea memorii USB
Accesul in cladire neglijent
Posibilitatea variatiilor de temperatura
12
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
17.
18.
19.
20.
Posibilitatea variatiilor de umiditate

Interfete operator complicate
Lipsa partiala a mecanismelor de identificare si autentificare a utilizatorilor
Nu se face log-out cand se paraseste statia de lucru
Clasificarea vulnerabilitatitilor se poate face pe scara de la 1 la 3 astfel:1- improbabila, 2posibila, 3- foarte probabila
5.2
Identificarea amenintarilor (pericolelor)

Scopul acestei componente, din procesul de identificare al riscurilor, este de este acela de
a identifica (pericolele) amenintarile credibile ale sistemelor informatice.
Un pericol este credibil daca acesta poate fi exploatat de o vulnerabilitate.
Amenintarile (pericolele credibile au fost identificate prin:
-analiza sistemului informatic
- interviuri cu personalul firmei
- utilizarea diverselor instrumente de identificare a amenintarilor.
Pericolele identificate in cadrul sistemului informatic al primariei Rm. Valcea sunt:
Amenintari/pericole credibile
1. e-mailuri de tip spam
2.Defecte ale sistemului de 3.Foc
comunicatii
4.Inundatie / Apa
5.Defecte hardware
6.Lipsa
tensiune
de
alimentare
7.Erori umane
8.Accesul neautorizat la 9.Utilizarea neautorizata
resurse
10.Utilizarea
ilegala
a 11.Pierderea
integritatii 12.Pierderea informatiilor
software-ului
datelor
13.Cod malitios
14.Furtul
15.Fluctuatia tensiunii de
alimentare
16. Acces neautorizat
17. Deteriorarea mediului de 18. Utilizare voit defectuoasa
stocare
5.3
Identificarea riscurilor
Ultima etapa in identificarea riscurilor o reprezinta imperecherea vulnerabilitatilor
cu pericolele reale pentru a identifica riscul la care este expus sitemul informatic .
Pentru cazul sistemului informatic al primariei Rm. Valcea, avem:
Risc
no.
1.
Vulnerabilitate
Securitatii
cladirii
fizica
Amenintare /
Pericol
a Acces
neautorizat
Riscul
de
a Descrierea riscului
compromite
Confidentialitatea,
Cladirea poate fi pradata
disponibilitatea
si de hoti, iar informatii
13
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
integritatea datelor
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
sensibile pot fi sustrase

sau distruse
Disponibiliatea
si Distrugerea mediilor de
de integritatea datelor
stocare si a informatiilor
Posibilitatea fluctuatia Fluctuatia

tensiunii de alimentare tensiunii
alimentare
Posibilitatea aparitiei Apa
inundatiilor
Posibilitatea aparitiei Foc
incendiului
Posibilitatea
Deteriorarea
deteriorarii mediilor de mediului
de
stocare
stocare
Disponibiliatea
integritatea datel
Disponibiliatea
Disponibiliatea
si Deteriorarea mediile de
stocare (hartia, medii de
stocare
optice
sau
magnetice)
Un sistem slab pentru Utilizare
voit Confidentialitatea si Compromiterea
managementul
defectuoasa
informatiile
paralelor
Parolele nu sunt setate Utilizare
voit Confidentialitatea si Compromiterea
sa expire
defectuoasa
informatiile
Lipsa unui plan pentru
Pierderea
Disponibilitatea
Poate fi compromisa
continuitatea afacerii
informatiei
datelor
continuitatea afacerii in
sau a procedurilor de
lipsa unui plan de
recuperare si restaurare
recuperare, restaurare a
a informatiilor
informatiilor.
Spatiu de utilizare Pierderea
Confidentialitatea si Chiar daca exista spatii
necorespunzator
informatiei
special amenajate pentru
utilizare, este posibil ca
in cazul unui incendiu ca
informatia sa fie pierduta
Posibilitatea utilizarii
Pierderea
Integritatea datelor
Utilizarea
softwarelui
de software neautorizat informatiei
neatorizat poate duce la
(freeware, shareware,
Cod malitios
pierderea
integritatii
fara licenta)
datelor
Posibilitatea virusarii Pierderea
Confidentialitatea si In cazul virusarii se pot
fiierelor, programelor
informatiei
pierde informatiile, sau
Utilizarea
pot fi copiate in mod
neautorizata
fraudulos
Cod malitios
Posibilitatea furtului de Pierderea
Confidentialitatea si Daca nu este asigurata o
fiiere sau baze de date informatiei
securitate
Utilizarea
corespunzatoare in
neautorizata
formatiile pot fi sustrase
de pe computerul gazda
14
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
13.
Erori si omisiuni de Pierderea

date
cauzate
de informatiilor
personalul angajat
14.
Date importante sunt Utilizare

voit Confidentialitatea
stocate pe memorii defectuoasa
datelor
USB
Accesul in cladire Furtul
Confidentialitatea
neglijent
datelor
15.
16.
17.
18.
19.
20.
Posibilitatea variatiilor
de temperatura
Posibilitatea variatiilor
de umiditate
Interfete
operator
complicate
Lipsa
partiala
a
mecanismelor
de
identificare
si
autentificare
a
utilizatorilor
Nu se face log-out
cand se paraseste statia
de lucru
Revizia : 0 /25.11.2011
Erori si omisiuni de date

cauzate de personalul
angajat
Pierderea sau furtul

acestor dispositive poate
compromite datele
In cladire pot intra
rauvoitori
care
pot
sustrage sau distruge
informatii
Pierderea
Confidentialitatea,
Distrugerea mediilor de
informatiei
disponibilitatea
si stocare si a informatiilor
Deteriorarea
mediului
de
stocare
Erori de operare Integritatea datelor
Erori de date cauzate de
personalul angajat
Furtul
Confidentialitatea si Daca nu este asigurata o
Utilizarea
securitate
neautorizata
corespunzatoare
in
Utilizarea
Confidentialitatea si Informatiile
pot
fi
neautorizata
sustrase
de
pe
computerul gazda, se
poate face furt de
identitate
6. EVALUAREA RISCURILOR
6.1 Clasificarea riscurilor inseamna determinarea nivelurilor urmatoare
Nivelul riscului
Foarte Ridicat
5
Ridicat
4
Mediu
3
Scazut
2
Nesemnificativ
1
Descrierea riscului si actiunile necesare

Pierderea integritatii, confidentialitatii sau
severe sau catastrofice
foarte grave
grave
limitate
nesemnificative
disponibilitatii ce ar putea avea efecte

15
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
6.2 Determinarea probabilitatii de aparitie a riscului

In aceasta etapa s-a asociat probabilitatea de aparitie foarte ridicata, ridicata, medie, rara sau
foarte rara,scazuta fiecarui risc identificat anterior. Aceasta evaluare este bazata pe
probabilitatea vulnerabilitatii ce ar putea fi exploatata de o amenintare (pericol) credibil. Au fost
luati in considerare urmatorii factori:
- Sursa amenintarii (pericolului), motivatia si capacitatea acestuia in cazul in care este un
atac uman;
- Probabilitatea de aparitie a atacului, bazat pe date statistice si/sau experiente anterioare,
in cazul amenintarilor de mediu si naturale;
- Existenta si eficacitatea obiectivelor de control implementate si planificate pentru a fi
implementate.
Notele care se dau Probabilitatii de aparitiei a riscului Foarta rara = 1 Rara = 2 Medie = 3
Ridicata = 4 Foarte ridicata = 5
A rezultat urmatoarea probabilitate de aparitie a riscului:
Risc
no.
Vulnerabilitate
1.
Securitatii
fizica a cladirii
2.
3.
4.
5.
6.
Amenintare
/
pericol
Acces
neautorizat
Ce se compromite
(Impactul
riscului)
Confidentialitatea,
disponibilitatea si
Descrierea riscului
Probabilitatea
aparitiei
riscului
Cladirea poate fi pradata

de hoti, iar informatii 2
sensibile pot fi sustrase rara
sau distruse
Posibilitatea
Fluctuatia
Disponibiliatea si Distrugerea mediilor de
fluctuatiei
tensiunii de integritatea datelor stocare si a informatiilor 4
tensiunii
de alimentare
ridicata
alimentare
Posibilitatea
Apa
Disponibiliatea si Distrugerea mediilor de 2
aparitiei
integritatea datel
stocare si a informatiilor rara
inundatiilor
Posibilitatea
Foc
Disponibiliatea si Distrugerea mediilor de 4
aparitiei
integritatea datelor stocare si a informatiilor ridicata
incendiului
Posibilitatea
Deteriorarea
Disponibiliatea si Deteriorarea mediile de 2
deteriorarii
mediului de integritatea datelor stocare (hartia, medii de rara
mediilor
de stocare
stocare
optice
sau
stocare
magnetice)
Un sistem slab Utilizare
Confidentialitatea
Compromiterea
4
pentru
defectuoasa
si
integritatea informatiile
Ridicata
16
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
7.
8.
9.
10.
11.
12.
13.
Vulnerabilitate
Amenintare
/
pericol
managementul
parolelor
Parolele nu sunt Utilizare
setate sa expire defectuoasa
Lipsa unui plan
pentru
continuitatea
afacerii sau a
procedurilor de
recuperare
si
restaurare
a
informatiilor
Spatiu
de
utilizare
necorespunzato
r
Pierderea
informatiei
Posibilitatea
utilizarii
de
software
neautorizat
(freeware,
shareware, fara
licenta)
Posibilitatea
virusarii
fiierelor,
programelor
Pierderea
informatiei
Cod malitios
Pierderea
informatiei
Pierderea
informatiei
Utilizarea
neautorizata
Cod malitios
Posibilitatea
Pierderea
furtului
de informatiei
fiiere sau baze Utilizarea
de date
neautorizata
Erori
si Pierderea
omisiuni
de informatiilor
date cauzate de
Revizia : 0 /25.11.2011
Ce se compromite
(Impactul
riscului)
datelor
Descrierea riscului
Probabilitatea
aparitiei
riscului
Confidentialitatea
si
integritatea
datelor
Disponibilitatea
datelor
Compromiterea
informatiile
4
Ridicata
Poate fi compromisa
continuitatea afacerii in
lipsa unui plan de
informatiilor.
3
Medie
Confidentialitatea
Chiar daca exista spatii
si
integritatea special amenajate pentru
datelor
in cazul unui incendiu
ca informatia sa fie
pierduta
Integritatea datelor Utilizarea
softwarelui
neatorizat poate duce la
pierderea
integritatii
datelor
2
rara
4
Ridicata
Confidentialitatea
In cazul virusarii se pot 3
si
integritatea pierde informatiile, sau Media
datelor
pot fi copiate in mod
fraudulos
Confidentialitatea
Daca nu este asigurata o
si
integritatea securitate
datelor
corespunzatoare
in
Integritatea datelor Erori si omisiuni de date
cauzate de personalul
angajat
3
Medie
3
Medie
17
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
14.
15.
16.
17.
18.
19.
20.
Vulnerabilitate
Amenintare
/
pericol
personalul
angajat
Date importante Utilizare
sunt stocate pe defectuoasa
memorii USB
Accesul
in Furtul
cladire neglijent
Posibilitatea
Pierderea
variatiilor
de informatiei
temperatura
Deteriorarea
mediului de
stocare
Posibilitatea
variatiilor
de
umiditate
Interfete
Erori
de
operator
operare
complicate
Lipsa partiala a Furtul
mecanismelor
Utilizarea
de identificare neautorizata
si autentificare
a utilizatorilor
Nu se face Utilizarea
log-out cand neautorizata
se
paraseste
statia de lucru
Ce se compromite
(Impactul
riscului)
Revizia : 0 /25.11.2011
Descrierea riscului
Confidentialitatea
datelor
Pierderea sau furtul

acestor dispositive poate
compromite datele
Confidentialitatea
In
cladirea
pot
datelor
intrarauvoitori care pot
informatii
Confidentialitatea,
disponibilitatea si stocare si a informatiilor
Probabilitatea
aparitiei
riscului
4
Ridicata
3
Medie
2
rara
Distrugerea mediilor de 2
stocare si a informatiilor Rara

personalul angajat
Confidentialitatea
si
integritatea securitate
datelor
corespunzatoare
in
Confidentialitatea
Informatiile
pot
fi
si
integritatea sustrase
de
pe
datelor
poate face furt de
identitate
3
Medie
4
Ridicata
3
Medie
18
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
7. ANALIZA RISCULUI DE IMPACTNIVELULUI IMPACTULUI DE RISC

In aceasta etapa s-a asociat fiecarui risc identificat anterior un nivel al impactului. Nivelul
impactului a fost determinat pe baza severitatii efectelor ce rezulta din aparitia riscului.
In tabelul urmator sunt definite nivelele de impact:
Nivel de impact
Definirea nivelului de impact
5 Foarte Ridicat
Aparitia riscului poate avea rezultate ca: pierderea de vieti
omenesti sau accidente grave, pierdere bunurilor si resurselor
companiei, a datelor importante, pierderea reputatiei sau a
increderii partenerilor de afaceri
4 - Ridicat
Aparitia riscului poate avea rezultate ca: pierderea de vieti
omenesti sau accidente grave, pierdere bunurilor si resurselor
companiei, a datelor importante, pierderea reputatiei sau a
3 - Mediu
Aparitia riscului poate avea rezultate ca: accidente, pierderi
partiale bunuri si resurse ale companiei, afectarea reputatiei sau a
2 - Scazut
Aparitia riscului poate avea rezultate ca: pierderi ale catorva
bunuri si resurse ale companiei, atingerea reputatiei sau a
1 - Negijabij
Aparitia riscului poate avea rezultate ca: pierderi nesemnificative
ale catorva bunuri si resurse ale companiei, atingerea
nesemnificativa a reputatiei sau a increderii partenerilor de afaceri
Aplicand nivelele de impact, din tabelul de mai sus, riscurilor identificate anterior se
obtine evaluarea efectului in cazul aparitie riscurilor respective. Acestea sunt prezentate in
tabelul urmator:
Ris
Sumar Risc
Impactul riscului
Evaluarea
c
nivelului de
no.
impact al
riscului
1.
Cladirea poate fi pradata de hoti, iar informatii Confidentialitatea,
4-Ridicat
sensibile pot fi sustrase sau distruse
disponibilitatea
si
2.
Distrugerea mediilor de stocare si a informatiilor
Disponibiliatea
si 4- Ridicat
3.
Disponibiliatea
si 4-Ridicat
integritatea datel
19
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
4.
5.
6.
Deteriorarea mediile de stocare (hartia, medii de

stocare optice sau magnetice)
Compromiterea informatiile
7.
8.
Poate fi compromisa continuitatea afacerii in lipsa

unui plan de recuperare, restaurare a informatiilor.
Chiar daca exista spatii special amenajate pentru
depozitare, este posibil ca in cazul unui incendiu
ca informatia sa fie pierduta
Utilizarea softwarelui neatorizat poate duce la
pierderea integritatii datelor
In cazul virusarii se pot pierde informatiile, sau pot
fi copiate in mod fraudulos
Daca
nu
este
asigurata
o
securitate
corespunzatoare in formatiile pot fi sustrase de pe
computerul gazda
Erori si omisiuni de date cauzate de personalul
angajat
Pierderea sau furtul dispozitivelor USB poate
compromite datele
In cladirea pot intrarauvoitori care pot sustrage sau
distruge informatii
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
Revizia : 0 /25.11.2011
Disponibiliatea
si
Disponibiliatea
si
Confidentialitatea si
Disponibilitatea
datelor
4- Ridicat
4-Ridicat
4 - Ridicat
4- Ridicat
4 - Ridicat
4-Ridicat
4-Ridicat
Confidentialitatea si 4-Ridicat
Confidentialitatea
4-Ridicat
datelor
Confidentialitatea
datelor
Confidentialitatea
datelor
Confidentialitatea,
disponibilitatea
si
Erori de date cauzate de personalul angajat
Daca
nu
este
asigurata
o
securitate Confidentialitatea si
corespunzatoare in formatiile pot fi sustrase de pe integritatea datelor
computerul gazda
Informatiile pot fi sustrase de pe computerul Confidentialitatea si
gazda, se poate face furt de identitate
3-Mediu
5Foarte
Ridicat
3 -Mediu
4-Ridicat
4-Ridicat
2-Scazut
3 - Mediu
3 - Mediu
20
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
Vulnerabilitate
1.
Securitatii fizica a Acces

cladirii
neautorizat
2.
Posibilitatea
fluctuatiei
tensiunii
alimentare
Posibilitatea
aparitiei
inundatiilor
3.
Amenintare /
pericol
Fluctuatia
Disponibiliate
tensiunii
de a
si
de alimentare
integritatea
datelor
Apa
Disponibiliate
a
si
integritatea
datel
Foc
Disponibiliate
a
si
integritatea
datelor
Deteriorarea
Disponibiliate
mediului
de a
si
de stocare
integritatea
datelor
4.
Posibilitatea
aparitiei
incendiului
5.
Posibilitatea
deteriorarii
mediilor
stocare
6.
Un sistem slab
pentru
managementul
paralelor
Parolele nu sunt
setate sa expire
7.
8.
Ce se
compromite
(Impactul
riscului)
Confidentialita
tea,
disponibilitate
a
si
integritatea
datelor
Utilizare
defectuoasa
Utilizare
defectuoasa
Lipsa unui plan Pierderea

pentru
informatiei
continuitatea
afacerii sau a
Confidentialita
tea
si
integritatea
datelor
Confidentialita
tea
si
integritatea
datelor
Disponibilitate
a datelor
Revizia : 0 /25.11.2011
Descrierea
riscului
Probabilitate Evalua-rea nivelua

aparitiei lui de impact
riscului
Cladirea poate
fi pradata de
hoti,
iar
informatii
sensibile pot fi
sustrase
sau
distruse
Distrugerea
mediilor
de
stocare si a
informatiilor
Distrugerea
mediilor
de
stocare si a
informatiilor
Distrugerea
mediilor
de
stocare si a
informatiilor
Deteriorarea
mediile
de
stocare (hartia,
medii
de
stocare optice
sau
magnetice)
Compromitere
a informatiile
2
rara
4
Ridicat
4
ridicat
4
Ridicat
4
2
Rara
4
Ridicat
4
Ridicata
4
Ridicat
2
Rara
4
Ridicat
4
Ridicata
4
Ridicat
Compromitere
a informatiile
4
Ridicata
4
Ridicat
Poate
fi 3
compromisa
Medie
continuitatea
afacerii
in
4
Ridicat
21
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
9.
10.
11.
12.
Vulnerabilitate
Amenintare /
pericol
procedurilor
de
recuperare
si
restaurare
a
informatiilor
Spatiu de utilizare Pierderea
necorespunzator
informatiei
Posibilitatea
utilizarii
de
software
neautorizat
(freeware,
shareware,
fara
licenta)
Posibilitatea
virusarii fiierelor,
programelor
Pierderea
informatiei
Cod malitios
Pierderea
informatiei
Utilizarea
neautorizata
Cod malitios
Posibilitatea
Pierderea
furtului de fiiere informatiei
sau baze de date
Utilizarea
neautorizata
Ce se
compromite
(Impactul
riscului)
Descrierea
riscului
lipsa unui plan

de recuperare,
restaurare
a
informatiilor.
Confidentialita Chiar
daca
tea
si exista
spatii
integritatea
special
datelor
amenajate
pentru
utilizare, este
posibil ca in
cazul
unui
incendiu
ca
informatia sa
fie pierduta
Integritatea
Utilizarea
datelor
softwarelui
neatorizat
poate duce la
pierderea
integritatii
datelor
Confidentialita In
cazul
tea
si virusarii se pot
integritatea
pierde
datelor
informatiile,
sau pot fi
copiate in mod
fraudulos
Confidentialita Daca nu este
tea
si asigurata
o
integritatea
securitate
datelor
corespunzatoa
re in formatiile
pot fi sustrase
de
pe
computerul
gazda
Revizia : 0 /25.11.2011

riscului
2
Rara
4
Ridicat
4
Ridicata
4
Ridicat
3
Medie
4
Ridicat
3
Medie
4
Ridicat
22
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
Vulnerabilitate
13.
Erori si omisiuni Pierderea

de date cauzate de informatiilor
personalul angajat
14.
15.
16.
17.
18.
19.
Amenintare /
pericol
Ce se
compromite
(Impactul
riscului)
Integritatea
datelor
Descrierea
riscului
Erori
si
omisiuni
de
date cauzate
de personalul
angajat
Date importante Utilizare
Confidentialita Pierderea sau
sunt stocate pe defectuoasa
tea datelor
furtul acestor
memorii USB
dispositive
poate
compromite
datele
Accesul in cladire Furtul
Confidentialita In cladirea pot
neglijent
tea datelor
intrarauvoitori
care
pot
sustrage sau
distruge
informatii
Posibilitatea
Pierderea
Confidentialita Distrugerea
variatiilor
de informatiei
tea,
mediilor
de
temperatura
Deteriorarea
disponibilitate stocare si a
mediului
de a
si informatiilor
stocare
integritatea
datelor
Posibilitatea
Distrugerea
variatiilor
de
mediilor
de
umiditate
stocare si a
informatiilor
Interfete operator Erori
de Integritatea
Erori de date
complicate
operare
datelor
cauzate
de
personalul
angajat
Lipsa partiala a Furtul
Confidentialita Daca nu este
mecanismelor de Utilizarea
tea
si asigurata
o
identificare
si neautorizata
integritatea
securitate
autentificare
a
datelor
corespunzatoa
utilizatorilor
re in formatiile
pot fi sustrase
de
pe
Revizia : 0 /25.11.2011

riscului
3
Medie
3
Mediu
4
Ridicata
4
ridicat
3
Medie
2
Rara
3
Mediu
4
Ridicat
2
Rara
4
Ridicat
3
Medie
2
Scazut
4
Ridicata
3
Mediu
23
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
20.
Vulnerabilitate
Amenintare /
pericol
Nu se face log- Utilizarea

out
cand
se neautorizata
paraseste statia de
lucru
Ce se
compromite
(Impactul
riscului)
Descrierea
riscului
Revizia : 0 /25.11.2011

riscului
computerul
gazda
Confidentialita Informatiile
3
tea
si pot fi sustrase Medie
integritatea
de
pe
datelor
computerul
gazda,
se
poate face furt
de identitate
3
Mediu
24
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
8. EVALUAREA RISCULUI GENERAL

In aceasta etapa s-a asociat fiecarui risc identificat anterior un nivel al impactului.
Fiecare Probabilitate a aparitie riscului a primit note
Foarte rar = 1 Rar = 2 Mediu = 3 Ridicat = 4 Foarte Ridicat = 5
Nivelul impactului este determinat pe baza severitatii efectelor ce rezulta din aparitia
riscului, dandu-se si note, astfel incat
Neglijabil = 1 . Scazut = 2 Mediu = 3 Ridicat = 4 Foarte Ridicat = 5
Matricea evaluarii riscului general pentru sistemul informatic al REGIEI PRIMARIEI
MUNICIPIULUI RM .VALCEA este:
Probabilitatea
aparitiei riscului
Foarte Ridicat
(5)
Ridicat
(4)
Mediu
(3)
Rar
(2)
Foarte rar
(1)
Impactul riscului
Neglijabil Scazut
(1)
(2)
Mediu Ridicat
(3)
(4)
Foarte Ridicat
(5)
10
15
20
25
12
16
20
14
15
10
In tabelul urmator sunt atasate valorile numerice obtinute din tabelul anterior asociate
nivelului riscului general, valori obtinute in celula de intersectie dintre fiecare Probabilitate a
aparitie riscului cu fiecare Nivel al impactului, prin inmultirea lor.
Nivelul riscului
general
Foarte Ridicat
Ridicat
Mediu
ScazutScazut
Nesemnificativ
Valori ale nivelului riscului

25
16-20
1012-15-16
56-10-10
1-55
Exemplu:
25
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
o probabilitate a aparitiei riscului de nivelul 3 (mediu) cu un impact al riscului scazut (2) d

un nivel al riscului scazut, de 6.
In cadrul PRIMARIEI MUNICIPIULUI RM .VALCEA toate riscurile determinate cu
valoarea nivelului mai mare decat 10 sunt preluate intr-un plan de prevenire a riscului, in
scopul prevenirii si tratarii acestora. Riscurile sub nivelul 10 sunt riscuri asumate de catre
fiecare responsabil de proces .
Rezultatele evaluarii riscului general :
Risc
no.
Cladirea poate fi prodata de hoti, iar

informatii sensibile pot fi sustrase sau
distruse
Distrugerea mediilor de stocare si a
informatiilor
Rara
2
Evaluarea
nivelului
impactului
riscului
Ridicat
4
MedieRidicat
34
Ridicat
4
6.

informatiilor
informatiilor
Deteriorarea mediile de stocare (hartia,
medii de stocare optice sau magnetice)
7.
Ridicat
4
Ridicat
4
Ridicat
4
Ridicat
4
Ridicat
4
8.
Poate fi compromisa continuitatea afacerii

in lipsa unui plan de recuperare, restaurare
a informatiilor.
Chiar daca exista spatii special amenajate
pentru utilizare, este posibil ca in cazul
unui incendiu ca informatia sa fie pierduta
Utilizarea softwarelui neatorizat poate
duce la pierderea integritatii datelor
In cazul virusarii se pot pierde informatiile,
sau pot fi copiate in mod fraudulos
Rara
2
Ridicata
4
Rara
2
Ridicata
4
Ridicata
4Ridicata
4
Medie
3
Mediu
3
MediuRidic
at
1216
Scazut
8
Ridicat
16
Scazut
8
Ridicat
16
Ridicat
16Ridicat
16
Scazut
9
Rara
2
Ridicat
4
Scazut
8
Ridicata
4
Medie
3
Ridicat
4
Ridicat
4
Ridicat
16
Mediu
12
1.
2.
3.
4.
5.
9.
10.
11.
Sumar RiscDescrierea riscului
Probabilitatea
aparitiei
riscului
Evaluarea
Nivelui
riscului
general
Scazut
8
26
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
12
13.
14.
15.
16.
17.
18.
19.
20.
Revizia : 0 /25.11.2011
Daca nu este asigurata o securitate

corespunzatoare in formatiile pot fi
sustrase de pe computerul gazda
Erori si omisiuni de date cauzate de
personalul angajat
Pierderea sau furtul dispositivelor USB
Medie
3
Ridicat
4
Mediu
12
Medie
3
Ridicata
43
Mediu
3
Ridicat
4
In cladirea pot intra rauvoitori care pot

sustrage sau distruge informatii
informatiilor
informatiilor
Erori de date cauzate de personalul angajat
Mediu
3
Rara
2
Rara
2
Mediu
3
Mediu
3Ridicat
4
Mediu
3
Mediu
3
Ridicat
4
Ridicat
4
Scazut
2
Mediu
3
Scazut
9
Ridicat
16Mediu
12
Scazut
9
Scazut
8
Scazut
8
Scazut
6
Mediu
12Scazut
9
Scazut
9
Daca nu este asigurata o securitate

corespunzatoare informatiile pot fi sustrase
Informatiile pot fi sustrase de pe
computerul gazda, se poate face furt de
identitate
Mediu
3
27
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
9. RECOMANDARI SI MIJLOACE DE PROTECTIE

Comisia de evaluare a riscului, reprezentata prin:
- RMSI . evaluator risc informational
- responsabilii de proces numiti la nivelul fiecarei directii din cadrul Primariei
In urma analizei efectuate si a riscurilor identificate pentru sistemul informatic al PRIMARIEI
MUNICIPIULUI RM .VALCEA, RMSI aduce la cunostinta conducerii organizatiei si a
utilizatorilor sistemului IT din cadrul acestei, urmatoarele recomandari privind utilizarea unor
mijloace de protectie impotriva riscurilor:
Risc
no.
Sumar
RiscDescrierea riscului
Vulnerabilita te
1.
Cladirea poate fi prodata

de hoti, iar informatii
sensibile pot fi sustrase
sau distruse
Securitatea fizica Acces

a cladirii
neautorizat
2.
3.
4.
5.
6.
7.
8.
Posibilitatea
fluctuatiei
tensiunii
alimentare
Distrugerea mediilor de Posibilitatea
stocare si a informatiilor aparitiei
inundatiilor
Amenintare
Evaluarea
riscului
general
Scazut
8
Fluctuatia
Mediuridicat
tensiunii
de 1216
de alimentare

stocare si a informatiilor aparitiei
incendiilorr
Deteriorarea mediile de Posibilitatea
stocare (hartia, medii de deteriorarii
stocare
optice
sau mediilor
de
magnetice)
stocare
Compromiterea
Un system slab
informatiile
de
managementul
parolellor
Compromiterea
Porolele nu sunt
informatiile
setate sa expire
Poate fi compromisa Lipsa unui plan
continuitatea afacerii in pt continuitatea
Apa
Scazut
8
Foc
Ridicat
16
Recomandari si mijloace de
protectie
Verificarea
periodica
functionarii sistemului
alarma existent
a
de
Achizitionarea de UPS-uri
Echipamentele trebuie puse la

o inaltime corespunzatoare
pentru a evita efectetele
inundatiei
Instalarea unui sistem detectia
a incendiului
Deteriorarea
Scazut
mediilor
de 8
stocare
Periodic vor fi testate mediile

de stocare
Utilizare voit Ridicat

defectuoasa
16
Implementarea unui sistem

prin care utilizatorii sa fie
obligati
sa
foloseasca
complexitate pentru parole si
sa sa fie constransi sa le
schimbe
Implementarea unor masuri
necesare pentru a asigura
Utilizare voit
defectuoasa
Pierderea
informatiilor
Ridicat
16
Scazut
9
28
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
Sumar
Vulnerabilita te
Amenintare
lipsa unui plan de

informatiilor.
9.
10.
11.
12.
13.
14.
15.
16.
afacerii sau a
procedurilor de
recuperare
si
restaurare
informatii
Chiar daca exista spatii Spatiu
de Pierderea
special amenajate pentru utilizare
informatiilor
in cazul unui incendiu
ca informatia sa fie
pierduta
Utilizarea
softwarelui Posibilitatea
Pierderea
neatorizat poate duce la folosirii
de informatiilor
pierderea
integritatii software
Cod malicios
datelor
neautorizat
In cazul virusarii se pot Posibilitatea
Pierederea
pierde informatiile, sau virusarii
informatiei
pot fi copiate in mod fisierelor
utilizarea
fraudulos
neautorizata
Cod malicios
Daca nu este asigurata o Posibilitatea
Pierderea
securitate
furtului de fisiere informatiilor
corespunzatoare
in sau baze de date Utilizarea
neautorizata
Erori si omisiuni de date Erori si omisiuni Pierderea
cauzate de personalul de date cauzate informatiilor
angajat
de
personalul
angajat
Pierderea sau furtul Date importante Utilizarea voit
dispositivelor
USB sunt stocate pe defectuoasa
poate compromite datele memorii USB
In cladirea pot intra Accesul
in furtul
rauvoitori
care
pot cladire neglijent
informatii
Pierderea
stocare si a informatiilor variatiilor
informatiilor
temperaturii
Deteriorarea
Evaluarea
riscului
general
Revizia : 0 /25.11.2011
protectie
continuitatea afacerii
Scazut
8
Este
recomandat
ca
informatiile importante sa fie
stocate si intr-o alta locatie
Ridicat
16

prin care utilizatorii sa nu aiba
dreptul de a-si instala software
pe calculator
Verificarea ca antivirusul sa fie
actualizat cel putin o data pe zi
Mediu
12
Mediu
12

pentru jurnalizarea activitatilor
de pe un computer
Scazut
9
Mediuridicat
1216
Cresterea
responsabilitatii
utilizatorilor,
respectiv
traininguri cand apar versiuni
noi de aplicatii
Va fi interzisa utilizarea
memoriilor USB personale
Scazut
9
Folosirea sistemului de control

acces existent
Scazut
8
Instalarea unui sitem pentru

supravegherea si asigurarea
temperaturii optime
29
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
17.
18.
19.
20.
Sumar
Vulnerabilita te

stocare si a informatiilor variatiilor
umiditate
personalul angajat
securitate
corespunzatoare
in
Informatiile
pot
fi
sustrase
de
pe
poate face furt de
identitate
de
Amenintare
mediilor
de
stocare
Pierderea
informatiilor
Deteriorarea
mediilor
de
stocare
Erori
de
operare
Furtul
Utilizarea
neautorizata
Interfete operator
complicate
Lipsa partiala a
mecanismelor de
identificare
si
autentificare
a
utilizatorilor
Nu se face log- Utilizarea
out
cand
se neautorizata
paraseste statia
de lucru
Revizia : 0 /25.11.2011
Evaluarea
riscului
general
protectie
Scazut
8
Instalarea unui sitem pentru

supravegherea si asigurarea
umiditatii optime
Scazut
6
Scazut
9
Cresterea
responsabilitatii
utilizatorilor
Implementarea unui sistem de
autentificare si identificare a
utilizatorilor
Scazut
9

prin care utilizatorii sa fie
activat mecanismul de log-out
30
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Revizia : 0 /25.11.2011
10. MATRICEA EVALUARII RISCURILOR

Concluzionand, in cadrul . PRIMARIEI MUNICIPIULUI RM .VALCEA rezulta urmatoarea matrice de evaluare a riscurilor:
Risc
no.
Vulnerabilitate
Amenintare
/pericol
1.
Securitatii fizica a cladirii
Acces
neautorizat
2.
Posibilitatea
fluctuatiei Fluctuatia
tensiunii de alimentare
tensiunii
alimentare
3.
Posibilitatea
inundatiilor
aparitiei Apa
4.
Posibilitatea
incendiului
aparitiei Foc
Ce
se
compromite
(Impactul
riscului)
Confidentialit
atea,
disponibilitat
ea
si
integritatea
datelor
Disponibiliate
de a
si
integritatea
datelor
Disponibiliate
a
si
integritatea
datel
Disponibiliate
a
si
integritatea
Probabilitat Evaluare
ea aparitiei a
riscului
impactulu
i riscului
Rara
Ridicat
2
4
Evaluare Recomandari si metode

a riscului de protectie
general
Scazut
8
Verificarea periodica a
functionarii sistemului de
alarma existent
Medie
3
Ridicat
4
Mediu
12
Achizitionarea de UPSuri pentru echipamentele

critice
Rara
2
Ridicat
4
Scazut
8
Ridicata
4
Ridicat
4
Ridicat
16
Echipamentele
trebuie
puse la o inaltime
corespunzatoare pentru a
evita efectetele inundatiei
Instalarea unui system
detectia a incendiului
31
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
5.
6.
Vulnerabilitate
Amenintare
/pericol
Ce
se
compromite
(Impactul
riscului)
datelor
Posibilitatea deteriorarii Deteriorarea
Disponibiliate
mediilor de stocare
mediului
de a
si
stocare
integritatea
datelor
Un sistem slab pentru Malicious use
Confidentialit
managementul parolelor
Computer
atea
si
crime
integritatea
datelor
Revizia : 0 /25.11.2011
Probabilitat Evaluare Evaluare Recomandari si metode

ea aparitiei a
riscului
impactulu general
i riscului
Rara
2
Ridicat
4
Scazut
8
Periodic vor fi testate

mediile de stocare
Ridicata
4
Ridicat
4
Ridicat
16
Implementarea
unui
sistem
prin
care
utilizatorii sa fie obligati
sa
foloseasca
complexitate
pentru
parole si sa sa fie
constransi sa le schimbe
Implementarea
unui
sistem
prin
care
utilizatorii sa fie obligati
sa schimbe
parolele
periodic (bilunar).
Implementarea
unor
masuri necesare pentru a
asigura
continuitatea
afacerii
7.
Parolele nu sunt setate sa Utilizare

expire
defectuoasa
Distrugere
computer
Confidentialit Ridicata
atea
si 4
integritatea
datelor
Ridicat
4
Ridicat
16
8.
Lipsa unui plan pentru Pierderea

continuitatea afacerii sau informatiei
a
procedurilor
de
recuperare si restaurare a
informatiilor
Disponibilitat
ea datelor
Mediu
3
Scazut
9
Medie
3
32
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
Vulnerabilitate
9.
Spatiu
de
utilizare Pierderea
necorespunzator
informatiei
10.
Posibilitatea utilizarii de Pierderea

software
neautorizat informatiei
(freeware, shareware, fara Cod malitios
licenta)
11.
Posibilitatea
virusarii Utilizarea
fiierelor, programelor
neautorizata
Cod malitios
12.
Posibilitatea furtului de Pierderea

fiiere sau baze de date
informatiei
Utilizarea
neautorizata
Erori si omisiuni de date Pierderea
cauzate de personalul informatiilor
angajat
13
Amenintare
/pericol
Revizia : 0 /25.11.2011
Ce
se
compromite
(Impactul
riscului)
Confidentialit
atea
si
integritatea
datelor
Integritatea
datelor
ea aparitiei a
riscului
impactulu
i riscului
Rara
Ridicat
2
4

general
Ridicata
4
Ridicat
4
Ridicat
16
Confidentialit
atea
si
integritatea
datelor
Confidentialit
atea
si
integritatea
datelor
Integritatea
datelor
Medie
3
Ridicat
4
Mediu
12
Medie
3
Ridicat
4
Mediu
12
Medie
3
Mediu
3
Scazut
9
Scazut
8
Este
recomandat
ca
informatiile importante sa
fie stocate si intr-o alta
locatie
Implementarea
unui
sistem
prin
care
utilizatorii sa nu aiba
dreptul de a-si instala
software pe calculator
Verificarea ca antivirusul
sa fie actualizat cel putin
o data pe zi
Implementarea
unui
sistem pentru jurnalizarea
activitatilor de pe un
computer
Cresterea
responsabilitatii
utilizatorilor,
respectiv
traininguri cand apar
versiuni noi de aplicatii
33
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
Vulnerabilitate
14.
Date importante sunt Utilizare

stocate pe memorii USB
defectuoasa
15.
Accesul
in
cladire Furtul
Confidentialit
neglijent
atea datelor
Posibilitatea variatiilor de Pierderea
Confidentialit
temperatura
informatiei
atea,
Deteriorarea
disponibilitat
mediului
de ea
si
integritatea
Posibilitatea variatiilor de stocare
datelor
umiditate
Mediu
3
Rara
2
Mediu
3
Ridicat
4
MediuRi
dicat
1216
Scazut
9
Scazut
8
Rara
2
Ridicat
4
Scazut
8
18.
Interfete
complicate
Mediu
3
Scazut
2
Scazut
6
19.
Lipsa
partiala
a
mecanismelor
de
identificare
si
autentificare
a
utilizatorilor
Nu se face log-out cand
Furtul
Utilizarea
neautorizata
Confidentialit Mediu
atea
si 3
integritatea
datelor
Mediu
3
Scazut
9
Utilizarea
Confidentialit
Mediu
Scazut
16.
17.
20.
Amenintare
/pericol
operator Erori
operare
Ce
se
compromite
(Impactul
riscului)
Confidentialit
atea datelor
de Integritatea
datelor
ea aparitiei a
riscului
impactulu
i riscului
Ridicata
Ridicat
34
4
Revizia : 0 /25.11.2011
Mediu

general
Va fi interzisa utilizarea
memoriilor
USB
personale
Folosirea sistemului de
control acces existent
Instalarea unui sitem
pentru supravegherea si
asigurarea temperaturii
optime
Instalarea unui sitem
pentru supravegherea si
asigurarea
umiditatii
optime
Cresterea
responsabilitatii
utilizatorilor
Implementarea
unui
sistem de autentificare si
identificare
a
utilizatorilor
Implementarea
unui
34
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
Risc
no.
Vulnerabilitate
se paraseste
lucru
Amenintare
/pericol
statia
de neautorizata
Ce
se
compromite
(Impactul
riscului)
atea
si
integritatea
datelor
ea aparitiei a
riscului
impactulu
i riscului
3
3
Revizia : 0 /25.11.2011

general
9
sistem
prin
care
utilizatorii sa fie activat
mecanismul de log-out
35
PRIMRIA
MUNICIPIULUI
RAMNICU VALCEA
Cod: RIER SMSI

Editia : 1 / 25.11.2011

INFORMATIONAL
ANEXA
Evidenta echipamentelor IT
Nr. Nume calculator/utilizator
Crt.
1
2
3
4
Lista Imprimante
Nr. crt Denumire Imprimanta
1
2
3
Unitate central
CPU
HDD
Revizia : 0 /25.11.2011
Observatii
Placa video
Monitor
RAM
36

Evaluare Risc Informatic

Încărcat de

Informații document

Descriere:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Descriere:

Drepturi de autor:

Formate disponibile

Evaluare Risc Informatic

Încărcat de

Descriere:

Drepturi de autor:

Formate disponibile

PRIMRIA

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

ING. ROMEO RADULESCU

Elaborat : ef Birou Informatica i C.I.C.

Exemplar nr.: ___

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

IDENTIFICAREA SI EVALUAREA RISCURILOR SISTEMULUI

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Valabile pentru ediia 1 , REV 0

Motivul i coninutul actualizrii

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Direcia de Eviden a Persoanelor - str Regina Maria nr 6

Confidential Pentru utilizare in cadrul PRIMRIEI MUNICIPIULUI RAMNICU VALCEA

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Direcia Administraie, Juridic, Contencios str. Gen. Praporgescu, 14

Rolul acestei evaluari este de a identifica posibilele riscuri si a putea fi prevenite,

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

1. PREZENTAREA METODEI DE EVALUARE A RISCULUI

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

li se asociaza cifre de la 1 la 5 (1-negijabil, 2-micscazut, 3-mediu, 4-mareridicat, 5foarte mareridicat).

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Distributia retelelor de calculatoare si echipamente de calcul este urmtoarea:

Cantina de ajutor social

Din momentul in care a fost implementat sistemul informatic, numarul de calculatoare a

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Solutia aleasa pentru interconectarea echipamentelor de calcul din toate sediele

2. Direcia Economico Financiara

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Aplicaia RJEP.exe - baza de date pentru actualizarea Registrului Judeean

aplicaie Indemnizatii crestere copil

Pentru restul activitatilor, ca de exemplu activitatile de redactare-elaborare

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Pentru a efectua identificarea vulnerabilitatilor, au fost efectuate urmtoarele activiti:

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Posibilitatea variatiilor de umiditate

Identificarea amenintarilor (pericolelor)

Confidential Pentru utilizare in cadrul PRIMRIEI MUNICIPIULUI RAMNICU VALCEA

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

sensibile pot fi sustrase

Posibilitatea fluctuatia Fluctuatia

Cod: RIER SMSI

RAPORT PRIVIND IDENTIFICAREA SI

Erori si omisiuni de Pierderea

Date importante sunt Utilizare

Erori si omisiuni de date

Pierderea sau furtul