COSTUL PIERDERILOR

sursa:Dumitru Oprea
Protecia i securitatea
informaiilor, Polirom, Iai

Evaluarea pierdrilor
Ameninrile sunt orientate mpotriva echipamentelor,
a programelor i a sistemului de operare, a
materialelor de p.a.d., informaiilor memorate pe
diverse suporturi, hrtiilor de valoare aflate n sistem
sau serviciilor prestate de componentele sistemului.
Exist 60 de ameninri:
- 5 valori patrimoniale (echipamente, soft, materiale,
date i servicii);
- 4 feluri de ameninri: pierdere, respingere
(nerecunoatere), compromitere i corupie;
- 3 categorii de ageni-cauz a pierderilor: angajai,
strini, accidente (hazard).

Principalele ameninri ale

securitii
Pierderea echipamentelor i altor
componente fizice;
Respingerea serviciilor;
Folosirea neautorizat a echipamentelor;
Accesarea informaiilor secrete;
Modificarea neautorizat a informaiilor;
Pierderea informaiilor;
Folosirea neautorizat a informaiilor;

Principalele ameninri ale securitii

(continuare)
Aflarea neautorizat a secretelor privind
softul;
Modificarea neautorizat a programelor;
Pierderea softului;
Folosirea neautorizat a softului;
Pierderea furniturilor;
Crearea neautorizat a hrtiilor de
valoare;
Pierderea hrtiilor de valoare

Formule de calcul
C (costul pierderilor)
C=H*W*A*P*V
sau
C=H*W*A*P*U
Unde: H-hazard; W-valoare; A-atracie
(tentaie); P-probabilitate; Vvulnerabilitate; U-funcia ce ia n
calcul vulnerabilitatea (V) i riscul (R)

Definirea elementelor de
calcul
Hazard (H) este o variabil binar (0 sau 1), iar
cnd se stabilete a fi 0, elimin o cauz
potenial de pierdere din anumite
considerente;
Valoare (W) este valoarea total a valorilor
patrimoniale aflate n pericol, exprimat n
uniti monetare;
Atracia (A) este un numr cuprins ntre 0 i 1.
El exprim tentaia, adic gradul n care
valoarea unui element patrimonial poate
constitui subiect de atac;

Definirea elementelor de calcul

(continuare)
Vulnerabilitatea (V) este o msur
a extensiei probabile a unui atac,
ncununate cu succes, asupra unor
valori patrimoniale.
Probabilitatea (P), uneori numit i
expunere, poate fi privit ca fiind un
numr ce reprezint atacurile
posibile ntr-un an asupra unei valori
patrimoniale, adic frecvena posibil
de apariie. Poate lua valori ntre 0 i

Explicaii suplimentare privind

Atracia
Presupunem c atracia patrimonial este un
fiier de un milion de nregistrri, coninnd
informaii speciale despre personal. Dac
valoarea fiecrei nregistrri n sensul
pierderii nregistrrii prin dezvluirea ei, ar fi
de 1.000 lei, valoarea fiierului este de un
miliard. Totui, dac numai 100 dintre
nregistrri au o importan deosebit pentru
a fi cutate de atacatori, atracia va fi
=100/1.000.000=0,0001 iar costul actual va
fi de numai 100.000 lei.

Explicaii suplimentare privind Atracia

(continuare)
Atracia poate primi anumite valori
Tabelul 4.1 Valorile i semnificaiile
atraciei
Nivel

Semnificaie

Factor de
multiplicare

Toate elementele

Multe elemente

0,1

Puine elemente

0,001

Foarte puine
elemente

0,0001

Cteva elemente

0,00001

Explicaii suplimentare privind

Vulnerabilitatea
De exemplu, dac un incendiu are
probabilitatea de a distruge numai o
zecime din valoarea sistemului,
vulnerabilitatea va fi 0,1.
Estimarea vulnerabilitii se
efectueaz de specialiti prin
plasarea ei n una din categoriile
urmtoare (vezi tabelul T4.2.)

Tabelul 4.2. Estimarea

vulnerabilitii
Nivel

Categoria

Semnificatia

Vulnerabilitat
ea

Fr pierderi

Neglijabil

1/10 din 1%

0,001

Minor

1%

0,01

Serioas

10%

0,1

Grav

50%

0,5

Catastrofal

90%

0,9

Determinarea
vulnerabilitii
Pentru determinarea vulnerabilitii se iau n calcul 10
factori de risc:
- apa;
- poziia pe vertical;
- poziia pe orizontal;
- protecia mpotriva incendiilor;
- materiale de construcie folosite;
- amplasamentul;
- moralitatea personalului;
- condiiile din zon;
- atitudinea conducerii;
- competena angajailor.

Tabelul 4.3. Factorul de risc

la ap
Punctaj

Explicaie

Fr pericol de expunere

Primul etaj, fr cazuri de inundaii consemnate

anterior

Primul etaj, au fost cazuri de inundaii consemnate

anterior

Subsol, fr cazuri de inundaii consemnate anterior

Subsol, au fost cazuri de inundaii consemnate anterior

Tabelul 4.4. Factorul de risc la

amplasarea pe vertical
Punctaj

Explicaie

Fr pericol

Primul etaj, al unei cldiri cu mai multe niveluri

Ultimul etaj, al unei cldiri cu mai multe niveluri

Cldire cu un singur nivel

Subsol i locurile superioare ale cldirilor de tip turn

Tabelul 4.5. Factorul de risc la

amplasarea pe orizontal
Punctaj

Explicaie

Fr pericol

Expunere printr-un singur perete

Expunere prin doi perei

Expunere prin trei perei

Expunere pe toate prile

Tabelul 4.5. Factorul de risc la

incendii
Punctaj

Explicaie

Exist protecie asigurat mpotriva incendiilor

Hidranii sunt amplasai la peste 150 m, iar

rezervoarele cu ap sunt la o distan mai mic de
2 km

Hidranii sunt amplasai la peste 600 m, iar

rezervoarele cu ap sunt la o distan mai mic de
2 km

Lipsa hidranilor, iar rezervoarele cu ap sunt la o

distan mai mic de 2 km

Lipsa hidranilor, iar rezervoarele cu ap sunt la o

distan mai mic de 5 km

Tabelul 4.6. Factorul de risc al

utilizrii unor materiale de construcii
Punctaj

Explicaie

Oel i beton

Blocuri BCA

Crmid sau piatr

Crmizi sau pietre (ornament)

Tmplrie din lemn

Tabelul 4.7. Factorul de risc la

amplasarea firmei
Punctaj

Explicaie

n interiorul unei curi mprejmuite, la cel puin 60 m de

gard

n interiorul unei curi mprejmuite, la mai puin 60 m

de gard

Nu mai exist o alt firm n cldirile nvecinate

Nu mai exist o alt firm pe etajele nvecinate

Nu mai exist o alt firm la nivelul etajului respectiv

Tabelul 4.8. Factorul de risc generat

de moralitatea personalului
Punctaj

Explicaie

Moralitate ridicat

Exist doar civa angajai recalcitrani

Exist organizaii sindicale cu care s-au stabilit relaii

de colaborare

Exist organizaii sindicale protestatare

Sunt mari nemulumiri privind contractele de munc

Tabelul 4.9. Factorul de risc generat

de zona de amplasare
Punctaj

Explicaie

Amplasat n mediul rural

Amplasare ntr-o zon industrial

Amplasare ntr-o zon comercial central

Amplasare ntr-o zon dubioas

Amplasare ntr-o zon cu procent mare al

criminalitii

Tabelul 4.10. Factorul de risc

generat de atitudinea conducerii
Punctaj

Explicaie

Atitudine favorabil lurii msurilor de securitate

Necunoaterea problemelor privind securitatea

Alocarea de sume necorespunztoare securitii

Nepsarea conducerii n faa problemelor

securitii

Conducerea este preocupat doar de producie,

n detrimentul securitii

Tabelul 4.11. Factorul de risc

generat de competena personalului
Punctaj Explicaie
0

Exercitarea fr probleme a sarcinilor de serviciu

Angajaii nu-i exercit corect sarcinile dect dac se simt

supravegheai

Sub motivaia griji fa de producie, sunt neglijate

aspectele controlului

Activiti prestate cu neglijen

Dominaia haosului

Explicaii suplimentare privind

Probabilitatea
Pentru determinarea probabilitii se
poate apela la cazuistica existent n
unitate sau la experiena unor
specialiti (vezi Tabelul 3. 12.
Expunerea la atacuri posibile)

Tabelul 4. 12. Expunerea la atacuri

posibile
Niv
el

Categorie

Semnificaie

Probabilitatea

Niciodat

O dat la fiecare 3.000

ani

1/3000=0,0003
33

Rareori

O dat la fiecare 300 ani

1/300=0,00333

Uneori

O dat la fiecare 30 ani

1/30=0,0333

O dat la trei ani

1/3=0,333

O dat la patru
luni

365/112=3,3

O dat la dou
sptmni

365/11=33,3

Zilnic

365/1,1=333

De cteva ori pe
zi

De zece ori pe zi

365*9,12=3330

Explicaii suplimentare privind

Funcia U=f(V,R)
Combin factorul de vulnerabilitate cu cel de
risc
Nivelului de vulnerabilitate i se atribuie un
coeficient de importan (vezi tabelul T3.13)
Media riscurilor este dat de totalitatea
factorilor de risc corespunztori unei
ameninri
Sumele coeficienilor de importan a
vulnerabilitii i a mediilor factorilor de risc
sunt abordate printr-o funcie algoritmic (vezi
tabelul T3.14)

Tabelul 4.13. Coeficientul de

importan al nivelului vulnerabilitii
Nivel
vulnerabilitate

Coeficient de importan

10

Tabelul 4.14. Funcia logaritmic a

vulnerabilitii i factorilor de risc
Coeficient de immportan
(V+R)

Factor de multiplicare

0,00

0,01

0,03

0,05

0,07

0,1

0,3

0,5

Tabelul 4.14.
(continuare)
Coeficient de immportan
(V+R)

Factor de multiplicare

0,7

10

0,9

11

0,95

12

0,97

13

0,99

14

Tipuri de pierderi

Pierderi de echipamente i alte componente fizice

ntreruperea prestrii serviciilor
Folosirea neautorizat a echipamentelor
Dezvluirea secretului informaiilor
Modificarea neautorizat a informaiilor
Pierderea de informaii
Folosirea neautorizat a informaiilor
Divulgarea neautorizat a softului
Modificarea neautorizat a softului
Pierderea softului
Folosirea neautorizat a softului
Pierderi de valori materiale
Crearea neautorizat de hrtii de valoare
Pierderea hrtiilor de valoare

Pierderi de echipamente i alte componente fizice

n categoria echipamentelor intr: calculatorul

central, echipamentele periferice, elemente de
legtur, echipamente specializate n
comunicaii, echipamente de introducere a
datelor, echipamente de ieire, aparate
speciale;
n categoria altor componente intr: instalaiile
de aer condiionat, de manipularea
echipamentelor, generatoare de curent, linii de
comunicaie;
Echipamentele pot fi proprii sau nchiriate.

T4.15. ntreruperea prestrii

serviciilor
Niv
el0

Perioada
Cerine de realizat
tolerat de
ntreruper
e

Costul
anual
(dolari)

fr

Duplicarea complet a sistemului;

Funcionarea paralel simultan

Zeci milioane

3 minute
sau mai
puin

Duplicarea complet a celorlalte

componente prin sisteme de
comutare automat

milioane

1/2 or

Duplicarea celor mai importante

componente hard i soft

Sute de mii

1/2 zi

Duplicarea unor locuri de munc

Zeci de mii

2 zile

Crearea unor servicii specializate

pentru prevenirea ntreruperilor

mii

1 lun

Planuri obinuite de lucru

sute

6 luni

zeci

T4.16. Folosirea neautorizat a

echipamentelor
Nive
l

Timpul de folosire
abiziv

Semnificaia

Costul anual
al pierderii

Zero

Nu poate fi
folosit abuziv

O anumit perioad dintrun schimb

20 minute

Sute

Un schimb

8 0re

Mii

O sptmn

40 de ore

Zeci de mii

Trei luni

60 de zile

Sute de mii

Un an

250 zile

milioane

Dezvluirea secretului
informaiilor
n evaluarea pierderilor sunt luate n
calcul:
1. aspectul legal (cerinele legale
privind protecia anumitor categorii
de informaii);
2. aspectul financiar (avantajele
obinute de alii sau pierderile
suportate de entitate);
3. problema confidenialitii (exist
persoane interesate n aflarea unor

1. Costurile accesrii neautorizate

sub aspect legal
Din punct de vedere financiar, costul
fiierului supus atacului se va
determina prin nmulirea factorului
de multiplicare din (T4.17) cu
numrul de nregistrri aflate n
pericol

T4.17. Costurile accesrii

neautorizate sub aspect legal
Nivel

Semnificaie

Factor de
multiplicare

Nesemnificativ

Publicitate proast

10

Pierderi mai mici de 10.000

dolari

100

Pierderile depesc 10.000

dolari

1000

2. Costurile accesrii neautorizate

din punct de vedere financiar
Valoarea total a pierderilor se
determin prin nmulirea numrului
de nregistrri posibile de accesat
neautorizat ridicat la ptrat cu
multiplicatorul categoriei respective
(T4.18)

T4.18. Costurile accesrii neautorizate

din punct de vedere financiar
Nive
l

Semnificaie

Factor de
multiplicare

Nesemnificativ

Pierdere pentru firm sau ctig pentru

competitor mai mic de 1% din profitul anual
net

100

Pierderi mai mari de 1% dar mai mici de 10%

din profit

1.000

Pierderile depesc 10% din profitul anual

net

10.000

3. Costurile accesrii neautorizate din punct

de vedere al confidenialitii informaiilor

Valoarea total a pierderilor pentru

un anumit fiier se determin se
determin prin nmulirea numrului
de nregistrri posibile de accesat
neautorizat ridicate la ptrat, cu
multiplicatorul categoriei respective
(T4.19)

T4.19. Costurile accesrii neautorizate din

punct de vedere al confidenialitii informaiilor

Nivel

Semnificaie

Factor de
multiplicare

Fr efect

Dezvluirea informaiilor confideniale

poate s aib efectul invers celui dorit de
persoana n cauz

10

Dezvluirea informaiilor confideniale

poate provoca mari necazuri subiectului
respectiv

100

Dezvluirea informaiilor confideniale

poate provoca distrugerea total i
nejustificat a carierei persoanei

1.000

Dezvluirea informaiilor confideniale

poate s duc la punerea n pericol chiar

10.000

Modificarea neautorizat a
informaiilor
Presupune modificarea n mod
intenionat sau accidental a
nregistrrilor unui fiier
Costul estimat = evalurii muncii
necesare n condiii manuale de
refacere a nregistrrilor apelndu-se
la documentele surs
Vulnerabilitatea poate fi diminuat
de competena angajailor i
moralitatea lor

Pierderea de informaii
Costul =estimarea cheltuielilor
materiale, cu manopera, de regie,
precum i timpul calculator necesar
refacerii datelor de pe documentele
surs
Vulnerabilitatea este generat de
moralitatea angajailor, inundaii,
expunere pe vertical, incendii,
materiale de construcii, atitudinea
conducerii, competena angajailor

Folosirea neautorizat a
informaiilor
Costul pierderilor = cheltuielile
necesare constituirii fiierelor
respective
Puncte forte moralitatea personalului
i atitudinea ferm a conducerii

Divulgarea neautorizat a softului

Costul = evaluarea tuturor
cheltuielilor necesare realizrii
softului (numr mediu instruciuni x
numr mediu ore x tarif or )
Puncte forte moralitatea personalului
i atitudinea ferm a conducerii

Modificarea neautorizat a softului

Costul = cheltuieli materiale, umane,
regie i timpul calculator necesar
punerii n funciune a copiilor de
siguran
Puncte slabe: moralitatea ndoielnic
a angajailor, nepriceperea lor i
slaba preocupare a conducerii

Pierderea softului
Costul = cheltuieli materiale, umane,
regie i timpul calculator necesar
punerii n funciune a copiilor de baz
Puncte slabe: moralitatea ndoielnic
a angajailor, nepriceperea lor, slaba
preocupare a conducerii, incendii,
ap, expunerea pe vertical,
materiale de construcie, etc.

Folosirea neautorizat a softului

Costul = estimarea cheltuielilor
pentru nchirierea softului la preul
zilei

Pierderi de valori materiale

Costul = preul curent de achiziie
sau cheltuielile recreerii lor

Crearea neautorizat de hrtii de

valoare
Costul = valoarea total a hrtiilor
create

Distrugerea hrtiilor de valoare

Costul = valoarea total a hrtiilor
pierdute