Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015

Exemplu de metodologie privind evaluarea intern a riscurilor operaionale
generate de sistemele informatice

Managementul riscurilor
Conceptul de management al riscului
Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor in
concorda cu politica organizaional de management a riscurilor. Managementul riscului
este integrat n activitile zilnice prin roluri i responsabiliti definite n toate domeniile de
activitate.
Managementul riscului ajut la includerea aspectelor de tratare a riscului n practicile de
management i la luarea deciziilor pe parcursul ntregului ciclu de via al activitilor.
Managementul riscului poate s contribuie la maximizarea rezultatelor globale, dac este
desfurat ntr-o manier integrat, n domenii precum:
achizitia, testarea, operarea, mentenana i casarea sistemelor informatice, mpreun
cu interfeele acestora;
controlarea consecinelor riscurilor operaionale generate de sistemele informatice;
managementul, costurile i planificarea activitilor referitoare la sistemele
informatice.
Acest proces adaug valoare datelor produse, meninute i raportate n mod regulat, iar pentru
a asigura documentarea acestui proces, n evaluarea intern a riscurilor se constituie un
Registru al riscurilor operaionale generate de utilizarea sistemelor informatice de ctre
oameni, procese, sisteme i mediul extern. Acest registru poate fi integrat n nregistrul
general al riscurilor operaionale ale entitii.
Procesul de management al riscului
In cadrul procesului de management al riscului, este analizat i evaluat tot spectrul de riscuri.
Evenimentele nedorite trebuie s fie analizate i evaluate din punctul de vedere al severitii
(impactului) i al probabilitii de apariie. Msurile de diminuare a riscurilor vor fi analizate
i evaluate din perspectiva eficacitii acestora, iar rezultatele msurtorilor performanelor i
a tendinei riscurilor vor fi utilizate pentru optimizarea resurselor alocate, pentru gestionarea
adecvat a riscurilor i pentru meninerea acestora n limitele de toleran asumate de
conducerea organizaiei.
n cadrul procesului de management al riscurilor, informaiile referitoare la riscurile poteniale
sunt documentate i structurate, facilitndu-se astfel luarea deciziilor pentru tratarea
corespunztoare a acestora.
Rezultatul analizei i evaluarii riscurilor inerente, precum si ale riscurilor reziduale vor fi
comunicate ctre conductorii organizaiei.
Identificarea, analiza si evaluarea riscurilor trebuie revizuit periodic sau atunci cnd situaia
o impune: la modificarea modelului de business al organizaie, la orice ajustare a structurii
organizatorice i a activitilor ori a procedurilor de lucru n cadrul organizaiei, la schimbarea
tehnologiilor de procesare a informaiei, la modificri majore ale sistemului, n urma

apariiilor unor incidente, n urma aplicrii unor controale de risc etc.
Implementarea managementului riscului
Managementul riscului necesit implicarea tuturor factorilor att a celor cu responsabiliti
decizionale, ct i a celor cu atribuii executive din cadrul organizatiei i stabilirea de linii
clare de responsabilitate la nivelul tuturor structurilor organizatorice i decizionale.
Managementul riscului este un proces continuu, iterativ care constituie o parte integrant a
activitii curente din cadrul organizaiei.
Fiecare linie de business din cadrul unei organizaii i va evalua toate categoriile de risc
relevante, nregistrndu-le n registrul riscurilor. Se vor identifica toate potenialele probleme
operaionale n patru categorii: oameni, procese, sisteme/tehnologii i mediul extern,
incluznd externalizrile i furnizorii externi de produse i servicii informatice i de
comunicaii.
Registrul riscurilor operationale este structurat pe patru categorii:
1. Oameni
2. Procese
3. Sisteme/tehnologie
4. Extern
Riscuri aferente oamenilor pot fi, fr a se limita la:
- nerespectarea proceselor, procedurilor sau a instruciunilor de lucru;
- erori de introducere manual sau de utilizare neadecvat a sistemelor informatice;
- cunostine, experien i pregtire insuficient a personalului care utilizeaz sau
deservete sistemele informatice;
- personal insuficient;
- dependena de angajai cheie;
- lips de comunicare i cooperare ntre angajai;
- neraportarea erorilor sau greelilor aferente sistemelor informatice;
- alterarea datelor;
- modificarea informaiilor sau a datelor din rapoarte, fr documentarea adecvat;
- conflict de interese ntre personalul care dezvolt i cel care administreaz sistemele
informatice ori ntre utilizatorii acestora;
- lipsa unei delimitri clare ntre rolurile persoanelor care acceseaz/administreaz/
dezvolt sistemele informatice;
- automulumire;
- fraud;
- operaiuni suspecte de splarea banilor i finanarea actelor de terorism;
- nerespectarea regimului de sanciuni internaionale.
Riscuri aferente proceselor pot fi, fr a se limita la:
a) Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la
managementul schimbrii, al incidentelor, al problemelor, al nivelurilor de servicii, al
versionrilor, al capacitii, al disponibilitii i al proiectelor), erori de metodologie
2
sau de model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea

pierderilor, complexitatea modelelor, control inadecvat al proceselor, software
neadecvate obiectivelor de activitate, insuficiena guvernanei corporative n acest
domeniu;
b) Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementul
inadecvat al datelor i informaiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidenialitate, fraude;
c) Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i atribuiilor,
depirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri
de nregistrri contabile neadecvate, control inadecvat al activitilor externalizate,
ntreruperea furnizrii serviciilor, neidentificarea operaiunilor n spe n funcie de
indicatorii de risc i variabile analitice prestabilite.
Riscuri aferente sistemelor/tehnologiei pot fi, fr a se limita la:
- sistem inadecvat de management al tehnologiei i securitii;
- lipsa metodologiilor de dezvoltare si testare;
- capacitate insuficient de procesare;
- ntreruperi n funcionarea sistemelor (hardware, software, stocare, telecomunicaii);
- cderi de reea;
- ntreruperii n furnizarea serviciilor prestate de furnizorii externi;
- sisteme inadecvate;
- protecie inadecvat mpotriva malware;
- riscuri de compatibilitate;
- riscuri generate de furnizori/vnztori;
- erori de programare;
- coruperea datelor;
- riscuri de recuperare dup dezastre;
- testare necorespunztoare a recuperrii n caz de dezastru;
- sistem inadecvat de actualizare tehnologic;
- sisteme nvechite;
- servicii necorespunztoare de suport pentru sisteme.
Riscuri aferente mediului extern pot fi, fr a se limita la:
- pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de
oameni ori factori din afara organizaiei;
- ntreruperi n furnizarea serviciilor prestate de furnizori externi;
- fraude i activiti criminale externe;
- expuneri externe ale securitii sistemelor;
- atacuri teroriste clasice sau informatice;
- criminalitate economic i/sau informatic;
- cderi ale alimentarii cu electricitate.
Structura organizaiei, sistemele informatice ale organizaiei i gestionarea

riscurilor operaionale generate de acestea
Domeniul prezentei analize de impact este reprezentat de urmatoarele:
Structura organizatoric
Entitatea care face obiectul prezentului exemplu de metodologie de evaluare a riscurilor
operaionale are urmtoarele caracteristici:
Structura organizatoric
Structura organizatoric a entitii este format din urmtoarele compartimente (structuri
organizatorice funcionale):
1. ORGANUL SUPERIOR DE CONDUCERE: n funcie de tipul entitii acesta poate
s fie consiliul de administraie sau consiliu de supraveghere;
2. CONDUCEREA EXECUTIV: acesta poate s fie constituit din comitet director,
directori executivi, director general sau alt form prin care se asigur conducerea
activitilor curente ale entitii i care duce la ndeplinire hotrrile organului superior
de conducere;
3. Compartiment RELAIA CU CLIENII (front office, vnzri, investitori, asigurai,
participani, membri etc): desfoar activitile legate de relaia cu persoanele externe
ale entitii n vederea ndeplinirii obiectului principal de activitate (prestarea
serviciilor financiare autorizate, reglementate i supravegheate de ASF);
4. Compartiment OPERAIUNI: desfoar toate activitile curente care in de
activitatea de baz a entitii. Aceast structur organizatoric acoper toate funciile
operaionale ale entitii;
5. Compartiment FINANCIAR-CONTABILITATE: desfoar activitile referitoare la
operaiunile financiar-contabile i de raportare aferente nregistrilor contabile;
6. Compartimente FUNCII CHEIE ALE ENTITII: n aceast seciune sunt
menionate mai multe structuri organizatorice distincte care asigur urmtoarele
funcii cheie, dup caz: audit intern, control intern, conformitate, managementul
riscurilor, funcia actuarial, etc;
7. Compartiment TEHNOLOGIA INFORMAIEI: desfoar activiti specifice pentru
administrarea i dezvoltarea sistemelor informatice (software, hardware i
comunicaii), inclusiv a paginilor de internet ale organizaiei;
8. Compartimente SUPORT: deruleaz activiti de marketing, juridic, resurse umane,
cercetare-dezvoltare, analiz i altele asemenea
Arhitectura infrastructurii IT:
n descrierea activitatii organizaiei, referitor la sistemele informatice, s-a inut cont de
urmtoarele aspecte:
- arhitectura IT (doi provideri, IDP/IPS, antivirus, firewall, servere, etc)
- de faptul c exist un BCP (business continuity plan) care cuprinde:
identificarea aplicaiilor critice a cror replicare este necesar n cadrul centrului de

recuperare;
4
descrierea infrastructurii IT din cadrul organizaiei;

descrierea sistemului de disaster recovery implementat;
descrierea personalului disponibil n cadrul organizaiei;
analiza de riscuri i impactul acestora;
definirea liniilor directoare pentru incheierea Service Level Agreements (SLA), n
vederea asigurarii QoS (Quality of Service) att cu furnizorii de echipamente, ct i cu
furnizorii de sisteme de comunicaii;
descrierea modului de monitorizare a sistemului de disaster recovery n operarea
curent;
definirea evenimentelor critice de tip dezastru;
definirea activitilor, a pailor i a procedurilor ce compun planul BCP (Business
Continuity Plan).
- existena unei locatii alternative de procesare a datelor
- efectuarea back-up-urilor conform unor proceduri existente
- existena unei politici de securitate informatic cu urmtoarele obiective:
Managementul securitii informaiei: Msurile managementului securitii

informaiei vor fi implementate i puse n aplicare n concordan cu obiectivele
securitii informaiei, declaraiile, politicile, standardele i procedurile stabilite de
conducerea organizaiei.
Clasificarea informaiei, sistemelor i resurselor: Informaiile, sistemele i resursele

vor fi clasificate corespunztor nivelului i tipului de protecie cerut.
Identificarea i autentificarea: toate informaiile i sistemele cu care institutia pune

n vigoare propria identificare i autentificare a angajailor, a altor utilizatori, terelor
pri i sistemelor.
Confidenialitatea: confidenialitatea tuturor datelor, informaiilor, sistemelor,

documentelor i software-urilor care este pus n aplicare.
Integritatea: integritatea datelor, informaiilor, sistemelor, documentelor i softwareurilor care este pus n aplicare, n funcie de ct de critic este resursa pentru
activitatea organizaiei.
Contabilizarea: Contabilizarea i responsabilitatea aciunilor utilizatorilor trebuie s

fie clar definite i puse n aplicare permanent.
Disponibilitatea: Toate informaiile i sistemele trebuie s fie disponibile utilizatorilor

autorizai, atunci cnd este nevoie. , Sunt considerate oportune, n totalitate i exacte
cu recuperarea oricror date, informaii, software sau sisteme pierdute datorit unor
evenimente nedorite i neateptate ( ex.ntreruperea sistemului n caz de dezastru).
Non-repudierea: Este un concept pentru asigurarea c o parte vtmat ntr-o disput

nu poate fi respins, sau contestat de o declaraie de valabilitate. Sistemele trebuie s
asigure c o tranzacie informatic nu poate fi ulterior respins (rejectat) de acea parte
vtmat.
5
Controlul accesului fizic i logic: Toate informaiile i sistemele vor fi asigurate

corespunztor i riguros cu controale de acces fizic i logic.
Evaluarea riscului: Evaluarea ameninrilor, impactului i vulnerabilitilor

informaiilor a utilitilor de procesare a informaiilor i a probabilitii producerii
acestora.
Managementul riscului: Procesul de identificare, revizuire i reducere sau eliminare

a riscurilor de securitate, care pot afecta sistemele informatice la un cost acceptabil.
Instruirea i contientizarea privind securitatea informaiei: Toi angajaii vor fi

supui unor programe de instruire i contientizare privind securitatea informaiei.
Rolurile i responsabilitile: Rolurile, responsabilitile i competenele decizionale

pentru toate prile care au acces la resursele informatice sunt clar definite i
comunicate.
Conformitatea : Personalul precum i ali utilizatori trebuie s fie familiarizai i s se

conformeze cu procedurile i politicile bncii privind securitatea informaiei.
Monitorizarea securitii informaiei i raportarea: Monitorizarea i raportarea

msurilor de securitate a informaiei vor fi stabilite s detecteze i s raporteze breele
actuale i suspecte i vor asigura aciuni de remediere ale acestora.
Prezentarea schematic a arhitecturii sistemelor informatice se regsete n figura de mai

jos:
PROVIDER 1
PROVIDER 2
DataCenter / Locatie
alternativa
Router
Server
Securitate IT
(IPS/IDS/Firewall/
Antivirus)
Locatie
Disaster Recovery
Switch 1
Switch 2
Sever MAIL
INTRANET
Server / Solutie
Backup
Server WEB
Server Baze de Date
Server Online
Aplicatie Clienti
Sever Aplicatii Intranet
Analiza i Tratarea Riscurilor. Impactul Acestora

Organizatia a definit o abordare sistematica a evaluarii riscului in procedura intern pentru
Evaluarea riscului. Metoda utilizata tine cont de cerinele legale, reglementri i de
securitatea informaiilor activitii organizaiei, precum i cele mai bune practici n domeniu.
S-au determinat riscurile (pe toate cele patru categorii), criteriile de acceptare a riscurilor si sau identificat nivelurile de risc acceptabile (apetitul i tolerana la risc).
Pentru abordarea sistematic a evalurii riscurilor sunt ndeplinite urmtoarele:
S-au identificat operaiunile i activitile organizaiei;
S-au identificat sistemele informatice pe care se bazeaz operaiunile i activitile
identificate anterior;
S-au identificat riscurile operaionale generate de sistemele informatice;
S-au identificat factorii de risc (ameninrile) la care care faciliteaz expunerea la
riscurile operaionale.
S-au identificat vulnerabilitatile care ar putea fi exploatate de aceste ameninri.
S-a stabilit impactul i daunele asupra organizaiei n cazul pierderii confidentialitii,
integritii i disponibilitii sistemelor informatice.
S-a evaluat probabilitatea real ca aceste evenimente s se produc.
Au fost evaluate nivelurile riscului inerent si s-a determinat dac riscul este acceptabil sau
necesit tratare. n schema de mai jos find prezentat relaionarea dintre elementele utilizate la
evaluarea intern a riscurilor operaionale.
Exploateza
Amenintarile
Vulnerabilitatile
Cresc
Protejeaza
impotriva
Masuri de
securitate
Reduc
Cresc
RISCURILE
Afecteza
Afecteza
Bunuri
Implementate prin
Au
Indica
Cresc
Cerinte de
securitate
Valoare bunuri
Impactul potential asupra

afacerii
Da
Fiecare responsabil de proces (coordonator de unitate funcional) a identificat resursele de

valoare i activitile din cadrul structurii organizatorice (birou, serviciu, compartiment,
departament, direcie etc) care sunt expuse la riscuri operaionale generate de sistemele
informatice.
Resursele de valoare sunt grupate conform urmatoarelor categorii (de ex :):
Informatii in format electronic (baze de date, fisiere de date, liste clieni investitori, participani, asigurai etc-, structuri ale bazelor de date, mesaje e-mail,
fiiere cu preturi etc.);
Documente tiprite (manuale de utilizare, manual i suport pentru instruiri,

ghiduri, licene, contracte furnizori / clieni, comunicri, facturi, rezultate
financiare, nregistrri referitoare la personalul angajat adrese, atestari etc.);
Software (sistemul de operare, aplicatii, utilitare etc)
Bunuri fizice (calculatoare, servere, echipamente de comunicare i securitate,
suport media magnetic, etc);
Persoane (angajai, clieni, furnizori etc.);
Servicii (disponibilitate servicii de retea, telecomunicatii, nclzire, iluminat,
alimentare cu ap, alarmare, servicii de stingerea incendiilor, etc.);
Imagine i reputatie (mijloacele de livrare a produselor sau prestare a
serviciilor, certificari existente, paginile de internet ale organizaiei etc.).
Stabilirea valorii resurselor i a operaiunilor
Pentru stabilirea valorii resurselor i a operaiunilor, s-au luat in considerare, numai resursele
informatice i operaiunile care presupun interaciunea cu aceste resurse. S-a definit valoarea
resurselor/operaiunilor utilizand urmtoarea scar de valori n funcie de impactul asupra
organizaiei:
1 puin important;
2 necesar;
3 vital;
Pentru stabilirea valorilor se analizeaz importana, gradul de dependen fa de
resurs/operaiune i pericolul pe care l reprezint pentru procesele organizaiei, asupra
organizaiei in general i asupra clienilor acesteia, atunci cand informaia sau resursa i
pierde integritatea, confidenialitatea i disponibilitatea.
Identificarea factorilor de risc
Pentru identificarea factorilor de risc se ntocmete o list a tuturor ameninrilor aplicabile,
iar pentru fiecare ameninare se identific vulnerabilitatile existente.
Pentru calcularea riscului se definesc, n continuare:
Probabilitatea riscului (probalilitatea exploatrii vulnerabilitii),
Probabilitatea de a se manifesta n conditiile date este evaluat astfel:
Grad
1
Probabilitate
Neglijabil
Descriere
Practic nu poate apare
n condiii obinuite.
Istoric nu au fost
semnalate situaii.
2
Slab
Poate apare n
conditii obisnuite,
dar frecvena
apariiei este rar.
3
Mare
Este probabil s se produc.
Acest risc este rezonabil sa se
produc n perioada imediat
urmtoare.
Nivelul vulnerabilitatii (poate s apar un incident pentru ca vulnerabilitatea

s fie mai greu sau mai uor exploatat ).
Criteriile pentru evaluarea vulnerabilitatii sunt:

Grad
Criterii
Descriere
1
Neglijabil
Exist protecii sigure,
testate i verificate,
condiiile existente conduc
la concluzia c, practic, nu
poate fi exploatat aceasta
vulnerabilitate.
2
Medie
Vulnerabilitatea poate fi
exploatat, exist
protecii implementate,
dar acestea nu au fost
testate i verificate pentru
toate cazurile.
3
Mare
Usor de exploatat,
protecia este foarte
slab, ineficace n
multe situaii sau
tehnic uzat moral.
Pentru evaluarea riscurilor i a nivelurilor asociate pentru fiecare eveniment nedorit care poate
avea impact asupra activitilor desfurate de organizaie, sistemelor informatice sau a
informaiilor se realizeaz matricea nivelului de risc.
Nivelul riscului este o funcie de probabilitatea de producere a unui eveniment nedorit i de
nivelul vulnerabilitii asupra activitilor, informaiilor sau sistemelor informatice ale
organziaiei.
Pentru
risc:
1.
2.
3.
exemplificare, a fost realizat o matrice 3x3 corespunztoare urmtoarelor niveluri de

Risc mic;
Risc mediu;
Risc mare.
VULNERABILITATE
Exemplu matrice niveluri de risc
MARE
Risc Mediu
Risc Mare
Risc Mare
MEDIE
Risc Mic
Risc Mediu
Risc Mare
NEGLIJABIL
Risc Mic
Risc Mic
Risc Mediu
NEGLIJABIL
SLAB
MARE
PROBABILITATE
n cazul n care organizaia utilizeaz o alt matrice de risc prin folosirea mai multor niveluri
de vulnerabiliti i probabiliti (4x4 sau 5x5) i a mai multor niveluri de risc (4 sau 5), se va
menine practica curent.
Activiti necesare identificrii i evalurii riscurilor i a msurilor de securitate
Conductorii structurilor organizatorice i ntreg personalul ce le compun au obligaia de a
identifica, evalua i raporta riscurile operaionale generate de sistemele informatice. Aplicarea
cadrului pentru gestionarea riscurilor generate de sistemele informatice ntr-o organizaie
presupune parcurgerea urmtoarelor etape:
1.
2.
3.
4.
5.
analiza preliminar a riscului;

identificarea i evaluarea riscurilor;
revizuirea i raportarea situaiei riscurilor;
stabilirea limitelor de toleran;
implementarea i monitorizarea msurilor de control al riscurilor.
Analiza preliminar
Persoana care identific un risc analizeaz preliminar riscul identificat, procednd, pentru
documentarea procesului de evaluare, la completarea unui formular de Alert la risc stabilit de fiecare organizaie i prezentat ca exemplu la finalul acestei seciuni cu
respectarea urmtoarelor etape:
1 descrierea nartativ a riscului, cu respectarea urmtoarelor reguli:
riscul este o situaie, eveniment, care poate s apar. Riscul este o incertitudine
i nu ceva sigur;
nu se identific riscuri care nu afecteaz organizaia;
problemele dificile identificate nu trebuie ignorate. Ele pot deveni riscuri n
situaii repetitive din cadrul aceleiai structuri organizatorice sau pentru alte
structuri organizatorice n care astfel de riscuri nu s-au materializat;
riscurile nu trebuie definite numai prin impactul lor asupra activitilor
organizaiei. Impactul nu este risc, ci consecina exploatrii unei vulnerabiliti;
riscurile nu se descriu prin negarea unei situaii;
problemele care vor aprea cu siguran, nu constituie riscuri, ci certitudini;
problemele a cror apariie este imposibil, nu constituie riscuri, ci ficiuni.
2 prezentarea preliminar a cauzelor, descrierea circumstanelor i a factorilor care
favorizeaz apariia riscului;
3 analizarea preliminar a consecinelor asupra activitilor i operaiunilor, n cazul
materializrii riscului.
4 evaluarea preliminara a expunerii la risc se realizeaz prin:
a) stabilirea valorii resursei/operaiunii, pe o scal n trei trepte, ca fiind: puin
important (valoare=1), necesar (valoare=2) sau vital (valoare=3).
b) estimarea probabilitii de apariie a riscului, pe o scal n trei trepte, ca fiind:
neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
c) estimarea vulnerabilitii sistemului informatic, pe o scal n trei trepte, ca
fiind: neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
d) evaluarea preliminar a nivelului riscului, conform matricei de risc, pe o
scal cu trei trepte, ca fiind: sczut, mediu sau mare.
10
e) evaluarea preliminar a valorii riscului se realizeaz prin adunarea valorii

resursei, cu valoarea probabilitii i cu cea a vulnerabilitii. Valoarea
maxim a riscului este 9 (3+3+3 = 9 resursa este vital, probabilitatea este
mare i vulnerabilitatea este mare).
Not: Explicaiile asociate denumirii fiecrei trepte a scalelor de msurare a valorii
resurselor, a probabilitii de apariie i a vulnerabilitii pentru evaluarea riscului inerent
au fost prezentate mai sus.
5 formularea unei opinii cu privire la msurile de tratare (controalele de risc) ce ar trebuie
ntreprinse pentru a gestiona riscul n mod adecvat, astfel nct s se ncadreze n
limitele de toleran;
6 formularul Alert la risc completat corespunztor este trimis coordonatorului stucturii
organizatorice.
Formular alert la risc
ORGANIZAIA -----------------------------Structura organizatoric: -----------------------------DETALII PRIVIND RISCUL
Descrierea riscului
Categorie resurs IT: -----------------------------------------------Denumire resurs IT: -----------------------------------------------Ameninri (factori de risc):
1.--------------2. -------------3. -------------4. -------------5. -------------Vulnerabilitate (descrierea riscului): --------------------------------------------------------------------------------------------------------Evaluare
valorii
resursei
1
2
3
1. neimportant; 2. necesar; 3. vital.
Evaluarea riscului
Evaluarea probabilitii de apariie
1
2
3
1. neglijabil; 2. medie; 3. mare.
Evaluarea vulnerabilitii (impactului)
1
2
3
1. neglijabil; 2. medie; 3. mare.
Opinie cu privire la Tipul de rspuns la risc (strategia adoptat): --------tipul de rspuns la risc
----------Msuri de control le riscului recomandate:------------------------------------------------------------------------------------------------Documentaia utilizat pentru fundamentarea riscului identificat (dac este cazul):--------------------------------------------------------------------------------------------------Nume:
Semntura:
Data ntocmirii:
----------------------------------------zz/ll/aaaa
11
Identificarea i evaluarea riscurilor

Coordonatorul structurii organizatorice analizeaz fiecare formular Alert la risc, primit de
la persoanele care au efectuat analiza preliminar a riscurilor, propunnd:
1 clasarea formularului Alert la risc, dac riscul este nerelevant;
2 nregistrarea riscului ca aparinnd activitii sau operaiuni care se bazeaz pe
sistemul informatic utilizat/administrat de structura organizatoric, caz n care
confirm existena riscului la nivelul structurii organizatorice, stabilete/confirm
nivelul riscului i propune cel puin o msur de tratare a acestuia.
Dup finalizarea aciunii de analiz preliminar a riscurilor, conductorul structurii
organizatorice, centralizeaz rezultatele analizei datelor/informaiilor cuprinse n formularele
Alert la risc, la care anexeaz documentaia privind riscurile nou-identificate.
n cadrul analizei alertelor la risc conductorul structurii organizatorice desfoar
urmtoarele aciuni:
1 delibereaz asupra tuturor riscurilor si stabileste riscurile pentru care s fie luat
decizia de reinere pentru gestionare n cadrul structurii organizatorice;
2 propunerea de clasare pentru riscurile considerate nerelevante;
3 delibereaz asupra riscurilor propuse spre includere n Registrul Riscurilor i face
propuneri de completare a Registrului Riscurilor, cel puin n urmtoarele situaii:
a) msurile prin care se realizeaz un control satisfctor al riscurilor exced
competenelor decizionale ale structurii organizatorice;
b) resursele structurii organizatorice sunt insuficiente;
c) se identific riscuri externe structurii organizatorice, dar al cror impact
afecteaz obiectivele stabilite pentru acesta.
4 efectueaz, pentru fiecare risc identificat i evaluat, o comparare a expunerii la risc
cu limitele de toleran aprobate de conducerea organizaiei;
5 analizeaz rapoartele de audit, reinnd riscurile identificate prin acestea i msurile
de control recomandate a fi implementate;
6 formuleaz propuneri pentru conducerea organizaiei, pentru fiecare risc identificat i
evaluat, cu privire la tipul de rspuns (strategia adoptat) considerat cel mai adecvat
dintre cele de mai jos, decizia final cu privire la acest aspect aparinnd
conductorului organizaiei:
a) acceptarea (tolerarea) riscului, n cazul riscurilor cu expunere sczut
sau atunci cnd aplicarea unei strategii de rspuns la risc nu este posibil;
b) monitorizarea permanent a riscului, n cazul riscurilor cu impact
semnificativ, dar cu probabilitate mic de apariie;
c) evitarea riscului, cu precizarea c aplicarea acestei strategii este limitat
n cazul activitilor care in de obiectul de activitate al organizaiei i de
deciziile conducerii acesteia;
d) transferarea (externalizarea) riscului, ndeosebi n cazul riscurilor
pentru care se nregistreaz doar cheltuieli financiare care pot fi acoperite
prin produse de asigurare;
e) tratarea (atenuarea) riscului, caz n care se identific msurile posibile
ce pot fi luate astfel nct riscurile s fie controlate satisfctor, se
12
grupeaz n variante alternative, se alege varianta cea mai avantajoas din

perspectiva raportului cost/beneficiu.
7 Stabilete ordinea de prioriti n tratarea riscurilor reinute pentru gestionare, astfel
nct expunerea la riscurile reziduale s se situeze n limitele de toleran aprobate;
8 stabilete msurile de control ce trebuie luate n vederea reducerii nivelelui riscurilor
(reducerea probabilitii sau a impactului), termenele-limit pn la care acestea
trebuie implementate, precum i persoanele responsabile cu implementarea lor prin
elaborarea unui planul pentru implementarea msurilor de control.
Conducerea organizaiei i persoana (comitetul) desemnat de aceasta cu responsabiliti
pentru gestionarea riscurilor, dac exist, desfoar urmtoarele aciuni:
1 primete formularele de Alert la risc i documentaia aferent pentru riscurile
semnalate ctre fiecare structur organizatoric;
2 transmite persoanelor responsabile cu implementarea msurilor de control,
modificarea msurilor sau a termenelor pentru riscurile aflate deja n faza de
implementare a msurilor de control intern;
3 iniial intocmete i ulterior completeaz, ori actualizeaz, dup caz, Registrul
Riscurilor, respectivei organizaii cu datele/informaiile despre riscurile care sunt sau
care urmeaz a fi gestionate la nivelul tuturor structurilor organizatorice.
Revizuirea i raportarea situaiei riscurilor
Cel puin anual sau ori de cte ori este cazul, conductorii structurilor organizatorice asigur
analizarea stadiului implementrii msurilor de control, a eficacitii acestora, precum i
reevaluarea riscurilor din sfera lor de responsabilitate.
n cadrul procesului de revizuire, se analizeaz dac:
1 riscurile persist;
2 au aprut riscuri noi;
3 impactul i probabilitatea riscurilor au suferit modificri, caz n se revizuiesc
nivelurile riscurilor;
4 sunt necesare noi msuri de control de risc i termene pentru implementarea acestora;
5 se impune reprioritizarea riscurilor;
Anual, conductorii structurilor organizatorice elaboreaz un raport cu privire la desfurarea
procesului de gestionare/revizuire a riscurilor la nivelul structurii organizatorice. Raportul
cuprinde o sintez a activitilor desfurate, n perioada de raportare, n cadrul procesului de
gestionare a riscurilor, coninnd cel puin urmtoarele aspecte:
1 activitile derulate n perioada pentru care se ntocmete raportul, n scopul tratrii
riscurilor identificate;
2 riscuri noi, tipul de rspuns i msurile de control instituite pentru acestea;
3
rezultatele reevalurii riscurilor, n cazul n care riscurile au fost reevaluate n

perioada raportat;
13
meniuni cu privire la ntocmirea/actualizarea Registrului riscurilor;
5 alte aspecte/probleme considerate relevante, n legtur cu modul n care au fost

gestionate riscurile la nivelul structurii organizatorice.
Raportul privind gestionarea i revizuirea riscurilor cuprinde, distinct, dou seciuni
referitoare la:
riscurile cu un nivel al expunerii ridicat i foarte ridicat, care ar putea

afecta ndeplinirea obiectivelor specifice ale structurilor organizatorice;
stadiul implementrii planului, la data raportrii.
Conductorul structurii organizatorice transmite conducerii organizaiei i persoana

(comitetul) desemnat de aceasta cu responsabiliti pentru gestionarea riscurilor, dac exist,
un exemplar al raportului, n vederea:
1 ntocmirii i actualizrii Registrului Riscurilor la nivelul ntregii organizaii, prin
agregarea datelor/informaiilor cuprinse n Registrul riscurilor de la nivelul fiecrei
structuri organizatorice;
2 ntocmirii i actualizrii profilului de risc al organizaiei, prin regruparea riscurilor
identificate, evaluate i ierarhizate n raport cu mrimea deviaiei expunerii fiecrui
risc de la tolerana la risc;
3 ntocmirii raportului privind evaluarea intern a riscurilor operaionale generate de
sistemele informatice pentru transmiterea lui ctre ASF, n conformitate cu prevederile
art.14 alin.(1) lit. a) din Norma ASF nr. 6/2015. n cadrul raportului se cuprinde,
distinct, o seciune referitoare la riscurile cu un nivel al expunerii ridicat i foarte
ridicat, care ar putea afecta ndeplinirea activitatea organizaiei.
n situaia n care intervin modificri n coninutul rapoartelor i a registrelor de riscuri,
conductorii structurilor organizatorice asigur transmiterea, ctreconducerea organizaiei, a
rapoartelor i/sau registrelor revizuite n termenul cel mai scurt posibil, dar nu mai trziu de
15 zile de la modificarea acestora.
Pentru etapa iniial, termenul pentru transmiterea la ASF a raportului privind evaluarea
intern a riscurilor operaionale generate de sistemele informatice este de 30 iunie 2016.
Stabilirea limitelor de toleran (tolerana la risc)
Condurtorii fiecrei structuri organizatorice analizeaz, cel puin o dat pe an, limitele de
toleran i, dac este cazul, propune revizuirea acestora, cel mai trziu pn la sfritul lunii
februarie pentru anul n curs.
Propunerile privind limitele de toleran revizuite se aprob de conducerea organizaiei
(Consiliul de administraie, Comitetul director sau Directorul general).
Toate riscurile trebuie controlate astfel nct expunerea la risc s se ncadreze n limitele de
toleran aprobate.
Limitele de toleran la risc au caracter obligatoriu pentru structurile organizatorice i au
aplicabilitate pn la o nou revizuire a acestora.
14
Implementarea i monitorizarea msurilor de control al riscurilor

Anual, pn la finele lunii februarie, conductorul fiecrei structuri organizatorice, ntocmete
Planul pentru implementarea msurilor de control ale riscurilor, pentru anul n curs, innd
cont i de:
deciziile conducerii organizaiei;
recomandrile cu privire la msurile de control, cuprinse n rapoartele de audit
(auditul intern, auditul IT Extern, auditul IT cu resurse interne certificate,
evalurile funciei de management al riscurilor).
Dup aprobare, conductorul structurii organizatorice transmite persoanelor responsabile cu
implementarea msurilor de control ale riscurilor, cte un exemplar al acestuia, pentru
aplicare, precum i conducerii organizaiei pentru includerea lor n raportul privind evaluarea
intern a riscurilor operaionale generate de sistemele informatice.
Responsabilii cu implementarea msurilor de control informeaz semestrial i ori de cte ori
este cazul, pe conductorul structurii organizatorice, cu privire la stadiul implementrii
msurilor de control ale riscurilor, pentru analiz i decizie.
Concluzii analiza riscuri

In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:
1. Definirea evenimentelor critice
Solutia si serviciile de protectie pentru gestionarea corespunztoare a riscurilor operaionale
generate de sistemele informatice vor acoperi urmatoarele evenimente:
Riscuri aferente oamenilor:
o nerespectarea proceselor, procedurilor sau a instruciunilor de lucru;
o erori de introducere manual sau de utilizare neadecvat a sistemelor
informatice;
o cunostine, experien i pregtire insuficient a personalului care utilizeaz
sau deservete sistemele informatice;
o personal insuficient;
o dependena de angajai cheie;
o lips de comunicare i cooperare ntre angajai;
o neraportarea erorilor sau greelilor aferente sistemelor informatice;
o alterarea datelor;
o modificarea informaiilor sau a datelor din rapoarte, fr documentarea
adecvat;
o conflict de interese ntre personalul care dezvolt i cel care administreaz
sistemele informatice ori ntre utilizatorii acestora;
o lipsa
unei
delimitri
clare
ntre
rolurile
persoanelor
care
acceseaz/administreaz/ dezvolt sistemele informatice;
o automulumire;
o fraud;
o operaiuni suspecte de splarea banilor i finanarea actelor de terorism;
o nerespectarea regimului de sanciuni internaionale.
15
Riscuri aferente proceselor:

o Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la
managementul schimbrii, al incidentelor, al problemelor, al nivelurilor de
servicii, al versionrilor, al capacitii, al disponibilitii i al proiectelor),
erori de metodologie sau de model, erori de evaluare, disponibilitatea
rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control
inadecvat al proceselor, software neadecvate obiectivelor de activitate,
insuficiena guvernanei corporative n acest domeniu;
o Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementul
inadecvat al datelor i informaiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidenialitate, fraude;
o Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i
atribuiilor, depirea limitelor, riscuri de volum, riscuri de securitate, riscuri
de raportare, riscuri de nregistrri contabile neadecvate, control inadecvat al
activitilor externalizate, ntreruperea furnizrii serviciilor, neidentificarea
operaiunilor n spe n funcie de indicatorii de risc i variabile analitice
prestabilite.
Riscuri aferente sistemelor:
o sistem inadecvat de management al tehnologiei i securitii;
o lipsa metodologiilor de dezvoltare si testare;
o capacitate insuficient de procesare;
o ntreruperi n funcionarea sistemelor (hardware, software, stocare,
telecomunicaii);
o cderi de reea;
o ntreruperii n furnizarea serviciilor prestate de furnizorii externi;
o sisteme inadecvate;
o protecie inadecvat mpotriva malware;
o riscuri de compatibilitate;
o riscuri generate de furnizori/vnztori;
o erori de programare;
o coruperea datelor;
o riscuri de recuperare dup dezastre;
o testare necorespunztoare a recuperrii n caz de dezastru;
o sistem inadecvat de actualizare tehnologic;
o sisteme nvechite;
o servicii necorespunztoare de suport pentru sisteme.
o caderi echipamente IT
Riscuri aferente mediului extern:
o pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate
de oameni ori factori din afara organizaiei;
o ntreruperi n furnizarea serviciilor prestate de furnizori externi;
o fraude i activiti criminale externe;
o expuneri externe ale securitii sistemelor;
o atacuri teroriste clasice sau informatice;
o criminalitate economic i/sau informatic;
o cderi ale alimentarii cu electricitate.
16
2. Identificarea sistemelor informatice importante din cadrul organizatiei

n aceast seciune vor fi evideniate sistemele informatice importante, inclusiv principalele
caracteristici i versiunea n lucru la momentul evalurii.
3. Disponibilitatea sistemului
Sistemul i serviciile de protectie pentru situatii de dezastru trebuie sa asigure reducerea
riscurilor de indisponibilitate a sistemelor de productie cu o recuperare completa a
functionalitatii sistemelor informatice intr-un interval orar de ordinul orelor.
4. Toleranta la dezastru
Toleranta la dezastru este asigurata prin tehnologia si serviciile cu grad inalt de disponibilitate
care determina continuarea operarii aplicatiilor critice in cazul unui dezastru in cadrul
sistemelor organizatiei aceasta toleranta trebuie sa fie mare pentru garantarea continuitatii
operationale.
5. Restaurarea serviciilor (RTO - Recovery Time Objective)
Timpul de restaurare a serviciilor reprezinta timpul scurs intre producerea incidentului critic
care a determinat inoperabilitatea site-ului principal si reluarea functionalitatii sistemului de
catre site-ul de recuperare.
In cadrul proiectului timpul estimat este de x ore in cazul comutarii totale datorat
constrangerilor impuse de tehnologii, identificarea riscului si a masurilor necesare,
convocarea personelor responsabile si asigurarea intregii functionalitati la nivelul centrului de
recuperare.
In cazul comutarii manuale in care este necesara si identificarea incidentului timpul estimat de
recuperare este de yy minute.
In anumite circumstante, in conditiile in care comutarea se realizeaza automat si nu s-a produs
un incident major, timp de recuperare poate fi redus substantial.
6. Pierderile de date (RPO - Recovery Point Objective)
Pierderile de date reprezinta valoarea reala a pierderilor de date din momentul producerii
incidentului pana la recuperarea acetuia, sau volumul de date care trebuie recreat pentru a se
asigura integritatea datelor.
Cantitatea de date acceptate a fi pierdute in cazul unui dezastru depind de urmatorii factori:
cantitatea de date modificate (mediu/maxim) pe unitatea de timp;
interdependenta dintre aplicatiile care compun sistemul informatic;
calitatea, mediul si latimea de banda a conexiunilor dintre cele doua locatii.
Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice

n tabelul de mai jos este prezentat un exemplu de evaluare intern a riscurilor operaionale
generate de sistemele informatice aplicat pentru o organizaie ipotetic a crei structur
organizatoric i infrastructur IT a fost descris la nceputul materialului.
17
Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice (registrul riscurilor operaionale IT)
Categorie
Resurs/
Activitate
[1]
Denumire sistem informatic

[2]
Valoare
resursa /
activitate
[3]
Risc (descriere / amenintare)
Vulnerabilitate (factori de risc)
[4]
[5]
Valoare
probabilitate
[6]
Valoare
vulnerabi
li-tate
[7]
[3]+[6]+[7]
Masuri de
control al
riscului
[8]
Anexa 1
Valoare
risc
Categoria 1 - riscuri operaionale OAMENI
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Personal si
activitati
front-office
Personal si
activitati
front-office
Personal si
activitati
front-office
Staie de lucru / baz de date /

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
Conducerea executiv
nerespectarea proceselor,
Lipsa unor instrumente de control pentru situatia
procedurilor sau a instruciunilor
in care conducerea executiva nu respecta
de lucru
procesele si procedurile de lucru
Automulumire
Implementarea unor controale insuficiente sau

ineficiente.
Anexa 1
operaiuni suspecte de splarea

banilor i finanarea actelor de
terorism
Lipsa filtrelor eficiente pentru tranzactiile

suspecte.
Anexa 1
nerespectarea regimului de
sanciuni internaionale
Anexa 1
Frauda interna
Anexa 1
Vanzarea de produse
necorespunzatoare clientilor
respectivi
Functionarea defectuoasa a sistemelor de front

office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.
Anexa 1
erori de introducere manual sau

de utilizare neadecvat a
sistemelor informatice
cunostinte si pregtire insuficiente a

personalului financiar contabil
Anexa 1
Stergerea accidentala a
informatiilor stocate in bazele de
date

personalului financiar contabil. Management
impropriu al drepturilor de acces in aplicatie
Anexa 1

suspecte. Neaducerea la zi a noutatilor cu privire
la sanctiunile internationale
Lipsa verificarilor eficace. Lipsa principiului
celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.
Relatia cu clientii
18
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Sistem operatiuni / Staie de

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
Frauda interna

Anexa 1
de lucru
Lipsa unor instrumente de control pentru situatia

in care conducerea executiva nu respecta
procesele si procedurile de lucru
Anexa 1
Automulumire
Implementarea unor controale insuficiente sau

ineficiente.
Anexa 1
operaiuni suspecte de splarea

banilor i finanarea actelor de
terorism

suspecte.
Anexa 1
nerespectarea regimului de
sanciuni internaionale

suspecte. Neaducerea la zi a noutatilor cu privire
la sanctiunile internationale
Anexa 1
Frauda interna

Anexa 1
Vanzarea de produse
respectivi

Anexa 1
modificarea informaiilor sau a

datelor din rapoarte, fr
documentarea adecvat
Raportarea eronata catre autoritatile de

supraveghere
Anexa 1
19
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante


Anexa 1
date

Anexa 1
Erori de evaluare
Evaluarea eronata a activelor societatii
Anexa 1
Erori de procesare
Procesarea eronata a documentelor justificative
Anexa 1
Erori de plata
Plata eronata a unor sume de bani
Anexa 1

Procesarea eronata a unor operatiuni
Anexa 1
Frauda interna

Anexa 1
dependena de angajai cheie
Inexistenta unui back-up pentru persoanele cheie

din companie. Proceduri de recrutare ineficiente.
Anexa 1
Personal insuficient
Anexa 1
20
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
lipsa unei delimitri clare ntre

rolurile persoanelor care
acceseaz/administreaz/dezvolt
sistemele informatice
Proceduri de lucru neclare sau nepuse in aplicare
Anexa 1
conflict de interese ntre

personalul care dezvolt i cel
care administreaz sistemele
informatice ori ntre utilizatorii
acestora
Inexistenta unor proceduri privind gestiunea

conflictelor de interesa sau nepunerea in aplicare
a acesteia
Anexa 1
cunostine, experien i
pregtire insuficient a
personalului care utilizeaz sau
deservete sistemele informatice
Buget de training insuficient. Lipsa implicarii

managementului in acest aspect.
Anexa 1
alterarea datelor
Alterarea datelor din sistemele informatice, fara

posibilitatea identificarii autorului si a
informatiilor initiale
Anexa 1
de lucru
Procese organizatorice, proceduri si instructiuni

de lucru neimplementate sau inexistente
Anexa 1
Lips de comunicare i cooperare

ntre angajai
Necomunicarea la timp a unor informatii critice

de la un departament catre altul
Anexa 1
Proceduri de recrutare ineficiente. Buget de

resurse umane insuficient. Evaluarea eronata e
necesarului de personal
Anexa 1
Anexa 1
Financiar - contabilitate
Personalul si
activitati
financiar
contabile
Sistem financiar contabil /

sisteme informatice
importante / Alte sisteme
modificarea informaiilor sau a

datelor din rapoarte, fr
documentarea adecvat

supraveghere
21
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
informatice importante
sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice


Anexa 1
date

Anexa 1
Erori de evaluare
Anexa 1
Erori de procesare
Procesarea eronata a documentelor justificative
Anexa 1
Erori de plata
Plata eronata a unor sume de bani
Anexa 1

Procesarea eronata a unor operatiuni
Anexa 1
Frauda interna

Anexa 1
Anexa 1
Functii cheie ale entitatii

Functii cheie
si activitati
aferente
Sistem cheie / Staie de lucru /

baz de date / sisteme
sisteme informatice
importante
dependena de angajai cheie

22
Functii cheie
si activitati
aferente

sisteme informatice
importante
Personal si
sisteme IT

sisteme informatice
importante
Personal si
sisteme IT

sisteme informatice
importante
Personal si
sisteme IT

sisteme informatice
importante
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Functii suport
si activitati
aferente

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
Staie de lucru / baz de date
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Necomunicarea la timp a unor informatii critice

de la un departament catre altul
Anexa 1
Suport
Categoria 2 - riscuri operaionale PROCESE
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Tehnologia informatiei
lipsa unei delimitri clare ntre
rolurile persoanelor care
Proceduri de lucru neclare sau nepuse in aplicare
acceseaz/administreaz/dezvolt
sistemele informatice
conflict de interese ntre
personalul care dezvolt i cel
Inexistenta unor proceduri privind gestiunea
care administreaz sistemele
conflictelor de interesa sau nepunerea in aplicare
informatice ori ntre utilizatorii
a acesteia
acestora
cunostine, experien i
pregtire insuficient a
Buget de training insuficient. Lipsa implicarii
personalului care utilizeaz sau
managementului in acest aspect.
deservete sistemele informatice
alterarea datelor
Procese organizatorice, proceduri si instructiuni
de lucru neimplementate sau inexistente
de lucru
Lips de comunicare i cooperare
ntre angajai
Conducerea executiv
Procese organizatorice neimplementate sau
lipsa proceselor organizatorice
inexistente
Controlul efectuat de personal necorespunzator.
control inadecvat al proceselor
Neefectuarea controalelor conform cerintelor
interne
insuficiena guvernanei
Inexistenta strategiei privind guvernanta
corporative
corporativa. Mecanisme de guvernanta
23
corporativa necorespunzatoare
Personal si
activitati
front-office
Personal si
activitati
front-office
Personal si
activitati
front-office
Sistem front-office
sisteme informatice
importante
sisteme informatice
importante
Relatia cu clientii
Vanzarea de produse
respectivi

date
Anexa 1

Anexa 1

Anexa 1
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
lipsa separrii drepturilor i

atribuiilor
Tranzactionarea efectuata de catre personal

necalificat sau fara atributii in domeniul
respectiv
Anexa 1
depirea limitelor
Tranzactionarea eronata a unor instrumente

financiare
Anexa 1
riscuri de volum
Tranzactionarea eronata a unor instrumente

financiare
Anexa 1
riscuri de securitate

Anexa 1
riscuri de raportare

supraveghere
Anexa 1
24
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
riscuri de nregistrri contabile

neadecvate
Procesarea eronata a tranzactiilor cu instrumente

financiare
Anexa 1
control inadecvat al activitilor

externalizate
Lipsa unor controale interne cu privire la

activitati critice
Anexa 1
ntreruperea furnizrii serviciilor
Un sistem informatic critic nu poate fi accesat

pentru o lunga perioada de timp
Anexa 1
neidentificarea operaiunilor n
spe n funcie de indicatorii de
risc i variabile analitice
prestabilite
Neidentificarea indicatorilor de risc.

Parametrizarea necorespunzatoare a variabilelor
analitice prestabilite.
Anexa 1
lipsa proceselor organizatorice
Procese organizatorice neimplementate sau

inexistente
Anexa 1
control inadecvat al proceselor
Controlul efectuat de personal necorespunzator.

Neefectuarea controalelor conform cerintelor
interne
Anexa 1
insuficiena guvernanei
corporative
Inexistenta strategiei privind guvernanta

corporativa. Mecanisme de guvernanta
corporativa necorespunzatoare
Anexa 1
Vanzarea de produse
respectivi

Anexa 1
erori de execuie
Executarea eronata a unor operatiuni contabile
Anexa 1
25
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
erori de nregistrare
Inregistrarea eronata a unor operatiuni

economice
Anexa 1
managementul inadecvat al
datelor i informaiilor
Neasigurarea caracteristicilor informatiilor

(consistenta, durabilitate)
Anexa 1
erori de matching, compensare i

colateral
Matching eronat datorat sistemelor informatice

utilizate. Erori in cadrul procesului de
compensare. Erori in cadrul procesului de
adecvare a colateralului clientilor
Anexa 1
complexitatea produselor
Erori cauzate de neintelegerea naturii economice

de la baza unor produse financiare complexe
Anexa 1
riscuri de capacitate
Capacitate insuficienta a bazelor de date de a

prelua informatiile. Capacitate insuficienta de
personal de a gestiona volumul operatiunilor
financiare
Anexa 1
riscuri de evaluare
Anexa 1
riscuri de confidenialitate
Divulgarea de informatii sensibile catre mediul

exterior. Furt de date cu caracter personal
Anexa 1
fraude
Fraude cauzate de personal financiar contabil cu

acces la multiple sisteme si niveluri informatice.
Anexa 1
26
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
erori de metodologie sau de

model
Definirea gresita a modelelor econometrice
Anexa 1
erori de evaluare
Anexa 1
disponibilitatea rezervelor pentru

acoperirea pierderilor
Rezerve insuficiente pentru acoperirea

pierderilor operationale. Lichiditate insuficienta
a activelor din rezerve
Anexa 1
complexitatea modelelor

Anexa 1
software neadecvate obiectivelor

de activitate
Sofware fara functiile critice necesare. Software

cu o viteza redusa de procesare, sau cu o
capacitate insuficienta de procesare a
informatiilor.
Anexa 1

Anexa 1
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile

sisteme informatice
sisteme informatice
erori de execuie
Executarea eronata a unor operatiuni contabile
Anexa 1
erori de nregistrare
Inregistrarea eronata a unor operatiuni

economice
Anexa 1
27
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile

sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice
sisteme informatice
managementul inadecvat al
datelor i informaiilor
Neasigurarea caracteristicilor informatiilor

(consistenta, durabilitate)
Anexa 1
erori de matching, compensare i

colateral
Matching eronat datorat sistemelor informatice

utilizate. Erori in cadrul procesului de
compensare. Erori in cadrul procesului de
adecvare a colateralului clientilor
Anexa 1
complexitatea produselor

Anexa 1
riscuri de capacitate

financiare
Anexa 1
riscuri de evaluare
Anexa 1
riscuri de confidenialitate
Divulgarea de informatii sensibile catre mediul

exterior. Furt de date cu caracter personal
Anexa 1
fraude
Fraude cauzate de personal financiar contabil cu

acces la multiple sisteme si niveluri informatice.
Anexa 1
Anexa 1

Functii cheie
si activitati
aferente

sisteme informatice
importante
erori de metodologie sau de

model
Definirea gresita a modelelor econometrice
28
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
erori de evaluare
Anexa 1
disponibilitatea rezervelor pentru

acoperirea pierderilor
Rezerve insuficiente pentru acoperirea

pierderilor operationale. Lichiditate insuficienta
a activelor din rezerve
Anexa 1
complexitatea modelelor

Anexa 1
Anexa 1
Anexa 1
Anexa 1
Personal si
sisteme IT

sisteme informatice
importante
Functii suport
si activitati
aferente
Sofware fara functiile critice necesare. Software
software neadecvate obiectivelor
cu o viteza redusa de procesare, sau cu o
de activitate
capacitate insuficienta de procesare a
informatiilor.
Suport
Categoria 3 - riscuri operaionale SISTEME
Conducerea executiv
Sisteme care nu asigura functiile critice
sistem inadecvat de management
necesare. Inexistenta procedurilor de backup.
al tehnologiei i securitii
Operabilitate redusa a sistemelor.
Relatia cu clientii
Conducerea
societatii
Personal si
activitati
front-office
Sistem front-office
sisteme inadecvate

necesare. Operabilitate redusa a sistemelor.
Anexa 1


Anexa 1

Anexa 1
Personal si
activitati
front-office
Personal si
activitati

sisteme informatice
importante
29
front-office

sisteme informatice
importante
date
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sistem inadecvat de management

al tehnologiei i securitii

necesare. Inexistenta procedurilor de backup.
Operabilitate redusa a sistemelor.
Anexa 1
sisteme inadecvate

necesare. Operabilitate redusa a sistemelor.
Anexa 1
coruperea datelor
Prezenta datelor invalide, sau a datelor ce nu pot

fi accesate de ctre utilizatori
Anexa 1
capacitate insuficient de
procesare

financiare
Anexa 1
ntreruperi n funcionarea
sistemelor (hardware, software,
stocare, telecomunicaii)
Lipsa sistemelor de back-up pentru energie

electrica sau a liniilor secundare de
telecomunicatii
Anexa 1
cderi de reea
Inexistenta sistemelor de backup

corespunzatoare
Anexa 1
ntreruperii n furnizarea
serviciilor prestate de furnizorii
externi
Neraportarea incidentului ctre furnizor in timp

util.
Anexa 1
protecie inadecvat mpotriva

malware
Sisteme critice importante afectate de malware
Anexa 1
30
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
riscuri de compatibilitate
Incapacitatea de a utiliza informatii sau fisiere

necompatibile cu noile versiuni ale programelor
software
Anexa 1
riscuri generate de
furnizori/vnztori

telecomunicatii
Anexa 1
erori de programare
Buguri, posibile brese de securitate, procesare

inceata a datelor, baze de date instabile.
Anexa 1
riscuri de recuperare dup

dezastre
Plan BCP necorespunzator sau necunoscut de

catre angajati. Locatie secundara improprie.
Anexa 1
testare necorespunztoare a
recuperrii n caz de dezastru
Locatie secundara improprie. Testarea

neefectuata la timp, sau efectuata partial
Anexa 1
sistem inadecvat de actualizare

tehnologic
Pierderi sau coruperea informatiilor existente.

Atacuri cibernetice asupra sistemelor critice
Anexa 1
sisteme nvechite

Anexa 1
lipsa metodologiilor de
dezvoltare si testare
Dezvoltare improprie a sistemelor informatice.

Testare ce nu tine cont de specificatiile de
business
Anexa 1
31
Personal si
activitati
operatiuni

sisteme informatice
importante
Personalul si
activitati
financiar
contabile

sisteme informatice
Functii cheie
si activitati
aferente

sisteme informatice
importante
servicii necorespunztoare de
suport pentru sisteme
Neconformitatea cu reglementarile legale

respective (resurse umane, PSI, autorizari /
avizari autoritati locale)
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Prezenta datelor invalide, sau a datelor ce nu pot

fi accesate de ctre utilizatori
coruperea datelor
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
capacitate insuficient de
procesare

financiare
ntreruperi n funcionarea
sistemelor (hardware, software,
stocare, telecomunicaii)
telecomunicatii
cderi de reea
Inexistenta sistemelor de backup

corespunzatoare
Anexa 1
ntreruperii n furnizarea
serviciilor prestate de furnizorii
externi
Neraportarea incidentului ctre furnizor in timp

util.
Anexa 1
protecie inadecvat mpotriva

malware
Sisteme critice importante afectate de malware
Anexa 1
riscuri de compatibilitate
Anexa 1
riscuri generate de
furnizori/vnztori
Anexa 1
erori de programare
Buguri, posibile brese de securitate, procesare

inceata a datelor, baze de date instabile.
Anexa 1
riscuri de recuperare dup

dezastre
Plan BCP necorespunzator sau necunoscut de

catre angajati. Locatie secundara improprie.
Anexa 1
Incapacitatea de a utiliza informatii sau fisiere

necompatibile cu noile versiuni ale programelor
software
telecomunicatii
32
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
testare necorespunztoare a
recuperrii n caz de dezastru
Locatie secundara improprie. Testarea

neefectuata la timp, sau efectuata partial
Anexa 1
sistem inadecvat de actualizare

tehnologic

Anexa 1
sisteme nvechite

Anexa 1
lipsa metodologiilor de
dezvoltare si testare
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Personal si
sisteme IT
Router
(Model , Serie)
Personal si
sisteme IT
IPS / IDS (Model , Serie)
Personal si
sisteme IT
Switch 1,2 (Model, Serie)
Personal si
sisteme IT
Server Mail (Model, Serie)
Personal si
sisteme IT
Server Backup
(Model, Serie)
Personal si
sisteme IT
Server Web
(Model, Serie)
Personal si
sisteme IT
Server BD
(Model, Serie)
Personal si
sisteme IT
Server Aplicatie Online

Clienti
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Incendiu
Cutremur
Inundatie
Incendiu
Cutremur
Inundatie
Incendiu
Cutremur
Inundatie
Incendiu
Cutremur
Inundatie
Incendiu
Cutremur
Inundatie
Incendiu
Cutremur
Inundatie
Incendiu
Dezvoltare improprie a sistemelor informatice.

Testare ce nu tine cont de specificatiile de
business
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
incediilor
Defectiune hardware
incediilor
Defectiune hardware
incediilor
Defectiune hardware
incediilor
Defectiune hardware
incediilor
Defectiune hardware
incediilor
Defectiune hardware
incediilor
33
(Model, Serie)
Personal si
sisteme IT
Sever Aplicatii Intranet

(Model, Serie)
Personal si
sisteme IT
Echipament1 locatie DR
(Model, Serie)
Personal si
sisteme IT
Echipament2 locatie DR
(Model, Serie)
Cutremur
Inundatie
Incendiu
Cutremur
Inundatie
N/A
Echipament hostat intr-o locatie
alternativa DataCenter
N/A
Echipament hostat intr-o locatie
alternativa DataCenter
Personal si
sisteme IT
Imprimante, scanere
Incendiu
Cutremur
Inundatie
Personal si
sisteme IT
Echipament desktop
Incendiu
Cutremur
Inundatie
Personal si
sisteme IT
Aplicatie online clienti
Personal si
sisteme IT
Aplicatie contabilitate
Personal si
sisteme IT
Aplicatie Intranet
Personal si
sisteme IT
Solutie securitate IT
(antivirus, firewall, etc)
Personal si
sisteme IT
Licente Sistem Operare 1
Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale
software-ului sau datelor
Erori de programare
Erori de programare
Acces neautorizat
Erori de operare
Erori de programare
Acces neautorizat
Erori de programare
Erori de programare
Acces neautorizat
Vulnerabilitati software. Acces
neautorizat

Defectiune hardware
incediilor
Defectiune hardware
Anexa 1
Defectiune hardware
N/A
Defectiune hardware
N/A
Anexa 1
Anexa 1
Lipsa testari periodice

Neaplicarea la timp a update-urilor necesare
Pregtire de specialitate necorespunz-toare a
personalului.
Anexa 1

Anexa 1
Anexa 1
Anexa 1
Anexa 1

incediilor
Defectiune hardware
incediilor
Defectiune hardware

Pregtire de specialitate necorespunz-toare a
personalului.
34
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Functii suport
si activitati
aferente
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Contracte
Corespondenta
Arhiva date
Declaratii
Dosare personal
Decizii

sisteme informatice
importante
sisteme informatice
importante
Configurarea necorespunztoare a funciilor de

securitate ale sistemelor de operare
Acces neautorizat
Lipsa filtru software
Dezvaluire informatii
Continut trafic utilizatori
Acces neautorizat
Acces neautorizat
Acces neautorizat
Acces neautorizat
Acces neautorizat
Suport
Categoria 4 - riscuri operaionale EXTERNE
Conducerea executiv
Pierderea persoanelor cheie
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1


Anexa 1
date

Anexa 1
Relatia cu clientii
Personal si
activitati
front-office
Personal si
activitati
front-office

sisteme informatice
importante
Vanzarea de produse
respectivi

Anexa 1


Anexa 1
35
Personal si
activitati
front-office
sisteme informatice
importante
sisteme informatice
importante
date

Anexa 1
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
ntreruperi n furnizarea
serviciilor prestate de furnizori
externi

telecomunicatii
Anexa 1
Pierderea persoanelor cheie

Anexa 1
Vanzarea de produse
respectivi

Anexa 1
fraude i activiti criminale

externe

Anexa 1
pierderi datorate evenimentelor

catastrofice/dezastrelor naturale
sau generate de oameni ori
factori din afara organizaiei

incediilor
Defectiune hardware
Anexa 1
atacuri teroriste clasice sau

informatice
Lipsa sistemelor de siguranta si de back-up a

sistemelor informatice critice
Anexa 1
criminalitate economic i/sau

informatic

Anexa 1
36
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
cderi ale alimentarii cu

electricitate

telecomunicatii
Anexa 1
expuneri externe ale securitii

sistemelor

incediilor
Defectiune hardware
Anexa 1

Anexa 1
Anexa 1
Personalul si
activitati
financiar
contabile

sisteme informatice
fraude i activiti criminale

externe


Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente

sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
importante
sisteme informatice
pierderi datorate evenimentelor

catastrofice/dezastrelor naturale
sau generate de oameni ori
factori din afara organizaiei

incediilor
Defectiune hardware
Anexa 1
atacuri teroriste clasice sau

informatice

Anexa 1
criminalitate economic i/sau

informatic

Anexa 1
cderi ale alimentarii cu

electricitate

telecomunicatii
Anexa 1
37
importante
Personal si
sisteme IT

sisteme informatice
importante
Functii suport
si activitati
aferente
expuneri externe ale securitii
incediilor
sistemelor
Defectiune hardware
Suport
Anexa 1
Anexa 1
38
Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)
ANEXA 1 la registrul riscurilor
Nr.
Crt
1.
Eveniment
Ameninare
nedorit
Producerea
unui incendiu
Incendiu
Vulnerabilitate
asociat
Absena unui sistem automat de
detectie si stingere a incendiului.
Prob.
Nivel Nivel
prod.
Impact risc
even.
Mica Mare Mediu
1.
2.
3.
Msuri de control al riscului

Implementate
-Verificarea si intreinerea instalaiilor.
-Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up,
persoanele autorizate i verificarea periodic.
-Exista BCP, locatie alternativa de procesare a datelor.
- Instruirea personalului autorizat al sistemului privind modul de aciune la incendiu.
Masuri viitoare
-Existena unor mijloace automate de detectie si stingere a incendiului
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente
6. -Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
Mare Mediu Implementate
1. -Structura de rezisten a cldirii este solid.
2. -Pereii exteriori i despritori ai camerelor n care sunt instalate echipamentele sistemului sunt din
materiale solide.
- -Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up, persoanele
autorizate i verificarea periodic.
7. -Exista BCP, locatie alternativa de procesare a datelor.
4.
5.
2.
Producerea
unui
cutremur
Cutremur
Lipsa planurilor de continuare a

Mica
activitatii sau a procedurilor de
recuperare /refacere a informatiilor
in caz de cutremur
1.
8.
3.
Alimentarene Cderi ale

corespunzto tensiunii de
are cu
alimentare
energie
electrica
Lipsa surselor nentreruptibile de

alimentare cu energie electrica.
Mica
Mare Mediu
1.
2.
Masuri viitoare
-Instruirea personalului autorizat al sistemului privind modul de aciune in caz de cutremur.
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente.
Implementate
-Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
-Toate serverele sunt prevazute cu UPS
Masuri viitoare
- implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric
39
Nr.
Crt
Eveniment
Ameninare
nedorit
4.
Copierea
Dezvaluire
neautorizat informatii
de date /
software
Vulnerabilitate
asociat
Acces neautorizat - Copierea
neautorizat de date / software
Prob.
Nivel Nivel
prod.
Impact risc
even.
Mica Mare Mediu
1.
Configurarea necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Erori de
operare ale
personalului Lipsa fiierelor de back-up.
5.
Utilizarea
necorespunz
toare a
resurselor i
serviciilor
Erori de
sistemului programare
(erori de
utilizare)
Pregtire de specialitate
necorespunztoare a personalului.
Configurarea necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Lipsa fiierelor de back-up.
Pregtire de specialitate
necorespunztoare a personalului.
Lipsa fiierelor de back-up.
Modificri
neautorizate Pregtire de specialitate
ale software- necorespunztoare a personalului.
ului
Mica
2.
3.
Mare Mediu
Mica
Mare Mediu
Mica Mediu
Msuri de control al riscului

Implementate
-Existenta IDS, antivirus, Firewall.
-Instruirea continua a personalului.
-Backup periodic al datelor in data center conform procedurilor operationale existente
Masuri viitoare
-Utilizatorii cu drepturi de acces limitate ai sistemului trebuie s aib o pregtire corespunztoare privind
utilizarea resurselor i serviciilor sistemului.
-De asemenea trebuie resprectata politica de securitate existenta.
-In zona serverelor si nu numai accesul se va face pe baza de cartela magnetica.
Implementate
- Exista elaborata o politica de securitate care s in cont de rolul i misiunea sistemului, grupele de
utilizatori autorizai ai sistemului i de aplicarea principiului necesitii de a cunoate.
-Exista elaborarta o procedura de creare a fiierelor de back up care s vizeze frecvena, tipul de back-up,
persoanele autorizate i verificarea periodic a fiierelor de back-up.
-S-a creat o locatie alternativa de backup in DataCenter-ul X
- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul
de productie
Mic
Mica
Mare Mediu
1.
Mica
Mica
Mare Mediu
Mare Mediu
Mica
Mare Mediu
Mica
Mare Mediu
Masuri viitoare
-Cursuri de specialitate
40

Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015

Încărcat de

Drepturi de autor:

Formate disponibile

Exemplu de metodologie privind evaluarea intern a riscurilor operaionale

generate de sistemele informatice

tehnologiilor de procesare a informaiei, la modificri majore ale sistemului, n urma

sau de model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea

Structura organizaiei, sistemele informatice ale organizaiei i gestionarea

identificarea aplicaiilor critice a cror replicare este necesar n cadrul centrului de

descrierea infrastructurii IT din cadrul organizaiei;

Managementul securitii informaiei: Msurile managementului securitii

Clasificarea informaiei, sistemelor i resurselor: Informaiile, sistemele i resursele

Identificarea i autentificarea: toate informaiile i sistemele cu care institutia pune

Confidenialitatea: confidenialitatea tuturor datelor, informaiilor, sistemelor,

Contabilizarea: Contabilizarea i responsabilitatea aciunilor utilizatorilor trebuie s

Disponibilitatea: Toate informaiile i sistemele trebuie s fie disponibile utilizatorilor

Non-repudierea: Este un concept pentru asigurarea c o parte vtmat ntr-o disput

Controlul accesului fizic i logic: Toate informaiile i sistemele vor fi asigurate

Evaluarea riscului: Evaluarea ameninrilor, impactului i vulnerabilitilor

Managementul riscului: Procesul de identificare, revizuire i reducere sau eliminare

Instruirea i contientizarea privind securitatea informaiei: Toi angajaii vor fi

Rolurile i responsabilitile: Rolurile, responsabilitile i competenele decizionale

Conformitatea : Personalul precum i ali utilizatori trebuie s fie familiarizai i s se

Monitorizarea securitii informaiei i raportarea: Monitorizarea i raportarea

Prezentarea schematic a arhitecturii sistemelor informatice se regsete n figura de mai

Server Baze de Date

Sever Aplicatii Intranet

Analiza i Tratarea Riscurilor. Impactul Acestora

Impactul potential asupra

Fiecare responsabil de proces (coordonator de unitate funcional) a identificat resursele de

Documente tiprite (manuale de utilizare, manual i suport pentru instruiri,

Nivelul vulnerabilitatii (poate s apar un incident pentru ca vulnerabilitatea

Criteriile pentru evaluarea vulnerabilitatii sunt:

exemplificare, a fost realizat o matrice 3x3 corespunztoare urmtoarelor niveluri de

Exemplu matrice niveluri de risc

analiza preliminar a riscului;

e) evaluarea preliminar a valorii riscului se realizeaz prin adunarea valorii

Identificarea i evaluarea riscurilor

grupeaz n variante alternative, se alege varianta cea mai avantajoas din

rezultatele reevalurii riscurilor, n cazul n care riscurile au fost reevaluate n

meniuni cu privire la ntocmirea/actualizarea Registrului riscurilor;

5 alte aspecte/probleme considerate relevante, n legtur cu modul n care au fost

riscurile cu un nivel al expunerii ridicat i foarte ridicat, care ar putea

stadiul implementrii planului, la data raportrii.

Conductorul structurii organizatorice transmite conducerii organizaiei i persoana

Implementarea i monitorizarea msurilor de control al riscurilor

Concluzii analiza riscuri

Riscuri aferente proceselor:

2. Identificarea sistemelor informatice importante din cadrul organizatiei

Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice

Denumire sistem informatic

Risc (descriere / amenintare)

Vulnerabilitate (factori de risc)

Categoria 1 - riscuri operaionale OAMENI

Staie de lucru / baz de date /

Implementarea unor controale insuficiente sau

operaiuni suspecte de splarea

Lipsa filtrelor eficiente pentru tranzactiile

Functionarea defectuoasa a sistemelor de front

erori de introducere manual sau

cunostinte si pregtire insuficiente a

cunostinte si pregtire insuficiente a

Lipsa filtrelor eficiente pentru tranzactiile

Sistem operatiuni / Staie de

Lipsa verificarilor eficace. Lipsa principiului

Lipsa unor instrumente de control pentru situatia