Documente Academic
Documente Profesional
Documente Cultură
Integritatea: integritatea datelor, informaiilor, sistemelor, documentelor i softwareurilor care este pus n aplicare, n funcie de ct de critic este resursa pentru
activitatea organizaiei.
PROVIDER 1
PROVIDER 2
DataCenter / Locatie
alternativa
Router
Server
Securitate IT
(IPS/IDS/Firewall/
Antivirus)
Locatie
Disaster Recovery
Switch 1
Switch 2
Sever MAIL
INTRANET
Server / Solutie
Backup
Server WEB
Server Online
Aplicatie Clienti
Vulnerabilitatile
Cresc
Protejeaza
impotriva
Masuri de
securitate
Reduc
Cresc
RISCURILE
Afecteza
Afecteza
Bunuri
Implementate prin
Au
Indica
Cresc
Cerinte de
securitate
Valoare bunuri
Da
2
Slab
Poate apare n
conditii obisnuite,
dar frecvena
apariiei este rar.
3
Mare
Este probabil s se produc.
Acest risc este rezonabil sa se
produc n perioada imediat
urmtoare.
1
Neglijabil
Exist protecii sigure,
testate i verificate,
condiiile existente conduc
la concluzia c, practic, nu
poate fi exploatat aceasta
vulnerabilitate.
2
Medie
Vulnerabilitatea poate fi
exploatat, exist
protecii implementate,
dar acestea nu au fost
testate i verificate pentru
toate cazurile.
3
Mare
Usor de exploatat,
protecia este foarte
slab, ineficace n
multe situaii sau
tehnic uzat moral.
Pentru evaluarea riscurilor i a nivelurilor asociate pentru fiecare eveniment nedorit care poate
avea impact asupra activitilor desfurate de organizaie, sistemelor informatice sau a
informaiilor se realizeaz matricea nivelului de risc.
Nivelul riscului este o funcie de probabilitatea de producere a unui eveniment nedorit i de
nivelul vulnerabilitii asupra activitilor, informaiilor sau sistemelor informatice ale
organziaiei.
Pentru
risc:
1.
2.
3.
VULNERABILITATE
MARE
Risc Mediu
Risc Mare
Risc Mare
MEDIE
Risc Mic
Risc Mediu
Risc Mare
NEGLIJABIL
Risc Mic
Risc Mic
Risc Mediu
NEGLIJABIL
SLAB
MARE
PROBABILITATE
n cazul n care organizaia utilizeaz o alt matrice de risc prin folosirea mai multor niveluri
de vulnerabiliti i probabiliti (4x4 sau 5x5) i a mai multor niveluri de risc (4 sau 5), se va
menine practica curent.
Activiti necesare identificrii i evalurii riscurilor i a msurilor de securitate
Conductorii structurilor organizatorice i ntreg personalul ce le compun au obligaia de a
identifica, evalua i raporta riscurile operaionale generate de sistemele informatice. Aplicarea
cadrului pentru gestionarea riscurilor generate de sistemele informatice ntr-o organizaie
presupune parcurgerea urmtoarelor etape:
1.
2.
3.
4.
5.
Analiza preliminar
Persoana care identific un risc analizeaz preliminar riscul identificat, procednd, pentru
documentarea procesului de evaluare, la completarea unui formular de Alert la risc stabilit de fiecare organizaie i prezentat ca exemplu la finalul acestei seciuni cu
respectarea urmtoarelor etape:
1 descrierea nartativ a riscului, cu respectarea urmtoarelor reguli:
riscul este o situaie, eveniment, care poate s apar. Riscul este o incertitudine
i nu ceva sigur;
nu se identific riscuri care nu afecteaz organizaia;
problemele dificile identificate nu trebuie ignorate. Ele pot deveni riscuri n
situaii repetitive din cadrul aceleiai structuri organizatorice sau pentru alte
structuri organizatorice n care astfel de riscuri nu s-au materializat;
riscurile nu trebuie definite numai prin impactul lor asupra activitilor
organizaiei. Impactul nu este risc, ci consecina exploatrii unei vulnerabiliti;
riscurile nu se descriu prin negarea unei situaii;
problemele care vor aprea cu siguran, nu constituie riscuri, ci certitudini;
problemele a cror apariie este imposibil, nu constituie riscuri, ci ficiuni.
2 prezentarea preliminar a cauzelor, descrierea circumstanelor i a factorilor care
favorizeaz apariia riscului;
3 analizarea preliminar a consecinelor asupra activitilor i operaiunilor, n cazul
materializrii riscului.
4 evaluarea preliminara a expunerii la risc se realizeaz prin:
a) stabilirea valorii resursei/operaiunii, pe o scal n trei trepte, ca fiind: puin
important (valoare=1), necesar (valoare=2) sau vital (valoare=3).
b) estimarea probabilitii de apariie a riscului, pe o scal n trei trepte, ca fiind:
neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
c) estimarea vulnerabilitii sistemului informatic, pe o scal n trei trepte, ca
fiind: neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
d) evaluarea preliminar a nivelului riscului, conform matricei de risc, pe o
scal cu trei trepte, ca fiind: sczut, mediu sau mare.
10
1
2
3
1. neglijabil; 2. medie; 3. mare.
Evaluarea vulnerabilitii (impactului)
1
2
3
1. neglijabil; 2. medie; 3. mare.
Opinie cu privire la Tipul de rspuns la risc (strategia adoptat): --------tipul de rspuns la risc
----------Msuri de control le riscului recomandate:------------------------------------------------------------------------------------------------Documentaia utilizat pentru fundamentarea riscului identificat (dac este cazul):--------------------------------------------------------------------------------------------------Nume:
Semntura:
Data ntocmirii:
----------------------------------------zz/ll/aaaa
11
14
17
Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice (registrul riscurilor operaionale IT)
Categorie
Resurs/
Activitate
[1]
Valoare
resursa /
activitate
[3]
[4]
[5]
Valoare
probabilitate
[6]
Valoare
vulnerabi
li-tate
[7]
[3]+[6]+[7]
Masuri de
control al
riscului
[8]
Anexa 1
Valoare
risc
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Personal si
activitati
front-office
Personal si
activitati
front-office
Personal si
activitati
front-office
Conducerea executiv
nerespectarea proceselor,
Lipsa unor instrumente de control pentru situatia
procedurilor sau a instruciunilor
in care conducerea executiva nu respecta
de lucru
procesele si procedurile de lucru
Automulumire
Anexa 1
Anexa 1
nerespectarea regimului de
sanciuni internaionale
Anexa 1
Frauda interna
Anexa 1
Vanzarea de produse
necorespunzatoare clientilor
respectivi
Anexa 1
Anexa 1
Stergerea accidentala a
informatiilor stocate in bazele de
date
Anexa 1
18
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Frauda interna
Anexa 1
nerespectarea proceselor,
procedurilor sau a instruciunilor
de lucru
Anexa 1
Automulumire
Anexa 1
Anexa 1
nerespectarea regimului de
sanciuni internaionale
Anexa 1
Frauda interna
Anexa 1
Vanzarea de produse
necorespunzatoare clientilor
respectivi
Anexa 1
Anexa 1
19
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Anexa 1
Stergerea accidentala a
informatiilor stocate in bazele de
date
Anexa 1
Erori de evaluare
Anexa 1
Erori de procesare
Anexa 1
Erori de plata
Anexa 1
Anexa 1
Frauda interna
Anexa 1
Anexa 1
Personal insuficient
Anexa 1
20
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Anexa 1
Anexa 1
cunostine, experien i
pregtire insuficient a
personalului care utilizeaz sau
deservete sistemele informatice
Anexa 1
alterarea datelor
Anexa 1
nerespectarea proceselor,
procedurilor sau a instruciunilor
de lucru
Anexa 1
Anexa 1
Personal insuficient
Anexa 1
Anexa 1
Financiar - contabilitate
Personalul si
activitati
financiar
contabile
21
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Anexa 1
Stergerea accidentala a
informatiilor stocate in bazele de
date
Anexa 1
Erori de evaluare
Anexa 1
Erori de procesare
Anexa 1
Erori de plata
Anexa 1
Anexa 1
Frauda interna
Anexa 1
Anexa 1
22
Functii cheie
si activitati
aferente
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Functii suport
si activitati
aferente
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Suport
Proceduri de recrutare ineficiente. Buget de
Personal insuficient
resurse umane insuficient. Evaluarea eronata e
necesarului de personal
Categoria 2 - riscuri operaionale PROCESE
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Personal insuficient
Tehnologia informatiei
lipsa unei delimitri clare ntre
rolurile persoanelor care
Proceduri de lucru neclare sau nepuse in aplicare
acceseaz/administreaz/dezvolt
sistemele informatice
conflict de interese ntre
personalul care dezvolt i cel
Inexistenta unor proceduri privind gestiunea
care administreaz sistemele
conflictelor de interesa sau nepunerea in aplicare
informatice ori ntre utilizatorii
a acesteia
acestora
cunostine, experien i
pregtire insuficient a
Buget de training insuficient. Lipsa implicarii
personalului care utilizeaz sau
managementului in acest aspect.
deservete sistemele informatice
Alterarea datelor din sistemele informatice, fara
alterarea datelor
posibilitatea identificarii autorului si a
informatiilor initiale
nerespectarea proceselor,
Procese organizatorice, proceduri si instructiuni
procedurilor sau a instruciunilor
de lucru neimplementate sau inexistente
de lucru
Lips de comunicare i cooperare
ntre angajai
Conducerea executiv
Procese organizatorice neimplementate sau
lipsa proceselor organizatorice
inexistente
Controlul efectuat de personal necorespunzator.
control inadecvat al proceselor
Neefectuarea controalelor conform cerintelor
interne
insuficiena guvernanei
Inexistenta strategiei privind guvernanta
corporative
corporativa. Mecanisme de guvernanta
23
corporativa necorespunzatoare
Personal si
activitati
front-office
Personal si
activitati
front-office
Personal si
activitati
front-office
Sistem front-office
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Relatia cu clientii
Functionarea defectuoasa a sistemelor de front
office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.
Vanzarea de produse
necorespunzatoare clientilor
respectivi
Stergerea accidentala a
informatiilor stocate in bazele de
date
Anexa 1
Anexa 1
Anexa 1
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Anexa 1
depirea limitelor
Anexa 1
riscuri de volum
Anexa 1
riscuri de securitate
Anexa 1
riscuri de raportare
Anexa 1
24
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Anexa 1
Anexa 1
Anexa 1
neidentificarea operaiunilor n
spe n funcie de indicatorii de
risc i variabile analitice
prestabilite
Anexa 1
Anexa 1
Anexa 1
insuficiena guvernanei
corporative
Anexa 1
Vanzarea de produse
necorespunzatoare clientilor
respectivi
Anexa 1
erori de execuie
Anexa 1
25
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
erori de nregistrare
Anexa 1
managementul inadecvat al
datelor i informaiilor
Anexa 1
Anexa 1
complexitatea produselor
Anexa 1
riscuri de capacitate
Anexa 1
riscuri de evaluare
Anexa 1
riscuri de confidenialitate
Anexa 1
fraude
Anexa 1
26
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Anexa 1
erori de evaluare
Anexa 1
Anexa 1
complexitatea modelelor
Anexa 1
Anexa 1
Personal insuficient
Anexa 1
Financiar - contabilitate
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
erori de execuie
Anexa 1
erori de nregistrare
Anexa 1
27
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
managementul inadecvat al
datelor i informaiilor
Anexa 1
Anexa 1
complexitatea produselor
Anexa 1
riscuri de capacitate
Anexa 1
riscuri de evaluare
Anexa 1
riscuri de confidenialitate
Anexa 1
fraude
Anexa 1
Anexa 1
28
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente
erori de evaluare
Anexa 1
Anexa 1
complexitatea modelelor
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Personal si
sisteme IT
Functii suport
si activitati
aferente
Tehnologia informatiei
Sofware fara functiile critice necesare. Software
software neadecvate obiectivelor
cu o viteza redusa de procesare, sau cu o
de activitate
capacitate insuficienta de procesare a
informatiilor.
Suport
Proceduri de recrutare ineficiente. Buget de
Personal insuficient
resurse umane insuficient. Evaluarea eronata e
necesarului de personal
Categoria 3 - riscuri operaionale SISTEME
Conducerea executiv
Sisteme care nu asigura functiile critice
sistem inadecvat de management
necesare. Inexistenta procedurilor de backup.
al tehnologiei i securitii
Operabilitate redusa a sistemelor.
Relatia cu clientii
Conducerea
societatii
Personal si
activitati
front-office
Sistem front-office
sisteme inadecvate
Anexa 1
Anexa 1
Stergerea accidentala a
informatiilor stocate in bazele de
Anexa 1
Personal si
activitati
front-office
Personal si
activitati
29
front-office
date
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Anexa 1
sisteme inadecvate
Anexa 1
coruperea datelor
Anexa 1
capacitate insuficient de
procesare
Anexa 1
ntreruperi n funcionarea
sistemelor (hardware, software,
stocare, telecomunicaii)
Anexa 1
cderi de reea
Anexa 1
ntreruperii n furnizarea
serviciilor prestate de furnizorii
externi
Anexa 1
Anexa 1
30
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
riscuri de compatibilitate
Anexa 1
riscuri generate de
furnizori/vnztori
Anexa 1
erori de programare
Anexa 1
Anexa 1
testare necorespunztoare a
recuperrii n caz de dezastru
Anexa 1
Anexa 1
sisteme nvechite
Anexa 1
lipsa metodologiilor de
dezvoltare si testare
Anexa 1
31
Personal si
activitati
operatiuni
Personalul si
activitati
financiar
contabile
Functii cheie
si activitati
aferente
servicii necorespunztoare de
suport pentru sisteme
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Financiar - contabilitate
coruperea datelor
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
capacitate insuficient de
procesare
Tehnologia informatiei
ntreruperi n funcionarea
Lipsa sistemelor de back-up pentru energie
sistemelor (hardware, software,
electrica sau a liniilor secundare de
stocare, telecomunicaii)
telecomunicatii
cderi de reea
Anexa 1
ntreruperii n furnizarea
serviciilor prestate de furnizorii
externi
Anexa 1
Anexa 1
riscuri de compatibilitate
Anexa 1
riscuri generate de
furnizori/vnztori
Anexa 1
erori de programare
Anexa 1
Anexa 1
32
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
testare necorespunztoare a
recuperrii n caz de dezastru
Anexa 1
Anexa 1
sisteme nvechite
Anexa 1
lipsa metodologiilor de
dezvoltare si testare
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Personal si
sisteme IT
Router
(Model , Serie)
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Server Backup
(Model, Serie)
Personal si
sisteme IT
Server Web
(Model, Serie)
Personal si
sisteme IT
Server BD
(Model, Serie)
Personal si
sisteme IT
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
33
(Model, Serie)
Personal si
sisteme IT
Personal si
sisteme IT
Echipament1 locatie DR
(Model, Serie)
Personal si
sisteme IT
Echipament2 locatie DR
(Model, Serie)
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
N/A
Echipament hostat intr-o locatie
alternativa DataCenter
N/A
Echipament hostat intr-o locatie
alternativa DataCenter
Personal si
sisteme IT
Imprimante, scanere
Incendiu
Cutremur
Inundatie
Personal si
sisteme IT
Echipament desktop
Incendiu
Cutremur
Inundatie
Personal si
sisteme IT
Personal si
sisteme IT
Aplicatie contabilitate
Personal si
sisteme IT
Aplicatie Intranet
Personal si
sisteme IT
Solutie securitate IT
(antivirus, firewall, etc)
Personal si
sisteme IT
Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale
software-ului sau datelor
Erori de programare
Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale
software-ului sau datelor
Erori de operare
Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale
software-ului sau datelor
Erori de programare
Vulnerabilitati software
Erori de programare
Acces neautorizat
Vulnerabilitati software. Acces
neautorizat
Anexa 1
Defectiune hardware
N/A
Defectiune hardware
N/A
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
34
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Functii suport
si activitati
aferente
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Contracte
Corespondenta
Arhiva date
Declaratii
Dosare personal
Decizii
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Stergerea accidentala a
informatiilor stocate in bazele de
date
Anexa 1
Relatia cu clientii
Personal si
activitati
front-office
Personal si
activitati
front-office
Vanzarea de produse
necorespunzatoare clientilor
respectivi
Anexa 1
Anexa 1
35
Personal si
activitati
front-office
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Stergerea accidentala a
informatiilor stocate in bazele de
date
Anexa 1
Operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
ntreruperi n furnizarea
serviciilor prestate de furnizori
externi
Anexa 1
Anexa 1
Vanzarea de produse
necorespunzatoare clientilor
respectivi
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
36
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
Personal si
activitati
operatiuni
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Anexa 1
Anexa 1
servicii necorespunztoare de
suport pentru sisteme
Anexa 1
Anexa 1
Financiar - contabilitate
Personalul si
activitati
financiar
contabile
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente
Anexa 1
Anexa 1
Anexa 1
Anexa 1
37
importante
Personal si
sisteme IT
Functii suport
si activitati
aferente
Tehnologia informatiei
Lipsa sistem automat de detectie si stingere a
expuneri externe ale securitii
incediilor
sistemelor
Lipsa sistem supraveghere video
Defectiune hardware
Suport
Neconformitatea cu reglementarile legale
servicii necorespunztoare de
respective (resurse umane, PSI, autorizari /
suport pentru sisteme
avizari autoritati locale)
Anexa 1
Anexa 1
38
Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)
ANEXA 1 la registrul riscurilor
Nr.
Crt
1.
Eveniment
Ameninare
nedorit
Producerea
unui incendiu
Incendiu
Vulnerabilitate
asociat
Absena unui sistem automat de
detectie si stingere a incendiului.
Prob.
Nivel Nivel
prod.
Impact risc
even.
Mica Mare Mediu
1.
2.
3.
Masuri viitoare
-Existena unor mijloace automate de detectie si stingere a incendiului
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente
6. -Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
Mare Mediu Implementate
1. -Structura de rezisten a cldirii este solid.
2. -Pereii exteriori i despritori ai camerelor n care sunt instalate echipamentele sistemului sunt din
materiale solide.
- -Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up, persoanele
autorizate i verificarea periodic.
7. -Exista BCP, locatie alternativa de procesare a datelor.
4.
5.
2.
Producerea
unui
cutremur
Cutremur
1.
8.
3.
Mica
Mare Mediu
1.
2.
Masuri viitoare
-Instruirea personalului autorizat al sistemului privind modul de aciune in caz de cutremur.
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente.
Implementate
-Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
-Toate serverele sunt prevazute cu UPS
Masuri viitoare
- implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric
39
Nr.
Crt
Eveniment
Ameninare
nedorit
4.
Copierea
Dezvaluire
neautorizat informatii
de date /
software
Vulnerabilitate
asociat
Acces neautorizat - Copierea
neautorizat de date / software
Prob.
Nivel Nivel
prod.
Impact risc
even.
Mica Mare Mediu
1.
Configurarea necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Erori de
operare ale
personalului Lipsa fiierelor de back-up.
5.
Utilizarea
necorespunz
toare a
resurselor i
serviciilor
Erori de
sistemului programare
(erori de
utilizare)
Pregtire de specialitate
necorespunztoare a personalului.
Configurarea necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Lipsa fiierelor de back-up.
Pregtire de specialitate
necorespunztoare a personalului.
Lipsa fiierelor de back-up.
Modificri
neautorizate Pregtire de specialitate
ale software- necorespunztoare a personalului.
ului
Mica
2.
3.
Mare Mediu
Mica
Mare Mediu
Mica Mediu
Mic
Mica
Mare Mediu
1.
Mica
Mica
Mare Mediu
Mare Mediu
Mica
Mare Mediu
Mica
Mare Mediu
Masuri viitoare
-Cursuri de specialitate
40