Documente Academic
Documente Profesional
Documente Cultură
Analiza de Risc Intre Reglementare Si Necesitate
Analiza de Risc Intre Reglementare Si Necesitate
decembrie 2008
ANAlIzA DE RISc
riscul, ca noiune, reprezint estimarea probabilitii ca o ameninare s foloseasc cu succes o vulnerabilitate i s produc o consecin nefavorabil. ca fenomen, este o component omniprezent a aciunilor umane, att n plan personal, ct, mai ales, la nivelul economic i social. aciunea de control al riscurilor este o activitate
33
decembrie 2008
Alarma
complex, desfurat de la nivelul factorilor de conducere i pn la personalul de execuie, revenind managerului de securitate al obiectivului i este cunoscut, n literatura de specialitate sub numele de management al riscului. principalele etape ale managementului sunt : identificarea riscului; evaluarea riscului; tratarea riscului . activitatea cunoscut sub numele de analiz de risc presupune nsuirea complet a caracteristicilor constructive i funcionale ale obiectivului sau procesului de protejat i utilizarea sistematic a datelor i informaiilor culese, n scopul inventarierii activelor i recunoaterii ameninrilor specifice. procesul continu cu aplicarea n practic a metodologiei de evaluare a riscului, adecvat obiectivului sau procesului de protejat. ca operaii concrete, cuprinde : identificarea resurselor: fizice, procesuale, informaionale, de personal; identificarea ameninrilor la resurse; cunoaterea vulnerabilitilor care pot conduce la succesul ameninrilor; identificarea impactului pe care concretizarea ameninrilor l poate avea asupra resurselor i procesului predominant n organizaie: daune, costuri directe i asociate, alte categorii de pierderi. Analiza de risc poate fi : calitativ, cnd nu se aloc valori financiare resurselor, iar finalitatea const n ncadrarea pe o scal de aprecieri, sau cantitativ, cnd predomin factorul cost ( valoarea resursei pentru organizaie, impactul financiar imediat i costul asociat ). n practica analizei riscului, literatura de specialitate menioneaz o list lung de metode i tehnici, din care specialitii le aleg pe cele care se adapteaz cel mai bine obiectivelor i proceselor care trebuie protejate. Dintre cele mai frecvent utilizate amintesc : a. metoda matricilor de risc; b. metoda oCTAvE; c. metoda mEhARI .
caracteristicile fizice se refer la perimetrul obiectivului, zona exterioar imediat, zona interioar imediat, zona spaiilor funcionale, zona spaiilor interioare destinate pstrrii valorilor critice, alte elemente specifice construciilor. procesul funcional, predominant n organizaie, este definit prin resurse materiale i umane, mod de organizare, grad existent de asigurare a continuitii derulrii sale. componenta informaional este analizat prin prisma rolului pe care l are n obiectiv, aspectele sale structurale ( elemente hardware i software), precum i tinnd seama de ameninrile determinate de transmiterea informaiilor spre i din exterior. o atenie deosebit este acordat proteciei personalului, plecnd de la tipizarea potenialilor infractori i pn la etapele de recrutare, angajare, instruire i fidelizare a personalului propriu. Calculul riscului global, Rg , se obine prin nsumarea ponderat a riscurilor pe componente, dup o formalizare de tipul : Rg = p1 x Rp + p2 x Rf + p3 x Ri + p4 x Rps , unde : Rp , este riscul asupra componentei procesuale Rf , este riscul asupra componentei fizice Ri , este riscul asupra componentei informaionale Rps , este riscul asupra componentei de personal , iar : p1 , p2 , p3 , p4 sunt ponderile specifice organizaiei (obiectivului). Evident pi=1 . la rndul su, fiecare valoare de risc se calculeaz ca o sum ponderat a valorilor riscurilor pe elementele constitutive ale componentei; de exemplu: Rf = pk x Rfk , cu : pk , ponderea alocat elementului k Rck , riscul aferent elementului k al componentei fizice metoda este adaptabil i se poate transforma ntr-un instrument de evaluare. este prezentat, n detaliu, n lucrrile : securitatea deplin i securitatea mediului de afaceri , aprute la editura uti press n 2001 respectiv 2006.
b.
METoDA ocTAvE
metoda oCTAvE (operationally Critical Threat, Asset and vulnerability EvaluationSm ), elaborat de specialiti americani, definete evaluarea strategic, bazat pe risc i planificarea tehnic, n scopul realizrii securitii obiectivului de protejat. exist o versiune adaptat organizaiilor mici, avnd pn la 100 de persoane i care se numete octave-s. pentru implementarea metodei este necesar s lucreze o echip de 3-5 specialiti, care se vor ocupa cu culegerea de date, analiza informaiilor obinute, elaborarea strategiei de protecie i a planurilor de reducere a
34
Alarma
decembrie 2008
riscurilor identificate . activitatea este organizat n cadrul a 3 faze . Faza 1 este consacrat construirii profilului ameninrii pe baza valorilor existente n organizaie (obiectiv) i se compune din dou procese : 1. identificarea informaiilor organizaiei; 2. stabilirea profilurilor ameninrilor. pe durata procesului 1 se definesc criteriile de evaluare a impactului asupra bunurilor organizaiei, se inventariaz valorile acesteia, precum i practicile de securitate la data auditului . n cadrul procesului 2 are loc o selectare i ierarhizare a valorilor critice, stabilirea cerinelor de securitate pentru acestea i identificarea ameninrilor la valorile critice . Faza a 2-a, de identificare a vulnerabilitilor infrastructurii, este dedicat analizei detaliate a reelelor de calculatoare, din punctul de vedere al valorilor critice. procesul specific fazei const n examinarea cilor de acces (fizic i logic) la resursele reelelor, precum i a tehnologiilor utilizate pentru implementare. n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese : 1. identificarea i analiza riscurilor; 2. dezvoltarea strategiei de protecie i a planurilor de reducere a riscurilor. activitile pe durata primului proces, de identificare i analiz a riscurilor, sunt alocate evalurii impactului ameninrilor, determinrii probabilitii pentru criteriile de evaluare i estimrii probabilitilor ameninrilor. n continuare, pe parcursul celui de-al doilea proces, de elaborare a strategiei de protecie i a planurilor concrete de reducerea riscurilor, se efectueaz urmtoarele activiti : schiarea strategiei curente de protecie; alegerea concepiilor de reducere a riscurilor; dezvoltarea planurilor de reducere a riscurilor; identificarea schimbrilor n strategia de protecie . din aceast scurt prezentare se evideniaz cteva caracteristici ale metodei, care ncepe cu selectarea i tratarea difereniat a valorilor critice ale organizaiei, continu cu analiza dedicat componentei informaionale i nu se ncheie cu elaborarea strategiei de securitate, ci cu redactarea planurilor concrete de reducere a riscurilor identificate, activiti care sunt concepute a se derula ciclic i sistemic .
c.
METoDA MEhARI
Una din metodele utilizate pe plan european este metoda MEHARI, elaborat de o echip de specialiti francezi, care abordeaz att analiza, ct i managementul riscului, evalund, cantitativ i calitativ, factorii de risc. n setul de instrumente al metodei exist o baz de cunotine referitoare la situaiile de risc, susinut de o aplicaie software, ce permite calcule, simulri i optimizri.
schema global a analizei de risc conine paii urmtori : 1. evaluarea expunerii naturale, care se face pe baza unei grile combinate, ce conine nivelurile expunerii ( expunere foarte slab, slab, medie, ridicat ) i n funcie de care se face evaluarea a patru capitole de ameninri: o accidente (foc, inundaii, cderi ale energiei electrice, deranjamente de echipamente IT sau telefonice, pierderi accidentale de date i fiiere, pierderi de personal important s.a.) o actiuni ruvoitoare (vandalism, terorism, alterare intenionat de date i fiiere, furturi de date i componente it, configurare greit intenionat a software-ului de reea, spionaj industrial sau de stat, etc.) o actiuni intenionate, dar fr intenie ruvoitoare (absen sau greva personalului it, plecarea sau demisia unor funcionari cheie, utilizare ilegal de software liceniat ) o erori ( degradarea performanelor ca urmare a neaplicrii mentenanei periodice, tergere neintenionat de programe, ca urmare a unor erori umane, bug-uri n programe aplicative, erori la introducerea datelor de intrare, etc. ) 2. evaluarea factorilor de descurajare i prevenire (elemente de construcie, echipamente tehnice, proceduri, personal de specialitate ) 3. evaluarea potenialitii (n funcie de evenimentul care conduce la scenariu, se folosete unul din trei tabele standard status-eXpo, status-diss, status-prev- i se evalueaz potenialitatea sub numele STATUS-p) 4. evaluarea impactului direct ; are ca punct de plecare o gril ale crei capitole trateaz : o bunuri (valori); o date i informaii; o infrastructura (telecomunicaii i sisteme); o infrastructura general; o disponibilitatea personalului; o conformitatea cu reglementrile i procedurile n materie. (referitor la capitolul informaional, n cadrul acestei anexe se evideniaz atributele specifice, ce pot fi afectate : Disponibilitatea informaiilor, Integritatea sau Confidenialitatea acestora) 5. evaluarea factorilor de protectie, compensare i recuperare ; exista un set de 5 categorii de msuri de reducere a riscului : o descurajare; o prevenire; o protecie; o compensare; o recuperare. 6. evaluarea reducerii impactului ( n cadrul etapei de audit de securitate se face analiza factorilor de reducere a riscurilor i evaluarea nivelurilor acestora; factorii de reducere sunt disuasiunea i prevenia, pentru potenialitate, protecie i paliativ i recuperarea, pentru impact )
35
decembrie 2008
Alarma
7. evaluarea global a riscului ( pe baza evalurii status-p, la pasul 3 i a grilei status-ri, la pasul 6, se evalueaz status-global, respectnd raionamentele specifice metodei i tabelele standard de evaluare). estimarea factorilor ce concur la definirea i calcularea riscului se realizeaz utiliznd un set de grile standard (grile STATUS-P, axate pe scenarii de tip accident, eroare, actiune voluntara i grile STATUS-RI, axate pe scenarii de tip Disponibilitate, Integritate, Confidentialitate ) , care fac parte din baza de cunotinte mEhARI . faza iniial de inspecie n obiectiv (site-survey) este susinut de un set de chestionare care servesc la relevarea caracteristicilor amanunite ale componentelor obiectivului : organizaia; locaia; incintele; funcionarea extins a reelei; funcionarea reelei locale; operaii n reea; securitatea arhitecturii de sistem; operaionalitatea resurselor it; aplicaiile principale; securitatea aplicaiilor i a dezvoltrii de proiecte; mediul de lucru; reglementrile n funciune, interne i naionale. din prezentarea succint a metodei se relev unele trsturi specifice : utilizarea unor instrumente de ghidare (chestionare de audit, scenarii de evenimente ); tratarea complet a securitii (fizic, funcional, informaional, de personal ); aplicarea acestei metode nu se limiteaz la obiective deja consacrate n domeniu (militare, guvernamentale, comerciale, .a. ), ci se aplic i la alte categorii, care au de protejat diverse tipuri de valori, n accepiunea general a noiunii de securitate; este o metod laborioas, care necesit un numr mare de persoane calificate. metoda impresioneaz prin pachetul de chestionare care servesc la efectuarea auditului i lista amnunit de scenarii, lucru util la evaluarea ct mai precis a impactului asupra valorilor organizaiei.
de securitate este valabil pentru o perioad redus de timp. n aceste condiii valabilitatea soluiei este determinat de cunoaterea i mai ales, controlul variabilei complexe risc, n timp cvasi real. dezideratul poate fi atins prin implementarea unei noi funcii manageriale i anume managementul riscului, care are ca punct de plecare analiza de risc, ncredinat personalului de specialitate. aplicarea unei metode de analiz a riscului aduce avantajul utilizrii unor instrumente performante (chestionare de audit, liste cu scenarii de securitate, baze de cunotine, etc.), recunoscute n literatura de specialitate i validate de practic.
Bibliografie tiberiu urdreanu, gheorghe ilie, mircea blaha : Securitatea Instituiilor Financiar- Bancare, Editura UTI , 1998 dr. ing. gheorghe ilie, ing. tiberiu urdreanu : Securitatea deplin, Editura UTI , 2001 Dr. Ing. Gheorghe Ilie : Securitatea mediului de afaceri, Editura UTI Press, 2006 sr en 50131 sisteme de alarm la efracie. prescripii generale Documentaie OCTAVE-S Documentaie MEHARI
coNclUzII
rspunsul adecvat sistem de securitate mpreun cu procedurile aferente la o solicitare de asigurarea proteciei pentru un obiectiv poate fi generat numai dup cunoaterea aprofundat a acestuia, identificarea ameninrilor i vulnerabilitilor specifice, adic evaluarea riscului. modul cum mbraci soluia, respectnd standarde specifice, asigur nivelul calitativ al produsului i implicit, renumele furnizorului. ntr-un mediu multidimensional (economic, social, tehnic, informaional), caracterizat prin interconexiuni complexe i dinamic ridicat, propunerea unei soluii
36