Alarma

Arta de a tr^i n siguran]^

decembrie 2008

analiza de risc ntre reglementare i necesitate. metode de analiz a riscului

adrian roca Director de program UTI Systems s.a. la doi ani de la intrarea n ue piaa romneasc de echipamente i sisteme de securitate i-a pstrat diversitatea deja existent, convieuind produse europene, de pe piaa asiatic, din ar i de pe continentul american. o constatare pozitiv este faptul c sunt prezente i produse, soluii i tehnologii care i au originea n romnia. referitor la capitolul noi reglementri, remarcm completarea, n timp, a pachetului de normative i ghiduri de proiectare, cu standardele europene din familia EN 50131...50136, msur care are ca scop aducerea nivelului produselor i serviciilor naionale la nivelul celor din ue. aa cum este cunoscut, n romnia, aplicarea standardelor este voluntar . ntrebnd orice investitor sau firm, aflai n postura de beneficiar, rspunsul n general, este de agreere a achiziionrii de produse care s respecte standardele n domeniu. aceast atitudine se explic prin dorina ca produsul s fie clar definit din punct de vedere calitativ i funcional, s aib parametrii i caracteristicile msurabile i controlabile. se asigur un limbaj comun ntre beneficiari i furnizori, privind cerinele i funcionalitile sistemelor de securitate. o asemenea manier de abordare ofer premise pentru portabilitatea realizrii de produse i furnizarea de servicii specifice, compatibile, pe ntreg teritoriul european . cnd se ajunge ns, la faza concret de procesare a achiziiei sau a cererii de ofert , tacheta coboar de la nivelul declaraiilor, la nivelul supunerii fa de regele buget, cele mai multe cazuri invocate fiind alocarea financiar redus sau scurtarea forat a duratei de derulare a contractului. implicaiile imediate sunt de domeniul calitii, att n funcionarea curent, ct i pe parcurs, pe toat durata ciclului de via a produsului, cu pierderi din partea ambelor pri contractante, beneficiarul - la calitate, iar furnizorul - la credibilitate . primele schimbri de atitudine trebuie aplicate nc din faza de definire a cerinelor de securitate, prin ncadrarea strict n norme sau standarde. principalele diferene ntre prevederile standardelor europene i normele uzuale romneti, n faza de proiectare a sistemelor de securitate, constau n urmtoarele : - standardele europene ncadreaz echipamentele i sistemele de securitate n 4 clase de mediu, de la clasa i (condiii de funcionare n mediu controlat), pn la clasa a iv-a (funcionare n aer liber, sub influena direct a factorilor de mediu ) - echipamentele i sistemele pot fi ncadrate n 4 grade de securitate : 1. gradul 1 (risc sczut) - echipamente care s reziste la atacul unor infractori sau hoi cu cunotine reduse despre acestea i deinnd unelte simple; 2. gradul 2 (risc mediu) - echipamente care s reziste la atacul unor infractori sau hoi cu cunotine limitate despre acestea i deinnd unelte de uz general i instrumente portabile simple; 3. gradul 3 (risc mediu spre ridicat) echipamente care s reziste la atacul unor infractori sau hoi cu cunotine serioase despre acestea i deinnd o gam complet de unelte i instrumente; 4. gradul 4 (risc ridicat) - echipamente care s reziste la atacul unor infractori sau hoi care au abiliti i resurse s planifice o intruziune i deinnd echipamente i mijloace tehnice de substituire a unor componente de securitate. evident, odat stabilite clasa i gradul de securitate pentru sistem, orice component inclus trebuie s se ncadreze n acestea sau s aparin unor niveluri superioare. de asemenea, proiectul de securitate trebuie s conin specificaii privind procedurile necesare de mentenan a produsului de securitate, precum i obligaia de a eticheta toate componentele, preciznd clasa de mediu i gradul de securitate . dac la ncadrarea sistemelor de securitate la clasele de mediu nu sunt dificulti deosebite (normele romneti fiind chiar mai rafinate), se pune problema cum stabilim gradul de securitate i riscul corespunztor unui obiectiv sau proces ? . de unde tim care sunt posibilii infractori i pregtirea lor pentru o locaie i un obiectiv anume de protejat? n aceast chestiune, a trata problema numai pe baza experienei anterioare, fr a gsi legtura logic ntre obiectiv ( bunuri, valori, continuitatea procesului predominant de activitate, informaii, credibilitate, etc ) i mediul complex unde este situat, poate conduce la soluii nesigure. de cele mai multe ori situaia este i mai complicat, din cauza faptului c cererea de ofert este sub forma unei liste simple de echipamente, redactat de nespecialiti n securitate i bugetat ca atare, sau mai ru, nsoit de cerine de securitate inadecvate. soluia n aceast situaie este efectuarea analizei de risc, activitate susinut numai de personal cu calificare special i experien ndelungat.

ANAlIzA DE RISc
riscul, ca noiune, reprezint estimarea probabilitii ca o ameninare s foloseasc cu succes o vulnerabilitate i s produc o consecin nefavorabil. ca fenomen, este o component omniprezent a aciunilor umane, att n plan personal, ct, mai ales, la nivelul economic i social. aciunea de control al riscurilor este o activitate

33

decembrie 2008

Alarma

Arta de a tr^i n siguran]^

complex, desfurat de la nivelul factorilor de conducere i pn la personalul de execuie, revenind managerului de securitate al obiectivului i este cunoscut, n literatura de specialitate sub numele de management al riscului. principalele etape ale managementului sunt : identificarea riscului; evaluarea riscului; tratarea riscului . activitatea cunoscut sub numele de analiz de risc presupune nsuirea complet a caracteristicilor constructive i funcionale ale obiectivului sau procesului de protejat i utilizarea sistematic a datelor i informaiilor culese, n scopul inventarierii activelor i recunoaterii ameninrilor specifice. procesul continu cu aplicarea n practic a metodologiei de evaluare a riscului, adecvat obiectivului sau procesului de protejat. ca operaii concrete, cuprinde : identificarea resurselor: fizice, procesuale, informaionale, de personal; identificarea ameninrilor la resurse; cunoaterea vulnerabilitilor care pot conduce la succesul ameninrilor; identificarea impactului pe care concretizarea ameninrilor l poate avea asupra resurselor i procesului predominant n organizaie: daune, costuri directe i asociate, alte categorii de pierderi. Analiza de risc poate fi : calitativ, cnd nu se aloc valori financiare resurselor, iar finalitatea const n ncadrarea pe o scal de aprecieri, sau cantitativ, cnd predomin factorul cost ( valoarea resursei pentru organizaie, impactul financiar imediat i costul asociat ). n practica analizei riscului, literatura de specialitate menioneaz o list lung de metode i tehnici, din care specialitii le aleg pe cele care se adapteaz cel mai bine obiectivelor i proceselor care trebuie protejate. Dintre cele mai frecvent utilizate amintesc : a. metoda matricilor de risc; b. metoda oCTAvE; c. metoda mEhARI .

caracteristicile fizice se refer la perimetrul obiectivului, zona exterioar imediat, zona interioar imediat, zona spaiilor funcionale, zona spaiilor interioare destinate pstrrii valorilor critice, alte elemente specifice construciilor. procesul funcional, predominant n organizaie, este definit prin resurse materiale i umane, mod de organizare, grad existent de asigurare a continuitii derulrii sale. componenta informaional este analizat prin prisma rolului pe care l are n obiectiv, aspectele sale structurale ( elemente hardware i software), precum i tinnd seama de ameninrile determinate de transmiterea informaiilor spre i din exterior. o atenie deosebit este acordat proteciei personalului, plecnd de la tipizarea potenialilor infractori i pn la etapele de recrutare, angajare, instruire i fidelizare a personalului propriu. Calculul riscului global, Rg , se obine prin nsumarea ponderat a riscurilor pe componente, dup o formalizare de tipul : Rg = p1 x Rp + p2 x Rf + p3 x Ri + p4 x Rps , unde : Rp , este riscul asupra componentei procesuale Rf , este riscul asupra componentei fizice Ri , este riscul asupra componentei informaionale Rps , este riscul asupra componentei de personal , iar : p1 , p2 , p3 , p4 sunt ponderile specifice organizaiei (obiectivului). Evident pi=1 . la rndul su, fiecare valoare de risc se calculeaz ca o sum ponderat a valorilor riscurilor pe elementele constitutive ale componentei; de exemplu: Rf = pk x Rfk , cu : pk , ponderea alocat elementului k Rck , riscul aferent elementului k al componentei fizice metoda este adaptabil i se poate transforma ntr-un instrument de evaluare. este prezentat, n detaliu, n lucrrile : securitatea deplin i securitatea mediului de afaceri , aprute la editura uti press n 2001 respectiv 2006.

A. METoDA MATRIcIloR DE RISc

metoda mparte obiectivul de protejat n patru componente de baz : componenta fizic; componenta funcional (procesual); componenta informaional; componenta de personal. avnd ca punct de plecare modelul relaionalitii dintre ameninri i vulnerabiliti, se face evaluarea riscului global prin aplicarea relaiilor de calcul specifice la determinarea riscurilor pentru fiecare component i nsumarea ponderat a rezultatelor pariale. matricea de risc este construit din liste de ameninri, liste de vulnerabiliti specifice, aferente i liste de riscuri, rezultate din conjuncia celor doi factori .

b.

METoDA ocTAvE

metoda oCTAvE (operationally Critical Threat, Asset and vulnerability EvaluationSm ), elaborat de specialiti americani, definete evaluarea strategic, bazat pe risc i planificarea tehnic, n scopul realizrii securitii obiectivului de protejat. exist o versiune adaptat organizaiilor mici, avnd pn la 100 de persoane i care se numete octave-s. pentru implementarea metodei este necesar s lucreze o echip de 3-5 specialiti, care se vor ocupa cu culegerea de date, analiza informaiilor obinute, elaborarea strategiei de protecie i a planurilor de reducere a

34

Alarma

Arta de a tr^i n siguran]^

decembrie 2008

riscurilor identificate . activitatea este organizat n cadrul a 3 faze . Faza 1 este consacrat construirii profilului ameninrii pe baza valorilor existente n organizaie (obiectiv) i se compune din dou procese : 1. identificarea informaiilor organizaiei; 2. stabilirea profilurilor ameninrilor. pe durata procesului 1 se definesc criteriile de evaluare a impactului asupra bunurilor organizaiei, se inventariaz valorile acesteia, precum i practicile de securitate la data auditului . n cadrul procesului 2 are loc o selectare i ierarhizare a valorilor critice, stabilirea cerinelor de securitate pentru acestea i identificarea ameninrilor la valorile critice . Faza a 2-a, de identificare a vulnerabilitilor infrastructurii, este dedicat analizei detaliate a reelelor de calculatoare, din punctul de vedere al valorilor critice. procesul specific fazei const n examinarea cilor de acces (fizic i logic) la resursele reelelor, precum i a tehnologiilor utilizate pentru implementare. n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese : 1. identificarea i analiza riscurilor; 2. dezvoltarea strategiei de protecie i a planurilor de reducere a riscurilor. activitile pe durata primului proces, de identificare i analiz a riscurilor, sunt alocate evalurii impactului ameninrilor, determinrii probabilitii pentru criteriile de evaluare i estimrii probabilitilor ameninrilor. n continuare, pe parcursul celui de-al doilea proces, de elaborare a strategiei de protecie i a planurilor concrete de reducerea riscurilor, se efectueaz urmtoarele activiti : schiarea strategiei curente de protecie; alegerea concepiilor de reducere a riscurilor; dezvoltarea planurilor de reducere a riscurilor; identificarea schimbrilor n strategia de protecie . din aceast scurt prezentare se evideniaz cteva caracteristici ale metodei, care ncepe cu selectarea i tratarea difereniat a valorilor critice ale organizaiei, continu cu analiza dedicat componentei informaionale i nu se ncheie cu elaborarea strategiei de securitate, ci cu redactarea planurilor concrete de reducere a riscurilor identificate, activiti care sunt concepute a se derula ciclic i sistemic .

c.

METoDA MEhARI

Una din metodele utilizate pe plan european este metoda MEHARI, elaborat de o echip de specialiti francezi, care abordeaz att analiza, ct i managementul riscului, evalund, cantitativ i calitativ, factorii de risc. n setul de instrumente al metodei exist o baz de cunotine referitoare la situaiile de risc, susinut de o aplicaie software, ce permite calcule, simulri i optimizri.

schema global a analizei de risc conine paii urmtori : 1. evaluarea expunerii naturale, care se face pe baza unei grile combinate, ce conine nivelurile expunerii ( expunere foarte slab, slab, medie, ridicat ) i n funcie de care se face evaluarea a patru capitole de ameninri: o accidente (foc, inundaii, cderi ale energiei electrice, deranjamente de echipamente IT sau telefonice, pierderi accidentale de date i fiiere, pierderi de personal important s.a.) o actiuni ruvoitoare (vandalism, terorism, alterare intenionat de date i fiiere, furturi de date i componente it, configurare greit intenionat a software-ului de reea, spionaj industrial sau de stat, etc.) o actiuni intenionate, dar fr intenie ruvoitoare (absen sau greva personalului it, plecarea sau demisia unor funcionari cheie, utilizare ilegal de software liceniat ) o erori ( degradarea performanelor ca urmare a neaplicrii mentenanei periodice, tergere neintenionat de programe, ca urmare a unor erori umane, bug-uri n programe aplicative, erori la introducerea datelor de intrare, etc. ) 2. evaluarea factorilor de descurajare i prevenire (elemente de construcie, echipamente tehnice, proceduri, personal de specialitate ) 3. evaluarea potenialitii (n funcie de evenimentul care conduce la scenariu, se folosete unul din trei tabele standard status-eXpo, status-diss, status-prev- i se evalueaz potenialitatea sub numele STATUS-p) 4. evaluarea impactului direct ; are ca punct de plecare o gril ale crei capitole trateaz : o bunuri (valori); o date i informaii; o infrastructura (telecomunicaii i sisteme); o infrastructura general; o disponibilitatea personalului; o conformitatea cu reglementrile i procedurile n materie. (referitor la capitolul informaional, n cadrul acestei anexe se evideniaz atributele specifice, ce pot fi afectate : Disponibilitatea informaiilor, Integritatea sau Confidenialitatea acestora) 5. evaluarea factorilor de protectie, compensare i recuperare ; exista un set de 5 categorii de msuri de reducere a riscului : o descurajare; o prevenire; o protecie; o compensare; o recuperare. 6. evaluarea reducerii impactului ( n cadrul etapei de audit de securitate se face analiza factorilor de reducere a riscurilor i evaluarea nivelurilor acestora; factorii de reducere sunt disuasiunea i prevenia, pentru potenialitate, protecie i paliativ i recuperarea, pentru impact )

35

decembrie 2008

Alarma

Arta de a tr^i n siguran]^

7. evaluarea global a riscului ( pe baza evalurii status-p, la pasul 3 i a grilei status-ri, la pasul 6, se evalueaz status-global, respectnd raionamentele specifice metodei i tabelele standard de evaluare). estimarea factorilor ce concur la definirea i calcularea riscului se realizeaz utiliznd un set de grile standard (grile STATUS-P, axate pe scenarii de tip accident, eroare, actiune voluntara i grile STATUS-RI, axate pe scenarii de tip Disponibilitate, Integritate, Confidentialitate ) , care fac parte din baza de cunotinte mEhARI . faza iniial de inspecie n obiectiv (site-survey) este susinut de un set de chestionare care servesc la relevarea caracteristicilor amanunite ale componentelor obiectivului : organizaia; locaia; incintele; funcionarea extins a reelei; funcionarea reelei locale; operaii n reea; securitatea arhitecturii de sistem; operaionalitatea resurselor it; aplicaiile principale; securitatea aplicaiilor i a dezvoltrii de proiecte; mediul de lucru; reglementrile n funciune, interne i naionale. din prezentarea succint a metodei se relev unele trsturi specifice : utilizarea unor instrumente de ghidare (chestionare de audit, scenarii de evenimente ); tratarea complet a securitii (fizic, funcional, informaional, de personal ); aplicarea acestei metode nu se limiteaz la obiective deja consacrate n domeniu (militare, guvernamentale, comerciale, .a. ), ci se aplic i la alte categorii, care au de protejat diverse tipuri de valori, n accepiunea general a noiunii de securitate; este o metod laborioas, care necesit un numr mare de persoane calificate. metoda impresioneaz prin pachetul de chestionare care servesc la efectuarea auditului i lista amnunit de scenarii, lucru util la evaluarea ct mai precis a impactului asupra valorilor organizaiei.

de securitate este valabil pentru o perioad redus de timp. n aceste condiii valabilitatea soluiei este determinat de cunoaterea i mai ales, controlul variabilei complexe risc, n timp cvasi real. dezideratul poate fi atins prin implementarea unei noi funcii manageriale i anume managementul riscului, care are ca punct de plecare analiza de risc, ncredinat personalului de specialitate. aplicarea unei metode de analiz a riscului aduce avantajul utilizrii unor instrumente performante (chestionare de audit, liste cu scenarii de securitate, baze de cunotine, etc.), recunoscute n literatura de specialitate i validate de practic.

Bibliografie tiberiu urdreanu, gheorghe ilie, mircea blaha : Securitatea Instituiilor Financiar- Bancare, Editura UTI , 1998 dr. ing. gheorghe ilie, ing. tiberiu urdreanu : Securitatea deplin, Editura UTI , 2001 Dr. Ing. Gheorghe Ilie : Securitatea mediului de afaceri, Editura UTI Press, 2006 sr en 50131 sisteme de alarm la efracie. prescripii generale Documentaie OCTAVE-S Documentaie MEHARI

coNclUzII
rspunsul adecvat sistem de securitate mpreun cu procedurile aferente la o solicitare de asigurarea proteciei pentru un obiectiv poate fi generat numai dup cunoaterea aprofundat a acestuia, identificarea ameninrilor i vulnerabilitilor specifice, adic evaluarea riscului. modul cum mbraci soluia, respectnd standarde specifice, asigur nivelul calitativ al produsului i implicit, renumele furnizorului. ntr-un mediu multidimensional (economic, social, tehnic, informaional), caracterizat prin interconexiuni complexe i dinamic ridicat, propunerea unei soluii

36