Documente Academic
Documente Profesional
Documente Cultură
decembrie 2008
ANAlIzA DE RISc
riscul, ca noiune, reprezint estimarea probabilitii ca o ameninare s foloseasc cu succes o vulnerabilitate i s produc o consecin nefavorabil. ca fenomen, este o component omniprezent a aciunilor umane, att n plan personal, ct, mai ales, la nivelul economic i social. aciunea de control al riscurilor este o activitate
33
decembrie 2008
Alarma
complex, desfurat de la nivelul factorilor de conducere i pn la personalul de execuie, revenind managerului de securitate al obiectivului i este cunoscut, n literatura de specialitate sub numele de management al riscului. principalele etape ale managementului sunt : identificarea riscului; evaluarea riscului; tratarea riscului . activitatea cunoscut sub numele de analiz de risc presupune nsuirea complet a caracteristicilor constructive i funcionale ale obiectivului sau procesului de protejat i utilizarea sistematic a datelor i informaiilor culese, n scopul inventarierii activelor i recunoaterii ameninrilor specifice. procesul continu cu aplicarea n practic a metodologiei de evaluare a riscului, adecvat obiectivului sau procesului de protejat. ca operaii concrete, cuprinde : identificarea resurselor: fizice, procesuale, informaionale, de personal; identificarea ameninrilor la resurse; cunoaterea vulnerabilitilor care pot conduce la succesul ameninrilor; identificarea impactului pe care concretizarea ameninrilor l poate avea asupra resurselor i procesului predominant n organizaie: daune, costuri directe i asociate, alte categorii de pierderi. Analiza de risc poate fi : calitativ, cnd nu se aloc valori financiare resurselor, iar finalitatea const n ncadrarea pe o scal de aprecieri, sau cantitativ, cnd predomin factorul cost ( valoarea resursei pentru organizaie, impactul financiar imediat i costul asociat ). n practica analizei riscului, literatura de specialitate menioneaz o list lung de metode i tehnici, din care specialitii le aleg pe cele care se adapteaz cel mai bine obiectivelor i proceselor care trebuie protejate. Dintre cele mai frecvent utilizate amintesc : a. metoda matricilor de risc; b. metoda oCTAvE; c. metoda mEhARI .
caracteristicile fizice se refer la perimetrul obiectivului, zona exterioar imediat, zona interioar imediat, zona spaiilor funcionale, zona spaiilor interioare destinate pstrrii valorilor critice, alte elemente specifice construciilor. procesul funcional, predominant n organizaie, este definit prin resurse materiale i umane, mod de organizare, grad existent de asigurare a continuitii derulrii sale. componenta informaional este analizat prin prisma rolului pe care l are n obiectiv, aspectele sale structurale ( elemente hardware i software), precum i tinnd seama de ameninrile determinate de transmiterea informaiilor spre i din exterior. o atenie deosebit este acordat proteciei personalului, plecnd de la tipizarea potenialilor infractori i pn la etapele de recrutare, angajare, instruire i fidelizare a personalului propriu. Calculul riscului global, Rg , se obine prin nsumarea ponderat a riscurilor pe componente, dup o formalizare de tipul : Rg = p1 x Rp + p2 x Rf + p3 x Ri + p4 x Rps , unde : Rp , este riscul asupra componentei procesuale Rf , este riscul asupra componentei fizice Ri , este riscul asupra componentei informaionale Rps , este riscul asupra componentei de personal , iar : p1 , p2 , p3 , p4 sunt ponderile specifice organizaiei (obiectivului). Evident pi=1 . la rndul su, fiecare valoare de risc se calculeaz ca o sum ponderat a valorilor riscurilor pe elementele constitutive ale componentei; de exemplu: Rf = pk x Rfk , cu : pk , ponderea alocat elementului k Rck , riscul aferent elementului k al componentei fizice metoda este adaptabil i se poate transforma ntr-un instrument de evaluare. este prezentat, n detaliu, n lucrrile : securitatea deplin i securitatea mediului de afaceri , aprute la editura uti press n 2001 respectiv 2006.
b.
METoDA ocTAvE
metoda oCTAvE (operationally Critical Threat, Asset and vulnerability EvaluationSm ), elaborat de specialiti americani, definete evaluarea strategic, bazat pe risc i planificarea tehnic, n scopul realizrii securitii obiectivului de protejat. exist o versiune adaptat organizaiilor mici, avnd pn la 100 de persoane i care se numete octave-s. pentru implementarea metodei este necesar s lucreze o echip de 3-5 specialiti, care se vor ocupa cu culegerea de date, analiza informaiilor obinute, elaborarea strategiei de protecie i a planurilor de reducere a
34
Alarma
decembrie 2008
riscurilor identificate . activitatea este organizat n cadrul a 3 faze . Faza 1 este consacrat construirii profilului ameninrii pe baza valorilor existente n organizaie (obiectiv) i se compune din dou procese : 1. identificarea informaiilor organizaiei; 2. stabilirea profilurilor ameninrilor. pe durata procesului 1 se definesc criteriile de evaluare a impactului asupra bunurilor organizaiei, se inventariaz valorile acesteia, precum i practicile de securitate la data auditului . n cadrul procesului 2 are loc o selectare i ierarhizare a valorilor critice, stabilirea cerinelor de securitate pentru acestea i identificarea ameninrilor la valorile critice . Faza a 2-a, de identificare a vulnerabilitilor infrastructurii, este dedicat analizei detaliate a reelelor de calculatoare, din punctul de vedere al valorilor critice. procesul specific fazei const n examinarea cilor de acces (fizic i logic) la resursele reelelor, precum i a tehnologiilor utilizate pentru implementare. n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese : 1. identificarea i analiza riscurilor; 2. dezvoltarea strategiei de protecie i a planurilor de reducere a riscurilor. activitile pe durata primului proces, de identificare i analiz a riscurilor, sunt alocate evalurii impactului ameninrilor, determinrii probabilitii pentru criteriile de evaluare i estimrii probabilitilor ameninrilor. n continuare, pe parcursul celui de-al doilea proces, de elaborare a strategiei de protecie i a planurilor concrete de reducerea riscurilor, se efectueaz urmtoarele activiti : schiarea strategiei curente de protecie; alegerea concepiilor de reducere a riscurilor; dezvoltarea planurilor de reducere a riscurilor; identificarea schimbrilor n strategia de protecie . din aceast scurt prezentare se evideniaz cteva caracteristici ale metodei, care ncepe cu selectarea i tratarea difereniat a valorilor critice ale organizaiei, continu cu analiza dedicat componentei informaionale i nu se ncheie cu elaborarea strategiei de securitate, ci cu redactarea planurilor concrete de reducere a riscurilor identificate, activiti care sunt concepute a se derula ciclic i sistemic .
c.
METoDA MEhARI
Una din metodele utilizate pe plan european este metoda MEHARI, elaborat de o echip de specialiti francezi, care abordeaz att analiza, ct i managementul riscului, evalund, cantitativ i calitativ, factorii de risc. n setul de instrumente al metodei exist o baz de cunotine referitoare la situaiile de risc, susinut de o aplicaie software, ce permite calcule, simulri i optimizri.
schema global a analizei de risc conine paii urmtori : 1. evaluarea expunerii naturale, care se face pe baza unei grile combinate, ce conine nivelurile expunerii ( expunere foarte slab, slab, medie, ridicat ) i n funcie de care se face evaluarea a patru capitole de ameninri: o accidente (foc, inundaii, cderi ale energiei electrice, deranjamente de echipamente IT sau telefonice, pierderi accidentale de date i fiiere, pierderi de personal important s.a.) o actiuni ruvoitoare (vandalism, terorism, alterare intenionat de date i fiiere, furturi de date i componente it, configurare greit intenionat a software-ului de reea, spionaj industrial sau de stat, etc.) o actiuni intenionate, dar fr intenie ruvoitoare (absen sau greva personalului it, plecarea sau demisia unor funcionari cheie, utilizare ilegal de software liceniat ) o erori ( degradarea performanelor ca urmare a neaplicrii mentenanei periodice, tergere neintenionat de programe, ca urmare a unor erori umane, bug-uri n programe aplicative, erori la introducerea datelor de intrare, etc. ) 2. evaluarea factorilor de descurajare i prevenire (elemente de construcie, echipamente tehnice, proceduri, personal de specialitate ) 3. evaluarea potenialitii (n funcie de evenimentul care conduce la scenariu, se folosete unul din trei tabele standard status-eXpo, status-diss, status-prev- i se evalueaz potenialitatea sub numele STATUS-p) 4. evaluarea impactului direct ; are ca punct de plecare o gril ale crei capitole trateaz : o bunuri (valori); o date i informaii; o infrastructura (telecomunicaii i sisteme); o infrastructura general; o disponibilitatea personalului; o conformitatea cu reglementrile i procedurile n materie. (referitor la capitolul informaional, n cadrul acestei anexe se evideniaz atributele specifice, ce pot fi afectate : Disponibilitatea informaiilor, Integritatea sau Confidenialitatea acestora) 5. evaluarea factorilor de protectie, compensare i recuperare ; exista un set de 5 categorii de msuri de reducere a riscului : o descurajare; o prevenire; o protecie; o compensare; o recuperare. 6. evaluarea reducerii impactului ( n cadrul etapei de audit de securitate se face analiza factorilor de reducere a riscurilor i evaluarea nivelurilor acestora; factorii de reducere sunt disuasiunea i prevenia, pentru potenialitate, protecie i paliativ i recuperarea, pentru impact )
35
decembrie 2008
Alarma
7. evaluarea global a riscului ( pe baza evalurii status-p, la pasul 3 i a grilei status-ri, la pasul 6, se evalueaz status-global, respectnd raionamentele specifice metodei i tabelele standard de evaluare). estimarea factorilor ce concur la definirea i calcularea riscului se realizeaz utiliznd un set de grile standard (grile STATUS-P, axate pe scenarii de tip accident, eroare, actiune voluntara i grile STATUS-RI, axate pe scenarii de tip Disponibilitate, Integritate, Confidentialitate ) , care fac parte din baza de cunotinte mEhARI . faza iniial de inspecie n obiectiv (site-survey) este susinut de un set de chestionare care servesc la relevarea caracteristicilor amanunite ale componentelor obiectivului : organizaia; locaia; incintele; funcionarea extins a reelei; funcionarea reelei locale; operaii n reea; securitatea arhitecturii de sistem; operaionalitatea resurselor it; aplicaiile principale; securitatea aplicaiilor i a dezvoltrii de proiecte; mediul de lucru; reglementrile n funciune, interne i naionale. din prezentarea succint a metodei se relev unele trsturi specifice : utilizarea unor instrumente de ghidare (chestionare de audit, scenarii de evenimente ); tratarea complet a securitii (fizic, funcional, informaional, de personal ); aplicarea acestei metode nu se limiteaz la obiective deja consacrate n domeniu (militare, guvernamentale, comerciale, .a. ), ci se aplic i la alte categorii, care au de protejat diverse tipuri de valori, n accepiunea general a noiunii de securitate; este o metod laborioas, care necesit un numr mare de persoane calificate. metoda impresioneaz prin pachetul de chestionare care servesc la efectuarea auditului i lista amnunit de scenarii, lucru util la evaluarea ct mai precis a impactului asupra valorilor organizaiei.
de securitate este valabil pentru o perioad redus de timp. n aceste condiii valabilitatea soluiei este determinat de cunoaterea i mai ales, controlul variabilei complexe risc, n timp cvasi real. dezideratul poate fi atins prin implementarea unei noi funcii manageriale i anume managementul riscului, care are ca punct de plecare analiza de risc, ncredinat personalului de specialitate. aplicarea unei metode de analiz a riscului aduce avantajul utilizrii unor instrumente performante (chestionare de audit, liste cu scenarii de securitate, baze de cunotine, etc.), recunoscute n literatura de specialitate i validate de practic.
Bibliografie tiberiu urdreanu, gheorghe ilie, mircea blaha : Securitatea Instituiilor Financiar- Bancare, Editura UTI , 1998 dr. ing. gheorghe ilie, ing. tiberiu urdreanu : Securitatea deplin, Editura UTI , 2001 Dr. Ing. Gheorghe Ilie : Securitatea mediului de afaceri, Editura UTI Press, 2006 sr en 50131 sisteme de alarm la efracie. prescripii generale Documentaie OCTAVE-S Documentaie MEHARI
coNclUzII
rspunsul adecvat sistem de securitate mpreun cu procedurile aferente la o solicitare de asigurarea proteciei pentru un obiectiv poate fi generat numai dup cunoaterea aprofundat a acestuia, identificarea ameninrilor i vulnerabilitilor specifice, adic evaluarea riscului. modul cum mbraci soluia, respectnd standarde specifice, asigur nivelul calitativ al produsului i implicit, renumele furnizorului. ntr-un mediu multidimensional (economic, social, tehnic, informaional), caracterizat prin interconexiuni complexe i dinamic ridicat, propunerea unei soluii
36