MEHARI 2007

Ghid de analiz a riscului

MEHARI este marc nregistrat a CLUSIF

CLUB DE LA SECURITE DE LINFORMATION FRANCAIS

Ghid de analiz a riscului

24 februarie 2008

Recunoatere
CLUSIF dorete s mulumeasc membrilor echipei de lucru care au contribuit la crearea acestui document.
CLUSIF dorete de asemenea s mulumeasc dlui. Valentin P. Mzreanu i echipei sale (Alina Marin, Raluca Ungureanu)
care au acceptat s furnizeze aceast traducere. Dl. Valentin P. Mzreanu i desfoar activitatea n cadrul Facultii de
Economie i Administrarea Afacerilor, Universitatea Al.I.Cuza Iai i este director general al Paideia Consulting Iai.
Pentru mai multe informaii despre activitatea dlui. Valentin P. Mzreanu v invitm s accesai www.managementulriscurilor.ro.
V rugm s trimitei ntrebrile i comentariile dumneavoastr la adresa mehari@clusif.asso.fr

Ghid de analiz a riscului

24 februarie 2008

Cuprins
Cuprins ......................................................................................................................................................................................3
1 Introducere..............................................................................................................................................................................4
2 Analiza situaiilor de risc ........................................................................................................................................................5
2.1 Trecerea n revist a procesului de analiz a riscului.......................................................................................................5
2.2 Evaluarea expunerii naturale ...........................................................................................................................................6
2.2.1.Expunerea natural standard .....................................................................................................................................6
2.2.2 Expunerea natural specific ntreprinderilor pentru un risc dat ..............................................................................7
2.3 Evaluarea impactului intrinsec.........................................................................................................................................7
2.3.1 Tabelul impactului intrinsec .....................................................................................................................................7
2.3.2 Extinderea tabelului impactului intrinsec .................................................................................................................8
2.3.3 Evaluarea scenariilor impactului intrinsec ................................................................................................................9
2.3.4 Descompunerea cartografic.....................................................................................................................................9
2.4 Evaluarea factorilor de reducere a riscului printr-un audit de securitate MEHARI.........................................................9
2.4.1 Indicatorii de eficacitate pentru serviciile de securitate pe scenariu i msura reducerii riscului ...........................10
2.4.2 Factorii de reducere a riscului calculat ................................................................................................................11
2.4.3 Evaluarea factorilor de risc .....................................................................................................................................12
2.5. Evaluarea potenialitii i a impactului........................................................................................................................12
2.5.1 Evaluarea automat a potenialitii: STAUS-P......................................................................................................12
2.5.2 Evaluarea automat a impactului: STATUS-I ........................................................................................................13
2.5.3 Principii de construire a tabelului de evaluare ........................................................................................................14
2.5.4 Evaluarea potenialitii i a impactului..................................................................................................................14
2.6 Evaluarea gravitii unui scenariu..................................................................................................................................14
2.7 Exprimarea cerinelor de securitate ..............................................................................................................................14
2.8 Sfaturi practice...............................................................................................................................................................15
2.8.1 Gndirea din spatele abordrii analizei riscului ......................................................................................................15
2.8.2 Structura unui comitet de evaluare a riscului..........................................................................................................15
2.8.3 Utilizarea abordrii n conjuncie cu un audit de securitate ....................................................................................15
3 Identificarea situaiilor de risc ..............................................................................................................................................16
3.1 Identificarea sistematic folosind baza de cunotine ....................................................................................................16
3.2 Crearea unui baze de scenarii specifice .........................................................................................................................17
3.2.1 Baza de scenarii de risc generice ............................................................................................................................17
3.2.2 Personalizarea scenariilor ca funcie a bunurilor implicate ....................................................................................18
3.2.3 Luarea n considerare a soluiilor de securitate specifice........................................................................................18
3.3. Evaluarea automat a scenariilor ..................................................................................................................................19
3.4. Selectarea scenariilor critice care ar trebui luat n considerare n timpul analizei riscului..........................................19
Anexa 1: Tabelul expunerii naturale standard .........................................................................................................................21
Anexa 2 : Definiia nivelurilor de expunere natural...............................................................................................................23
Anexa 3 : Tabelul impactului intrinsec....................................................................................................................................24
Anexa 4: Definiia nivelurilor factorilor de reducere a riscului ...............................................................................................25
Anexa 5: Principii pentru construirea tabelelor de evaluare STATUS ....................................................................................28
Anexa 6 : Tabele standard de evaluare ....................................................................................................................................29
Anexa 7: Cerine speciale de securitate ...................................................................................................................................31

Ghid de analiz a riscului

24 februarie 2008

1 Introducere
O recenzie a principiilor analizei riscurilor i identificarea situaiilor de risc este dat n documentul
MEHARI - Concepte i Mecanisme. Principalele puncte sunt amintite mai jos:
- O situaie de risc poate fi caracterizat prin potenialitatea i impactul su intrinsec, n
absena oricror msuri de securitate.
- Potenialitatea intrinsec i impactul intrinsec pot fi evaluate.
- Msurile de securitate pot fi aplicate pentru a reduce riscul prin factori semnificativi de
reducere a riscului.
Analiza unei situaii de risc poate fi fcut direct folosind principiile generale i explicaiile oferite
n documentul MEHARI - Concepte i Mecanisme.
Dac situaia de risc care este analizat corespunde unuia din scenariile cuprinse n baza de
cunotine MEHARI, este posibil i - pentru o evaluare direct a nivelului riscului s se utilizeze
Manualul de referine pentru scenarii de risc. Documentul ofer, pentru fiecare scenariu, indicaii
specifice despre factorii de reducere a riscului.
n acest document descriem modul n care procedurile automate MEHARI ar trebui folosite
pentru a ajuta la evaluarea unei situaii de risc. Exemplele care sunt folosite vor fi cele n care
situaia care este analizat corespunde unui scenariu din baza de cunotine MEHARI.
De asemenea vom descrie modul n care trebuie folosite procedurile automate pentru a evidenia
situaiile de risc i pentru a le selecta pentru o analiz detaliat.

Ghid de analiz a riscului

24 februarie 2008

2 Analiza situaiilor de risc

2.1 Trecerea n revist a procesului de analiz a riscului
Figura 1, de mai jos, arat procesul total pentru analiza riscului, dup cum a fost deja descris n
documentul MEHARI Concepte i mecanisme.
Asistena oferit de MEHARI pentru un
scenariu standard

Identificarea unei
situaii de risc

Tabelul expunerii standard

Comentarii n baza de cunotine global

Evaluarea expunerii
naturale
Evaluarea factorilor
disuasivi i preventivi

Comentarii n baza de cunotine global. Calcularea

automat a STATUS-ului dac exist un audit anterior
Tabelele de decizie standard sau specifice ntreprinderii,
n funcie de situaia de risc

Evaluarea potenialitii
Evaluarea impactului
intrinsec

Scara de valori a defeciunilor

Sau clasificarea predefinit

Evaluarea factorilor
protectori, paliativi i
recuperatori

Comentarii n baza de cunotine global

Calcularea automat a STATUS-ului dac
exist un audit anterior

Evaluarea reducerii
impactului
Evaluarea impactului

Tabelele de decizie standard sau specifice ntreprinderii,

n funcie de situaia de risc

Tabelele de acceptabilitate a riscului standard sau

specifice ntreprinderii

Evaluarea riscului global

Decizia dac riscul

este acceptabil

Figura 1: Procesul de analiz a riscului i asistena oferit de MEHARI

Astfel, prin baza sa de cunotine, MEHARI propune diferite ajutoare pentru analiza riscului.
Asisten n evaluarea expunerii naturale
Proceduri automate pentru evaluarea factorilor de reducere a riscului (factori disuasivi,
preventivi, protectori, paliativi i recuperatori) n funcie de calitate serviciilor de securitate,
Ghid de analiz a riscului

24 februarie 2008

dac acestea au fost evaluate prin un audit MEHARI.

Un tabel generic al impactului intrinsec poate fi creat ca rezultat al clasificrii sau direct
folosind o scar a valorilor defeciunilor.
Proceduri automate pentru calcularea potenialitii i impactului actual, ca funcie a
factorilor expunerii naturale, impactului intrinsec, i de atenuare a riscului.

Toate aceste ajutoare sunt disponibile automat pentru toate scenariile din baza de cunotine
MEHARI.

2.2 Evaluarea expunerii naturale

Am explicat deja, n documentul MEHARI - Concepte i Mecanisme, c expunerea natural
poate varia pentru aceeai organizaie n funcie de fenomene conjuncturale.
Totui, pentru multe organizaii, rmne adevrat faptul c expunerea normal sau standard
la un anumit tip de risc (de ex. n absena oricrui fenomen excepional anume) este n
conformitate cu ceea ce poate fi observat n general, i poate fi fcut o evaluarea n prealabil.

2.2.1.Expunerea natural standard

Scenariile1 din baza de cunotine MEHARI sunt comparate cu o list de evenimente
caracteristice, fie c sunt accidente, erori sau aciuni voluntare (maliioase sau nu), i pentru care
este propus o evaluare standard anterioar a expunerii.
Deci, de exemplu, este estimat c expunerea natural standard la incendii pentru o
ntreprindere este de nivel 2 (destul de improbabil); la pierderea unui serviciu al echipamentului
ICT este de nivel 3 (destul de probabil); iar la o eroare n timpul procesului de introducere a
datelor este de nivel 4 (foarte probabil).
Lista acestor evenimente i a expunerii naturale standard este dat n Anexa 1.
Fiecare scenariu se refer la un tip de eveniment, dup cum este artat n exemplul de mai jos:
10.31: Pierderea fiierelor de date, prin tergerea ruvoitoare a mediilor de ctre
personalul de operaiuni.
TYP-EXPO

EFF-DISS

EFF-PREV

MA010

MAX(MIN(07C02;08E02);08C01)

08A02

EFF-PROT

EFF-PALL

EFF-RECUP

MAX(08C01 ;08C05)

MAX(MIN(08D05;09D03);09D02)

01D02

Tipul de expunere MAO 10 din tabel n Anexa 1 este: tergerea voluntar a datelor sau furtul de
medii i este evaluat cu o valoare standard de nivel 3 (destul de probabil).

Scenariile din baza de cunotine MEHARI sunt grupate pe familii care au consecine similare.
n aceast versiune, exist 12 familii standard de scenarii.
Ghid de analiz a riscului

24 februarie 2008

2.2.2 Expunerea natural specific ntreprinderilor pentru un risc dat

Ar trebui fcut clar faptul c evaluarea standard oferit este doar o evaluare prin lips, i c
evaluarea specific a expunerii ntreprinderii la situaia de risc analizat este cu mult mai
preferabil. Pentru o astfel de evaluare, facei referire la definiiile nivelurilor de expunere date n
documentul MEHARI - Concepte i Mecanisme. Acestea sunt rezumate n Anexa 2.
Pentru un scenariu specific, ar trebui de asemenea s consultai Manualul de Referin al
Scenariilor de Risc, care conine informaii specifice despre evaluarea expunerii naturale.
NOT:
Dac situaiile de risc vor fi analizate sistematic, sau dac mai multe situaii de risc vor fi
examinate, este preferabil s se nceap cu trecerea n revist a tuturor evenimentelor, i s se
fac o apreciere general referitor la expunerea ntreprinderii la fiecare dintre acestea.

2.3 Evaluarea impactului intrinsec

Definiia impactului intrinsec al unui scenariu, dat n MEHARI Concepte i mecanisme, este
evaluarea consecinelor evenimentului de risc care are loc efectiv, independent de orice msuri
de securitate.
Pentru fiecare din scenariile definite n baza de cunotine MEHARI, exist o int a scenariului
(un bun care va fi deteriorat sau afectat de scenariu).
Aceasta ar putea fi un tip de date sau de informaii care este furat, un tip de bunuri a crui
disponibilitate este redus, sau un bun care este modificat. Acest lucru va depinde de faptul dac
scenariul va afecta confidenialitatea, disponibilitatea, sau integritatea bunului. Acestea sunt cele
trei criterii de baz pe care MEHARI le acoper ca standard.
Evaluarea impactului intrinsec n astfel de condiii implic evaluarea criticalitii sau a gravitii
pierderii disponibilitii, integritii sau confidenialitii, n funcie de tipul de scenariu, i de tipul de
bunuri implicat n scenariu.
Abordarea clasificrii folosit de MEHARI permite crearea unui tabel al clasificrii generice. Acest
tabel arat tipurile de bunuri identificate n mod specific prin scenariile din baza de cunotine.
Abordarea clasificrii este descris n documentului MEHARI Concepte i mecanisme, i n
Analiza mizelor de securitate i ghidul de clasificri.

2.3.1 Tabelul impactului intrinsec

Abordarea folosit pentru a evalua impactul intrinsec poate fi apoi organizat. Const n
completarea unui tabel al impactului intrinsec, pe baza tabelului oferit n Anexa 3, din care este
artat un extras mai jos.

Ghid de analiz a riscului

24 februarie 2008

Tabelul impactului intrinsec

Clasificarea datelor, informaiilor i elementelor de infrastructur

Date i informaii
D01 Dosare cu date, sau baze de date cu aplicaii
D07 Pot i faxuri
.../...
Infrastructura IT i telecom
R02 Echipament i legturi pentru reeaua local
S01 Mainframe-uri, servere de aplicaii

Acest tabel este completat prin transcrierea nivelului de consecin sau de impact asupra
disponibilitii, integritii sau confidenialitii pentru fiecare tip de bun identificat. Totui, anumite
intrri nu vor fi completate, de exemplu cea pentru confidenialitatea unei componente hardware.
Abordarea de baz folosete tabelele de clasificare, dup cum este descris n MEHARI Analiza
mizelor de securitate i ghidul de clasificare.
n cel mai ru caz, poate fi fcut n mod direct, dar abordarea clasificrii definit n MEHARI
Concepte i mecanisme, aa cum este completat de procesul de mai sus, este fr ndoial
mai bun.
Principiul general pentru completarea tabelului impactului intrinsec este c se copie cea mai
mare valoare a clasificrii gsit n timpul procesului de clasificare pentru fiecare tip de informaie
i pentru fiecare criteriu. Detaliile despre modul de completare al tabelului impactului intrinsec din
rezultatele clasificrii sunt descrise n MEHARI Analiza mizelor de securitate i ghidul de
clasificare.
Acest lucru produce deci o sintez care poate fi folosit pentru a defini nivelul impactului intrinsec
pentru fiecare din scenariile din baza de cunotine MEHARI care au impact asupra tipului de
informaii sau de bunuri de la fiecare examinare.

2.3.2 Extinderea tabelului impactului intrinsec

Tabelul MEHARI standard se refer doar la trei criterii standard: disponibilitate, integritate i
confidenialitate. Alte criterii pot, desigur, s fie folosite. Tabelul poate fi extins pentru a include
criterii precum, dovad, capacitatea de a fi urmrit, capacitatea de a fi auditat, i aa mai departe.
Pentru a efectua o astfel de extindere, ar trebui create scenarii care aduc noile criterii n joc (sau
modific scenariile existente). n plus, tabelele de evaluare corespondente ar trebui definite.
Pachetul software Risicare2 permite s fie luate n considerare pn la opt criterii.

Marc nregistrat a BUC S.A.

Ghid de analiz a riscului

24 februarie 2008

2.3.3 Evaluarea scenariilor impactului intrinsec

Impactul intrinsec al fiecrui scenariu al bazei de cunotine este evaluat destul de simplu.
Fiecare scenariu are o legtur cu un tip de bunuri n tabelul impactului intrinsec i un criteriu
de aplicare (A, I sau C sau, poate, altele).
Altfel spus, fiecare scenariu din baza de cunotine face referire n mod explicit la un tip de
bunuri afectat de scenariu, i la modul n care este afectat (A, I sau C). n acest mod, impactul
intrinsec poate fi evaluat folosind tabelul din Anexa 3.

2.3.4 Descompunerea cartografic

Tabelul standard al impactului intrinsec, aa cum este dat n Anexa 3, arat doar o singur linie
pentru toate serverele de aplicaii sau mainframe-urile. De asemenea, exist o singur linie
pentru toate bazele de date cu aplicaii i n general doar o singur referin pentru fiecare tip
de bunuri.
Aceast abordare global permite analiza situaiilor de risc lund n considerare sensibilitatea
maxim a bunurilor n discuie, fr a diferenia ntre bunuri, sau a le numi. Aceasta este o
simplificare care restricioneaz situaiile care pot fi analizate, fr consecine practice, deoarece
va exista ntotdeauna o oportunitate, atunci cnd se construiesc planurile de aciune, pentru a
limita aciunile corective pentru acele bunuri care sunt cele mai sensibile.
Totui, se poate distinge ntre diferite variaii ale tipurilor de bunuri, tot aa cum variaiile serviciilor
de securitate pot fi difereniate n timpul unui audit MEHARI. Pentru mai multe detalii, vezi
schema de audit n Ghidul de audit al serviciilor de securitate.
Crearea variaiilor a tipurilor de bunuri n tabelul impactului intrinsec este cunoscut ca
descompunere cartografic. Aceasta permite diferenierea, de exemplu, ntre servere n mai
multe domenii diferite, domenii de baze de date de aplicaii, a software-ului n domenii, i aa mai
departe. Utilizarea descompunerii cartografice permite tratamentul specific al unuia sau a mai
multor domenii specifice de activitate.
Pachetul software RisicareTM folosete posibilitatea de a crea variaii de scenarii n funcie de
variaiile cartografice care sunt create3.
ATENIE: Utilizarea acestei opiuni poate, totui, complica mult sarcina, deoarece va crea n mod
inevitabil mai multe scenarii.

2.4 Evaluarea factorilor de reducere a riscului printr-un audit de securitate

MEHARI
Evaluarea potenialitii impactului unui scenariu de risc depinde de analiza existenei factorilor de
3

Atunci cnd Risicare nu este folosit pentru aceast lucrare, i cnd foile de calcul din Excel ale bazei de cunotine
standard a Clusif sunt folosite, tabelul de clasificri T1 descris n documentul Mehari Principii de baz i Concepte
generale ar trebui modificat. Tabelul impactului intrinsec oferit n Anexa 3 ar trebui de asemenea modificat pentru a
lua n considerare descompunerea cartografic.

Ghid de analiz a riscului

24 februarie 2008

reducere a riscului, i de o evaluare a nivelurilor acestora.

Factorii de reducere a riscului sunt disuasiunea i prevenia pentru potenialitate, protecie,
paliativ i recuperare pentru impact.
n baza sa de cunotine, MEHARI ofer evaluri ale nivelurilor acestor factori de reducere a
riscului, n funcie de calitatea serviciilor de securitate potrivite pentru scenariul care este analizat.
Aceast evaluare automat este efectuat n doi pai:
Calcularea indicatorilor de eficacitate pentru serviciile de securitate, pentru fiecare tip de
factor de reducere a riscului,
Calcularea factorilor de reducere a riscului nii.

2.4.1 Indicatorii de eficacitate pentru serviciile de securitate pe scenariu i

msura reducerii riscului
MEHARI definete un indicator de eficacitate pentru fiecare scenariu i pentru fiecare tip de
msur de reducere a riscului.
Eficacitatea pentru fiecare msur de reducere a riscului este artat cu urmtoarele notri:
EFF-DISS pentru eficacitatea msurilor disuasive
EFF-PREV pentru eficacitatea msurilor preventive
EFF-PROT pentru eficacitatea msurilor protectoare
EFF-PALL pentru eficacitatea msurilor paliative
EFF-RECUP pentru eficacitatea msurilor recuperatoare
Aceti indicatori sunt calculai folosind formule care fac toat diferena pentru serviciile de
securitate.
Formulele oferite n baza de cunotine MEHARI apeleaz la:
Fie la un serviciu de securitate direct, prin identificatorul4 su, atunci cnd serviciul este
singurul care are acest tip de efect asupra scenariului;
Sau formule care conin funcii: MIN (arg1; arg2; ...) sau MAX (arg1; arg2; ...), parametrii
(arg1; arg2; ...) fiind identificatori ai serviciilor de securitate ai bazei de cunotine
MEHARI.
Formulele pot deci s aib urmtoarele forme, de exemplu:
EFF-PALL = 06B01
EFF-PREV = MAX(04B04;MIN(04B01;04B02;04B03))
Prima formul semnific faptul c eficacitatea (propus) a msurilor paliative este o funcie
direct a serviciului 06B01 i ia ca valoare nivelul de calitate a acelui serviciu.
A doua formul semnific faptul c eficacitatea (propus) a msurilor preventive este egal cu
valoarea mai mare dintre calitatea serviciului a 04B04 i funcia care reprezint minimul serviciilor
04B01, 04B02, i 04B03.
4

Identificatorul unui sub-serviciu este compus dintr-un numr de domeniu, o liter care indic serviciul la care este ataat, i
un numr de sub-serviciu (ex.: 06B01)
Ghid de analiz a riscului

10

24 februarie 2008

NOT:
Funcia MIN nseamn c serviciile numite ca parametri sunt complementare. Dac nivelul unuia
este mic, nivelul ntregului va fi mic. Un exemplu al unui astfel de caz se gsete n
managementul accesului utilizatorului i autentificarea; dac unul din ele are un nivel mic, ntregul
control al accesului se afl la un nivel mic.
Funcia MAX semnific c serviciile numite parametri sunt alternative. Dac unul din servicii are
un nivel al calitii ridicat, atunci ntregul va avea un nivel al calitii ridicat. Un exemplu pentru un
astfel de caz, n funcie de anumite scenarii, l reprezint controlul accesului la date i criptarea
datelor.
Este posibil ca nici unul din serviciile de securitate existente s nu aib o influen asupra unui tip
de reducere a riscului dat pentru un scenariu dat.
Ca un exemplu, ilustraia de mai jos arat coninutul bazei de cunotine MEHARI pentru
scenariul 10.31:
10.31: Pierderea fiierelor de date, prin tergerea ruvoitoare
personalul de operaiuni.

a mediilor de ctre

TYP-EXPO

EFF-DISS

EFF-PREV

MA010

MAX(MIN(07C02; 08E02);08C01)

08A02

EFF-PROT

EFF-PALL

EFF-RECUP

MAX(08C01;08C05)

MAX(MIN(08D05;09D03);09D02)

01D02

2.4.2 Factorii de reducere a riscului calculat

n mod clar, coeficienii de eficacitate evaluai mai sus (EFF-XXXX) sunt calculai pe baza
valorilor calitii serviciului, care nu au de ce s fie valori ntregi, i coeficienii de eficacitate nu
sunt nici ei nii valori ntregi. Pentru a face evaluarea final a potenialitii i a impactului mai
uoar, MEHARI le transform n valori ntregi pentru evaluarea factorilor de reducere a riscului.
n MEHARI, factorii de reducere a riscului sunt notai cu STATUS-XXXX (de exemplu STATUSDISS pentru factorul de disuasiune).
Valorile pentru STATUS sunt obinute prin rotunjirea valorii la cel mai apropiat numr ntreg:
STATUS-XXXX = 1 dac EFF-XXXX< 1,5 STATUS-XXXX = 2 dac 1,5 < EFF-XXXX < 2,5
STATUS-XXXX = 3dac 2,5 < EFF-XXXX < 3,5 STATUS-XXXX = 4 dac 3,5 < EFF-XXXX
Unde XXXX poate fi DISS, PREV, PROT, PALL sau RECUP
Not:
Valoarea pentru evaluarea expunerii naturale va fi de asemenea dat prin notarea STATUSEXPO.
Aceti factori de reducere a riscului sunt factorii calculai. Asta nseamn c valoarea obinut
poate s nu fie n totalitate pertinent n contextul specific al ntreprinderii sau organizaiei. Este
Ghid de analiz a riscului

11

24 februarie 2008

posibil s existe situaii, de exemplu, cnd personalul nu este sensibil la msurile disuasive, cnd
personalul este format din experi, unde msurile preventive nu au nsemntate, i situaii unde
msurile de protejare sau paliative nu ar avea nici un efect asupra impactului real.
MEHARI ajut prin oferirea de valori calculate pentru factorii de reducere a riscului. Aceste
valori ar trebui, totui, s fie verificate nainte de a le aplica.
Un caz deosebit de frecvent este cel al scenariilor pentru care se poate considera c msurile
protectoare nu ar reduce semnificativ impactul intrinsec al scenariului (deoarece detectarea
fraudei sau dezvluirea informaiilor, de exemplu, nu ar reduce gravitatea riscului, indiferent de
msurile aplicate). Un astfel de scenariu poate fi considerat non-evolutiv, i poate fi declarat ca
atare5.

2.4.3 Evaluarea factorilor de risc

Factorii de risc pentru un scenariu dat ar trebui verificai contra definiiilor lor de baz nainte de ai aplica la scenariu, (vezi Anexa 4).

2.5. Evaluarea potenialitii i a impactului

2.5.1 Evaluarea automat a potenialitii: STAUS-P
MEHARI ofer o evaluare automat a potenialitii, ncepnd cu o evaluare a expunerii naturale
(STATUS-EXPO), pe de o parte, i nivelurile msurilor disuasive i preventive (STATUS-DISS i
STATUS-PREV), pe de alt parte.
Din expresia STATUS-ului de mai sus n numere ntregi, MEHARI evalueaz potenialitatea sub
denumirea STATUS-P. Aceasta este dedus direct din STATUS-EXPO, STATUS-DISS i
STATUS-PREV de tabelele de evaluare.
n MEHARI sunt folosite trei tabele standard, n funcie de motivele pentru accidentul sau
evenimentele care conduc la scenariu:
Eveniment natural sau accident
Eroare uman
Aciune uman voluntar (maliioas sau nu).
Aceste tabele standard pot fi modificate dac este necesar.
Not:
Logica din spatele acestor tabele de evaluare este s se considere c pentru fiecare tip de cauz
(accident, eroare sau aciune voluntar), ar trebui urmat acelai raionament independent de
descrierea precis a scenariului. Cu niveluri de expunere, disuasiune, i prevenie egale,
potenialitatea a dou scenarii ar trebui s fie aceeai.

n Risicare, aceast opiune este disponibil pentru scenarii care sunt iniial considerate evolutive. Selectarea
acestei opiuni are efectul de a fora aplicarea unui anumit tabel de evaluare care nu ia n considerare msurile
protectoare.

Ghid de analiz a riscului

12

24 februarie 2008

2.5.2 Evaluarea automat a impactului: STATUS-I

MEHARI ofer i o evaluare automat a impactului, pornind de la impactul intrinsec al scenariului
pe de o parte i nivelurile de msuri protectoare, paliative i recuperatoare (msurate de
STATUS-PROT, STATUS-PALL i STATUS-RECUP), pe cealalt parte.
Evaluarea este format din doi pai:
Evaluarea unui indicator de reducere a impactului: STATUS-RI
Evaluarea impactului: STATUS-I

2.5.2.1 Evaluarea reducerii impactului: STATUS-RI

MEHARI ofer iniial o evaluare a reducerii impactului, reprezentat de indicatorului STATUS-RI.
Aceasta este dedus direct din STATUS-PROT, STATUS-PALL i STATUS-RECUP prin tabele
de evaluare. Acest factor de reducere a impactului msoar atenuarea consecinelor riscului, n
comparaie cu impactul intrinsec evaluat n prealabil.
MEHARI folosete trei tabele standard de evaluare pentru a evalua STATUS-RI, n funcie de
tipul de consecin al scenariului:
Pierderea disponibilitii
Pierderea integritii
Pierderea confidenialitii
Aceste tabele iau n considerare i dac scenariul este evolutiv sau nu. Aceast caracteristic
este definit explicit n baza de cunotine. Ea poate fi forat la un status non-evolutiv pentru
acele scenarii care au fost iniial declarate n baz ca fiind evolutive.
Aceste tabele standard pot fi i modificate dac este necesar.
Not:
Logica din spatele acestor tabele de evaluare este s se considere c pentru fiecare tip de
consecin (pierderea, disponibilitii, integritii sau confidenialitii), ar trebui urmat acelai
raionament independent de descrierea precis a scenariului. Cu niveluri egale de msuri
protectoare, paliative i recuperatoare, reducerea impactului intrinsec pentru dou scenarii
comparabile ar trebui s fie aceeai.

2.5.2.2 Evaluarea impactului: STATUS-I

Impactul rezidual este dedus din impactul intrinsec i indicatorul de reducere a impactului prin
urmtoarea formul:
I = MIN (INTRINSIC IMPACT; 5 - STATUS-RI)
Ceea ce nseamn c STATUS-RI are efectul de a defini nivelul maxim al impactului:
Nivelul maxim de impact 4 dac STATUS-RI este 1
Nivelul maxim de impact 3 dac STATUS-RI este 2
Ghid de analiz a riscului

13

24 februarie 2008

Nivelul maxim de impact 2 dac STATUS-RI este 3

Nivelul maxim de impact 1 dac STATUS-RI este 4

Evaluarea STATUS-I poate fi reprezentat i prin tabelul de mai jos:

Tabelul de calcul pentru STATUS-I
STATUS-RI 1
Impact intrinsec
4
3
2
1

4
3
2
1

3
3
2
1

2
2
2
1

1
1
1
1

2.5.3 Principii de construire a tabelului de evaluare

n practic, tabelele standard, fie c sunt pentru potenialitate sau impact, sunt construite folosind
un anumit numr de principii (descrise n Anexa 5 Principii pentru construirea tabelelor de
evaluare STATUS). Pentru a modifica aceste tabele, trebuie s se nceap cu principiile, i s se
modifice dup cum este necesar, apoi s se reconstruiasc tabelele ca rezultat.
Tabelele de evaluare standard sunt documentate n Anexa 6.

2.5.4 Evaluarea potenialitii i a impactului

Precum i pentru factorii de reducere a riscului, procedurile automate oferite prin tabelele de
decizie ofer doar un ajutor n judecarea valorilor indicatorilor numii STATUS n MEHARI.
O judecat final ar trebui fcut, ca regul general, asupra pertinenei nivelurilor potenialitii P
i ale impactului I.

2.6 Evaluarea gravitii unui scenariu

Gravitatea unui scenariu va fi dedus din evaluarea potenialitii i a impactului (P i I), prin
tabelul acceptabilitii riscului, aa cum este definit n documentul MEHARI Concepte i
Mecanisme.

2.7 Exprimarea cerinelor de securitate

Acest pas este folosit doar atunci cnd se folosete managementul riscului la nivelul entitii.
Const n evaluarea cerinelor consolidate, dup evaluarea gravitii tuturor situaiilor de risc
identificate n timpul unui audit al serviciilor de securitate.
Aceast abordare este bazat pe definiia cerinelor de securitate, aa cum este detaliat n
Anexa 7.

Ghid de analiz a riscului

14

24 februarie 2008

2.8 Sfaturi practice

2.8.1 Gndirea din spatele abordrii analizei riscului
Am artat n mod intenionat modul n care procedurile automate ale MEHARI pot fi folosite n
evaluarea nivelurilor de risc.
Este important s se rein c acesta este un proces de evaluare, i c consensul unui
comitet de evaluare este ntotdeauna mai de ncredere dect procedurile automate.

2.8.2 Structura unui comitet de evaluare a riscului

Abordarea pe care am descris-o funcioneaz i mai bine atunci cnd un grup sau comitet de
lucru reprezentativ efectueaz evaluarea riscului. Structura acestui comitet este deosebit de
important, i ar trebui s conin:
Utilizatori din zona n cauz. Acetia ar trebui s aib un profil care le permite s judece
dac msurile de securitate vor aduce cu adevrat atenuarea necesar a consecinelor.
Personal IT care poate s explice, celorlali membri ai comitetului, eficacitatea diferitelor
msuri de securitate i modul n care aceste msuri ar putea fi mpiedicate sau trecute
(robusteea i controlul/monitorizarea).
Un facilitator care este bine versat n metoda nsi, i care are competene specifice n
securitatea IT.

2.8.3 Utilizarea abordrii n conjuncie cu un audit de securitate

Am spus deja c procedurile automate ar trebui luate n considerare doar ca un ajutor n procesul
de evaluare. Totui, este de asemenea posibil ca, chiar i cu un comitet competent i
reprezentativ, calitatea serviciilor de securitate s fie supra-evaluat fie prin optimism involuntar
sau prin voin politic.
Un audit de securitate poate asigura n plus calitatea total a abordrii, i poate oferi un punct de
referin pentru a scoate la iveal i alte ntrebri.
Evaluarea riscurilor mari folosind procedurile automate poate scoate n eviden
slbiciuni sau vulnerabiliti care ar fi trecut neobservate ntr-o evaluare direct. Orice
diferen ntre aceste dou abordri necesit examinare mai amnunit.
n acest sens, confirmarea evalurii directe prin utilizarea procedurilor automate ar trebui
considerat ca fiind o cea mai bun practic.

Ghid de analiz a riscului

15

24 februarie 2008

3 Identificarea situaiilor de risc

n capitolul anterior, am discutat despre analiza unui anumit isc.
Identificarea situaiilor care vor fi analizate reprezint deci un pas preliminar pentru a stabili i
care unelte sunt necesare.
Exist dou metode principale de identificare a riscurilor:
abordare direct, folosind scara valorilor defeciunilor (MEHARI Concepte i
mecanisme).
identificare organizat i sistematic folosind o evaluare automat a bazei de scenarii
oferit de MEHARI.
Aceast seciunea va examina cea de-a doua din aceste opiuni.

3.1 Identificarea sistematic folosind baza de cunotine

Vom acoperi aici asistena adus se MEHARI n identificarea sistematic a situaiilor de risc.
Identificarea sistematic va folosi baza de cunotine a scenariilor de risc care a fost deja
descris i, mai ales, procedurile automate descrise n seciunea anterioar. Este bazat pe o
analiz preliminar care rezult ntr-o scar de valori a defeciunilor, o clasificare a bunurilor
sistemului informaional i un audit de securitate.
Procesul folosit de MEHARI este bazat pe o selecia unui set de scenarii care sunt specifice
organizaiei care este studiat; ntreaga ntreprindere, o unitate operaional, etc.
Exist doi pai principali n proces, dup cum se vede n figura de mai jos:

Ghid de analiz a riscului

16

24 februarie 2008

Decizia de a derula un
proiect de identificare a
situaiilor de risc
1
Crearea unei baze specifice de
scenarii de risc

2
Selecia scenariilor critice, n
funcie de o scar de valori i un
audit al vulnerabilitii
Scenarii critice care vor fi
analizate specific

Figura 2: Identificarea situaiilor de risc

3.2 Crearea unui baze de scenarii specifice

O baz de scenarii specifice poate fi derivat din scenariile generice care fac parte din baza
de cunotine MEHARI.

3.2.1 Baza de scenarii de risc generice

Bazele de cunotine MEHARI cuprind o baz de scenarii care a fost deja discutat n
capitolul anterior.
Ea reprezint un set de scenarii, clasificate prin familia tipului de consecin (n aceast
versiune, exist cam 170 de scenarii i variantele lor clasificate n 12 familii). Pentru fiecare
scenariu, exist:
descriere a consecinelor scenariului.
descriere a cauzei i originii scenariului.
Tipul de eveniment caracteristic, pentru a evalua expunerea natural.
Tipul de bunuri implicat, pentru a evalua impactul intrinsec.
Serviciile de securitate pertinente pentru scenariu, n funcie de rezultatul ateptat
(disuasiv, preventiv, protector, paliativ, sau recuperator).
Formulele utilizate de procedurile automate pentru a calcula eficacitatea msurilor de
securitate pentru scenariu.
Indicatorii globali ai tipului de consecin (A, I sau C, pentru Disponibilitate, Integritate,
sau Confidenialitate), ai naturii evolutive (sau nu) a scenariului, i tipurile de cauz (A,
E sau V, pentru Accident, Eroare sau Act voluntar). Aceti indicatori sunt folosii i de
Ghid de analiz a riscului

17

24 februarie 2008

procedurile automate pentru a calcula potenialitatea i reducerea impactului (pentru

tabelele de evaluare selectate folosite).
n plus, baza de cunotine include, pentru fiecare scenariu, un asistent de analiz (numit
abordarea global). Acesta este compus din definiii adaptate la fiecare tip de msur de
securitate, i comentarii pentru a evalua direct eficacitatea msurilor de securitate.

3.2.2 Personalizarea scenariilor ca funcie a bunurilor implicate

Dup cum s-a descris anterior, scenariile generice din MEHARI acoper doar bunurile
implicate prin raportarea lor pe tip, la un nivel relativ global. Se poate dori diferenierea
fiecrui scenariu, n funcie de bunurile implicate.
n mod deosebit, dac o clasificare a fost fcut pentru fiecare set de servere sau alte bunuri
IT, i fiecare set de date specifice pentru fiecare domeniu de aplicare, este tentant s se
analizeze fiecare scenariu de tot attea ori cte domenii de aplicare exist. Cu alte cuvinte,
s se creeze tot attea ipostaze de scenarii cte domenii de aplicare sunt.
S lum, ca exemplu, unul din scenariile generice MEHARI, care este furarea datelor prin
accesul la sistem i copierea fiierelor, de un hacker. Este posibil s se creeze ipostaze
separate ale aceluiai scenariu pentru tipuri diferite de date (Resurse umane, vnzri, i aa
mai departe). Acest lucru ar implica crearea, de la scenariul generic, a scenariilor specifice
pentru fiecare set de bunuri pentru care a fost fcut o clasificare.
Aceast abordare este posibil, i folosete ceea ce noi am numit mai devreme n acest
document Descompunere Cartografic.
Acest lucru ar putea duce la un numr considerabil de scenarii; i ar trebui avut grij la
folosirea acestei abordri pentru a nu complica viaa inutil.
n practic, abordarea MEHARI de baz const n folosirea unui scenariu generic doar
cu un tip de bunuri general, raportat la scenariu, i a crui sensibilitate este luat din
tabelul impactului intrinsec.
Aceast simplificare poate fi justificat de faptul c motivul pentru aceast analiz este
identificarea cror situaii de risc ar putea fi critice i vor necesita o analiz mai detaliat. Va
identifica care scenariu poate implica ce bunuri avnd ce nivel de sensibilitate.

3.2.3 Luarea n considerare a soluiilor de securitate specifice

n identificarea cror scenarii ar putea fi critice, soluiile de securitate existente folosite vor
avea, desigur, o influen. Cu ct aceste soluii sunt mai eficiente, cu att mai puin critic va fi
scenariul.
De aceea este clar c acele scenarii pentru care exist, de exemplu, diferite medii sau
sisteme, sau mai general diferite tipuri de soluii de securitate, ar trebui tratate separat.
Asta este exact aceeai abordare folosit i n timpul unui audit i schema care a fost
folosit pentru audit ar trebui re-folosit pentru a selecta situaiile critice de risc.
Ghid de analiz a riscului

18

24 februarie 2008

Un alt mod de a aplica schema de audit la selectarea scenariilor critice este s se ia n

considerare c, pentru a face selecia, vom baza selecia pe rezultatele auditului de
securitate. Dac de aceea, n timpul auditului, s-a considerat important s se disting ntre
diferite ipostaze, atunci ar trebui luate n considerare la fel de multe scenarii (diferite ipostaze
ale scenariului generic) n timpul procesului de selecie dup cum este necesar. n acest mod,
diferitele servicii de securitate implicate n scenariu pot fi tratate separat, i evaluate
independent de altele.
Ar trebui reinut faptul c acest lucru ar putea crea foarte rapid un numr mare de scenarii. O
schema de audit foarte simpl6 poate duce la multiplicarea numrului de scenarii generice cu
un factor destul de mare.

3.3. Evaluarea automat a scenariilor

Procedurile automate MEHARI au fost descrise n capitolul anterior.
Aceste proceduri automate folosesc rezultatele unui audit de securitate (i, mai ales, schema
de audit folosit pentru a construi baza de scenarii specifice).
Procedurile automate sunt folosite pentru a evalua STATUS-ul detaliat i, n funcie de
potenialitate i de impactul intrinsec al fiecrui scenariu, potenialitatea i impactul care
rezult pentru fiecare scenariu.
Gravitatea global pentru fiecare scenariu i criticalitatea acestuia (sau nu) poate deci fi
dedus dintr-un tabel de acceptabilitate a riscului.

3.4. Selectarea scenariilor critice care ar trebui luat n considerare n

timpul analizei riscului
ncepnd cu baza de scenarii specifice, i evaluarea automat a graviti lor, devine uor s
se selecteze scenariile critice; adic, acele scenarii care ar trebui luate n considerare ntr-o
analiz a riscului fcut folosind procesul descris n capitolul anterior.
Scenariile a cror gravitate este peste un anumit nivel vor fi selectate pentru analiz. De
obicei, scenariile cu o gravitate de 3 sau mai mare (pe o scar de la 1 la 4) sunt selectate, dar
nu este nici o regul stabilit.
Not:
Dat fiind prudena recomandat n seciunea anterioar privind evaluarea automat,
recomandm folosirea unui tabel al acceptabilitii riscului relativ sever pentru selecia
automat. Efectiv, tabelul acceptabilitii riscului poate fi diferit la nivelul de selecie al
scenariului critic de cel folosit n judecata final a gravitii unei situaii de risc.
6

De exemplu, o unitate organizaional, dou tipuri de locaii regionale (sediul central i agenia regional), dou tipuri de
premise (tehnic i IT pe de o parte, i altele, zone de birouri, pe cealalt parte), un singur tip de reea cu o singur operare a
reelei, 2 tipuri de sistem (mainframe i sisteme deschise) cu o singur operare IT, 2 tipuri de aplicaii (unul pe mainframe i
unul pe sistemul deschis) i 2 tipuri de dezvoltare (mainframe i sisteme deschise).
Ghid de analiz a riscului

19

24 februarie 2008

Un tabel relativ sever pentru gravitate, precum cel artat mai jos, ar putea fi folosit.
I=4
I=3
I=2
I=1

3
2

3
3

4
3

4
4

1
1

2
1

3
1

3
3

P=1

P=2

P=3

P=4

Important:
n general, considerm c scenariile cu o gravitate de nivel 4 sunt insuportabile, c acelea cu
o gravitate de nivel 3 sunt inadmisibile i cele cu niveluri mai joase de gravitate sunt
tolerabile.

Ghid de analiz a riscului

20

24 februarie 2008

Anexa 1: Tabelul expunerii naturale standard

Evaluarea expunerii naturale
Evaluarea potenialitii evenimentelor
enumerate mai jos

Foarte
improbabil

Destul de
improbabil

Destul de
probabil

Foarte
probabil

StatuExpo

Accidente
AC01 Scurt-circuit: fie cablu de alimentare sau echipament.

AC02 Fulger

AC03 Incendiu: origine intern: co de gunoi, scrumier, etc.

AC04 Accidente datorate apei sau lichidelor (scurgerea unei

evi, lichid vrsat accidental, etc.)

AC05 Inundaie datorat unei evi sparte sau care curge

AC06 Inundaie datorat creterii apei rului sau de adncime

AC07 Inundaie datorat stingerii unui incendiu n apropiere

AC08 Pan de curent de lung durat datorat unei cauze

externe
AC09 Nedisponibilitatea locaiei: interzicere decis de
autoriti (risc de poluare, rscoal, etc.)
AC10 Pierderea personalului strategic

AC11 Defectarea echipamentului auxiliar (alimentarea cu

energie, aer condiionat, etc.)
AC12 Defectarea echipamentului IT sau telecom

AC13 Defectarea hardware a unui echipament IT sau telecom

care nu poate fi rezolvat de ntreinere sau furnizorul
de ntreinere este nedisponibil

AC14 Impas software care nu poate fi rezolvat de ntreinere:

editorul sau furnizorul de ntreinere este nedisponibil
AC15 Saturarea accidental a resurselor (CPU, memorie,
disc, etc.)
AC16 Accident n timpul operrii, rezultnd n distorsionarea
datelor
AC17 Datele sau configurarea terse sau poluate de un virus

AC18 Pierderea accidental a fiierelor de date cauzat de un

proces automat
AC19 Pierderea accidental a fiierelor de date cauzat de
nvechire, poluare, etc.
AC20 Pierderea accidental a fiierelor de date cauzat de
defectarea echipamentului (stricarea dischetei, etc.)

MA01 Vandalism din afar: gloane sau obiecte aruncate din

strad, etc.
MA02 Vandalism din interior: de persoane autorizate n locaie
(personal, subcontractor, etc.).
MA03 Terorism: sabotaj, exploziv lsat n apropierea locaiilor X
sensibile
MA04 Saturarea maliioas i repetat a resurselor IT de un
grup de utilizatori
MA05 Saturarea reelei cauzat de un vierme

MA06 tergerea maliioas (direct sau indirect) a software-ului

de pe unitatea de depozitare
MA07 Modificarea maliioas (direct sau indirect) a
funcionalitilor unui program sau a operrii unui
MA08 Introducerea datelor distorsionate sau modificarea
datelor
MA09 Accesul intenionat la date sau informaii i dezvluirea
informaiilor

Reavoin

Ghid de analiz a riscului

21

2
X

24 februarie 2008

MA10 Diversiunea fiierelor sau furtul mediilor de date

MA11 tergerea intenionat (direct sau indirect) furtul sau

distrugerea recipientelor de date sau programe
MA12 Furtul PC-ului portabil n afara locaiei organizaiei

MA13 tergerea maliioas a configurrilor de reea

MA14 tergerea maliioas a configurrilor de sistem sau

aplicaii
MA15 Diversiunea codului surs a programului

MA16 Spionarea de un stat strin sau mafia (folosind resurse X

importante)
MA17 Furtul echipamentului IT sau de reea, n cadrul
organizaiei

1
X

Aciuni intenionate dei nu maliioase

X

AV01 Absena sau greva personalului operaional IT

AV02 Plecarea sau demisia personalului strategic

AV03 Intruziunea n resursele IT a unei pri tere, iniiat de

organizaie sau de personalul acesteia
AV04 Utilizarea ilegal a software-ului sau produselor cu
licen
Erori

ER01 Retrogradarea
neintenionat
a
performanelor,
rezultnd din o operaiune de ntreinere
ER02 tergerea neintenionat a programului de software din
ntmplare sau eroare uman
ER03 Alterarea neprevzut a datelor n timpul operaiunii de
ntreinere
ER04 Eroarea n timpul introducerii datelor

2
X

ER05 Bug al sistemului de operare, pachetului middleware

sau software
ER06 Bug n programul de aplicaie

ER07 Eroare introdus n timpul modificrii funciilor sau a

macro n spreadsheet

Ghid de analiz a riscului

22

24 februarie 2008

Anexa 2 : Definiia nivelurilor de expunere natural

Expunerea natural la risc

Nivelul 1 : Expunere foarte mic

! Independent de orice msuri de securitate, probabilitatea ca un scenariu dat
va avea loc este foarte mic i practic neglijabil.
Nivelul 2 :
Expunere mic (abia expus).
! Chiar i fr orice msuri de securitate, combinaia dintre mediu (cultural,
uman, geografic sau altul) i context (strategic, competitiv, social, ) fac ca
probabilitatea ca un scenariu dat s aib loc, n termen scurt sau mediu,
foarte mic.
Nivelul 3 : Expunere medie (nu deosebit de expus)
! Mediul i contextul ntreprinderii sunt de aa natur nct, dac nu se face
nimic pentru a-l evita, scenariul dat este menit s se produc n termen mai
mult sau mai puin scurt.
Nivelul 4 : Expunere mare : (deosebit de expus).
! Mediul i contextul ntreprinderii sunt de aa natur nct, dac nu se face
nimic pentru a-l evita, producerea scenariului dat este probabil s aib loc n
termen foarte scurt.

Ghid de analiz a riscului

23

24 februarie 2008

Anexa 3 : Tabelul impactului intrinsec

Clasificarea nivelului datelor, informaiilor i componentelor de infrastructur

Date i Informaii
D01
D02
D03
D04
D05
D06
D07

Fiiere de date sau baze de date accesate de aplicaii

Fiiere office i date comune
Fiiere office personale (pe PC, etc.)
Informaii i date printate sau scrise pstrate de utilizatori i arhive personale
Listri sau documente printate
Mesaje trimise, vizualizri de monitor, etc. (date pariale)
Mailuri i faxuri

D08 Arhive patrimoniale sau documente folosite ca dovezi

D09 Date i informaii publicate pe site-uri publice sau interne

Infrastructur : telecomunicaii i sisteme

R01
R02
R03
R04
S01

Echipamente i linkuri Wide Area Network (sisteme de reea i software asociat)

Echipamente i linkuri Local Area Network (sisteme de reea i software asociat)
Date de configurare WAN
Date de configurare LAN
Sisteme principale, servere care gzduiesc aplicaii i echipamentele lor periferiale, servere de
fiiere comune

S02 Fiiere de configurare legate de sistemele i serverele principale

S03 Staii de lucru i terminale ale utilizatorilor (PC, imprimante locale, periferice, interfee
specifice, etc.)
A01 Software, pachet sau middleware de aplicaii (cod executabil)
A02 Cod surs
A03 Fiiere de configurare legate de aplicaii
A04 Software i aplicaii ale utilizatorului sau clientului

Infrastructur general
E01 Spaiul de lucru i mediul utilizatorului
E02 Echipamente folosite pentru schimburi vocale (telefon, etc.)
I01 Totalitatea camerei computerelor i locaia telecom

Impacturi intrinseci (obiecte globale sau nelegate de un obiect anume)

Pierderea sau distrugerea complet a unui utilaj
Nedisponibilitatea personalului
P01 Echipe de specialiti (legat de afaceri)
P02 Personalul de operaiuni IT

Neconformarea legal sau reglementatoare

C01 Neconformarea la legile i reglementrile legate de protecia vieii private
C02 Neconformarea la legile i reglementrile legate de controalele financiare
C03 Neconformarea la legile i reglementrile legate de drepturile de proprietate intelectual
C04 Neconformarea la legile i reglementrile legate de protecia sistemului informaional

C05 Neconformarea la legile i reglementrile legate de punerea n pericol al

personalului i sigurana public i a mediului
Ghid de analiz a riscului

24

24 februarie 2008

Anexa 4: Definiia nivelurilor factorilor de reducere a riscului

Msuri disuasive

Nivelul 1: Efectul msurilor disuasive este mic sau zero.

! Potenialul atacator poate considera n mod logic c el sau ea nu se
supune nici unui risc personal. Ei consider c nu vor fi identificai, sau
vor avea posibilitatea de a folosi argumente puternice pentru a refuta
orice acuzaie privind aciunile efectuate, sau c orice pedeaps va fi
uoar.
Nivelul 2: Efectul msurilor disuasive este mediu.
! Potenialul atacator poate considera n mod logic c el sau ea se supune
doar unui risc mic. n orice caz, orice prejudiciu personal potenial va fi
suportabil.
Nivelul 3: Efectul msurilor disuasive este mare.
! Potenialul atacator poate considera n mod logic c el sau ea se supune
uni risc mare. Ar trebui s realizeze c vor fi identificai cu siguran, i c
pedeapsa va fi grav.
Nivelul 4: Efectul msurilor disuasive este foarte mare.
! Potenialul atacator poate considera n mod logic c el sau ea ar trebui
s abandoneze orice idee de a efectua aciunea. Ar trebui s realizeze
c vor fi identificai cu siguran, i c orice pedeaps care rezult va
depi cu mult orice ctig potenial.

Msuri preventive

Nivelul 1: Efectul msurilor preventive este mic sau zero.

! Orice persoan din organizaie, sau din apropierea ei, sau chiar cineva
care tie ceva despre ea, este capabil s pun acest scenariu n
micare, cu mijloacele pe care le au la dispoziie (sau sunt uor de
obinut).
! Circumstane perfect obinuite pot fi cauza acestui scenariu (utilizare
necorespunztoare, condiii obinuite nefavorabile).
Nivelul 2: Efectul msurilor preventive este mediu.
! Un profesionist poate porni scenariul, fr necesitatea mijloacelor sau
uneltelor speciale n afar de cele disponibile n profesie.
! Circumstane naturale rare pot produce acelai rezultat.
Nivelul 3: Efectul msurilor preventive este mare.
! Doar un specialist, sau un profesionist cu unelte sau mijloace speciale,
sau un grup de profesioniti n nelegere i care folosesc mijloacele i
uneltele lor colective ar putea reui.
! De obicei este rezultatul conjunciei a circumstanelor rare sau
excepionale.
Nivelul 4: Efectul msurilor preventive este foarte mare.
! Doar civa experi hotri, cu mijloace excepionale, ar putea reui.
! Doar conjuncia circumstanelor foarte rare sau excepionale ar permite
ca acest scenariu s aib loc.

Ghid de analiz a riscului

25

24 februarie 2008

Msuri protectoare sau restrngere

Nivelul 1: Efectele restrngerii i limitarea consecinelor directe sunt foarte mici sau zero.
! Fie daunele i consecinele lor directe nu pot fi limitate, sau nu vor fi
detectate pentru ceva timp. Msurile protectoare posibile au atunci doar o
influen restrns asupra nivelului consecinelor directe.
Nivelul 2: Efectele restrngerii i limitarea consecinelor directe sunt medii.
! Chiar dac dauna i consecinele sale directe pot fi limitate, timpul pentru a le
detecta este lung, sau reacia este nceat. Msurile protectoare care sunt
folosite au o influen real asupra rezultatului, dar consecinele directe sunt
nc foarte mari.
Nivelul 3: Efectele restrngerii i limitarea consecinelor directe sunt mari.
! Evenimentul este detectat rapid, cu reacie imediat.
! Msurile protectoare care sunt folosite au o influen real asupra impactului
direct, care rmne real dar limitat n scop i administrabil.
Nivelul 4: Msurile au un efect foarte puternic.
! nceputul scenariului este detectat n timp real, nainte ca s poat fi fcut
vreo daun real, i msurile protectoare sunt puse n funciune imediat.
! Consecinele directe sunt limitate la deteriorri mici imediate datorit
accidentului, erorii sau aciunii voluntare.

Msuri paliative

Nivelul 1: Efectele limitrii consecinelor indirecte sunt foarte mici sau zero.
! Fie sunt folosite msuri total improvizate, sau se consider c efectul lor va fi
mic.
Nivelul 2: Efectele limitrii consecinelor indirecte sunt medii.
! Msurile paliative sau de ajutorare au fost planificate n mare, dar detaliile fine
lipsesc. Se poate considera c, datorit lipsei de detalii, va exista o lips
corespondent de eficien a msurii paliative. Timpul pentru a restabili
operaiunile normale nu poate fi prezis cu siguran, sau nu va schimba
fundamental natura daunei cauzate.
Nivelul 3: Efectele limitrii consecinelor indirecte sunt mari.
! Nu numai c msurile paliative au fost planificate i organizate bine, ci au fost i
testate i validate.
! Timpul pentru a restabili operaiunile normale poate fi estimat sau tiut precis, i
este de aa natur nct va reduce considerabil gravitatea consecinelor
indirecte ale scenariului
Nivelul 4: Efectele limitrii consecinelor indirecte sunt ntr-adevr foarte mari.
! Operaiunile normale continu fr nici o ntrerupere observabil.

Ghid de analiz a riscului

26

24 februarie 2008

Msuri recuperatoare

Nivelul 1: Efectul msurilor recuperatoare este mic sau zero.

! Ceea ce poate fi recuperat prin asigurri sau procese legale nu este nimic n
comparaie cu daunele cauzate de impactul global al scenariului i consecinele
sale.
Nivelul 2: Efectul msurilor recuperatoare este mediu.
! Ceea ce poate fi recuperat nu este neglijabil, dar organizaia are
responsabilitatea pentru cea mai mare parte a impactului scenariului. n cazul
unui incident major, nu este sigur c transferul riscului ar permite organizaiei s
continue operaiunile.
Nivelul 3: Efectul msurilor recuperatoare este mare.
! Ceea ce este recuperat prin asigurri sau procese legale este suficient pentru a
atenua serios impactul scenariului. n orice caz, operaiunile pot continua.
! Impactul rezidual ar fi, foarte grav, dar nu ar atinge nivelul Vital .
Nivelul 4: Efectul msurilor recuperatoare este extrem de mare.
! Orict de grav ar fi dezastrul, impactul rezidual rmne suportabil (nivelul 2).

Ghid de analiz a riscului

27

24 februarie 2008

Anexa 5: Principii pentru construirea tabelelor de evaluare

STATUS
Principiile descrise mai jos sunt cele care au fost folosite pentru a crea tabelele STATUS-P i
STATUS-RI pentru transformarea STATUS-ului detaliat n STATUS global.

Tabelul de evaluare STATUS-P

Tabelul se bazeaz pe urmtorul raionament:
Expunerea natural fiind definit ca fiind evaluarea potenialitii intrinseci fr nici o alt msur,
valoarea maxim a STATUS-P este cea a STATUS-EXPO (n absena oricrei alte msuri, i
anume, dac STATUS-DISS i STATUS-PREV au ambele o valoare de 1)
Dac valoarea STATUS-PREV este 3 sau 4, pentru accidente sau erori; atunci STATUS-P are o
valoare maxim de 2 sau 1, respectiv.
Dac valoarea STATUS-PREV este 4, pentru aciune voluntar; atunci STATUS-P are o valoare
maxim de 2
Dac valoarea STATUS-PREV este 4, pentru aciune voluntar; i dac expunerea este mai mic
sau egal cu 3, atunci STATUS-P are o valoare maxim de 1.
Pe acest raionament au fost construite tabelele bazei de cunotine standard MEHARI.

Tabelul de evaluare STATUS-RI

Tabelul se bazeaz pe urmtorul raionament:
Dac valoarea lui STATUS-RECUP este 3, atunci valoarea lui STATUS-RI este cel puin 2
Dac valoarea lui STATUS-RECUP este 4, atunci valoarea lui STATUS-RI este cel puin 3
Dac valoarea lui STATUS-RECUP este 3 sau 4, pentru scenarii de disponibilitate, atunci
valoarea lui STATUS-RI este cel puin 3 (dac planificarea de ajutorare este planificat
corespunztor, atunci impactul care rezult nu poate fi grav).
Dac valoarea lui STATUS-PROT este 4 ntr-un scenariu de integritate, totul poate fi evitat dac
restaurarea rapid este posibil, i deci STATUS-RI este aliniat la valoarea lui STATUS-PALL,
care, n acest caz, se ocup de restaurare.
Dac valoarea lui STATUS-PROT este 3 ntr-un scenariu de integritate, dac restaurarea rapid
este posibil (STATUS-PALL = 3 sau 4), fr ndoial c ceea ce era mai ru a fost evitat, dar
situaia poate nc s fie foarte grav: STATUS-RI = 2. Totui, dac restaurarea rapid nu este
posibil (STAUS-PALL = 1 sau 2), nimic nu este atenuat, i STATUS-RI = 1.
Dac valoarea lui STATUS-PROT este 1 sau 2 ntr-un scenariu de integritate, atunci valoarea lui
STATUS-RI este 1, dect dac o aciune planificat nu este identificat n STATUS-RECUP
(protecie mic fr msur paliativ, deoarece acestea sunt compuse doar din msuri fortifiante
care nu au nici un efect asupra consecinelor directe, i doar msurile fortifiante joac un rol)
Pe acest raionament au fost construite tabelele bazei de cunotine standard MEHARI.

Ghid de analiz a riscului

28

24 februarie 2008

Anexa 6 : Tabele standard de evaluare

Grile de evaluare pentru STATUS-P pentru scenariu care rezult din:
1.

Un accident

2.

O eroare

3.

O aciunea ruvoitoare

Grile de evaluare pentru STATUS-RI (Reducerea impactului)

Scenariile ne-evoluionare sunt reprezentate ca PROT = 0.
1.

Scenarii care afecteaz Disponibilitatea (A)

Ghid de analiz a riscului

29

24 februarie 2008

2.

Scenarii care afecteaz Integritatea (I)

3.

Scenarii care afecteaz Confidenialitatea (C)

Ghid de analiz a riscului

30

24 februarie 2008

Anexa 7: Cerine speciale de securitate

Dup ce s-a evaluat gravitatea unui set de situaii de risc i s-au folosit rezultatele auditului
serviciilor de securitate7, este posibil s se exprime cerinele de securitate ca o evaluare a
nevoilor consolidate, urmate de ordonarea lor a prioritii.
Aceast abordare folosete definiia cerinelor serviciului dup cum este descris mai jos.
Cerinele serviciului
O cerin a serviciului de securitate este definit pentru fiecare scenariu, folosind urmtoarele
principii de baz.
Cerina serviciului pentru un scenariu dat
Un serviciu de securitate dat poate avea o influen asupra gravitii unui scenariu. Dac
acesta este cazul, atunci o cerin de securitate exist pentru acest serviciu pentru
scenariu.
Cantitativ, cerina serviciului va fi chiar mai important dect:
influena sa (reprezentat de factorul su de influen), pentru acest scenariu, va fi foarte
mare;
gravitatea scenariului va fi considerat mare;
calitatea actual a serviciului va fi mic.
Deci, pentru serviciul i confruntat cu scenariul k, cerina serviciului poate fi calculat de
formula:
BS i k = e i k * b G k * (4 - i )
Unde:
BS i k
eik
b
Gk

= cerina serviciului pentru serviciul i pentru scenariul k

= coeficientul de influen al serviciului i pentru scenariul k
= parametrul de sensibilitate
= gravitatea scenariului k
= calitatea serviciului de securitate i

Coeficientul de influen e, cu o valoare ntre 0 i 16, reprezint gradul de influen al

serviciului de securitate asupra scenariului.
Este dedus din formula folosit de MEHARI pentru a evalua eficacitatea diferitelor tipuri
(disuasiv, preventiv, protector, paliativ, sau recuperator) de msuri asupra scenariului.
Acest coeficient este calculat folosind formula de mai jos:
eik = ik ik
7

Un serviciu de securitate al MEHARI are de obicei o sfer mai mare dect un Control ISO 17799.

Ghid de analiz a riscului

31

24 februarie 2008

Dac serviciul este atribuit doar pentru un tip de msur, valoarea lui ik este stabilit n acest
mod:
Dac serviciul este singurul care va fi folosit pentru tipul de msur luat n
considerare, ik = 2
Dac serviciul este folosit de o formul de tipul min (serv_A; serv_B)
ik = 2
Dac serviciul este folosit de o formul de tipul max (serv_A; serv_B)
ik = 1
n cazul unei formule complexe, doar funcia (min sau max) care atribuie direct acest
serviciu de securitate va fi luat n considerare.
Valoarea lui ik este determinat de faptul dac serviciul de securitate I are:
o influen disuasiv pentru scenariul k, ik = 4
o influen preventiv pentru scenariul k,
ik = 8
o influen protectoare pentru scenariul k,
ik = 4
o influen paliativ pentru scenariul k, ik = 8
influen recuperatoare pentru scenariul k, ik = 2
Dac serviciul de securitate este folosit pentru mai multe tipuri de msuri, vor fi calculai la fel
de muli coeficieni de influen, i cea mai mare valoare a coeficientului de influen ca fi
reinut.
b, care este folosit ca parametru de sensibilitate, pentru a ancora gravitatea fiecrui scenariu,
are o mare influen asupra rezultatului final:
valoarea de 2 minimalizeaz efectul gravitii unui scenariu
n general, o valoarea de 8 este considerat ca fiind o alegere bun.
Consolidarea cerinelor serviciului
Consolidarea cerinelor serviciului: BSi pentru serviciul I, va fi evaluat prin suma simpl:
BSi = k BSik
BSi, cerina serviciului astfel calculat, are chiar o mai mare importan dect serviciul folosit
de mai multe scenarii, i dac aceste scenarii sunt grave, i dac serviciul poate influena
gravitatea scenariilor.
Totui, alegerea de a mbunti un serviciu poate fi inconsistent cu alegerea fcut n
organizaie, la nivelul planificrii strategice (dac o politic de securitate a fost definit).
MEHARI propune de aceea urmtoarea abordare:

Sortai scenariile pentru a le arta clar pe cele care necesit servicii de securitate cu
cele mai mari cerine globale;
Analizai dac aceste servicii de securitate sunt consistente cu directivele i
recomandrile politicii de securitate globale. Orice rspuns negativ la acest nivel va
pune inevitabil politica de securitate la ndoial.
Dac rspunsul este pozitiv, evaluai nivelul de calitate revizuit al fiecrui serviciu de
securitate ca o funcie a mbuntirilor decise deja n ceea ce l privete (adugri

Ghid de analiz a riscului

32

24 februarie 2008

sau modificri la proceduri i/sau mecanisme);

Re-estimai gravitatea care rezult i noile cerine ale serviciului;
Luai-o de la capt!

Pachetul software RISICARE8 include automatisme pentru a urma acel proces.

RISICARE este produs de BUC S.A.

Ghid de analiz a riscului

33

24 februarie 2008