Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 PDF

Exemplu de metodologie privind evaluarea intern a riscurilor operaionale
generate de sistemele informatice
Managementul riscurilor
Conceptul de management al riscului
Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor in

concorda cu politica organizaional de management a riscurilor. Managementul riscului
este integrat n activitile zilnice prin roluri i responsabiliti definite n toate domeniile de
activitate.
Managementul riscului ajut la includerea aspectelor de tratare a riscului n practicile de
management i la luarea deciziilor pe parcursul ntregului ciclu de via al activitilor.
Managementul riscului poate s contribuie la maximizarea rezultatelor globale, dac este
desfurat ntr-o manier integrat, n domenii precum:
achizitia, testarea, operarea, mentenana i casarea sistemelor informatice, mpreun
cu interfeele acestora;
controlarea consecinelor riscurilor operaionale generate de sistemele informatice;
managementul, costurile i planificarea activitilor referitoare la sistemele
informatice.
Acest proces adaug valoare datelor produse, meninute i raportate n mod regulat, iar pentru
a asigura documentarea acestui proces, n evaluarea intern a riscurilor se constituie un
Registru al riscurilor operaionale generate de utilizarea sistemelor informatice de ctre
oameni, procese, sisteme i mediul extern. Acest registru poate fi integrat n nregistrul
general al riscurilor operaionale ale entitii.
Procesul de management al riscului
In cadrul procesului de management al riscului, este analizat i evaluat tot spectrul de riscuri.
Evenimentele nedorite trebuie s fie analizate i evaluate din punctul de vedere al severitii
(impactului) i al probabilitii de apariie. Msurile de diminuare a riscurilor vor fi analizate
i evaluate din perspectiva eficacitii acestora, iar rezultatele msurtorilor performanelor i
a tendinei riscurilor vor fi utilizate pentru optimizarea resurselor alocate, pentru gestionarea
adecvat a riscurilor i pentru meninerea acestora n limitele de toleran asumate de
conducerea organizaiei.
n cadrul procesului de management al riscurilor, informaiile referitoare la riscurile poteniale
sunt documentate i structurate, facilitndu-se astfel luarea deciziilor pentru tratarea
corespunztoare a acestora.
Rezultatul analizei i evaluarii riscurilor inerente, precum si ale riscurilor reziduale vor fi
comunicate ctre conductorii organizaiei.
Identificarea, analiza si evaluarea riscurilor trebuie revizuit periodic sau atunci cnd situaia
o impune: la modificarea modelului de business al organizaie, la orice ajustare a structurii
organizatorice i a activitilor ori a procedurilor de lucru n cadrul organizaiei, la schimbarea
1
tehnologiilor de procesare a informaiei, la modificri majore ale sistemului, n urma
apariiilor unor incidente, n urma aplicrii unor controale de risc etc.
Implementarea managementului riscului
Managementul riscului necesit implicarea tuturor factorilor att a celor cu responsabiliti

decizionale, ct i a celor cu atribuii executive din cadrul organizatiei i stabilirea de linii
clare de responsabilitate la nivelul tuturor structurilor organizatorice i decizionale.
Managementul riscului este un proces continuu, iterativ care constituie o parte integrant a
activitii curente din cadrul organizaiei.
Fiecare linie de business din cadrul unei organizaii i va evalua toate categoriile de risc
relevante, nregistrndu-le n registrul riscurilor. Se vor identifica toate potenialele probleme
operaionale n patru categorii: oameni, procese, sisteme/tehnologii i mediul extern,
incluznd externalizrile i furnizorii externi de produse i servicii informatice i de
comunicaii.
Registrul riscurilor operationale este structurat pe patru categorii:

1. Oameni
2. Procese
3. Sisteme/tehnologie
4. Extern
Riscuri aferente oamenilor pot fi, fr a se limita la:

- nerespectarea proceselor, procedurilor sau a instruciunilor de lucru;
- erori de introducere manual sau de utilizare neadecvat a sistemelor informatice;
- cunostine, experien i pregtire insuficient a personalului care utilizeaz sau
deservete sistemele informatice;
- personal insuficient;
- dependena de angajai cheie;
- lips de comunicare i cooperare ntre angajai;
- neraportarea erorilor sau greelilor aferente sistemelor informatice;
- alterarea datelor;
- modificarea informaiilor sau a datelor din rapoarte, fr documentarea adecvat;
- conflict de interese ntre personalul care dezvolt i cel care administreaz sistemele
informatice ori ntre utilizatorii acestora;
- lipsa unei delimitri clare ntre rolurile persoanelor care acceseaz/administreaz/
dezvolt sistemele informatice;
- automulumire;
- fraud;
- operaiuni suspecte de splarea banilor i finanarea actelor de terorism;
- nerespectarea regimului de sanciuni internaionale.
Riscuri aferente proceselor pot fi, fr a se limita la:

a) Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la
managementul schimbrii, al incidentelor, al problemelor, al nivelurilor de servicii, al
versionrilor, al capacitii, al disponibilitii i al proiectelor), erori de metodologie
2
sau de model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea
pierderilor, complexitatea modelelor, control inadecvat al proceselor, software
neadecvate obiectivelor de activitate, insuficiena guvernanei corporative n acest
domeniu;
b) Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementul

inadecvat al datelor i informaiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidenialitate, fraude;
c) Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i atribuiilor,

depirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri
de nregistrri contabile neadecvate, control inadecvat al activitilor externalizate,
ntreruperea furnizrii serviciilor, neidentificarea operaiunilor n spe n funcie de
indicatorii de risc i variabile analitice prestabilite.
Riscuri aferente sistemelor/tehnologiei pot fi, fr a se limita la:

- sistem inadecvat de management al tehnologiei i securitii;
- lipsa metodologiilor de dezvoltare si testare;
- capacitate insuficient de procesare;
- ntreruperi n funcionarea sistemelor (hardware, software, stocare, telecomunicaii);
- cderi de reea;
- ntreruperii n furnizarea serviciilor prestate de furnizorii externi;
- sisteme inadecvate;
- protecie inadecvat mpotriva malware;
- riscuri de compatibilitate;
- riscuri generate de furnizori/vnztori;
- erori de programare;
- coruperea datelor;
- riscuri de recuperare dup dezastre;
- testare necorespunztoare a recuperrii n caz de dezastru;
- sistem inadecvat de actualizare tehnologic;
- sisteme nvechite;
- servicii necorespunztoare de suport pentru sisteme.
Riscuri aferente mediului extern pot fi, fr a se limita la:

- pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de
oameni ori factori din afara organizaiei;
- ntreruperi n furnizarea serviciilor prestate de furnizori externi;
- fraude i activiti criminale externe;
- expuneri externe ale securitii sistemelor;
- atacuri teroriste clasice sau informatice;
- criminalitate economic i/sau informatic;
- cderi ale alimentarii cu electricitate.
3
Structura organizaiei, sistemele informatice ale organizaiei i gestionarea
riscurilor operaionale generate de acestea
Domeniul prezentei analize de impact este reprezentat de urmatoarele:
Structura organizatoric
Entitatea care face obiectul prezentului exemplu de metodologie de evaluare a riscurilor
operaionale are urmtoarele caracteristici:
Structura organizatoric
Structura organizatoric a entitii este format din urmtoarele compartimente (structuri

organizatorice funcionale):
1. ORGANUL SUPERIOR DE CONDUCERE: n funcie de tipul entitii acesta poate

s fie consiliul de administraie sau consiliu de supraveghere;
2. CONDUCEREA EXECUTIV: acesta poate s fie constituit din comitet director,
directori executivi, director general sau alt form prin care se asigur conducerea
activitilor curente ale entitii i care duce la ndeplinire hotrrile organului superior
de conducere;
3. Compartiment RELAIA CU CLIENII (front office, vnzri, investitori, asigurai,
participani, membri etc): desfoar activitile legate de relaia cu persoanele externe
ale entitii n vederea ndeplinirii obiectului principal de activitate (prestarea
serviciilor financiare autorizate, reglementate i supravegheate de ASF);
4. Compartiment OPERAIUNI: desfoar toate activitile curente care in de
activitatea de baz a entitii. Aceast structur organizatoric acoper toate funciile
operaionale ale entitii;
5. Compartiment FINANCIAR-CONTABILITATE: desfoar activitile referitoare la
operaiunile financiar-contabile i de raportare aferente nregistrilor contabile;
6. Compartimente FUNCII CHEIE ALE ENTITII: n aceast seciune sunt
menionate mai multe structuri organizatorice distincte care asigur urmtoarele
funcii cheie, dup caz: audit intern, control intern, conformitate, managementul
riscurilor, funcia actuarial, etc;
7. Compartiment TEHNOLOGIA INFORMAIEI: desfoar activiti specifice pentru
administrarea i dezvoltarea sistemelor informatice (software, hardware i
comunicaii), inclusiv a paginilor de internet ale organizaiei;
8. Compartimente SUPORT: deruleaz activiti de marketing, juridic, resurse umane,
cercetare-dezvoltare, analiz i altele asemenea
Arhitectura infrastructurii IT:
n descrierea activitatii organizaiei, referitor la sistemele informatice, s-a inut cont de

urmtoarele aspecte:
- arhitectura IT (doi provideri, IDP/IPS, antivirus, firewall, servere, etc)
- de faptul c exist un BCP (business continuity plan) care cuprinde:
identificarea aplicaiilor critice a cror replicare este necesar n cadrul centrului de

recuperare;
4
descrierea infrastructurii IT din cadrul organizaiei;
descrierea sistemului de disaster recovery implementat;
descrierea personalului disponibil n cadrul organizaiei;
analiza de riscuri i impactul acestora;
definirea liniilor directoare pentru incheierea Service Level Agreements (SLA), n
vederea asigurarii QoS (Quality of Service) att cu furnizorii de echipamente, ct i cu
furnizorii de sisteme de comunicaii;
descrierea modului de monitorizare a sistemului de disaster recovery n operarea
curent;
definirea evenimentelor critice de tip dezastru;
definirea activitilor, a pailor i a procedurilor ce compun planul BCP (Business
Continuity Plan).
- existena unei locatii alternative de procesare a datelor
- efectuarea back-up-urilor conform unor proceduri existente
- existena unei politici de securitate informatic cu urmtoarele obiective:
Managementul securitii informaiei: Msurile managementului securitii

informaiei vor fi implementate i puse n aplicare n concordan cu obiectivele
securitii informaiei, declaraiile, politicile, standardele i procedurile stabilite de
conducerea organizaiei.
Clasificarea informaiei, sistemelor i resurselor: Informaiile, sistemele i resursele
vor fi clasificate corespunztor nivelului i tipului de protecie cerut.
Identificarea i autentificarea: toate informaiile i sistemele cu care institutia pune
n vigoare propria identificare i autentificare a angajailor, a altor utilizatori, terelor
pri i sistemelor.
Confidenialitatea: confidenialitatea tuturor datelor, informaiilor, sistemelor,
documentelor i software-urilor care este pus n aplicare.
Integritatea: integritatea datelor, informaiilor, sistemelor, documentelor i software-
urilor care este pus n aplicare, n funcie de ct de critic este resursa pentru
activitatea organizaiei.
Contabilizarea: Contabilizarea i responsabilitatea aciunilor utilizatorilor trebuie s
fie clar definite i puse n aplicare permanent.
Disponibilitatea: Toate informaiile i sistemele trebuie s fie disponibile utilizatorilor
autorizai, atunci cnd este nevoie. , Sunt considerate oportune, n totalitate i exacte
cu recuperarea oricror date, informaii, software sau sisteme pierdute datorit unor
evenimente nedorite i neateptate ( ex.ntreruperea sistemului n caz de dezastru).
Non-repudierea: Este un concept pentru asigurarea c o parte vtmat ntr-o disput
nu poate fi respins, sau contestat de o declaraie de valabilitate. Sistemele trebuie s
asigure c o tranzacie informatic nu poate fi ulterior respins (rejectat) de acea parte
vtmat.
5
Controlul accesului fizic i logic: Toate informaiile i sistemele vor fi asigurate
corespunztor i riguros cu controale de acces fizic i logic.
Evaluarea riscului: Evaluarea ameninrilor, impactului i vulnerabilitilor
informaiilor a utilitilor de procesare a informaiilor i a probabilitii producerii
acestora.
Managementul riscului: Procesul de identificare, revizuire i reducere sau eliminare
a riscurilor de securitate, care pot afecta sistemele informatice la un cost acceptabil.
Instruirea i contientizarea privind securitatea informaiei: Toi angajaii vor fi
supui unor programe de instruire i contientizare privind securitatea informaiei.
Rolurile i responsabilitile: Rolurile, responsabilitile i competenele decizionale
pentru toate prile care au acces la resursele informatice sunt clar definite i
comunicate.
Conformitatea : Personalul precum i ali utilizatori trebuie s fie familiarizai i s se
conformeze cu procedurile i politicile bncii privind securitatea informaiei.
Monitorizarea securitii informaiei i raportarea: Monitorizarea i raportarea
msurilor de securitate a informaiei vor fi stabilite s detecteze i s raporteze breele
actuale i suspecte i vor asigura aciuni de remediere ale acestora.
Prezentarea schematic a arhitecturii sistemelor informatice se regsete n figura de mai
jos:
PROVIDER 1 PROVIDER 2
DataCenter / Locatie
alternativa
Router
Server
Securitate IT
(IPS/IDS/Firewall/
Antivirus)
Locatie
Disaster Recovery
Switch 1 Switch 2
Sever MAIL
Server / Solutie INTRANET

Backup
Server WEB Server Baze de Date Server Online Sever Aplicatii Intranet
Aplicatie Clienti
6
Analiza i Tratarea Riscurilor. Impactul Acestora
Organizatia a definit o abordare sistematica a evaluarii riscului in procedura intern pentru

Evaluarea riscului. Metoda utilizata tine cont de cerinele legale, reglementri i de
securitatea informaiilor activitii organizaiei, precum i cele mai bune practici n domeniu.
S-au determinat riscurile (pe toate cele patru categorii), criteriile de acceptare a riscurilor si s-
au identificat nivelurile de risc acceptabile (apetitul i tolerana la risc).
Pentru abordarea sistematic a evalurii riscurilor sunt ndeplinite urmtoarele:

S-au identificat operaiunile i activitile organizaiei;
S-au identificat sistemele informatice pe care se bazeaz operaiunile i activitile
identificate anterior;
S-au identificat riscurile operaionale generate de sistemele informatice;
S-au identificat factorii de risc (ameninrile) la care care faciliteaz expunerea la
riscurile operaionale.
S-au identificat vulnerabilitatile care ar putea fi exploatate de aceste ameninri.
S-a stabilit impactul i daunele asupra organizaiei n cazul pierderii confidentialitii,
integritii i disponibilitii sistemelor informatice.
S-a evaluat probabilitatea real ca aceste evenimente s se produc.
Au fost evaluate nivelurile riscului inerent si s-a determinat dac riscul este acceptabil sau
necesit tratare. n schema de mai jos find prezentat relaionarea dintre elementele utilizate la
evaluarea intern a riscurilor operaionale.
Exploateza
Amenintarile Vulnerabilitatile
Cresc Cresc Afecteza

Protejeaza
impotriva
Masuri de Reduc Afecteza

RISCURILE Bunuri
securitate
Implementate prin Au
Indica Cresc
Cerinte de Valoare bunuri

securitate
Da
Impactul potential asupra
afacerii
Fiecare responsabil de proces (coordonator de unitate funcional) a identificat resursele de

valoare i activitile din cadrul structurii organizatorice (birou, serviciu, compartiment,
departament, direcie etc) care sunt expuse la riscuri operaionale generate de sistemele
informatice.
Resursele de valoare sunt grupate conform urmatoarelor categorii (de ex :):

Informatii in format electronic (baze de date, fisiere de date, liste clieni -
investitori, participani, asigurai etc-, structuri ale bazelor de date, mesaje e-mail,
fiiere cu preturi etc.);
7
Documente tiprite (manuale de utilizare, manual i suport pentru instruiri,
ghiduri, licene, contracte furnizori / clieni, comunicri, facturi, rezultate
financiare, nregistrri referitoare la personalul angajat adrese, atestari etc.);
Software (sistemul de operare, aplicatii, utilitare etc)
Bunuri fizice (calculatoare, servere, echipamente de comunicare i securitate,
suport media magnetic, etc);
Persoane (angajai, clieni, furnizori etc.);
Servicii (disponibilitate servicii de retea, telecomunicatii, nclzire, iluminat,
alimentare cu ap, alarmare, servicii de stingerea incendiilor, etc.);
Imagine i reputatie (mijloacele de livrare a produselor sau prestare a
serviciilor, certificari existente, paginile de internet ale organizaiei etc.).
Stabilirea valorii resurselor i a operaiunilor
Pentru stabilirea valorii resurselor i a operaiunilor, s-au luat in considerare, numai resursele
informatice i operaiunile care presupun interaciunea cu aceste resurse. S-a definit valoarea
resurselor/operaiunilor utilizand urmtoarea scar de valori n funcie de impactul asupra
organizaiei:
1 puin important;
2 necesar;
3 vital;
Pentru stabilirea valorilor se analizeaz importana, gradul de dependen fa de
resurs/operaiune i pericolul pe care l reprezint pentru procesele organizaiei, asupra
organizaiei in general i asupra clienilor acesteia, atunci cand informaia sau resursa i
pierde integritatea, confidenialitatea i disponibilitatea.
Identificarea factorilor de risc
Pentru identificarea factorilor de risc se ntocmete o list a tuturor ameninrilor aplicabile,

iar pentru fiecare ameninare se identific vulnerabilitatile existente.
Pentru calcularea riscului se definesc, n continuare:
Probabilitatea riscului (probalilitatea exploatrii vulnerabilitii),

Probabilitatea de a se manifesta n conditiile date este evaluat astfel:
Grad 1 2 3
Probabilitate Neglijabil Slab Mare
Descriere Practic nu poate apare Poate apare n Este probabil s se produc.
n condiii obinuite. conditii obisnuite, Acest risc este rezonabil sa se
Istoric nu au fost dar frecvena produc n perioada imediat
semnalate situaii. apariiei este rar. urmtoare.
Nivelul vulnerabilitatii (poate s apar un incident pentru ca vulnerabilitatea

s fie mai greu sau mai uor exploatat ).
8
Criteriile pentru evaluarea vulnerabilitatii sunt:
Grad 1 2 3
Criterii Neglijabil Medie Mare
Descriere Exist protecii sigure, Vulnerabilitatea poate fi Usor de exploatat,
testate i verificate, exploatat, exist protecia este foarte
condiiile existente conduc protecii implementate, slab, ineficace n
la concluzia c, practic, nu dar acestea nu au fost multe situaii sau
poate fi exploatat aceasta testate i verificate pentru tehnic uzat moral.
vulnerabilitate. toate cazurile.
Pentru evaluarea riscurilor i a nivelurilor asociate pentru fiecare eveniment nedorit care poate
avea impact asupra activitilor desfurate de organizaie, sistemelor informatice sau a
informaiilor se realizeaz matricea nivelului de risc.
Nivelul riscului este o funcie de probabilitatea de producere a unui eveniment nedorit i de

nivelul vulnerabilitii asupra activitilor, informaiilor sau sistemelor informatice ale
organziaiei.
Pentru exemplificare, a fost realizat o matrice 3x3 corespunztoare urmtoarelor niveluri de

risc:
1. Risc mic;
2. Risc mediu;
3. Risc mare.
Exemplu matrice niveluri de risc

VULNERABILITATE
MARE Risc Mediu Risc Mare Risc Mare
MEDIE Risc Mic Risc Mediu Risc Mare
NEGLIJABIL Risc Mic Risc Mic Risc Mediu
NEGLIJABIL SLAB MARE
PROBABILITATE
9
n cazul n care organizaia utilizeaz o alt matrice de risc prin folosirea mai multor niveluri
de vulnerabiliti i probabiliti (4x4 sau 5x5) i a mai multor niveluri de risc (4 sau 5), se va
menine practica curent.
Activiti necesare identificrii i evalurii riscurilor i a msurilor de securitate
Conductorii structurilor organizatorice i ntreg personalul ce le compun au obligaia de a

identifica, evalua i raporta riscurile operaionale generate de sistemele informatice. Aplicarea
cadrului pentru gestionarea riscurilor generate de sistemele informatice ntr-o organizaie
presupune parcurgerea urmtoarelor etape:
1. analiza preliminar a riscului;
2. identificarea i evaluarea riscurilor;
3. revizuirea i raportarea situaiei riscurilor;
4. stabilirea limitelor de toleran;
5. implementarea i monitorizarea msurilor de control al riscurilor.
Analiza preliminar
Persoana care identific un risc analizeaz preliminar riscul identificat, procednd, pentru
documentarea procesului de evaluare, la completarea unui formular de Alert la risc -
stabilit de fiecare organizaie i prezentat ca exemplu la finalul acestei seciuni cu
respectarea urmtoarelor etape:
1 descrierea nartativ a riscului, cu respectarea urmtoarelor reguli:
riscul este o situaie, eveniment, care poate s apar. Riscul este o incertitudine
i nu ceva sigur;
nu se identific riscuri care nu afecteaz organizaia;
problemele dificile identificate nu trebuie ignorate. Ele pot deveni riscuri n
situaii repetitive din cadrul aceleiai structuri organizatorice sau pentru alte
structuri organizatorice n care astfel de riscuri nu s-au materializat;
riscurile nu trebuie definite numai prin impactul lor asupra activitilor
organizaiei. Impactul nu este risc, ci consecina exploatrii unei vulnerabiliti;
riscurile nu se descriu prin negarea unei situaii;
problemele care vor aprea cu siguran, nu constituie riscuri, ci certitudini;
problemele a cror apariie este imposibil, nu constituie riscuri, ci ficiuni.
2 prezentarea preliminar a cauzelor, descrierea circumstanelor i a factorilor care
favorizeaz apariia riscului;
3 analizarea preliminar a consecinelor asupra activitilor i operaiunilor, n cazul
materializrii riscului.
4 evaluarea preliminara a expunerii la risc se realizeaz prin:
a) stabilirea valorii resursei/operaiunii, pe o scal n trei trepte, ca fiind: puin
important (valoare=1), necesar (valoare=2) sau vital (valoare=3).
b) estimarea probabilitii de apariie a riscului, pe o scal n trei trepte, ca fiind:
neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
c) estimarea vulnerabilitii sistemului informatic, pe o scal n trei trepte, ca
fiind: neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
d) evaluarea preliminar a nivelului riscului, conform matricei de risc, pe o
scal cu trei trepte, ca fiind: sczut, mediu sau mare.
10
e) evaluarea preliminar a valorii riscului se realizeaz prin adunarea valorii
resursei, cu valoarea probabilitii i cu cea a vulnerabilitii. Valoarea
maxim a riscului este 9 (3+3+3 = 9 resursa este vital, probabilitatea este
mare i vulnerabilitatea este mare).
Not: Explicaiile asociate denumirii fiecrei trepte a scalelor de msurare a valorii
resurselor, a probabilitii de apariie i a vulnerabilitii pentru evaluarea riscului inerent
au fost prezentate mai sus.
5 formularea unei opinii cu privire la msurile de tratare (controalele de risc) ce ar trebuie
ntreprinse pentru a gestiona riscul n mod adecvat, astfel nct s se ncadreze n
limitele de toleran;
6 formularul Alert la risc completat corespunztor este trimis coordonatorului stucturii
organizatorice.
Formular alert la risc
ORGANIZAIA ------------------------------
Structura organizatoric: ------------------------------
DETALII PRIVIND RISCUL
Descrierea riscului Categorie resurs IT: ------------------------------------------------
Denumire resurs IT: ------------------------------------------------
Ameninri (factori de risc):
1.---------------
2. --------------
3. --------------
4. --------------
5. --------------
Vulnerabilitate (descrierea riscului): -----------------------------
-----------------------------------------------------------------------------
Evaluare valorii
resursei
1 2 3
1. neimportant; 2. necesar; 3. vital.
Evaluarea riscului Evaluarea probabilitii de apariie
1 2 3
1. neglijabil; 2. medie; 3. mare.
Evaluarea vulnerabilitii (impactului)
1 2 3
1. neglijabil; 2. medie; 3. mare.
Opinie cu privire la Tipul de rspuns la risc (strategia adoptat): ---------
tipul de rspuns la risc -----------
Msuri de control le riscului recomandate:--------------------------
------------------------------------------------------------------------
Documentaia utilizat pentru fundamentarea riscului identificat (dac este cazul):----------
------------------------------------------------------------------------------------------
Nume: Semntura: Data ntocmirii:
--------------------- --------------------- zz/ll/aaaa
11
Identificarea i evaluarea riscurilor
Coordonatorul structurii organizatorice analizeaz fiecare formular Alert la risc, primit de

la persoanele care au efectuat analiza preliminar a riscurilor, propunnd:
1 clasarea formularului Alert la risc, dac riscul este nerelevant;
2 nregistrarea riscului ca aparinnd activitii sau operaiuni care se bazeaz pe
sistemul informatic utilizat/administrat de structura organizatoric, caz n care
confirm existena riscului la nivelul structurii organizatorice, stabilete/confirm
nivelul riscului i propune cel puin o msur de tratare a acestuia.
Dup finalizarea aciunii de analiz preliminar a riscurilor, conductorul structurii
organizatorice, centralizeaz rezultatele analizei datelor/informaiilor cuprinse n formularele
Alert la risc, la care anexeaz documentaia privind riscurile nou-identificate.
n cadrul analizei alertelor la risc conductorul structurii organizatorice desfoar
urmtoarele aciuni:
1 delibereaz asupra tuturor riscurilor si stabileste riscurile pentru care s fie luat
decizia de reinere pentru gestionare n cadrul structurii organizatorice;
2 propunerea de clasare pentru riscurile considerate nerelevante;
3 delibereaz asupra riscurilor propuse spre includere n Registrul Riscurilor i face
propuneri de completare a Registrului Riscurilor, cel puin n urmtoarele situaii:
a) msurile prin care se realizeaz un control satisfctor al riscurilor exced
competenelor decizionale ale structurii organizatorice;
b) resursele structurii organizatorice sunt insuficiente;
c) se identific riscuri externe structurii organizatorice, dar al cror impact
afecteaz obiectivele stabilite pentru acesta.
4 efectueaz, pentru fiecare risc identificat i evaluat, o comparare a expunerii la risc
cu limitele de toleran aprobate de conducerea organizaiei;
5 analizeaz rapoartele de audit, reinnd riscurile identificate prin acestea i msurile
de control recomandate a fi implementate;
6 formuleaz propuneri pentru conducerea organizaiei, pentru fiecare risc identificat i
evaluat, cu privire la tipul de rspuns (strategia adoptat) considerat cel mai adecvat
dintre cele de mai jos, decizia final cu privire la acest aspect aparinnd
conductorului organizaiei:
a) acceptarea (tolerarea) riscului, n cazul riscurilor cu expunere sczut
sau atunci cnd aplicarea unei strategii de rspuns la risc nu este posibil;
b) monitorizarea permanent a riscului, n cazul riscurilor cu impact
semnificativ, dar cu probabilitate mic de apariie;
c) evitarea riscului, cu precizarea c aplicarea acestei strategii este limitat
n cazul activitilor care in de obiectul de activitate al organizaiei i de
deciziile conducerii acesteia;
d) transferarea (externalizarea) riscului, ndeosebi n cazul riscurilor
pentru care se nregistreaz doar cheltuieli financiare care pot fi acoperite
prin produse de asigurare;
e) tratarea (atenuarea) riscului, caz n care se identific msurile posibile
ce pot fi luate astfel nct riscurile s fie controlate satisfctor, se
12
grupeaz n variante alternative, se alege varianta cea mai avantajoas din
perspectiva raportului cost/beneficiu.
7 Stabilete ordinea de prioriti n tratarea riscurilor reinute pentru gestionare, astfel
nct expunerea la riscurile reziduale s se situeze n limitele de toleran aprobate;
8 stabilete msurile de control ce trebuie luate n vederea reducerii nivelelui riscurilor
(reducerea probabilitii sau a impactului), termenele-limit pn la care acestea
trebuie implementate, precum i persoanele responsabile cu implementarea lor prin
elaborarea unui planul pentru implementarea msurilor de control.
Conducerea organizaiei i persoana (comitetul) desemnat de aceasta cu responsabiliti
pentru gestionarea riscurilor, dac exist, desfoar urmtoarele aciuni:
1 primete formularele de Alert la risc i documentaia aferent pentru riscurile
semnalate ctre fiecare structur organizatoric;
2 transmite persoanelor responsabile cu implementarea msurilor de control,
modificarea msurilor sau a termenelor pentru riscurile aflate deja n faza de
implementare a msurilor de control intern;
3 iniial intocmete i ulterior completeaz, ori actualizeaz, dup caz, Registrul
Riscurilor, respectivei organizaii cu datele/informaiile despre riscurile care sunt sau
care urmeaz a fi gestionate la nivelul tuturor structurilor organizatorice.
Revizuirea i raportarea situaiei riscurilor
Cel puin anual sau ori de cte ori este cazul, conductorii structurilor organizatorice asigur
analizarea stadiului implementrii msurilor de control, a eficacitii acestora, precum i
reevaluarea riscurilor din sfera lor de responsabilitate.
n cadrul procesului de revizuire, se analizeaz dac:

1 riscurile persist;
2 au aprut riscuri noi;
3 impactul i probabilitatea riscurilor au suferit modificri, caz n se revizuiesc
nivelurile riscurilor;
4 sunt necesare noi msuri de control de risc i termene pentru implementarea acestora;
5 se impune reprioritizarea riscurilor;
Anual, conductorii structurilor organizatorice elaboreaz un raport cu privire la desfurarea

procesului de gestionare/revizuire a riscurilor la nivelul structurii organizatorice. Raportul
cuprinde o sintez a activitilor desfurate, n perioada de raportare, n cadrul procesului de
gestionare a riscurilor, coninnd cel puin urmtoarele aspecte:
1 activitile derulate n perioada pentru care se ntocmete raportul, n scopul tratrii
riscurilor identificate;
2 riscuri noi, tipul de rspuns i msurile de control instituite pentru acestea;
3 rezultatele reevalurii riscurilor, n cazul n care riscurile au fost reevaluate n
perioada raportat;
13
4 meniuni cu privire la ntocmirea/actualizarea Registrului riscurilor;
5 alte aspecte/probleme considerate relevante, n legtur cu modul n care au fost
gestionate riscurile la nivelul structurii organizatorice.
Raportul privind gestionarea i revizuirea riscurilor cuprinde, distinct, dou seciuni
referitoare la:
riscurile cu un nivel al expunerii ridicat i foarte ridicat, care ar putea
afecta ndeplinirea obiectivelor specifice ale structurilor organizatorice;
stadiul implementrii planului, la data raportrii.
Conductorul structurii organizatorice transmite conducerii organizaiei i persoana
(comitetul) desemnat de aceasta cu responsabiliti pentru gestionarea riscurilor, dac exist,
un exemplar al raportului, n vederea:
1 ntocmirii i actualizrii Registrului Riscurilor la nivelul ntregii organizaii, prin
agregarea datelor/informaiilor cuprinse n Registrul riscurilor de la nivelul fiecrei
structuri organizatorice;
2 ntocmirii i actualizrii profilului de risc al organizaiei, prin regruparea riscurilor
identificate, evaluate i ierarhizate n raport cu mrimea deviaiei expunerii fiecrui
risc de la tolerana la risc;
3 ntocmirii raportului privind evaluarea intern a riscurilor operaionale generate de
sistemele informatice pentru transmiterea lui ctre ASF, n conformitate cu prevederile
art.14 alin.(1) lit. a) din Norma ASF nr. 6/2015. n cadrul raportului se cuprinde,
distinct, o seciune referitoare la riscurile cu un nivel al expunerii ridicat i foarte
ridicat, care ar putea afecta ndeplinirea activitatea organizaiei.
n situaia n care intervin modificri n coninutul rapoartelor i a registrelor de riscuri,
conductorii structurilor organizatorice asigur transmiterea, ctreconducerea organizaiei, a
rapoartelor i/sau registrelor revizuite n termenul cel mai scurt posibil, dar nu mai trziu de
15 zile de la modificarea acestora.
Pentru etapa iniial, termenul pentru transmiterea la ASF a raportului privind evaluarea
intern a riscurilor operaionale generate de sistemele informatice este de 30 iunie 2016.
Stabilirea limitelor de toleran (tolerana la risc)
Condurtorii fiecrei structuri organizatorice analizeaz, cel puin o dat pe an, limitele de
toleran i, dac este cazul, propune revizuirea acestora, cel mai trziu pn la sfritul lunii
februarie pentru anul n curs.
Propunerile privind limitele de toleran revizuite se aprob de conducerea organizaiei
(Consiliul de administraie, Comitetul director sau Directorul general).
Toate riscurile trebuie controlate astfel nct expunerea la risc s se ncadreze n limitele de
toleran aprobate.
Limitele de toleran la risc au caracter obligatoriu pentru structurile organizatorice i au
aplicabilitate pn la o nou revizuire a acestora.
14
Implementarea i monitorizarea msurilor de control al riscurilor
Anual, pn la finele lunii februarie, conductorul fiecrei structuri organizatorice, ntocmete

Planul pentru implementarea msurilor de control ale riscurilor, pentru anul n curs, innd
cont i de:
deciziile conducerii organizaiei;
recomandrile cu privire la msurile de control, cuprinse n rapoartele de audit
(auditul intern, auditul IT Extern, auditul IT cu resurse interne certificate,
evalurile funciei de management al riscurilor).
Dup aprobare, conductorul structurii organizatorice transmite persoanelor responsabile cu
implementarea msurilor de control ale riscurilor, cte un exemplar al acestuia, pentru
aplicare, precum i conducerii organizaiei pentru includerea lor n raportul privind evaluarea
intern a riscurilor operaionale generate de sistemele informatice.
Responsabilii cu implementarea msurilor de control informeaz semestrial i ori de cte ori
este cazul, pe conductorul structurii organizatorice, cu privire la stadiul implementrii
msurilor de control ale riscurilor, pentru analiz i decizie.
Concluzii analiza riscuri
In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:
1. Definirea evenimentelor critice

Solutia si serviciile de protectie pentru gestionarea corespunztoare a riscurilor operaionale
generate de sistemele informatice vor acoperi urmatoarele evenimente:
Riscuri aferente oamenilor:
o nerespectarea proceselor, procedurilor sau a instruciunilor de lucru;
o erori de introducere manual sau de utilizare neadecvat a sistemelor
informatice;
o cunostine, experien i pregtire insuficient a personalului care utilizeaz
sau deservete sistemele informatice;
o personal insuficient;
o dependena de angajai cheie;
o lips de comunicare i cooperare ntre angajai;
o neraportarea erorilor sau greelilor aferente sistemelor informatice;
o alterarea datelor;
o modificarea informaiilor sau a datelor din rapoarte, fr documentarea
adecvat;
o conflict de interese ntre personalul care dezvolt i cel care administreaz
sistemele informatice ori ntre utilizatorii acestora;
o lipsa unei delimitri clare ntre rolurile persoanelor care
acceseaz/administreaz/ dezvolt sistemele informatice;
o automulumire;
o fraud;
o operaiuni suspecte de splarea banilor i finanarea actelor de terorism;
o nerespectarea regimului de sanciuni internaionale.
15
Riscuri aferente proceselor:
o Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la
managementul schimbrii, al incidentelor, al problemelor, al nivelurilor de
servicii, al versionrilor, al capacitii, al disponibilitii i al proiectelor),
erori de metodologie sau de model, erori de evaluare, disponibilitatea
rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control
inadecvat al proceselor, software neadecvate obiectivelor de activitate,
insuficiena guvernanei corporative n acest domeniu;
o Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementul
inadecvat al datelor i informaiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidenialitate, fraude;
o Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i
atribuiilor, depirea limitelor, riscuri de volum, riscuri de securitate, riscuri
de raportare, riscuri de nregistrri contabile neadecvate, control inadecvat al
activitilor externalizate, ntreruperea furnizrii serviciilor, neidentificarea
operaiunilor n spe n funcie de indicatorii de risc i variabile analitice
prestabilite.
Riscuri aferente sistemelor:
o sistem inadecvat de management al tehnologiei i securitii;
o lipsa metodologiilor de dezvoltare si testare;
o capacitate insuficient de procesare;
o ntreruperi n funcionarea sistemelor (hardware, software, stocare,
telecomunicaii);
o cderi de reea;
o ntreruperii n furnizarea serviciilor prestate de furnizorii externi;
o sisteme inadecvate;
o protecie inadecvat mpotriva malware;
o riscuri de compatibilitate;
o riscuri generate de furnizori/vnztori;
o erori de programare;
o coruperea datelor;
o riscuri de recuperare dup dezastre;
o testare necorespunztoare a recuperrii n caz de dezastru;
o sistem inadecvat de actualizare tehnologic;
o sisteme nvechite;
o servicii necorespunztoare de suport pentru sisteme.
o caderi echipamente IT
Riscuri aferente mediului extern:
o pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate
de oameni ori factori din afara organizaiei;
o ntreruperi n furnizarea serviciilor prestate de furnizori externi;
o fraude i activiti criminale externe;
o expuneri externe ale securitii sistemelor;
o atacuri teroriste clasice sau informatice;
o criminalitate economic i/sau informatic;
o cderi ale alimentarii cu electricitate.
16
2. Identificarea sistemelor informatice importante din cadrul organizatiei
n aceast seciune vor fi evideniate sistemele informatice importante, inclusiv principalele
caracteristici i versiunea n lucru la momentul evalurii.
3. Disponibilitatea sistemului
Sistemul i serviciile de protectie pentru situatii de dezastru trebuie sa asigure reducerea
riscurilor de indisponibilitate a sistemelor de productie cu o recuperare completa a
functionalitatii sistemelor informatice intr-un interval orar de ordinul orelor.
4. Toleranta la dezastru
Toleranta la dezastru este asigurata prin tehnologia si serviciile cu grad inalt de disponibilitate
care determina continuarea operarii aplicatiilor critice in cazul unui dezastru in cadrul
sistemelor organizatiei aceasta toleranta trebuie sa fie mare pentru garantarea continuitatii
operationale.
5. Restaurarea serviciilor (RTO - Recovery Time Objective)

Timpul de restaurare a serviciilor reprezinta timpul scurs intre producerea incidentului critic
care a determinat inoperabilitatea site-ului principal si reluarea functionalitatii sistemului de
catre site-ul de recuperare.
In cadrul proiectului timpul estimat este de x ore in cazul comutarii totale datorat
constrangerilor impuse de tehnologii, identificarea riscului si a masurilor necesare,
convocarea personelor responsabile si asigurarea intregii functionalitati la nivelul centrului de
recuperare.
In cazul comutarii manuale in care este necesara si identificarea incidentului timpul estimat de
recuperare este de yy minute.
In anumite circumstante, in conditiile in care comutarea se realizeaza automat si nu s-a produs
un incident major, timp de recuperare poate fi redus substantial.
6. Pierderile de date (RPO - Recovery Point Objective)

Pierderile de date reprezinta valoarea reala a pierderilor de date din momentul producerii
incidentului pana la recuperarea acetuia, sau volumul de date care trebuie recreat pentru a se
asigura integritatea datelor.
Cantitatea de date acceptate a fi pierdute in cazul unui dezastru depind de urmatorii factori:
cantitatea de date modificate (mediu/maxim) pe unitatea de timp;
interdependenta dintre aplicatiile care compun sistemul informatic;
calitatea, mediul si latimea de banda a conexiunilor dintre cele doua locatii.
Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice

n tabelul de mai jos este prezentat un exemplu de evaluare intern a riscurilor operaionale
generate de sistemele informatice aplicat pentru o organizaie ipotetic a crei structur
organizatoric i infrastructur IT a fost descris la nceputul materialului.
17
Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice (registrul riscurilor operaionale IT)
Categorie Valoare Valoare Valoare Masuri de

Valoare
Resurs/ Denumire sistem informatic resursa / Risc (descriere / amenintare) Vulnerabilitate (factori de risc) probabili- vulnerabi control al
risc
Activitate activitate tate li-tate riscului
[1] [2] [3] [4] [5] [6] [7] [3]+[6]+[7] [8]
Categoria 1 - riscuri operaionale OAMENI
Conducerea executiv
Staie de lucru / baz de date / nerespectarea proceselor, Lipsa unor instrumente de control pentru situatia
Conducerea
sisteme informatice 3 procedurilor sau a instruciunilor in care conducerea executiva nu respecta 1 3 7 Anexa 1
societatii
importante de lucru procesele si procedurile de lucru
Staie de lucru / baz de date /
Conducerea Implementarea unor controale insuficiente sau
sisteme informatice 3 Automulumire 1 3 7 Anexa 1
societatii ineficiente.
importante
Staie de lucru / baz de date / operaiuni suspecte de splarea
Conducerea Lipsa filtrelor eficiente pentru tranzactiile
sisteme informatice 3 banilor i finanarea actelor de 1 3 7 Anexa 1
societatii suspecte.
importante terorism
Staie de lucru / baz de date / Lipsa filtrelor eficiente pentru tranzactiile
Conducerea nerespectarea regimului de
societatii
sisteme informatice 3
sanciuni internaionale
suspecte. Neaducerea la zi a noutatilor cu privire 1 3 7 Anexa 1
importante la sanctiunile internationale
Staie de lucru / baz de date / Lipsa verificarilor eficace. Lipsa principiului
Conducerea
societatii
sisteme informatice 3 Frauda interna celor patru ochi. Management impropriu al 1 3 7 Anexa 1
importante drepturilor de acces in aplicatie.
Relatia cu clientii
Sistem front-office / Staie de
Personal si lucru / baz de date / sisteme Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati informatice importante / Alte 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
front-office sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si lucru / baz de date / sisteme erori de introducere manual sau
cunostinte si pregtire insuficiente a
activitati informatice importante / Alte 3 de utilizare neadecvat a 1 3 7 Anexa 1
personalului financiar contabil
front-office sisteme informatice sistemelor informatice
importante
Personal si lucru / baz de date / sisteme Stergerea accidentala a cunostinte si pregtire insuficiente a
activitati informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
front-office sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
18
Operatiuni
Sistem operatiuni / Staie de
Personal si lucru / baz de date / sisteme Lipsa verificarilor eficace. Lipsa principiului
activitati informatice importante / Alte 3 Frauda interna celor patru ochi. Management impropriu al 1 3 7 Anexa 1
operatiuni sisteme informatice drepturilor de acces in aplicatie.
importante
Personal si lucru / baz de date / sisteme nerespectarea proceselor, Lipsa unor instrumente de control pentru situatia
activitati informatice importante / Alte 3 procedurilor sau a instruciunilor in care conducerea executiva nu respecta 1 3 7 Anexa 1
operatiuni sisteme informatice de lucru procesele si procedurile de lucru
importante
Personal si lucru / baz de date / sisteme
Implementarea unor controale insuficiente sau
activitati informatice importante / Alte 3 Automulumire 1 3 7 Anexa 1
ineficiente.
operatiuni sisteme informatice
importante
Personal si lucru / baz de date / sisteme operaiuni suspecte de splarea
Lipsa filtrelor eficiente pentru tranzactiile
activitati informatice importante / Alte 3 banilor i finanarea actelor de 1 3 7 Anexa 1
suspecte.
operatiuni sisteme informatice terorism
importante
Personal si lucru / baz de date / sisteme Lipsa filtrelor eficiente pentru tranzactiile
nerespectarea regimului de
activitati informatice importante / Alte 3
sanciuni internaionale
suspecte. Neaducerea la zi a noutatilor cu privire 1 3 7 Anexa 1
operatiuni sisteme informatice la sanctiunile internationale
importante
importante
operatiuni sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si lucru / baz de date / sisteme modificarea informaiilor sau a
Raportarea eronata catre autoritatile de
activitati informatice importante / Alte 3 datelor din rapoarte, fr 1 3 7 Anexa 1
supraveghere
operatiuni sisteme informatice documentarea adecvat
importante
19
operatiuni sisteme informatice sistemelor informatice
importante
operatiuni sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
activitati informatice importante / Alte 3 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 Erori de procesare Procesarea eronata a documentelor justificative 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 Erori de plata Plata eronata a unor sume de bani 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 de utilizare neadecvat a Procesarea eronata a unor operatiuni 1 3 7 Anexa 1
operatiuni sisteme informatice sistemelor informatice
importante
importante
Inexistenta unui back-up pentru persoanele cheie
activitati informatice importante / Alte 3 dependena de angajai cheie 1 3 7 Anexa 1
din companie. Proceduri de recrutare ineficiente.
importante
Personal si Sistem operatiuni / Staie de
activitati lucru / baz de date / sisteme 3 Personal insuficient 1 3 7 Anexa 1
operatiuni informatice importante / Alte
20
sisteme informatice
importante
lipsa unei delimitri clare ntre
rolurile persoanelor care
acceseaz/administreaz/dezvolt
Proceduri de lucru neclare sau nepuse in aplicare 1 3 7 Anexa 1
sistemele informatice
importante
Sistem operatiuni / Staie de conflict de interese ntre
Personal si lucru / baz de date / sisteme personalul care dezvolt i cel Inexistenta unor proceduri privind gestiunea
activitati informatice importante / Alte 3 care administreaz sistemele conflictelor de interesa sau nepunerea in aplicare 1 3 7 Anexa 1
operatiuni sisteme informatice informatice ori ntre utilizatorii a acesteia
importante acestora
cunostine, experien i
pregtire insuficient a Buget de training insuficient. Lipsa implicarii
personalului care utilizeaz sau managementului in acest aspect.
1 3 7 Anexa 1
deservete sistemele informatice
importante
Personal si lucru / baz de date / sisteme Alterarea datelor din sistemele informatice, fara
activitati informatice importante / Alte 3 alterarea datelor posibilitatea identificarii autorului si a 1 3 7 Anexa 1
operatiuni sisteme informatice informatiilor initiale
importante
Personal si lucru / baz de date / sisteme nerespectarea proceselor,
Procese organizatorice, proceduri si instructiuni
activitati informatice importante / Alte 3 procedurilor sau a instruciunilor 2 3 8 Anexa 1
de lucru neimplementate sau inexistente
operatiuni sisteme informatice de lucru
importante
Lips de comunicare i cooperare Necomunicarea la timp a unor informatii critice
ntre angajai de la un departament catre altul
1 3 7 Anexa 1
importante
Personal si lucru / baz de date / sisteme Proceduri de recrutare ineficiente. Buget de
activitati informatice importante / Alte 3 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 7 Anexa 1
operatiuni sisteme informatice necesarului de personal
importante
Financiar - contabilitate
Personalul si Sistem financiar contabil /
modificarea informaiilor sau a
activitati Staie de lucru / baz de date / Raportarea eronata catre autoritatile de
2 datelor din rapoarte, fr 1 3 6 Anexa 1
financiar sisteme informatice supraveghere
documentarea adecvat
contabile importante / Alte sisteme
21
informatice importante
Sistem financiar contabil /
Personalul si
Staie de lucru / baz de date / erori de introducere manual sau
activitati cunostinte si pregtire insuficiente a
sisteme informatice 2 de utilizare neadecvat a 1 3 6 Anexa 1
financiar personalului financiar contabil
importante / Alte sisteme sistemelor informatice
contabile
Personalul si
Staie de lucru / baz de date / Stergerea accidentala a cunostinte si pregtire insuficiente a
activitati
financiar
sisteme informatice 2 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 6 Anexa 1
importante / Alte sisteme date impropriu al drepturilor de acces in aplicatie
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
importante / Alte sisteme
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Erori de procesare Procesarea eronata a documentelor justificative 1 3 6 Anexa 1
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Erori de plata Plata eronata a unor sume de bani 1 3 6 Anexa 1
contabile
Personalul si
Staie de lucru / baz de date / erori de introducere manual sau
activitati
sisteme informatice 2 de utilizare neadecvat a Procesarea eronata a unor operatiuni 1 3 6 Anexa 1
financiar
importante / Alte sisteme sistemelor informatice
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Frauda interna celor patru ochi. Management impropriu al 1 3 6 Anexa 1
importante / Alte sisteme drepturilor de acces in aplicatie.
contabile
Functii cheie ale entitatii
Sistem cheie / Staie de lucru /
Functii cheie baz de date / sisteme
si activitati informatice importante / Alte 3 dependena de angajai cheie 1 3 7 Anexa 1
aferente sisteme informatice
importante
22
si activitati informatice importante / Alte 3 Personal insuficient 1 3 7 Anexa 1
importante
Tehnologia informatiei
lipsa unei delimitri clare ntre
Personal si rolurile persoanelor care
sisteme IT
acceseaz/administreaz/dezvolt
Proceduri de lucru neclare sau nepuse in aplicare 1 3 6 Anexa 1
importante
sistemele informatice
conflict de interese ntre
Staie de lucru / baz de date / personalul care dezvolt i cel Inexistenta unor proceduri privind gestiunea
Personal si
sisteme informatice 2 care administreaz sistemele conflictelor de interesa sau nepunerea in aplicare 1 3 6 Anexa 1
sisteme IT
importante informatice ori ntre utilizatorii a acesteia
acestora
cunostine, experien i
Personal si pregtire insuficient a Buget de training insuficient. Lipsa implicarii
sisteme IT
personalului care utilizeaz sau managementului in acest aspect.
1 3 6 Anexa 1
importante
deservete sistemele informatice
Staie de lucru / baz de date / Alterarea datelor din sistemele informatice, fara
Personal si
sisteme IT
sisteme informatice 2 alterarea datelor posibilitatea identificarii autorului si a 1 3 6 Anexa 1
importante informatiilor initiale
Staie de lucru / baz de date / nerespectarea proceselor,
Personal si Procese organizatorice, proceduri si instructiuni
sisteme informatice 2 procedurilor sau a instruciunilor 2 3 7 Anexa 1
sisteme IT de lucru neimplementate sau inexistente
importante de lucru
Personal si Lips de comunicare i cooperare Necomunicarea la timp a unor informatii critice
sisteme IT
ntre angajai de la un departament catre altul
1 3 6 Anexa 1
importante
Suport
Functii suport Proceduri de recrutare ineficiente. Buget de
si activitati Staie de lucru / baz de date 1 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 5 Anexa 1
aferente necesarului de personal
Categoria 2 - riscuri operaionale PROCESE
Conducerea executiv
Conducerea Procese organizatorice neimplementate sau
Staie de lucru / baz de date 3 lipsa proceselor organizatorice 2 3 8 Anexa 1
societatii inexistente
Controlul efectuat de personal necorespunzator.
Conducerea
Staie de lucru / baz de date 3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
societatii
interne
Conducerea insuficiena guvernanei Inexistenta strategiei privind guvernanta
Staie de lucru / baz de date 3 1 3 7 Anexa 1
societatii corporative corporativa. Mecanisme de guvernanta
23
corporativa necorespunzatoare
Relatia cu clientii
Personal si Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati Sistem front-office 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
front-office respectivi risc pentru clientii noi.
importante
importante
Operatiuni
Personal si lucru / baz de date / sisteme Tranzactionarea efectuata de catre personal
lipsa separrii drepturilor i
atribuiilor
necalificat sau fara atributii in domeniul 1 3 7 Anexa 1
operatiuni sisteme informatice respectiv
importante
Tranzactionarea eronata a unor instrumente
activitati informatice importante / Alte 3 depirea limitelor 1 3 7 Anexa 1
financiare
importante
Tranzactionarea eronata a unor instrumente
activitati informatice importante / Alte 3 riscuri de volum
financiare
1 3 7 Anexa 1
importante
Personal si lucru / baz de date / sisteme Alterarea datelor din sistemele informatice, fara
activitati informatice importante / Alte 3 riscuri de securitate posibilitatea identificarii autorului si a 1 3 7 Anexa 1
operatiuni sisteme informatice informatiilor initiale
importante
Raportarea eronata catre autoritatile de
activitati informatice importante / Alte 3 riscuri de raportare
supraveghere
1 3 7 Anexa 1
importante
24
riscuri de nregistrri contabile Procesarea eronata a tranzactiilor cu instrumente
neadecvate financiare
1 3 7 Anexa 1
importante
control inadecvat al activitilor Lipsa unor controale interne cu privire la
externalizate activitati critice
1 3 7 Anexa 1
importante
Un sistem informatic critic nu poate fi accesat
activitati informatice importante / Alte 3 ntreruperea furnizrii serviciilor 1 3 7 Anexa 1
pentru o lunga perioada de timp
importante
neidentificarea operaiunilor n
Personal si lucru / baz de date / sisteme Neidentificarea indicatorilor de risc.
spe n funcie de indicatorii de
risc i variabile analitice
Parametrizarea necorespunzatoare a variabilelor 1 3 7 Anexa 1
operatiuni sisteme informatice analitice prestabilite.
prestabilite
importante
Procese organizatorice neimplementate sau
activitati informatice importante / Alte 3 lipsa proceselor organizatorice
inexistente
2 3 8 Anexa 1
importante
Personal si lucru / baz de date / sisteme Controlul efectuat de personal necorespunzator.
activitati informatice importante / Alte 3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
operatiuni sisteme informatice interne
importante
Personal si lucru / baz de date / sisteme Inexistenta strategiei privind guvernanta
insuficiena guvernanei
corporative
corporativa. Mecanisme de guvernanta 1 3 7 Anexa 1
operatiuni sisteme informatice corporativa necorespunzatoare
importante
importante
activitati lucru / baz de date / sisteme 3 erori de execuie Executarea eronata a unor operatiuni contabile 1 3 7 Anexa 1
25
sisteme informatice
importante
Inregistrarea eronata a unor operatiuni
activitati informatice importante / Alte 3 erori de nregistrare
economice
1 3 7 Anexa 1
importante
managementul inadecvat al Neasigurarea caracteristicilor informatiilor
datelor i informaiilor (consistenta, durabilitate)
1 3 7 Anexa 1
importante
Matching eronat datorat sistemelor informatice
erori de matching, compensare i utilizate. Erori in cadrul procesului de
colateral compensare. Erori in cadrul procesului de
1 3 7 Anexa 1
adecvare a colateralului clientilor
importante
Erori cauzate de neintelegerea naturii economice
activitati informatice importante / Alte 3 complexitatea produselor
de la baza unor produse financiare complexe
1 3 7 Anexa 1
importante
Capacitate insuficienta a bazelor de date de a
prelua informatiile. Capacitate insuficienta de
activitati informatice importante / Alte 3 riscuri de capacitate
personal de a gestiona volumul operatiunilor
1 3 7 Anexa 1
financiare
importante
activitati informatice importante / Alte 3 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
Divulgarea de informatii sensibile catre mediul
activitati informatice importante / Alte 3 riscuri de confidenialitate 1 3 7 Anexa 1
exterior. Furt de date cu caracter personal
importante
Fraude cauzate de personal financiar contabil cu
activitati informatice importante / Alte 3 fraude
acces la multiple sisteme si niveluri informatice.
1 3 7 Anexa 1
importante
26
erori de metodologie sau de
model
Definirea gresita a modelelor econometrice 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
Personal si lucru / baz de date / sisteme Rezerve insuficiente pentru acoperirea
disponibilitatea rezervelor pentru
acoperirea pierderilor
pierderilor operationale. Lichiditate insuficienta 1 3 7 Anexa 1
operatiuni sisteme informatice a activelor din rezerve
importante
activitati informatice importante / Alte 3 complexitatea modelelor
1 3 7 Anexa 1
importante
Sofware fara functiile critice necesare. Software
software neadecvate obiectivelor cu o viteza redusa de procesare, sau cu o
de activitate capacitate insuficienta de procesare a
1 3 7 Anexa 1
informatiilor.
importante
Personal si lucru / baz de date / sisteme Proceduri de recrutare ineficiente. Buget de
activitati informatice importante / Alte 3 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 7 Anexa 1
operatiuni sisteme informatice necesarului de personal
importante
Personalul si
activitati
sisteme informatice 2 erori de execuie Executarea eronata a unor operatiuni contabile 1 3 6 Anexa 1
financiar
contabile
Personalul si
activitati Inregistrarea eronata a unor operatiuni
financiar
sisteme informatice 2 erori de nregistrare
economice
1 3 6 Anexa 1
contabile
27
Personalul si
activitati managementul inadecvat al Neasigurarea caracteristicilor informatiilor
financiar
datelor i informaiilor (consistenta, durabilitate)
1 3 6 Anexa 1
contabile
Personalul si Matching eronat datorat sistemelor informatice
activitati erori de matching, compensare i utilizate. Erori in cadrul procesului de
financiar
colateral compensare. Erori in cadrul procesului de
1 3 6 Anexa 1
contabile adecvare a colateralului clientilor
Personalul si
activitati Erori cauzate de neintelegerea naturii economice
financiar
sisteme informatice 2 complexitatea produselor
1 3 6 Anexa 1
contabile
Personalul si Capacitate insuficienta a bazelor de date de a
activitati prelua informatiile. Capacitate insuficienta de
financiar
sisteme informatice 2 riscuri de capacitate
personal de a gestiona volumul operatiunilor
1 3 6 Anexa 1
contabile financiare
Personalul si
activitati
financiar
sisteme informatice 2 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
contabile
Personalul si
activitati Divulgarea de informatii sensibile catre mediul
sisteme informatice 2 riscuri de confidenialitate 1 3 6 Anexa 1
financiar exterior. Furt de date cu caracter personal
contabile
Personalul si
activitati Fraude cauzate de personal financiar contabil cu
financiar
sisteme informatice 2 fraude
acces la multiple sisteme si niveluri informatice.
1 3 6 Anexa 1
contabile
erori de metodologie sau de
si activitati informatice importante / Alte 3
model
Definirea gresita a modelelor econometrice 1 3 7 Anexa 1
importante
28
si activitati informatice importante / Alte 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
Functii cheie baz de date / sisteme Rezerve insuficiente pentru acoperirea
disponibilitatea rezervelor pentru
acoperirea pierderilor
pierderilor operationale. Lichiditate insuficienta 1 3 7 Anexa 1
aferente sisteme informatice a activelor din rezerve
importante
si activitati informatice importante / Alte 3 complexitatea modelelor
1 3 7 Anexa 1
importante
Sofware fara functiile critice necesare. Software
Personal si software neadecvate obiectivelor cu o viteza redusa de procesare, sau cu o
sisteme IT
de activitate capacitate insuficienta de procesare a
1 3 6 Anexa 1
importante
informatiilor.
Suport
Functii suport Proceduri de recrutare ineficiente. Buget de
si activitati Staie de lucru / baz de date 1 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 5 Anexa 1
aferente necesarului de personal
Categoria 3 - riscuri operaionale SISTEME
Conducerea executiv
Sisteme care nu asigura functiile critice
Conducerea sistem inadecvat de management
Staie de lucru / baz de date 2 necesare. Inexistenta procedurilor de backup. 1 3 6 Anexa 1
societatii al tehnologiei i securitii
Operabilitate redusa a sistemelor.
Relatia cu clientii
Personal si
activitati Sistem front-office 2 sisteme inadecvate
necesare. Operabilitate redusa a sistemelor.
1 3 6 Anexa 1
front-office
importante
Personal si Sistem front-office / Staie de Stergerea accidentala a cunostinte si pregtire insuficiente a
activitati lucru / baz de date / sisteme
2
informatiilor stocate in bazele de personalului financiar contabil. Management
1 3 6 Anexa 1
29
front-office informatice importante / Alte date impropriu al drepturilor de acces in aplicatie
sisteme informatice
importante
Operatiuni
Personal si lucru / baz de date / sisteme Sisteme care nu asigura functiile critice
sistem inadecvat de management
al tehnologiei i securitii
necesare. Inexistenta procedurilor de backup. 1 3 7 Anexa 1
operatiuni sisteme informatice Operabilitate redusa a sistemelor.
importante
activitati informatice importante / Alte 3 sisteme inadecvate
necesare. Operabilitate redusa a sistemelor.
1 3 7 Anexa 1
importante
Prezenta datelor invalide, sau a datelor ce nu pot
activitati informatice importante / Alte 3 coruperea datelor
fi accesate de ctre utilizatori
1 3 7 Anexa 1
importante
capacitate insuficient de prelua informatiile. Capacitate insuficienta de
procesare personal de a gestiona volumul operatiunilor
1 3 7 Anexa 1
financiare
importante
Personal si lucru / baz de date / sisteme ntreruperi n funcionarea Lipsa sistemelor de back-up pentru energie
activitati informatice importante / Alte 3 sistemelor (hardware, software, electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice stocare, telecomunicaii) telecomunicatii
importante
Inexistenta sistemelor de backup
activitati informatice importante / Alte 3 cderi de reea 1 3 7 Anexa 1
corespunzatoare
importante
Personal si lucru / baz de date / sisteme ntreruperii n furnizarea
Neraportarea incidentului ctre furnizor in timp
activitati informatice importante / Alte 3 serviciilor prestate de furnizorii
util.
1 3 7 Anexa 1
operatiuni sisteme informatice externi
importante
protecie inadecvat mpotriva
activitati lucru / baz de date / sisteme 3 Sisteme critice importante afectate de malware 1 3 7 Anexa 1
malware
30
sisteme informatice
importante
Personal si lucru / baz de date / sisteme Incapacitatea de a utiliza informatii sau fisiere
activitati informatice importante / Alte 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
operatiuni sisteme informatice software
importante
Personal si lucru / baz de date / sisteme Lipsa sistemelor de back-up pentru energie
riscuri generate de
furnizori/vnztori
electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice telecomunicatii
importante
Buguri, posibile brese de securitate, procesare
activitati informatice importante / Alte 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1
importante
riscuri de recuperare dup Plan BCP necorespunzator sau necunoscut de
dezastre catre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
importante
testare necorespunztoare a Locatie secundara improprie. Testarea
recuperrii n caz de dezastru neefectuata la timp, sau efectuata partial
1 3 7 Anexa 1
importante
sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
tehnologic Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Pierderi sau coruperea informatiilor existente.
activitati informatice importante / Alte 3 sisteme nvechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Personal si lucru / baz de date / sisteme Dezvoltare improprie a sistemelor informatice.
lipsa metodologiilor de
dezvoltare si testare
Testare ce nu tine cont de specificatiile de 1 3 7 Anexa 1
operatiuni sisteme informatice business
importante
31
Personal si lucru / baz de date / sisteme Neconformitatea cu reglementarile legale
servicii necorespunztoare de
suport pentru sisteme
respective (resurse umane, PSI, autorizari / 1 3 7 Anexa 1
operatiuni sisteme informatice avizari autoritati locale)
importante
Personalul si
activitati Prezenta datelor invalide, sau a datelor ce nu pot
financiar
sisteme informatice 2 coruperea datelor
fi accesate de ctre utilizatori
1 3 6 Anexa 1
contabile
capacitate insuficient de prelua informatiile. Capacitate insuficienta de
procesare personal de a gestiona volumul operatiunilor
1 3 6 Anexa 1
financiare
importante
Staie de lucru / baz de date / ntreruperi n funcionarea Lipsa sistemelor de back-up pentru energie
Personal si
sisteme IT
sisteme informatice 3 sistemelor (hardware, software, electrica sau a liniilor secundare de 1 3 7 Anexa 1
importante stocare, telecomunicaii) telecomunicatii
Personal si Inexistenta sistemelor de backup
sisteme informatice 3 cderi de reea 1 3 7 Anexa 1
sisteme IT corespunzatoare
importante
Staie de lucru / baz de date / ntreruperii n furnizarea
Personal si Neraportarea incidentului ctre furnizor in timp
sisteme IT
sisteme informatice 3 serviciilor prestate de furnizorii
util.
1 3 7 Anexa 1
importante externi
Personal si protecie inadecvat mpotriva
sisteme IT
malware
Sisteme critice importante afectate de malware 1 3 7 Anexa 1
importante
Staie de lucru / baz de date / Incapacitatea de a utiliza informatii sau fisiere
Personal si
sisteme IT
sisteme informatice 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
importante software
Staie de lucru / baz de date / Lipsa sistemelor de back-up pentru energie
Personal si riscuri generate de
sisteme IT
furnizori/vnztori
importante telecomunicatii
Personal si Buguri, posibile brese de securitate, procesare
sisteme IT
sisteme informatice 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1
importante
Personal si Staie de lucru / baz de date / riscuri de recuperare dup Plan BCP necorespunzator sau necunoscut de
sisteme IT sisteme informatice
3
dezastre catre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
32
importante
Personal si testare necorespunztoare a Locatie secundara improprie. Testarea
sisteme IT
recuperrii n caz de dezastru neefectuata la timp, sau efectuata partial
1 3 7 Anexa 1
importante
Personal si sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
sisteme IT
tehnologic Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Personal si Pierderi sau coruperea informatiilor existente.
sisteme IT
sisteme informatice 3 sisteme nvechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Staie de lucru / baz de date / Dezvoltare improprie a sistemelor informatice.
Personal si lipsa metodologiilor de
sisteme IT
dezvoltare si testare
Testare ce nu tine cont de specificatiile de 1 3 7 Anexa 1
importante business
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Router Incendiu incediilor
sisteme IT (Model , Serie)
3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Personal si Incendiu incediilor
sisteme IT
IPS / IDS (Model , Serie) 3
2 3 8 Anexa 1
sisteme IT
Switch 1,2 (Model, Serie) 3
2 3 8 Anexa 1
sisteme IT
Server Mail (Model, Serie) 3
2 3 8 Anexa 1
Personal si Server Backup Incendiu incediilor
sisteme IT (Model, Serie)
3
2 3 8 Anexa 1
Personal si Server Web Incendiu incediilor
3
2 3 8 Anexa 1
Personal si Server BD Incendiu incediilor
3
2 3 8 Anexa 1
Personal si Server Aplicatie Online Administrare defectuasa Lipsa sistem automat de detectie si stingere a
sisteme IT Clienti
3
Incendiu incediilor
2 3 8 Anexa 1
33
(Model, Serie) Cutremur Lipsa sistem supraveghere video
Personal si Sever Aplicatii Intranet Incendiu incediilor
3
2 3 8 Anexa 1
N/A
Personal si Echipament1 locatie DR
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativa DataCenter
N/A
Personal si Echipament2 locatie DR
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativa DataCenter
Lipsa sistem automat de detectie si stingere a
Incendiu
Personal si incediilor
sisteme IT
Imprimante, scanere 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware
Incendiu
Personal si incediilor
sisteme IT
Echipament desktop 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware
Vulnerabilitati software
Erori de programare Lipsa testari periodice
Personal si Acces neautorizat Neaplicarea la timp a update-urilor necesare
sisteme IT
Aplicatie online clienti 3
Modificri neautorizate ale Pregtire de specialitate necorespunz-toare a
2 3 8 Anexa 1
software-ului sau datelor personalului.
Erori de programare
Erori de programare
Personal si Acces neautorizat Lipsa testari periodice
sisteme IT
Aplicatie contabilitate 3
Modificri neautorizate ale Neaplicarea la timp a update-urilor necesare
2 3 8 Anexa 1
software-ului sau datelor
Erori de operare
Lipsa testari periodice
Erori de programare
Neaplicarea la timp a update-urilor necesare
Personal si Acces neautorizat
sisteme IT
Aplicatie Intranet 3
Modificri neautorizate ale
2 2 7 Anexa 1
Pregtire de specialitate necorespunz-toare a
software-ului sau datelor
personalului.
Erori de programare
Personal si Solutie securitate IT Lipsa testari periodice
sisteme IT (antivirus, firewall, etc)
3 Erori de programare
Neaplicarea la timp a update-urilor necesare
3 3 9 Anexa 1
Acces neautorizat
Personal si Vulnerabilitati software. Acces Neaplicarea la timp a update-urilor necesare
sisteme IT
Licente Sistem Operare 1 3
neautorizat
2 3 8 Anexa 1
34
Configurarea necorespunztoare a funciilor de
securitate ale sistemelor de operare
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Contracte 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
sisteme IT
Corespondenta 3
2 3 8 Anexa 1
sisteme IT
Arhiva date 3
2 3 8 Anexa 1
sisteme IT
Declaratii 3
2 3 8 Anexa 1
sisteme IT
Dosare personal 3
2 3 8 Anexa 1
sisteme IT
Decizii 3
2 3 8 Anexa 1
Suport
Functii suport Neconformitatea cu reglementarile legale
si activitati Staie de lucru / baz de date 1 respective (resurse umane, PSI, autorizari / 1 3 5 Anexa 1
aferente avizari autoritati locale)
Categoria 4 - riscuri operaionale EXTERNE
Conducerea executiv
Conducerea Inexistenta unui back-up pentru persoanele cheie
Staie de lucru / baz de date 3 Pierderea persoanelor cheie 1 3 7 Anexa 1
societatii din companie. Proceduri de recrutare ineficiente.
lucru / baz de date / sisteme erori de introducere manual sau
Conducerea cunostinte si pregtire insuficiente a
informatice importante / Alte 3 de utilizare neadecvat a 1 3 7 Anexa 1
societatii personalului financiar contabil
sisteme informatice sistemelor informatice
importante
lucru / baz de date / sisteme Stergerea accidentala a cunostinte si pregtire insuficiente a
Conducerea
societatii
informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
Relatia cu clientii
front-office sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si Sistem front-office / Staie de erori de introducere manual sau
activitati lucru / baz de date / sisteme 3 de utilizare neadecvat a 1 3 7 Anexa 1
front-office informatice importante / Alte sistemelor informatice
35
sisteme informatice
importante
importante
Operatiuni
Personal si lucru / baz de date / sisteme ntreruperi n furnizarea Lipsa sistemelor de back-up pentru energie
activitati informatice importante / Alte 3 serviciilor prestate de furnizori electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice externi telecomunicatii
importante
activitati informatice importante / Alte 3 Pierderea persoanelor cheie
1 3 7 Anexa 1
importante
importante
fraude i activiti criminale
externe
celor patru ochi. Management impropriu al 1 3 7 Anexa 1
importante
pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
catastrofice/dezastrelor naturale incediilor
sau generate de oameni ori Lipsa sistem supraveghere video
2 3 8 Anexa 1
factori din afara organizaiei Defectiune hardware
importante
atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
informatice sistemelor informatice critice
1 3 7 Anexa 1
importante
Personal si
lucru / baz de date / sisteme criminalitate economic i/sau Lipsa sistemelor de siguranta si de back-up a
activitati
informatice importante / Alte
3
informatic sistemelor informatice critice
1 3 7 Anexa 1
operatiuni
sisteme informatice
36
importante
Personal si lucru / baz de date / sisteme Lipsa sistemelor de back-up pentru energie
cderi ale alimentarii cu
electricitate
operatiuni sisteme informatice telecomunicatii
importante
expuneri externe ale securitii incediilor
sistemelor Lipsa sistem supraveghere video
1 3 7 Anexa 1
Defectiune hardware
importante
Personal si lucru / baz de date / sisteme Neconformitatea cu reglementarile legale
respective (resurse umane, PSI, autorizari / 1 3 7 Anexa 1
operatiuni sisteme informatice avizari autoritati locale)
importante
Personalul si
activitati fraude i activiti criminale
financiar
externe
celor patru ochi. Management impropriu al 1 3 6 Anexa 1
importante / Alte sisteme drepturilor de acces in aplicatie.
contabile
pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
catastrofice/dezastrelor naturale incediilor
sau generate de oameni ori Lipsa sistem supraveghere video
2 3 8 Anexa 1
factori din afara organizaiei Defectiune hardware
importante
atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
informatice sistemelor informatice critice
1 3 7 Anexa 1
importante
criminalitate economic i/sau Lipsa sistemelor de siguranta si de back-up a
informatic sistemelor informatice critice
1 3 7 Anexa 1
importante
Functii cheie Lipsa sistemelor de back-up pentru energie
baz de date / sisteme cderi ale alimentarii cu
si activitati
informatice importante / Alte
3
electricitate
aferente telecomunicatii
sisteme informatice
37
importante
Personal si expuneri externe ale securitii incediilor
sisteme IT
sistemelor Lipsa sistem supraveghere video
1 3 6 Anexa 1
importante
Defectiune hardware
Suport
Functii suport Neconformitatea cu reglementarile legale
si activitati Staie de lucru / baz de date 1 respective (resurse umane, PSI, autorizari / 1 3 5 Anexa 1
aferente avizari autoritati locale)
38
Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)
ANEXA 1 la registrul riscurilor
Prob.
Nr. Eveniment Vulnerabilitate Nivel Nivel Msuri de control al riscului
Ameninare prod.
Crt nedorit asociat Impact risc
even.
1. Producerea Incendiu Absena unui sistem automat de Mica Mare Mediu Implementate
unui incendiu detectie si stingere a incendiului. -Verificarea si intreinerea instalaiilor.
-Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up,
persoanele autorizate i verificarea periodic.
1. -Exista BCP, locatie alternativa de procesare a datelor.
2. - Instruirea personalului autorizat al sistemului privind modul de aciune la incendiu.
3.
Masuri viitoare
4.-Existena unor mijloace automate de detectie si stingere a incendiului
5.-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente
6. -Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
2. Producerea Cutremur Lipsa planurilor de continuare a Mica Mare Mediu Implementate
unui activitatii sau a procedurilor de 1. -Structura de rezisten a cldirii este solid.
cutremur recuperare /refacere a informatiilor 2. -Pereii exteriori i despritori ai camerelor n care sunt instalate echipamentele sistemului sunt din
in caz de cutremur materiale solide.
- -Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up, persoanele
autorizate i verificarea periodic.
7. -Exista BCP, locatie alternativa de procesare a datelor.
Masuri viitoare
1. -Instruirea personalului autorizat al sistemului privind modul de aciune in caz de cutremur.
8. -Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente.
3. Alimentarene Cderi ale Lipsa surselor nentreruptibile de Mica Mare Mediu Implementate
corespunzto tensiunii de alimentare cu energie electrica. 1. -Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
are cu alimentare 2. -Toate serverele sunt prevazute cu UPS
energie
electrica Masuri viitoare
- implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric
39
Prob.
Nr. Eveniment Vulnerabilitate Nivel Nivel Msuri de control al riscului
Ameninare prod.
Crt nedorit asociat Impact risc
even.
4. Copierea Dezvaluire Acces neautorizat - Copierea Mica Mare Mediu Implementate
neautorizat informatii neautorizat de date / software -Existenta IDS, antivirus, Firewall.
de date / -Instruirea continua a personalului.
software -Backup periodic al datelor in data center conform procedurilor operationale existente
Masuri viitoare
1. -Utilizatorii cu drepturi de acces limitate ai sistemului trebuie s aib o pregtire corespunztoare privind
utilizarea resurselor i serviciilor sistemului.
2. -De asemenea trebuie resprectata politica de securitate existenta.
3. -In zona serverelor si nu numai accesul se va face pe baza de cartela magnetica.
Configurarea necorespunztoare a Mica Mare Mediu Implementate
funciilor de securitate ale - Exista elaborata o politica de securitate care s in cont de rolul i misiunea sistemului, grupele de
sistemelor de operare. utilizatori autorizai ai sistemului i de aplicarea principiului necesitii de a cunoate.
-Exista elaborarta o procedura de creare a fiierelor de back up care s vizeze frecvena, tipul de back-up,
Erori de
persoanele autorizate i verificarea periodic a fiierelor de back-up.
operare ale
-S-a creat o locatie alternativa de backup in DataCenter-ul X
personalului Lipsa fiierelor de back-up. Mica Mare Mediu - Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul
de productie
Utilizarea Pregtire de specialitate Mica Mediu Mic
necorespunz necorespunztoare a personalului. Masuri viitoare
toare a Configurarea necorespunztoare a Mica Mare Mediu
1. -Cursuri de specialitate
resurselor i funciilor de securitate ale
5.
serviciilor Erori de sistemelor de operare.
sistemului programare Lipsa fiierelor de back-up. Mica Mare Mediu
(erori de Pregtire de specialitate Mica Mare Mediu
utilizare) necorespunztoare a personalului.
Lipsa fiierelor de back-up. Mica Mare Mediu
Modificri
neautorizate Pregtire de specialitate Mica Mare Mediu
ale software- necorespunztoare a personalului.
ului
40

Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Exemplu de metodologie privind evaluarea intern a riscurilor operaionale

generate de sistemele informatice

Conceptul de management al riscului

Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor in

Procesul de management al riscului

Implementarea managementului riscului

Managementul riscului necesit implicarea tuturor factorilor att a celor cu responsabiliti

Registrul riscurilor operationale este structurat pe patru categorii:

Riscuri aferente oamenilor pot fi, fr a se limita la:

Riscuri aferente proceselor pot fi, fr a se limita la:

b) Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementul

c) Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i atribuiilor,

Riscuri aferente sistemelor/tehnologiei pot fi, fr a se limita la:

Riscuri aferente mediului extern pot fi, fr a se limita la:

Domeniul prezentei analize de impact este reprezentat de urmatoarele:

Structura organizatoric a entitii este format din urmtoarele compartimente (structuri

1. ORGANUL SUPERIOR DE CONDUCERE: n funcie de tipul entitii acesta poate

Arhitectura infrastructurii IT:

n descrierea activitatii organizaiei, referitor la sistemele informatice, s-a inut cont de

- de faptul c exist un BCP (business continuity plan) care cuprinde:

identificarea aplicaiilor critice a cror replicare este necesar n cadrul centrului de

- efectuarea back-up-urilor conform unor proceduri existente

- existena unei politici de securitate informatic cu urmtoarele obiective:

Managementul securitii informaiei: Msurile managementului securitii

Server / Solutie INTRANET

Organizatia a definit o abordare sistematica a evaluarii riscului in procedura intern pentru

Pentru abordarea sistematic a evalurii riscurilor sunt ndeplinite urmtoarele:

Cresc Cresc Afecteza

Masuri de Reduc Afecteza

Cerinte de Valoare bunuri

Fiecare responsabil de proces (coordonator de unitate funcional) a identificat resursele de

Resursele de valoare sunt grupate conform urmatoarelor categorii (de ex :):

Stabilirea valorii resurselor i a operaiunilor

Identificarea factorilor de risc

Pentru identificarea factorilor de risc se ntocmete o list a tuturor ameninrilor aplicabile,

Pentru calcularea riscului se definesc, n continuare:

Probabilitatea riscului (probalilitatea exploatrii vulnerabilitii),

Nivelul vulnerabilitatii (poate s apar un incident pentru ca vulnerabilitatea

Nivelul riscului este o funcie de probabilitatea de producere a unui eveniment nedorit i de

Pentru exemplificare, a fost realizat o matrice 3x3 corespunztoare urmtoarelor niveluri de

Exemplu matrice niveluri de risc

MARE Risc Mediu Risc Mare Risc Mare

MEDIE Risc Mic Risc Mediu Risc Mare

NEGLIJABIL Risc Mic Risc Mic Risc Mediu

NEGLIJABIL SLAB MARE

Activiti necesare identificrii i evalurii riscurilor i a msurilor de securitate

Conductorii structurilor organizatorice i ntreg personalul ce le compun au obligaia de a

Coordonatorul structurii organizatorice analizeaz fiecare formular Alert la risc, primit de

Revizuirea i raportarea situaiei riscurilor

n cadrul procesului de revizuire, se analizeaz dac:

Anual, conductorii structurilor organizatorice elaboreaz un raport cu privire la desfurarea

Stabilirea limitelor de toleran (tolerana la risc)

Anual, pn la finele lunii februarie, conductorul fiecrei structuri organizatorice, ntocmete

Concluzii analiza riscuri

In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:

1. Definirea evenimentelor critice

5. Restaurarea serviciilor (RTO - Recovery Time Objective)

6. Pierderile de date (RPO - Recovery Point Objective)

Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice

Categorie Valoare Valoare Valoare Masuri de

ANEXA 1 la registrul riscurilor

S-ar putea să vă placă și