Smsi Riscul de Securitat Ea Informatiei PDF

Întreprinzător în Mileniul Trei
INTRODUCERE IN
MANAGEMENTUL RISCULUI
Vă sprijinim să deveniţi întreprinzător în mileniul trei!

Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Întreprinzător în Mileniul Trei,
spaţiul virtual al întreprinzătorilor care au ales să se
conecteze la mediul de afaceri european!
Cultură antreprenorială, competenţă managerială

tehnologia informaţiei în afaceri!

Conceptul de management al riscului
“Pericol eventual, mai mult sau mai puţin previzibil”

Noul dicţionar explicativ al Limbii Române, Editura Litera Internaţional, 2002
“Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un

necaz sau de suportat o pagubă”
Dicţionar explicativ al Limbii Române, Academia Română, Institutul de Lingvistică

"Iorgu Iordan", Editura Univers Enciclopedic, 1998

“Incertitudinea …care afecteaza posibilitatea atingerii obiectivelor”
British Standards Institute (BSI), standardul

6079-3/2000
“Un eveniment sau o conditie incerta care, daca apare, are un efect
pozitiv sau negativ asupra obiectivelor proiectului. Riscul proiectului
include atat amenintarile asupra obiectivelor cat si oportunitatile de a
imbunatati aceste obiective.”
Project Management Institute (PMI), PMBoK

(editia 2000 republicata in 2004)

“Masura a neconcordantei dintre diferite rezultate posibile, mai mult

sau mai putin favorabile sau nefavorabile intr-o actiune viitoare”.
Dictionarul Enciclopedic Managerial, Editura Academica de

Management
Institutul pentru Managementul Riscului utilizeaza definitia din

ISO/IEC Guide 73: “Combinatia dintre probabilitatea de aparitie a unui
eveniment si consecintele acestuia”

Din punct de vedere economic

Stare in care exista probabilitatea aparitiei unei variatii adverse in
raport cu un obiectiv definit de o organizatie
(legat de modificarile produse la nivelul veniturilor, costurilor, sau
volumului de productie).
Din punct de vedere financiar

Relatie intre o entitate (individ, organizatie) si un activ ce poate fi
pierdut sau poate fi deteriorat.

Din punct de vedere al domeniului asigurarilor

Produsul dintre o pierdere posibila si probabilitatea de aparitie a
acesteia, produs cunoscut ca “expunere la risc”.
Din punct de vedere al managementului de proiect

Probabilitate a aparitiei unui eveniment si impactul acestui
eveniment asupra obiectivelor unui proiect.

Din punct de vedere al stiintelor mediului

Posibilitatea aparitiei de efecte negative asupra componentelor mediului,
ca urmare a unor agenti daunatori sau a unor fenomene naturale cu
efecte dezastruoase.
Din punct de vedere al sanatatii si securitatii umane

Probabilitatea de modificare a starii de sanatate a indivizilor ca urmare a
expunerii la unul sau mai multi factori de risc externi, interni sau de mod
de viata.
Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”

Conceptul de risc informational
Din punct de vedere informational

Raportarea la o stare in care principalele proprietati ale informatiei ar
putea sa fie afectate: confidentialitate, integritate, disponibilitate. Pot fi
de asemenea implicate si alte proprietati ale informatiei: autenticitate,
responsabilitate, non-repudiere, fiabilitate. Informatia trebuie privita in
totalitatea ei, independent de suportul pe care circula.
Managementul riscului - activitati coordonate pentru

directionarea si controlul organizatiei cu privire la riscuri
(conform ISO/IEC 73)

Istoric
Dezvoltarea Risk Management (RM) ca disciplina incepe dupa 1900:

-1900 Uraganul Galveston, schimba abordarea asupra previziunilor
meteo
-1920 British Petroleum infiinteaza Tanker Inshurance Company
-1921 primele publicatii, “Risc, Uncertainty and Profit”, Frank Knight si
“A Treatise on Probability”, Maynard Keyes
-Diverse publicatii, nu foarte numeroase, in special in zona
investitionala, financiara, asigurari
-1950 se consacra termenul de Management al Riscului si incep sa se
infiinteze functii de MR in organizatii

Istoric
-1962 apare prima publicatie care incurajeaza opinia publica sa ia in

considerare degradarea mediului “The silent spring”, Rachel Carson
-1970 infiintarea “Agentiei de Protectie a Mediului” in SUA
-1973 Asociatia de la Geneva incepe sa acorde stimulente intelectuale
pentru promovarea Managementului Riscului
-1975 se infiinteaza “Risk & Insurance Management Society” -
(RIMS)
-1980 in Washington se infiinteaza “Societatea de Analiza a
Riscului” - SRA, acumuleaza pana in anul 1999 2200 membri
http://www.sra.org/

Istoric
-1986 se infiinteaza la Londra “Institutul de Management al

Riscului” – IRM orientat catre sustinere si formare, lanseaza un
program educational intensiv (http://www.theirm.org)
-1995 apare primul “Risk Management Standard” revizuit ulterior, in
1999
-1996 se infiinteaza “The Global Association of Risk
Professionals” – GARP, cu orientare catre zona financiar-bancara,
desfasoara activitati aproape exclusiv prin Internet, devine pana in
2002 cea mai mare asociatie (cu 5000 contribuabili si 17000 membri
asociati) (http://www.garp.com)
Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”

Istoric
ISO 31000:2009, Risk management - Guidelines on principles and

implementation of risk management
BS 6079-3:2000, Guide to the Management of Business Related
Project Risk
SR EN/ISO CEI 27001:2005, Tehnologia informatiei - Tehnici de
securitate -Sisteme de management al securitatii informatiei. Cerinte
SR EN/ISO CEI 27002:2007, Tehnologia informatiei - Tehnici de
securitate - Cod de buna practica pentru managementul securitatii
informatiei
ISO/IEC 27005:2008, Information technology - Security techniques -
Information security risk management (inlocuieste 13335-2,3,4)

Standarde si documente de referinta
ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines

for use in standards (www.iso.ch)
ISO/IEC 18044:2004, Information technology - Security Techniques -
Information Security Incident Management.
- ISO/IEC 18028:2006, Information technology - Security techniques -
IT network security
- ISO/IEC 15408-1: 2005, Information technology - Security techniques
- Evaluation criteria for IT security (criterii comune)

Standarde si documente de referinta
-CobIT, Control Objectives for Information and Related

Technology, elaborat de ISACA (Information System Audit and Control
Asociation (www.isaca.org). Colectie de bune practici in domeniul IT.
- ITIL, IT Infrastructure Library, OGC - Office of Government
Commerce, echivalent cu ISO/ IEC 20000:2005 Information
technology - Service management (www.iso.ch), de asemenea o
colectie de bune practici orientat insa inspre gestionarea SLA.
- ITBPM, IT Baseline Protection Manual elaborat de Federal Office
for Security in Information Technology (FSI), Germania
(http://bsi.bund.de)

Definitii
Determinarea riscului - procesul combinat de analiza si evaluare a

riscului (ISO/IEC 73)
Analiza riscului - utilizarea sistematica a informatiilor pentru

identificarea surselor si estimarea riscului (ISO/IEC 73)
Estimarea riscului – exprimare a duratei, intensitatii, dimensiunii si

capacitatii de a genera consecinte, aferente unui factor de risc
identificat, intr-o maniera cuantificata sau baneasca (Business
Dictionary)

Definitii
Evaluarea riscului - procesul de comparare a riscului estimat cu criteriile

de risc pentru determinarea semnificatiei riscului (ISO/IEC 73
Tratarea riscului - procesul de selectie si implementare a masurilor

pentru reducerea riscului (ISO/IEC 73)
Amenințare - cauza potentiala a unui incident nedorit care poate produce

daune unui sistem sau unei organizații (ISO/IEC 13335-1)
Vulnerabilitate - slabiciune a unei resurse sau grup de resurse care

poate fi exploatata de una sau mai multe amenintari (ISO/IEC 13335-1)

Definitii
Impact - daunele cauzate de un incident
Bun (Asset) - valoare pentru organizatie, activitatea organizatiei si

continuitatea acesteia (ISO/IEC 13335-1)
Masura de control - practica, procedura sau mecanism care reduce

riscurile de securitate (ISO/IEC 13335-1)
Risc rezidual – riscul care ramane dupa tratarea riscului (ISO/IEC 73)
Managementul riscului - activitati coordonate pentru indrumarea si

controlul unei organizatii luand in considerare riscurile (ISO/IEC 73)

Sisteme de management al securitatii informatiei - SMSI
Riscul informational se raporteaza la

informatie si la capacitatea acesteia de a fi
mentinuta in conditii de securitate.
Atat riscul cat si securitatea informatiei se

raporteaza la proprietatile informatiei:
confidentialitate, integritate, disponibilitate,
responsabilitate, autenticitate, non-
repudiere, fiabilitate.

SMSI este parte a intregului sistem de management care are in centru

o abordare a riscului afacerii folosita pentru a stabili, implementa,
functiona, monitoriza, revizui, mentine si imbunatati securitatea
informatiei.
Stabilirea unui SMSI intr-o organizatie are in centrul tuturor

demersurilor realizarea proceselor adecvate de management al
riscului informational in vederea asigurarii securitatii informatiei.

DEFINITION OF ISMS POLICY

Policy
SCOPE DEFINITION Scope of the ISMS
RISK MANAGEMENT
RISK ASSESSMENT
Assets, threats, List of assessed
vulnerabilities, RISC ANALYSIS risks
impacts
RISK EVALUATION Identified
Risc management weaknesses of assets
strategy
RISC TREATMENT
Risc treatment plans
Strength of
Additional controls SELECTION OF CONTROLS controls and
implementation
DECLARATION OF
APPLICABILITY
Prelucrare dupa ENISA, European Network for Information Security

exploateaza
AMENINTARI VULNERABILITATI
protejeaza de cresc cresc expun
MASURI DE scad BUNURI

RISC
CONTROL
impun indica cresc au
CERINTE DE
IMPACT
PROTECTIE

- Confera incredere actionarilor si in general tuturor stakeholderilor

- Stimulează informarea continua cu privire la noutatile aparute
- Stimuleaza asigurarea conformitatii cu reglementarile aplicabile
- Ajuta la focalizarea activitatilor de audit
- Promoveaza imbunatatirea continua
- Imbunatateste procesul de gestionare si prevenire a incidentelor

PLAN
- identificarea riscului
- cuantificarea riscului in raport cu
- impactul materializarii sale asupra afacerii
- probabilitatea de aparitie
- identificarea masurilor necesare pentru a aduce
riscul in limite acceptabile
DO ACT
- implementarea masurilor de tratare - imbunatatirea masurilor de tratare a
a riscurilor riscurilor tinand cont de schimbarile
- instruirea conducerii si a personalului de situatie din contextul organizational
in general cu privire la riscurile - imbunatatirea continua a procesului in
identificate si masurile stabilite ansamblu
CHECK
- monitorizarea si reevaluarea
rezultatelor masurilor aplicate, a
eficacitatii si eficientei procesului
Analiza riscului informational
Impactul pe care o amenintare il creeaza prin exploatarea unei

vulnerabilitati ar trebui analizat din perspectiva obiectivelor securitatii
informatiei: integritate, disponibilitate, confidentialitate.
Mare pierderi materiale cu costuri foarte mari; pierderi foarte

importante de imagine, reputatie, etc; pierderi foarte importante la nivel
de securitate si sanatate in munca
Mediu pierderi materiale cu costuri semnificative; pierderi
semnificative de imagine, reputatie, etc; pierderi la nivel de securitate
si sanatate in munca
Scazut pierderi materiale neimportante; oarecare atingere de imagine,
reputatie, etc;

Analiza riscului informational
RISK ASSESSMENT
RISK ANALISYS
RISK IDENTIFICATION
Likelihood determination
Impact analysis RISK ESTIMATION
Magnitude of impact
definition
RISK EVALUATION
Assessment
satisfactory?
Prelucrare dupa ISO CEI 27005: 2008

Exemplu estimare: abordare detaliata consecinte-impact- probabilitate, masurare calitativa

Exemplu estimare : abordare detaliata valoare bunuri-vulnerabilitate-probabilitate, masurare
calitativa

Tratarea riscului informational
Cei 4T - “Terminate, Tolerate, Treat, Transfer”
Mare TRANSFER TERMINARE
Impact
Mic TOLERARE TRATARE
Mica Mare
Probabilitate de aparitie

Pentru fiecare dintre riscurile determinate este necesara o

decizie de tratare. Optiuni posibile:
- Evitarea riscurilor prin interzicerea actiunilor care ar putea cauza

aparitia riscurilor (Terminare)
- Acceptarea constienta si obiectiva a riscului conform politicii si
criteriilor de acceptare a riscurilor stabilite de organizatie (Tolerare)
- Aplicarea masurilor adecvate de securitate pentru reducerea riscului
(Tratare)
- Transferul riscurilor catre terte parti, e.g. asiguratori sau furnizori de
servicii (Transfer)

Terminare
Transfer
Tratare
Impact
Tolerare
<1% 1-5% 5-10% 10-20% 20-30% 30-70% 70%
Probabilitate de apariție

Pentru riscurile pentru care s-a luat decizia de tratare trebuie

luate masuri de reducere a riscurilor la un nivel acceptabil.
Controalele pot fi selectate din acest standard sau din alte seturi de
controale, pot fi proiectate noi controale pentru a îndeplini nevoile
specifice organizatiei
Trebuie recunoscute controalele care nu pot fi aplicate la fiecare

sistem sau mediu de informatii si care nu sunt utilizabile pentru toate
organizatiile

Masurile care se stabilesc pentru tratarea riscurilor depind de

urmatorii factori:
- Riscul identificat (tratat, asociat, rezidual)

- Cerinţele legale, reglementate, contractuale, alte constrangeri de
natura legala
- Nivelul de securitate stabilit
- Costurile stabilite ca fiind acceptabile
- Cerintele clienţilor
- Usurinta implementarii
- Intretinerea controalelor selectate

Acceptarea riscului informational
Organizatia trebuie sa-si defineasca nivelul propriu de acceptare a

riscului.
Premise
- Nu este o abordare realista luarea in considerare a tuturor riscurilor
existente în organizatie.
- Nici un sistem informatic nu poate fi 100% sigur.
- Resursele alocate pentru tratarea riscului sunt limitate.
Dacă riscul este peste acest nivel acceptat, trebuie sa se implementeze

măsuri de securitate.

Daca riscul este sub acest nivel, organizaţia trebuie să accepte

existenţa riscului.
Reguli
Acceptarea nivelului riscului trebuie sa fie asumat de managementul de
top.
Riscul rezidual trebuie sa fie inregistrat in raportul de evaluare a riscurilor
si trebuie sa fie asumat de managementul de varf.

Daca riscul este sub acest nivel, organizaţia trebuie să accepte

existenţa riscului.
Reguli
- Acceptarea nivelului riscului trebuie sa fie asumat de managementul de
top.
- Riscul rezidual trebuie sa fie inregistrat in raportul de evaluare a
riscurilor si trebuie sa fie asumat de managementul de varf.


Smsi Riscul de Securitat Ea Informatiei PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Smsi Riscul de Securitat Ea Informatiei PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Întreprinzător în Mileniul Trei

Vă sprijinim să deveniţi întreprinzător în mileniul trei!

Cultură antreprenorială, competenţă managerială

Proiect cofinanţat din Fondul Social European prin

“Pericol eventual, mai mult sau mai puţin previzibil”

“Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un

Dicţionar explicativ al Limbii Române, Academia Română, Institutul de Lingvistică

Proiect cofinanţat din Fondul Social European prin

“Incertitudinea …care afecteaza posibilitatea atingerii obiectivelor”

British Standards Institute (BSI), standardul

Project Management Institute (PMI), PMBoK

Proiect cofinanţat din Fondul Social European prin

“Masura a neconcordantei dintre diferite rezultate posibile, mai mult

Dictionarul Enciclopedic Managerial, Editura Academica de

Institutul pentru Managementul Riscului utilizeaza definitia din

Proiect cofinanţat din Fondul Social European prin

Din punct de vedere economic

Din punct de vedere financiar

Proiect cofinanţat din Fondul Social European prin

Din punct de vedere al domeniului asigurarilor

Din punct de vedere al managementului de proiect

Proiect cofinanţat din Fondul Social European prin

Din punct de vedere al stiintelor mediului

Din punct de vedere al sanatatii si securitatii umane

Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”

Proiect cofinanţat din Fondul Social European prin

Din punct de vedere informational

Managementul riscului - activitati coordonate pentru

Proiect cofinanţat din Fondul Social European prin

Dezvoltarea Risk Management (RM) ca disciplina incepe dupa 1900:

Proiect cofinanţat din Fondul Social European prin

-1962 apare prima publicatie care incurajeaza opinia publica sa ia in

Proiect cofinanţat din Fondul Social European prin

-1986 se infiinteaza la Londra “Institutul de Management al

Proiect cofinanţat din Fondul Social European prin

ISO 31000:2009, Risk management - Guidelines on principles and

Proiect cofinanţat din Fondul Social European prin

ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines

Proiect cofinanţat din Fondul Social European prin

-CobIT, Control Objectives for Information and Related

Proiect cofinanţat din Fondul Social European prin

Determinarea riscului - procesul combinat de analiza si evaluare a

Analiza riscului - utilizarea sistematica a informatiilor pentru

Estimarea riscului – exprimare a duratei, intensitatii, dimensiunii si

Proiect cofinanţat din Fondul Social European prin

Evaluarea riscului - procesul de comparare a riscului estimat cu criteriile

Tratarea riscului - procesul de selectie si implementare a masurilor

Amenințare - cauza potentiala a unui incident nedorit care poate produce

Vulnerabilitate - slabiciune a unei resurse sau grup de resurse care

Proiect cofinanţat din Fondul Social European prin

Impact - daunele cauzate de un incident

Bun (Asset) - valoare pentru organizatie, activitatea organizatiei si

Masura de control - practica, procedura sau mecanism care reduce

Managementul riscului - activitati coordonate pentru indrumarea si

Proiect cofinanţat din Fondul Social European prin

Riscul informational se raporteaza la

Atat riscul cat si securitatea informatiei se

Proiect cofinanţat din Fondul Social European prin

SMSI este parte a intregului sistem de management care are in centru

Stabilirea unui SMSI intr-o organizatie are in centrul tuturor

Proiect cofinanţat din Fondul Social European prin

DEFINITION OF ISMS POLICY

SCOPE DEFINITION Scope of the ISMS