S.C. ................ S.R.L.

EVALUAREA RISCURILOR

PROCEDURA ESTE PROPRIETATEA ……………..

SI COPIEREA NEAUTORIZATA NU ESTE ADMISA

PS_ER 26.08.2020 Pagina 1/23

 S.C. ................ S.R.L.

CUPRNIS

EVALUAREA RISCURILOR – REVIZUIRE................................................................................................3

1.0 Introducere............................................................................................................................4
1.1. Scop........................................................................................................................................4
2.0 Metodologia de evaluare a riscurilor..................................................................................5
2.1 Identificarea resurselor sistemului......................................................................................5
2.2 Analizarea amenintarilor sistemului...................................................................................6
2.3 Analizarea Vulnerabilitatilor Sistemului..........................................................................10
3.0 Descrierea Sistemului.........................................................................................................12
3.1 Senzivitivatea informatiilor...............................................................................................12
3.2 Natura misiunii sistemului.................................................................................................15
4.1 Impactul..............................................................................................................................16
4.2 Probabilitatea producerii...................................................................................................18
4.3 Nivelul riscului....................................................................................................................20
5.0 Rezultatele Evaluarii Riscului...........................................................................................21
5.1 Rezumatul Riscului.............................................................................................................21
5.2 Masuri de securitate necesare............................................................................................22

PS_ER 26.08.2020 Pagina 2/23

 S.C. ................ S.R.L.

1.0 EVALUAREA RISCURILOR – REVIZUIRE

Evaluarea riscului a fost updatata si aprobata in datele de mai jos, pentru ultimele schimbari.
Evaluarea va fi facuta cel putin o data pe an.
Data Aprobarii Nume Ofiter de securitate Semnatura Ofiter de Securitate

PS_ER 26.08.2020 Pagina 3/23

 S.C. ................ S.R.L.

2.0 Introducere

Evaluarea Riscurilor reprezinta un instrument important pentru managerii sistemelor IT utilizat in vederea
determinarii securitatii sistemelor pe care le administreaza, a pierderilor sau avarierii potentiale ale
operatiilor organizatiei sau a misiunii acesteia. Evaluarea riscului furnizeaza managementului capacitatea de
a:

 Implementa un nivel adecvat de securitate pentru sistemele si aplicatiile IT.

 Se conforma cerintelor de securitate a informatiilor.
 Satisface necesitatile clientilor si ale partenerilor cu privire la securitatea informatiilor.
 Stabili un nivel acceptabil de risc.

Riscul nu poate fi eliminat totalitate, dar poate fi minimizat prin implementarea masurilor de securitate IT.
Decizia privind nivelul riscului acceptabil se va baza pe revizuirea de catre management a masurilor de
securitate necesare pentru diminua riscul fata de impactul potential al implementarii masurilor respective pe
resursele si sistemele disponibile. Evaluarea riscurilor identifica nivelul curent de risc pentru sistem si
furnizeaza recomandari privind diminuarea riscului pentru management.

Evaluarea riscului descrie vulnerabilitatile si amenintarile asociate, conform ghidurilor elaborate de NIST
(National Institute of Standards and Tehnology).

2.1. Scop

Aceasta metodologie a fost elaborata pentru a ghida detinatorii de sisteme si autorii de evaluari ale riscului,
in procesul de evaluare a riscului privind securitatea IT.
Obiectivele procesului de ER sunt:
- Identigicarea si clasificarea gradului de sensibilitate al informatiilor utilizate
- Identificarea Confidentialitatii, Integritatii si Disponibilitatii (CID)
- Identificarea amenintarilor
- Identificarea masurilor de securitate curente implementate pentru diminuarea riscului
- Prioritizarea riscurilor, analizarea fezabilitatii si eficientei masurilor de siguranta recomandate si
dezvoltarea unui plan de implementare.

Identificarea, documentarea si implementarea masurilor de securitate aditionale sau diferite fata de cele
existente, necesare pentru protejarea si conservarea CID, reprezinta finalul procesului de evaluare a riscului.

Procesul de evaluare a riscului privind securitatea informatica a functiilor de afacere reprezinta un sprijin
pentru identificarea cerintelor de securitate ce rezulta din riscurile de securitate, clarificand masura in care
poate fi afectata o functie de afacere in cazul exploatarii unui risc.

PS_ER 26.08.2020 Pagina 4/23

 S.C. ................ S.R.L.

3.0 Metodologia de evaluare a riscurilor

Metodologia de evaluare a riscurilor este compusa din patru etape distincte:

 Analizarea riscurilor resurselor, controalelor, amenintarilor si vulnerabilitatilor.

 Deciziile managementului de a implementa masuri de securitate si de a accepta riscul residual.
 Implementarea masurilor de protectie.
 Revizuirea periodica a programului de management al riscului.

Prezentul document face referire la prima faza, care furnizeaza elementele necesare pentru celelalte faze
ramase. Analizarea detaliata a amenintarilor, vulnerabilitatilor si a riscurilor, contine:

 Identificarea bunurilor: Resursele sistemului care necesita protectie

 Sursa amenintarilor si identificarea vulnerabilitatilor: Puncte slabe in designul sistemului,

procedurile de securitate ale sistemului, implementare si masuri interne care ar poutea fi exploatate
de catre operatorii autorizati sau de catre intrusi.

 Identificarea amenintarilor: Amenintarile cunoscute care pot afecta sistemul evaluat.

Inainte de evaluarea riscurilor, trebuie identificate cerintele de securitate. Cerintele de securitate sunt
determinate de politica aplicabila, ghidurile tehnice si administrative. Totodata, trebuie identificate cerintele
de securitate specifice hardware-ului, software-ului si sistemului de operare. Evaluarea riscului se
efectueaza pentru identificarea masurilor tehnice, operationale si de management si a altor masuri
corespunzatoare necesare pentru protejarea sistemului.

2.1 Identificarea resurselor sistemului

Identificarea resurselor sistemului este necesara pentru determinarea amenintarilor, vulnerabilitatilor si

riscurilor sistemului, si pentru stabilirea nivelului corespunzator de securitate. Identificarea resurselor
inseamna:

 Identificarea documentatiei si arhitecturii sistemului

 Identificarea sistemului si a resurselor sale, inclusive hardware, software si a echipamentelor
auxiliare
 Identificarea interfetelor sistemului (externe si interne)
 Identificarea granitelor sistemului.

Dupa determinarea resurselor, se face identificarea cerintelor de securitate ale sistemului prin stabilirea
cerintelor de senzitivitate ale sistemului si a severitatii acestuia (impactul pierderii sistemului), in
conformitate cu confidentialitatea, integritatea si disponibilitatea datelor sistemului. Trebuie protejate cele
trei atribute ale resurselor:
1. Confidentialitatea: Protectia impotriva divulgarii neautorizate.
2. Integritatea: Protectia impotriva modificarilor neautorizate, neanticipate sau neplanuite.
3. Disponibilitatea: Resursele trebuie sa fie disponibile pentru indeplinirea sarcinilor atribuite si pentru
evitarea pierderilor substantiale.

Mediul sistemului este definit prin arhitectura sistemului si prin locatia fizica in care acesta este amplasat.
Mediul sistemului include accesul fizic si electronic la resursele sistemului.

PS_ER 26.08.2020 Pagina 5/23

 S.C. ................ S.R.L.

Severitatea impactului se calculeaza prin pierderea potentiala a confidentialitatii, integritatii si/sau a

disponibilitatii sistemului, care afecteaza resursele sau informatiile acestuia. Impactul se masoara prin
pierderea functionalitatii sistemului sau prin incapacitatea acestuia de a efectua misiunile organizatiei,
pierderi financiare, pierderea sigurantei, pierderea increderii clientilor si a partenerilor, sau dezvaluirea
neautorizata a datelor.
Nivelul de risc este determinat de evaluarea resurselor sistemului, cerintelor sistemului si a informatiilor
depozitate, procesate sau tranportate de catre sistem. Nivelul de risc este determinat folosind o evaluarea
calitativa a confidentialitatii, integritatii si disponibilitatii sistemului, dupa cum urmeaza: mare, mediu sau
mic. Senzitivitatea resurselor sistemului va fi evaluata in capitotlul 3.6.

3.1. Analizarea amenintarilor sistemului

Sursele amenintarilor reprezinta orice eveniment, process, activitate sau actiune care ar putea cauza o
avariere potentiala a sistemului sau care ar putea exploata o vulnerabilitate pentru a ataca o resursa. O
amenintare este orice forta sau fenomen care ar putea afecta confidentialitatea, integritatea sau
disponibilitatea unei resurse. Capacitatile, intentiile si metodele de atac ale unei entitati ostile care ar puta
avaria sistemul trebuie identificate si evaluate.
Sursa unei amenintari este in mod normal cunoscuta, si include elemente de natura fizica, naturala, de mediu
sau umana si poate afecta reteaua sau un computer cand nu sunt implementate masuri corespunzatoare de
protectie.
Cele mai intalnite surse ale amenintarilor sunt naturale, umane sau de mediu. In procedeul de evaluare a
surselor amenintarilor, trebuie luate in considerare toate sursele potentiale care ar putea avaria un sistem IT
sau mediul sau de procesare.

Amenintarile pot fi categorisite in trei categorii:

 Amenintari naturale: Inundatii, cutremure, tornade, alunecari de teren, avalanse, furtuni electrice si
alte evenimente similare.

 Amenintari umane: Evenimente care fie sunt ingaduite, fie produse de oameni, precum actiuni
involuntare (introduceri de date eronate) sau actiuni premeditate (atacuri ale retelei, uploadari de
software cu potential daunator, acces neautorizat la date confidentiale)

 Amenintari fizice si de mediu: Intreruperea curentului pe termen lung, poluare, chimicale, scurgeri
lichide.

Sistemele de telecomunicatii, retelele, sistemele de management al retelelor si sistemele informationale sunt

vulnerabile in fata multor amenintari . Amenintarea poate fi considerate stimulul, vulnerabilitatea –
slabiciunea si impactul este efectul net asupra sistemului si a informatiilor procesate, depozitate sau
transmise de catre sistem. O amenintare se poate manifesta in diverse forme, care pot fi vulnerabilitati
cunoscute sau nu. Rezultatul final al unei amenintari care valofirica o vulnerabilitate creeaza compromiterea
potentiala a resurselor organizatiei. Rezultatele amenintarilor se impart in general, in cinci categorii:
dezvaluirea neautorizata a datelor, coruperea datelor, sau distrugerea, intreruperea serviciilor, avarierea
sisteului si pierderea comunicatiilor.

PS_ER 26.08.2020 Pagina 6/23

 S.C. ................ S.R.L.

Tabel 2.1: Amenintari si Impacturile Potentiale

neautorizateModificari
serviciilorIntreruperea

neautorizata
Distrugere

Dezvaluire
Amenintare Descriere

Amenintari naturale
1 Foc/Fum Un incendiu accidental sau provocat poate avaria
√ √
echipamentele sau punctual de lucru.
2 Evenimente naturarle Toate tipurile de evenimente (cutremure, furtuni, etc.) care ar
√ √ √
putea afecta echipamentele.
3 Inundatii Inundatiile naturale sau provenite din spargerea conductelor
√ √
pot avaria echipamentele si componentele acestora.
Amenintari umane
4 Spionaj/Sabotaj/Vandalism Spionajul este incercarea de obtinere a informatiilor
confidentiale.
Sabotajul este distrugerea premeditata sau modificarea
malitioasa a unei resurse sau informatii in scopuri personale √ √ √ √
sau de alt tip.
Vandalismul este distrugerea resurselor sitemului fara un
scop anume.
5 Furt Insusirea neutorizata a unui computer, componenta sau data. √ √
6 Hacking/Inginerie sociala (Social Software-ul poate fi modificat in asa fel incat sa poata
engineering) escalada masurile de securitate, manipula informatii, sau sa
cauzeze intreruperea serviciilor. Ingineria sociala este √ √ √
interactiunea umana prin care un hacker culege informatii
pentru a le folosi in vederea manipularii sistemului.

PS_ER 07-01-2019 Pagina 7/23

 S.C. ................ S.R.L.

neautorizateModificari
serviciilorIntreruperea

neautorizata
Distrugere

Dezvaluire
Amenintare Descriere

7 Cod cu potential daunator Software-ul cu potential daunator precum virusii sau viermii
pot fi introdusi in sistem, cauzand avarierea datelor sau a √ √ √ √
software-ului.
8 Erorile utilizatorului/Omisiuni Aplicatiile si componentele sistemului pot fi modificate
necorespunzator sau distruse prin actiuni neintentionate ale √ √ √ √
administratorului sau utilizatorului.
9 Pierderi si intarzieri datorate incapacitatii de planificare, de
respectare a planurilor, politicilor sau procedurilor. √ √ √ √
Administrare gresita/Irosire
10 Dezvaluire Accesarea neautorizata intentionata a informatiilor
confidentiale de catre persoane straine sau de catre √
personalul societatii.
11 Ascultare pe furis Accesarea neautorizata intentionata a informatiilor
(Eavesdropping)/Interceptare confidentiale prin mijloace tehnice (interceptare/sniffare) sau √
de catre persoane din organizatie cu acces limitat la sistem.
12 Pierderea integritatii datelor Atacuri asupra integritatii datelor sistemului prin alterare
√
intentionata.
13 Folosire necorespunzatoare/Abuz Persoane care utilizeaza resursele sistemului pentru scopuri
√ √ √ √
neautorizate.
14 Frauda Folosirea sistemelor de catre personalul autorizat pentru
√
castiguri financiare ilegale.

PS_ER 07-01-2019 Pagina 8/23

 S.C. ................ S.R.L.

neautorizateModificari
serviciilorIntreruperea

neautorizata
Distrugere

Dezvaluire
Amenintare Descriere

Amenintari fizice si de mediu

15 Intreruperea curentului electric O pana de curent electric sau o fluctuatie de curent care ar
putea cauza intreruperea serviciilor pentru utilizatorii √ √
autorizati sau modificarea datelor.
16 Greva/Intreruperea muncii Impact advers asupra operatiilor datorita activitatilor
√
planificate bazate pe o nemultumire organizata a angajatilor.
17 Incapacitatea echipamentelor sau a Incapacitatea sau functionarea incorecta a hardware-ului
hardwareului poate cauza intreruperea serviciilor pentru utilizatorii
sistemului. De asemenea, configuratia hardware poate fi √ √ √
alterata intr-o maniera neautorizata, lucru care ar duce la o
configuratie inadecvata care ar avea afecta sistemul.
18 Erori de program/Functionare incorecta a Functionarea incorecta a software-ului datorata configurarii
√ √ √ √
software-ului insuficiente (testarea noilor versiuni, scanarea de virusi, etc.)
19 Pierderea comunicatiilor Link-urile de comunicatie pot fi intrerupte in timpul utilizarii
√ √ √
sau pot oferi masuri insuficiente de protectie.
20 Incident biologic sau chimic Intreruperea operatiilor si izolarea personalului datorate
infestarii sau imbolnavirii in urma efectelor unor agenti √ √
chimici sau biologici.

PS_ER 07-01-2019 Pagina 9/23

 EVALUAREA RISCURILOR

2.3 Analizarea Vulnerabilitatilor Sistemului

Vulnerabilitatile sunt slabiciuni ale mediului, arhitecturii, designului sau implementarii sistemului.
Vulnerabilitatile exploatate pot afecta sistemul sau informatia procesata, transportata sau depozitata de
sistem.
Analizarea vulnerabilitatilor acopera trei arii de securitate:

 Masuri administrative: masuri de protectie ce privesc managementul securitatii sistemului si

managementul riscului. Exemple de vulnerabilitati: lipsa managementului riscului, planurilor de
securitate, revizuirii masurilor de securitate.

 Masuri operationale: proceduri operationale efectuate in concordanta cu sistemul informational.

Exemple de vulnerabilitati: lipsa unui sistem de constientizare si de instruire corespunzator, a
monitorizarii evenimentelor de securitate, a masurilor fizice de securitate si securitatea
personalului, a auditarii securitatii.

 Masuri tehnice: masuride securitate care vizeaza protectia hardware-ului, software-ulu,a

arhitecturii sistemului si a comunicatiilor. Exemple de vulnerabilitati: masuri si mecanisme de
securitate insuficienteare, lipsa unui control al virusilor si a procedurilor, a controalelor de acces
si autentificare. Pentru a intelege vulnerabilitatile sitemului, trebuie intreprinse urmatoarele
activitati:

 Dezvoltarea unor chestionare detaliate

 Cercetarea amanuntita a infrastructurii
 Intervievarea utilizatorilor si administratorilor de sisteme
 Documentarea rezultatelor.

Dupa analizarea masurilor administrative, operationale si tehnice pentru sistem sunt identificate
vulnerabilitatile.

Analizarea vulnerabilitatilor sistemului, a amenintarilor associate si a impactului probabil al exploatarii

vulnerabilitatilor se materializeaza prin determinarea nivelului de risc pentru fiecare masura de securitate
care lipseste sau care este partial implementata. Nivelul de risc este determinat cu ajutorul urmatorilor
factori:

1. Probabilitatea producerii - Probabilitatea ca o amenintare sa poata exploata o vulnerabilitate a

sistemului luand in considerare mediul sistemului si alte masuri de atenuare implementate.

2. Impactul – Impactul exploatarii vulnerabilitatii de catre amenintare cuantificat in materie de

pierdere a resurselor palpabile si impactul asupra misiunii organizatiei, reputatiei sau intereselor
ei.

PS_ER 07-01-2019 Pagina 10/23

 EVALUAREA RISCURILOR

Pentru a determina toate nivelele de risc, analistul trebuie sa ia in considerare cat de importante sunt
disponibilitatea, integritatea si confidentialitatea sistemului si tipurile de avarii care ar putea fi cauzate
prin exercitarea actiunii fiecarei perechi amenintare-vulnerabilitate. Exploatarea vulnerabilitatilor ar putea
avea urmatoarele efecte asupra sistemelor si a datelor:

 Pierderea Disponibilitatii/Intreruperea Serviciilor – Accesul la sistem sau la date specifice din

sistem nu este disponibil (Resursa nu este distrusa).

 Pierderea Integritatii/Ditstrugerea si/sau Modificarea – Pierderea totala a resursei, fie prin

ditrugerea completa a sa sau prin avarierea ireparabila, sau prin efectuarea de schimbari
neautorizate, avarieri reparabil, sau schimbari ale functionarii bunului.

 Pierderea confidentialitatii/Divulgare – Expunerea datelor sensibile catre persoane sau

publicului care in mod normal nu trebuie sa cunoasca datele respective.

Analiza vulnerabilitatilor si determinarea riscului sunt discutate in capitolul 4.0, Calcularea Riscului.

PS_ER 07-01-2019 Pagina 11/23

 EVALUAREA RISCURILOR

3.0 Descrierea Sistemului

3.2. Senzivitivatea informatiilor

In tabelul de mai jos sunt descrise tipurile de informatii manevrate de sistem si necesitatea
masurilor de protectie:
.
Tabel 3.1: Categorii de informatii

Categoria
Explicatii si exemple Cerinte de securitate
informatiei

 Confidentialitate
Date referitoare la personalul societatii.
Date referitoare la Pot fi informatii despre salarii, sanatate,
 Integritate
persoane profile personale, parole, dosarul
angajatului, cazier, etc.
 Disponibilitate

Informatii Informatii financiare sau comerciale, sau

financiare, secrete comerciale (contracte, oferte  Confidentialitate
bugetare, pentru licitatii, informatii sensibile
comerciale, despre produse sau servicii). Informatii  Integritate
proprietare si despre state de plata, achizitii, inventare,
secrete comerciale etc.  Disponibilitate

Informatii legate de administratia interna

 Confidentialitate
a societatii: reguli de personal, metode
Administrative
de negociere, informatii referitoare la
(interne)  Integritate
achizitii viitoare importante.
 Disponibilitate

Informatii referitoare la investigatii ce

servesc fortelor de ordine. Informatii
Informatii pentru  Confidentialitate
precum planuri de securitate, planuri de
investigatii,
continuitate, planuri de urgenta, rapoarte
informatii de  Integritate
privind incidentele de securitate,
securitate
rapoartele investigatiilor, evaluari ale
riscului sau ale vulnerabilitatilor.  Disponibilitate

PS_ER 07-01-2019 Pagina 12/23

 EVALUAREA RISCURILOR

Categoria
Explicatii si exemple Cerinte de securitate
informatiei

Informatii desemnate drept critice pentru  Confidentialitate

misiunea organizatiei, inclusive statistici
Informatii critice
vitale sau informatii pentru operatii de  Integritate
pentru organizatie
urgenta.
 Disponibilitate

 Confidentialitate
Informatii care necesita protectie in
Informatii
timpul operatiilor.
operationale  Integritate

 Disponibilitate

 Confidentialitate
Orice informatie pentru care exista o
Alte informatii
preocupare fata de protectia ei.  Integritate
sensibile
 Disponibilitate

Orice informatie necesara operatiunilor

interne care vizeaza retelele sau
Configuratia sistemele IT, inclusive adresele IP ale  Confidentialitate
sistemului/Informat echipamenteleor, diagrama retelei si
ii despre protocoalele implementate; informatii  Integritate
managementul despre managementul retelei,
sistemului community strings (SNMP), parolele  Disponibilitate
sistemelor si configuratia acestora, etc.

 Confidentialitate
Orice informatie declarata ca fiind
Informatii publice publica de catre conducerea societatii.
 Integritate

 Disponibilitate

PS_ER 07-01-2019 Pagina 13/23

 EVALUAREA RISCURILOR

Mai jos sunt enumerate cerintele pentru protectie, respective Mare, Medie si Mica¸ conform Ghidului
de Dezvoltare al Planurilor de Securitate pentru Sistemele IT elaborate de NIST (National Institute of
Standards and Technology).

Senzitivitatea datelor este categorisita astfel:

Confidentialitate

Mare: Consecinta dezvaluirii neautorizate a datelor din sistem este inacceptabila (impact grav asupra
organizatiei). Pierderea confidentialitatii poate cauza pierderea sau degradarea capacitatii societatii de
a-si indeplini misiunea pe o perioada de timp in care nu si-ar putea exercita functiile primare; pagube
majore aduse bunurilor organizatiei; pierderi financiare majore.

Medie: Conescinta divulgarii neautorizate a datelor din sistem este partial acceptabila. Pierderea
confidentialitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini misiunea pe
o perioada de timp in care si-ar putea exercita functiile primare, la un nivel redus insa; pagube
semnificative aduse bunurilor organizatiei; pierderi financiare semnificative.

Mica: Conescinta divulgarii neautorizate a datelor din sistem este acceptabila. Pierderea
confidentialitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini misiunea pe
o perioada de timp in care si-ar putea exercita functiile primare, la un nivel acceptabil; pagube minore
aduse bunurilor organizatiei; pierderi financiare minore.

Integritate

Mare: Consecinta coruperii sau modificarii neautorizate a datelor din sistem este inacceptabila (impact
grav asupra organizatiei). Pierderea integritatii poate cauza pierderea sau degradarea capacitatii
societatii de a-si indeplini misiunea pe o perioada de timp in care nu si-ar putea exercita functiile
primare; pagube majore aduse bunurilor organizatiei; pierderi financiare majore.

Medie: Consecinta coruperii sau modificarii neautorizate a datelor din sistem este partial acceptabila.
Pierderea integritatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini
misiunea pe o perioada de timp in care si-ar putea exercita functiile primare, la un nivel redus insa;
pagube semnificative aduse bunurilor organizatiei; pierderi financiare semnificative.

Mica: Consecinta coruperii sau modificarii neautorizate a datelor din sistem este acceptabila. Pierderea
integritatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini misiunea pe o
perioada de timp in care si-ar putea exercita functiile primare, la un nivel acceptabil; pagube minore
aduse bunurilor organizatiei; pierderi financiare minore.

PS_ER 07-01-2019 Pagina 14/23

 EVALUAREA RISCURILOR

Disponibilitate

Mare: Consecinta pierderii sau distrugerii accesului la resursele sau datele sistemului este inacceptabila
(impact grav asupra organizatiei). Pierderea disponibilitatii poate cauza pierderea sau degradarea
capacitatii societatii de a-si indeplini misiunea pe o perioada de timp in care nu si-ar putea exercita
functiile primare; pagube majore aduse bunurilor organizatiei; pierderi financiare majore.

Medie: Consecinta pierderii sau distrugerii accesului la resursele sau datele sistemului este partial
acceptabila. Pierderea disponibilitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si
indeplini misiunea pe o perioada de timp in care si-ar putea exercita functiile primare, la un nivel redus
insa; pagube semnificative aduse bunurilor organizatiei; pierderi financiare semnificative.

Mica: Consecinta pierderii sau distrugerii accesului la resursele sau datele sistemului este acceptabila.
Pierderea disponibilitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini
misiunea pe o perioada de timp in care si-ar putea exercita functiile primare, la un nivel acceptabil;
pagube minore aduse bunurilor organizatiei; pierderi financiare minore.

3.3. Natura misiunii sistemului

Natura esentiala a sistemului se refera la informatiile si caile de comunicatii utilizate sau operate de
catre organizatie pentru care pierderea, utilizarea gresita, divulgarea sau accesarea neautorizata ar avea
un impact grav asupra misiuni organizatiei.

Natura secundara a sistemului presupune ca pierderea, utilizarea gresita, divulgarea sau accesarea
neautorizata a informatiilor ar avea un impact minor asupra eficientei operatiilor desfasurate zilnic.

Natura sistemului este (se alege una din cele doua variante). Clasificarea se bazeaza pe descrierile din
tabelul de mai jos.

PS_ER 07-01-2019 Pagina 15/23

 EVALUAREA RISCURILOR

4.0 Calcularea riscului

In acest capitol sunt analizate vulnerabilitatile, amenintarile care pot exploata vulnerabilitatile si
impactul probabil al exploatarii vulnerabilitatilor. Sunt considerate vulnerabilitati si bresele descoperite
in urma implementarii insuficiente a masurilor de securitate.
Analizarea vulnerabilitatilor sistemului, a amenintarilor care pot exploata vulnerabilitatile si a
impactului probabil rezultat in urma exploatarii, conduce la evaluarea riscului pentru fiecare masura de
securitate partial implementata. Nivelul de risc va fi determinat folosind urmatorii factori:
1. Impactul exploatarii vulnerabilitatii de catre amenintare calculate in termeni de pierderi
palpabile ale resurselor si impacul asupra misiuni, reputatiei si intereselor organizatiei.
2. Probabilitatea petrecerii evenimentului (exploatarii vulnerabilitatii de catre amenintare), luand
in considerare mediul sistemului, frecventa amenintarii si alte masuri diminuatoare implementate.

Mai jos sunt descrise aria impactului potential si felul in care au fost determinate valorile pentru cei doi
factori, magnitudinea impactului si probabilitatea petrecerii si nivelul de risc. Factorii utilizati sunt
conform Ghidului pentru Managementul Riscului pentru Sistemele IT elaborat de NIST.

4.1 Impactul
Analiza impactului se refera la nivelele de impact associate cu compromiterea unei resurse
informationale a organizatiei, calculate in baza unei evaluari calitative si cantitative a senzitivitatii si
importantei acestor resurse. Senzitivitatea sistemului si a datelor poate fi determinata prin prisma
nivelelor de protectie necesare pentru mentinerea disponibilitatii, integritatii si confidentialitatii
sistemului si a datelor.
Pentru a determina toate nivelele de risc, analistul trebuie sa ia in considerare cat de importante sunt
disponibilitatea, integritatea si confidentialitatea sistemului si tipurile de avarii care ar putea fi cauzate
prin exercitarea actiunii fiecarei perechi amenintare-vulnerabilitate.

Valorile cantitative ale senzitivitatii sistemului in functie de magnitudinea impactului sunt:

Mare – 100
Mediu – 50
Mic – 10

Conform ghidului NIST (tabel 4.1)

PS_ER 07-01-2019 Pagina 16/23

 EVALUAREA RISCURILOR

Tabel 4.1: Definitii

Nivelul Descrierea impactului

impactului/Valoare

Exploatarea vulnerabilitatii ar avea urmatoarele efecte:

a. pierderi costisitoare substantiale ale resurselor
Mare (100) majore;
b. incalcarea, avarierea sau impiedicarea misunii,
reputatiei, sau intereselor organizatiei;
Exploatarea vulnerabilitatii ar avea urmatoarele efecte:
Mediu (50) c. pierderi costisitoare ale resurselor majore;
d. incalcarea, avarierea sau impiedicarea misunii,
reputatiei, sau intereselor organizatiei;
Exploatarea vulnerabilitatii ar avea urmatoarele efecte:
Mic (10) e. pierderi unor resurse;
f. afectarea misiunii, reputatiei sau intereselor
organizatiei

Exploatarea vulnerabilitatilor definite in capitolul 2.2 ar putea avea urmatoarele efecte asupra sistemelor si a
datelor, conform impactului potential definit in tabela 2.1.

 Pierderea Disponibilitatii/Intreruperea Serviciilor – Accesul la sistem sau la date specifice din sistem
nu este disponibil (Resursa nu este distrusa).

 Pierderea Integritatii/Ditstrugerea si/sau Modificarea – Pierderea totala a resursei, fie prin

ditrugerea completa a sa sau prin avarierea ireparabila, sau prin efectuarea de schimbari
neautorizate, avarieri reparabil, sau schimbari ale functionarii bunului.

 Pierderea confidentialitatii/Divulgare – Expunerea datelor sensibile catre persoane sau

publicului care in mod normal nu trebuie sa cunoasca datele respective.

In tabelul 4.2 sunt enumerate obiectivele de securitate (disponibilitatea, integritatea si

confidentialitatea) pentru valorile maxime ale impactului asupra sistemului.

PS_ER 07-01-2019 Pagina 17/23

 EVALUAREA RISCURILOR

Tabel 4.2: Impactul Amenintarii si enumerarea Obiectivelor de Securitate

Valoarea
Valorile senzitivitatii
Impactul amenintarii maxima a
securitatii
impactului
Pierderea
Disponibilitatii/Intreruperea Disponibilitate (D)
Serviciilor
Pierderea Integritatii/Ditstrugerea
Integritate (I)
si/sau Modificarea
Pierderea
Confidentialitate (C)
confidentialitatii/Divulgare

Impactul unei exploatari specifice a unei vulnerabilitati de catre o amenintare este determinat
prin adaugarea valorilor impactului pentru o amenintare data. Formula pentru Impactul
amenintarii este:
Impact = D + I + C

In functie de natura senzitivitatii securitatii mediului, valoarea totala posibila a impactului este
300. De exemplu, daca Amenintarea nr.1 (Foc) este atribuita unei vulnerabilitati specifice,
impactul amenintarii poate fi Intreruperea Serviciilor si Distrugere. De aceea, valiarea
impactului pentru perechea amenintare-vulnerabilitate este 100. Daca exista amenintari multiple
aferente unei singure vulnerabilitati, atunci amenintarea cu cel mai mare impact este folosita
pentru determinarea valorii totale a impactului.
4.2 Probabilitatea producerii
Probabilitatea ca o amenintare sa exploateze o vulnerabilitate si sa cauzeze o paguba pentru
fiecare dintre ariile impactului listate mai sus a fost determinata in baza urmatorilor factori:
frecventa amenintarii si existenta masurilor diminuatorii. Probabilitatea petrecerii a fost
determinata din punct de vedere calitativ ca fiind: mare, medie sau mica, dupa criteriile din
tabelul 4.3:

PS_ER 07-01-2019 Pagina 18/23

 EVALUAREA RISCURILOR

Tabel 4.3: Criterii de evaluare pentru probabilitatea producerii

Valoare Descrierea probabilitatii de producere

Sursa amenintarii este indeajuns de motivata si suficient de capabila, iar masurile de

Mare prevenire a exploatarii vulnerabilitatii sunt ineficiente.

Sursa amenintarii este motivate si capabila, dar masurile implementate ar putea

Medie impiedica exploatarea vulnerabilitatii.

Sursa amenintarii nu este nici motivate nici capabila, si masurile implementate pot
Mica preveni sau impiedica semnificativ exploatarea vulnerabilitatii

In conformitate cu ghidul NIST, a fost desemnata o valoare numerica pentru fiecare

probabilitate dupa cum urmeaza:

Mare = 1.0
Medie = 0.5
Mica = 0.1

In functie de frecventa amenintarii, documentata in cap. 3.6. si a valorii introduse pentru

chestionarul privind vulnerabilitatile, care poate fi “I” (Implementata), “P” (Partial), “NI”
(Neimplementata) si “N/A” (Nu se aplica), valoare probabilitatii este listata in tabelul de
Evaluare a Riscului (ER), pentru perechile amenintare-vulnerabilitate, folosind tabelul 4.4 de
mai jos:

Tabel 4.4: Desemnarea Valorii Probabilitatii

Starea implementarii
masurilor de securitate
I (Implementata)
P (Partial Implementata)
NI (NeImplementata)
NA (Nu se aplica)
Frecventa amenintarii
Mare (3) Medie (2) Mica(1)
Probabilitate = 0.1 Probabilitate = 0.1 Probabilitate = 0.1
Probabilitate = 0.5 Probabilitate = 0.5 Probabilitate = 0.1
Probabilitate = 1.0 Probabilitate = 1.0 Probabilitate = 0.5
Probabilitate = 0.1 Probabilitate = 0.1 Probabilitate = 0.1

PS_ER 07-01-2019 Pagina 19/23

 EVALUAREA RISCURILOR

4.3 Nivelul riscului

Un nivel relativ al riscului a fost determinat pentru fiecare vulnerabilitate. Scopul definirii nivelului de
risc este determinarea nivelului de risc pentru sistem cat si al gradului in care fiecare vulnerabilitate
contribuie la acel risc. Nivelul de risc pentru fiecare masura servest drept fundament pentru prioritizarea
masurilor ce trebuie implementate.
Determinarea riscului pentru o pereche amenintare-vulnerabilitate anume, poate fi exprimata ca o
funcite a probabilitatii de producere si a magnitudinii impactului. Nivelul de risc pentru fiecare masura a
fost determinat folosind formula:
Risc = Probabilitate x Impact
Tabelul 4.5 indica raza valorilor de risc posibile.

Tabel 4.5: Matricea Nivelului de Risc

Raza Valorilor Nivelului de Risc

Disponibilitate/ Integritate/Distrugerea Confidentialitate/
Intreruperea si/sau Modificarea Divulgare
serviciilor neautorizata

Nivelul
Probabilitatea Probabilitatea Probabilitatea
Impact Impact Impact Riscului
Producerii Producerii Producerii

Mare = 1 Mare = 100 Mare = 1 Mare = 100 Mare = 1 Mare = 100

Medie = 0.5 Medie = 50 Medie = 0.5 Medie = 50 Medie = .5 Medie = 50
Mica = 0.1 Mica = 10 Mica = 0.1 Mica = 10 Mica = .1 Mica = 10

1 100 1 100 1 100 300

0.5 50 0.5 50 0.5 50 75
0.1 10 0.1 10 0.1 10 3

Asa cum e ilustrat in tabelul 4.5 de mai sus, 3 (trei) este cea mai mica valoare posibila pentru un
risc, 75 este valoarea medie, iar 300 este valoarea maxima posibila folosind metodologia
descrisa.
Tabelul 4.6 de mai jos arata razele posibile ale riscului pentru sistem.

PS_ER 07-01-2019 Pagina 20/23

 EVALUAREA RISCURILOR

Tabel 4.6: Matricea Nivelului de Risc

Probabilitate Impact

Mic (10) Mediu (50) Mare (100)

Mic Mediu Mare
Mare (1.0)
10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100

Mic Mediu Mare

Medie (0.5)
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50

Mic Mediu Mare

Mica (0.1)
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Scara Riscului: Mica (1-99), Medie (100-199) si Mare (200-300)

4.0 Rezultatele Evaluarii Riscului

5.1 Rezumatul Riscului

Tabela 5-1 contine rezultatele evaluarii riscurilor . Figura de mai jos rezuma descoperirile
evaluarii riscurilor.
Tabel 5.1: Nivelul Relativ al Riscului

NIVELUL RELATIV AL RISCULUI

200
Rezultatele evaluarii
150 riscurilor indica faptul ca
Riscuri

riscurile primare pentru

100
resursele sistemului sunt
50 legate de:
0 0 0
0 Riscurile identificate in
MARE 201-300 MEDIU 101-200 MIC 1-100 urma evaluarii pot fi
Valorile riscului diminuate in totalitate prin
implementarea masurilor de
securitate specificate mai
jos.

PS_ER 07-01-2019 Pagina 21/23

 EVALUAREA RISCURILOR

5.2 Masuri de securitate necesare

Table 5.3: Masuri de securitate necesare

Masuri Justificare

Masuri administrative

Masuri operationale

Masuri tehnice

PS_ER 07-01-2019 Pagina 22/23

 EVALUAREA RISCURILOR

Table 5.4: Matricea Riscurilor pentru

Disponibilitate
Confidentialitate
(Intreruperea Integritate
(Divulgare)

STARE
Serviciilor) FACTOR
DE RISC
NUMAR

Probabilitat Probabilitat
Probabilitate Impact Impact Impact
MASURA DE SECURITATE AMENINTARE e e RISC
Mare = Mare=201-
I,P,NI,
Mare = 1 Mare = 100 Mare = 1 100 Mare = 1 Mare = 100 300
RISC
Medie = 0.5 Mediu = 50 Medie = 0.5 Mediu = Medie =0 .5 Mediu = 50 Mediu=101-
ACCEPT
Mica =0.1 Mic = 10 Mica = 0.1 50 Mica = 0.1 Mic = 10 200
ABIL
Mic = 10 Mic =1-100
Alocarea resurselor:
Organizatia nu a determinat,
documentat sau alocat Toate
1 P 0.5 50 0.5 50 0.1 100 60 Mic
resursele necesare pentru amenintarile
protejarea sistemelor
informatice.
Monitorizare continua:
Organzatia nu monitorizeaza
Toate
2 in mod regulat masurile de I 0.1 50 0.1 50 0.1 100 20 Mic
amenintarile
securitate aplicate sistemelor
informationale.
Verificarea personalului:
Organizatia nu verifica
3 persoanele care solicita Frauda NA 0.1 50 0.1 50 0.1 100 20 Mic
accesarea informatiilor si a
sistemelor informationale.
Mentenanta Remote: 50
Organizatia nu aproba,
controleaza sau Acces
4 NI 1.0 1.0 50 1.0 100 200 Mare
monitorizeaza activitatile de neautorizat
mentenanta remote sau de
diagnosticare.

PS_ER 07-01-2019 Pagina 23/23