Documente Academic
Documente Profesional
Documente Cultură
EVALUAREA RISCURILOR
CUPRNIS
Evaluarea riscului a fost updatata si aprobata in datele de mai jos, pentru ultimele schimbari.
Evaluarea va fi facuta cel putin o data pe an.
Data Aprobarii Nume Ofiter de securitate Semnatura Ofiter de Securitate
2.0 Introducere
Evaluarea Riscurilor reprezinta un instrument important pentru managerii sistemelor IT utilizat in vederea
determinarii securitatii sistemelor pe care le administreaza, a pierderilor sau avarierii potentiale ale
operatiilor organizatiei sau a misiunii acesteia. Evaluarea riscului furnizeaza managementului capacitatea de
a:
Riscul nu poate fi eliminat totalitate, dar poate fi minimizat prin implementarea masurilor de securitate IT.
Decizia privind nivelul riscului acceptabil se va baza pe revizuirea de catre management a masurilor de
securitate necesare pentru diminua riscul fata de impactul potential al implementarii masurilor respective pe
resursele si sistemele disponibile. Evaluarea riscurilor identifica nivelul curent de risc pentru sistem si
furnizeaza recomandari privind diminuarea riscului pentru management.
Evaluarea riscului descrie vulnerabilitatile si amenintarile asociate, conform ghidurilor elaborate de NIST
(National Institute of Standards and Tehnology).
2.1. Scop
Aceasta metodologie a fost elaborata pentru a ghida detinatorii de sisteme si autorii de evaluari ale riscului,
in procesul de evaluare a riscului privind securitatea IT.
Obiectivele procesului de ER sunt:
- Identigicarea si clasificarea gradului de sensibilitate al informatiilor utilizate
- Identificarea Confidentialitatii, Integritatii si Disponibilitatii (CID)
- Identificarea amenintarilor
- Identificarea masurilor de securitate curente implementate pentru diminuarea riscului
- Prioritizarea riscurilor, analizarea fezabilitatii si eficientei masurilor de siguranta recomandate si
dezvoltarea unui plan de implementare.
Identificarea, documentarea si implementarea masurilor de securitate aditionale sau diferite fata de cele
existente, necesare pentru protejarea si conservarea CID, reprezinta finalul procesului de evaluare a riscului.
Procesul de evaluare a riscului privind securitatea informatica a functiilor de afacere reprezinta un sprijin
pentru identificarea cerintelor de securitate ce rezulta din riscurile de securitate, clarificand masura in care
poate fi afectata o functie de afacere in cazul exploatarii unui risc.
Prezentul document face referire la prima faza, care furnizeaza elementele necesare pentru celelalte faze
ramase. Analizarea detaliata a amenintarilor, vulnerabilitatilor si a riscurilor, contine:
Inainte de evaluarea riscurilor, trebuie identificate cerintele de securitate. Cerintele de securitate sunt
determinate de politica aplicabila, ghidurile tehnice si administrative. Totodata, trebuie identificate cerintele
de securitate specifice hardware-ului, software-ului si sistemului de operare. Evaluarea riscului se
efectueaza pentru identificarea masurilor tehnice, operationale si de management si a altor masuri
corespunzatoare necesare pentru protejarea sistemului.
Dupa determinarea resurselor, se face identificarea cerintelor de securitate ale sistemului prin stabilirea
cerintelor de senzitivitate ale sistemului si a severitatii acestuia (impactul pierderii sistemului), in
conformitate cu confidentialitatea, integritatea si disponibilitatea datelor sistemului. Trebuie protejate cele
trei atribute ale resurselor:
1. Confidentialitatea: Protectia impotriva divulgarii neautorizate.
2. Integritatea: Protectia impotriva modificarilor neautorizate, neanticipate sau neplanuite.
3. Disponibilitatea: Resursele trebuie sa fie disponibile pentru indeplinirea sarcinilor atribuite si pentru
evitarea pierderilor substantiale.
Mediul sistemului este definit prin arhitectura sistemului si prin locatia fizica in care acesta este amplasat.
Mediul sistemului include accesul fizic si electronic la resursele sistemului.
Sursele amenintarilor reprezinta orice eveniment, process, activitate sau actiune care ar putea cauza o
avariere potentiala a sistemului sau care ar putea exploata o vulnerabilitate pentru a ataca o resursa. O
amenintare este orice forta sau fenomen care ar putea afecta confidentialitatea, integritatea sau
disponibilitatea unei resurse. Capacitatile, intentiile si metodele de atac ale unei entitati ostile care ar puta
avaria sistemul trebuie identificate si evaluate.
Sursa unei amenintari este in mod normal cunoscuta, si include elemente de natura fizica, naturala, de mediu
sau umana si poate afecta reteaua sau un computer cand nu sunt implementate masuri corespunzatoare de
protectie.
Cele mai intalnite surse ale amenintarilor sunt naturale, umane sau de mediu. In procedeul de evaluare a
surselor amenintarilor, trebuie luate in considerare toate sursele potentiale care ar putea avaria un sistem IT
sau mediul sau de procesare.
Amenintari naturale: Inundatii, cutremure, tornade, alunecari de teren, avalanse, furtuni electrice si
alte evenimente similare.
Amenintari umane: Evenimente care fie sunt ingaduite, fie produse de oameni, precum actiuni
involuntare (introduceri de date eronate) sau actiuni premeditate (atacuri ale retelei, uploadari de
software cu potential daunator, acces neautorizat la date confidentiale)
Amenintari fizice si de mediu: Intreruperea curentului pe termen lung, poluare, chimicale, scurgeri
lichide.
neautorizateModificari
serviciilorIntreruperea
neautorizata
Distrugere
Dezvaluire
Amenintare Descriere
Amenintari naturale
1 Foc/Fum Un incendiu accidental sau provocat poate avaria
√ √
echipamentele sau punctual de lucru.
2 Evenimente naturarle Toate tipurile de evenimente (cutremure, furtuni, etc.) care ar
√ √ √
putea afecta echipamentele.
3 Inundatii Inundatiile naturale sau provenite din spargerea conductelor
√ √
pot avaria echipamentele si componentele acestora.
Amenintari umane
4 Spionaj/Sabotaj/Vandalism Spionajul este incercarea de obtinere a informatiilor
confidentiale.
Sabotajul este distrugerea premeditata sau modificarea
malitioasa a unei resurse sau informatii in scopuri personale √ √ √ √
sau de alt tip.
Vandalismul este distrugerea resurselor sitemului fara un
scop anume.
5 Furt Insusirea neutorizata a unui computer, componenta sau data. √ √
6 Hacking/Inginerie sociala (Social Software-ul poate fi modificat in asa fel incat sa poata
engineering) escalada masurile de securitate, manipula informatii, sau sa
cauzeze intreruperea serviciilor. Ingineria sociala este √ √ √
interactiunea umana prin care un hacker culege informatii
pentru a le folosi in vederea manipularii sistemului.
neautorizateModificari
serviciilorIntreruperea
neautorizata
Distrugere
Dezvaluire
Amenintare Descriere
7 Cod cu potential daunator Software-ul cu potential daunator precum virusii sau viermii
pot fi introdusi in sistem, cauzand avarierea datelor sau a √ √ √ √
software-ului.
8 Erorile utilizatorului/Omisiuni Aplicatiile si componentele sistemului pot fi modificate
necorespunzator sau distruse prin actiuni neintentionate ale √ √ √ √
administratorului sau utilizatorului.
9 Pierderi si intarzieri datorate incapacitatii de planificare, de
respectare a planurilor, politicilor sau procedurilor. √ √ √ √
Administrare gresita/Irosire
10 Dezvaluire Accesarea neautorizata intentionata a informatiilor
confidentiale de catre persoane straine sau de catre √
personalul societatii.
11 Ascultare pe furis Accesarea neautorizata intentionata a informatiilor
(Eavesdropping)/Interceptare confidentiale prin mijloace tehnice (interceptare/sniffare) sau √
de catre persoane din organizatie cu acces limitat la sistem.
12 Pierderea integritatii datelor Atacuri asupra integritatii datelor sistemului prin alterare
√
intentionata.
13 Folosire necorespunzatoare/Abuz Persoane care utilizeaza resursele sistemului pentru scopuri
√ √ √ √
neautorizate.
14 Frauda Folosirea sistemelor de catre personalul autorizat pentru
√
castiguri financiare ilegale.
neautorizateModificari
serviciilorIntreruperea
neautorizata
Distrugere
Dezvaluire
Amenintare Descriere
Vulnerabilitatile sunt slabiciuni ale mediului, arhitecturii, designului sau implementarii sistemului.
Vulnerabilitatile exploatate pot afecta sistemul sau informatia procesata, transportata sau depozitata de
sistem.
Analizarea vulnerabilitatilor acopera trei arii de securitate:
Dupa analizarea masurilor administrative, operationale si tehnice pentru sistem sunt identificate
vulnerabilitatile.
Pentru a determina toate nivelele de risc, analistul trebuie sa ia in considerare cat de importante sunt
disponibilitatea, integritatea si confidentialitatea sistemului si tipurile de avarii care ar putea fi cauzate
prin exercitarea actiunii fiecarei perechi amenintare-vulnerabilitate. Exploatarea vulnerabilitatilor ar putea
avea urmatoarele efecte asupra sistemelor si a datelor:
Analiza vulnerabilitatilor si determinarea riscului sunt discutate in capitolul 4.0, Calcularea Riscului.
In tabelul de mai jos sunt descrise tipurile de informatii manevrate de sistem si necesitatea
masurilor de protectie:
.
Tabel 3.1: Categorii de informatii
Categoria
Explicatii si exemple Cerinte de securitate
informatiei
Confidentialitate
Date referitoare la personalul societatii.
Date referitoare la Pot fi informatii despre salarii, sanatate,
Integritate
persoane profile personale, parole, dosarul
angajatului, cazier, etc.
Disponibilitate
Categoria
Explicatii si exemple Cerinte de securitate
informatiei
Confidentialitate
Informatii care necesita protectie in
Informatii
timpul operatiilor.
operationale Integritate
Disponibilitate
Confidentialitate
Orice informatie pentru care exista o
Alte informatii
preocupare fata de protectia ei. Integritate
sensibile
Disponibilitate
Confidentialitate
Orice informatie declarata ca fiind
Informatii publice publica de catre conducerea societatii.
Integritate
Disponibilitate
Mai jos sunt enumerate cerintele pentru protectie, respective Mare, Medie si Mica¸ conform Ghidului
de Dezvoltare al Planurilor de Securitate pentru Sistemele IT elaborate de NIST (National Institute of
Standards and Technology).
Confidentialitate
Mare: Consecinta dezvaluirii neautorizate a datelor din sistem este inacceptabila (impact grav asupra
organizatiei). Pierderea confidentialitatii poate cauza pierderea sau degradarea capacitatii societatii de
a-si indeplini misiunea pe o perioada de timp in care nu si-ar putea exercita functiile primare; pagube
majore aduse bunurilor organizatiei; pierderi financiare majore.
Medie: Conescinta divulgarii neautorizate a datelor din sistem este partial acceptabila. Pierderea
confidentialitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini misiunea pe
o perioada de timp in care si-ar putea exercita functiile primare, la un nivel redus insa; pagube
semnificative aduse bunurilor organizatiei; pierderi financiare semnificative.
Mica: Conescinta divulgarii neautorizate a datelor din sistem este acceptabila. Pierderea
confidentialitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini misiunea pe
o perioada de timp in care si-ar putea exercita functiile primare, la un nivel acceptabil; pagube minore
aduse bunurilor organizatiei; pierderi financiare minore.
Integritate
Mare: Consecinta coruperii sau modificarii neautorizate a datelor din sistem este inacceptabila (impact
grav asupra organizatiei). Pierderea integritatii poate cauza pierderea sau degradarea capacitatii
societatii de a-si indeplini misiunea pe o perioada de timp in care nu si-ar putea exercita functiile
primare; pagube majore aduse bunurilor organizatiei; pierderi financiare majore.
Medie: Consecinta coruperii sau modificarii neautorizate a datelor din sistem este partial acceptabila.
Pierderea integritatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini
misiunea pe o perioada de timp in care si-ar putea exercita functiile primare, la un nivel redus insa;
pagube semnificative aduse bunurilor organizatiei; pierderi financiare semnificative.
Mica: Consecinta coruperii sau modificarii neautorizate a datelor din sistem este acceptabila. Pierderea
integritatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini misiunea pe o
perioada de timp in care si-ar putea exercita functiile primare, la un nivel acceptabil; pagube minore
aduse bunurilor organizatiei; pierderi financiare minore.
Disponibilitate
Mare: Consecinta pierderii sau distrugerii accesului la resursele sau datele sistemului este inacceptabila
(impact grav asupra organizatiei). Pierderea disponibilitatii poate cauza pierderea sau degradarea
capacitatii societatii de a-si indeplini misiunea pe o perioada de timp in care nu si-ar putea exercita
functiile primare; pagube majore aduse bunurilor organizatiei; pierderi financiare majore.
Medie: Consecinta pierderii sau distrugerii accesului la resursele sau datele sistemului este partial
acceptabila. Pierderea disponibilitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si
indeplini misiunea pe o perioada de timp in care si-ar putea exercita functiile primare, la un nivel redus
insa; pagube semnificative aduse bunurilor organizatiei; pierderi financiare semnificative.
Mica: Consecinta pierderii sau distrugerii accesului la resursele sau datele sistemului este acceptabila.
Pierderea disponibilitatii poate cauza pierderea sau degradarea capacitatii societatii de a-si indeplini
misiunea pe o perioada de timp in care si-ar putea exercita functiile primare, la un nivel acceptabil;
pagube minore aduse bunurilor organizatiei; pierderi financiare minore.
Natura esentiala a sistemului se refera la informatiile si caile de comunicatii utilizate sau operate de
catre organizatie pentru care pierderea, utilizarea gresita, divulgarea sau accesarea neautorizata ar avea
un impact grav asupra misiuni organizatiei.
Natura secundara a sistemului presupune ca pierderea, utilizarea gresita, divulgarea sau accesarea
neautorizata a informatiilor ar avea un impact minor asupra eficientei operatiilor desfasurate zilnic.
Natura sistemului este (se alege una din cele doua variante). Clasificarea se bazeaza pe descrierile din
tabelul de mai jos.
In acest capitol sunt analizate vulnerabilitatile, amenintarile care pot exploata vulnerabilitatile si
impactul probabil al exploatarii vulnerabilitatilor. Sunt considerate vulnerabilitati si bresele descoperite
in urma implementarii insuficiente a masurilor de securitate.
Analizarea vulnerabilitatilor sistemului, a amenintarilor care pot exploata vulnerabilitatile si a
impactului probabil rezultat in urma exploatarii, conduce la evaluarea riscului pentru fiecare masura de
securitate partial implementata. Nivelul de risc va fi determinat folosind urmatorii factori:
1. Impactul exploatarii vulnerabilitatii de catre amenintare calculate in termeni de pierderi
palpabile ale resurselor si impacul asupra misiuni, reputatiei si intereselor organizatiei.
2. Probabilitatea petrecerii evenimentului (exploatarii vulnerabilitatii de catre amenintare), luand
in considerare mediul sistemului, frecventa amenintarii si alte masuri diminuatoare implementate.
Mai jos sunt descrise aria impactului potential si felul in care au fost determinate valorile pentru cei doi
factori, magnitudinea impactului si probabilitatea petrecerii si nivelul de risc. Factorii utilizati sunt
conform Ghidului pentru Managementul Riscului pentru Sistemele IT elaborat de NIST.
4.1 Impactul
Analiza impactului se refera la nivelele de impact associate cu compromiterea unei resurse
informationale a organizatiei, calculate in baza unei evaluari calitative si cantitative a senzitivitatii si
importantei acestor resurse. Senzitivitatea sistemului si a datelor poate fi determinata prin prisma
nivelelor de protectie necesare pentru mentinerea disponibilitatii, integritatii si confidentialitatii
sistemului si a datelor.
Pentru a determina toate nivelele de risc, analistul trebuie sa ia in considerare cat de importante sunt
disponibilitatea, integritatea si confidentialitatea sistemului si tipurile de avarii care ar putea fi cauzate
prin exercitarea actiunii fiecarei perechi amenintare-vulnerabilitate.
Exploatarea vulnerabilitatilor definite in capitolul 2.2 ar putea avea urmatoarele efecte asupra sistemelor si a
datelor, conform impactului potential definit in tabela 2.1.
Pierderea Disponibilitatii/Intreruperea Serviciilor – Accesul la sistem sau la date specifice din sistem
nu este disponibil (Resursa nu este distrusa).
Valoarea
Valorile senzitivitatii
Impactul amenintarii maxima a
securitatii
impactului
Pierderea
Disponibilitatii/Intreruperea Disponibilitate (D)
Serviciilor
Pierderea Integritatii/Ditstrugerea
Integritate (I)
si/sau Modificarea
Pierderea
Confidentialitate (C)
confidentialitatii/Divulgare
Impactul unei exploatari specifice a unei vulnerabilitati de catre o amenintare este determinat
prin adaugarea valorilor impactului pentru o amenintare data. Formula pentru Impactul
amenintarii este:
Impact = D + I + C
In functie de natura senzitivitatii securitatii mediului, valoarea totala posibila a impactului este
300. De exemplu, daca Amenintarea nr.1 (Foc) este atribuita unei vulnerabilitati specifice,
impactul amenintarii poate fi Intreruperea Serviciilor si Distrugere. De aceea, valiarea
impactului pentru perechea amenintare-vulnerabilitate este 100. Daca exista amenintari multiple
aferente unei singure vulnerabilitati, atunci amenintarea cu cel mai mare impact este folosita
pentru determinarea valorii totale a impactului.
4.2 Probabilitatea producerii
Probabilitatea ca o amenintare sa exploateze o vulnerabilitate si sa cauzeze o paguba pentru
fiecare dintre ariile impactului listate mai sus a fost determinata in baza urmatorilor factori:
frecventa amenintarii si existenta masurilor diminuatorii. Probabilitatea petrecerii a fost
determinata din punct de vedere calitativ ca fiind: mare, medie sau mica, dupa criteriile din
tabelul 4.3:
Sursa amenintarii nu este nici motivate nici capabila, si masurile implementate pot
Mica preveni sau impiedica semnificativ exploatarea vulnerabilitatii
Mare = 1.0
Medie = 0.5
Mica = 0.1
Frecventa amenintarii
Starea implementarii
masurilor de securitate
Mare (3) Medie (2) Mica(1)
I (Implementata) Probabilitate = 0.1 Probabilitate = 0.1 Probabilitate = 0.1
P (Partial Implementata) Probabilitate = 0.5 Probabilitate = 0.5 Probabilitate = 0.1
NI (NeImplementata) Probabilitate = 1.0 Probabilitate = 1.0 Probabilitate = 0.5
NA (Nu se aplica) Probabilitate = 0.1 Probabilitate = 0.1 Probabilitate = 0.1
Un nivel relativ al riscului a fost determinat pentru fiecare vulnerabilitate. Scopul definirii nivelului de
risc este determinarea nivelului de risc pentru sistem cat si al gradului in care fiecare vulnerabilitate
contribuie la acel risc. Nivelul de risc pentru fiecare masura servest drept fundament pentru prioritizarea
masurilor ce trebuie implementate.
Determinarea riscului pentru o pereche amenintare-vulnerabilitate anume, poate fi exprimata ca o
funcite a probabilitatii de producere si a magnitudinii impactului. Nivelul de risc pentru fiecare masura a
fost determinat folosind formula:
Risc = Probabilitate x Impact
Tabelul 4.5 indica raza valorilor de risc posibile.
Nivelul
Probabilitatea Probabilitatea Probabilitatea
Impact Impact Impact Riscului
Producerii Producerii Producerii
Asa cum e ilustrat in tabelul 4.5 de mai sus, 3 (trei) este cea mai mica valoare posibila pentru un
risc, 75 este valoarea medie, iar 300 este valoarea maxima posibila folosind metodologia
descrisa.
Tabelul 4.6 de mai jos arata razele posibile ale riscului pentru sistem.
Probabilitate Impact
200
Rezultatele evaluarii
150 riscurilor indica faptul ca
Riscuri
Masuri administrative
Masuri operationale
Masuri tehnice
Disponibilitate
Confidentialitate
(Intreruperea Integritate
(Divulgare)
STARE
Serviciilor) FACTOR
DE RISC
NUMAR
Probabilitat Probabilitat
Probabilitate Impact Impact Impact
MASURA DE SECURITATE AMENINTARE e e RISC
Mare = Mare=201-
I,P,NI,
Mare = 1 Mare = 100 Mare = 1 100 Mare = 1 Mare = 100 300
RISC
Medie = 0.5 Mediu = 50 Medie = 0.5 Mediu = Medie =0 .5 Mediu = 50 Mediu=101-
ACCEPT
Mica =0.1 Mic = 10 Mica = 0.1 50 Mica = 0.1 Mic = 10 200
ABIL
Mic = 10 Mic =1-100
Alocarea resurselor:
Organizatia nu a determinat,
documentat sau alocat Toate
1 P 0.5 50 0.5 50 0.1 100 60 Mic
resursele necesare pentru amenintarile
protejarea sistemelor
informatice.
Monitorizare continua:
Organzatia nu monitorizeaza
Toate
2 in mod regulat masurile de I 0.1 50 0.1 50 0.1 100 20 Mic
amenintarile
securitate aplicate sistemelor
informationale.
Verificarea personalului:
Organizatia nu verifica
3 persoanele care solicita Frauda NA 0.1 50 0.1 50 0.1 100 20 Mic
accesarea informatiilor si a
sistemelor informationale.
Mentenanta Remote: 50
Organizatia nu aproba,
controleaza sau Acces
4 NI 1.0 1.0 50 1.0 100 200 Mare
monitorizeaza activitatile de neautorizat
mentenanta remote sau de
diagnosticare.