Managementul Riscului Ziua 3

TÜV AUSTRIA GROUP
TÜV AUSTRIA ROMÂNIA
07/01/2020
office@tuv-austria.ro Suportul de curs este proprietatea TÜV AUSTRIA ROMÂNIA SRL și nu poate fi copiat integral sau parțial, multiplicat, distribuit, etc., fiind apărat de legislația privind dreptul de proprietate www.tuv-austria.ro
intelectuală.
www.tuv-austria.ro
intelectuală.
Managementul riscurilor
ISO 27005 - Terminologie

Resursa / Activ, Bun (Asset) - valoare pentru organizaţie, activitatea organizaţiei şi
continuitatea activităţii acesteia
Risc - combinaţie între probabilitatea de apariţie a unui eveniment şi consecinţele

acestuia
Măsură de control - practică, procedură sau mecanism care reduce riscurile de

securitate
Risc rezidual - valoare a riscului obţinută după tratarea riscurilor
Risc tolerat - risc care este acceptat într-un context dat
Managementul riscului - activităţile de conducere şi control ale unei organizaţii din

punctul de vedere al riscului
intelectuală.
Terminologie
Analiza riscului (ISO 27001, Ghidul ISO 73)

– utilizarea sistematică a informaţiei pentru a identifica sursele şi a estima riscul
Estimarea riscului (ISO 27001, Ghidul ISO 73)

– procesul de comparare a riscului estimat cu criteriile de risc prestabilite în
scopul de a determia importanţa lui
Evaluarea riscului (ISO 27001, Ghidul ISO 73)

– procesul global de analiză a riscului şi estimarea sa
intelectuală.
Terminologie
Tratarea riscului - proces de selecţie a opţiunilor de acţiune privind un risc

determinat
Ameninţare - cauză potenţială a unui incident care poate provoca daune
Vulnerabilitate - slăbiciune a unui bun sau grupuri de bunuri care poate fi

exploatată de o ameninţare
Impact - daunele cauzate de un incident
intelectuală.
Risc – posibilitatea unei ameninţări de a exploata o vulnerabilitate care nu

este ţinută sub control în scopul de a se materializa într-o avarie (pagubă)
Ameninţare Vulnerabilitate Risc
NU NU NU
DA NU NU
NU DA NU
DA DA DA
intelectuală.
Asset inventory
• Hardware
- Echipamente de procesare fixe (activă)

– servere, statii de lucru
- Echipamente portabile
– laptop, notebook, PDA, tablete
- Echipamente periferice
– imprimante, scannere
- Echipamente de comunicații
- router, gateway, bridge, switch, hub, GPRS, Ethernet adaptor etc.
- Medii de stocare electronică
– CD, DVD, HDD, stick memory, benzi magnetice
- Medii de stocare non-electronică
– documente (hârtie), manuale, ghiduri etc.
intelectuală.
Asset inventory
• Personal
- Factor decizional
– top management, project manager etc.
- Utilizatori care proceseaza informații sensibile
– HRM, director financiar, director economic, contabil etc.
- Utilizatori cu drepturi privilegiate
– Network Admin, System Admin, Data Admin, back-up operators etc.
- Programatori/dezvoltatori
- router, gateway, bridge, switch, hub, GPRS, Ethernet adaptor etc.
intelectuală.
Listă de amenințări - exemplu
intelectuală.
intelectuală.
intelectuală.
Listă de vulnerabilităţi - exemplu
• Securitate personal • Securitatea fizică şi a

– Personal subdimensionat (lipsă mediului
personal) – Control al accesului în clădire
– Nesupravegherea personalului şi birouri neadecvat (sabotare,
de curăţenie (furt) furt)
– Instruire de securitate – Lipsa protecţiei fizice la
insuficientă (erori ale clădire, camere etc. (furt)
personalului de suport) – Amplasare într-o zonă cu
– Documentaţie insuficientă (erori pericol de inundaţie
ale personalului de suport) (inundaţie)
– Lipsa unui mecanism de – Depozitare neprotejată (furt)
monitorizare (utilizare software – Lipsa unui program de
în mod neautorizat) înlocuire echipament
– Lipsa procedurilor de utilizare a (deteriorarea mediilor de
comunicaţiilor (utilizarea reţelei stocare)
în mod neautorizat) – Echipament sensibil la variaţii
– Procedură de selectare personal de temperatură (temperaturi
inadecvată (sabotare) extreme)
intelectuală.
Listă de vulnerabilităţi - exemplu
• Administrare calculator şi reţea • Sistem de control al accesului /
– Linii de comunicaţie neprotejate politică de dezvoltare şi
(interceptare) întreţinere
– Puncte de conexiune neprotejate – Interfaţă de utilizator complicată
(infiltrare comunicaţii) (eroare de utilizator)
– Lipsa mecanismelor de identificare – Lipsa unei proceduri de ştergere
şi autentificare (substituire a mediilor de stocare înainte de
identitate) reutilizare (utilizare neautorizată)
– Transferul parolelor în clar – Lipsa unui control adecvat al
(accesare reţea de utilizatori modificărilor (defecţiuni
neautorizaţi) software)
– Linii dial-up (accesare reţea de – Administrare defectuoasă a
utilizatori neautorizaţi) parolelor (substituire identitate)
– Administrare reţea neadecvată – Lipsă control la descărcare şi
(supraîncărcare trafic) utilizare de software (sofware rău
– Lipsa unor mecanisme de evidenţă intenţionat)
transmitere/primire mesaje
(repudiere)
Pentru vulnerabilitati tehnice: nvd.nist.gov/vuln/full-listing; securityfocus.com;

sans.org/critical-security-controls
intelectuală.
Evaluarea riscurilor
• Prin brainstorming cu echipa multidisciplinară
• Se evaluează impactul pornind de la “worst case scenario”
• divulgare informații
• acces și modificare/ștergere neautorizate
• indisponibilitatea datelor
intelectuală.
Evaluarea riscurilor
intelectuală.
intelectuală.
Evaluarea riscurilor - OCTAVE
• Colecție de instrumente, tehnici și metode de evaluare

• Operationally Critical Threat, Asset and Vulnerability Evaluation
• metodologie complexă
• aplicabilă organizațiilor mari (peste 300 angajați)
• Identificarea și clasificarea informațiilor (C,I, D)

• Identificarea și clasificarea asseturilor
• Definirea impactului:
• Reputație/Încredere client
• Pierderi financiare
• Productivitate scăzută
• Sănătate și securitate
• Penalități, amenzi
• Alte consecințe definite de utilizatori
intelectuală.
• Exercițiu / studiu de caz:
1. Pe serverul web unde se află pagina noastră de Internet, măsurile

slabe de securitate ar putea duce la acces neautorizat la informații
din partea unui hacker.
2. Fisele medicale ale pacienților lăsate pe biroul asistentei
Stabiliti ce impact se poate produce pentru fiecare din cele 2 scenarii și

cotați-l pe o scală de la 0 la 4.
intelectuală.
Într-o companie există la intrarea principală, pe hol, o imprimantă

multifunctională la care au acces toți angajații. La această imprimantă se
tipăresc/copiază/transmit pe mail documente provenite de la
management, HR, proiectare și departamentul cercetare-dezvoltare.
Imprimanta este conectată la Internet printr-un DMZ al firewall-ului
companiei.
Identificați și evaluați riscurile.
intelectuală.
Compania are o arhivă de documente într-o anexă a firmei, o clădire din

tablă și sticlă. La momentul evaluării se constată că datorită condițiilor
meteo, pe geamurile arhivei se creează condens. Ușa de acces este
asigurată printr-un lacăt, geamurile sunt de sticlă fără gratii sau folie de
protecție.
intelectuală.
• Exercitiu/studiu de caz:
O companie care activează în domeniul managementului resurselor

umane dă voie angajaților și vizitatorilor să utilizeze telefoane și alte
echipamente portabile personale în cadrul rețelei sale.
intelectuală.
Evaluarea riscurilor în GDPR
• Identificarea și evaluarea riscurilor
• acces neautorizat la DCP (confidențialitate)

• modificare neautorizată a DCP (integritate)
• pierdere, ștergere neautorizată a DCP (disponibilitate)
• colectare excesivă de DCP
• insuficientă documentare a scopului prelucrării (lipsă transparentă)
• imposibilitatea acordării accesului la date personale (drept de acces)
• prelucrarea datelor fără temei juridic și/sau consimțământ
• transmisia de date/transfer sau partajare fără consimțământ
• păstrarea/stocarea datelor pe termen nejustificat
intelectuală.
Evaluarea riscurilor în GDPR
• Identificarea și evaluarea impactului

Impact Nivel impact Descriere
Consecinţe neglijabile, reversibile; nu sunt alterate atributele datelor (C, D, I ) şi nici capacităţile de stocare-
Very Low 1 procesare-transmitere a datelor; nu există întreruperi ale proceselor. Nu sunt afectate persoanele fizice vizate.
Consecinţe minore, reversibile; nu sunt alterate atributele datelor (C, D, I ); scăderea minoră a eficienţei unor
2 procese pe termen scurt sau scăderea minoră a capacităţii de stocare-procesare a datelor. Nu sunt afectate
Low persoanele fizice vizate.
Consecinţe medii, reversibile; afectată disponibilitatea ( D ) datelor sau a unor servicii; întreruperea unor
3 procese pe termen mediu ( < 8 ore lucratoare) sau scăderea capacităţii de stocare-procesare a datelor cu până la
Moderate 50%. Persoanele fizice vizate pot fi afectate doar de lipsa posibilității accesării datelor lor personale.
Consecinţe mari, reversibile; afectate 1 sau cel mult 2 din atributele datelor ( D sau I, D + I ) dar nu este afectata
confidentialitatea ( C ); întreruperea majorităţii proceselor sau întreruperea numai a unor procese, pe termen
4 mare ( < 24 ore lucratoare ) sau scăderea capacităţii de stocare-procesare a datelor cu până la 75%. Persoanele
High fizice vizate sunt afectate de indisponibilitatea datelor lor și/sau de modificarea eronată a acestor date.
Consecinţe grave, ireversibile; afectate toate cele 3 atribute ( C, D, I ); întreruperea tuturor proceselor pe termen
nedefinit ( > 24 ore lucratoare ) sau scăderea capacităţii de procesare cu 100%. Persoanele fizice vizate sunt
5 afectate de incidente de securitate cum ar fi: indisponibilitatea datelor, modificarea neautorizată a datelor,
diseminarea neautorizată a datelor. Incidentul aduce atingere la drepturile si libertătile fundamentale ale
Very High persoanelor (exp.75)
intelectuală.
Intrebări?
intelectuală.

Managementul Riscului Ziua 3

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Managementul Riscului Ziua 3

Încărcat de

Drepturi de autor:

Formate disponibile

TÜV AUSTRIA GROUP

TÜV AUSTRIA ROMÂNIA

ISO 27005 - Terminologie

Risc - combinaţie între probabilitatea de apariţie a unui eveniment şi consecinţele

Măsură de control - practică, procedură sau mecanism care reduce riscurile de

Risc rezidual - valoare a riscului obţinută după tratarea riscurilor

Risc tolerat - risc care este acceptat într-un context dat

Managementul riscului - activităţile de conducere şi control ale unei organizaţii din

Analiza riscului (ISO 27001, Ghidul ISO 73)

Estimarea riscului (ISO 27001, Ghidul ISO 73)

Evaluarea riscului (ISO 27001, Ghidul ISO 73)

Tratarea riscului - proces de selecţie a opţiunilor de acţiune privind un risc

Ameninţare - cauză potenţială a unui incident care poate provoca daune

Vulnerabilitate - slăbiciune a unui bun sau grupuri de bunuri care poate fi

Impact - daunele cauzate de un incident

Risc – posibilitatea unei ameninţări de a exploata o vulnerabilitate care nu

Ameninţare Vulnerabilitate Risc

- Echipamente de procesare fixe (activă)

• Securitate personal • Securitatea fizică şi a

Pentru vulnerabilitati tehnice: nvd.nist.gov/vuln/full-listing; securityfocus.com;

• Colecție de instrumente, tehnici și metode de evaluare

• Identificarea și clasificarea informațiilor (C,I, D)

1. Pe serverul web unde se află pagina noastră de Internet, măsurile

Stabiliti ce impact se poate produce pentru fiecare din cele 2 scenarii și

Într-o companie există la intrarea principală, pe hol, o imprimantă

Identificați și evaluați riscurile.

Compania are o arhivă de documente într-o anexă a firmei, o clădire din

Identificați și evaluați riscurile.

O companie care activează în domeniul managementului resurselor

Identificați și evaluați riscurile.

• Identificarea și evaluarea riscurilor

• acces neautorizat la DCP (confidențialitate)

• Identificarea și evaluarea impactului

S-ar putea să vă placă și