Sunteți pe pagina 1din 20
COMUNICAȚII ȘI TEHNOLOGIA INFORMAȚIEI
COMUNICAȚII ȘI TEHNOLOGIA INFORMAȚIEI
Evaluarea Riscurilor IT
Evaluarea Riscurilor IT

Managemantul Riscurilor IT

Adrian ILINCA
Adrian ILINCA
Risc Management  Risc Management este procesul care permite managerilor IT să asigure un echilibru
Risc Management
 Risc Management este procesul care
permite managerilor IT să asigure un
echilibru între costurile operaționale și
resursele financiare pentru măsurile de
protecție și atingerea obiectivelor privind
protejarea datelor și sistemelor IT care
susțin activitatea organizației.
Managementul Riscurilor IT  Procesul de management al riscului IT: 1. Identificarea vulnerabilităților 2.
Managementul Riscurilor IT
 Procesul de management al riscului IT:
1. Identificarea vulnerabilităților
2. Identificarea amenințărilor
3. Stabilirea măsurilor de limitare a riscurilor
SCOPUL managementului riscurilor: reducerea
riscurilor la un nivel acceptat.
Vulnerabilitate: un punct slab în sistemul IT care poate afecta  sistemul sau operaţiile acestuia,
Vulnerabilitate: un punct slab în sistemul IT care poate afecta
sistemul sau operaţiile acestuia, mai ales când aceast punct
slab este exploatat de o persoană ostilă sau afectat urmare a
unui eveniment sau conjunctură.
Ameninţările reprezintă un pericol potenţial la care este expus
un sistem constând în: acces neautorizat, alterări sau
distrugerea datelor, software-ului, resurselor harware şi/sau de
comunicaţie.
Activități specifice pentru fiecare categorie de risc:
IDENTIFICARE
1.
ANALIZA
2.
EVALUAREA IMPACTULUI
3.
EVALUAREA VULNERABILITĂȚILOR
4.
MONITORIZARE
5.
MĂSURI DE LIMITARE
6.
Evaluarea Riscurilor  Evaluarea riscurilor este primul proces în metodologia de risc management. Organizațiile
Evaluarea Riscurilor
 Evaluarea riscurilor este primul proces în
metodologia de risc management. Organizațiile
folosesc evaluarea riscurilor pentru a determina
extinderea potențialelor amenințări și riscurile
asociate cu sistemele IT. Rezultatele acestui process
ajută la identificarea controalelor necesare pentru
reducerea sau eliminarea riscului.
 Riscul este o funcție între probabilitatea de apariție a unei
surse de amenințare datorate unei vulnerabilități particulare
și impactul asupra organizației a unui eveniment advers.
 Pentru a determina probabilitatea unui eveniment advers,
trebuie analizate amenințările sistemelor IT în conjucție cu
vulnerabilitățile potențiale și controalele implementate pentru
sistemele IT.
Evaluarea Riscurilor Etape metodologice
Evaluarea Riscurilor
Etape metodologice
Evaluarea Riscurilor
Evaluarea Riscurilor
Evaluarea Riscurilor
Evaluarea Riscurilor
Evaluarea Riscurilor
Pas 1 : CARACTERIZAREA SISTEMULUI Informa ț ii privind sistemul: Hardware 1. Software 2. Interfeţe

Pas 1 : CARACTERIZAREA SISTEMULUI Informații privind sistemul:

Hardware 1. Software 2. Interfeţe (ex: conectivitatea internă şi externă) 3. Date şi informaţii 4.
Hardware
1.
Software
2.
Interfeţe (ex: conectivitatea internă şi externă)
3.
Date şi informaţii
4.
5. Persoane care întreţin şi folosesc sistemul
informatic
6. Misiunea sistemului (ex: procesele executate în
cadrul sistemului informatic)
7. Sisteme şi date critice (ex: valoarea sistemului sau
importanţa pentru organizaţie)
8. Senzitivitatea sistemului şi a datelor
Informaţii suplimentare privind mediul operaţional al  sistemului informatic şi datele acestuia includ:
Informaţii
suplimentare
privind
mediul
operaţional
al
sistemului informatic şi datele acestuia includ:
Cerinţe funcţionale a sistemului informatic
1.
2.
Utilizatorii sistemului (ex: utilizatorii sistemului care oferă
suport tehnic sistemului informatic; aplicaţiile utilizatorilor
care asigură funcţiile de business)
3. Politici de securitate a sistemului (politici organizationale,
cerinţe generale, legislative, practici ale domeniului)
4. Arhitectura de securitate a sistemului
5.
Topologia reţelei (ex: Diagrama reţelei)
6.
Protecţia
informaţiei
stocate
şi
disponibilitatea
datelor,
integritatea şi confidenţialitatea datelor.
7.
Fluxul
informaţiei
în
sistemul
informatic
(ex:interfeţele
sistemului, fluxul intrărilor şi ieşirilor).
8.
Controale tehnice folosite în sistem (ex: produse de securitate
implementate în sistem pentru asigurarea identificării şi
autentificării, controlul accesului, audit, protecţia informației,
metode de criptare).
9. Controlul managementului în sistemul IT (ex: reguli privind comportamentul utilizatorilor, planificarea
9. Controlul managementului în sistemul IT (ex: reguli
privind comportamentul utilizatorilor, planificarea
securităţii).
10. Controale operaţionale folosite în sistemul
informatic (ex: securitatea persoanelor, back-up,
operaţiuni de refacere a sistemului, mentenenţa
sistemului, stocarea off-site, proceduri pentru crearea
şi anularea conturilor utilizator, controale ale
segregării funcţiilor utilizatorilor cum ar fi accesul
utilizatorilor privilegiați vs accesul utilizatorilor
standard).
11. Securitatea fizică a mediului sistemului IT (ex:
facilităţi de securitate, politicile centrului de date).
12. Securitatea mediului implementată pentru mediul
sistemului IT (control al umidităţii, apă, curent
electric, poluare, temperatură etc).
Pas 2: IDENTIFICAREA AMENINŢĂRILOR  O ameninţare este eventualitatea unei surse particulare de ameninţare de
Pas 2: IDENTIFICAREA AMENINŢĂRILOR
 O ameninţare este eventualitatea unei surse particulare de
ameninţare de a folosi cu succes o vulnerabilitate.
 O vulnerabilitate reprezintă o slăbiciune care poate
accidental declanşa un eveniment sau poate fi exploatată
intenţionat.
O sursă de ameninţare nu reprezintă un risc atunci când nu
există o vulnerabilitate care să poată fi folosită.
 În determinarea probabilităţii de apariţiei a unei ameninţări
trebuie luate în considerare sursele ameninţării şi controalele
existente.
 Surse de amenințări : - Dezastre naturale;
- Amenințări umane;
- Amenințări ale mediului.
Pasul 3: Identificarea vulnerabilităţii Vulnerabilitate/Amenin ţ are Sursa ameninţării Acţiunea ameninţării

Pasul 3: Identificarea vulnerabilităţii Vulnerabilitate/Ameninţare

vulnerabilităţii Vulnerabilitate/Amenin ţ are Sursa ameninţării Acţiunea ameninţării Pentru foştii

Sursa ameninţării

Acţiunea ameninţării

Pentru foştii angajaţi nu au Foşti angajaţi
Pentru foştii angajaţi nu au
Foşti angajaţi

fost anulate ID-urile

Accesarea reţelei

companiei şi accesarea

datelor

Vulnerabilitate
Vulnerabilitate
reţelei companiei şi accesarea datelor Vulnerabilitate Parametrizarea neadecvată a firewall-ului Acces
reţelei companiei şi accesarea datelor Vulnerabilitate Parametrizarea neadecvată a firewall-ului Acces
reţelei companiei şi accesarea datelor Vulnerabilitate Parametrizarea neadecvată a firewall-ului Acces
reţelei companiei şi accesarea datelor Vulnerabilitate Parametrizarea neadecvată a firewall-ului Acces
reţelei companiei şi accesarea datelor Vulnerabilitate Parametrizarea neadecvată a firewall-ului Acces

Parametrizarea neadecvată a firewall-ului

Acces neautorizat (Hackeri, foşti angajaţi, terorişti)

Folosirea telnet pe serverul respectiv

terorişti) Folosirea telnet pe serverul respectiv Vănzătorul a identificat lacune în sistemul de

Vănzătorul a identificat

lacune în sistemul de securitate

Utilizatori neautorizati

(hackeri, angajați nemultumiți, teroriști)

Obţinerea accesului ne -

autorizat la date critice folosind vulnerabilităţile identificate

la date critice folosind vulnerabilităţile identificate Sisteme anti incendiu nu există protecţie pentru

Sisteme anti incendiu nu există protecţie pentru echipamente

Incendiu, persoane neglijente
Incendiu, persoane
neglijente

Sistemele anti incendiu pornite (fără a fi necesar)

Pas 4: Analiza controalelor  Tipuri de controale Controale preventive blochează încercările de violare a
Pas 4: Analiza controalelor
 Tipuri de controale
Controale preventive blochează încercările de
violare a politicii de securitate şi includ
controale cum ar fi implementarea controlului
accesului, criptarea, autentificarea.
Controale detective: avertizează asupra
violărilor sau încercărilor de violare a politicii
de securitate şi includ controale cum ar fi audit
trail, metode pentru detectarea intruziunilor
etc.
Pas 5: Determinarea probabilităţii Rating pentru probabilitate (Ridicat, Mediu, Scăzut) Probabilitate Definiția
Pas 5: Determinarea probabilităţii
Rating pentru probabilitate (Ridicat, Mediu,
Scăzut)
Probabilitate
Definiția probabilităţii
Mare
Sursa ameninţării este bine motivată şi capabilă,
și controale care trebuie să prevină
vulnerabilitatea sunt ineficiente
Mediu
Sursa ameninţării este motivată şi capabilă dar
există controale care pot împiedica folosirea
vulnerabilităţii
Scăzut
Sursei
ameninţării
îi
lipsesc
motivația
și
cunoştinţele
şi
controalele
existente
pot
împiedica
în
mod
semnificativ
folosirea
vulnerabilităţii
Pas 6: Analiza impactului Definirea magnitudinii impactului Impact Definiție Mare Valorificarea vulnerabilităţii
Pas 6: Analiza impactului
Definirea magnitudinii impactului
Impact
Definiție
Mare
Valorificarea vulnerabilităţii poate conduce la pierderi
mari privind active tangibile sau resurse; poate
influenţa semnificativ misiunea și reputația
organizației sau profitul; poate determina decesul sau
rănirea personalului
Mediu
Valorificarea vulnerabilităţii poate conduce la pierderi
privind active tangibile sau resurse; poate influenţa
misiunea și reputația organizatiei sau profitul; poate
determina rănirea personalului
Scăzut
Valorificarea vulnerabilităţii poate conduce la unele
pierderi privind active tangibile sau resurse; poate
influenţa notabil misiunea și reputația organizației sau
profitul.
Pas 7: Determinarea riscului Matricea riscului  Determinarea riscului se face prin ponderarea probabilităţii cu
Pas 7: Determinarea riscului
Matricea riscului
 Determinarea riscului se face prin ponderarea probabilităţii cu
impactul. Tabela de mai jos arată cum ratingul riscului poate fi
determinat pe baza introducerii probabilităţii și impactului.
Tabela de mai jos este de tip 3X3: probabilitatea și impactul
sunt stabilite pe 3 niveluri (mare, mediu, scăzut).
 Probabilitatea stabilită pentru fiecare ameninţare prezintă
următoarele nivele: 1.0 pentru Mare, 0.5 pentru Mediu, 0.1
pentru Scăzut.
 Valoarea asignată pentru fiecare nivel al impactului este: 100
pentru Mare, 50 pentru Mediu și 10 pentru Scăzut.

Pas 7: Determinarea riscului Matricea riscului

Pas 7: Determinarea riscului Matricea riscului

Pas 8: Recomandări privind

controlul  Scopul controalelor recomandate este de a reduce nivelul de risc al sistemului IT
controlul
 Scopul controalelor recomandate este de a reduce nivelul de
risc al sistemului IT precum si al datelor la un nivel acceptabil.
Următorii factori trebuie luaţi în considerare în recomandarea
controalelor şi soluţii alternative pentru minimizarea sau
eliminarea riscurilor identificate:
 Eficacitatea opţiunilor recomandate (ex: compatibilitatea
sistemului)
 Legislaţie şi reglementări
 Politică organizaţională
 Siguranţă şi credibilitate.
Pas 9: Documentarea rezultatelor  Odată ce evaluarea riscurilor a fost realizată (sursele ameninţărilor şi
Pas 9: Documentarea rezultatelor
 Odată ce evaluarea riscurilor a fost realizată
(sursele ameninţărilor şi vulnerabilităţile
identificate, riscurile evaluate şi formulate
recomandările privind controalele), rezultatele
trebuie să fie documentate într-un raport
oficial.
 Un raport de evaluare
a riscurilor este un
raport de management care ajută
managementul să ia decizii privind politica,
procedurile, bugetul și sistemul operaţional şi

schimbările de management.