Documente Academic
Documente Profesional
Documente Cultură
Managemantul Riscurilor IT
Evaluarea Riscurilor IT
Adrian ILINCA
Risc Management
Risc Management este procesul care permite managerilor IT s asigure un echilibru ntre costurile operaionale i resursele financiare pentru msurile de protecie i atingerea obiectivelor privind protejarea datelor i sistemelor IT care susin activitatea organizaiei.
Managementul Riscurilor IT
Procesul de management al riscului IT: Identificarea vulnerabilitilor Identificarea ameninrilor Stabilirea msurilor de limitare a riscurilor
1. 2.
3.
1. 2. 3. 4.
5.
6.
Vulnerabilitate: un punct slab n sistemul IT care poate afecta sistemul sau operaiile acestuia, mai ales cnd aceast punct slab este exploatat de o persoan ostil sau afectat urmare a unui eveniment sau conjunctur. Ameninrile reprezint un pericol potenial la care este expus un sistem constnd n: acces neautorizat, alterri sau distrugerea datelor, software-ului, resurselor harware i/sau de comunicaie. Activiti specifice pentru fiecare categorie de risc: IDENTIFICARE ANALIZA EVALUAREA IMPACTULUI EVALUAREA VULNERABILITILOR MONITORIZARE MSURI DE LIMITARE
Evaluarea Riscurilor
Evaluarea riscurilor este primul proces n metodologia de risc management. Organizaiile folosesc evaluarea riscurilor pentru a determina extinderea potenialelor ameninri i riscurile asociate cu sistemele IT. Rezultatele acestui process ajut la identificarea controalelor necesare pentru reducerea sau eliminarea riscului.
Riscul este o funcie ntre probabilitatea de apariie a unei surse de ameninare datorate unei vulnerabiliti particulare i impactul asupra organizaiei a unui eveniment advers. Pentru a determina probabilitatea unui eveniment advers, trebuie analizate ameninrile sistemelor IT n conjucie cu vulnerabilitile poteniale i controalele implementate pentru sistemele IT.
Evaluarea Riscurilor
Etape metodologice
Evaluarea Riscurilor
Evaluarea Riscurilor
Pas 1 : CARACTERIZAREA SISTEMULUI Informaii privind sistemul: 1. Hardware 2. Software 3. Interfee (ex: conectivitatea intern i extern) 4. Date i informaii 5. Persoane care ntrein i folosesc sistemul informatic 6. Misiunea sistemului (ex: procesele executate n cadrul sistemului informatic) 7. Sisteme i date critice (ex: valoarea sistemului sau importana pentru organizaie) 8. Senzitivitatea sistemului i a datelor
Informaii suplimentare privind mediul operaional al sistemului informatic i datele acestuia includ: 1. Cerine funcionale a sistemului informatic 2. Utilizatorii sistemului (ex: utilizatorii sistemului care ofer suport tehnic sistemului informatic; aplicaiile utilizatorilor care asigur funciile de business) 3. Politici de securitate a sistemului (politici organizationale, cerine generale, legislative, practici ale domeniului) 4. Arhitectura de securitate a sistemului 5. Topologia reelei (ex: Diagrama reelei) 6. Protecia informaiei stocate i disponibilitatea datelor, integritatea i confidenialitatea datelor. 7. Fluxul informaiei n sistemul informatic (ex:interfeele sistemului, fluxul intrrilor i ieirilor). 8. Controale tehnice folosite n sistem (ex: produse de securitate implementate n sistem pentru asigurarea identificrii i autentificrii, controlul accesului, audit, protecia informaiei, metode de criptare).
9. Controlul managementului n sistemul IT (ex: reguli privind comportamentul utilizatorilor, planificarea securitii). 10. Controale operaionale folosite n sistemul informatic (ex: securitatea persoanelor, back-up, operaiuni de refacere a sistemului, mentenena sistemului, stocarea off-site, proceduri pentru crearea i anularea conturilor utilizator, controale ale segregrii funciilor utilizatorilor cum ar fi accesul utilizatorilor privilegiai vs accesul utilizatorilor standard). 11. Securitatea fizic a mediului sistemului IT (ex: faciliti de securitate, politicile centrului de date). 12. Securitatea mediului implementat pentru mediul sistemului IT (control al umiditii, ap, curent electric, poluare, temperatur etc).
O ameninare este eventualitatea unei surse particulare de ameninare de a folosi cu succes o vulnerabilitate. O vulnerabilitate reprezint o slbiciune care poate accidental declana un eveniment sau poate fi exploatat intenionat. O surs de ameninare nu reprezint un risc atunci cnd nu exist o vulnerabilitate care s poat fi folosit. n determinarea probabilitii de apariiei a unei ameninri trebuie luate n considerare sursele ameninrii i controalele existente. Surse de ameninri : - Dezastre naturale; - Ameninri umane; - Ameninri ale mediului.
Pentru fotii angajai nu au Foti angajai fost anulate ID-urile Parametrizarea neadecvat Acces neautorizat a firewall-ului (Hackeri, foti angajai, teroriti)
Mediu
Sczut
Mediu
Sczut
Determinarea riscului se face prin ponderarea probabilitii cu impactul. Tabela de mai jos arat cum ratingul riscului poate fi determinat pe baza introducerii probabilitii i impactului. Tabela de mai jos este de tip 3X3: probabilitatea i impactul sunt stabilite pe 3 niveluri (mare, mediu, sczut). Probabilitatea stabilit pentru fiecare ameninare prezint urmtoarele nivele: 1.0 pentru Mare, 0.5 pentru Mediu, 0.1 pentru Sczut. Valoarea asignat pentru fiecare nivel al impactului este: 100
Scopul controalelor recomandate este de a reduce nivelul de risc al sistemului IT precum si al datelor la un nivel acceptabil. Urmtorii factori trebuie luai n considerare n recomandarea controalelor i soluii alternative pentru minimizarea sau eliminarea riscurilor identificate: Eficacitatea opiunilor recomandate (ex: compatibilitatea sistemului) Legislaie i reglementri Politic organizaional Siguran i credibilitate.
Odat ce evaluarea riscurilor a fost realizat (sursele ameninrilor i vulnerabilitile identificate, riscurile evaluate i formulate recomandrile privind controalele), rezultatele trebuie s fie documentate ntr-un raport oficial. Un raport de evaluare a riscurilor este un raport de management care ajut managementul s ia decizii privind politica, procedurile, bugetul i sistemul operaional i schimbrile de management.