Plan de evaluare a riscurilor

Autor: Pocriste Cosmin Daniel

Data: 28.01.2024
 DISCLAIMER
Acest document se bazează pe informațiile colectate de managerul de risc în timpul
1
procesului de evaluare a riscurilor. Observațiile și recomandările se bazează pe presupunerea
că orice informații documentate și alte forme de informații furnizate echipei de management al
riscului au fost complete, faptice, exacte și relevante în circumstanțele respective și că
procesele observate în timpul oricăror activități de analiză au indicat o practică regulată (cu
excepția cazului în care se indică altfel).

Scopul acestui document este de a oferi o perspectivă independentă de managementul

general asupra riscurilor incluse în domeniul de aplicare al evaluării. Prin urmare,
recomandările trebuie revizuite de o persoană autorizată de la nivelul managementului
strategic pentru a se asigura că fiecare este adecvată pentru organizație.
 Termen
TERMENI ȘI DEFINIȚII
Definiție
2
Activ Un articol, proces sau alt element tangibil pe care un individ, o
organizație sau o comunitate îl apreciază ca fiind important în atingerea
rezultatelor și obiectivelor.
Consecință Efectul unui eveniment care afectează obiectivele.
Rezultatul unui eveniment exprimat calitativ sau cantitativ, fiind o
pierdere, vătămare, dezavantaj sau câștig. Este posibil să existe mai
multe rezultate asociate cu un eveniment simultan.
Control Orice măsură care modifică riscul.
Poate include mecanismele fizice, operaționale, logice,
comportamentale, instituționale sau culturale existente prin care este
gestionat un risc (de văzut și definiția „tratamentului”).
Factor critic Importanța sau dependența pe care o organizație o are de o persoană,
funcție, proces, element sau infrastructură sau instalație specifică.
Eveniment Apariția sau schimbarea unui anumit set de circumstanțe.
Pericol O cauză potențială de vătămare din interiorul mediului (extern) sau din
acțiuni neintenționate.
Probabilitate Probabilitatea este șansa ca ceva să se întâmple.
Probabilitatea poate fi definită, determinată sau măsurată obiectiv sau
subiectiv și poate fi exprimată fie calitativ, fie cantitativ.
Risc Efectul incertitudinii asupra obiectivelor.
Sursă Un element care, singur sau în diverse combinații, are potențialul de a
genera riscuri.
Amenințare O cauză potențială a prejudiciului inițiată printr-o acțiune deliberată.
Acțiunea (actul) de Un act comis de un actor de amenințare.
amenințare
Actor de O persoană sau un grup de persoane care ar putea dăuna unei
amenințare organizații. De exemplu, un intrus, un infractor, un grup motivat politic
sau economic, un terorist etc.
Tratament Punerea în aplicare a unui control al riscurilor conceput, de regulă,
pentru a modifica probabilitatea sau consecința producerii unui
eveniment de risc.
Vulnerabilitate O slăbiciune care poate fi exploatată pentru a face un activ susceptibil
la schimbare.
3
 CUPRINS
DISCLAIMER................................................................................................................................................1
4
TERMENI ȘI DEFINIȚII..................................................................................................................................2

CUPRINS......................................................................................................................................................3

REZUMAT....................................................................................................................................................4

DOMENIU DE APLICARE, CONTEXT ȘI CRITERII............................................................................................5

Aplicare...................................................................................................................................................5
Context....................................................................................................................................................6
Contextul extern.............................................................................................................................6
Contextul intern.............................................................................................................................7
Cadrul de management al riscului..................................................................................................7
Criterii......................................................................................................................................................7

ANEXA A: EVALUAREA CARACTERULUI CRITIC AL ACTIVELOR.....................................................................8

ANEXA B: EVALUAREA AMENINȚĂRILOR/PERICOLELOR.............................................................................9

ANEXA C: EVALUAREA CONTROALELOR....................................................................................................12

ANEXA D: REGISTRUL RISCURILOR............................................................................................................16

ANEXA E: METODOLOGIA DE EVALUARE..................................................................................................17

Criterii de evaluare al caracterului critic al activelor.............................................................................17
Criterii de evaluare a amenințărilor.......................................................................................................18
Criterii de evaluare a evenimentelor periculoase..................................................................................20
Criterii de evaluare a eficacității controlului riscurilor...........................................................................21
Criterii de evaluare a riscurilor..............................................................................................................24

ANEXA F: INTERVIURI................................................................................................................................27

ANEXA G: LOCAȚII VIZITATE......................................................................................................................28

ANEXA H: DOCUMENTE MENȚIONATE......................................................................................................29

ANEXA I: PLANURI DETALIATE DE TRATAMENT AL RISCURILOR................................................................30

Tratamentul 1: Protecția accesului la server.........................................................................................31
Tratamentul 2: <Următorul tratament de risc în registrul riscurilor>....................................................33
 REZUMAT
5
Cyber Corporation este o companie de tehnologie de vârf care oferă soluții inovatoare
clienților săi. Concentrarea companiei pe tehnologie și inovație a determinat creșterea și
succesul acesteia, dar a creat, de asemenea, o nevoie semnificativă de măsuri puternice de
securitate cibernetică pentru a proteja informațiile și activele sensibile.

Scopul evaluării riscurilor de securitate este de a identifica și evalua riscurile potențiale de

securitate pentru Cyber Corporation și de a oferi recomandări pentru atenuarea acestor riscuri.

Domeniul de aplicare al acestei evaluări include o analiză a practicilor și sistemelor actuale de

securitate ale Cyber Corporation, inclusiv securitatea rețelei, controlul accesului, securitatea
fizică și securitatea datelor.

Evaluarea a identificat mai multe domenii de risc pentru securitatea Cyber Corporation,
inclusiv:

 Controale de acces inadecvate, care ar putea permite accesul neautorizat la informații și

sisteme sensibile.
 Securitate fizică slabă, care ar putea permite accesul neautorizat la informații și
echipamente sensibile.
 Măsuri insuficiente de securitate a datelor, care ar putea permite furtul sau
compromiterea informațiilor sensibile.
 Lipsa securității rețelei, care ar putea permite atacurilor cibernetice să compromită
sistemele și datele Cyber Corporation.

Pe baza constatărilor acestei evaluări, Cyber Corporation recomandă implementarea

următoarelor măsuri de securitate:

 Implementați controale puternice ale accesului pentru a preveni accesul neautorizat la

informații și sisteme sensibile.
 Îmbunătățiți securitatea fizică pentru a preveni accesul neautorizat la informații și
echipamente sensibile.
 Implementați măsuri robuste de securitate a datelor pentru a proteja informațiile
sensibile împotriva furtului sau compromiterii.
 Implementați măsuri de securitate a rețelei pentru a preveni atacurile cibernetice și
pentru a proteja sistemele și datele Cyber Corporation.

Cyber Corporation se confruntă cu riscuri semnificative de securitate care trebuie

abordate pentru a asigura protecția informațiilor și activelor sensibile. Recomandările
prezentate în acest raport oferă o bază solidă pentru îmbunătățirea posturii de securitate a
companiei și reducerea riscului de expunere la potențiale amenințări de securitate.
 DOMENIU DE APLICARE, CONTEXT ȘI CRITERII
6
În procesul de management al riscului ISO 31000, stabilirea domeniului de aplicare, a
contextului și a criteriilor este un pas important, deoarece ajută la asigurarea faptului că
procesul de gestionare a riscurilor este convergent cu scopurile și obiectivele organizației și ia în
considerare factorii (sursele) relevante de risc și părțile interesate.

Stabilirea acestor elemente asigură faptul că procesul de gestionare a riscurilor organizației

este eficient și semnificativ.

Fig. 1: Procesul de management al riscului conform ISO31000

Aplicare
În contextul ISO 31000, sintagma „domeniu de aplicare” se referă la constrângerile și limitările
procesului de management al riscurilor, inclusiv riscurile care vor fi luate în considerare și
activitățile sau deciziile specifice procesului.

Includeri

Domeniul de aplicare al acestei evaluări a riscurilor de securitate (SRA) include toate

amenințările și riscurile legate de securitate asociate cu Cyber Corporation.

În cadrul procesului de diagnoză a fost implicat un grup larg și reprezentativ de părți interesate
(anexa F) și au fost vizitate mai multe facilități (anexa G).

Excluderi
Domeniul de aplicare exclude climatul arctic și riscurile asociate cu armele de foc

Obiectivele evaluării riscurilor

Obiectivele SRA sunt informarea și îmbunătățirea cadrului de management al riscului de

7
securitate în scopul îndeplinirii obiectivelor organizaționale.

Obiectivele SRA se bazează pe cele patru elemente ale cadrului de gestionare a riscurilor de
securitate:

- Guvernanță: Gestionarea riscurilor de securitate și sprijinirea unei culturi pozitive de

securitate într-o manieră suficient de matură, asigurând linii clare de responsabilitate,
planificare solidă, investigare și răspuns, procese de asigurare și revizuire și raportare
proporțională.
- Informații: Asigurarea confidențialității, integrității și disponibilității informațiilor, a
proprietății intelectuale și a cunoștințelor.
- Securitate cibernetică: Asigură protejarea sistemelor conectate la rețea, inclusiv
hardware, software și date, împotriva atacurilor sau accesului neautorizat printr-o
combinație de tehnologii, procese și practici.
- Personal: Asigură că angajații și contractorii sunt potriviți pentru a accesa resursele
afacerii și pentru a îndeplini un standard adecvat de integritate și onestitate.
- Fizic: Oferă un mediu fizic sigur și securizat pentru oameni, informații și active.

Context
Termenul „context” se referă la mediul mai larg în care va avea loc procesul de
gestionare a riscurilor, inclusiv scopurile și obiectivele organizației, riscurile relevante pentru
organizație și părțile interesate implicate în procesul de gestionare a riscurilor.

Contextul managementului riscului se referă la scopurile și obiectivele specifice ale procesului

de gestionare a riscurilor și la criteriile utilizate pentru evaluarea riscurilor și determinarea
nivelului de risc acceptabil pentru organizație.

Contextul extern

Contextul extern include factorii și influențele care sunt în afara controlului organizației,
cum ar fi mediul economic, politic și social.

Factori economici, atât globali, cât și locali:

 Creșterea economică: este un factor economic pozitiv care poate duce la o creștere a
cererii de bunuri și servicii. Acest lucru poate oferi afacerii noi oportunități de creștere și
profit. Cu toate acestea, o creștere economică prea rapidă poate duce la inflație și la
alte probleme economice.
 Inflația: este creșterea prețurilor bunurilor și serviciilor. O inflație ridicată poate reduce
puterea de cumpărare a consumatorilor și poate face dificilă pentru afaceri să-și
mențină profiturile.
  Recesiunea: este o perioadă de contracție economică, caracterizată de o scădere a
producției, a investițiilor și a ocupării forței de muncă. O recesiune poate avea un
impact negativ asupra afacerilor, deoarece poate duce la o scădere a vânzărilor și a
profiturilor.
8
 Deficitul comercial: este atunci când o țară importă mai mult decât exportă. Un deficit
comercial ridicat poate duce la o scădere a valorii monedei țării, ceea ce poate face
dificilă pentru afaceri să exporte bunuri și servicii.
 Tendințe demografice: cum ar fi îmbătrânirea populației sau creșterea urbanizării, pot
avea un impact asupra afacerilor. De exemplu, îmbătrânirea populației poate duce la o
scădere a cererii de bunuri și servicii destinate populației tinere.

Influențe sociale, așteptări, tendințe și date demografice:

 Schimbările în stilul de viață, cum ar fi creșterea mobilității sau schimbarea obiceiurilor
de consum, pot avea un impact asupra afacerilor. De exemplu, creșterea mobilității
poate duce la o creștere a cererii de bunuri și servicii care pot fi consumate în mișcare.
 Așteptările consumatorilor, cum ar fi așteptările legate de calitate, preț sau
durabilitate, pot avea un impact asupra afacerilor. De exemplu, așteptările crescute ale
consumatorilor legate de calitate pot duce la o creștere a costurilor pentru afaceri.
 Tendințe sociale, cum ar fi creșterea conștientizării de mediu sau creșterea diversității,
pot avea un impact asupra afacerilor. De exemplu, creșterea conștientizării de mediu
poate duce la o creștere a cererii de produse și servicii sustenabile.
 Date demografice, cum ar fi vârsta medie a populației sau structura familială, pot avea
un impact asupra afacerilor. De exemplu, o populație mai îmbătrânită poate duce la o
creștere a cererii de bunuri și servicii destinate persoanelor în vârstă.
Schimbări și implicații tehnologice:
 Noi tehnologii, cum ar fi inteligența artificială sau realitatea virtuală, pot avea un impact
asupra afacerilor. De exemplu, inteligența artificială poate fi utilizată pentru a
automatiza sarcini sau pentru a crea noi produse și servicii.
 Tendințe tehnologice, cum ar fi creșterea adoptării cloud computing-ului sau a
comerțului electronic, pot avea un impact asupra afacerilor. De exemplu, creșterea
adoptării comerțului electronic poate duce la o creștere a concurenței pentru afacerile
tradiționale cu amănuntul.
 Legislația tehnologică, cum ar fi legile privind protecția datelor sau legile privind
concurența, poate avea un impact asupra afacerilor. De exemplu, legile privind
protecția datelor pot pune noi cerințe pentru afacerile care colectează și utilizează date
despre clienți.
Contextul intern

Contextul intern include factorii și influențele aflate sub controlul organizației, cum ar fi
cultura, politicile și procesele sale.
9
PRIMO-F reprezintă o metodă utilă care poate ajuta organizațiile să ia în considerare contextul
intern în care operează. PRIMO-F înseamnă oameni (people), resurse (resources), inovare
(innovation), marketing, operațiuni (operations) și financiar (finance).

1. Tehnologii: robotică, informație, comunicare (F)

Factor fizic

 Distrugeri fizice ale echipamentelor și infrastructurii tehnologice, cauzate de

evenimente naturale, cauze accidentale sau acte de vandalism sau terorism.
 Amenințarea cibernetică, care poate duce la pierderea de date, la întreruperea
activității sau la sabotaj.

Exemple de impact:

 Un incendiu sau o inundație poate distruge un centru de date, ceea ce poate duce la
pierderea de date și la întreruperea activității organizației.
 Un atac cibernetic poate duce la furtul de date confidențiale, la întreruperea activității
sau la sabotaj.

Acțiuni de atenuare:

 Investiții în securitatea fizică și cibernetică

 Implementarea de planuri de recuperare a dezastrelor
 Formarea angajaților în domeniul securității

2. Sisteme de management: politici, proceduri, procese (M)

Factor management
 


Lipsa sau inadecvarea politicilor, procedurilor și proceselor poate duce la erori, la
scăderea eficienței și la creșterea riscurilor.
Orice schimbare neplanificată în politici, proceduri sau procese poate duce la
perturbarea activității și la creșterea riscurilor.
10
Exemple de impact:

 Lipsa unei proceduri clare pentru o anumită activitate poate duce la erori sau la
accidente.
 O schimbare neplanificată a unei politici poate duce la confuzie și la întârzieri.

Acțiuni de atenuare:

 Implementarea unui sistem de management integrat, care să includă politici, proceduri

și procese clare și actualizate.
 Formarea angajaților în ceea ce privește politicile, procedurile și procesele organizației.

3. Organizație: cultură, obiective, viziune, etică (O)

Factor organizațional

 O cultură organizațională nefavorabilă poate duce la conflicte, la scăderea

productivității și la creșterea riscurilor.
 Obiective și viziune neclare pot duce la dezorientare și la pierderea de oportunități.
 Etica slabă poate duce la corupție, la încălcarea legii și la pierderea de reputație.

Exemple de impact:

 O cultură organizațională a fricii poate duce la ascunderea informațiilor sau la luarea de

decizii necorespunzătoare.
 Obiective și viziune neclare pot duce la o lipsă de direcție și la o concentrare pe sarcini
neesențiale.
 Etica slabă poate duce la pierderea de clienți, la sancțiuni guvernamentale sau la
faliment.

Acțiuni de atenuare:

 Crearea unei culturi organizaționale pozitive și constructive, care să promoveze

colaborarea și inovația.
 


Definirea unor obiective și viziune clare, care să fie înțelese și susținute de către toți
angajații.
Implementarea unui cod de etică, care să fie cunoscut și respectat de către toți
angajații.
11
Cadrul de management al riscului

Analiza SWOT asigură metodologia optimă pentru caracterizarea cadrului de

management al riscurilor, prin intersectarea factorilor externi cu elementele interne care au
potențialul de a se transforma în riscuri.

1. Tehnologii: robotică, informație, comunicare (F)

Puncte tari (Strengths)

 Politici, proceduri și procese clare și actualizate pot ajuta la asigurarea funcționării

eficiente a organizației și la reducerea riscurilor.
 Formarea angajaților în ceea ce privește politicile, procedurile și procesele
organizației poate ajuta la asigurarea respectării acestora și la îmbunătățirea eficienței.

Puncte slabe (Weaknesses)

 Lipsa sau inadecvarea politicilor, procedurilor și proceselor poate duce la erori, la

scăderea eficienței și la creșterea riscurilor.
 Orice schimbare neplanificată în politici, proceduri sau procese poate duce la
perturbarea activității și la creșterea riscurilor.

Oportunități (Opportunities)

 Consolidarea sistemului de management poate duce la îmbunătățirea performanței

organizației și la reducerea riscurilor.
 Investițiile în tehnologie pot ajuta la îmbunătățirea eficienței sistemelor de
management.

Amenințări (Threats)

 Schimbarea mediului extern poate impune organizației să-și adapteze sistemul de

management.
 Lipsa de resurse poate împiedica organizația să implementeze un sistem de
management eficient.
 2. Sisteme de management: politici, proceduri, procese (M) 12
Puncte tari (Strengths)

 Politici, proceduri și procese clare și actualizate pot ajuta la asigurarea funcționării

eficiente a organizației și la reducerea riscurilor.
 Formarea angajaților în ceea ce privește politicile, procedurile și procesele
organizației poate ajuta la asigurarea respectării acestora și la îmbunătățirea eficienței.

Puncte slabe (Weaknesses)

 Lipsa sau inadecvarea politicilor, procedurilor și proceselor poate duce la erori, la

scăderea eficienței și la creșterea riscurilor.
 Orice schimbare neplanificată în politici, proceduri sau procese poate duce la
perturbarea activității și la creșterea riscurilor.

Oportunități (Opportunities)

 Consolidarea sistemului de management poate duce la îmbunătățirea performanței

organizației și la reducerea riscurilor.
 Investițiile în tehnologie pot ajuta la îmbunătățirea eficienței sistemelor de
management.

Amenințări (Threats)

 Schimbarea mediului extern poate impune organizației să-și adapteze sistemul de

management.
 Lipsa de resurse

3. Organizație: cultură, obiective, viziune, etică (O)

Puncte tari (Strengths)

  O cultură organizațională pozitivă și constructivă poate ajuta la crearea unei atmosfere

13
de colaborare și de inovație. Atunci când angajații se simt confortabil și apreciați, sunt
mai predispuși să împărtășească idei și să lucreze împreună pentru a găsi soluții creative
la probleme. Acest lucru poate duce la o mai bună performanță a organizației.
 Obiective și viziune clare pot ajuta la orientarea angajaților și la asigurarea faptului că
aceștia lucrează în aceeași direcție. Atunci când angajații știu ce se așteaptă de la ei și
unde se îndreaptă organizația, sunt mai predispuși să fie motivați și să lucreze din greu
pentru a atinge obiectivele.
 Un cod de etică poate ajuta la crearea unei culturi de integritate și
responsabilitate. Atunci când angajații știu că se așteaptă de la ei să se comporte în mod
etic, sunt mai predispuși să ia decizii corecte și să evite comportamentul
neadecvat. Acest lucru poate ajuta la protejarea organizației de riscuri și la
îmbunătățirea reputației acesteia.

Puncte slabe (Weaknesses)

 O cultură organizațională nefavorabilă poate avea un impact negativ asupra tuturor

aspectelor unei organizații. Conflictele, scăderea productivității și creșterea riscurilor
pot duce la pierderea de oportunități și la o deteriorare a performanței organizației.
 Obiective și viziune neclare pot duce la dezorientare și la pierderea de timp și de
resurse. Atunci când angajații nu știu ce se așteaptă de la ei sau unde se îndreaptă
organizația, pot fi mai predispuși să se concentreze pe sarcini neesențiale sau să ia
decizii greșite.
 Etica slabă poate avea un impact negativ asupra reputației, profitabilității și chiar a
supraviețuirii unei organizații. Corupția, încălcarea legii și alte forme de comportament
neetic pot duce la sancțiuni guvernamentale, la pierderea clienților și la faliment.

Oportunități (Opportunities)

 Investițiile în dezvoltarea culturii organizaționale pot ajuta la crearea unei culturi

pozitive și constructive. Organizațiile pot face acest lucru prin programe de
formare, prin comunicarea valorilor și a așteptărilor către angajați, și prin crearea de
structuri și procese care să sprijine cultura dorită.
 Revizuirea periodică a obiectivelor și viziunii organizației poate ajuta la asigurarea
faptului că acestea sunt clare și relevante. Acest lucru poate fi făcut prin consultarea
angajaților, prin analiza mediului extern și prin ajustarea obiectivelor și viziunii în funcție
de rezultatele analizei.
 Implementarea de programe de educație etică poate ajuta la promovarea
comportamentului etic în rândul angajaților. Aceste programe pot include instruire în
ceea ce privește codul de etică al organizației, discuții despre etică și oportunități pentru
angajați de a discuta despre dilemele etice cu care se confruntă.

Amenințări (Threats)
  Schimbările mediului extern pot impune organizației să-și adapteze cultura
organizațională. De exemplu, dacă organizația intră pe o piață nouă, poate fi necesară
14
adaptarea culturii organizaționale pentru a se potrivi cu valorile și așteptările acelei
piețe.
 Lipsa de resurse poate împiedica organizația să implementeze acțiuni de îmbunătățire a
culturii organizaționale. De exemplu, organizațiile cu bugete limitate pot fi nevoite să
prioritizeze alte investiții, cum ar fi dezvoltarea de noi produse sau servicii.

Criterii
„Criteriile” se referă la standardele sau liniile directoare utilizate pentru evaluarea
riscurilor și determinarea riscului acceptabil pentru organizație. Aceste criterii pot include
factori precum probabilitatea și impactul potențial al riscurilor, consecințele potențiale ale
riscurilor și toleranța sau apetitul la risc al organizației.

Evaluarea riscurilor se adresează întregii durate de viață a proiectului, aproximativ cinci ani.

Criteriile de gestionare a riscurilor din cadrul procesului de evaluare a riscurilor (anexa E) sunt
specifice cadrului de management al riscurilor de securitate (SRMF). Acestea se individualizează
și actualizează permanent pentru a reflecta cerințele și dinamica activității organizației și
necesitățile SRMF.

ANEXA A: EVALUAREA CARACTERULUI CRITIC AL ACTIVELOR

Următoarele active au fost identificate ca intrând în domeniul de aplicare al evaluării.
Clasificarea și caracterul critic al fiecăruia au fost, de asemenea, evaluate pentru a oferii
informații proceselor de identificare și tratare a riscurilor.

Detalii despre active Categorie de active Factor critic

Reputație și credibilitate Reputație VITAL
Cash, buget și finanțe Economice VITAL
Angajați Resurse umane VITAL
Informații clasificate Informație VITAL
Contractori Economice CHEIE
Active IT&C Resurse materiale CHEIE
Clădiri Resurse materiale CHEIE
 Detalii despre active
Proprietate intelectuală
Informații comerciale
Categorie de active
Informație
Informație
Factor critic
CHEIE
CHEIE
15
Echipamente Resurse materiale IMPORTANT
Informații sensibile Informație IMPORTANT
Autovehicule Resurse materiale DE SPRIJIN
Părți interesate Informație DE SPRIJIN
Tabel: Evaluarea caracterului critic al activelor
 ANEXA B: EVALUAREA AMENINȚĂRILOR/PERICOLELOR
16
Au fost evaluate următoarele surse de amenințare în scopul identificării și analizei
riscurilor, pe baza estimării ulterioare a capacității lor de a valorifica vulnerabilitățile existente.

Active expuse
Tip Actor / Hazard Act / Eveniment Evaluare
riscului
Amenințare Infractorii Phishing/Spear Angajați Ridicat
cibernetici Phishing Contractori Mediu

Furtul de identitate Părți interesate Scăzut

Angajați Ridicat
Contractori Mediu

Hacking Informații Mediu

clasificate
Active IT&C
Proprietate
intelectuală
Informații
comerciale
Informații sensibile
Cyberstalking Angajați Ridicat

Ransomware Informații Mediu

clasificate
Active IT&C
Proprietate
intelectuală
Informații
comerciale
Informații sensibile
DoS/DDoS attack Active IT&C Ridicat
Echipamente
Password attack Active IT&C Ridicat
Echipamente
Eavesdropping Active IT&C Ridicat
Echipamente
 Tip Actor / Hazard Act / Eveniment

XSS attack
Active expuse
riscului
Angajați
Contractori
Evaluare

Mediu
17
Amenințare Grupuri motivate Protest non-violent Reputație și Scăzut
politic credibilitate
Cash, buget și
finanțe
Protest violent Reputație și Scăzut
credibilitate
Cash, buget și
finanțe
Clădiri
Echipamente
Autovehicule
Amenințare Infractori Daune rău Active IT&C Scăzut
intenționate Clădiri
Echipamente
Autovehicule
Comportament Angajați Scăzut
dezordonat
Acces ilegal Informații
clasificate Mediu
Proprietate
intelectuală
Informații
comerciale
Informații sensibile

Creare breșă și furt Informație Ridicat

Active IT&C
Pericol Incertitudine Alocarea bugetară Cash, buget și Scăzut
economică finanțe
Modificări de Cash, buget și Scăzut
reglementare finanțe
Fluctuația valutară Cash, buget și Mediu
finanțe
Pericol Lanțul de Echipamente de Contractori Scăzut
aprovizionare securitate defecte,
Tip Actor / Hazard Act / Eveniment

sub-standard sau
neconforme
Active expuse
riscului
Evaluare
18
Probleme critice ale Reputație și Scăzut
furnizorului de credibilitate
servicii de securitate
Nelivrarea de bunuri Reputație și Scăzut
sau servicii de credibilitate
securitate
Tabel: Evaluarea amenințărilor/pericolelor
 ANEXA C: EVALUAREA CONTROALELOR
19
Domeniile de vulnerabilitate și eficacitatea controalelor de risc aferente au fost
examinate în cadrul etapei de evaluare a controalelor; constatările sunt documentate în tabelul
de mai jos, însoțite de evaluările eficacității controalelor pentru fiecare control evaluat.

Controale Controlați comentariile Evaluare

Guvernanța securității

Politici și proceduri SUFICIENT

de securitate Evaluarea eficacității controlului politicilor și
procedurilor de securitate pe baza capacității
acestora de a oferi protecție sigură pentru date și
sisteme. Criteriile de evaluare pentru eficacitatea
controalelor ar putea include factori precum:

1. Politica: În ce măsură politicile și procedurile de

securitate abordează în mod eficient toate
riscurile și amenințările la adresa securității
cibernetice
2. Asigurare: Măsura în care politicile și
procedurile sunt puse în aplicare și urmate în
mod eficient de către toate părțile relevante
3. Monitorizare: nivelul de monitorizare și de
punere în aplicare a politicilor și procedurilor

Evaluarea generală ar trebui să fie cel mai vulnerabil

dintre aceste trei elemente. De asemenea, echipa
de management al riscului ar trebui să ia în
considerare dovezi privind nivelul de succes în
prevenirea incidentelor de securitate și în
protejarea datelor și a sistemelor.

Securitatea personalului

Politici și proceduri SUFICIENT

de securitate Atunci când evaluați eficacitatea politicilor și
procedurilor de securitate ca control de securitate,
este important să luați în considerare următorii
factori:

1. Relevanță: Politica sau procedura abordează

nevoile și riscurile specifice de securitate?
2. Claritate: Sunt politicile și procedurile scrise clar
și ușor de înțeles?
3. Implementare: Au fost implementate și
integrate eficient politicile și procedurile în
 Controale

4.
Controlați comentariile

procesele și sistemele organizației?

Conformitate: Angajații și părțile interesate
respectă politicile și procedurile și sunt acestea
Evaluare

20
aplicate în mod consecvent?
5. Eficacitate: Politicile și procedurile reduc
riscurile și îmbunătățesc securitatea activelor
organizației?
6. Revizuire și actualizare: Politicile și procedurile
sunt revizuite și actualizate periodic pentru a se
asigura că rămân relevante și eficiente, având în
vedere riscurile și tehnologiile în schimbare?
7. Comunicare: Politicile și procedurile au fost
comunicate în mod eficient tuturor angajaților și
părților interesate și există un mecanism pentru
solicitarea de feedback și abordarea
preocupărilor?
8. Răspunsul la incidente: Au fost testate politicile
și procedurile prin incidente și exerciții simulate
și au fost identificate și abordate lacune sau
deficiențe?
9. Rentabilitate: Politicile și procedurile oferă un
nivel adecvat de securitate pentru resursele
investite în implementarea și întreținerea lor?

Luând în considerare acești factori, puteți determina

dacă politicile și procedurile dvs. de securitate oferă
un nivel eficace și eficient de securitate.

Securitate cibernetică

Autentificare multi-factor
-

Backup și recuperare
-

Corecții pentru sistemul

de operare -

Politici și proceduri de
securitate -

Lista albă a aplicației

-

Managementul
macrocomenzilor -
 Controale
Aplicarea patch-urilor
-
Controlați comentariile Evaluare

21
Întărirea aplicației
-

Specificații și
monitorizare a
arhitecturii sistemului

Restricții privind
privilegiile administrative -

Securitate fizică

Sisteme de comunicații
fixe -

CCTV
-

Semne
-

Controale de acces
-

Sistemul Duress
-

Prevenirea criminalității
prin proiectarea mediului -
(CPTED)

Iluminat
-

Securitatea perimetrală
-

Gestionarea lacătelor și a
cheilor -

Forța de pază
-

Sistem de detectie
efractie -
 Controale Controlați comentariile Evaluare

22
Sisteme portabile de
comunicații -

Detectoare de metale
portabile -

Contramăsuri electronice
(ECM) -

Bariere pentru vehicule

-

Detectarea urmelor de
explozibili (ETD) -

Detectoare de metale – EXCELENT

plimbare prin -

Dispozitive de screening BUN

cu raze X -

Vehicule blindate (EV) SUFICIENT

-

Procese de screening SLAB

pentru pietoni -

Procesele de control de INEXISTENT

securitate ale vehiculelor -

Tabel: Evaluarea controalelor

 ANEXA D: REGISTRUL RISCURILOR

Amenințări / Active Controale Riscul Riscul

ID Descrierea riscului Tratamente recomandate
pericole primare curente curent rezidual

Tabel: Registrul riscurilor

 ANEXA E: METODOLOGIA DE EVALUARE
Standardul internațional pentru evaluarea riscurilor este ISO 31000:2018
Managementul riscurilor - Linii directoare. Se pot aplica mai multe standarde atunci când se
examinează riscurile specifice unor funcțiuni specifice ale organizației, cum ar fi cele
asociate cu sănătatea, siguranța și securitatea în muncă. Aceste standarde articulează modul
în care activele, sursele de risc (amenințări și pericole) și eficacitatea controlului ar trebui
luate în considerare inițial și pe tot parcursul procesului de gestionare a riscurilor.

Metodologia aplicată acestei evaluări este în concordanță atât cu ISO 31000, cât și cu
celelalte standarde recunoscute, iar următoarele criterii au fost aplicate în timpul procesului
de evaluare.

Criterii de evaluare al caracterului critic al activelor

Evaluarea caracterului critic Criterii

VITAL  Serviciile și/sau facilitățile alternative nu pot fi asigurate dacă activele sunt
pierdute sau grav deteriorate.
 Pierderea sau compromiterea va duce la abandonarea sau încetarea pe termen
lung a funcțiilor sau a practicilor comerciale de bază.
 Pierderea sau compromiterea va avea un impact devastator asupra reputației
organizației (internațional, permanent).

CHEIE  Vor apărea restricții majore ale practicilor comerciale de bază dacă activele sunt
pierdute sau grav deteriorate.
 Pierderea sau compromiterea va duce la încetarea / întreruperea pe termen lung
a activității de bază.
 Pierderea sau compromiterea va avea un impact major, pe scară largă, asupra
reputației organizației (națională, susținută).

IMPORTANT  Se vor produce unele restricții minore ale practicilor comerciale de bază dacă
activele sunt pierdute sau grav deteriorate.
 Pierderea sau compromiterea va duce la încetarea / întreruperea pe termen scurt
a activității de bază.
 Pierderea sau compromiterea poate avea un impact asupra reputației
organizației (regional, pe termen scurt).

DE SPRIJIN  Serviciile și/sau facilitățile obișnuite pot fi furnizate în cazul în care activele sunt
pierdute sau grav deteriorate.
 Pierderea sau compromiterea nu va duce la încetarea/întreruperea activității de
bază.
 Pierderea sau compromiterea nu va avea niciun impact vizibil asupra reputației
organizației.

Tabel: Criterii de evaluare a caracterului critic al activelor

Criterii de evaluare a amenințărilor

Intenție

Niciuna Implicită Exprimată Angajament Dedicație

Avansată Scăzut Mediu Înalt Extremă Extremă

Dezvoltată Scăzut Mediu Înalt Înalt Extremă

Capabilitate Moderată Neglijabil Scăzut Mediu Înalt Înalt

Emergentă Neglijabil Neglijabil Scăzut Mediu Înalt

Nedezvoltată Neglijabil Neglijabil Neglijabil Scăzut Mediu

Tabel: Criterii de evaluare a amenințărilor

Nu s-au făcut înregistrări în registrul riscurilor în legătură cu evaluările pentru „actele

de amenințare” care au fost evaluate sub pragul de toleranță la amenințările de mai jos, dar
acestea rămân în atenție pentru revizuiri ulterioare.

Extremă  Reprezintă cel mai înalt nivel de risc și urgență pentru organizație
 Necesită măsuri imediate și cuprinzătoare pentru a atenua
amenințarea
 Amenințările la acest nivel au potențialul de a provoca daune grave,
cum ar fi pierderi financiare semnificative, întreruperi operaționale
sau daune semnificative reputației organizației.

Înalt  Reprezintă un nivel semnificativ de risc care necesită o atenție

promptă
 Necesită măsuri proactive pentru a preveni sau minimiza impactul
amenințării
 Amenințările la acest nivel au potențialul de a provoca daune
moderate, cum ar fi pierderi financiare semnificative, întreruperi
operaționale sau daune reputației organizației.

SELECTATE: Medie  Reprezintă un nivel moderat de risc care necesită atenție

Actele de  Necesită ca măsurile să fie implementate în timp util pentru a
amenințare preveni sau minimiza impactul amenințării
evaluate la acest  Amenințările la acest nivel au potențialul de a provoca daune
nivel (și mai minore, cum ar fi pierderi financiare minore, întreruperi
mare) trebuie să operaționale sau deteriorarea reputației organizației.
apară în registrul
riscurilor.

Scăzut  Reprezintă un nivel scăzut de risc care necesită o atenție minimă

 Necesită implementarea unor contramăsuri minime pentru a
preveni sau minimiza impactul amenințării
 Amenințările la acest nivel au potențialul de a provoca daune
minore, cum ar fi pierderi financiare minime, întreruperi
operaționale sau daune reputației organizației.

Neglijabil  Reprezintă un nivel minim sau neglijabil de risc

 Necesită implementarea unor contramăsuri minime sau inexistente
 Amenințările la acest nivel au un potențial minim de a provoca
 daune organizației.

Tabel: Setarea toleranței la amenințări

Evaluarea intenției Descriptor de intenție

Niciuna  Nicio dorință - absența motivației și scopului. Atacatorul nu ar crede că are

capacitatea și abilitatea de a comite amenințarea.

Implicită  Unii sunt motivați și angajați să obțină rezultate folosind mijloace în general
nevătămătoare. Autorul amenințării crede că are capacitate și abilitate limitate
pentru a comite amenințarea.

Exprimată  Foarte motivat, dar cu o anumită flexibilitate în ceea ce privește metoda și

capacitatea de acțiune. Autorul amenințării ar avea așteptări rezonabile de a
comite cu succes amenințarea, pe baza capacității și abilității sale.

Angajament  Grad ridicat de dorință, cu spațiu limitat pentru compromis și cu un potențial

ridicat de a folosi măsuri extreme. Capacitățile și abilitățile actorilor de
amenințare sunt de așa natură încât ar avea așteptări mari de a comite
amenințarea.

Dedicație  Motivații extreme, cu puține limitări privind actul de amenințare. Atacatorul are
așteptări foarte mari de a comite cu succes amenințarea.

Tabel: Criterii privind intenția de amenințare

Evaluarea capacității Descriptor de capacitate

Avansată  Finanțat și dotat cu resurse complete. Înalt calificat și instruit în mod cuprinzător.

Dezvoltată  Foarte calificat și instruit în utilizarea tacticilor și tehnicilor. Nivel semnificativ de

finanțare și/sau resurse.

Moderată  Nivel moderat de finanțare și/sau resurse. Nivel moderat de pregătire și abilități.

Emergentă  Finanțare și/sau resurse limitate. Cunoștințe și abilități limitate.

Nedezvoltată  Puține resurse și/sau finanțare. Fără cunoștințe sau instruire.

Tabel: Criterii privind capacitatea amenințărilor

Criterii de evaluare a evenimentelor periculoase

Evaluarea evenimentului Criterii

Critic  Evenimentul ar fi de intensitate majoră.

 Evenimentul s-ar putea materializa cu un avertisment minim.
 Evenimentul ar fi prelungit.
 Evenimentul se află în imediata apropiere.
 Evenimentul ar fi extrem de volatil.
 Evenimentul ar fi extrem de persistent.

Emergent  Evenimentul ar fi de intensitate moderată.

 Evenimentul s-ar putea materializa cu un avertisment gestionabil.
 Evenimentul va avea o durată moderată.
 Evenimentul se află în proximitatea intermediară.
 Evenimentul ar fi de volatilitate medie.
 Evenimentul ar fi moderat persistent.

Nevătămător  Evenimentul ar fi de intensitate scăzută.

 S-ar putea materializa cu avertismente ample.
 Evenimentul ar fi pe termen scurt.
 Evenimentul este îndepărtat.
 Evenimentul ar fi de volatilitate scăzută.
 Evenimentul nu va fi persistent.

Tabel: Criterii de evaluare a evenimentelor de pericol

Nu s-au realizat înregistrări în registrul riscurilor în legătură cu evaluările pentru

„evenimentele” care au fost plasate sub pragul de toleranță la situații scăzute de pericol, dar
acestea rămân documentate pentru revizuire ulterioară.

Critic Evenimentele periculoase evaluate la acest nivel trebuie să apară în

registrul riscurilor.

Emergent Evenimentele de pericol evaluate la acest nivel (și mai mare) trebuie să
apară în registrul riscurilor.

Nevătămător Evenimentele de pericol evaluate la acest nivel (și mai mare) trebuie să
Selectat
apară în registrul riscurilor.

Tabel: Setarea toleranței la evenimentele de pericol

Criterii de evaluare a eficacității controlului riscurilor
Eficacitatea controalelor actuale ale riscurilor a fost evaluată utilizând criteriile de
mai jos.

Evaluare Criterii

EXCELENT  Comenzile sunt proiectate corespunzător și funcționează conform destinației.

Activitățile de management sunt eficiente în gestionarea și atenuarea riscurilor.
EVALUAREA EFICACITĂȚII CONTROLULUI POLITICILOR
 Politicile și procedurile sunt solide, actualizate și au trecut prin mai multe iterații.
 Au fost identificate sau create standarde și orientări relevante.
 Cadrul de gestionare este revizuit periodic, iar orice lacune identificate sunt
abordate în cadrul unui singur ciclu de revizuire.
 Documentația care susține sistemul de management este controlată cu
responsabilitățile și datele de revizuire specificate.
EVALUAREA CADRELOR DE ASIGURARE
 Instruirea bazată pe competențe se bazează pe un program cuprinzător de
instruire cu >98% conformitate.
 Înregistrările de livrare și evaluare a instruirii sunt cuprinzătoare și actuale pentru
tot personalul, contractorii și vizitatorii.
 Programul de formare se bazează pe o analiză actuală a nevoilor de instruire.
 Planurile de afaceri specifică cerințele bugetare și de resurse și se bazează pe
analize documentate.
 Dovezile arată că resursele au fost finanțate, iar >98 % sunt puse în aplicare în
termenele convenite.
 Ciclurile de exerciții și antrenament sunt complet documentate și integrate cu
>98% conformitate.
MECANISME DE CONFORMITATE ȘI FEEDBACK
 Un plan de audit structurat abordează toate elementele sistemului de
management.
 Programele de audit sunt bazate pe riscuri și finalizate în >98% conformitate cu
planul.
 Recomandările formulate în rapoartele privind acțiunile corective, constatările
auditului și investigațiile sunt documentate, iar >98 % din acțiunile acceptate sunt
finalizate în termenele convenite.
 Sistemele sunt mature, iar procesele de îmbunătățire continuă au fost puse în
aplicare timp de mai mulți ani de cicluri de revizuire.

BUN  Este nevoie de îmbunătățiri limitate. Controalele și/sau activitățile de gestionare

sunt concepute în mod corespunzător și funcționează oarecum eficient,
identificându-se unele oportunități de îmbunătățire.
EVALUAREA EFICACITĂȚII CONTROLULUI POLITICILOR
 Politicile și procedurile de bază sunt actuale și au trecut prin cel puțin o revizuire.
 Standardele și orientările identificate sprijină majoritatea procedurilor.
 Cadrul de gestionare este revizuit periodic și completat în mod substanțial.
 Documentația care susține sistemul de management este controlată cu
responsabilitățile și datele de revizuire specificate.
ORIENTĂRI PENTRU EVALUAREA CADRELOR DE ASIGURARE
 Instruirea și evaluarea bazate pe competențe sunt furnizate conform unui
program cuprinzător de instruire, cu >80% conformitate.
 Programul de formare se bazează pe o analiză actuală a nevoilor de instruire.
 Înregistrările de instruire sunt actuale și cuprinzătoare.
 Planurile de afaceri specifică cerințele bugetare și de resurse.
 Dovezile arată că resursele au fost finanțate, iar majoritatea sunt la locul lor.
 Evaluare Criterii

 Planurile de comunicare sunt documentate.

CONFORMITATE ȘI FEEDBACK
 Un plan de audit structurat abordează elementele critice ale sistemului de
management.
 Programele de audit sunt bazate pe riscuri și finalizate în >80% conformitate cu
planul.
 Recomandările formulate în rapoartele privind acțiunile corective, constatările
auditului și investigațiile sunt documentate, iar >80 % din acțiunile acceptate sunt
finalizate în termenele convenite.
 Sistemele sunt mature și există de cel puțin două cicluri de revizuire.
SUFICIENT  Este necesară o îmbunătățire semnificativă. Există controale cheie și/sau activități
de gestionare. Cu toate acestea, au fost identificate oportunități semnificative de
îmbunătățire.
EVALUAREA EFICACITĂȚII CONTROLULUI POLITICILOR
 Politicile și procedurile sunt în vigoare, dar pot fi parțial documentate și aplicate
inconsecvent.
 Cadrul de gestionare este în stadiu de proiect sau incomplet.
 Sistemul de management este incomplet sau depășit, dar există planuri pentru a
dezvolta politici, proceduri și orientări pentru a aborda aceste deficiențe.
 Procedurile și liniile directoare sunt în vigoare, dar sunt inconsecvente în format
sau conținut în toate domeniile de activitate.
CADRELE DE ASIGURARE
 Formarea bazată pe competențe este ad-hoc sau nu este pe deplin documentată.
 Programul de formare se bazează pe o analiză a nevoilor de formare care este
depășită sau mai veche de trei ani.
 Planurile de afaceri specifică uneori cerințele bugetare sau de resurse.
 Există dovezi care arată că au fost finanțate unele resurse, iar >60 % sunt
disponibile.
 Comunicațiile sunt ad-hoc, iar planurile sunt specificate, dar conformitatea este
de <50%.
CONFORMITATE ȘI FEEDBACK
 Un plan de audit este evident, dar nu se bazează pe riscuri sau nu abordează
toate domeniile.
 Programele de audit sunt finalizate în >60% conformitate cu planul.
 Peste 60 % din rapoartele privind acțiunile corective, constatările de audit și
investigațiile sunt finalizate în termenele convenite.
 Politicile și procedurile pot fi noi, dar a avut loc cel puțin un ciclu de revizuire cu
sisteme și structuri aprobate.

INSUFICIENT  Există controale și/sau activități de gestionare limitate, persistă un nivel ridicat de
risc. Controalele și/sau activitățile de gestionare sunt concepute și oarecum
ineficiente în ceea ce privește atenuarea riscurilor sau creșterea eficienței.
EVALUAREA EFICACITĂȚII CONTROLULUI POLITICILOR
 Politicile și procedurile nu sunt documentate în mod coerent.
 Trebuie luate măsuri pentru revizuirea sau actualizarea documentelor de
gestionare ale cadrului.
 Ciclurile de revizuire sunt specificate, dar nu sunt respectate.
CADRELE DE ASIGURARE
 Instruirea este ad-hoc, inconsecventă sau nu este evaluată.
 Înregistrările de instruire sunt incomplete.
 Resursele și bugetele pot exista, dar nu sunt documentate în planurile formale.
 Controalele de gestiune nu sunt comunicate în mod oficial.
CONFORMITATE ȘI FEEDBACK
 Un plan de audit nu este evident sau <60% conformitate cu planul.
 Evaluare Criterii

 Peste 40% din activitățile de îmbunătățire continuă (rapoarte de acțiuni

corective, constatări de audit sau investigații) sunt puse în aplicare în intervale de
timp specificate.
 A avut loc cel puțin un ciclu de revizuire cu >80% din politicile, procedurile și
structurile existente.

INEXISTENT  Controalele și/sau activitățile de gestionare sunt inexistente sau au deficiențe

majore și nu funcționează conform destinației. Controalele și/sau activitățile de
gestionare, astfel cum au fost concepute, sunt extrem de ineficace în ceea ce
privește atenuarea riscurilor sau eficiența motrice.
EVALUAREA EFICACITĂȚII CONTROLULUI POLITICILOR
 Politicile și procedurile nu sunt documentate, rămân în proiect sau nu abordează
cerințele indicatorului.
 Politicile și procedurile sunt revizuite, dar rămân în proiect pentru mai mult de un
ciclu de revizuire.
 Ciclurile de revizuire nu sunt specificate.
CADRELE DE ASIGURARE
 Dovezile activităților de asigurare sunt limitate sau inexistente.
 Activitățile de instruire, capacitate, comunicare sau logistică sunt ad-hoc sau
inexistente.
 Analiza nevoilor de instruire nu este evidentă.
 Planurile de resurse și bugetele nu reflectă cerințele.
CONFORMITATE ȘI FEEDBACK
 Puține sau deloc dovezi de îmbunătățire continuă.
 Auditurile sunt ad-hoc, limitate în domeniul de aplicare sau inexistente.
 Sistemele de feedback nu sunt evidente.
 Nu sunt evidente cicluri de revizuire.

Tabel: Criterii de evaluare a eficacității controlului riscurilor

Criterii de evaluare a riscurilor

Descriptor de Descriptor de Evenimente istorice Descriptor de

Evaluarea
informații despre evaluare a probabilitate
probabilității
amenințări amenințărilor

5. APROAPE Există informații Extremă A avut loc în mod 90% sau mai multe
SIGUR credibile și specifice regulat în organizație în șanse de apariție.
care indică faptul că va intervalul de timp luat
avea loc un în considerare sau
eveniment. circumstanțele sunt în
curs de desfășurare
care vor determina
acest lucru

4. PROBABIL Există informații Înalt A avut loc în organizație 65% până la 90%
Creșterea probabilității ->

credibile și evaluate în termen de 3 multipli șanse de apariție.

care indică de la intervalul de timp
probabilitatea luat în considerare.
producerii unui
eveniment.

3. POSIBIL Există informații Medie A avut loc anterior în 35% până la 65%
plauzibile care istoria organizației în șanse de apariție.
sugerează că un alte organizații sau
eveniment ar putea circumstanțe similare
avea loc.

2. PUȚIN Există informații că un
PROBABIL eveniment ar putea
avea loc, dar este de
calitate sau cantitate
scăzută.
Jos Nu a avut loc niciodată 10% până la 35%
în organizație, dar a șanse de apariție.
avut loc rar în alte
organizații similare.

1. RARE Există șanse limitate Neglijabil Este posibil, dar nu a <10% șanse de
de apariție pe baza avut loc până în prezent apariție.
dovezilor disponibile. în organizație sau în
orice organizație
similară.

Tabel: Criterii de probabilitate la risc

Creșterea consecințelor ->

Limitat Minor Moderat Major Sever

Daune minime aduse Ar putea fi de așteptat Ar putea fi de așteptat Ar putea fi de așteptat Ar putea fi de așteptat
persoanelor, să provoace daune să provoace daune să provoace daune să provoace daune
informațiilor și minore persoanelor, semnificative grave persoanelor, excepțional de grave
Obiective bunurilor sau informațiilor și persoanelor, informațiilor și persoanelor,
obiectivelor. bunurilor sau informațiilor și bunurilor sau informațiilor și
obiectivelor. bunurilor sau obiectivelor. bunurilor sau
obiectivelor. obiectivelor.
 Creșterea consecințelor ->

Limitat Minor Moderat Major Sever

Ar putea pune în Ar putea duce la Ar putea duce la Se poate aștepta în Ar putea duce direct la
pericol sau provoca vătămarea unui vătămări semnificative mod rezonabil să ducă pierderea vieții a trei
vătămări limitate unui lucrător, asociat sau sau vătămări corporale la vătămări grave sau sau mai mulți lucrători,
lucrător, asociat sau client pentru un lucrător, care pun viața în asociați sau clienți
Resurse umane client, inclusiv vătămări asociat sau client pericol mai multor
care nu sunt grave sau persoane sau la
nu pun viața în pericol pierderea a 1 sau 2
vieți

Compromiterea Compromiterea majoră Compromiterea Compromiterea Compromiterea

catastrofală a a informațiilor sensibile moderată a minoră a informațiilor informațiilor
informațiilor sensibile sau clasificate informațiilor sensibile sensibile disponibile în alt mod
Informație sau clasificate referitoare la sau clasificate în domeniul public
referitoare la obiectivele
obiectivele organizaționale cheie
organizaționale cheie

Daune localizate aduse Daune minore aduse Daune semnificative Daune extinse aduse Daune extinse și
proprietății sau proprietății, sistemelor aduse proprietății, proprietății, sistemelor răspândite aduse
bunurilor sau bunurilor sistemelor sau sau activelor cheie care proprietății, sistemelor
Resursă materială activelor afectează continuitatea sau activelor cheie care
afacerii afectează continuitatea
afacerii

Impactul ar fi mai mic între 10% și 35% din între 35% și 65% din între 65% și 90% din Mai mult de 90% din
de 10 % din buget sau buget sau active buget sau active buget sau active buget sau active
Active economice din active (pentru
(numerar și fiecare domeniu de
finanțe) aplicare al evaluării)

Impact limitat pe Impact minor asupra Impact semnificativ Impact major asupra Pierderea încrederii în
termen scurt asupra reputației și statutului, asupra reputației și reputației și statutului, partea guvernului, a
reputației și statutului cu o anumită statutului cu cu degradarea gravă pe partenerilor, a
degradare a degradarea termen lung a clienților și a părților
angajamentului / angajamentului / angajamentului / interesate cheie. Critici
relațiilor cu partenerii, relațiilor cu partenerii, relațiilor cu partenerii, și nemulțumiri extreme
Reputație clienții și părțile clienții și părțile clienții și părțile din partea
interesate cheie interesate cheie. Critici interesate cheie. Critici comunității/mass-
și nemulțumiri și nemulțumiri grave mediei
semnificative din din partea comunității
partea comunității / sau a mass-mediei
mass-media

Cauza întârzieri Cauzează pierderea sau Cauzează pierderea să cauzeze pierderea Cauzează o defecțiune
limitate sau întreruperi degradarea unei funcții sau degradarea majoră sau degradarea gravă a critică a capacității,
ale operațiunilor sau principale de activare a uneia sau mai multor uneia sau mai multor având ca rezultat o
funcțiilor timp de 24 de ore funcții primare de funcții principale de perioadă prelungită de
activare a serviciului activare a serviciului întrerupere și/sau
Capabilitate timp de 24-72 de ore pentru mai mult de trei incapacitatea de a
zile îndeplini una sau mai
multe dintre funcțiile
cheie ale agenției
pentru o perioadă
îndelungată

Împiedică respectarea Încălcarea unei cerințe Încălcarea legislației Încălcare gravă a Încălcarea gravă a
politicilor sau sau politici sau încălcarea legislației sau a legislației sau a
cerințelor guvernamentale semnificativă a cerințelor sau politicii cerințelor sau politicii
Conformitate operaționale, inclusiv a cerințelor sau politicii guvernamentale. O guvernamentale. O
cerințelor de securitate guvernamentale încălcare a politicii de încălcare a politicii de
de protecție securitate securitate

Tabel: Criterii de consecință a riscurilor

 Impact
1. Limitat 2. Minor 3. Moderat 4. Major 5. Sever
Probabilitate

5. Aproape sigur Mediu Mediu Ridicat Foarte ridicat Foarte ridicat

4. Probabil Mediu Mediu Ridicat Ridicat Foarte ridicat

3. Posibil Scăzut Mediu Mediu Ridicat Ridicat

2. Puțin probabil Scăzut Scăzut Mediu Mediu Ridicat

1. Rare Scăzut Scăzut Scăzut Mediu Mediu

Tabel: Matricea riscurilor

Odată evaluate, riscurile sunt apoi evaluate în raport cu pragurile din tabelul de mai jos și
luate în considerare pentru tratament în cadrul Registrului riscurilor.

Nivelul de Clasificarea
Cerințe privind tratamentul riscurilor
toleranță riscului

Foarte ridicat Acțiune imediată din partea conducerii executive și a consiliului cu planificare,
alocare a resurselor și monitorizare.

Ridicat Riscul depășește pragul de toleranță al organizației și trebuie redus. Este necesară
atenția conducerii superioare.

Mediu Riscul ar trebui redus dacă acest lucru este eficient din punct de vedere al costurilor.
Selectat În caz contrar, trebuie stabilite măsuri de monitorizare, iar riscul trebuie revizuit
periodic. Este necesară atenția managementului.

Scăzut Riscul se încadrează în toleranțele acceptabile și ar trebui gestionat prin proceduri

standard și practici de afaceri, dar și monitorizat și revizuit pentru modificări.

Tabel: Setarea toleranței la risc

 ANEXA F: INTERVIURI
Se adaugă lista persoanelor intervievate și rolurile acestora (după caz).
 ANEXA G: LOCAȚII VIZITATE
Se adaugă lista locațiilor și facilităților vizitate (după caz).
 ANEXA H: DOCUMENTE MENȚIONATE
Se adaugă lista documentelor și materialelor care stau la baza acestei evaluări a riscurilor (după caz).
 ANEXA I: PLANURI DETALIATE DE TRATAMENT AL RISCURILOR
Tratamentele enumerate în registrul riscurilor sunt rezumate la o propoziție. Acestea vor fi
detaliate în această anexă pentru acțiuni ulterioare.
Tratamentul 1: Protecția accesului la server

Descriere Upgrade al rack-urilor de comunicații server și de rețea.

Responsabilitat CIO
e

Acțiuni Identificați locația tuturor serverelor și infrastructurii de comunicații, cum ar fi routerele,

care nu sunt stocate în prezent în conformitate cu standardele organizaționale. Aceasta
include toate comunicațiile securizate, inclusiv faxurile, resursele informatice clasificate
și telefoanele.

Selectați și instalați dulapuri de server proiectate pentru a satisface nevoile specifice ale
fiecărei locații:

- Securitate fizică: Dulapurile rack-ului serverului ar trebui proiectate astfel încât

să prevină accesul neautorizat, inclusiv caracteristici precum uși care pot fi
încuiate, încuietori cu cheie rezistente la pick-uri și balamale inviolabile.
- Răcire: Rack-urile serverelor ar trebui să asigure ventilație și răcire adecvate
pentru a preveni supraîncălzirea serverelor și a altor echipamente.
- Gestionarea cablurilor: Dulapurile ar trebui să aibă un sistem structurat de
gestionare a cablurilor pentru a organiza și fixa cablurile astfel încât cablurile să
nu inhibe închiderea și blocarea sigură a ușilor dulapurilor.
- Accesibilitate: Dulapurile ar trebui să permită accesul ușor la servere pentru
întreținere, upgrade-uri și înlocuiri. Aceasta poate include caracteristici precum
panouri laterale detașabile, rafturi reglabile și decupaje pentru cabluri.
- Rezistență și stabilitate: Dulapurile ar trebui să fie proiectate pentru a susține
greutatea serverelor și a altor echipamente și să fie suficient de robuste pentru
a preveni bascularea sau alte defecțiuni structurale.
- Distribuția energiei: Dulapurile ar trebui să aibă un sistem integrat de
distribuție a energiei electrice pentru a furniza energie serverelor și ar trebui să
includă caracteristici precum protecția la supratensiune și protecția
întreruptoarelor.

Ieşiri Raport detaliat care specifică toate locațiile serverelor și echipamentelor de comunicații,
inclusiv tipul de rack de servere, echipamentele și procesele de gestionare a cheilor,
certificarea zonală a zonei.

Înlocuirea tuturor serverelor, ruterelor și rack-urilor de comunicații neconforme,

deteriorate sau substandard.

Aplicare Toate serverele de rețea, routerele și hub-urile de comunicații de la Cyber Corporation.

Riscuri tratate Consultați riscurile 1, 8 și 15 din registrul riscurilor pentru îndrumări și specificații
suplimentare în timpul proiectării și implementării.

Criterii Conformitate 100% pentru toate serverele și routerele.

 Toate sistemele critice de comunicații.

Resurse CIO plus furnizori externalizați

Organizație CIO

Calitate și Dulapurile ar trebui să respecte standardele și reglementările din industrie, cum ar fi

standarde cele stabilite de organizații precum Electronic Industries Alliance (EIA) și Asociația
Națională a Producătorilor de Electricitate (NEMA). Toate serverele și rack-urile de
comunicații ar trebui să fie blocate în orice moment atunci când nu sunt utilizate

Realizat atunci Rezultatele proiectului sunt finalizate și semnate de CIO.

când

Note: Pericolele, cum ar fi articolele inflamabile (de exemplu: cutii de carton, echipamente
neesențiale, cabluri de rezervă), lichidele și uneltele de mână ar trebui eliminate din co-
locația în rack-urile serverului și comunicațiilor.

Managerii de zonă, personalul IT&C și personalul de securitate ar trebui să fie instruiți

pentru a înțelege importanța și aplicarea corectă a protocoalelor de securitate, cum ar fi
stocarea și înregistrarea cheilor, inspecțiile de menaj și gestionarea accesului la servere.
Tratamentul 2: <Următorul tratament de risc în registrul riscurilor>

Descriere Completați pe baza informațiilor pe care le-ați adăugat în secțiunile anterioare

Responsabilitat
e

Acțiuni -

Ieşiri

Aplicare

Riscuri tratate

Criterii

Resurse

Organizație

Calitate și
standarde

Realizat atunci
când

Note: