Documente Academic
Documente Profesional
Documente Cultură
Data: 28.01.2024
DISCLAIMER
Acest document se bazează pe informațiile colectate de managerul de risc în timpul
1
procesului de evaluare a riscurilor. Observațiile și recomandările se bazează pe presupunerea
că orice informații documentate și alte forme de informații furnizate echipei de management al
riscului au fost complete, faptice, exacte și relevante în circumstanțele respective și că
procesele observate în timpul oricăror activități de analiză au indicat o practică regulată (cu
excepția cazului în care se indică altfel).
CUPRINS......................................................................................................................................................3
REZUMAT....................................................................................................................................................4
ANEXA F: INTERVIURI................................................................................................................................27
Evaluarea a identificat mai multe domenii de risc pentru securitatea Cyber Corporation,
inclusiv:
Aplicare
În contextul ISO 31000, sintagma „domeniu de aplicare” se referă la constrângerile și limitările
procesului de management al riscurilor, inclusiv riscurile care vor fi luate în considerare și
activitățile sau deciziile specifice procesului.
Includeri
În cadrul procesului de diagnoză a fost implicat un grup larg și reprezentativ de părți interesate
(anexa F) și au fost vizitate mai multe facilități (anexa G).
Excluderi
Domeniul de aplicare exclude climatul arctic și riscurile asociate cu armele de foc
Obiectivele SRA se bazează pe cele patru elemente ale cadrului de gestionare a riscurilor de
securitate:
Context
Termenul „context” se referă la mediul mai larg în care va avea loc procesul de
gestionare a riscurilor, inclusiv scopurile și obiectivele organizației, riscurile relevante pentru
organizație și părțile interesate implicate în procesul de gestionare a riscurilor.
Contextul extern
Contextul extern include factorii și influențele care sunt în afara controlului organizației,
cum ar fi mediul economic, politic și social.
Contextul intern include factorii și influențele aflate sub controlul organizației, cum ar fi
cultura, politicile și procesele sale.
9
PRIMO-F reprezintă o metodă utilă care poate ajuta organizațiile să ia în considerare contextul
intern în care operează. PRIMO-F înseamnă oameni (people), resurse (resources), inovare
(innovation), marketing, operațiuni (operations) și financiar (finance).
Factor fizic
Exemple de impact:
Un incendiu sau o inundație poate distruge un centru de date, ceea ce poate duce la
pierderea de date și la întreruperea activității organizației.
Un atac cibernetic poate duce la furtul de date confidențiale, la întreruperea activității
sau la sabotaj.
Acțiuni de atenuare:
Factor management
Lipsa sau inadecvarea politicilor, procedurilor și proceselor poate duce la erori, la
scăderea eficienței și la creșterea riscurilor.
Orice schimbare neplanificată în politici, proceduri sau procese poate duce la
perturbarea activității și la creșterea riscurilor.
10
Exemple de impact:
Lipsa unei proceduri clare pentru o anumită activitate poate duce la erori sau la
accidente.
O schimbare neplanificată a unei politici poate duce la confuzie și la întârzieri.
Acțiuni de atenuare:
Factor organizațional
Exemple de impact:
Acțiuni de atenuare:
Definirea unor obiective și viziune clare, care să fie înțelese și susținute de către toți
angajații.
Implementarea unui cod de etică, care să fie cunoscut și respectat de către toți
angajații.
11
Cadrul de management al riscului
Oportunități (Opportunities)
Amenințări (Threats)
Oportunități (Opportunities)
Amenințări (Threats)
13
de colaborare și de inovație. Atunci când angajații se simt confortabil și apreciați, sunt
mai predispuși să împărtășească idei și să lucreze împreună pentru a găsi soluții creative
la probleme. Acest lucru poate duce la o mai bună performanță a organizației.
Obiective și viziune clare pot ajuta la orientarea angajaților și la asigurarea faptului că
aceștia lucrează în aceeași direcție. Atunci când angajații știu ce se așteaptă de la ei și
unde se îndreaptă organizația, sunt mai predispuși să fie motivați și să lucreze din greu
pentru a atinge obiectivele.
Un cod de etică poate ajuta la crearea unei culturi de integritate și
responsabilitate. Atunci când angajații știu că se așteaptă de la ei să se comporte în mod
etic, sunt mai predispuși să ia decizii corecte și să evite comportamentul
neadecvat. Acest lucru poate ajuta la protejarea organizației de riscuri și la
îmbunătățirea reputației acesteia.
Oportunități (Opportunities)
Amenințări (Threats)
Schimbările mediului extern pot impune organizației să-și adapteze cultura
organizațională. De exemplu, dacă organizația intră pe o piață nouă, poate fi necesară
14
adaptarea culturii organizaționale pentru a se potrivi cu valorile și așteptările acelei
piețe.
Lipsa de resurse poate împiedica organizația să implementeze acțiuni de îmbunătățire a
culturii organizaționale. De exemplu, organizațiile cu bugete limitate pot fi nevoite să
prioritizeze alte investiții, cum ar fi dezvoltarea de noi produse sau servicii.
Criterii
„Criteriile” se referă la standardele sau liniile directoare utilizate pentru evaluarea
riscurilor și determinarea riscului acceptabil pentru organizație. Aceste criterii pot include
factori precum probabilitatea și impactul potențial al riscurilor, consecințele potențiale ale
riscurilor și toleranța sau apetitul la risc al organizației.
Evaluarea riscurilor se adresează întregii durate de viață a proiectului, aproximativ cinci ani.
Criteriile de gestionare a riscurilor din cadrul procesului de evaluare a riscurilor (anexa E) sunt
specifice cadrului de management al riscurilor de securitate (SRMF). Acestea se individualizează
și actualizează permanent pentru a reflecta cerințele și dinamica activității organizației și
necesitățile SRMF.
Active expuse
Tip Actor / Hazard Act / Eveniment Evaluare
riscului
Amenințare Infractorii Phishing/Spear Angajați Ridicat
cibernetici Phishing Contractori Mediu
XSS attack
Active expuse
riscului
Angajați
Contractori
Evaluare
Mediu
17
Amenințare Grupuri motivate Protest non-violent Reputație și Scăzut
politic credibilitate
Cash, buget și
finanțe
Protest violent Reputație și Scăzut
credibilitate
Cash, buget și
finanțe
Clădiri
Echipamente
Autovehicule
Amenințare Infractori Daune rău Active IT&C Scăzut
intenționate Clădiri
Echipamente
Autovehicule
Comportament Angajați Scăzut
dezordonat
Acces ilegal Informații
clasificate Mediu
Proprietate
intelectuală
Informații
comerciale
Informații sensibile
sub-standard sau
neconforme
Active expuse
riscului
Evaluare
18
Probleme critice ale Reputație și Scăzut
furnizorului de credibilitate
servicii de securitate
Nelivrarea de bunuri Reputație și Scăzut
sau servicii de credibilitate
securitate
Tabel: Evaluarea amenințărilor/pericolelor
ANEXA C: EVALUAREA CONTROALELOR
19
Domeniile de vulnerabilitate și eficacitatea controalelor de risc aferente au fost
examinate în cadrul etapei de evaluare a controalelor; constatările sunt documentate în tabelul
de mai jos, însoțite de evaluările eficacității controalelor pentru fiecare control evaluat.
Securitatea personalului
4.
Controlați comentariile
20
aplicate în mod consecvent?
5. Eficacitate: Politicile și procedurile reduc
riscurile și îmbunătățesc securitatea activelor
organizației?
6. Revizuire și actualizare: Politicile și procedurile
sunt revizuite și actualizate periodic pentru a se
asigura că rămân relevante și eficiente, având în
vedere riscurile și tehnologiile în schimbare?
7. Comunicare: Politicile și procedurile au fost
comunicate în mod eficient tuturor angajaților și
părților interesate și există un mecanism pentru
solicitarea de feedback și abordarea
preocupărilor?
8. Răspunsul la incidente: Au fost testate politicile
și procedurile prin incidente și exerciții simulate
și au fost identificate și abordate lacune sau
deficiențe?
9. Rentabilitate: Politicile și procedurile oferă un
nivel adecvat de securitate pentru resursele
investite în implementarea și întreținerea lor?
Securitate cibernetică
Autentificare multi-factor
-
Backup și recuperare
-
Politici și proceduri de
securitate -
Managementul
macrocomenzilor -
Controale
Aplicarea patch-urilor
-
Controlați comentariile Evaluare
21
Întărirea aplicației
-
Specificații și
monitorizare a
arhitecturii sistemului
Restricții privind
privilegiile administrative -
Securitate fizică
Sisteme de comunicații
fixe -
CCTV
-
Semne
-
Controale de acces
-
Sistemul Duress
-
Prevenirea criminalității
prin proiectarea mediului -
(CPTED)
Iluminat
-
Securitatea perimetrală
-
Gestionarea lacătelor și a
cheilor -
Forța de pază
-
Sistem de detectie
efractie -
Controale Controlați comentariile Evaluare
22
Sisteme portabile de
comunicații -
Detectoare de metale
portabile -
Contramăsuri electronice
(ECM) -
Detectarea urmelor de
explozibili (ETD) -
Metodologia aplicată acestei evaluări este în concordanță atât cu ISO 31000, cât și cu
celelalte standarde recunoscute, iar următoarele criterii au fost aplicate în timpul procesului
de evaluare.
VITAL Serviciile și/sau facilitățile alternative nu pot fi asigurate dacă activele sunt
pierdute sau grav deteriorate.
Pierderea sau compromiterea va duce la abandonarea sau încetarea pe termen
lung a funcțiilor sau a practicilor comerciale de bază.
Pierderea sau compromiterea va avea un impact devastator asupra reputației
organizației (internațional, permanent).
CHEIE Vor apărea restricții majore ale practicilor comerciale de bază dacă activele sunt
pierdute sau grav deteriorate.
Pierderea sau compromiterea va duce la încetarea / întreruperea pe termen lung
a activității de bază.
Pierderea sau compromiterea va avea un impact major, pe scară largă, asupra
reputației organizației (națională, susținută).
IMPORTANT Se vor produce unele restricții minore ale practicilor comerciale de bază dacă
activele sunt pierdute sau grav deteriorate.
Pierderea sau compromiterea va duce la încetarea / întreruperea pe termen scurt
a activității de bază.
Pierderea sau compromiterea poate avea un impact asupra reputației
organizației (regional, pe termen scurt).
DE SPRIJIN Serviciile și/sau facilitățile obișnuite pot fi furnizate în cazul în care activele sunt
pierdute sau grav deteriorate.
Pierderea sau compromiterea nu va duce la încetarea/întreruperea activității de
bază.
Pierderea sau compromiterea nu va avea niciun impact vizibil asupra reputației
organizației.
Intenție
Extremă Reprezintă cel mai înalt nivel de risc și urgență pentru organizație
Necesită măsuri imediate și cuprinzătoare pentru a atenua
amenințarea
Amenințările la acest nivel au potențialul de a provoca daune grave,
cum ar fi pierderi financiare semnificative, întreruperi operaționale
sau daune semnificative reputației organizației.
Implicită Unii sunt motivați și angajați să obțină rezultate folosind mijloace în general
nevătămătoare. Autorul amenințării crede că are capacitate și abilitate limitate
pentru a comite amenințarea.
Dedicație Motivații extreme, cu puține limitări privind actul de amenințare. Atacatorul are
așteptări foarte mari de a comite cu succes amenințarea.
Avansată Finanțat și dotat cu resurse complete. Înalt calificat și instruit în mod cuprinzător.
Moderată Nivel moderat de finanțare și/sau resurse. Nivel moderat de pregătire și abilități.
Emergent Evenimentele de pericol evaluate la acest nivel (și mai mare) trebuie să
apară în registrul riscurilor.
Nevătămător Evenimentele de pericol evaluate la acest nivel (și mai mare) trebuie să
Selectat
apară în registrul riscurilor.
Evaluare Criterii
INSUFICIENT Există controale și/sau activități de gestionare limitate, persistă un nivel ridicat de
risc. Controalele și/sau activitățile de gestionare sunt concepute și oarecum
ineficiente în ceea ce privește atenuarea riscurilor sau creșterea eficienței.
EVALUAREA EFICACITĂȚII CONTROLULUI POLITICILOR
Politicile și procedurile nu sunt documentate în mod coerent.
Trebuie luate măsuri pentru revizuirea sau actualizarea documentelor de
gestionare ale cadrului.
Ciclurile de revizuire sunt specificate, dar nu sunt respectate.
CADRELE DE ASIGURARE
Instruirea este ad-hoc, inconsecventă sau nu este evaluată.
Înregistrările de instruire sunt incomplete.
Resursele și bugetele pot exista, dar nu sunt documentate în planurile formale.
Controalele de gestiune nu sunt comunicate în mod oficial.
CONFORMITATE ȘI FEEDBACK
Un plan de audit nu este evident sau <60% conformitate cu planul.
Evaluare Criterii
5. APROAPE Există informații Extremă A avut loc în mod 90% sau mai multe
SIGUR credibile și specifice regulat în organizație în șanse de apariție.
care indică faptul că va intervalul de timp luat
avea loc un în considerare sau
eveniment. circumstanțele sunt în
curs de desfășurare
care vor determina
acest lucru
4. PROBABIL Există informații Înalt A avut loc în organizație 65% până la 90%
Creșterea probabilității ->
3. POSIBIL Există informații Medie A avut loc anterior în 35% până la 65%
plauzibile care istoria organizației în șanse de apariție.
sugerează că un alte organizații sau
eveniment ar putea circumstanțe similare
avea loc.
2. PUȚIN Există informații că un Jos Nu a avut loc niciodată 10% până la 35%
PROBABIL eveniment ar putea în organizație, dar a șanse de apariție.
avea loc, dar este de avut loc rar în alte
calitate sau cantitate organizații similare.
scăzută.
1. RARE Există șanse limitate Neglijabil Este posibil, dar nu a <10% șanse de
de apariție pe baza avut loc până în prezent apariție.
dovezilor disponibile. în organizație sau în
orice organizație
similară.
Daune minime aduse Ar putea fi de așteptat Ar putea fi de așteptat Ar putea fi de așteptat Ar putea fi de așteptat
persoanelor, să provoace daune să provoace daune să provoace daune să provoace daune
informațiilor și minore persoanelor, semnificative grave persoanelor, excepțional de grave
Obiective bunurilor sau informațiilor și persoanelor, informațiilor și persoanelor,
obiectivelor. bunurilor sau informațiilor și bunurilor sau informațiilor și
obiectivelor. bunurilor sau obiectivelor. bunurilor sau
obiectivelor. obiectivelor.
Creșterea consecințelor ->
Ar putea pune în Ar putea duce la Ar putea duce la Se poate aștepta în Ar putea duce direct la
pericol sau provoca vătămarea unui vătămări semnificative mod rezonabil să ducă pierderea vieții a trei
vătămări limitate unui lucrător, asociat sau sau vătămări corporale la vătămări grave sau sau mai mulți lucrători,
lucrător, asociat sau client pentru un lucrător, care pun viața în asociați sau clienți
Resurse umane client, inclusiv vătămări asociat sau client pericol mai multor
care nu sunt grave sau persoane sau la
nu pun viața în pericol pierderea a 1 sau 2
vieți
Daune localizate aduse Daune minore aduse Daune semnificative Daune extinse aduse Daune extinse și
proprietății sau proprietății, sistemelor aduse proprietății, proprietății, sistemelor răspândite aduse
bunurilor sau bunurilor sistemelor sau sau activelor cheie care proprietății, sistemelor
Resursă materială activelor afectează continuitatea sau activelor cheie care
afacerii afectează continuitatea
afacerii
Impactul ar fi mai mic între 10% și 35% din între 35% și 65% din între 65% și 90% din Mai mult de 90% din
de 10 % din buget sau buget sau active buget sau active buget sau active buget sau active
Active economice din active (pentru
(numerar și fiecare domeniu de
finanțe) aplicare al evaluării)
Impact limitat pe Impact minor asupra Impact semnificativ Impact major asupra Pierderea încrederii în
termen scurt asupra reputației și statutului, asupra reputației și reputației și statutului, partea guvernului, a
reputației și statutului cu o anumită statutului cu cu degradarea gravă pe partenerilor, a
degradare a degradarea termen lung a clienților și a părților
angajamentului / angajamentului / angajamentului / interesate cheie. Critici
relațiilor cu partenerii, relațiilor cu partenerii, relațiilor cu partenerii, și nemulțumiri extreme
Reputație clienții și părțile clienții și părțile clienții și părțile din partea
interesate cheie interesate cheie. Critici interesate cheie. Critici comunității/mass-
și nemulțumiri și nemulțumiri grave mediei
semnificative din din partea comunității
partea comunității / sau a mass-mediei
mass-media
Cauza întârzieri Cauzează pierderea sau Cauzează pierderea să cauzeze pierderea Cauzează o defecțiune
limitate sau întreruperi degradarea unei funcții sau degradarea majoră sau degradarea gravă a critică a capacității,
ale operațiunilor sau principale de activare a uneia sau mai multor uneia sau mai multor având ca rezultat o
funcțiilor timp de 24 de ore funcții primare de funcții principale de perioadă prelungită de
activare a serviciului activare a serviciului întrerupere și/sau
Capabilitate timp de 24-72 de ore pentru mai mult de trei incapacitatea de a
zile îndeplini una sau mai
multe dintre funcțiile
cheie ale agenției
pentru o perioadă
îndelungată
Împiedică respectarea Încălcarea unei cerințe Încălcarea legislației Încălcare gravă a Încălcarea gravă a
politicilor sau sau politici sau încălcarea legislației sau a legislației sau a
cerințelor guvernamentale semnificativă a cerințelor sau politicii cerințelor sau politicii
Conformitate operaționale, inclusiv a cerințelor sau politicii guvernamentale. O guvernamentale. O
cerințelor de securitate guvernamentale încălcare a politicii de încălcare a politicii de
de protecție securitate securitate
Odată evaluate, riscurile sunt apoi evaluate în raport cu pragurile din tabelul de mai jos și
luate în considerare pentru tratament în cadrul Registrului riscurilor.
Nivelul de Clasificarea
Cerințe privind tratamentul riscurilor
toleranță riscului
Foarte ridicat Acțiune imediată din partea conducerii executive și a consiliului cu planificare,
alocare a resurselor și monitorizare.
Ridicat Riscul depășește pragul de toleranță al organizației și trebuie redus. Este necesară
atenția conducerii superioare.
Mediu Riscul ar trebui redus dacă acest lucru este eficient din punct de vedere al costurilor.
Selectat În caz contrar, trebuie stabilite măsuri de monitorizare, iar riscul trebuie revizuit
periodic. Este necesară atenția managementului.
Responsabilitat CIO
e
Selectați și instalați dulapuri de server proiectate pentru a satisface nevoile specifice ale
fiecărei locații:
Ieşiri Raport detaliat care specifică toate locațiile serverelor și echipamentelor de comunicații,
inclusiv tipul de rack de servere, echipamentele și procesele de gestionare a cheilor,
certificarea zonală a zonei.
Riscuri tratate Consultați riscurile 1, 8 și 15 din registrul riscurilor pentru îndrumări și specificații
suplimentare în timpul proiectării și implementării.
Organizație CIO
Note: Pericolele, cum ar fi articolele inflamabile (de exemplu: cutii de carton, echipamente
neesențiale, cabluri de rezervă), lichidele și uneltele de mână ar trebui eliminate din co-
locația în rack-urile serverului și comunicațiilor.
Responsabilitat
e
Acțiuni -
Ieşiri
Aplicare
Riscuri tratate
Criterii
Resurse
Organizație
Calitate și
standarde
Realizat atunci
când
Note: