Documente Academic
Documente Profesional
Documente Cultură
Bucureti
Facultatea de Cibernetic, Statistic i Informatic Economic
ANALIZA RISCULUI N
SISTEMELE SECURIZATE
ntrebare .
Alte ntrebri .
a
e
s
n i
i
i
u
a
l
z
i
u
n aos
a
g
r ah
o
i
e
e
r
n
a
u ion
l
u
r g es t
d
a )
c
n zuri
i
i
e ca
t
i
r
t
l
u
c
u
se e m
a
e ar t
r
a
r
fo
u
g
n
i
(
As
n
m
Termeni i definiii
Bun/active Orice are valoare ntr-o organizatie. Se includ cldirile, componente hardware i software, date,
personal, planuri i documentaii etc.
Risc Ameninate care poate s exploateze eventualele slbiciuni ale sistemului.
Combinatia intre probabilitatea unui eveniment si consecintele sale (ISO Guide 73).
Ameninare Cauz potenial a unui impact nedorit asupra unui sistem sau a unei organizaii (ISO 13335-1).
Un eveniment nedorit (intenionat sau accidental) care poate produce daune bunurilor organizatiei.
Vulnerabilitate O slbiciune n ceea ce privete procedurile de sistem, arhitectura sistemului, implementarea
acestuia, controlul intern, precum i alte cauze care pot fi exploatate pentru a trece de sistemele de securitate i a
avea acces neautorizat la informaii.
Orice slbiciune, proces administrativ, act sau expunere care face ca o informaie despre un bun s fie
susceptibil de a fi exploatat de o ameninare.
Impact Pierderea general ateptat a afacerii cnd o ameninare exploateaz o vulnerabilitate mpotriva unui
bun.
Exploit Un mijloc de utilizare a vulnerabilitii pentru a cauza o disfuncionalitate a activitilor organizaiei sau
o disfuncionalitate a serviciilor de securitate a informaiei din cadrul organizaiei.
Expunere O aciune de ameninare prin care informaia senzitiv este eliberata direct unei entitati neautorizate
(RFC2828).
Integritate Proprietatea prin care data nu a fost alterat sau distrus ntr-o manier neautorizat (ISO 7498-2).
Accesibilitate (disponibilitate) Proprietatea unui sistem de a asigura c este accesibil i disponibil pentru folosire
la cererea unui utilizator sau proces autorizat din sistem.
Confidelitate Proprietatea prin care informaia nu este facut disponibil sau dezvluit ctre persoane, entiti
sau procese neautorizate(ISO 7498-2).
Termeni i definiii
(continuare)
Procesul complex prin care riscurile sunt identificate i impactul acestor riscuri este
Managementul riscurilor Procesul de determinare a unui nivel acceptabil de risc, evaluarea nivelului curent de
risc, urmrea pailor pentru reducerea riscului la un nivel acceptabil i meninerea acelui nivel de risc.
Analiza calitativ Abordare a analizei de risc n care se atribuie valori relative bunurilor, riscurilor, controalelor
i impacturilor.
Analiz cantitativ Abordare a analizei de risc n care se atribuie valori numerice obiective (reale) bunurilor,
riscurilor, controalelor i impacturilor.
Termeni i definiii
(continuare)
Pierderea anuala estimat (PAE) Sum total de bani pe care o organizatie o va pierde ntr-un an dac nu va lua
msuri pentru pentru micorarea sau eliminarea riscului.
Pierderea anuala estimat pe fiecare bun (PAEb) Sum total de bani, aferent unui bun, pe care o organizatie
o va pierde ntr-un an dac nu va lua msuri pentru pentru micorarea sau eliminarea riscului care afecteaz acel
bun.
Pierderea anuala estimat pe fiecare ameninare (PAEa) Sum total de bani, creat de o ameninare, pe care o
organizatie o va pierde ntr-un an dac nu va lua msuri pentru pentru micorarea sau eliminarea unui risc care
afecteaz bunurile.
Rata anual de producere/de apariie (a unui eveniment) Valoare care cuantific de cte ori se poate produce un
anumit eveniment pe parcursul unui an.
Analiza costbeneficiu Estimare i o comparaie a valorii relative i a costului asociate cu fiecare control propus.
Criteriu de eficien folosit pentru alegerea controlului ce va fi implementat.
Rentabilitatea Investiiei (profitul din investitia n securitate) Suma total de bani pe care o organizatie se
ateapt sa o salveze (economiseasca) ntr-un an prin implementarea msurilor de securitate.
Nevoia de securitate
1970
1980
2 noiembrie 1988
Giant Worm
Un vierme (virus dup unii), lansat n Internet, infecteaz un numr de 60.000 de calculatoare de
pe ntreg teritoriul Statelor Unite. Acesta se mprtia cu repeziciune de la calculatoarele din
Cambridge, Massachusetts i Berkeley, California, la calculatoarele din Princeton, apoi la NASA
Ames Research Center din Silicon Valley, California, la Universitatea din Pittsburgh, la Los Alamos
National Laboratory i la alte universiti, baze militare i institute de cercetare.
Costurile necesare stoprii viermelui i testrii sistemelor infectate au fost estimate ntre 1.000.000
i 100.000.000 dolari. Vinovat - Robert T. Morris - student la Universitatea Cornell.
11 septembrie 2001
Atacurile asupra World Trade Center (WTC) i asupra Pentagonului
Atacurile cauzeaz pagube de peste 100 miliarde de dolari.
Datorit existenei unor planuri de msuri n caz de dezastre, comunicaiile sunt refcute rapid, iar
unele firme reuesc s revin online in 48 de ore de la atac.
Dup aceste atacuri, att Statele Unite ct i alte state, i revizuiesc politica de securitate.
Love Letter Worm reuete s infecteze, ntr-o singur zi din anul 2000, 45 de milioane de calculatoare.
13.
n luna februarie 2000, activitatea multor site-uri de e-commerce, printre care Yahoo!, E-Bay i E-Trade, a fost
afectat de un nou atac de tip DoS, denumit Distributed Denial of Service (DDoS). Atacul se folosea de tehnologia clientserver pentru a concentra atacul asupra anumitor puncte. Vinovatul a fost gsit, dup luni de cutri, n persoana unui tnr
hacker.
14.
n luna octombrie a aceluiai an, firma Microsoft a raportat c un hacker a reuit s aib acces la o poriune din
reeaua LAN proprie.
15.
Pagina de web a Departamentului de Stat al Statelor Unite a fost atacat n luna octombrie 2002 i umplut cu
obsceniti. Din aceast cauz, funcionarea acesteia a trebuit s fie ntrerupt.
16.
Dup atacul din insula Bali din luna octombrie 2002, cnd Australia a impus presiuni asupra grupurilor teroriste din
Indonezia, presupuse responsabile de atac, peste 200 de site-uri australiene au fost atacate de hackeri din Indonezia.
17.
nsi structura Internet a fost atacat n luna octombrie 2002. 13 servere de root au fost afectare de DDoS i o
mulime de utilizatori s-au vzut n imposibilitatea de a efectua conexiuni.
18.
O conferin mpotriva furtului de informaii din calculatoare a fost sabotat n luna mai 2003. Hackerii au reuit s
sustrag aproximativ 1000 de nume i adrese de e-mail ale persoanelor participante la acea conferin.
!
Pierderi anuale pe tipuri de abuzuri n anii 2002 i 2003
Sabotaje
871,000
Penetrare sisteme
901,500
958,100
2,747,000
Fraudare telecomunicaii
3,997,500
Acces neautorizat
4,278,205
Furt laptop-uri
6,734,500
Fraude financiare
7,670,500
10,601,055
Furt de proprietate
11,460,000
Altele
13,468,400
26,460,000
Virui informatici
0
10,000,000
55,053,900
50,000,000 60,000,000
!
Pierderi anuale pe tipuri de abuzuri n anii 2003 i 2004
639 respondeni
!
Pierderi anuale pe tipuri de abuzuri n anii 2004 i 2005
Sursa: Computer Security Institute, CSI/FBI 2006 Computer Crime and Security Survey
313 respondeni
100
80
Acces neautorizat
Refuz al serviciului (DoS)
Penetrare sisteme
60
Fraude financiare
Sabotaje
Abuzarea reelelor wireless
20
2000
2001
2002
2003
2004
2005
2006
Sursa: Computer Security Institute, CSI/FBI 2006 Computer Crime and Security Survey
Surse de atac
90
P ro c e n ta j r s p u n s u ri
81
80
2000
2001
2002
76 75 77
81 82 82
77
2003
70
60
49
50
44
38
40
40
31
30
26
26 25
25 26
28
21
20
10
0
Angajati
Companii
strine
Competitori
Guverne strine
Hackeri
(independeni)
Sursa: Computer Security Institute, CSI/FBI 2003 Computer Crime and Security Survey
2003: 488 rspunsuri/92%
2002: 414 rspunsuri/82%
2001: 484 rspunsuri/91%
2000: 583 rspunsuri/90%
84
Securitate fizic
47
44
48
Reutilizare parole
91
92
90
54
99
90
Program e antivirus
98
100
40
35
39
39
PCMCIA
38
Identificare digital
36
49
42
2003
11
10
9
8
2002
2001
89
Firewall
78
Detectarea intruziunilor
50
50
53
50
Criptare acces
69
64
62
58
82
Control acces
0
20
2000
73
60
61
58
Criptare fi iere
98
95
40
60
80
Procentaj rspunsuri
92
90
92
100
120
Sursa: Computer Security Institute, CSI/FBI 2003 Computer Crime and Security Survey
2003: 525 rspunsuri/99%
2002: 500 rspunsuri/99%
2001: 530 rspunsuri/99%
2000: 629 rspunsuri/97%
Sursa: Computer Security Institute, CSI/FBI 2005 Computer Crime and Security Survey
respondeni
687
Sursa: Computer Security Institute, CSI/FBI 2005 Computer Crime and Security Survey
respondeni
616
S E C U R I T A T E
Secretizare
Acuratee
Interzicerea
accesului
neautorizat al
persoanelor la
informaia care nu
le este destinat.
Datele stocate n
calculator s nu poat
fi alterate sau s nu
poat fi modificate
dect de persoane
autorizate.
Datele stocate n
calculator s poat
s fie accesate de
persoanele
autorizate
Confirm
autenticitatea unui
mesaj electronic
Definirea cerinelor
pentru mbuntirea securitii
-Contientizare (program)
-Comunicare executiv (program)
Oameni
-pregtire
-responsabiliti
-cultur
-organizare
FIRMA
Procese
-politici
-proceduri
-standarde
Tehnologii
-infrastructur
-aplicaii
Analiza riscului
Determinarea necesitilor
Implemantare politici
Punct de convergen
Implementare controale
Asistare
Contientizare
Monitorizare
Evaluare
Sursa http://www.noweco.com/
La http://www.noweco.com/downe.htm se gsesc materiale suplimentare referitoare la managementul riscului (Trial software, brouri, prezentri)
Evaluarea
Msurarea
eficacitii
programului
Implementare
controale
riscurilor
2
Coordonarea
procesului
decizional
Nivel
efort
Curba de efort
Culegere
date
Analiz
sumar a
riscului
Analiz
detaliat
a
riscului
Faze ale procesului
Procesul
decizional
Implementare
controale
Rulare
controale
Nivel
Status
Descriere
Inexistent
Ad-hoc
Firma este contient de risc. Eforturile de management al riscului sunt fcute n grab i
haotic. Politicile i procesele nu sunt bine documentate. Proiectele de management al riscului
sunt necoordonate i haotice, iar rezultatele nu pot fi msurate i evaluate.
Repetabil
Firma are cunotine despre managementul riscului. Procesul de management al riscului este
repetabil dar imatur. Procesele de management al riscului nu sunt suficient documentate, dar
firma lucreaz in acest sens. Nu exist o instruire formal sau o comunicare n ce privete
managementul de risc, responsabilitatea fiind lsat la latitudinea angajatului.
Definit
Firma adopt o decizie formal de implementare a managementului de risc. Sunt definite clar
obiectivele i modalitile de msurare a rezultatelor. Angajaii sunt instruii formal la un nivel
de baz.
Controlat
Managementul riscului este bine neles n toate compartimentele i nivelurile firmei. Exist
proceduri bine definite de control i reducere a riscului. Eficacitatea poate fi msurat.
Personalul este instruit. Resursele alocate sunt suficiente. Beneficiile sunt vizibile. Echipa de
management al riscului lucreaz pentru a mbunti permanent procesele i instrumentele pe
care le utilizeaz. O mare parte din procesele de evaluare a riscului, de identificare a
controalelor, de analiz costuri-beneficii sunt neautomatizare (manuale).
Optimizat
Procesul de management al riscului este bine neles i automatizat prin instrumente specifice
dezvoltate n cadrul firmei sau achiziionate de la firme specializate n domeniu. Sunt
identificate sursele de risc i sunt luate msuri de limitare a efectelor acestora. Angajaii sunt
instruii diferenial. Se lucreaz la optimizare procese.
Punctaj
ntrebri
1. Politicile de asigurare a securitii informaiei sunt clare, concise, bine
documentate i complete.
05
05
05
05
05
05
05
05
05
05
05
05
05
05
05
16. S-au lansat programe (i acestea sunt eficiente) pentru a se asigura c toi
angajaii si ndeplinesc sarcinile ntr-o manier conform cu prevederile legale.
05
05
Punctaj final
0 ... 85
Punctaj
obinut
51 ... 85
34 ... 50
0 ... 33
Stadiu
Firma mai are de parcurs cteva etape necesare controlului de risc i introducerii
rile
a
d
n
graduate de noi procese de control.
oma
c
e
r
nora
g
i
e
poat itate.
a
m
r
ci fi de secur
n
u
t
t - a surile
n
e
n
i
c im rapid m
s
i
r
entrebuie
uninceap
u
p
p
Firma din aceast categorie
s
mai nti s-i creeze un nucleu al unei
m
i
im
i
a
s
i
echipe de management
riscului. Aceasta i va concentra mai nti eforturile,
tea
uanalizei
situa a al
p
c
a
u
r
D depcteva
pe o perioad
luni, pentru unul dintre compartimente. Dup ce se demonstreaz
ent
viabilitatea msurilor aplicate de reducere a riscului, se vor extinde msurile la
urmtoarele dou-trei compartimente.
Alte ntrebri care vor defini nivelul de securitate al organizaiei Dvs., i v vor ghida n
aciunile ulterioare sunt disponibile la:
http://csrc.nist.gov/
http://csrc.nist.gov/ publications/nistpub/index.html
NIST
National Institute of Standatds and Technology
Security Self-Assessment Guide for Information Technology Systems
Titlu
Responsabilitate
Director executiv
Proprietarul afacerii
Grupul IT
Titlu
Responsabilitate
Secretar
Acionarii
Proprietar
Stabilete ce este
important
Determinarea unui
risc acceptabil
Grupul de
Securitate
Clasific riscurile
Grupul IT
Alegerea soluiei de
control adecvate
Evaluare riscuri
Definirea cerinelor
de securitate
Proiectare i
implementare
soluii de
securitate
Msurarea soluiilor
de securitate
Exploatare i sprijin
pentru soluii
Reevaluarea
Evaluarea
eficacitii
programului
riscurilor
3
Implementare
controale
Cutarea unei abordari integrate Corelarea
ntre oameni, procese i tehnologii pentru
atenuarea riscului
Organizarea soluiilor de control
Organizarea soluiilor de reducere a riscurilor
peste activitile firmei
1
Definirea cerinelor funcionale Definirea cerinelor
funcionale
pentru reducerea riscului
2
procesului
Managementul riscului
Analiza riscului
Obiective
Tip de proces
Implementare
controale
Evaluarea riscurilor
Evaluarea
Msurarea
eficacitii
programului
riscurilor
2
Coordonarea
procesului
decizional
1. Planificarea
alinierea
scopul
aceptarea
3. Prioritizarea riscurilor
coordonarea unei prioritizri sumare a nivelului de risc
rezumat al prioritizrii nivelului de risc
analiz mpreun cu proprietarul
analiz de detaliu a prioritizrii nivelului de risc
detalierea prioritizrii nivelului de risc
Analiza cantitativ
Lucreaz cu date statistice n domeniu
Analiza calitativ
Lucreaz cu date mai puin complexe
Riscul
Riscul poate fi definit ca o ameninate care poate s exploateze eventualele slbiciuni ale sistemului.
Riscul este un eveniment care ateapt s se ntmple.
Analiza de risc presupune un proces de identificare a riscurilor de securitate, determinarea amplitudinii
riscurilor, precum i identificarea zonelor cu risc mare i care trebuie securizate. Analiza de risc face parte din
ansamblul de msuri care poarta denumirea de managementul riscului. Evaluarea riscurilor este un rezultat
al unui proces de analiz a riscurilor.
Bunuri
Ameninare
Ce dorim s protejm?
De ce ne este fric?
Impact
Care este impactul asupra afacerilor?
Vulnerabilitate
Atenuare
Probabilitate
Care este probabilitatea ca ameninarea
s se manifeste?
Categorii de risc
O categorisire a riscurilor se poate face innd cont de sursele de risc. O prim categorisire poate fi:
1.
2.
3.
4.
5.
6.
7.
8.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Managementul bunurilor
Managementul schimbrii
nelegerii
Mediu
Financiar
Management general
Responsabiliti
Personal
Servicii i producie
Tehnologie
1/2
Categorii de risc
Standardele n domeniu ofer urmtoarea categorisire a riscurilor:
Nr.
Categorie
Exemple/Descriere
Boli
Economic
Mediu
Financiar
Uman
Dezastre naturale
Msuri de siguran
Productivitate
Profesional
10
Distrugeri de proprietate
11
Publice
Relaiile cu publicul.
12
Securitate
13
Tehnologice
2/2
Evenimente !!!!!!
Categorii de risc
Rezumat
Evenimente naturale
Firma
Oameni
Mediul de afaceri
Atacuri
Procese
Tehnologii
Vulnerabilitate ameninare
fizice;
naturale;
hardware;
software;
medii de stocare;
radiaii;
comunicaii;
umane.
naturale i fizice;
accidentale;
intenionate.
interne;
externe.
Ameninrile interne vin din partea propriilor angajai.
Ameninrile externe vin din partea mai multor categorii, i
anume:
Ameninare
(tipuri i exemple)
1/2
Tip ameninare
Exemplu
Tip ameninare
Exemplu
Catastofal
Incendiu
Accident
Tensiune nestandard
Inundaie
Defect hardware
Cutremur de pmnt
Deconectri mecanice
Alunecare de teren
Avalan
Accident de construcie
Furtun/uragan
Acte
neintenionate
Angajat/colaborator
neinformat
Atac terorist
Angajat/colaborator neinstruit
Revolte/rscoale
Angajat/colaborator neglijent
Explozie (industrial)
Ameninare
(tipuri i exemple)
Tip ameninare
Exemplu
Acte
intenionate
Hacker, cracker
Spionaj (partener de
afaceri, concuren)
Spionaj (guverne strine)
Criminal PC
Social engineering
Angajat nemulumit
Fost angajat nemulumit
Terorist
Angajat antajabil
Pseudo-angajat
2/2
Vulnerabilitate
(tipuri i exemple)
Tip vulnerabilitate
Vulnerabilitate
Fizic
ncperi nencuiate/neasigurate
Ferestre nencuiate/neasigurate
Defecte de proiectare cldiri
Defecte de construcie cldiri
Sisteme antiincendiu insuficiente
Materiale inflamabile depozitate inadecvat
1/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Natural
2/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Hardware
3/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Software
4/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Medii stocare
5/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Comunicaii
Interferene radio
Interferene electrice
Comunicaii necriptate
Protocoale necriptate n reea
Conexiuni ntre mai multe reele
Protocoale active fr utilizare
Nefiltrarea comunicaiilor intre subreele
6/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Umane
Neraportare atacuri
Rspuns slab la atacuri
Lipsa planuri de recuperare n caz de dezastre
Testare insuficient proceduri
7/7
Fizic
Reea
Host/Gazd
Aplicaii
Date
Culegerea datelor
Implicarea proprietarului
Acesta tie cel mai bine care sunt bunurilor din organizaie, ce valoare au i ce impact au evenimentele nedorite
asupra acestora.
mprirea pe grupuri
Fiecare grup are atribuii specifice
Responsabilitate i contientizare
Responsabilitatea n procesul de culegere a datelor (i ulterior), precum i contientizarea importanei fiecrei
faze se vor reflecta n datele finale.
DB server
LAN printer
De ce ne
temem?
(Ameninare)
Cum se va
ntmpla?
(Vulnerabiliti)
Nivel de
expunere
(, M, R)
Descriere
controale
curente
Probabilitate
(, M, R)
Controale
poteniale
Expunere
Data
identificat
Denumire
bun/
Descriere
Clasa
bunului
Nivelul de
aplicabilitate
Descriere
ameninare
Descriere
vulnerabilitate
Rata de
expunere
(, M, R)
Rata de
impact
(, M, R)
Date
Date clieni
Host
Acces
neautorizat
Furt sau
ghicire parol
Date
Date clieni
Host
Alterare
Virui.
Configurare
improprie
Angajator
Grupul de securitate
Interogatorii
Discuii
Angajai
Analiza cantitativ
Lucreaz cu date statistice n domeniu
Analiza calitativ
Lucreaz cu date mai puin complexe
Aceast metod este mai des folosit dect metoda calitativ, pretndu-se la firmele de mrime mic.
Metoda nu folosete date statistice. n schimb, se folosete ca dat de intrare potenialul de pierdere.
Metoda opereaz cu termeni ca:
greu de cuantificat (ca i la metoda anterioar) anumii termeni (important este un termen greu de
definit n management).
numerele sunt de aceast dat i mai subiective. Dac la metoda anterioar ele erau date statistice, acum
sunt alese subiectiv.
An
a
3. Prioritizarea riscurilor
coordonarea unei prioritizri sumare a nivelului de risc
rezumat al prioritizrii nivelului de risc
analiz mpreun cu proprietarul
analiz de detaliu a prioritizrii nivelului de risc
detalierea prioritizrii nivelului de risc
liz
a
ca
lit
Pentru coordonarea unei prioritizri sumare a nivelului de risc se parcurg urmtorii pai:
1.
2.
3.
Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului i a probabilitii de producere
pentru fiecare bun
ati
v
al
tiv
a
it
An
a
Pierderi (USD)*
Punctaj
Clasa/nivel de impact
<1.000
1.001 10.000
10.001 50.000
50.001 100.000
100.001 500.000
500.001 1.000.000
1.000.001 5.000.000
5.000.001 10.000.000
10.000.001 50.000.000
10
>50.000.000
liz
a
ca
lit
ati
v
Valoarea Clasei/nivelului de
impact (V)
10
An
a
Tip
firm
Numr
servere
Numr
angajai
Alte caracteristici
>1.000
>1 mld.
>2.000
Medie
>100
>100 ml.
>500
- cteva site-uri
Mic
<100
<100 ml.
<100
Mare
liz
a
ca
lit
ati
v
1.
An
a
Rata de impact
Clasa
de impact
nalt
Medie
nalt
nalt
Medie
Redus
Medie
nalt
Redus
Redus
Redus
Medie
Redus
Mediu
nalt
Factor de expunere
liz
a
ca
lit
ati
v
2.
An
a
Probabilitatea de producere
(rata de probabilitate)
liz
a
Descriere
nalt
Medie
Probabil. Eveniment care se poate produce cel putin o dat sau de dou sau trei
ori pe an
Redus
ca
lit
ati
v
3.
Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului i a probabilitii de producere
pentru fiecare bun
Impact i probabilitate
Nivel de risc
Rata
de impact
nalt
Mediu
nalt
nalt
Medie
Redus
Mediu
nalt
Redus
Redus
Redus
Mediu
Redus
Medie
nalt
Probabilitate de producere
An
c
il za
a
ti v
a
t
li
An
a
3. Prioritizarea riscurilor
coordonarea unei prioritizri sumare a nivelului de risc
rezumat al prioritizrii nivelului de risc
analiz mpreun cu proprietarul
analiz de detaliu a prioritizrii nivelului de risc
1.
2.
3.
4.
liz
a
ca
lit
ati
v
An
a
1.
liz
a
ca
lit
Rata
expunere
Consecine
Descriere
Insignifiante
Minore
Moderate
Majore
Catastrofale
ati
v
An
a
Determinarea impactului
Determinarea valorii impactului se face prin nmulirea ntre
Valoarea clasei de impact (V) i Factorul de expunere (FE) corespunztoare
Valoarea clasei de impact
(V)
Rata de expunere
Factorul de expunere
(FE)
Impact (nalt)
10
100%
Impact M(ediu)
80%
Impact R(edus)
60%
40%
20%
Clasa de impact
x
Plaja de valori a ratei de
impact
Nivel
Rata de impact
7- 10
nalt
4-6
Mediu
0-3
Redus
liz
a
ca
lit
ati
v
An
a
2.
liz
a
ca
lit
ati
v
An
a
3.
liz
a
1. Numrul de atacatori.
Vulnerabilitatea va crete dac numrul persoanelor care produc un atac este n cretere.
Vulnerabilitatea va crete dac nivelul de pregtire al atacatorilor este ridicat.
2. Atac local sau atac la distan.
Vulnerabilitatea va crete dac anumite goluri de securitate pot fi exploatate de la distan.
3. Cunotine
Vulnerabilitatea va crete dac un anume tip de atac este cunoscut i documentat.
4. Automatizarea
Vulnerabilitatea va crete dac un anume tip de atac poate fi automatizat n aa fel inct s gseasc
singur i s exploateze golurile de securitate.
ca
lit
ati
v
An
a
3.
liz
a
Nivel
vulnerabilitate
nalt
Medie
Redusa
Condiii
-Numr mare de atacatori - script-kiddie/hobbyist
-Atac la distan
-Privilegii de anonymous
-Modaliti de exploatare foarte bine cunoscute si documentate
-Automatizare
-Numr mediu de atacatori - expert-specialist
-Atac local
-Necesit drepturi de acces
-Metode de atac nedocumentate
-Neautomatizare
-Numr redus de atacatori cunotinte arhitectur intern
-Atac local
-Necesit privilegii de Administrator
-Metode de atac nedocumentate
-Neautomatizare
Nota
5
dac cel putin una din
condiii este indeplinit
3
dac cel putin una din
condiii este indeplinit
1
dac cel putin una din
condiii este indeplinit
ca
lit
ati
v
An
a
3.
ntrebri
liz
a
ca
lit
Note
0 - Da, 1 Nu
ati
v
An
a
3.
liz
a
ca
lit
Nivel de vulnerabilitate
Note
0 - Da, 1 - Nu
Practicile curente de audit sunt suficiente pentru detectarea abuzurilor sau controlul deficienelor?
ati
v
An
a
4.
liz
a
ca
lit
Impact
10 7
nalt
64
30
nalt
Mediu
Redus
Rata de probabilitate
Rezultat (produs)
Nivelul de risc
10 7
41 100
nalt
Medie
64
20 40
Mediu
Redus
30
0 19
Redus
ati
v
10
10
20
30
40
50
60
70
80
90
100
18
27
36
45
56
63
72
81
90
16
24
32
40
48
56
64
72
80
14
21
28
35
42
49
56
63
70
12
18
24
30
36
42
48
54
60
10
15
20
25
30
35
40
45
50
12
16
20
24
28
32
36
40
12
15
18
21
24
27
30
10
12
14
16
18
20
10
10
Redus
Mediu
Probabilitate
nalt
An
a
Nivel de producere
Probabilitate
producere
Descriere
Aproape sigur
Probabil
Moderat
Improbabil
Rar
Se poate produce
excepionale
numai
condiii
liz
a
ca
lit
ati
v
An
a
liz
a
Nivel
consecine
Descriere /
consecine
Exemple consecine
Insignifiante
Minore
Moderate
Majore
Catastrofale
ca
lit
ati
v
An
a
liz
a
ca
lit
Consecine
Probabilitate de
producere
Insignifiante
Minore
Moderate
Majore
Catastrofale
B (probabil)
C (moderat)
D (improbabil)
E (rar)
A (aproape sigur)
E - Risc Extrem. Se impun aciuni imediate pentru minimizarea acestuia. Se impune o detaliere asupra
bunurilor i a planurilor de management pentru minimizarea riscurilor. Trebuie impuse strategii pentru aceasta.
I - Risc nalt. Trebuie luate imediat n calcul de ctre manager. Se vor identifica strategiile de management n
acest caz. Ca i anterior, trebuie minimizate riscurile.
M - Risc moderat. Trebuie luate n calcul de ctre manager.
R - Risc Redus. Aciuni specificate n procedurile de rutin.
Tabelele folosite n analiza calitativ a riscului trebuie particularizate pe activitile i locurile specifice.
ati
v
Analiza cantitativ
Lucreaz cu date statistice n domeniu
Analiza calitativ
Lucreaz cu date mai puin complexe
1.
2.
Determinarea vulnerabilitilor
3.
4.
5.
6.
An
ali
za
ca
nt
ita
ti v
1. a. Identificarea bunurilor
Presupune identificarea componentelor hardware, software, datele cu care se opereaz, personalul implicat n procese,
documentaiile aferente, suporturi etc.
Date
Fizice
Financiare
Logistice/manageriale
Planificri
Statistice
Operaionale
Personal
Cldiri
Birouri
Sisteme auxiliare
Sisteme de alimentare cu electricitate
Administrative
Documentaii
Software
Hardware
Fiiere
Programe
System
Operaionale
Programe
Ghiduri de operare
Documente de audit
Sisteme de alimentare cu ap
iz
a
ca
nt
ita
tiv
Proceduri
Planuri de avarie
Planuri de securitate
Proceduri de I/E
Msuri de control
A
na
l
Comunicaii
An
ali
1. b. Evaluarea bunurilor
Atunci cnd evalum bunurile este de preferat s se foloseasc o scal a valorii bunurilor.
Numrul
Valoarea n USD
0
<1
110
11 100
100.001 1.000.000
1.000.00110.000.000
>10.000.000
za
ca
nt
ita
ti v
Caz 1
Costuri de nlocuire
Caz 2
Costuri de recuperare
1. b. Evaluarea bunurilor
An
ali
za
ca
nt
ita
Presupune s se stabileasc costurile de nlocuire pentru cazuri cnd un anume bun este distrus.
Pentru aceasta trebuie s ne punem ntrebri care s ne ajute s evalum aceste bunuri. Unele dintre aceste ntrebri
ar putea s fie cele din rndurile urmtoare.
Referitor la componentele hardware trebuie puse urmtoarele ntrebri:
- Care este costul de nlocuire a bunului la preurile actuale?
- Ct timp dureaz pn se nlocuiete bunul/componenta distrus?
- Dac operaia/operaiile pot fi fcute manual, de ci oameni este nevoie? De ct timp suplimentar
este nevoie pentru remediere?
- Care sunt pierderile n relaiile cu clienii n condiii de nefuncionalitate?
Pentru componenta software trebuie puse urmtoarele ntrebri:
- Ct timp i va lua programatorului s gseasc problema n caz de disfuncionalitate a programelor?
- Ct timp i va lua pentru ncrcarea i testarea programului depanat?
- Ct timp i va lua pentru repunerea sistemului de operare n caz de dezastre?
Pentru date:
- Pot fi acestea refcute sau repuse?
- Ct timp se pierde pentru refacerea acestora n caz de pierdere?
- Dezastrul produs este din cauza unei aciuni voite, sau sunt cauze ntmpltoare?
- Informaiile pierdute au caracter special (militare, secrete de serviciu, confideniale)?
Pentru personal:
- De ci oameni este nevoie s lucreze pentru recuperare dezastre?
- Ct cost instruirea unui nou personal?
- Care sunt efectele psihologice ale dezastrelor?
ti v
secretizare;
integritate;
disponibilitate.
Exemplu:
Se consider un fiier care stocheaz datele personale ale unui numr de 200 de angajai ai firmei. n urma unui
eveniment nedorit (intenionat, neintenionat, accident, fenomen natural), se pierd att datele din fiier, ct i structura
acestuia. Nu exist copie de siguran pentru acestea. Refacerea structurii fiierului poate fi fcut de o persoan calificat,
lucrnd 4 ore pentru reconstrucie (n timpul programului). Salariul tarifar este de 2,5 USD/or. Repunerea datelor,
repopularea fiierului, va putea fi fcut n afara orelor de program de aceeai persoan sau de ctre o alt persoan.
Aceast operaie dureaz 5 (cinci) ore i este pltit cu 3 USD/or (lucrul n afara orelor de program).
Pierderea secretului, netiind natura dezastrului, creeaz pierderi estimate la 5.000 USD, aceasta fiind zona cu
impactul cel mai mare n privina costurilor de refacere.
4(ore) x 2,5 (USD/or) + 5(ore) x 3 (USD/or suplimentar) = 25 USD.
Calculul valorii totale pentru fiecare bun
Calculm valoarea total pentru un impact folosind formula:
Valoare b
Zona impact
Secret
5.000
Integritate
Disponibilitate
10 + 15 = 25
Impact i
i 1
a
liz
a
An
nt
ca
iv
t
ita
An
ali
2. Determinarea vulnerabilitilor
Presupune stabilirea ameninrilor la adresa bunurilor i frecvena cu care aceste ameninri se pot produce.
Posibilele ameninri la adresa bunurilor firmei sunt exemplificate mai jos.
Naturale
Accidente
Cutremure de pmnt
Acte intenionate
Dezvluiri
Inundaii
Sabotaj al angajailor
Uragane
Fraudri
Alunecri de teren
Furturi
Furtuni de zpad
Loviri
Furtuni de nisip
Utilizri neautorizate
Tornade
Vandalism
Tsunami
Intruziuni
Descrcri electrice
Atacuri cu bombe
Erupii vulcanice
Revolte/rscoale
Dezvluiri
Perturbri electrice
ntreruperi electrice
Incendii
Scurgeri de lichide
Erori de transmisii-telecomunicaii
Erori ale operatorilor/utilizatorilor
Erori de cadru organizatoric
Erori hardware
Erori software
za
ca
nt
ita
ti v
An
ali
Valoarea
Niciodat
0,0
1/300
0,00333
1/200
0,005
1/100
0,01
O dat la 50 ani
1/50
0,02
O dat la 25 ani
1/25
0,04
O dat la 5 ani
1/5
0,2
O dat la 2 ani
1/ 2
0,5
O dat pe an
1/1
1,0
De dou ori pe an
2/1
2,0
O dat pe lun
12/1
12,0
O dat pe sptmn
52/1
52
O dat pe zi
365/1
365
za
ca
nt
ita
ti v
Rata
de producere
Ameninri
Naturale
Accidente
Acte intenionate
Cutremure de pmnt
0,005 - 0,2
Inundaii
0,01- 0,5
Uragane
0, 05 - 0,5
Alunecri de teren
0 - 0,1
Furtuni de zpad
0,07 - 50
Furtuni de nisip
0,01 - 0,5
Tornado
0 - 10
Tsunami
0,00001 - 2
Descrcri electrice
0 - 0,125
Erupii vulcanice
0 - 0,01
Dezvluiri
0,2 - 5
Perturbri electrice
0, 1 - 30
ntreruperi electrice
0,1 -10
Incendii
0,1 - 10
Scurgeri de lichide
0,02 - 3
Erori de transmisii/telecomunicaii
0,5 - 100
10 - 200
Erori hardware
10 - 200
Erori software
1 - 200
Dezvluiri
0,2 - 5
Sabotaj al angajailor
0,1 - 5
Fraudri
0,09 - 0,5
Furturi
0,015 - 1
Loviri
0,1 - 5
Utilizri neautorizate
0,009 - 5
Vandalism
0,008 - 1,0
Intruziuni
Atacuri cu bombe
0, 01 - 100
Revolte/rscoale
0 - 0,29
An
ali
za
ca
nt
ita
ti v
An
ali
za
ca
nt
ita
unde
PAE a = Pierderi Anuale Estimate pentru ameninarea a, Vb = Valoarea bunului b (0 la n bunuri),
Ea = Estimarea numrului de incidente ale ameninrii a (0 la m ameninri).
Bun = Imprimant
ti v
An
ali
unde
PAE b = Pierderi Anuale Estimate pentru bunul b, V
ameninrii a (0 la m ameninri).
za
ca
nt
ita
ti v
Ameninare = Inundaie
Se determin Pierderile
unde
PAE a = Pierderi Anuale Estimate pentru ameninarea a, Vb = Valoarea bunului b (0 la n bunuri),
Ea = Estimarea numrului de incidente ale ameninrii a (0 la m ameninri).
Se determin Pierderile
unde
PAE b = Pierderi Anuale Estimate pentru bunul b, Vb = Valoarea bunului b (0 la n bunuri),
Ea = Estimarea numrului de incidente ale ameninrii a (0 la m ameninri).
An
ali
za
ca
nt
ita
ti v
An
ali
za
ca
nt
ita
ti v
n ambele cazuri de calculare a pierderilor totale, pe categorii de ameninri sau pe categorii de bunuri, rezultatul trebuie s fie identic.
Se poate obine matricea ameninare/bunuri:
Bunul 1
Bunul 2
Bunul n
Ameninare 1
(V1 x E1) +
(V2 x E1) +
+ (Vn x E1)
PAE a, 1
Ameninare 2
(V1 x E2) +
(V2 x E2) +
+ (Vn x E2)
PAE a, 2
Sum
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Ameninare m
(V1 x E m) +
(V2 x E m) +
+ (Vn x E m)
PAE a, m
PAE b, 1
PAE b, 2
PAE b, n
Sum
PAE
An
ali
za
ca
nt
Se va identifica ameninarea care produce cele mai mari valori ale pierderilor anuale estimate corespunztor acesteia (PAE a).
ita
ti v
Se vor identifica msurile care pot duce la reducerea vulnerabilitii.
Ameninri
Metode de control
Naturale
Cutremure de pmnt
Senzori, amplasament
Inundaii
Senzori, amplasament
Uragane
Amplasament
Alunecri de teren
Amplasament
Furtuni de zpad
Amplasament
Furtuni de nisip
Amplasament
Tornade
Amplasament
Tsunami
Amplasament
Descrcri electrice
Eclatoare, amplasament
Erupii vulcanice
Amplasament
Accidente
Dezvluiri
Criptare
Perturbri electrice
Stabilizatoare tensiune
ntreruperi electrice
Surse nentreruptibile
Incendii
Sisteme avertizare/stingere
Scurgeri de lichide
Senzori, carcase protecie
Erori de telecomunicaii
Linii dedicate de transmisie
Erori ale operatorilor/utilizatorilor
Instruire personal
Acte intenionate
Erori hardware
Erori software
Dezvluiri
Sabotaj al angajailor
Fraudri
Furturi
Loviri
Utilizri neautorizate
Vandalism
Atacuri cu bombe
Revolte/rscoale
Intruziuni
An
ali
za
ca
nt
ita
Valoarea lui RI ct mai mare se va putea obine acionnd asupra indicelui de eficacitate r c prin
creterea acestuia pn la valoarea maxim (1), sau asupra costului anual pentru aplicarea controlului C c
prin micorarea costurilor de implementare a controlului.
ti v
An
ali
Exemplu:
RI
(0,7x155.000) 108.500
49,31/1
(2.200)
2.200
za
ca
nt
ita
ti v
Metoda cantitativ de calcul al riscului de securitate este folosit cu precdere la firmele de mrime
medie i/sau mare.
Metoda cantitativ expus are ns anumite neajunsuri. Printre acestea se pot enumera:
Dificultatea de a gsi un numr care s cuantifice ct mai exact frecvena de producere a unui
eveniment.
Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte greu de definit disponibilitatea
unei informaii i calculul pierderilor cnd aceast caracteristic lipsete.
Metoda nu face distincie ntre ameninrile rare, dar care produc dezastre mari ca valoare (incendiu,
cutremure, tornade etc.), i ameninrile dese care produc dezastre mici ca valoare (erori de operare),
n ambele cazuri efectele financiare fiind asemntoare.
Alegerea numerelor folosite poate fi considerat subiectiv, munc laborioas care necesit timp i
consum de resurse.
Beneficii
Analiza Cantitativ
Avantaje
Analiza Calitativ
Dezavantaje
Analiza Cantitativ
Analiza Calitativ
Evaluarea
riscurilor
Msurarea
eficacitii
programului
3
Implementare
controale
Echipa de
Management
al riscului de
securitate
Grupul de
control/
atenuare
Definirea cerinelor
funcionale
Identificarea
soluiilor
de control
Revizuirea
soluiilor propuse
n conformitate
cu cerinele
Estimarea gradului
de reducere a riscului
Estimarea costului
pentru fiecare soluie
Selectarea soluiei
de atenuare a riscului
Participant
Responsabiliti
Operatorii afacerii
Proprietarul afacerii
Grupul financiar
IT - arhitectur
IT - inginerie
IT - executani
Auditor intern
Jurist
Descriere
Cerine funcionale
n faza de Coordonare a procesului decizional, pentru alegerea controalelor menite s reduc riscurile
trebuiesc puse cteva ntrebri :
Ct de mult timp este nevoie pentru instruire n vederea implementrii, monitorizrii i meninerii controlului?
Definirea unor cerine funcionale necesare asigurrii securitii reprezint de fapt declaraii/expuneri
privind descrierea controalelor necesare pentru atenuarea riscului.
Controalele trebuiesc exprimate mai degraba ca o cerin funcional i mai putin ca o stare funcional .
Cerinele funcionale definesc CE presupunem c trebuie fcut pentru identificarea i reducerea riscului
dar nu specific i CUM riscul poate fi atenuat sau s indice controalele specifice.
CUM poate fi atenuat riscul prin identificarea soluiilor de control revine ca sarcina Grupui de
control/atenuare a riscului.
Identificarea msurilor de control presupune ca echipa care are aceasta sracin s aib experien n domeniu.
Dac personalul propriu nu este specializat n acest scop atunci se poate apela la specialiti sau consultani din afara
firmei (externalizare servicii outsourcing). Acetia pot s preia toate sarcinile sau s asigure asisten n domeniu.
Informal Brainstorming
Informal Brainstorming
Coordonator
Echipa de evaluare a riscului
??
Rspuns
(= Control propus)
Secretar
Control propus
(= UPS)
ntrebri:
-Care sunt etapele pe care firma trebuie s le parcurg pentru a prentmpina declanarea unui risc sau pentru controlul
acestuia?
-R. Implementarea autentificrii multi-factor pentru reducerea riscului de compromitere a parolelor.
-Ce poate face firma, atunci cnd s-a declanat evenimentul, pentru recuperare (disaster recovery)?
-R. Backup, backup, backup.
-R. Echipe i proceduri de aciune n caz de dezastre.
-R. Sisteme auxiliare.
-Cum poate firma s verifice c un control este plasat unde trebuie, c acesta funcioneaz i poate fi monitorizat?
-R. Expert n domeniu.
Fiecare categorie este mprit n trei subcategorii cu urmtoarele roluri: prevenire, detecie i rspuns (management).
Tip control
Organizaional
Descriere
Proceduri i procese care stabilesc
modul de aciune al personalului n
cazul unor evenimente.
Subcategorii
Prevenire
Detecie
Rspuns (management)
Operaional
(Procese)
Tehnologic
Prevenire
Prevenire
Detecie
Detecie
Rspuns (management)
Tip control:
Subcategoria:
Organizaional
Preventiv
Roluri i responsabiliti clare. Definirea i documentarea clar a acestora vor face ca managerii i angajaii s
neleag responsabilitile pe fiecare post n parte.
Separarea datoriilor i mai puine privilegii. Aceasta va asigura faptul c fiecrui post de lucru i sunt permise
doar operaiile care sa-i asigure desfaurarea doar a sarcinilor de serviciu.
Planuri i proceduri de securitate bine documentate. Acestea sunt dezvoltate pentru a explica cum au fost
implementate sustemele de control i cum trebuie acestea meninute.
Instruire i campanii de informare. Instruirea este necesar pentru ca personalul sa fie la zi cu tehnologia iar
campaniile de informare sunt necesare pentru avizarea personalului asupa schimbarilor care au fost fcute.
Sisteme i procese de activare/dezactivare utilizatori. Acestea sunt necesare ca atunci cnd un nou personal este
angajat acesta s devin ct mai repede productiv, iar cel care nu mai lucreaz n firm s-i piard imediat drepturile.
Aceleai principii trebuiesc stipulate i la transferurile de personal ntre diferite compartimente. Trebuie luat n
considerare i schimbarea clasificrii pentru un post sau departament.
Stabilirea proceselor pentru acordarea accsului partenerilor de afaceri. Se includ aici toi partenerii de afaceri:
furnizorii, clienii, distribuitorii, subcontractanii etc. Principiile sunt similare cu cele enumerate anterior.
Tip control:
Subcategoria:
Organizaional
Detecie
Programe continue de control a riscului, pentru evaluarea i controlul riscului n compartimentele cheie ale
firmei.
Recenzii recurente ale sistemelor de control pentru a verifica eficiena lor.
Auditul periodic al sistemelor pentru a ne asigura c sistemele de control nu au fost compromise sau prost
configurate.
Referine i investigarea trecutului candidailor la angajare pe posturi care necesita acces la nivele ridicate de
securitate.
Stabilirea unui sistem de rotaie a muncii. Aceasta va permite descoperirea unor activiti necinstite n
rndul echipelor de IT n rndul angajailor care au acces la date senzitive.
Tip control:
Subcategoria:
Organizaional
Rspuns
(management)
Planuri de rspuns la incidente. Aceste planuri vor include msuri rapide de reacie pentru recuperare n caz de
violare a securitii i minimizarea impactului pentru prevenirea rspndirii la alte sisteme. Planurile de rspuns la
incidente mai trebuie s permit i culegerea de dovezi care s permit ulterior adicerea n justiie a vinovatului.
Plan de continuare a afacerii. Cuprinde planuri menite s menin firma n funciune, total sau parial, n cazul
unor evenimente catastrofice care afecteaz marea parte a infrastructurii IT.
Tip control:
Subcategoria:
Operaional
Preventiv
Protecia sistemelor de calcul prin mijloace fizice. Se includ aici perimetre de protecie, ncperi separatoare,
ncuietori i lacte electronice, identificri biometrice etc.
Protecia fizic pentru sistemele end-user (workstation). Se includ aici sisteme de blocare a computerelor i
sistemelor mobile de calcul n caz de furt, criptarea fiierelor stocate pe dispozitivele mobile.
Asigurarea energiei electrice n caz de nevoie. Acestea vor asigura energia electric necesar funcionrii
calculatoarelor atunci cnd sursa primar de energie este indisponibil. De asemene, vor asigur c aplicaiile i
sistemele de operare care ruleaz pe sistem vor fi inchise n condiii normale evitnd n acest fel pierderea de date.
Sisteme anti-incendiu. Cuprind sistemele de avertizare automat a incendiilor, a stingerii acestora, precum i
extinctoarele.
Sisteme de control a temperaturii i umiditii. Aceste sisteme sunt menite s asigure funcionarea sistemelor de
calcul n parametrii indicai de producator, extinznd durata de funcionare a acestora.
Proceduri de acces la datele stocate pe suporturi externe. Acestea vor facilita doar accesul personalului autorizat
la aceste date.
Sisteme de salvare de siguran (backup). Acestea vor permite restaurarea imediat a datelor pierdute. n anumite
cazuri se impune ca salvrile de siguran s fie pstrate n afara firmei pentru a putea s fie folosite n caz de
dezastre majore.
Tip control:
Subcategoria:
Operaional
Detecie
Securitate fizic. Sisteme care vor proteja firma de persoane care vor s ptrund n incinta acesteia. Se includ aici
senzori, alarme, camere de supraveghere, senzori de perimetru i de micare etc.
Securitatea fa de mediu. Sisteme care vor proteja firma de ameninrile care vin din partea mediului ambiant. Se
includ aici detectoare de fum i de foc, detectoare de inundaii, detectoare de suprasarcini atmosferice, paratrasnete,
eclatoare etc.
Tip control:
Subcategoria:
Tehnologic
Preventiv
Autentificare/Identificare. Procesul de validare a elementelor de identificare ale unei persoane, computer, proces
sau dispozitiv. Autentificarea presupune ca unul din elementele care a solicitat autentificarea s fie cel care pretinde
c este. Formele de autentificare sunt: combinaiile username i parol, Kerberos, token-uri, biometric, certificate.
Autorizare. Procesul de acordare a accesului la anumite informaii, servicii sau funcii a unei persoane, computer
sau dispozitiv. Dup obinerea autentificrii se obine autorizarea.
Access (Control access). Procesul de limitare a accesului la anumite informaii, proces bazat pe identitatea
utilizatorului i pe apartenena la anumite grupuri.
Nerepudiere. Este o tehnic folosit pentru a se asigura de faptul c o persoan care a efectuat o aciune pe un
computer nu poate nega efectuarea acelei operatii.
Protejarea comunicaiilor. Pentru protejarea comunicaiilor la nivel de reele se folosete criptarea pentru a se
asigura integritatea i confidenialitatea datelor transmise.
Control acces
Identificare
Autentificare
Autorizare
Tip control:
Subcategoria:
Tehnologic
Detecie
Sisteme de audit. Aceste sisteme fac posibil monitorizarea i urmrirea evoluiei unui sistem pentru a se vedea
dac funcioneaz n parametri configurai. Sistemele de audit reprezint un instrument de de baz pentru detectarea,
nelegerea i recuperarea n caz de evenimente.
Programe antivirus. Programele antivirus sunt construite s detecteze i s rspund la o serie de programe
maliioase (virusi, viermi, cai troieni). Rspunsul const n blocarea accesului uitilizatorului la fisierele infectate,
curarea fisirelor i a sistemelor infectate, precum i informarea utilizatorului despre componentele infectate.
Instrumente de meninere a integritii sistemului. Aceste instrumente fac ca personalul IT responsabil cu
securitatea s determine unde s-a fcut o modificare neautorizat n sistem. (Ex. File Chechsum).
Tip control:
Subcategoria:
Tehnologic
Rspuns
(Management)
Unelete de administrare a securitii. Aceste instrumente sunt incluse n sistemele de operare, programe i
dispozitive menite s asigure securitatea pe un anume segment.
Criptografia. Crearea, stocarea i distribuirea cheilor criptografice n condiii de siguran au dat natere la
tehnologii cum ar fi Virtual Private Network (VPN), autentificarea n condiii de siguran a utilizatorului, precum i
criptarea datelor pe diferite suporturi de memorie.
Identificarea. Permite facilitatea de a identifica in mod unic o anumita entitate. Cu ajutorul acestei faciliti se pot
crea altele suplimentare cum ar fi:contabilizarea, discretionary access control, role-based access control, i mandatorz
access control.
Protecii inerente n sistem. Acestea sunt faciliti implementate n sisteme i care asigur protecia informaiei
supuse procesrii sau care este stocat n acel sistem. Printre acestea se pot aminti: reutilizarea obiectelor, folosirea
yonei de memorie NX (Non-Execute) i separarea proceselor.
Controlul propus previne un atac specific sau previne o categorie specifc de atacuri?
Controlul propus reduce i/sau minimizeaz riscul pentru o clas de atacuri?
Controlul propus este capabil s recunoasc un atac/exploit atunci cnd acesta este n curs de desfurare?
Daca controlul propus recunoate un atac/exploit n curs de desfurare, este el capabil s reziste i s urmreasc atacul ?
Controlul propus poate ajuta la recuperarea bunurilor (datelor) dup ncetarea unui atac ?
Controlul propus poate ajuta la recuperarea bunurilor (datelor) dup ncetarea unui atac ?
Controlul propus mai ofer i alte beneficii?
Care este valoarea controlului propus relativ la valoarea bunului?
Costuri de achiziie
Costuri de implementare
Costuri de ulterioare
Sunt costuri dificil de estimat. Se includ aici costurile asociate cu noile controale
pe o anumit perioad de timp. Sunt costuri de management, monitorizare i
intreinere. Uneori sunt costuri 24/7 (24/7/365).
Costuri de comunicare
Costuri de productivitate
Costuri pentru auditare i verificare
n aceast etap se va compara nivelul de risc atins dup adoptarea noilor controale cu costurile soluiiei de control.
Att riscurile (nivelul de risc) ct i costurile soluiilor adoptate conin valori subiective
care fac o dificil cuantificare financiar.
memoria;
structur de directoare/foldere;
un dispozitiv electronic;
structur de date;
sistemul de operare;
instruciuni;
parole;
Implementare controale
Coordonarea
procesului
decizional
Evaluarea
riscurilor
Implementare
controale
4
Msurarea
eficacitii
programului
Participant
Responsabiliti
Inginerii IT
Proiectani arhitectura IT
Operatori IT
Personal financiar
4
Implementare
controale
Msurarea
eficacitii
programului
Coordonarea
procesului
decizional
Evaluarea
riscurilor
Participant
Responsabiliti
Auditorul intern
Inginerii IT
Proiectani arhitectura IT
Operatori IT
!
Fizic
Reea
Host
!
Aplicaii
Date
Risc sczut
Decembrie
Noiembrie
Octombrie
Septembrie
August
Iulie
Iunie
Mai
Aprilie
Martie
Risc mediu
Februarie
Risc ridicat
Ianuarie
Legend:
Data warehouse
Data Mining
Protejarea vieilor
2
Limitarea daunelor
3
Evaluare pagube
4
Determinare cauze
5
Reparare stricciuni
6
Verificare/revizuire contramsuri,
revizuire politici i actualizare
Analiza cantitativ
Lucreaz cu date statistice n domeniu
Analiza calitativ
Lucreaz cu date mai puin complexe
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Metoda urmrete analiza vulnerabilitilor dintr-un departament punand pe prim plan elementul uman ca
factor determinant al vulnerabilitii.
Aceast metod analizeaz riscurile pornind de la postul de lucru i de la caracteristicile acestuia.
Se analizeaz:
Condiiile de lucru specifice fiecrei grupe de posturi.
Particularitile specifice fiecrui post din grupa de posturi.
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
1.
2.
3.
4.
An
Probabilitate
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Expunere
Redus
Medie
nalt
Redus
Medie
nalt
Postul de lucru/bunul
Ameninare
Nivel de risc
Cdere de tensiune
Socuri/perturbri de tensiune
Erori personal
.....
.....
.....
.....
Utilizare neautorizat
Inundaii
Sursa: Computer Security Institute, CSI/FBI 2003 Computer Crime and Security Survey
2003: 488 rspunsuri/92%
2002: 414 rspunsuri/82%
2001: 484 rspunsuri/91%
ii
li it
b t
r a po s
e
n
ul pe
v
a
iza aliz
l
a n
An a
Tip firm
Pregtire /
cunotine
angajai
Nevoite
Pierderi cauzate
Mari
Mare
nalt
Medie
nalt
Medie
Sczut
Mic
Medii
Sczute
Mici
X
ii
t
i
l
b i st
a
er o
l n pe p
u
v za
il za ali
a n
An a
Telefon
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
IM/IRC
Angajat firm
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Un studiu efectuat n anul 1999 de ctre Net-Partners Internet Solutions arta c, la nivelul Statelor Unite,
angajatorii au avut pierderi de productivitate cifrate la 500.000.000 USD din cauz c aproximativ 13.500.000 de
angajai au citit sau descrcat la serviciu raportul Starr. Raportul Starr cuprinde date referitoare la scandalul n care
au fost implicai preedintele Statelor Unite Bill Clinton i angajata de la Casa Alb Monica Lewinsky.
?Cumpotfieliminateacesttipdepierderi?
O alt categorie de aciuni, care au ca efect pierderi de productivitate, o reprezint mesajele de pot electronic
nesolicitate, aa-numitele spamuri. Conform Yankee Group (www.yankeegroup.com), mesajele spam creeaz anual
pierderi de productivitate cifrate la 4 miliarde USD.
n anul 2003 (feb.) 42% din e-mail-uri erau spam-uri.
n anul 2004 (feb.) 62% din e-mail-uri erau spam-uri.
?Cesepoatefacenacestcaz?
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Culegere date
Pregtire profesional
Pregtire IT
Nivel de risc
Conduit
Angajat/partener
Ridicat
Referine
Particularizare post de lucru
Detaliere particularizare post de lucru
Cuantificare
Prelucrare
(+/- 05/010)
Mediu
Sczut
Al
te
Valori
Rata de
producere
Explicaie
Puin probabil
2
3
Valori
mo
d
Pierderi reduse
Probabil
Pierderi moderate
Foarte probabil
Pierderi critice
Rata de
producere
Volumul
pierderilor
Valoare risc
Explicaie
Risc sczut
Risc sczut
Risc mediu
Risc sczut
Risc mediu
Risc ridicat
Risc sczut
Risc ridicat
Risc ridicat
Explicaie
Volumul pierderilor
ali
t
Valori
Nivelul
de risc
Explicaie
1, 2
Risc sczut
3, 4
Risc mediu
6, 9
Risc ridicat
Disponibilitate
Integritate
Confidenialitate
[D]
[I]
Administrativ
Tehnic
Financiar
LAN
Al
te
(continuare)
mo
d
ali
t
[C]
Importana
reelei
[IR]
Prevenirea
incidentelor
[PI]
Prevenirea
deteriorrii
[PD]
Riscul
relativ
[RR]
0,1
0,3
3,78
12
0,5
0,5
3,00
18
0,3
0,3
8,82
IR = D * I * C
Foarte redus
0,1
PI
Redus
0,3
PD
Moderat
0,5
Ridicat
0,7
Foarte ridicat
0,9
RR Tehnic
RR Financiar
Riscuri
?
?
?
?
0
Costuri
Ct investesc n securitate?
Ct investesc n securitate?
Costuri (%)
100
90
80
70
60
50
40
30
20
10
10
20
30
40
50
60
70
80
90
100
Aceste analize de risc se fac cu precdere n cadrul firmelor mari i eventual n cadrul firmelor medii. Firmele
mici nu au nici personal specializat i nici bani pentru a pltii o astfel de evaluare. Cu toate acestea, un minimum de
msuri de securitate trebuie luate. Este tiut faptul c managerii de firme se las greu convini s investeasc n ceva
care nu aduce profit direct. Iar atunci cnd se las convini de necesitatea disponibilizrii sumelor pentru asigurarea
securitii, sumele alocate sunt sub limita celor impuse. n aceste condiii, trebuie s se asigure o securitate ale crei
cheltuieli s nu depeasc o limit de sum alocat. Se poate vorbi despre o securitate impus financiar.
Alternativele de rezolvare a acestei situaii sunt dou:
Prima msur va permite o securitate maxim pentru anumite ameninri, dar va lsa descoperite parial sau total
alte ameninri.
A doua msur va impune reducerea cheltuielilor necesare asigurrii controalelor pentru a putea s fie acoperite
toate ameninrile posibile. Aceasta ar putea s se reflecte n modificarea i configurarea msurilor de control. Ca
exemplu, nu se vor mai achiziiona dou surse nentreruptibile APC UPS de 350VA la preul de 95 dolari bucata pentru
dou calculatoare, ci se va achiziiona o singur surs APC UPS de 650VA la preul de 140 de dolari bucata. Economia
este de 50 de dolari (95 x 2 140 = 50). n acest caz ns, cele dou calculatoare vor trebui s fie alimentate de la
aceeai surs nentreruptibil prin prelungirea cablurilor de alimentare sau prin plasarea lor aproape.
Aceast a doua msur este de preferat primei, deoarece nu las vulnerabiliti neacoperite de msuri de control.
DA
NU
Sc>Sa
Acoperirea ameninrilor
cele mai probabile, cu
pstrarea metodelor de
control iniiale a.i. Cc <= Sa.
Acoperirea tuturor
ameninrilor i reducerea
costurilor msurilor de
control a.i. Cc <= Sa.
Implementare
unde:
Ce - costul echipamentului de tehnic de calcul,
Pi ponderea controlului,
Cci costul controalelor pentru echipamentul de tehnic de calcul aplicate.
unde: Ce - costul echipamentului de tehnic de calcul, P i ponderea controlului, Cci costul controalelor
pentru echipamentul de tehnic de calcul aplicate.
Staie 1
UPS
Cc = 140 USD
Staie 1
Ce = 1.000 USD
P = 1/2 = 0,5
Dispozitiv
criptare disc
Cc = 500 USD
P= 1
Beneficiul net
RI
x 100 %
Costuri
(RI)
VAN Ci
(VAN)
r - Rata
Costurile iniiale Ci au valori iniiale negative
Venituri an a
a 1
(1 r) t
IRR
Internal Rate of Return
VAN 0 Ci
Venituri an 1
(1 RIR)1
Venituri an 2
(1 RIR) 2
...
Venituri an n
(1 RIR) n
Se achiziioneaz o surs nentreruptibil (UPS) in valoare de 1.000 USD. Se consider c aceasta are o garanie de
buna funcionare de 3 ani. Dupa aceast perioad, sursa este scoas din uz.
S se calculeze RI, VAN i RIR.
Costurile iniiale = 1.000 USD
Venit anul 1 = 1.500 USD
Venit anul 2 = 2.000 USD
Venit anul 3 = 3.000 USD. Valorile sunt cresctoare datorit creterii volumului de activitate a firmei .
RI
1.500
2.000
3.000
1.000
(1 0,1)1 (1 0,1) 2 (1 0,1) 3
RI
x 100% 4,3/1
1.000
VAN
1.500
1
(1 0,1)
2.000
(1 0,1)
3.000
(1 0,1)
1.000 4,3
VAN
1.500
1
(1 RIR)
2.000
(1 RIR )
3.000
(1 RIR )
VAN
20,7 %
r /RIR
0
5
10
15
20
25
30
35
40
Investiie rentabil
Investiie nerentabil
Proprietar
afacere
Definire politici
Aprobare fonduri
Analiza de risc
Timpul..
Timpulnupoatefistocat
Timpulnupoateficumprat
Timpulnupoatefivndut
Timpulnupoatefitranzacionat
Timpulnupoatefidectfolosit.
Reducerea riscurilor
Pentru a putea s reduc sau s elimin riscurile trebuie ca firma s fie capabil de urmtoarele operaii:
Reducerea riscurilor
Oameni
-pregtire...continu, la zi...
-responsabiliti... aduse la cunotin i asumate ...
-cultur... n domeniu ...
-organizare... eficient...
Procese
-Politici... clare, actualizate, viabile...
-proceduri... testate...
-standarde... actualizate...
Tehnologii
-infrastructur... adecvat, sigur...
-aplicaii... sigure, adecvate, testate, auditate...
Reducerea riscurilor
Prevenirea
Prevenirea unor evenimente care pot afecta securitatea firmei.
Reducerea
Reducerea probabilitii de producere i a impactului.
Evitarea
Evitarea unui risc printr-o planificare eficient.
Transferul
Eliminarea riscului prin crearea unei asigurri pe acel risc.
Planificarea alternativ
n cazul unor riscuri care nu pot fi prevzute este nevoie de realizarea unor planuri alternative pentru
reducerea impactului.
ce
n
fl
a
e
n
iu
d
ta
u
c
i
ot
p
e
en
t
u
j
a
ir
f
a
e
l
e
om
d
n
?
u
i
en
Reele private
virtuale
Filtrare de coninut
web
Detectarea
intruziunii
Scanarea de virui
Managementul
firewall/router
Antivirus
Firma
24/7
Evaluarea
vulnerabilitii/
testul de penetrare
Rspunsul n caz
de incident
Servicii de securitate din interior. Lum n considerare o firm medie. Pentru a crea un firewall pentru aceast
conectare trebuie cumprat hardware i software pentru firewall la preul de aproximativ 10.000 USD. Aceast sum
poate s fie mai mare dac firma are mai multe conexiuni la Internet sau este o firm mai mare. Cheltuielile n acest caz
pot ajunge ntre 50.000 USD i 75.000 USD. Gestionarea i monitorizarea firewall-ului trebuie fcute de o persoan
calificat. Salariul unui specialist n domeniu variaz ntre 40.000 i 60.000 USD anual. Achiziionarea unui dispozitiv
firewall scump nu suplinete slaba pregtire a administratorului. Avnd n vedere faptul c se cere o acoperire
permanent (serviciu 24/7), este nevoie de cel puin trei oameni, cu cheltuieli anuale medii de aproximativ 150.000
USD. Instruirea (minim) a personalului de deservire va costa 15.000 USD per total anual. Aceast ultim categorie de
cheltuieli este necesar pentru ca personalul de deservire s fie la curent cu noutile n domeniu.
Componenta/cheltuiala
Software i hardware
Salarii
Instruire
Costuri totale
Suma (USD)
10.000
150.000
15.000
175.000
Servicii de securitate din exterior. Costurile de hardware i de software sunt tot aceleai, dispozitivul
firewall/router i software-ul sunt achiziionate de ctre beneficiar n jur de 10.000 USD. Cheltuielile cu salariile
celor trei angajai care s gestioneze firewall-ul vor fi nule, dar vor fi nlocuite de cheltuielile lunare de management
extern care sunt n jur de aproximativ 2.000 USD. Aceasta duce la cheltuieli anuale de 24.000 USD. Costul iniial al
instalrii (pltibil o singur dat) este de aproximativ 15.000 USD. Nu mai sunt costuri de instruire.
Componenta/cheltuiala
Software i hardware
Costuri management
Instalare
Costuri totale
Suma (USD)
10.000
24.000
15.000
49.000
securITree
Identify
technical and
informational
assets
Phase
Phase 22
Identify
operational
and
management
risks
Phase
Phase 33
Establish a
countermeasure plan
securITree
APLICAII
MarketMaturity
INFRASTRUCTUR
Authorisation
SmartCards
PKI
VPN
eWallet
CUNOTINE
Secure
Transactions
Intrusion
Detection
Authentication
Anti
Virus
Firewall
Portalsites
Encryption
Mailinglists
Standalone
LAN/WAN
Internet
Connectivity
Early
EBusiness
Mature
EBusiness
TIME
securITree
te
a
t
i
r
cu
e
S
u
n
a
e
t
s
e
es
d
o
e
i
a
n
i
t
r
u
c
se
e
t
a
it
st
e
a
ce
o
r
p
n
u
e
.
u
nu
i
t
on
c
s
BIBLIOGRAFIE
[BRHU02]
[BURK04]
[GROT02]
[HSST95]
S.B. Hsiao, R. Stemp, ComputerSecurity, course, CS 4601, Naval Postgraduate School, Monterey, California, 1995.
[HSST95]
S.B. Hsiao, R. Stemp, AdvancedComputerSecurity, course, CS 4602, Naval Postgraduate School, Monterey, California, 1995.
[KAEO99]
[LUAB00]
[LUSA03]
I. Lungu, Gh. Sabu, I. Velicanu, M. Muntean, S. Ionescu, E. Posdarie, D. Sandu, Sisteme informatice.Analiz, proiectare i
implementare, Ed. Economic, Bucureti, 2003.
[MCCA03]
[MIMI02]
[OGTE01]
[OPDU99]
[PRBY02]
[RUGA91]
D. Russel, G.T. Gangemi Sr., ComputerSecurityBasics, OReilly & Associates, Inc., 1991.
[SECU02]
[SECU99]
[STPE02]
***
http://csrc.nist.gov/
***
http://www.gecadnet.ro
***
http://www.idc.com
***
http://www.microsoft.com/technet/security/topics/policiesandprocedures/secrisk/default.mspx
V mulumesc!
Contact
Conf. univ. dr.
Burtescu R. Emil
emil_burtescu@yahoo.com
eburtescu@yahoo.com
www.burtescu.ro
(n construcie)