Analiza Riscului in Sisteme Securizate 2007

Academia de Studii Economice
Bucureti
Facultatea de Cibernetic, Statistic i Informatic Economic
ANALIZA RISCULUI N
SISTEMELE SECURIZATE
Conf. univ. dr. Burtescu R. Emil
ntrebare .
Avei afiat ceva asemntor afiat deasupra prizei de curent ?

Este acesta vizibil i uor de citit?
Alte ntrebri .
n caz de gsire a vinovatului,

n cazul unui atac, este firma Dvs.
pregtit s dovedeasc acest lucru
i s-l acioneze n justiie pe vinovat?
Se face o evaluare de detaliu
i se stabilete
profilul pentru un nou angajat?
Poate firma Dvs. s previn, s detecteze i s
rspund unui atac (din afara firmei sau din interior)?
n cazul n care un server important este inoperabil,
n ct timp poate fi repus n funciune?
Care sunt efectele asupra activitii (afacerilor) firmei?
Exist n firma Dvs. calculatoare backup (parc rece)?
n ct timp pot fi puse n funciune?
Care sunt efectele asupra activitii (afacerilor) firmei?
Exist n firma Dvs. Dispozitive de control a variaiilor de tensiune?
Ct timp poate rezista firma fr tensiune electric (din exterior)?
n firma Dumneavoastr se fac regulat operaii pentru salvri de siguran (backup) a datelor?
a
e
s
n i
i
i
u
a
l
z
i
u
n aos
a
g
r ah
o
i
e
e
r
n
a
u ion
l
u
r g es t
d
a )
c
n zuri
i
i
e ca
t
i
r
t
l
u
c
u
se e m
a
e ar t
r
a
r
fo
u
g
n
i
(
As
n
m
Termeni i definiii
Bun/active Orice are valoare ntr-o organizatie. Se includ cldirile, componente hardware i software, date,
personal, planuri i documentaii etc.
Risc Ameninate care poate s exploateze eventualele slbiciuni ale sistemului.
Combinatia intre probabilitatea unui eveniment si consecintele sale (ISO Guide 73).
Ameninare Cauz potenial a unui impact nedorit asupra unui sistem sau a unei organizaii (ISO 13335-1).
Un eveniment nedorit (intenionat sau accidental) care poate produce daune bunurilor organizatiei.
Vulnerabilitate O slbiciune n ceea ce privete procedurile de sistem, arhitectura sistemului, implementarea
acestuia, controlul intern, precum i alte cauze care pot fi exploatate pentru a trece de sistemele de securitate i a
avea acces neautorizat la informaii.
Orice slbiciune, proces administrativ, act sau expunere care face ca o informaie despre un bun s fie
susceptibil de a fi exploatat de o ameninare.
Impact Pierderea general ateptat a afacerii cnd o ameninare exploateaz o vulnerabilitate mpotriva unui
bun.
Exploit Un mijloc de utilizare a vulnerabilitii pentru a cauza o disfuncionalitate a activitilor organizaiei sau
o disfuncionalitate a serviciilor de securitate a informaiei din cadrul organizaiei.
Expunere O aciune de ameninare prin care informaia senzitiv este eliberata direct unei entitati neautorizate
(RFC2828).
Integritate Proprietatea prin care data nu a fost alterat sau distrus ntr-o manier neautorizat (ISO 7498-2).
Accesibilitate (disponibilitate) Proprietatea unui sistem de a asigura c este accesibil i disponibil pentru folosire
la cererea unui utilizator sau proces autorizat din sistem.
Confidelitate Proprietatea prin care informaia nu este facut disponibil sau dezvluit ctre persoane, entiti
sau procese neautorizate(ISO 7498-2).
Termeni i definiii
(continuare)
Dat senzitiv Orice dat care nu poate fi fcut public.

Control Un mijloc organizaional, procedural sau tehnologic de conducere a riscului; un sinonim pentru garanie
sau masur de prevenire a riscului.
Reducere (a riscului) Ansamblu de msuri i aciuni planificate care se iau la nivel de organizaie pentru
atenuarea sau eliminarea unui risc.
Soluie de reducere Implementarea unui control control organizational, procedural sau tehnologic menit s care
va ajuta la managementulul riscului de securitate.
Aparare in adancime Soluie de asigurare a securitii pe multiple niveluri menit pentru a proteja mpotriva
eecului unei singure componente de siguran.
Reputatia Opinii pe care oamenii o au despre o organizaie. Valoare dificil de calculat.
Evaluarea riscurilor
determinat.
Procesul complex prin care riscurile sunt identificate i impactul acestor riscuri este
Managementul riscurilor Procesul de determinare a unui nivel acceptabil de risc, evaluarea nivelului curent de
risc, urmrea pailor pentru reducerea riscului la un nivel acceptabil i meninerea acelui nivel de risc.
Analiza calitativ Abordare a analizei de risc n care se atribuie valori relative bunurilor, riscurilor, controalelor
i impacturilor.
Analiz cantitativ Abordare a analizei de risc n care se atribuie valori numerice obiective (reale) bunurilor,
riscurilor, controalelor i impacturilor.
Termeni i definiii
(continuare)
Pierderea anuala estimat (PAE) Sum total de bani pe care o organizatie o va pierde ntr-un an dac nu va lua
msuri pentru pentru micorarea sau eliminarea riscului.
Pierderea anuala estimat pe fiecare bun (PAEb) Sum total de bani, aferent unui bun, pe care o organizatie
o va pierde ntr-un an dac nu va lua msuri pentru pentru micorarea sau eliminarea riscului care afecteaz acel
bun.
Pierderea anuala estimat pe fiecare ameninare (PAEa) Sum total de bani, creat de o ameninare, pe care o
organizatie o va pierde ntr-un an dac nu va lua msuri pentru pentru micorarea sau eliminarea unui risc care
afecteaz bunurile.
Rata anual de producere/de apariie (a unui eveniment) Valoare care cuantific de cte ori se poate produce un
anumit eveniment pe parcursul unui an.
Analiza costbeneficiu Estimare i o comparaie a valorii relative i a costului asociate cu fiecare control propus.
Criteriu de eficien folosit pentru alegerea controlului ce va fi implementat.
Rentabilitatea Investiiei (profitul din investitia n securitate) Suma total de bani pe care o organizatie se
ateapt sa o salveze (economiseasca) ntr-un an prin implementarea msurilor de securitate.
Nevoia de securitate
1970
Piratare linii telefonice (phreaking/boxing)
1980
Conexiuni dial-up ilegale

1990
Acces (Internet) neautorizat
Etape n furtul electronic de informaie
Momente de referin care evideniaz nevoia de securitate
2 noiembrie 1988
Giant Worm
Un vierme (virus dup unii), lansat n Internet, infecteaz un numr de 60.000 de calculatoare de
pe ntreg teritoriul Statelor Unite. Acesta se mprtia cu repeziciune de la calculatoarele din
Cambridge, Massachusetts i Berkeley, California, la calculatoarele din Princeton, apoi la NASA
Ames Research Center din Silicon Valley, California, la Universitatea din Pittsburgh, la Los Alamos
National Laboratory i la alte universiti, baze militare i institute de cercetare.
Costurile necesare stoprii viermelui i testrii sistemelor infectate au fost estimate ntre 1.000.000
i 100.000.000 dolari. Vinovat - Robert T. Morris - student la Universitatea Cornell.
11 septembrie 2001
Atacurile asupra World Trade Center (WTC) i asupra Pentagonului
Atacurile cauzeaz pagube de peste 100 miliarde de dolari.
Datorit existenei unor planuri de msuri n caz de dezastre, comunicaiile sunt refcute rapid, iar
unele firme reuesc s revin online in 48 de ore de la atac.
Dup aceste atacuri, att Statele Unite ct i alte state, i revizuiesc politica de securitate.
Momente de referin care evideniaz nevoia de securitate (continuare)

Cliff Stoll, angajat la Lawrence Berkeley Laboratory, pe parcursul anului 1988, a atacat un numr de 450 de
calculatoare din Germania de Vest, reuind s penetreze 30 dintre ele. Acuzat iniial de acces neautorizat, dup ce s-a
constatat c a vndut secrete KGB-ului, acuzaia a fost schimbat n spionaj.
2.
n anul 1990, un student australian, autointitulat Phoenix, a fost nvinuit c a cauzat oprirea pentru 24 de ore a
calculatoarelor de la NASA n Norfolk, Virginia. De asemenea, a alterat informaiile de la Lawrence Livemore National
Laboratory din California.
3.
n anul 1988, la mai multe agenii de transport aerian se descoper c cineva a reuit s penetreze sistemul i s
tipreasc rezervri ilegale de bilete de avion. Pentru prima dat s a pus problema dac nu cumva organizaiile teroriste au
fcut acest lucru pentru a avea acces la listele de pasageri. ntrebarea a fost repus apoi cnd membri ai familiei regale din
Kuweit au fost luai ostatici la bordul unui avion. Aceeai ntrebare a fost pus i dup atentatele de la 11 septembrie 2001.
4.
n luna aprilie 1986, un intruder, cunoscut sub numele de Captain Midnight, reuete s mreasc neautorizat puterea
de transmisie a unui canal HBO transmind propriul mesaj ctre milioane de telespectatori. Aceast aciune a adus n
actualitate posibila folosire n scopuri teroriste a acestor aciuni.
5.
Evenimentul consemnat sub denumirea de Constitution Loss se poate constitui ca fiind cea mai grav eroare uman
i de implementare a securitii. n anul 1991, nainte de votul final al Constituiei din Columbia, un utilizator care trebuia s
fac ultimele modificri la versiunea online face o greeal care are ca efect pierderea datelor. Neexistnd o copie de
siguran (backup), datele au fost refcute, dup o munc laborioas, folosind ciornele membrilor comitetului de redactare a
noii Constituii columbiene.
6.
n ianuarie 1988, la Universitatea Ebraic din Ierusalim se descoper c sute de calculatoare sunt infectate cu un
virus. Acesta se activa la fiecare zi de 13 a lunii, i care era i vineri, ncetinea procesul de prelucrare i tergea datele pe data
de 13 mai. Virusul a mai fost denumit i Columbus Day sau Datacrime.
7.
Un puti de 14 ani din Kansas reuete n anul 1989, folosind un calculator Apple, s penetreze sistemul de
poziionare a sateliilor aparinnd Air Force, s vorbeasc internaional neautorizat i s acceseze fiiere confideniale.
8.
Virus Flambl poate fi inclus ntr-o categorie aparte de virui. El acioneaz i asupra echipamentului hardware prin
creterea frecvenei de scanare orizontal a fasciculului de electroni al monitorului peste limitele suportate admise. Ca efect,
monitorul ia foc. Acest virus a afectat n anul 1988 o companie de consultan din San Jose, California.
1.
Momente de referin care evideniaz nevoia de securitate (continuare)

9.
n anul 1988, un cercettor care lucra pentru o comisie care investiga afacerile cu Iranul descoper pe un calculator
utilizat de Oliver North date secrete sustrase referitoare la NSC. Acestea fuseser transferate i apoi terse de pe un
calculator, considerat sigur, care aparinea Casei Albe.
10.
Un manager al unei firme a reuit n anul 1984, manipulnd un calculator, s transfere fonduri de 25.000.000 dolari
ncercnd s pcleasc auditul.
11.
n luna martie 1999, virusul Melissa reuete s blocheze serviciile de pot electronic din ntreaga lume. Pagubele
se estimeaz la 80 milioane dolari. Vinovatul este gsit n persoana lui David Smith, programator, care dduse numele
virusului dup cel al unei dansatoare topless. Condamnat fiind, acesta execut mai muli ani de detenie n nchisorile statale
i federale din Statele Unite.
12.
Love Letter Worm reuete s infecteze, ntr-o singur zi din anul 2000, 45 de milioane de calculatoare.
13.
n luna februarie 2000, activitatea multor site-uri de e-commerce, printre care Yahoo!, E-Bay i E-Trade, a fost
afectat de un nou atac de tip DoS, denumit Distributed Denial of Service (DDoS). Atacul se folosea de tehnologia clientserver pentru a concentra atacul asupra anumitor puncte. Vinovatul a fost gsit, dup luni de cutri, n persoana unui tnr
hacker.
14.
n luna octombrie a aceluiai an, firma Microsoft a raportat c un hacker a reuit s aib acces la o poriune din
reeaua LAN proprie.
15.
Pagina de web a Departamentului de Stat al Statelor Unite a fost atacat n luna octombrie 2002 i umplut cu
obsceniti. Din aceast cauz, funcionarea acesteia a trebuit s fie ntrerupt.
16.
Dup atacul din insula Bali din luna octombrie 2002, cnd Australia a impus presiuni asupra grupurilor teroriste din
Indonezia, presupuse responsabile de atac, peste 200 de site-uri australiene au fost atacate de hackeri din Indonezia.
17.
nsi structura Internet a fost atacat n luna octombrie 2002. 13 servere de root au fost afectare de DDoS i o
mulime de utilizatori s-au vzut n imposibilitatea de a efectua conexiuni.
18.
O conferin mpotriva furtului de informaii din calculatoare a fost sabotat n luna mai 2003. Hackerii au reuit s
sustrag aproximativ 1000 de nume i adrese de e-mail ale persoanelor participante la acea conferin.
Pierderi datorate atacurilor n cadrul organizaiilor
!
Pierderi anuale pe tipuri de abuzuri n anii 2002 i 2003
Pierderi datorate atacurilor n cadrul organizaiilor (continuare)
Sabotaje
871,000
Penetrare sisteme
901,500
Blocare site-uri web
958,100
Abuz asupra aplicaiilor web publice
2,747,000
Fraudare telecomunicaii
3,997,500
Acces neautorizat
4,278,205
Furt laptop-uri
6,734,500
Fraude financiare
7,670,500
Abuzuri reea (intern)
10,601,055
Furt de proprietate
11,460,000
Altele
13,468,400
Refuz al serviciului (DoS)
26,460,000
Virui informatici
0
10,000,000
20,000,000 30,000,000 40,000,000
Pierderi anuale n anul 2004 (valori)
55,053,900
50,000,000 60,000,000
!
Pierderi datorate atacurilor n cadrul organizaiilor (continuare 2005)
Total pierderi raportate n anul 2005: 130.104.5425 USD

Sursa: Computer Security Institute, CSI/FBI 2005 Computer Crime and Security Survey
639 respondeni
Pierderi datorate atacurilor n cadrul organizaiilor (continuare - 2005)
Pierderi anuale n anul 2005 (procente)
!
Pierderi datorate atacurilor n cadrul organizaiilor (2006)
Total pierderi raportate n anul 2006: 52.494.290 USD
313 respondeni
Pierderi datorate atacurilor n cadrul organizaiilor (continuare - 2005)
Pierderi anuale n anul 2006 (procente)
Tipuri de atacuri sau abuzuri raportate
100
Abuzuri interne ale reelei

Virui informatici
Furturi laptop-uri
80
Acces neautorizat
Refuz al serviciului (DoS)
Penetrare sisteme
60
Furt de proprietate intelectual

Fraudare telecomunicaii
40
Fraude financiare
Sabotaje
Abuzarea reelelor wireless
20
Abuzare web servere publice

Deteriorare site-uri
1999
2000
2001
2002
2003
2004
2005
2006
Principalele surse de atac
Surse de atac
90
P ro c e n ta j r s p u n s u ri
81
80
2000
2001
2002
76 75 77
81 82 82
77
2003
70
60
49
50
44
38
40
40
31
30
26
26 25
25 26
28
21
20
10
0
Angajati
Companii
strine
Competitori
Guverne strine
Hackeri
(independeni)
2003: 488 rspunsuri/92%
2002: 414 rspunsuri/82%
2001: 484 rspunsuri/91%
2000: 583 rspunsuri/90%
Tehnologii de securitate folosite
Tehnologii de securitate folosite
84
Securitate fizic
47
44
48
Reutilizare parole
91
92
90
54
99
90
Program e antivirus
98
100
40
35
39
39
PCMCIA
38
Identificare digital
36
49
42
2003
11
10
9
8
Identificare biom etric
2002
2001
89
Firewall
78
Detectarea intruziunilor
50
50
53
50
Criptare acces
69
64
62
58
82
Control acces
0
20
2000
73
60
61
58
Criptare fi iere
98
95
40
60
80
Procentaj rspunsuri
92
90
92
100
120
2003: 525 rspunsuri/99%
2002: 500 rspunsuri/99%
2001: 530 rspunsuri/99%
2000: 629 rspunsuri/97%
Tehnologii de securitate folosite (anul 2005)
respondeni
687
Tehnologii de securitate folosite (anul 2006)
respondeni
616
Ce urmrim s obinem prin managementul riscului i/sau analiza de risc?
S E C U R I T A T E
Secretizare
Acuratee
Interzicerea
accesului
neautorizat al
persoanelor la
informaia care nu
le este destinat.
Datele stocate n
calculator s nu poat
fi alterate sau s nu
poat fi modificate
dect de persoane
autorizate.
Datele stocate n
calculator s poat
s fie accesate de
persoanele
autorizate
Confirm
autenticitatea unui
mesaj electronic
Ce poate s fac firma ?

1
Stabilirea personalului responsabil

cu asigurarea securitii
Stabilirea etapelor principale

pentru asigurarea securitii
-Definirea i obinerea acordului pentru un tabel de securitate

-Evaluarea politicilor de securitate existente
-Creare de politici de securitate
-Implementare politici de securitate
-Supraveghere procese
-Analiza riscurilor
-Clasificarea datelor i a documentelor
-Stabilirea drepturilor de acces
-Definirea politicii de securitate
-Planificarea., designul i implementarea tehnic a msurilor de securitate
Definirea cerinelor
pentru mbuntirea securitii
Informarea personalului despre

msurile adoptate
Auditul i monitorizarea securitii
-Contientizare (program)
-Comunicare executiv (program)
-Control i evaluare hardware

-Control i evaluare software
-Monitorizarea intruziunilor i scanarea vulnerabilitilor
-Rspunsul la intruziuni
Pe ce se poate baza firma ?
Oameni
-pregtire
-responsabiliti
-cultur
-organizare
FIRMA
Procese
-politici
-proceduri
-standarde
Tehnologii
-infrastructur
-aplicaii
Ciclul de management al riscului (variant)
Analiza riscului
Determinarea necesitilor
Implemantare politici
Punct de convergen
Implementare controale
Asistare
Contientizare
Monitorizare
Evaluare
Ciclul de management al riscului (variant)
Sursa http://www.noweco.com/
La http://www.noweco.com/downe.htm se gsesc materiale suplimentare referitoare la managementul riscului (Trial software, brouri, prezentri)
Ciclul de management al riscului ((variant) Microsoft)
Evaluarea
Msurarea
eficacitii
programului
Implementare
controale
riscurilor
2
Coordonarea
procesului
decizional
Ciclul de management al riscului (Microsoft)
Evaluarea riscului Identificarea i clasificarea riscurilor care pot s afecteze afacerea.
Coordonarea procesului decizional Identificarea i evaluarea msurilor i a soluiilor de

control innd cont de raportul cost-beneficii.
Implementarea controalelor Implementarea i rularea de msuri de control menite s

reduc sau s elimine riscurile.
Msurarea eficacitii programului Analiza eficacitii msurilor de control adoptate i

verificarea dac controalele aplicate asigur gradul de protecie stabilit.
Nivelul de efort (Microsoft)
Nivel
efort
Curba de efort
Culegere
date
Analiz
sumar a
riscului
Analiz
detaliat
a
riscului
Faze ale procesului
Procesul
decizional
Implementare
controale
Rulare
controale
Nivelurile de management al riscului de securitate (Microsoft)
Nivel
Status
Descriere
Inexistent
Firma nu are politica de securitate documentat.
Ad-hoc
Firma este contient de risc. Eforturile de management al riscului sunt fcute n grab i
haotic. Politicile i procesele nu sunt bine documentate. Proiectele de management al riscului
sunt necoordonate i haotice, iar rezultatele nu pot fi msurate i evaluate.
Repetabil
Firma are cunotine despre managementul riscului. Procesul de management al riscului este
repetabil dar imatur. Procesele de management al riscului nu sunt suficient documentate, dar
firma lucreaz in acest sens. Nu exist o instruire formal sau o comunicare n ce privete
managementul de risc, responsabilitatea fiind lsat la latitudinea angajatului.
Definit
Firma adopt o decizie formal de implementare a managementului de risc. Sunt definite clar
obiectivele i modalitile de msurare a rezultatelor. Angajaii sunt instruii formal la un nivel
de baz.
Controlat
Managementul riscului este bine neles n toate compartimentele i nivelurile firmei. Exist
proceduri bine definite de control i reducere a riscului. Eficacitatea poate fi msurat.
Personalul este instruit. Resursele alocate sunt suficiente. Beneficiile sunt vizibile. Echipa de
management al riscului lucreaz pentru a mbunti permanent procesele i instrumentele pe
care le utilizeaz. O mare parte din procesele de evaluare a riscului, de identificare a
controalelor, de analiz costuri-beneficii sunt neautomatizare (manuale).
Optimizat
Procesul de management al riscului este bine neles i automatizat prin instrumente specifice
dezvoltate n cadrul firmei sau achiziionate de la firme specializate n domeniu. Sunt
identificate sursele de risc i sunt luate msuri de limitare a efectelor acestora. Angajaii sunt
instruii diferenial. Se lucreaz la optimizare procese.
Punctaj
ntrebri
1. Politicile de asigurare a securitii informaiei sunt clare, concise, bine
documentate i complete.
05
2. Toate posturile care au responsabiliti privind securitatea informaiei au clare i

bine inelese rolurile si responsabilitile lor.
05
3. Politicile i procedurile de securizare a accesului colaboratorilor la datele firmei

sunt bine documentate.
05
4. Exist un inventar al componentelor IT, hardware i software exact i actualizat, precum i cu

dislocarea acestora.
05
5. Sistemele de control existente sunt adecvate i funcioneaz la parametri pentru a

proteja datele firmei mpotriva accesrii neautorizate din interior sau din afar.
05
6. Politicile i practicile de asigurare a securitii datelor sunt cunoscute de ctre

utilizatori, iar acetia sunt periodic instruii i informai despre nouti.
05
7. Accesul fizic la reeaua de computere i la alte componente IT este restricionat

prin utilizarea unor sisteme eficiente de control.
05
8. Sistemele de calcul sunt dotate n conformitate cu standardele de securitate n

domeniu, avnd instrumente automatizate pentru asigurarea securitii datelor.
05
9. Este creat un sistem de management automat al actualizrilor programelor din

cadrul organizaiei capabil s furnizeze automat upgrade-urile software de la
majoritatea furnizorilor ctre ctre marea majoritate a computerelor din organizaie.
10. A fost creat o echip care s reacioneze i s rspund n cazul unor incidente.
Aceast echip a dezvoltat procese eficiente i a creat documentaia necesar pentru
aceasta, n scopul de a putea rezolva incidentele legate de securitate. Sunt analizate
toate aceste incidente pn la descoperirea cauzei principale i la rezolvarea oricror
probleme.
11. Firma dispune de un program antivirus complet, care include straturi multiple de
protecie, instruire a utilizatorului i procese eficiente de rspuns la atacurile
viruilor.
12. Procesele de actualizare a utilizatorului sunt bine documentate i cel putin parial
automatizate astfel ncat noii angajai, furnizori sau parteneri sa aib garantat un
nivel potrivit de acces la sistemele de informaii ale organizaiei ntr-un timp scurt.
Aceste procese ar trebui de asemenea s realizeze ntr-un interval de timp potrivit
devalidarea i tergerea conturilor utilizatorului, a conturilor de care nu mai este
nevoie.
13. Accesul la computere i la reea e controlat prin autentificare i autorizare, liste
de control restrictive asupra accesului la date, i monitorizri preventive pentru
nclcarea politicii firmei.
05
05
05
05
05
14. Celor care se ocup cu dezvoltarea aplicaiilor le este oferit o pregtire

periodic i ei sunt contieni de standardele de securitate pentru crearea de software
dar i de testarea calitii.
05
15. Fluena afacerii (a activitii) i programele ce asigur aceast conformitate sunt

definite clar, bine documentate, i testate periodic prin simulri si repetri.
05
16. S-au lansat programe (i acestea sunt eficiente) pentru a se asigura c toi
angajaii si ndeplinesc sarcinile ntr-o manier conform cu prevederile legale.
05
17. Se folosesc n mod regulat recenziile i auditurile (examinrile oficiale) pentru a

verifica conformitatea cu practicile standard pentru a obtine beneficii de securitate.
05
Punctaj final
0 ... 85
Punctaj
obinut
51 ... 85
34 ... 50
0 ... 33
Stadiu
Firma este pregtit pentru introducerea i folosirea proceselor Microsoft de

management al analizei riscului de securitate.
Firma mai are de parcurs cteva etape necesare controlului de risc i introducerii
rile
a
d
n
graduate de noi procese de control.
oma
c
e
r
nora
g
i
e
poat itate.
a
m
r
ci fi de secur
n
u
t
t - a surile
n
e
n
i
c im rapid m
s
i
r
entrebuie
uninceap
u
p
p
Firma din aceast categorie
s
mai nti s-i creeze un nucleu al unei
m
i
im
i
a
s
i
echipe de management
riscului. Aceasta i va concentra mai nti eforturile,
tea
uanalizei
situa a al
p
c
a
u
r
D depcteva
pe o perioad
luni, pentru unul dintre compartimente. Dup ce se demonstreaz
ent
viabilitatea msurilor aplicate de reducere a riscului, se vor extinde msurile la
urmtoarele dou-trei compartimente.
Alte ntrebri care vor defini nivelul de securitate al organizaiei Dvs., i v vor ghida n
aciunile ulterioare sunt disponibile la:
http://csrc.nist.gov/
http://csrc.nist.gov/ publications/nistpub/index.html
Security Guideline 800 series

fiierul Mapping-of-800-53v1.doc
NIST
National Institute of Standatds and Technology
Security Self-Assessment Guide for Information Technology Systems
Reguli i responsabiliti pe parcursul procesului de Management al riscului de securitate (Microsoft)
Titlu
Responsabilitate
Director executiv
Gestioneaz toate activitile care prezint un risc

asupra afacerii dezvoltare, alocare de fonduri,
autorizare i sprijin pentru echipa de management
al riscului. Responsabilitate asigurat de seful
secduritii sau seful securitii informaiilor.
Ultimul nivel la care se definete un risc acceptabil
pentru afacere.
Proprietarul afacerii
-Este responsabil pentru bunurile materiale

(tangibile) i nemateriale (intangibile) ale afacerii
(firmei).
-Responsabil pentru stabilirea bunurilor prioritare
ale afacerii i pentru definirea nivelului de impact
asupra acestora.
-Definirea nivelului acceptabil de risc.
Grupul de securitate a informaiei
-Deine procesul mai amplu de control al riscului.

-Evaluarea fazelor de analiza riscului i
prioritizarea riscului pentru afacere.
-Echipa este alctuit minimal din asistent pentru
evaluarea riscului si secretar.
Grupul IT
Responsabil cu arhitectura, ingineria i operaiile.

continuare
Titlu
Responsabilitate
Echipa de management al riscului de securitate
-Responsabil pentru conducerea programului de

control al riscului.
-Responsabil pentru faza de evaluare a riscului.
-Stabilete riscurile prioritare.
Asistent pentru evaluarea riscului
-Conduce discuiile de colectare a datelor.

-Poate conduce intregul proces de management al
riscului.
Secretar
nregistreaz informaii detaliate din timpul discuiilor

de colectare a datelor.
Echipa de reducere riscuri
Responsabil pentru implementarea i meninerea

soluiilor de control pentru aducerea riscului la un
nivel acceptabil.
Comitetul de conducere n securitate
Este format din membri ai echipei de control al

riscului, reprezentani ai grupului IT i acionari ai
afacerii. Directorul executiv este seful comitetului.
Este responsabil cu selectarea strategiilor de reducere
a riscului i definirea unui risc acceptabil pentru firma.
Acionarii
Definete participanii direci sau indireci la

procesul de management al riscului. Poate
include i grupuri sau persoane din afara IT.

schematic
Proprietar
Stabilete ce este
important
Determinarea unui
risc acceptabil
Grupul de
Securitate
Clasific riscurile
Grupul IT
Alegerea soluiei de
control adecvate
Evaluare riscuri
Definirea cerinelor
de securitate
Proiectare i
implementare
soluii de
securitate
Msurarea soluiilor
de securitate
Exploatare i sprijin
pentru soluii
Dezvoltarea unei diagrame de evoluie a

nivelului de riscc nelegerea nivelului de
risc i evoluiile acestuia
Stabilire plan de culegere date - Discutarea de

soluii pentru eficacitate culegere date
Culegerea datelor Culegerea, gruparea i
analiza datelor
Msurarea eficacitii programului

Evaluarea periodic a programului de
management al riscului pentru mbuntirea
periodic a acestuia
Prioritizarea/ierarhizare riscuri Stabilirea de

soluii pentru clasificarea i cuantificarea
riscurilor
Reevaluarea
continu a msurilor de control

adoptate, a schimbrii statutului bunurilor si a
Msurarea
riscului.
Evaluarea
eficacitii
programului
riscurilor
3
Implementare
controale
Cutarea unei abordari integrate Corelarea
ntre oameni, procese i tehnologii pentru
atenuarea riscului
Organizarea soluiilor de control
Organizarea soluiilor de reducere a riscurilor
peste activitile firmei
1
Definirea cerinelor funcionale Definirea cerinelor
funcionale
pentru reducerea riscului
2
Selectarea soluiilor de control posibile Rezumatul de soluii

posibileCoordonarea
care s reduc riscul
procesului
Revizuirea soluiilor Evaluarea soluiilor de control

decizional
comparativ
cu cerinele impuse
Estimarea diminurii riscului Estimarea de reducere a
expunerii sau a probabilitii de risc
Estimarea costurilor soluiilor Evaluarea costurilor directe i
indirecte de atenuare a riscurilor
Selectarea strategiei de reducere a costurilor Analiz
complet cost-beneficii pentru determinarea solutiei optime
dpv cost.
Managementul riscului i Analiza riscului

Comparaii
Managementul riscului
Analiza riscului
Obiective
Gestioneaz riscul, n sensul

reducerii acestuia, pn la un nivel
acceptabil pentru nevoile firmei.
Identific i clasific riscurile n

cadrul firmei
Tip de proces
Proces permanent pe toate fazele
Funcioneaz intr-o singur faz,

atunci cand este nevoie de
evaluare a riscului.
Implementare
controale
Evaluarea riscurilor
Evaluarea
Msurarea
eficacitii
programului
riscurilor
2
Coordonarea
procesului
decizional
1. Planificarea
alinierea
scopul
aceptarea
2. Facilitarea culegerii datelor

determinarea bunurilor firmei
identificarea ameninrilor
identificarea vulnerabilitilor
estimarea expunerilor
estimarea probabilitii de producere
sumar
3. Prioritizarea riscurilor
coordonarea unei prioritizri sumare a nivelului de risc
rezumat al prioritizrii nivelului de risc
analiz mpreun cu proprietarul
analiz de detaliu a prioritizrii nivelului de risc
detalierea prioritizrii nivelului de risc
Motivele pentru care se face analiz de risc ?
Identificarea bunurilor firmei

Identificarea msurilor de control pentru securizarea bunurilor firmei
Avertizeaz conducerea firmei asupra termenelor care pot produce riscuri
Avertizeaz asupra necesitii de a adopta msuri de control
Ghideaz n alocarea de resurse
Aliniaz programul de control la misiunea firmei
Ofer criterii pentru proiectarea i evaluarea planurilor de avarie
Ofer criterii pentru proiectarea i evaluarea planurilor de recuperare
Modaliti de abordare a Analizei riscului
Analiza cantitativ
Lucreaz cu date statistice n domeniu
Analiza calitativ
Lucreaz cu date mai puin complexe
Analiza vulnerabilitii /analiza pe post

Pune pe prim plan angajatul i condiiile specifice de lucru
Riscul
Riscul poate fi definit ca o ameninate care poate s exploateze eventualele slbiciuni ale sistemului.
Riscul este un eveniment care ateapt s se ntmple.
Analiza de risc presupune un proces de identificare a riscurilor de securitate, determinarea amplitudinii
riscurilor, precum i identificarea zonelor cu risc mare i care trebuie securizate. Analiza de risc face parte din
ansamblul de msuri care poarta denumirea de managementul riscului. Evaluarea riscurilor este un rezultat
al unui proces de analiz a riscurilor.
Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare

sau minimizare a evenimentelor care pot afecta resursele sistemului.
Acesta include:
analiza riscurilor;
analiza costului beneficiilor;
selecia mecanismelor;
evaluarea securitii msurilor adoptate;
analiza securitii n general.
Definirea strii de risc (Microsoft)
Bunuri
Ameninare
Ce dorim s protejm?
De ce ne este fric?
Impact
Care este impactul asupra afacerilor?
Vulnerabilitate
Atenuare
Cum se poate produce

ameninarea?
Care este nivelul actual

de atenuare?
Probabilitate
Care este probabilitatea ca ameninarea
s se manifeste?
Definirea strii de risc

Nivelul de risc = Rata de impact x Rata de probabilitate
unde
Rata de impact = Clasa de impact x Factorul de expunere
Categorii de risc
O categorisire a riscurilor se poate face innd cont de sursele de risc. O prim categorisire poate fi:
1.
2.
3.
4.
5.
6.
7.
8.
Raporturile i legaturile legale i comerciale

Circumstanele economice
Circumstane politice
Probleme tehnice i tehnologice
Activitile generale de management i control
Activiti individuale
Comportament uman
Evenimente naturale
Standardele n domeniu ofer urmtoarea categorisire a riscurilor:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Managementul bunurilor
Managementul schimbrii
nelegerii
Mediu
Financiar
Management general
Responsabiliti
Personal
Servicii i producie
Tehnologie
1/2
Categorii de risc
Standardele n domeniu ofer urmtoarea categorisire a riscurilor:
Nr.
Categorie
Exemple/Descriere
Boli
Afecteaz oamenii, animalele i plantele.
Economic
Fluctuaii valutare, fluctuaii dobnzi, cote de pia.
Mediu
Zgomote, poluare, contaminare.
Financiar
Riscuri contractuale, insuficien fonduri, fraude, amenzi.
Uman
Revolte, lovituri, sabotaje, erori.
Dezastre naturale
Condiii climatice, cutremure de pmnt, furtuni, erupii vulcanice etc
Msuri de siguran
Msuri de siguran inadecvate, management defectuos al siguranei.
Productivitate
Eroare de design, controale de calitate sub standarde, testare inadecvat.
Profesional
Instruire defectuoas i insuficient, neglijen, erori de design.
10
Distrugeri de proprietate
Incendii, inundaii, cutremure de pmnt, contaminri, erori umane.
11
Publice
Relaiile cu publicul.
12
Securitate
Atacuri, intruziuni, furturi, vandalizri.
13
Tehnologice
Tehnologii noi (netestate), tehnologii invechite, tehologii dependente.
2/2
Evenimente !!!!!!
Categorii de risc
Rezumat
Evenimente naturale
Firma
Oameni
Mediul de afaceri
Atacuri
Procese
Tehnologii
Vulnerabilitate ameninare
Vulnerabilitatea poate fi definit ca o slbiciune n ceea ce privete procedurile de

sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum i alte cauze
care pot fi exploatate pentru a trece de sistemele de securitate i a avea acces neautorizat la
informaii.
Dup factorii care determin vulnerabilitatea:
fizice;
naturale;
hardware;
software;
medii de stocare;
radiaii;
comunicaii;
umane.
Ameninrile la adresa securitii se pot clasifica n trei

categorii:
naturale i fizice;
accidentale;
intenionate.
Ameninrile intenionate sunt i cele mai frecvente. Aceste

ameninri pot fi categorisite n:
interne;
externe.
Ameninrile interne vin din partea propriilor angajai.
Ameninrile externe vin din partea mai multor categorii, i
anume:
agenii de spionaj strine;

teroriti i organizaii teroriste;
organizaii criminale;
raiders;
hackeri i crackeri.
Ameninare
(tipuri i exemple)
1/2
Tip ameninare
Exemplu
Tip ameninare
Exemplu
Catastofal
Incendiu
Accident
Tensiune nestandard
Inundaie
Defect hardware
Cutremur de pmnt
Deconectri mecanice
Alunecare de teren
Defect dispozitive control
Avalan
Accident de construcie
Furtun/uragan
Acte
neintenionate
Angajat/colaborator
neinformat
Atac terorist
Angajat/colaborator neinstruit
Revolte/rscoale
Angajat/colaborator neglijent
Explozie (industrial)
Ameninare
(tipuri i exemple)
Tip ameninare
Exemplu
Acte
intenionate
Hacker, cracker
Spionaj (partener de
afaceri, concuren)
Spionaj (guverne strine)
Criminal PC
Social engineering
Angajat nemulumit
Fost angajat nemulumit
Terorist
Angajat antajabil
Pseudo-angajat
2/2
Vulnerabilitate
(tipuri i exemple)
Tip vulnerabilitate
Vulnerabilitate
Fizic
ncperi nencuiate/neasigurate
Ferestre nencuiate/neasigurate
Defecte de proiectare cldiri
Defecte de construcie cldiri
Sisteme antiincendiu insuficiente
Materiale inflamabile depozitate inadecvat
1/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Natural
Construcie n zone inundabile

Construcie n zone improprii
Construcie n zone cu periocol de avalan
Construcie n zone cu teren instabil
2/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Hardware
Configurare defectuoas sau improprie

Sistem de calcul neasigurat fizic
Lips patch-uri
Echipamente nvechite
Protocoale inadecvate
3/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Software
Software antivirus neactualizat

Software firewall neactualizat
Lips patch-uri/fix-uri.
Aplicaii neprofesionale
Aplicaii scrise cu back doors
Configurare software improprie
4/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Medii stocare
Casete de stocare cu defecte

Medii de stocare improprii
Medii de stocare vulnerabile
5/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Comunicaii
Interferene radio
Interferene electrice
Comunicaii necriptate
Protocoale necriptate n reea
Conexiuni ntre mai multe reele
Protocoale active fr utilizare
Nefiltrarea comunicaiilor intre subreele
6/7
Vulnerabilitate
(tipuri i exemple)
Tip
vulnerabilitate
Vulnerabilitate
Umane
Neraportare atacuri
Rspuns slab la atacuri
Lipsa planuri de recuperare n caz de dezastre
Testare insuficient proceduri
7/7
Modelul de aprare n adncime (Microsoft)
Fizic
Reea
Host/Gazd
Aplicaii
Date
Culegerea datelor
Implicarea proprietarului
Acesta tie cel mai bine care sunt bunurilor din organizaie, ce valoare au i ce impact au evenimentele nedorite
asupra acestora.
mprirea pe grupuri
Fiecare grup are atribuii specifice
Comunicarea ntre departamente

Implicarea i comunicarea cu departamentele IT este esenial.
Discuii fr nivel nu interogatorii

Discuiile care se poart i ntrebrile care se pun nu trebuiesc s fie agasante i interogatorii.
Responsabilitate i contientizare
Responsabilitatea n procesul de culegere a datelor (i ulterior), precum i contientizarea importanei fiecrei
faze se vor reflecta n datele finale.
Culegerea datelor (Microsoft)

Identificarea bunurilor pentru care grupul tau este responsabil cu dezvoltarea, managementul, intreinere i mentenan.
Denumire bun
Clasificare bun (d.p.v. al impactului) ( , M, R )
DB server
LAN printer
Pentru fiecare bun se va completa urmtorul tabel:

Nivelul
(din modelul de aprare n
adncime)
Fizic
Reea
Host/Gazd
Aplicaii
Date
De ce ne
temem?
(Ameninare)
Cum se va
ntmpla?
(Vulnerabiliti)
Nivel de
expunere
(, M, R)
Descriere
controale
curente
Probabilitate
(, M, R)
Controale
poteniale
Culegerea datelor (Microsoft)

Informaii colectate pe parcursul procesului de culegere date .
Bun
Expunere
Data
identificat
Denumire
bun/
Descriere
Clasa
bunului
Nivelul de
aplicabilitate
Descriere
ameninare
Descriere
vulnerabilitate
Rata de
expunere
(, M, R)
Rata de
impact
(, M, R)
Date
Date clieni
Host
Acces
neautorizat
Furt sau
ghicire parol
Date
Date clieni
Host
Alterare
Virui.
Configurare
improprie
Abordarea social a riscului
Angajator
Grupul de securitate
Interogatorii
Discuii
Angajai
Analiza cantitativ
Analiza calitativ

Analiza riscului de securitate
Analiza calitativ a riscului de securitate
Aceast metod este mai des folosit dect metoda calitativ, pretndu-se la firmele de mrime mic.
Metoda nu folosete date statistice. n schimb, se folosete ca dat de intrare potenialul de pierdere.
Metoda opereaz cu termeni ca:
des/nalt, mediu, rar/redus referitor la probabilitatea de apariie a riscurilor i impactul acestora.

vital, critic, important, general i informaional referitor la tipul i clasificarea informaiilor.
numere, 1, 2, 3.
Aceasta are ca efect imediat reducerea volumului de munc i a timpului consumat.

Metoda are i dezavantaje. Printre acestea:
greu de cuantificat (ca i la metoda anterioar) anumii termeni (important este un termen greu de
definit n management).
numerele sunt de aceast dat i mai subiective. Dac la metoda anterioar ele erau date statistice, acum
sunt alese subiectiv.
An
a
detalierea prioritizrii nivelului de risc
liz
a
ca
lit
Pentru coordonarea unei prioritizri sumare a nivelului de risc se parcurg urmtorii pai:
1.
Determinarea valorii impactului pentru bunuri
2.
Estimarea probabilitii de producere a unui eveniment
3.
Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului i a probabilitii de producere
pentru fiecare bun
ati
v
Coordonarea unei prioritizri sumare a nivelului de risc
-Determinarea valorii impactului

-Estimarea probabilitii de impact din lista sumar
de nivele
-Completarea listei sumare a nivelului de risc prin
combinarea impactului i a probabilitii de
producere
Rezumat al prioritizrii nivelului de risc
Analiz mpreun cu proprietarul
Analiz de detaliu a prioritizrii nivelului de risc
-Determinarea impactului i a expunerii

-Identificarea metodelor de control curente
-Determinarea probabilitii de impact
-Determinarea n detaliu a nivelului de risc
Detalierea prioritizrii nivelului de risc

c
za
i
l
a
An
al
tiv
a
it
An
a
Stabilirea nivelului de pierderi i a Clasei/nivelului de impact
Pierderi (USD)*
Punctaj
Clasa/nivel de impact
<1.000
1.001 10.000
10.001 50.000
50.001 100.000
100.001 500.000
500.001 1.000.000
1.000.001 5.000.000
5.000.001 10.000.000
10.000.001 50.000.000
10
>50.000.000
liz
a
ca
lit
ati
v
Valoarea Clasei/nivelului de
impact (V)
10
Clasa de impact: R Redus. M Mediu, I - nalt
* Valoarea pierderilor poate fi diferit n funcie de mrimea firmei.

Un nivel de pierderi mare pentru o firm mic poate fi un nivel mic pentru o firm mare.
Se impune o stabilire a nivelului maxim i minim al pierderilor pentru fiecare tip de firm i apoi stabilirea
scrilor de punctaj aferente.
An
a
Tipuri de firme dup mrime
Tip
firm
Numr
servere
Venit anual (USD)
Numr
angajai
Alte caracteristici
>1.000
>1 mld.
>2.000
Medie
>100
>100 ml.
>500
- cteva site-uri
Mic
<100
<100 ml.
<100
Mare
liz
a
- mai multe site-uri;

- management special
ca
lit
ati
v
1.
An
a

Clasa de impact i factorul de expunere
Rata de impact
Clasa
de impact
nalt
Medie
nalt
nalt
Medie
Redus
Medie
nalt
Redus
Redus
Redus
Medie
Redus
Mediu
nalt
Factor de expunere
liz
a
ca
lit
ati
v
2.
An
a
Estimarea probabilitii de producere a unui eveniment
Probabilitatea de producere
(rata de probabilitate)
liz
a
Descriere
nalt
Sigur. Se produce o dat sau de mai multe ori pe an
Medie
Probabil. Eveniment care se poate produce cel putin o dat sau de dou sau trei
ori pe an
Redus
Improbabil. Eveniment care nu se poate produce n urmtorii trei ani
ca
lit
ati
v
3.
Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului i a probabilitii de producere
pentru fiecare bun
Impact i probabilitate
Nivel de risc
Rata
de impact
nalt
Mediu
nalt
nalt
Medie
Redus
Mediu
nalt
Redus
Redus
Redus
Mediu
Redus
Medie
nalt
Probabilitate de producere
An
c
il za
a
ti v
a
t
li
An
a
Pentru detalierea nivelului de risc se parcurg urmtorii pai:
1.
Determinarea valorii impactului i a expunerii pentru bunuri
2.
Identificarea controalelor curente
3.
Determinarea probabilitii de impact
4.
Determinarea detaliat a nivelului de risc
liz
a
ca
lit
ati
v
An
a
1.
liz
a
ca
lit
Determinarea expunerii i a valorii impactului pentru bunuri

Determinarea expunerii
Rata
expunere
Consecine
Descriere
Insignifiante
Pierderi financiare minore. Nu sunt pagube materiale sau rnii.
Minore
Pierderi financiare medii. Pagube materiale reduse, se impune primul

ajutor acordat personalului.
Moderate
Pierderi financiare importante. Se impune tratament medical aplicat

personalului. Activitatea se poate desfura n continuare.
Majore
Pierderi financiare importante. Rniri grave ale personalului. Avarii

importante. Capacitile de producie sunt diminuate.
Catastrofale
Pierderi financiare enorme. Mori. Pierderea total a capacitilor de

producie.
ati
v
An
a
Determinarea impactului
Determinarea valorii impactului se face prin nmulirea ntre
Valoarea clasei de impact (V) i Factorul de expunere (FE) corespunztoare
Valoarea clasei de impact
(V)
Rata de expunere
Factorul de expunere
(FE)
Impact (nalt)
10
100%
Impact M(ediu)
80%
Impact R(edus)
60%
40%
20%
Clasa de impact
x
Plaja de valori a ratei de
impact
Nivel
Rata de impact
7- 10
nalt
Plajele de valori sunt cuprinse ntre 0 i 10
4-6
Mediu
0-3
Redus
liz
a
ca
lit
ati
v
An
a
2.
Identificarea controalelor curente
Inventarierea controalelor curente (fizice).
Inventarierea controalelor curente.
Stabilire eficienei ecestora (eventual).
Identificare controale inactive.
liz
a
ca
lit
ati
v
An
a
3.
liz
a
Determinarea probabilitii de impact
-Presupune determinarea existenei unei anumite vulnerabiliti i posibilitatea exploatrii acesteia.

-Presupune determinarea probabilitii unei anumite vulnerabiliti de a fi diminuat prin folosirea controalelor .
Nivelul de vulnerabilitate depinde in principal de cteva atribute:
1. Numrul de atacatori.
Vulnerabilitatea va crete dac numrul persoanelor care produc un atac este n cretere.
Vulnerabilitatea va crete dac nivelul de pregtire al atacatorilor este ridicat.
2. Atac local sau atac la distan.
Vulnerabilitatea va crete dac anumite goluri de securitate pot fi exploatate de la distan.
3. Cunotine
Vulnerabilitatea va crete dac un anume tip de atac este cunoscut i documentat.
4. Automatizarea
Vulnerabilitatea va crete dac un anume tip de atac poate fi automatizat n aa fel inct s gseasc
singur i s exploateze golurile de securitate.
ca
lit
ati
v
An
a
3.
liz
a
Determinarea probabilitii de impact (continuare)
Nivel
vulnerabilitate
nalt
Medie
Redusa
Condiii
-Numr mare de atacatori - script-kiddie/hobbyist
-Atac la distan
-Privilegii de anonymous
-Modaliti de exploatare foarte bine cunoscute si documentate
-Automatizare
-Numr mediu de atacatori - expert-specialist
-Atac local
-Necesit drepturi de acces
-Metode de atac nedocumentate
-Neautomatizare
-Numr redus de atacatori cunotinte arhitectur intern
-Atac local
-Necesit privilegii de Administrator
-Metode de atac nedocumentate
-Neautomatizare
Nota
5
dac cel putin una din
condiii este indeplinit
3
1
ca
lit
ati
v
An
a
3.
Determinarea probabilitii de impact (continuare)
ntrebri
liz
a
ca
lit
Note
0 - Da, 1 Nu
Sunt definite responsabilitile i sunt efectiv aplicate?

Sunt atenionrile comunicate i urmrite executrile acestora?
Procesele i procedurile sunt bine definite i nvate?
Tehnologia existent sau controalele existente reduc ameninarea?
Practicile curente de audit sunt suficiente pentru detectarea abuzurilor sau controlul deficienelor?
ati
v
An
a
3.
Determinarea probabilitii de impact (continuare) - Exemplu
liz
a
ca
lit
Reea (LAN) i remote host
Nivel de vulnerabilitate
ntrebri referitoare la eficacitatea controalelor
Note
0 - Da, 1 - Nu
Sunt definite responsabilitile i sunt efectiv aplicate?
Sunt atenionrile comunicate i urmrite executrile acestora?
Procesele i procedurile sunt bine definite i nvate?
Tehnologia existent sau controalele existente reduc ameninarea?
Practicile curente de audit sunt suficiente pentru detectarea abuzurilor sau controlul deficienelor?
Rata total de probabilitate pentru LAN i host remote
ati
v
An
a
4.
Determinarea detaliat a nivelului de risc
liz
a
ca
lit
Nivelul de risc = Rata de impact * Rata de probabilitate

Rata de impact
Impact
10 7
nalt
64
30
nalt
Mediu
Redus
Rata de probabilitate
Rezultat (produs)
Nivelul de risc
10 7
41 100
nalt
Medie
64
20 40
Mediu
Redus
30
0 19
Redus
ati
v
10
10
20
30
40
50
60
70
80
90
100
18
27
36
45
56
63
72
81
90
16
24
32
40
48
56
64
72
80
14
21
28
35
42
49
56
63
70
12
18
24
30
36
42
48
54
60
10
15
20
25
30
35
40
45
50
12
16
20
24
28
32
36
40
12
15
18
21
24
27
30
10
12
14
16
18
20
10
10
Redus
Mediu
Probabilitate
nalt
An
a
Analiza calitativ a riscului de securitate (variant simplificat)

Stabilim probabilitatea de producere a dezastrelor
Nivel de producere
Probabilitate
producere
Descriere
Aproape sigur
Se poate produce n orice condiii
Probabil
Se poate produce n anumite condiii
Moderat
Se poate produce n timp
Improbabil
S-ar putea produce n timp
Rar
Se poate produce
excepionale
numai
condiii
liz
a
ca
lit
ati
v
An
a
liz
a

Stabilim consecinele dezastrelor
Nivel
consecine
Descriere /
consecine
Exemple consecine
Insignifiante
Pierderi financiare minore. Nu sunt pagube materiale sau rnii.
Minore
Pierderi financiare medii. Pagube materiale reduse, se impune primul

ajutor acordat personalului.
Moderate
Pierderi financiare importante. Se impune tratament medical aplicat

personalului. Activitatea se poate desfura n continuare.
Majore
Pierderi financiare importante. Rniri grave ale personalului. Avarii

importante. Capacitile de producie sunt diminuate.
Catastrofale
Pierderi financiare enorme. Mori. Pierderea total a capacitilor de

producie.
ca
lit
ati
v
An
a
Stabilim matricea analizei calitative a riscului
liz
a
ca
lit
Consecine
Probabilitate de
producere
Insignifiante
Minore
Moderate
Majore
Catastrofale
B (probabil)
C (moderat)
D (improbabil)
E (rar)
A (aproape sigur)
E - Risc Extrem. Se impun aciuni imediate pentru minimizarea acestuia. Se impune o detaliere asupra
bunurilor i a planurilor de management pentru minimizarea riscurilor. Trebuie impuse strategii pentru aceasta.
I - Risc nalt. Trebuie luate imediat n calcul de ctre manager. Se vor identifica strategiile de management n
acest caz. Ca i anterior, trebuie minimizate riscurile.
M - Risc moderat. Trebuie luate n calcul de ctre manager.
R - Risc Redus. Aciuni specificate n procedurile de rutin.
Tabelele folosite n analiza calitativ a riscului trebuie particularizate pe activitile i locurile specifice.
ati
v
Analiza cantitativ
Analiza calitativ

Analiza cantitativ a riscului de securitate
Pentru analiza calitativ a riscului se parcurg urmtorii pai:
1.
Identificarea i evaluarea activelor (bunurilor firmei)
2.
Determinarea vulnerabilitilor
3.
Estimarea probabilitii de producere
4.
Calcularea pierderilor anuale estimate
5.
Analiza msurilor de control
6.
Calcularea Rentabilitii Investiiei (RI).
An
ali
za
ca
nt
ita
ti v
1. a. Identificarea bunurilor
Presupune identificarea componentelor hardware, software, datele cu care se opereaz, personalul implicat n procese,
documentaiile aferente, suporturi etc.
Date
Fizice
Financiare
Logistice/manageriale
Planificri
Statistice
Operaionale
Personal
Cldiri
Birouri
Sisteme auxiliare
Sisteme de alimentare cu electricitate
Administrative
Documentaii
Software
Hardware
Fiiere
Programe
System
Operaionale
Programe
Ghiduri de operare
Documente de audit
Sisteme de alimentare cu ap
iz
a
ca
nt
ita
tiv
Proceduri
Planuri de avarie
Planuri de securitate
Proceduri de I/E
Msuri de control
A
na
l
Comunicaii
Sisteme de alimentare cu gaze

Sisteme de iluminat
Sisteme de aer condiionat
Sisteme de sigurana datelor
Uniti de stocare/backup
Surse auxiliare de tensiune/surse
Linii de comunicaie
Proceduri de comunicaie
Switch/hub/multiplexoare
Modemuri
Cabluri
Terminale
Antene
An
ali
1. b. Evaluarea bunurilor
Atunci cnd evalum bunurile este de preferat s se foloseasc o scal a valorii bunurilor.
Numrul
Valoarea n USD
0
<1
110
11 100
100.001 1.000.000
1.000.00110.000.000
>10.000.000
za
ca
nt
ita
ti v
Caz 1
Costuri de nlocuire
Caz 2
Costuri de recuperare
1. b. Evaluarea bunurilor
An
ali
za
ca
nt
ita
Presupune s se stabileasc costurile de nlocuire pentru cazuri cnd un anume bun este distrus.
Pentru aceasta trebuie s ne punem ntrebri care s ne ajute s evalum aceste bunuri. Unele dintre aceste ntrebri
ar putea s fie cele din rndurile urmtoare.
Referitor la componentele hardware trebuie puse urmtoarele ntrebri:
- Care este costul de nlocuire a bunului la preurile actuale?
- Ct timp dureaz pn se nlocuiete bunul/componenta distrus?
- Dac operaia/operaiile pot fi fcute manual, de ci oameni este nevoie? De ct timp suplimentar
este nevoie pentru remediere?
- Care sunt pierderile n relaiile cu clienii n condiii de nefuncionalitate?
Pentru componenta software trebuie puse urmtoarele ntrebri:
- Ct timp i va lua programatorului s gseasc problema n caz de disfuncionalitate a programelor?
- Ct timp i va lua pentru ncrcarea i testarea programului depanat?
- Ct timp i va lua pentru repunerea sistemului de operare n caz de dezastre?
Pentru date:
- Pot fi acestea refcute sau repuse?
- Ct timp se pierde pentru refacerea acestora n caz de pierdere?
- Dezastrul produs este din cauza unei aciuni voite, sau sunt cauze ntmpltoare?
- Informaiile pierdute au caracter special (militare, secrete de serviciu, confideniale)?
Pentru personal:
- De ci oameni este nevoie s lucreze pentru recuperare dezastre?
- Ct cost instruirea unui nou personal?
- Care sunt efectele psihologice ale dezastrelor?
ti v
Estimarea valorii impactului pe o zon

Fiecare bun are, n cazul pierderii acestuia sau al funcionrii defectuoase, impact asupra a trei elemente necesare n
asigurarea securitii, i anume:
secretizare;
integritate;
disponibilitate.
Exemplu:
Se consider un fiier care stocheaz datele personale ale unui numr de 200 de angajai ai firmei. n urma unui
eveniment nedorit (intenionat, neintenionat, accident, fenomen natural), se pierd att datele din fiier, ct i structura
acestuia. Nu exist copie de siguran pentru acestea. Refacerea structurii fiierului poate fi fcut de o persoan calificat,
lucrnd 4 ore pentru reconstrucie (n timpul programului). Salariul tarifar este de 2,5 USD/or. Repunerea datelor,
repopularea fiierului, va putea fi fcut n afara orelor de program de aceeai persoan sau de ctre o alt persoan.
Aceast operaie dureaz 5 (cinci) ore i este pltit cu 3 USD/or (lucrul n afara orelor de program).
Pierderea secretului, netiind natura dezastrului, creeaz pierderi estimate la 5.000 USD, aceasta fiind zona cu
impactul cel mai mare n privina costurilor de refacere.
4(ore) x 2,5 (USD/or) + 5(ore) x 3 (USD/or suplimentar) = 25 USD.
Calculul valorii totale pentru fiecare bun
Calculm valoarea total pentru un impact folosind formula:
Valoare b
Zona impact
Valoare impact (USD)
Secret
5.000
Integritate
Disponibilitate
10 + 15 = 25
Impact i
i 1
unde Valoare b = valoarea impactului pentru bunul b;

Impact i = valoarea impactului n zona respectiv pentru bunul b.
Avem trei (i = 3) zone de impact (Secret, Integritate i Disponibilitate).
n acest caz, Valoarea b = 5.000 + 0 + 25 = 5.025 USD.
a
liz
a
An
nt
ca
iv
t
ita
An
ali
2. Determinarea vulnerabilitilor
Presupune stabilirea ameninrilor la adresa bunurilor i frecvena cu care aceste ameninri se pot produce.
Posibilele ameninri la adresa bunurilor firmei sunt exemplificate mai jos.
Naturale
Accidente
Cutremure de pmnt
Acte intenionate
Dezvluiri
Inundaii
Sabotaj al angajailor
Uragane
Fraudri
Alunecri de teren
Furturi
Furtuni de zpad
Loviri
Furtuni de nisip
Utilizri neautorizate
Tornade
Vandalism
Tsunami
Intruziuni
Descrcri electrice
Atacuri cu bombe
Erupii vulcanice
Revolte/rscoale
Dezvluiri
Perturbri electrice
ntreruperi electrice
Incendii
Scurgeri de lichide
Erori de transmisii-telecomunicaii
Erori ale operatorilor/utilizatorilor
Erori de cadru organizatoric
Erori hardware
Erori software
za
ca
nt
ita
ti v
An
ali
3. Estimarea probabilitii de producere

Se stabilete probabilitatea de producere a unui incident ntr-un interval de timp.
n tabelul urmtor avem exemplificate frecvenele de producere a incidentelor:
Frecvenadeproducereaincidentelor
Frecvena
Valoarea
Niciodat
0,0
O dat la 300 ani
1/300
0,00333
O dat la 200 ani
1/200
0,005
O dat la 100 ani
1/100
0,01
O dat la 50 ani
1/50
0,02
O dat la 25 ani
1/25
0,04
O dat la 5 ani
1/5
0,2
O dat la 2 ani
1/ 2
0,5
O dat pe an
1/1
1,0
De dou ori pe an
2/1
2,0
O dat pe lun
12/1
12,0
O dat pe sptmn
52/1
52
O dat pe zi
365/1
365
za
ca
nt
ita
ti v
Rata
de producere
Ameninri
Naturale
Accidente
Acte intenionate
Cutremure de pmnt
0,005 - 0,2
Inundaii
0,01- 0,5
Uragane
0, 05 - 0,5
Alunecri de teren
0 - 0,1
Furtuni de zpad
0,07 - 50
Furtuni de nisip
0,01 - 0,5
Tornado
0 - 10
Tsunami
0,00001 - 2
Descrcri electrice
0 - 0,125
Erupii vulcanice
0 - 0,01
Dezvluiri
0,2 - 5
Perturbri electrice
0, 1 - 30
0,1 -10
Incendii
0,1 - 10
Scurgeri de lichide
0,02 - 3
Erori de transmisii/telecomunicaii
0,5 - 100
10 - 200
Erori hardware
10 - 200
Erori software
1 - 200
Dezvluiri
0,2 - 5
0,1 - 5
Fraudri
0,09 - 0,5
Furturi
0,015 - 1
Loviri
0,1 - 5
0,009 - 5
Vandalism
0,008 - 1,0
Intruziuni
Atacuri cu bombe
0, 01 - 100
Revolte/rscoale
0 - 0,29
An
ali
za
ca
nt
ita
ti v
An
ali
4. Calcularea pierderilor anuale estimate

Calcularea pierderilor anuale estimate pe fiecare ameninare
za
ca
nt
ita
unde
PAE a = Pierderi Anuale Estimate pentru ameninarea a, Vb = Valoarea bunului b (0 la n bunuri),
Ea = Estimarea numrului de incidente ale ameninrii a (0 la m ameninri).
Bun = Calculator (local)
Bun = Imprimant
Bun = Centru servere
Ameninare = ocuri de tensiune
Cost incident = 500
Cost incident = 500
Cost incident = 10.000
Frecvena de producere este de

cinci (5) ori pe an.
Frecvena de producere este de cinci (5)

ori pe an.
Frecvena de producere este de cinci (5)

ori pe an.
PAE1, 1 = 500x5 = 2.500
PAE2, 1 = 500x5 = 2.500
PAE3, 1 = 10.000x5 = 50.000
PAE = PAE1, 1 + PAE2, 1 + PAE3, 1

PAE = 2.500 + 2.500 + 50.000 = 55.000 USD
ti v
An
ali
4. Calcularea pierderilor anuale estimate

Calcularea pierderilor anuale estimate pe fiecare bun
unde
PAE b = Pierderi Anuale Estimate pentru bunul b, V
ameninrii a (0 la m ameninri).
za
ca
nt
ita
ti v
= Valoarea bunului b (0 la n bunuri), Ea = Estimarea numrului de incidente ale
Ameninare = Cutremur de pmnt
Ameninare = Inundaie
Frecvena de producere este de

cinci (5) ori pe an.
Frecvena de producere este o dat la 50

de ani.
Frecvena de producere este de o dat la

25 de ani.
PAE1, 1 = 30.000x5 = 150.000
PAE1, 2 = 50.000x0,02 = 10.000
PAE1, 3 = 10.000x0,04 = 4.000
PAE = PAE1, 1 + PAE2, 1 + PAE3, 1

PAE = 2.500 + 2.500 + 50.000 = 55.000 USD
Calcularea pierderilor anuale estimate totale
Se determin Pierderile
Anuale Estimate (PAE) nsumnd pe categorii de ameninri:
unde
PAE a = Pierderi Anuale Estimate pentru ameninarea a, Vb = Valoarea bunului b (0 la n bunuri),
Se determin Pierderile
Anuale Estimate (PAE) nsumnd pe categorii de bunuri:
unde
PAE b = Pierderi Anuale Estimate pentru bunul b, Vb = Valoarea bunului b (0 la n bunuri),
An
ali
za
ca
nt
ita
ti v
An
ali
Calcularea pierderilor anuale estimate totale
PAE = Total Pierderi Anuale Estimate pentru perechile bun/ameninare.
za
ca
nt
ita
ti v
n ambele cazuri de calculare a pierderilor totale, pe categorii de ameninri sau pe categorii de bunuri, rezultatul trebuie s fie identic.
Se poate obine matricea ameninare/bunuri:
Bunul 1
Bunul 2
Bunul n
Ameninare 1
(V1 x E1) +
(V2 x E1) +
+ (Vn x E1)
PAE a, 1
Ameninare 2
(V1 x E2) +
(V2 x E2) +
+ (Vn x E2)
PAE a, 2
Sum
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Ameninare m
(V1 x E m) +
(V2 x E m) +
+ (Vn x E m)
PAE a, m
PAE b, 1
PAE b, 2
PAE b, n
Sum
PAE
An
ali
5. Analiza msurilor de control
za
ca
nt
Se va identifica ameninarea care produce cele mai mari valori ale pierderilor anuale estimate corespunztor acesteia (PAE a).
ita
ti v
Se vor identifica msurile care pot duce la reducerea vulnerabilitii.
Ameninri
Metode de control
Naturale
Cutremure de pmnt
Senzori, amplasament
Inundaii
Senzori, amplasament
Uragane
Amplasament
Alunecri de teren
Amplasament
Furtuni de zpad
Amplasament
Furtuni de nisip
Amplasament
Tornade
Amplasament
Tsunami
Amplasament
Descrcri electrice
Eclatoare, amplasament
Erupii vulcanice
Amplasament
Accidente
Dezvluiri
Criptare
Perturbri electrice
Stabilizatoare tensiune
Surse nentreruptibile
Incendii
Sisteme avertizare/stingere
Scurgeri de lichide
Senzori, carcase protecie
Erori de telecomunicaii
Linii dedicate de transmisie
Instruire personal
Acte intenionate
Erori hardware
Erori software
Dezvluiri
Fraudri
Furturi
Loviri
Vandalism
Atacuri cu bombe
Revolte/rscoale
Intruziuni
Testare echipament de marc

Testare software
Criptare date
Criptare date
Jurnale de acces (control log)
Jurnale de acces (control log)
Limitare acces fizic
Parole, criptare
Control acces/criptare date
5. Calcularea Rentabilitii Investiiei (RI).
An
ali
za
ca
nt
ita
Pentru fiecare msur de control aplicat se identific:
Vulnerabilitile care pot fi reduse prin aplicarea acelor msuri de control.
Atribuirea unei rate/valori optime pentru fiecare pereche eveniment/mod de control.
Estimarea costurilor anuale pentru implementarea msurii de control respectiv.
Calcularea Rentabilitii Investiiei (RI).
unde Cc = Costul anual pentru aplicarea controlului c, r c = indicele de

eficacitate pentru controlul c, PAEa = Pierderile Anuale Estimate pentru
ameninarea a.
La selectarea msurilor suplimentare de control trebuie s se in cont de realizarea urmtoarelor obiective:
valoare a Rentabilitii Investiiei ct mai mare;

minimizare a PAE (Pierderi Anuale Estimate).
Valoarea lui RI ct mai mare se va putea obine acionnd asupra indicelui de eficacitate r c prin
creterea acestuia pn la valoarea maxim (1), sau asupra costului anual pentru aplicarea controlului C c
prin micorarea costurilor de implementare a controlului.
ti v
An
ali
Exemplu:
PAE = PAE1, 1 + PAE2, 1 + PAE3, 1

PAE = 2.500 + 2.500 + 150.000 = 155.000 USD

Control = Stabilizator de tensiune (100 USD/buc.)
Cc = 22 x 100 = 2.200 (22 buc.)
rc = 0, 7 (se acoper doar 70% din pierderi)
RI
(0,7x155.000) 108.500
49,31/1
(2.200)
2.200
za
ca
nt
ita
ti v
Metoda cantitativ de calcul al riscului de securitate este folosit cu precdere la firmele de mrime
medie i/sau mare.
Metoda cantitativ expus are ns anumite neajunsuri. Printre acestea se pot enumera:
Dificultatea de a gsi un numr care s cuantifice ct mai exact frecvena de producere a unui
eveniment.
Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte greu de definit disponibilitatea
unei informaii i calculul pierderilor cnd aceast caracteristic lipsete.
Metoda nu face distincie ntre ameninrile rare, dar care produc dezastre mari ca valoare (incendiu,
cutremure, tornade etc.), i ameninrile dese care produc dezastre mici ca valoare (erori de operare),
n ambele cazuri efectele financiare fiind asemntoare.
Alegerea numerelor folosite poate fi considerat subiectiv, munc laborioas care necesit timp i
consum de resurse.
Comparaii intre analiza cantitativ i analiza calitativ a riscului de securitate
Beneficii
Analiza Cantitativ
Riscurile sunt prioritizate datorit impactului

financiar; bunurile sunt prioritizate datorit
valorii financiare a acestora.
Rezultatele ajut la managementul riscului prin
investiiile n securitate.
Valorile rezultatelor capt valori tangibile
(valori financiare, procente etc).
Acurateea tinde s creasc in timp datorit
faptului ca firma i creaz o baz de date cu
istoricul evenimentelor, in acelai timp firma
ctignd experien.
Avantaje
Analiza Calitativ
Permite o mai bun i mai clar ierarhizare a

valorii riscului.
Permite, datorit valorilor folosite, ajungerea
mai rapid la un consens.
Nu este necesar cuantificarea frecvenei
ameninrilor.
Nu este necesar determinarea valorii financiare
a bunurilor.
Comparaii intre analiza cantitativ i analiza calitativ a riscului de securitate
Dezavantaje
Analiza Cantitativ
Valoarea impactului pe fiecare risc este bazat

pe prerile subiective ale celor care fac analiza.
Procesele prin care se ajunge la rezultate
credibile sunt mari consumatoare de timp.
Calculele sunt foarte complexe i necesit timp
ndelungat.
Rezultatele au valoare monetar i sunt greu de
interpretat de ctre personalul non-tehnic.
Procesele necesit personal cu experien care
nu poate fi pregatit uor.
Analiza Calitativ
Nu face o difereniere suficient ntre riscuri

importante.
Este dificil de justificat o investiie n

msuri/controale de securitate atunci cnd nu se
bazeaz pe o analiz cost-beneficii.
Rezultatele sunt subiective. Acestea sunt

dependente de calitatea i componena echipei
de analiz a riscului.
Coordonarea procesului decizional

Coordonarea
procesului
decizional
Evaluarea
riscurilor
Msurarea
eficacitii
programului
3
Implementare
Definirea cerinelor funcionale
controale
Identificarea soluiilor de control
Revizuirea soluiilor de control propuse n conformitate cu cerinele

funcionale
Estimarea gradului de reducere a riscului
Estimarea costului pentru fiecare soluie
Selectarea strategiei de atenuare a riscului
Fazele de coordonare a procesului decizional (Microsoft)
Echipa de
Management
al riscului de
securitate
Grupul de
control/
atenuare
Definirea cerinelor
funcionale
Identificarea
soluiilor
de control
Comitetul de coordonare a securitii
Revizuirea
soluiilor propuse
n conformitate
cu cerinele
Estimarea gradului
de reducere a riscului
Estimarea costului
pentru fiecare soluie
Selectarea soluiei
de atenuare a riscului
Participani n faza de Coordonare a procesului decizional
Participant
Responsabiliti
Operatorii afacerii
Identific procedurile de control disponibile pentru controlul riscului.
Proprietarul afacerii
Analizeaz raportul cost-beneficii pentru riscuri.
Grupul financiar
Asist la analiza cost-beneficii. Definete alocarea de resurse.
Biroul de resurse umane (BRU)
Identific cerinele de instruire a personalului n funcie de soluiile

adoptate.
IT - arhitectur
Identific i evalueaz soluiile posibile de control.
IT - inginerie
Determin costul soluiilor de control i modul de implementare al

acestora.
IT - executani
Implementarea efectiv a soluiilor de control.
Auditor intern
Identific gradul de conformitate cu cerinele i face evaluri asupra

eficienei controlului.
Jurist
Identific legalitatea controalelor n funcie de politica firmei i de

aspectele contractuale.
Relaiile publice (PR)
Estimeaz valorile de impact asupra pieei create de soluiile control

adoptate.
Comitetul de coordonare a securitii
Selecteaz soluiile de control pe baza recomandrilor echipei de

management al riscului.
Echipa de management al riscului
Definete cerinele funcionale pentru controlul fiecrei categorii de

risc. Comunic acionarilor stadiul proiectelor de aplicare a
controalelor i personalul afectat de acestea.
Informaii necesare n faza de Coordonare a procesului decizional
Informaia ce trebuie culeas
Descriere
Decizia asupra modului de rezolvare

a fiecrui risc.
La ce nivel s se fac controlul pentru fiecare risc major.

Trebuie aceptate toate riscurile majore.
Se pot evita anumite riscuri majore.
Cerine funcionale
Declaraii n care s fie descrise elementele necesare atenurii

riscului.
Soluii poteniale de control
Liste cu elementele de control posibile, identificate de echipa

de management a securitii riscului, care pot fi eficiente n
atenuarea fiecrui risc.
Gradul de reducere a riscului pentru

fiecare soluie de control
Evaluarea fiecrei soluii de control propuse pentru a

determina ct de mult reduce nivelul de risc pentru bunuri.
Costul estimal pentru fiecare soluie

de control
Totalitatea costurilor asociate cu achiziionarea,

implementarea, susinerea i msurarea eficacitii pentru
fiecare control propus.
Lista soluiilor de control ce urmeaz

a fi implementate
Alegerea se face pe baza unei analize cost-beneficii.
n faza de Coordonare a procesului decizional, pentru alegerea controalelor menite s reduc riscurile
trebuiesc puse cteva ntrebri :
Ce perioad de timp va fi efectiv controlul propus?
Cte ore/om an vor fi necesare pentru monitorizarea i meninerea controlului propus?
Ce inconveniente va crea controlul propus utilizatorilor?
Ct de mult timp este nevoie pentru instruire n vederea implementrii, monitorizrii i meninerii controlului?
Costul controlului este rezonabil n raport cu valoarea bunului?
Definirea cerinelor funcionale
Definirea unor cerine funcionale necesare asigurrii securitii reprezint de fapt declaraii/expuneri
privind descrierea controalelor necesare pentru atenuarea riscului.
Controalele trebuiesc exprimate mai degraba ca o cerin funcional i mai putin ca o stare funcional .
Cerinele funcionale trebuiesc definite pentru fiecare din riscuri .
Cerinele funcionale definesc CE presupunem c trebuie fcut pentru identificarea i reducerea riscului
dar nu specific i CUM riscul poate fi atenuat sau s indice controalele specifice.
CUM poate fi atenuat riscul prin identificarea soluiilor de control revine ca sarcina Grupui de
control/atenuare a riscului.
Identificarea soluiilor de control
Identificarea msurilor de control presupune ca echipa care are aceasta sracin s aib experien n domeniu.
Dac personalul propriu nu este specializat n acest scop atunci se poate apela la specialiti sau consultani din afara
firmei (externalizare servicii outsourcing). Acetia pot s preia toate sarcinile sau s asigure asisten n domeniu.
Metode/Abordri n Identificarea soluiilor de control
Informal Brainstorming
Clasificarea i organizarea controalelor
Informal Brainstorming
Coordonator
Echipa de evaluare a riscului
??
Echipa de evaluare a riscului
Rspuns
(= Control propus)
Secretar
Control propus
(= UPS)
ntrebri:
-Care sunt etapele pe care firma trebuie s le parcurg pentru a prentmpina declanarea unui risc sau pentru controlul
acestuia?
-R. Implementarea autentificrii multi-factor pentru reducerea riscului de compromitere a parolelor.
-Ce poate face firma, atunci cnd s-a declanat evenimentul, pentru recuperare (disaster recovery)?
-R. Backup, backup, backup.
-R. Echipe i proceduri de aciune n caz de dezastre.
-R. Sisteme auxiliare.
-Ce msuri poate lua firma pentru detectarea unui risc?

-R. Sisteme de supraveghere video
-R. Sisteme de detectare intruziuni la nivel de host i de workstation.
-Cum poate firma s verifice c un control este plasat unde trebuie, c acesta funcioneaz i poate fi monitorizat?
-R. Expert n domeniu.
-Cum poate firma s declare corect eficacitatea unui control adoptat?

-R. Specializare i instruire periodic personal intern sau colaborare firm (persoan) specializat.
-Se mai pot lua i alte msuri pentru controlul riscurilor?

-R. Asigurri (n cazul obiectelor de inventar)
Metoda clasific posibilele controale n trei categorii:

organizaional, operaional i tehnologic.
Fiecare categorie este mprit n trei subcategorii cu urmtoarele roluri: prevenire, detecie i rspuns (management).
Tip control
Organizaional
Descriere
Proceduri i procese care stabilesc
modul de aciune al personalului n
cazul unor evenimente.
Subcategorii
Prevenire
Detecie
Rspuns (management)
Operaional
(Procese)
Tehnologic
Definesc modurile de manevrare a

datelor, a componentelor software i
hardware de ctre personal.
Se includ i elementele de protecie
generale si specifice.
Prevenire
Se includ elemente de infrastructur,

srhitectur, inginerie, hardware,
software i firmware.
Include toate componentele tehnologice
folosite pentru construirea unui sistem
informatic al firmei
Prevenire
Detecie
Detecie
Rspuns (management)
Tip control:
Subcategoria:
Organizaional
Preventiv
Roluri i responsabiliti clare. Definirea i documentarea clar a acestora vor face ca managerii i angajaii s
neleag responsabilitile pe fiecare post n parte.
Separarea datoriilor i mai puine privilegii. Aceasta va asigura faptul c fiecrui post de lucru i sunt permise
doar operaiile care sa-i asigure desfaurarea doar a sarcinilor de serviciu.
Planuri i proceduri de securitate bine documentate. Acestea sunt dezvoltate pentru a explica cum au fost
implementate sustemele de control i cum trebuie acestea meninute.
Instruire i campanii de informare. Instruirea este necesar pentru ca personalul sa fie la zi cu tehnologia iar
campaniile de informare sunt necesare pentru avizarea personalului asupa schimbarilor care au fost fcute.
Sisteme i procese de activare/dezactivare utilizatori. Acestea sunt necesare ca atunci cnd un nou personal este
angajat acesta s devin ct mai repede productiv, iar cel care nu mai lucreaz n firm s-i piard imediat drepturile.
Aceleai principii trebuiesc stipulate i la transferurile de personal ntre diferite compartimente. Trebuie luat n
considerare i schimbarea clasificrii pentru un post sau departament.
Stabilirea proceselor pentru acordarea accsului partenerilor de afaceri. Se includ aici toi partenerii de afaceri:
furnizorii, clienii, distribuitorii, subcontractanii etc. Principiile sunt similare cu cele enumerate anterior.
Tip control:
Subcategoria:
Organizaional
Detecie
Programe continue de control a riscului, pentru evaluarea i controlul riscului n compartimentele cheie ale
firmei.
Recenzii recurente ale sistemelor de control pentru a verifica eficiena lor.
Auditul periodic al sistemelor pentru a ne asigura c sistemele de control nu au fost compromise sau prost
configurate.
Referine i investigarea trecutului candidailor la angajare pe posturi care necesita acces la nivele ridicate de
securitate.
Stabilirea unui sistem de rotaie a muncii. Aceasta va permite descoperirea unor activiti necinstite n
rndul echipelor de IT n rndul angajailor care au acces la date senzitive.
Tip control:
Subcategoria:
Organizaional
Rspuns
(management)
Planuri de rspuns la incidente. Aceste planuri vor include msuri rapide de reacie pentru recuperare n caz de
violare a securitii i minimizarea impactului pentru prevenirea rspndirii la alte sisteme. Planurile de rspuns la
incidente mai trebuie s permit i culegerea de dovezi care s permit ulterior adicerea n justiie a vinovatului.
Plan de continuare a afacerii. Cuprinde planuri menite s menin firma n funciune, total sau parial, n cazul
unor evenimente catastrofice care afecteaz marea parte a infrastructurii IT.
Tip control:
Subcategoria:
Operaional
Preventiv
Protecia sistemelor de calcul prin mijloace fizice. Se includ aici perimetre de protecie, ncperi separatoare,
ncuietori i lacte electronice, identificri biometrice etc.
Protecia fizic pentru sistemele end-user (workstation). Se includ aici sisteme de blocare a computerelor i
sistemelor mobile de calcul n caz de furt, criptarea fiierelor stocate pe dispozitivele mobile.
Asigurarea energiei electrice n caz de nevoie. Acestea vor asigura energia electric necesar funcionrii
calculatoarelor atunci cnd sursa primar de energie este indisponibil. De asemene, vor asigur c aplicaiile i
sistemele de operare care ruleaz pe sistem vor fi inchise n condiii normale evitnd n acest fel pierderea de date.
Sisteme anti-incendiu. Cuprind sistemele de avertizare automat a incendiilor, a stingerii acestora, precum i
extinctoarele.
Sisteme de control a temperaturii i umiditii. Aceste sisteme sunt menite s asigure funcionarea sistemelor de
calcul n parametrii indicai de producator, extinznd durata de funcionare a acestora.
Proceduri de acces la datele stocate pe suporturi externe. Acestea vor facilita doar accesul personalului autorizat
la aceste date.
Sisteme de salvare de siguran (backup). Acestea vor permite restaurarea imediat a datelor pierdute. n anumite
cazuri se impune ca salvrile de siguran s fie pstrate n afara firmei pentru a putea s fie folosite n caz de
dezastre majore.
Tip control:
Subcategoria:
Operaional
Detecie
Securitate fizic. Sisteme care vor proteja firma de persoane care vor s ptrund n incinta acesteia. Se includ aici
senzori, alarme, camere de supraveghere, senzori de perimetru i de micare etc.
Securitatea fa de mediu. Sisteme care vor proteja firma de ameninrile care vin din partea mediului ambiant. Se
includ aici detectoare de fum i de foc, detectoare de inundaii, detectoare de suprasarcini atmosferice, paratrasnete,
eclatoare etc.
Tip control:
Subcategoria:
Tehnologic
Preventiv
Autentificare/Identificare. Procesul de validare a elementelor de identificare ale unei persoane, computer, proces
sau dispozitiv. Autentificarea presupune ca unul din elementele care a solicitat autentificarea s fie cel care pretinde
c este. Formele de autentificare sunt: combinaiile username i parol, Kerberos, token-uri, biometric, certificate.
Autorizare. Procesul de acordare a accesului la anumite informaii, servicii sau funcii a unei persoane, computer
sau dispozitiv. Dup obinerea autentificrii se obine autorizarea.
Access (Control access). Procesul de limitare a accesului la anumite informaii, proces bazat pe identitatea
utilizatorului i pe apartenena la anumite grupuri.
Nerepudiere. Este o tehnic folosit pentru a se asigura de faptul c o persoan care a efectuat o aciune pe un
computer nu poate nega efectuarea acelei operatii.
Protejarea comunicaiilor. Pentru protejarea comunicaiilor la nivel de reele se folosete criptarea pentru a se
asigura integritatea i confidenialitatea datelor transmise.
Controlul accesului i detectarea intruziunii
Control acces
Identificare
Autentificare
Autorizare
Mecanisme de control al accesului
Tip control:
Subcategoria:
Tehnologic
Detecie
Sisteme de audit. Aceste sisteme fac posibil monitorizarea i urmrirea evoluiei unui sistem pentru a se vedea
dac funcioneaz n parametri configurai. Sistemele de audit reprezint un instrument de de baz pentru detectarea,
nelegerea i recuperarea n caz de evenimente.
Programe antivirus. Programele antivirus sunt construite s detecteze i s rspund la o serie de programe
maliioase (virusi, viermi, cai troieni). Rspunsul const n blocarea accesului uitilizatorului la fisierele infectate,
curarea fisirelor i a sistemelor infectate, precum i informarea utilizatorului despre componentele infectate.
Instrumente de meninere a integritii sistemului. Aceste instrumente fac ca personalul IT responsabil cu
securitatea s determine unde s-a fcut o modificare neautorizat n sistem. (Ex. File Chechsum).
Tip control:
Subcategoria:
Tehnologic
Rspuns
(Management)
Unelete de administrare a securitii. Aceste instrumente sunt incluse n sistemele de operare, programe i
dispozitive menite s asigure securitatea pe un anume segment.
Criptografia. Crearea, stocarea i distribuirea cheilor criptografice n condiii de siguran au dat natere la
tehnologii cum ar fi Virtual Private Network (VPN), autentificarea n condiii de siguran a utilizatorului, precum i
criptarea datelor pe diferite suporturi de memorie.
Identificarea. Permite facilitatea de a identifica in mod unic o anumita entitate. Cu ajutorul acestei faciliti se pot
crea altele suplimentare cum ar fi:contabilizarea, discretionary access control, role-based access control, i mandatorz
access control.
Protecii inerente n sistem. Acestea sunt faciliti implementate n sisteme i care asigur protecia informaiei
supuse procesrii sau care este stocat n acel sistem. Printre acestea se pot aminti: reutilizarea obiectelor, folosirea
yonei de memorie NX (Non-Execute) i separarea proceselor.
Revizuirea soluiilor propuse n conformitate cu cerinele

Echipa de Management al riscului de securitate trebuie s aprobe soluiile de control propuse innd
cont de definirea cerinelor funcionale .
Estimarea gradului de reducere a riscului

ntrebri care trebuiesc puse:
Controlul propus previne un atac specific sau previne o categorie specifc de atacuri?
Controlul propus reduce i/sau minimizeaz riscul pentru o clas de atacuri?
Controlul propus este capabil s recunoasc un atac/exploit atunci cnd acesta este n curs de desfurare?
Daca controlul propus recunoate un atac/exploit n curs de desfurare, este el capabil s reziste i s urmreasc atacul ?
Controlul propus poate ajuta la recuperarea bunurilor (datelor) dup ncetarea unui atac ?
Controlul propus poate ajuta la recuperarea bunurilor (datelor) dup ncetarea unui atac ?
Controlul propus mai ofer i alte beneficii?
Care este valoarea controlului propus relativ la valoarea bunului?
Estimarea costului pentru fiecare soluie

Cuprinde
Costuri de achiziie
Cuprind costuri software, hardware sau servicii necesare achiziionrii unui

control.
Cuprind costuri necesare dezvoltrii i actualizrii celor existente.
Costuri de implementare
Cuprind costuri necesare echipelor proprii sau consultanilor pentru instalarea i

configurarea controalelor propuse.
Costuri de ulterioare
Sunt costuri dificil de estimat. Se includ aici costurile asociate cu noile controale
pe o anumit perioad de timp. Sunt costuri de management, monitorizare i
intreinere. Uneori sunt costuri 24/7 (24/7/365).
Costuri de comunicare
Cuprind costurile necesare comunicrii personalului despre noile politici i

proceduri de asigurare a securitii implementate n firm.
Costuri de instruire pentru personalul IT
Cuprind costurile necesare instruirii personalului IT n vederea implementrii,

gestionrii, monitorizrii i ntreinerii noilor controale.
Costuri de instruire pentru utilizatori
Cuprind costurile necesare instruirii personalului n vederea incorporrii n

procedurile uzuale a noilor controale.
Costuri de productivitate
Costuri pentru auditare i verificare
Cuprind de fapt pierderile (iniiale) de productivitate pan cnd folosirea noilor

controale devine rutin. In multe cazuri aceste pierderi se datoreaz lipsei de
comunicare i instruire a personalului
Cuprind costuri pe care firma le va suporta periodic pentru auditarea i verificarea
regulat e eficacitii controalelor adoptate. n unele cazuri aceste costuri merg
ctre firme specializate.
Selectarea soluiei de reducere a riscului
n aceast etap se va compara nivelul de risc atins dup adoptarea noilor controale cu costurile soluiiei de control.
Att riscurile (nivelul de risc) ct i costurile soluiilor adoptate conin valori subiective
care fac o dificil cuantificare financiar.
Politici i modele de securitate
Politica de securitate este format dintr-un set de msuri, acceptate de ctre

conducere, care prevede reguli clare, dar flexibile pentru a determina operaiile
i tehnologiile standard necesare asigurrii securitii.
O politic de securitate reprezint un document care puncteaz cerinele principale sau regulile care trebuie
cunoscute i aplicate pentru asigurarea securitii.
O politic de securitate va captura cerinele de securitate dintr-o firma i va descrie paii care trebuie parcuri pentru
asigurarea securitii.
Se urmrete protejarea urmtoarelor elemente:
memoria;
fiierele sau datele care sunt stocate pe un suport auxiliar;
programul executabil din memorie;
structur de directoare/foldere;
un dispozitiv electronic;
structur de date;
sistemul de operare;
instruciuni;
parole;
sistemul de protecie nsui.

Trebuie fcut ns o delimitare ntre termeni cum ar fi: politica, standard i ndrumar.
Un standard este format dintr-un set de cerine de sistem sau procedurale care trebuie cunoscute i
implementate. Un standard va descrie, de exemplu, cum se poate spori securitatea unui server Windows
Server 2003 care va fi plasat ntr-o zon neprotejat.
ndrumarul reprezint un set de sugestii de sistem sau procedurale specifice necesare pentru o
implementare practic ct mai bun. Acestea nu sunt obligatorii de tiut dar sunt imperios recomandate.
Implementare controale
Coordonarea
procesului
decizional
Evaluarea
riscurilor
Implementare
controale
4
Msurarea
eficacitii
programului
Cutarea unei abordri integratoare
Organizarea soluiilor de control
Participani n faza de Implementare controale
Participant
Responsabiliti
Inginerii IT
Determin modul de implementare a

soluiilor de control
Proiectani arhitectura IT
Definesc modul de implementare a soluiilor

de control astfel nct s fie n concordan
cu sistemele de calcul existente
Operatori IT
Implementeaz soluiile tehnice de control
Personal nsrcinat cu securitatea informaiei
Ajut n rezolvarea problemelor aprute n

fazele de testare i dezvoltare
Personal financiar
Se asigur c nivelul cheltuielilor cu

implementarea este la nivelul stabilit
4
Implementare
controale
Msurarea
eficacitii
programului
Coordonarea
procesului
decizional
Evaluarea
Msurarea eficacitii programului
1. Dezvoltarea diagramei de evoluie riscului de securitate
riscurilor
2. Msurarea eficacitii controalelor
3. Reevaluarea (evaluarea continu) a msurilor de control,

a schimbrilor survenite asupra bunurilor i asupra riscurilor
Participani n faza de Msurare a eficacitii programului
Participant
Responsabiliti
Personal nsrcinat cu securitatea informaiei
Creaz un raport sumar pentru Comitetul de

Coordonare a Securitii referitor la
eficacitatea msurilor de control adoptate i
asupra schimbrilor survenite n nivelul de
risc. Suplimentar, va crea i menine o
diagram a evoluiei nivelului de risc.
Auditorul intern
Valideaz eficacitatea soluiilor de control

implementate.
Inginerii IT
Comunic schimbrile iminente echipei de

management al riscului de securitate.
Proiectani arhitectura IT
Comunic schinbrile planificate echipei de

Operatori IT
Comunic detaliile referitoare la

evenimentele de securitate echipei de
!
Fizic
Reea
Host
!
Aplicaii
Date
Risc sczut
Diagrama evoluiei riscului
Decembrie
Noiembrie
Octombrie
Septembrie
August
Iulie
Iunie
Mai
Aprilie
Martie
Risc mediu
Februarie
Risc ridicat
Ianuarie
Legend:
Data warehouse
Data Mining
Modul de rspuns la incidente

(Microsoft)
1
Protejarea vieilor
2
Limitarea daunelor
3
Evaluare pagube
4
Determinare cauze
5
Reparare stricciuni
6
Verificare/revizuire contramsuri,
revizuire politici i actualizare
Aceasta trebuie s reprezinte prima prioritate.

n anumite situaii, sistemele de calcul, au un rol important n
protejarea vieii oamenilor. Funcionarea lor defectuoasa, sau
nefuncionarea, pot s duc la pierderi de viei omeneti.
Presupune
luarea
de msuri
n vederea
limitrii
urmrilor
Trebuie avut
foarte
mare grij
de sistemele
de calcul
careunui
au atac
sau
eveniment.
inciden
direct asupra vieii oamenilor.
n multe situaii trebuie decis rapid ntre prezena pe pia cu un
server infectat care poate ulterior s creeze alte pagube mai mari
Dup
ce limitarea
a fost
realizateliminrii
se impune
o evaluare a
dect simpla
opriredaunelor
a acestuia
n vederea
infeciei.
pagubelor.
n cazul unui atac trebuie monitorizate aciunile atacatorului i
Evaluarea
pagubelor
va oferi de
o msur
limitarea daunelor
provocate
acesta. a succesului atacului, precum
i
a virulenei
acestuia.
cazul dezastrelor
se de
va tragere
oferi o la
Pstrarea
evidenelor
n n
vederea
unei aciuninaturale
ulterioare
msur
a intensitii
acestora prin prisma valorii pagubelor create.
raspundere
a vinovatului.
Determinarea
cauzelor
vizeazdecuevenimente
precdere stabilirea
Limitarea daunelor provocate
fizice. sursei
dezastrelor. Un dezastru poate fi provocat de un accident sau poate
fi un act voit. Tratarea se face diferit.
Dezastrele provocate de fenomene naturale sau accidente sunt uor
de
determinat.
Este
imperios necesar ca repararea stricciunilor s fie fcut ct
Dificulti
apar lacadeterminarea
cauzelor
atunciicnd
sunt
mai rapid pentru
firma s-i reia
activitatea
s fieacestea
prezent
pe
provocate
de
un
atac
al
unei
persoane
ruvoitoare
(cracker,
hacher).
pia. Planurile i procedurile la nivel de firm trebuie s cuprind i
Revizuirea
configuraiilor
este absolut
strategii de tuturor
restaurare.
Echipele specializate
nnecesar.
acest scop trebuie s
scorde i asisten i ndrumare. In unele cazuri repararea
stricciunilor
trebuie
cu foarte
atenie
(ex.nu
reinfectare
Se
stabilete ce
etape fcut
i aciuni
au avutmare
succes
i care
au avut cu
virui de
alt sistem).
succes
dinlaetapele
anterioare. Se stabilesc greselile de abordare i de
aciune.
Se vor modifica procesele, acolo unde este cazul, pentru ca pe viitor
acestea sa confere o eficien sporit.
Se fac imbuntiri i aduceri la zi (actualizri). Se (re)consult
publicaiile/news n domeniu.
Analiza cantitativ
Analiza calitativ

An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Metoda urmrete analiza vulnerabilitilor dintr-un departament punand pe prim plan elementul uman ca
factor determinant al vulnerabilitii.
Aceast metod analizeaz riscurile pornind de la postul de lucru i de la caracteristicile acestuia.
Se analizeaz:
Condiiile de lucru specifice fiecrei grupe de posturi.
Particularitile specifice fiecrui post din grupa de posturi.
Gradul de pregtire profesional al ocupantului postului respectiv.
Nivelul de acces pentru postul respectiv
Bunurile/grupa de bunuri cu care postul/persoana are contact.
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Metoda implic parcurgerea urmtorilor pai:
1.
Identificarea bunurilor i a ameninrilor la adresa acestora.
2.
Estimarea probabilitii i a impactului asupra vulnerabilitii.
3.
4.
Evidenierea punctelor vulnerabile.
Identificarea metodelor de control.
An
Probabilitate
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Expunere
Redus
Medie
nalt
Redus
Medie
nalt
Postul de lucru/bunul
Ameninare
Nivel de risc
Cdere de tensiune
Socuri/perturbri de tensiune
Erori personal
.....
.....
.....
.....
Utilizare neautorizat
Inundaii
Impactul componentelor sistemului informatic asupra securittii
2003: 488 rspunsuri/92%
2002: 414 rspunsuri/82%
2001: 484 rspunsuri/91%
ii
li it
b t
r a po s
e
n
ul pe
v
a
iza aliz
l
a n
An a
Impactul asupra securitii datelor i pierderilor cauzate de pregtirea angajatului
Tip firm
Pregtire /
cunotine
angajai
Aciuni asupra securitii

datelor
Voite
Nevoite
Pierderi cauzate
Mari
Mare
nalt
Medie
nalt
Medie
Sczut
Mic
Medii
Sczute
Mici
X
ii
t
i
l
b i st
a
er o
l n pe p
u
v za
il za ali
a n
An a
Atacuri de tip social engineering
Telefon
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Aplicaii de tip pcleal (hoax)
e-mail
IM/IRC
Angajat firm
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Un studiu efectuat n anul 1999 de ctre Net-Partners Internet Solutions arta c, la nivelul Statelor Unite,
angajatorii au avut pierderi de productivitate cifrate la 500.000.000 USD din cauz c aproximativ 13.500.000 de
angajai au citit sau descrcat la serviciu raportul Starr. Raportul Starr cuprinde date referitoare la scandalul n care
au fost implicai preedintele Statelor Unite Bill Clinton i angajata de la Casa Alb Monica Lewinsky.
?Cumpotfieliminateacesttipdepierderi?
O alt categorie de aciuni, care au ca efect pierderi de productivitate, o reprezint mesajele de pot electronic
nesolicitate, aa-numitele spamuri. Conform Yankee Group (www.yankeegroup.com), mesajele spam creeaz anual
pierderi de productivitate cifrate la 4 miliarde USD.
n anul 2003 (feb.) 42% din e-mail-uri erau spam-uri.
n anul 2004 (feb.) 62% din e-mail-uri erau spam-uri.
?Cesepoatefacenacestcaz?
An
ali
za
an vu
ali lne
za ra
pe bil
po it
s t ii
/
Culegere date
Pregtire profesional
Pregtire IT
Nivel de risc
Conduit
Angajat/partener
Ridicat
Referine
Particularizare post de lucru
Detaliere particularizare post de lucru
Cuantificare
Prelucrare
(+/- 05/010)
Mediu
Sczut
Bunuri generale cu care are contact

Bunuri specifice cu care are contact
Calitate software
....
Analiza riscului la nivelul reelei
Al
te
M. Kaeo, DesigningNetworkSecurity, Cisco Press, Indianapolis, Indiana 46290 USA, 1999.
Valori
Rata de
producere
Explicaie
Puin probabil
2
3
Valori
mo
d
Pierderi reduse
Probabil
Pierderi moderate
Foarte probabil
Pierderi critice
Rata de
producere
Volumul
pierderilor
Valoare risc
Explicaie
Risc sczut
Risc sczut
Risc mediu
Risc sczut
Risc mediu
Risc ridicat
Risc sczut
Risc ridicat
Risc ridicat
Explicaie
Volumul pierderilor
ali
t
Valori
Nivelul
de risc
Explicaie
1, 2
Risc sczut
3, 4
Risc mediu
6, 9
Risc ridicat
Analiza riscului la nivelul reelei
Disponibilitate
Integritate
Confidenialitate
[D]
[I]
Administrativ
Tehnic
Financiar
LAN
Al
te
(continuare)
mo
d
ali
t
[C]
Importana
reelei
[IR]
Prevenirea
incidentelor
[PI]
Prevenirea
deteriorrii
[PD]
Riscul
relativ
[RR]
0,1
0,3
3,78
12
0,5
0,5
3,00
18
0,3
0,3
8,82
IR = D * I * C
Foarte redus
0,1
RR = IR * [ (1 PI) * (1- PD) ]
PI
Redus
0,3
RR Administrativ = 6 * [ (1 - 0,1) * ( 1 - 0,3 ) ] = 6 * 0,9 * 0,7 = 3,78
PD
Moderat
0,5
Ridicat
0,7
Foarte ridicat
0,9
RR Tehnic
= 12 * [ (1 - 0,5) * ( 1 - 0,5 ) ] = 12 * 0,5 * 0,5 = 3,00
RR Financiar
= 18 * [ (1 - 0,3) * ( 1 - 0,3 ) ] = 18 * 0,7 * 0,7 = 8,82
ntrebri referitoare la investiiile n securitate

Care este nivelul acceptabil al riscului?
Riscuri
?
?
?
?
0
Costuri
Ct investesc n securitate?
Ct investesc n securitate?
Costuri (%)
100
O securitate maxim poate fi asigurat

cu costuri foarte mari.
90
80
70
60
n majoritatea cazurilor 20% din costuri se

reflect n 80% beneficii n ceea ce privete
minimizarea riscurilor i asigurarea
securitii.
50
40
30
20
10
10
20
30
40
50
60
70
80
90
Beneficii (atenuarea riscului) %
Raportul cost beneficii n asigurarea securitii
100
Securitate impus (financiar)
Aceste analize de risc se fac cu precdere n cadrul firmelor mari i eventual n cadrul firmelor medii. Firmele
mici nu au nici personal specializat i nici bani pentru a pltii o astfel de evaluare. Cu toate acestea, un minimum de
msuri de securitate trebuie luate. Este tiut faptul c managerii de firme se las greu convini s investeasc n ceva
care nu aduce profit direct. Iar atunci cnd se las convini de necesitatea disponibilizrii sumelor pentru asigurarea
securitii, sumele alocate sunt sub limita celor impuse. n aceste condiii, trebuie s se asigure o securitate ale crei
cheltuieli s nu depeasc o limit de sum alocat. Se poate vorbi despre o securitate impus financiar.
Alternativele de rezolvare a acestei situaii sunt dou:
acoperirea ameninrilor cele mai probabile, cu pstrarea metodelor de control iniiale;

acoperirea tuturor ameninrilor i reducerea costurilor msurilor de control.
Prima msur va permite o securitate maxim pentru anumite ameninri, dar va lsa descoperite parial sau total
alte ameninri.
A doua msur va impune reducerea cheltuielilor necesare asigurrii controalelor pentru a putea s fie acoperite
toate ameninrile posibile. Aceasta ar putea s se reflecte n modificarea i configurarea msurilor de control. Ca
exemplu, nu se vor mai achiziiona dou surse nentreruptibile APC UPS de 350VA la preul de 95 dolari bucata pentru
dou calculatoare, ci se va achiziiona o singur surs APC UPS de 650VA la preul de 140 de dolari bucata. Economia
este de 50 de dolari (95 x 2 140 = 50). n acest caz ns, cele dou calculatoare vor trebui s fie alimentate de la
aceeai surs nentreruptibil prin prelungirea cablurilor de alimentare sau prin plasarea lor aproape.
Aceast a doua msur este de preferat primei, deoarece nu las vulnerabiliti neacoperite de msuri de control.
Securitate impus (financiar)

Analiza a riscului de securitate
Suma alocat (Sa)
Suma calculat (Sc)
DA
NU
Sc>Sa
Acoperirea ameninrilor
cele mai probabile, cu
pstrarea metodelor de
control iniiale a.i. Cc <= Sa.
Acoperirea tuturor
ameninrilor i reducerea
costurilor msurilor de
control a.i. Cc <= Sa.
Implementare
Indice de securitate (financiar)

Securitatea este greu de cuantificat. Nu o s se poat spune niciodat n cadrul firmei c am o securitate de o
anumit not. Pot doar s o estimez ca fiind de un nivel ridicat, mediu, minim sau deloc. Cu toate acestea, putem s
facem o cuantificare (cel puin financiar) a nivelului de securitate. ntotdeauna implementarea securitii sau testarea
i mbuntirea acesteia genereaz costuri de echipamente i umane. Indicele care-l propun ca s cuantifice
securitatea n cadrul firmei se va referi la echipamente i n special la tehnica de calcul. Propun ca acest indice s
poarte denumirea de ISf (indice de securitate financiar) i s poat s fie calculat cu ajutorul formulei:
unde:
Ce - costul echipamentului de tehnic de calcul,
Pi ponderea controlului,
Cci costul controalelor pentru echipamentul de tehnic de calcul aplicate.
Indice de securitate (financiar)

Securitatea este greu de cuantificat.
ISf (indice de securitate financiar) i propune s elimine (parial) acest neajuns
unde: Ce - costul echipamentului de tehnic de calcul, P i ponderea controlului, Cci costul controalelor
pentru echipamentul de tehnic de calcul aplicate.
ISf = 0 Investiie zero n securitate

0 < ISf < 1 Investiie n securitate
ISf >= 1
nu am evaluat bine riscurile i/sau am exagerat cu msurile de control;
echipamentul (calculatorul) nu este de calitate i are nevoie de echipamente suplimentare;
valoarea reactualizat a echipamentului este sczut n comparaie cu costul controalelor.
Indice de securitate (financiar) (exemplu)
Staie 1
UPS
Cc = 140 USD
Staie 1
Ce = 1.000 USD
P = 1/2 = 0,5
Dispozitiv
criptare disc
Cc = 500 USD
P= 1
ISf =[(1.000 + 0,5 x 140 + 1 x 500) / 1.000] - 1 =0,57
Indicatori economici de rentabilitate

%
ROI Return on Investment, Rentabilitatea Investiiei

NPV Net Present Value, Valoarea Actual Net
IRR Internal Rate of Return, Rata Intern de Rentabilitate

Rentabilitatea Investiiei
ROI
Return on Investment
Beneficul net = Beneficiu - Costuri
Beneficiul net
RI
x 100 %
Costuri
Valoarea Actual Net

NPV
Net Present Value
(RI)
VAN Ci
(VAN)
r - Rata
Costurile iniiale Ci au valori iniiale negative
Venituri an a
a 1
(1 r) t
Investiia este rentabil dac VAN > 0
Rata Intern de Rentabilitate (RIR)

Se calculeaz r din ecuaia VAN, considernd VAN = 0. r = RIR
IRR
Internal Rate of Return
VAN 0 Ci
Venituri an 1
(1 RIR)1
Venituri an 2
(1 RIR) 2
...
Venituri an n
(1 RIR) n

Exemplu
Se achiziioneaz o surs nentreruptibil (UPS) in valoare de 1.000 USD. Se consider c aceasta are o garanie de
buna funcionare de 3 ani. Dupa aceast perioad, sursa este scoas din uz.
S se calculeze RI, VAN i RIR.
Costurile iniiale = 1.000 USD
Venit anul 1 = 1.500 USD
Venit anul 2 = 2.000 USD
Venit anul 3 = 3.000 USD. Valorile sunt cresctoare datorit creterii volumului de activitate a firmei .
RI
(1.500 2.000 3.000) 1.000

x 100% 6,5/1
1.000
1.500
2.000
3.000
1.000
(1 0,1)1 (1 0,1) 2 (1 0,1) 3
RI
x 100% 4,3/1
1.000
VAN
1.500
1
(1 0,1)
2.000
(1 0,1)
VAN > 0 Investiia este rentabil
3.000
(1 0,1)
1.000 4,3

Exemplu
VAN
1.500
1
(1 RIR)
2.000
(1 RIR )
3.000
(1 RIR )
1.000 0 RIR ...
VAN
20,7 %
r /RIR
0
5
10
15
20
25
30
35
40
Investiie rentabil
Investiie nerentabil
Un posibil vinovat de securitatea firmei !!!
Proprietar
afacere
Definire politici
Aprobare fonduri
Analiza de risc
Un alt posibil vinovat de securitatea firmei !!!
Timpul..
Timpulnupoatefistocat
Timpulnupoateficumprat
Timpulnupoatefivndut
Timpulnupoatefitranzacionat
Timpulnupoatefidectfolosit.
Reducerea riscurilor
Pentru a putea s reduc sau s elimin riscurile trebuie ca firma s fie capabil de urmtoarele operaii:
Prevenirea (selectarea corect a produselor, actualizarea produselor i adaptarea acestora la

schimbrile care se impun).
Detecia (filtrarea i analiza informaiei, analizarea alertelor, corelarea cu nevoile firmei).
Rspunsul (luarea msurilor care se impun, comunicarea, pregtirea constant).
Oameni
-pregtire...continu, la zi...
-responsabiliti... aduse la cunotin i asumate ...
-cultur... n domeniu ...
-organizare... eficient...
Procese
-Politici... clare, actualizate, viabile...
-proceduri... testate...
-standarde... actualizate...
Tehnologii
-infrastructur... adecvat, sigur...
-aplicaii... sigure, adecvate, testate, auditate...
Exist cinci strategi pentru reducerea riscurilor:
Prevenirea
Prevenirea unor evenimente care pot afecta securitatea firmei.
Reducerea
Reducerea probabilitii de producere i a impactului.
Evitarea
Evitarea unui risc printr-o planificare eficient.
Transferul
Eliminarea riscului prin crearea unei asigurri pe acel risc.
Planificarea alternativ
n cazul unor riscuri care nu pot fi prevzute este nevoie de realizarea unor planuri alternative pentru
reducerea impactului.
ce
n
fl
a
e
n
iu
d
ta
u
c
i
ot
p
e
en
t
u
j
a
ir
f
a
e
l
e
om
d
n
?
u
i
en
Stadiul actual al investiiilor n securitate
Implementarea msurilor de securitate n cadrul firmei
Furnizare Management Sevicii de Securitate

Controlul i
autentificarea
perimetrului de
acces
Reele private
virtuale
Filtrare de coninut
web
Detectarea
intruziunii
Scanarea de virui
Managementul
firewall/router
Furnizare Sevicii de Securitate

Firewall
Antivirus
Managementul firewall/router Managementul firewall/router
Firma
24/7
Evaluarea
vulnerabilitii/
testul de penetrare
Rspunsul n caz
de incident
Servicii de securitate din interior. Lum n considerare o firm medie. Pentru a crea un firewall pentru aceast
conectare trebuie cumprat hardware i software pentru firewall la preul de aproximativ 10.000 USD. Aceast sum
poate s fie mai mare dac firma are mai multe conexiuni la Internet sau este o firm mai mare. Cheltuielile n acest caz
pot ajunge ntre 50.000 USD i 75.000 USD. Gestionarea i monitorizarea firewall-ului trebuie fcute de o persoan
calificat. Salariul unui specialist n domeniu variaz ntre 40.000 i 60.000 USD anual. Achiziionarea unui dispozitiv
firewall scump nu suplinete slaba pregtire a administratorului. Avnd n vedere faptul c se cere o acoperire
permanent (serviciu 24/7), este nevoie de cel puin trei oameni, cu cheltuieli anuale medii de aproximativ 150.000
USD. Instruirea (minim) a personalului de deservire va costa 15.000 USD per total anual. Aceast ultim categorie de
cheltuieli este necesar pentru ca personalul de deservire s fie la curent cu noutile n domeniu.
Componenta/cheltuiala
Software i hardware
Salarii
Instruire
Costuri totale
Suma (USD)
10.000
150.000
15.000
175.000
Servicii de securitate din exterior. Costurile de hardware i de software sunt tot aceleai, dispozitivul
firewall/router i software-ul sunt achiziionate de ctre beneficiar n jur de 10.000 USD. Cheltuielile cu salariile
celor trei angajai care s gestioneze firewall-ul vor fi nule, dar vor fi nlocuite de cheltuielile lunare de management
extern care sunt n jur de aproximativ 2.000 USD. Aceasta duce la cheltuieli anuale de 24.000 USD. Costul iniial al
instalrii (pltibil o singur dat) este de aproximativ 15.000 USD. Nu mai sunt costuri de instruire.
Componenta/cheltuiala
Software i hardware
Costuri management
Instalare
Costuri totale
Fcnd acum o diferen:

Costurile anuale din interior: 170.000 USD
Costurile din exterior: 49.000 USD
Economii anuale: 121.000 USD
Suma (USD)
10.000
24.000
15.000
49.000
Cu ce ne poate ajuta o firm ?
securITree
Ce ne propun firmele locale?
Business Process Evaluation and

Risk Management
Phase
Phase 11
Identify
technical and
informational
assets
Phase
Phase 22
Identify
operational
and
management
risks
Phase
Phase 33
Establish a
countermeasure plan
GeCAD NET Methodology

BS 7799, ISO 17799, OCTAVE, COBIT, SEI-CM
gecad net security services for information technology
securITree
E-security today : e-business new

requirements demand new forms of
security
APLICAII
MarketMaturity
INFRASTRUCTUR
Authorisation
SmartCards
PKI
VPN
eWallet
CUNOTINE
Secure
Transactions
Intrusion
Detection
Authentication
Anti
Virus
Firewall
Portalsites
Encryption
Mailinglists
Standalone
LAN/WAN
Internet
Connectivity
Early
EBusiness
Mature
EBusiness
TIME
gecad net - gecad

serviciinet
de securitate
security in
services
tehnologia
for information
informatiei technology oct
securITree
Business Process Evaluation and

Risk Management
Risk Analysis
The standards and methods offered by GeCAD are as following:

BS 7799
ISO 17799
OCTAVE
COBIT
ITIL
To develop a master plan in effective informational security, it is
essential to identify the most critical information or systems, their
qualitative or quantitative value, the potential risks and finally the
solution scenarios available.
The approach used by GeCAD is outlined below:

Identify technical and informational assets
Identify operational and management risks
Establish a counter-measure plan
gecad net security services for information technology
te
a
t
i
r
cu
e
S
u
n
a
e
t
s
e
es
d
o
e
i
a
n
i
t
r
u
c
se
e
t
a
it
st
e
a
ce
o
r
p
n
u
e
.
u
nu
i
t
on
c
s
Securitatea regul de baz BACKUP! BACKUP! BACKUP!

Securitatea nu este o destinaie, securitatea este un proces continuu.
Prevenirea (selectarea corect a produselor, actualizarea produselor i adaptarea acestora la schimbrile care se impun ).
Detecia (filtrarea i analiza informaiei, analizarea alertelor, corelarea cu nevoile firmei).
Rspunsul (luarea msurilor care se impun, comunicarea, pregtirea constant).
Trebuie s-i pedepsim pe cei care ncalc legea. Dar nu putem s frnm curiozitatea unui puti de 13 ani care,
experimentndastzi,poatedezvoltamineotehnologieinformaionalsauatelecomunicaiilorcaresducStateleUnite
nsecolulXXIcaliderndomeniu.Eireprezintansanoastrcasrmnemonaiunecompetitivtehnologic.
Patric Leahy, senator de Vermont
Securitatea se implementeaz n funcie de mrimea i cerinele firmei.

Securitatea este greu de cuantificat.
Securitatea este o poli de asigurare n caz de dezastre.
Securitatea excesiva poate avea efecte negative asupra afacerilor.
Securitatea excesiva poate fi agasant.
Securitatea minimal este de preferat n locul lipsei acesteia.
Securitatea nu rezolv problemele de productivitate.
Este securitatea o marf?
BIBLIOGRAFIE
[BRHU02]
C. Brenton, C. Hunt, MasteringNetworkSecurity, SYBEX Inc., 2002.
[BURK04]
J.R. Burke, NetworkManagement:ConceptsandPractice,AHands-OnApproach, Prentice Hall PTR, 2004.
[GROT02]
D. Groth, Network+StudyGuide, SYBEX Inc., 2002.
[HSST95]
S.B. Hsiao, R. Stemp, ComputerSecurity, course, CS 4601, Naval Postgraduate School, Monterey, California, 1995.
[HSST95]
S.B. Hsiao, R. Stemp, AdvancedComputerSecurity, course, CS 4602, Naval Postgraduate School, Monterey, California, 1995.
[KAEO99]
M. Kaeo, DesigningNetworkSecurity, Cisco Press, Indianapolis, Indiana 46290 USA, 1999.
[LUAB00]
T. Lunt, M. Abrams, D. Denning, L. Notargiacomo, Informationandcomputersecurity, CS 4990/6990, course, Mississippi State

University, 2000.
[LUSA03]
I. Lungu, Gh. Sabu, I. Velicanu, M. Muntean, S. Ionescu, E. Posdarie, D. Sandu, Sisteme informatice.Analiz, proiectare i
implementare, Ed. Economic, Bucureti, 2003.
[MCCA03]
L. McCarthy, ITSecurity:RiskingtheCorporation, Prentice Hall PTR, 2003.
[MIMI02]
M. Miller,AbsolutePCSecurity&PrivacyDefendingYourComputerAgainstOutsideIntruder, SYBEX Inc., 2002.
[OGTE01]
T.W. Ogletree, FirewallsProteciareelelorconectatelaInternet, Ed. Teora, Bucureti, 2001.
[OPDU99]
D. Oprea, Analizaiproiectareasistemelorinformaionaleeconomice, Ed. Polirom, Bucureti, 1999.
[PRBY02]
P.E. Proctor, F.C. Byrnes, TheSecuredEnterprise, Prentice Hall PTR, 2002.
[RUGA91]
D. Russel, G.T. Gangemi Sr., ComputerSecurityBasics, OReilly & Associates, Inc., 1991.
[SECU02]
SecurityComplete, Second Edition, SYBEX Inc., 2002.
[SECU99]
SecuritateanInternet, Ed. Teora, Bucureti, 1999.
[STPE02]
M. Strebe, C. Perkins, Firewalls24seven, SYBEX Inc., 2002.
***
http://csrc.nist.gov/
***
http://www.gecadnet.ro
***
http://www.idc.com
***
http://www.microsoft.com/technet/security/topics/policiesandprocedures/secrisk/default.mspx
Conferinta Anuala de Securitate - Editia 2004 SecureITree
V mulumesc!
Contact
Conf. univ. dr.
Burtescu R. Emil
emil_burtescu@yahoo.com
eburtescu@yahoo.com
www.burtescu.ro
(n construcie)

Analiza Riscului in Sisteme Securizate 2007

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Analiza Riscului in Sisteme Securizate 2007

Încărcat de

Drepturi de autor:

Formate disponibile

Academia de Studii Economice

Conf. univ. dr. Burtescu R. Emil

Avei afiat ceva asemntor afiat deasupra prizei de curent ?

n caz de gsire a vinovatului,

Dat senzitiv Orice dat care nu poate fi fcut public.

Piratare linii telefonice (phreaking/boxing)

Conexiuni dial-up ilegale

Acces (Internet) neautorizat

Etape n furtul electronic de informaie

Momente de referin care evideniaz nevoia de securitate

Momente de referin care evideniaz nevoia de securitate (continuare)

Momente de referin care evideniaz nevoia de securitate (continuare)

Pierderi datorate atacurilor n cadrul organizaiilor

Pierderi datorate atacurilor n cadrul organizaiilor (continuare)

Blocare site-uri web

Abuz asupra aplicaiilor web publice

Abuzuri reea (intern)

Refuz al serviciului (DoS)

20,000,000 30,000,000 40,000,000

Pierderi anuale n anul 2004 (valori)

Pierderi datorate atacurilor n cadrul organizaiilor (continuare)

Pierderi datorate atacurilor n cadrul organizaiilor (continuare 2005)

Total pierderi raportate n anul 2005: 130.104.5425 USD

Pierderi anuale n anul 2005 (valori)

Pierderi datorate atacurilor n cadrul organizaiilor (continuare - 2005)

Pierderi anuale n anul 2005 (procente)

Pierderi datorate atacurilor n cadrul organizaiilor (continuare)

Pierderi datorate atacurilor n cadrul organizaiilor (2006)

Total pierderi raportate n anul 2006: 52.494.290 USD

Pierderi anuale n anul 2006 (valori)

Pierderi datorate atacurilor n cadrul organizaiilor (continuare - 2005)

Pierderi anuale n anul 2006 (procente)

Tipuri de atacuri sau abuzuri raportate

Abuzuri interne ale reelei

Furt de proprietate intelectual

Abuzare web servere publice

Principalele surse de atac

Tehnologii de securitate folosite

Tehnologii de securitate folosite

Identificare biom etric

Tehnologii de securitate folosite (anul 2005)

Tehnologii de securitate folosite (anul 2006)

Ce urmrim s obinem prin managementul riscului i/sau analiza de risc?

Ce poate s fac firma ?

Stabilirea personalului responsabil

Stabilirea etapelor principale

-Definirea i obinerea acordului pentru un tabel de securitate

Informarea personalului despre

Auditul i monitorizarea securitii

-Control i evaluare hardware

Pe ce se poate baza firma ?

Ciclul de management al riscului (variant)

Ciclul de management al riscului (variant)

Ciclul de management al riscului ((variant) Microsoft)

Ciclul de management al riscului (Microsoft)

Evaluarea riscului Identificarea i clasificarea riscurilor care pot s afecteze afacerea.

Coordonarea procesului decizional Identificarea i evaluarea msurilor i a soluiilor de

Implementarea controalelor Implementarea i rularea de msuri de control menite s

Msurarea eficacitii programului Analiza eficacitii msurilor de control adoptate i

Nivelul de efort (Microsoft)

Nivelurile de management al riscului de securitate (Microsoft)

Firma nu are politica de securitate documentat.

2. Toate posturile care au responsabiliti privind securitatea informaiei au clare i