Analiza Riscului in Sisteme Securizate 2007

Facultatea de Cibernetică, Statistică şi Informatică Economică

ANALIZA RISCULUI ÎN SISTEMELE SECURIZATE

Academia de Studii EconomiceBucureşti

Conf. univ. dr. Burtescu R. Emil

Întrebare …….

Aveţi afişat ceva asemănător afişat deasupra prizei de curent ?Este acesta vizibil şi uşor de citit?

În firma Dumneavoastră se fac regulat operaţii pentru salvări de siguranţă (backup) a datelor?

Există în firma Dvs. Dispozitive de control a variaţiilor de tensiune?Cât timp poate “rezista” firma fără tensiune electrică (din exterior)?

Există în firma Dvs. calculatoare “backup” (parc rece)?În cât timp pot fi puse în funcţiune?

Care sunt efectele asupra activităţii (afacerilor) firmei?

În cazul în care un server important este inoperabil, în cât timp poate fi repus în funcţiune?

Care sunt efectele asupra activităţii (afacerilor) firmei?

Se face o evaluare “de detaliu” şi se stabileşte

profilul pentru un nou angajat?

În caz de găsire a vinovatului, în cazul unui atac, este firma Dvs. pregătită să dovedească acest lucru

şi să-l acţioneze în justiţie pe vinovat?

Poate firma Dvs. să prevină, să detecteze şi să răspundă unui atac (din afara firmei sau din interior)?

Alte întrebări …….

Asigurarea securităţii

în cadrul unei organizaţii înseamnă

(în foarte multe cazuri) g

estionarea haosului

Termeni şi definiţii

Bun/active – Orice are valoare într-o organizatie. Se includ clădirile, componente hardware şi software, date, personal, planuri şi documentaţii etc.

Risc – Ameninţate care poate să exploateze eventualele slăbiciuni ale sistemului. Combinatia intre probabilitatea unui eveniment si consecintele sale (ISO Guide 73).

Ameninţare – Cauză potenţială a unui impact nedorit asupra unui sistem sau a unei organizaţii (ISO 13335-1). Un eveniment nedorit (intenţionat sau accidental) care poate produce daune bunurilor organizatiei.

Vulnerabilitate – O slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii. Orice slăbiciune, proces administrativ, act sau expunere care face ca o informaţie despre un bun să fie susceptibilă de a fi exploatată de o ameninţare.

Impact – Pierderea generală aşteptată a afacerii când o ameninţare exploatează o vulnerabilitate împotriva unui bun.Exploit – Un mijloc de utilizare a vulnerabilităţii pentru a cauza o disfuncţionalitate a activităţilor organizaţiei sau o disfuncţionalitate a serviciilor de securitate a informaţiei din cadrul organizaţiei.

Expunere – O acţiune de ameninţare prin care informaţia senzitivă este eliberata direct unei entitati neautorizate (RFC2828).

Integritate – Proprietatea prin care data nu a fost alterată sau distrusă într-o manieră neautorizată (ISO 7498-2).

Accesibilitate (disponibilitate) – Proprietatea unui sistem de a asigura că este accesibil şi disponibil pentru folosire la cererea unui utilizator sau proces autorizat din sistem.

Confidelitate – Proprietatea prin care informaţia nu este facută disponibilă sau dezvăluită către persoane, entităţi sau procese neautorizate(ISO 7498-2).

Termeni şi definiţii (continuare)

Dată senzitivă – Orice dată care nu poate fi făcută publică.

Control – Un mijloc organizaţional, procedural sau tehnologic de conducere a riscului; un sinonim pentru garanţie sau masură de prevenire a riscului.

Reducere (a riscului) – Ansamblu de măsuri şi acţiuni planificate care se iau la nivel de organizaţie pentru atenuarea sau eliminarea unui risc.

Soluţie de reducere – Implementarea unui control control organizational, procedural sau tehnologic menit să care va ajuta la managementulul riscului de securitate.

Aparare in adancime – Soluţie de asigurare a securităţii pe multiple niveluri menită pentru a proteja împotriva eşecului unei singure componente de siguranţă.

Reputatia – Opinii pe care oamenii o au despre o organizaţie. Valoare dificil de calculat.

Evaluarea riscurilor – Procesul complex prin care riscurile sunt identificate şi impactul acestor riscuri este determinat.

Managementul riscurilor – Procesul de determinare a unui nivel acceptabil de risc, evaluarea nivelului curent de risc, urmărea paşilor pentru reducerea riscului la un nivel acceptabil şi menţinerea acelui nivel de risc.

Analiza calitativă – Abordare a analizei de risc în care se atribuie valori relative bunurilor, riscurilor, controalelor şi impacturilor.

Analiză cantitativă – Abordare a analizei de risc în care se atribuie valori numerice obiective (reale) bunurilor, riscurilor, controalelor şi impacturilor.

Pierderea anuala estimată (PAE) – Sumă totală de bani pe care o organizatie o va pierde într-un an dacă nu va lua măsuri pentru pentru micşorarea sau eliminarea riscului.

Rata anuală de producere/de apariţie (a unui eveniment) – Valoare care cuantifică de câte ori se poate produce un anumit eveniment pe parcursul unui an.

Analiza cost–beneficiu – Estimare şi o comparaţie a valorii relative şi a costului asociate cu fiecare control propus. Criteriu de eficienţă folosit pentru alegerea controlului ce va fi implementat.

Rentabilitatea Investiţiei (profitul din investitia în securitate) – Suma totală de bani pe care o organizatie se aşteaptă sa o salveze (economiseasca) într-un an prin implementarea măsurilor de securitate.

Termeni şi definiţii (continuare)

Pierderea anuala estimată pe fiecare bun (PAEb) – Sumă totală de bani, aferentă unui bun, pe care o organizatie o va pierde într-un an dacă nu va lua măsuri pentru pentru micşorarea sau eliminarea riscului care afectează acel bun.

Pierderea anuala estimată pe fiecare ameninţare (PAEa) – Sumă totală de bani, creată de o ameninţare, pe care o organizatie o va pierde într-un an dacă nu va lua măsuri pentru pentru micşorarea sau eliminarea unui risc care afectează bunurile.

Nevoia de securitate

1970

Piratare linii telefonice (phreaking/boxing)

Conexiuni dial-up ilegale

Acces (Internet) neautorizat

1980

1990

Etape în furtul electronic de informaţie

Momente de referinţă care evidenţiază nevoia de securitate

2 noiembrie 1988

Giant Worm

Un vierme (virus – după unii), lansat în Internet, infectează un număr de 60.000 de calculatoare de pe întreg teritoriul Statelor Unite. Acesta se împrăştia cu repeziciune de la calculatoarele din Cambridge, Massachusetts şi Berkeley, California, la calculatoarele din Princeton, apoi la NASA Ames Research Center din Silicon Valley, California, la Universitatea din Pittsburgh, la Los Alamos National Laboratory şi la alte universităţi, baze militare şi institute de cercetare.

Costurile necesare stopării viermelui şi testării sistemelor infectate au fost estimate între 1.000.000 şi 100.000.000 dolari. Vinovat - Robert T. Morris - student la Universitatea Cornell.

11 septembrie 2001

Atacurile asupra World Trade Center (WTC) şi asupra Pentagonului

Atacurile cauzează pagube de peste 100 miliarde de dolari.

Datorită existenţei unor planuri de măsuri în caz de dezastre, comunicaţiile sunt refăcute rapid, iar unele firme reuşesc să revină online in 48 de ore de la atac.

După aceste atacuri, atât Statele Unite cât şi alte state, îşi revizuiesc politica de securitate.

1. Cliff Stoll, angajat la Lawrence Berkeley Laboratory, pe parcursul anului 1988, a atacat un număr de 450 de calculatoare din Germania de Vest, reuşind să penetreze 30 dintre ele. Acuzat iniţial de acces neautorizat, după ce s-a constatat că a vândut secrete KGB-ului, acuzaţia a fost schimbată în spionaj. 2. În anul 1990, un student australian, autointitulat Phoenix, a fost învinuit că a cauzat oprirea pentru 24 de ore a calculatoarelor de la NASA în Norfolk, Virginia. De asemenea, a alterat informaţiile de la Lawrence Livemore National Laboratory din California.3. În anul 1988, la mai multe agenţii de transport aerian se descoperă că cineva a reuşit să penetreze sistemul şi să tipărească rezervări ilegale de bilete de avion. Pentru prima dată s‑a pus problema dacă nu cumva organizaţiile teroriste au făcut acest lucru pentru a avea acces la listele de pasageri. Întrebarea a fost repusă apoi când membri ai familiei regale din Kuweit au fost luaţi ostatici la bordul unui avion. Aceeaşi întrebare a fost pusă şi după atentatele de la 11 septembrie 2001 .4. În luna aprilie 1986, un intruder, cunoscut sub numele de Captain Midnight, reuşeşte să mărească neautorizat puterea de transmisie a unui canal HBO transmiţând propriul mesaj către milioane de telespectatori. Această acţiune a adus în actualitate posibila folosire în scopuri teroriste a acestor acţiuni.5. Evenimentul consemnat sub denumirea de „Constitution Loss“ se poate constitui ca fiind cea mai gravă eroare umană şi de implementare a securităţii. În anul 1991, înainte de votul final al Constituţiei din Columbia, un utilizator care trebuia să facă ultimele modificări la versiunea online face o greşeală care are ca efect pierderea datelor. Neexistând o copie de siguranţă (backup), datele au fost refăcute, după o muncă laborioasă, folosind ciornele membrilor comitetului de redactare a noii Constituţii columbiene.6. În ianuarie 1988, la Universitatea Ebraică din Ierusalim se descoperă că sute de calculatoare sunt infectate cu un virus. Acesta se activa la fiecare zi de 13 a lunii, şi care era şi vineri, încetinea procesul de prelucrare şi ştergea datele pe data de 13 mai. Virusul a mai fost denumit şi Columbus Day sau Datacrime.7. Un puşti de 14 ani din Kansas reuşeşte în anul 1989, folosind un calculator Apple, să penetreze sistemul de poziţionare a sateliţilor aparţinând Air Force, să vorbească internaţional neautorizat şi să acceseze fişiere confidenţiale. 8. Virus Flamblé poate fi inclus într-o categorie aparte de viruşi. El acţionează şi asupra echipamentului hardware prin creşterea frecvenţei de scanare orizontală a fasciculului de electroni al monitorului peste limitele suportate admise. Ca efect, monitorul ia foc. Acest virus a afectat în anul 1988 o companie de consultanţă din San Jose, California.

Momente de referinţă care evidenţiază nevoia de securitate (continuare)

9. În anul 1988, un cercetător care lucra pentru o comisie care investiga afacerile cu Iranul descoperă pe un calculator utilizat de Oliver North date secrete sustrase referitoare la NSC. Acestea fuseseră transferate şi apoi şterse de pe un calculator, considerat sigur, care aparţinea Casei Albe.

10. Un manager al unei firme a reuşit în anul 1984, manipulând un calculator, să transfere fonduri de 25.000.000 dolari încercând să păcălească auditul.

11. În luna martie 1999, virusul Melissa reuşeşte să blocheze serviciile de poştă electronică din întreaga lume. Pagubele se estimează la 80 milioane dolari. Vinovatul este găsit în persoana lui David Smith, programator, care dăduse numele virusului după cel al unei dansatoare topless. Condamnat fiind, acesta execută mai mulţi ani de detenţie în închisorile statale şi federale din Statele Unite.

12. Love Letter Worm reuşeşte să infecteze, într-o singură zi din anul 2000, 45 de milioane de calculatoare.

13. În luna februarie 2000, activitatea multor site-uri de e-commerce, printre care Yahoo!, E-Bay şi E-Trade, a fost afectată de un nou atac de tip DoS, denumit Distributed Denial of Service (DDoS). Atacul se folosea de tehnologia client-server pentru a concentra atacul asupra anumitor puncte. Vinovatul a fost găsit, după luni de căutări, în persoana unui tânăr hacker.

14. În luna octombrie a aceluiaşi an, firma Microsoft a raportat că un hacker a reuşit să aibă acces la o porţiune din reţeaua LAN proprie.

15. Pagina de web a Departamentului de Stat al Statelor Unite a fost atacată în luna octombrie 2002 şi umplută cu obscenităţi. Din această cauză, funcţionarea acesteia a trebuit să fie întreruptă.

16. După atacul din insula Bali din luna octombrie 2002, când Australia a impus presiuni asupra grupurilor teroriste din Indonezia, presupuse responsabile de atac, peste 200 de site-uri australiene au fost atacate de hackeri din Indonezia.

17. Însăşi structura Internet a fost atacată în luna octombrie 2002. 13 servere de root au fost afectare de DDoS şi o mulţime de utilizatori s-au văzut în imposibilitatea de a efectua conexiuni.

18. O conferinţă împotriva furtului de informaţii din calculatoare a fost sabotată în luna mai 2003. Hackerii au reuşit să sustragă aproximativ 1000 de nume şi adrese de e-mail ale persoanelor participante la acea conferinţă.

Momente de referinţă care evidenţiază nevoia de securitate (continuare)

Pierderi datorate atacurilor în cadrul organizaţiilor

Pierderi anuale pe tipuri de abuzuri

4.503.000

115.753.000

6.015.000

70.827.000

49.979.000

11.766.500

50.099.000

18.370.500

15.134.000

13.055.000

346.000

406.300

10.186.400

701.500

70.195.900

27.382.340

6.830.500

11.767.200

65.643.300

5.148.500

2.754.400

705.000

76.000

Mil 20 Mil 40 Mil 60 Mil 80 Mil 100 Mil 120 Mil 140 Mil

Acces intern neautorizat

Fraude financiare

Fraude telefonice

Furt de informaţie

Viruşi informatici

Furturi laptop-uri

Abuzuri din interior

Refuz al serviciului (DoS)

Sabotaje angajaţi

Penetrare sisteme

Ascultare trafic

Ascultare telefoane

Valoare pierderi ($)

2003

2002

Pierderi anuale pe tipuri de abuzuri în anii 2002 şi 2003

!

26,460,000

13,468,400

11,460,000

10,601,055

7,670,500

6,734,500

4,278,205

3,997,500

2,747,000

958,100

901,500

871,000

55,053,900

0 10,000,000 20,000,000 30,000,000 40,000,000 50,000,000 60,000,000

Viruşi informatici


Altele

Furt de proprietate

Abuzuri reţea (intern)

Fraude financiare

Furt laptop-uri

Acces neautorizat

Fraudare telecomunicaţii

Abuz asupra aplicaţiilor web publice

Blocare site-uri web

Penetrare sisteme

Sabotaje

Pierderi datorate atacurilor în cadrul organizaţiilor (continuare)

Pierderi anuale în anul 2004 (valori)

10.601.055

4.278.205

3.997.500

55.053.900

13.468.400

2.754.400

5.148.500

871.000

901.500

26.460.000

6.734.500

11.460.000

7.670.500

70.195.900

65.643.300

783.003

27.382.340

6.830.500

10.186.400

701.500

406.300

11.767.200

0 10.000.000 20.000.000 30.000.000 40.000.000 50.000.000 60.000.000 70.000.000 80.000.000

Abuzuri reţea (intern)

Acces neautorizat

Fraudaretelecomunicaţii

Fraude financiare

Furt de proprietate

Furt laptopuri

Penetrare sisteme

Refuz al serviciului(DoS)

Sabotaje

Viruşi

Altele

2003

2004



!

31.233.100

30.933.000

7.310.725

6.856.450

4.107.300

2.565.000

2.227.500

841.400

544.700

340.000

242.000

115.000

42.787.767

0 5.000.000 10.000.000 15.000.000 20.000.000 25.000.000 30.000.000 35.000.000 40.000.000 45.000.000

Viruşi informatici

Acces neautorizat

Furt de proprietate intelectuală

DoS (Refuz al serviciului)

Abuzuri interne ale reţelei

Furturi laptopuri

Fraude financiare

Abuzarea aplicaţiilor web publice

Penetrare sisteme

Abuzuri retele wireless

Sabotaje

Fraude telecomunicaţii

Deteriorare siteuri

Pierderi datorate atacurilor în cadrul organizaţiilor (continuare 2005)

Pierderi anuale în anul 2005 (valori)

Total pierderi raportate în anul 2005: 130.104.5425 USD

Sursa: Computer Security Institute, CSI/FBI 2005 Computer Crime and Security Survey 639 respondenţi

24%

24%

6%

5%

3%

2%

2%

1%33%

Viruşi informatici Acces neautorizat Furt de proprietate intelectuală

DoS (Refuz al serviciului) Abuzuri interne ale reţelei Furturi laptopuri

Fraude financiare Abuzarea aplicaţiilor web publice Penetrare sisteme

Abuzuri retele wireless Sabotaje Fraude telecomunicaţii

Deteriorare siteuri

Pierderi datorate atacurilor în cadrul organizaţiilor (continuare - 2005)

Pierderi anuale în anul 2005 (procente)

42.787.767

31.233.100

30.933.000

2.227.500

841.400

544.700

340.000

242.000

115.000

55.053.900

10.601.055

11.460.000

26.064.050

10.601.055

6.734.500

7.670.500

901.500

10.159.250

871.000

3.997.500

958.100

2.565.000

4.107.300

6.856.450

7.310.725

2.747.000

0 10.000.000 20.000.000 30.000.000 40.000.000 50.000.000 60.000.000

Viruşi informatici

Acces neautorizat


DoS (Refuz al serviciului)


Furturi laptopuri

Fraude financiare

Abuzarea aplicaţiilor web publice

Penetrare sisteme

Abuzuri retele wireless

Sabotaje

Fraude telecomunicaţii

Deteriorare siteuri

2004

2005



!

15.691.460

10.617.000

6.642.660

6.034.000

2.922.010

2.556.900

1.848.810

1.262.410

923.700

758.000

647.510

469.010

291.510

269.500

260.000

162.500

161.210

90.100

885.000

0 2.000.000 4.000.000 6.000.000 8.000.000 10.000.000 12.000.000 14.000.000 16.000.000 18.000.000

Contaminare cu virusi

Acces neautorizat

Furturi de dipozitive mobile

Furt de proprietate intelectuala


Fraude financiare

Abuzuri interne (Network or e-mail)

Fraude telecomunicatii

Bots (zombi) intre organizatii

Penetrare sisteme din afara

Phising

Abuzuri wireless

Abuzare IM

Abuzare aplicatii web

Sabotare date si retele

Deterioarare siste-uri

Password sniffing

Exploit-uri pe serverul DNS

Altele

Pierderi datorate atacurilor în cadrul organizaţiilor (2006)

Pierderi anuale în anul 2006 (valori)Total pierderi raportate în anul 2006: 52.494.290 USD


30%

20%13%

11%

6%

5%

4%

2%2%

1%1%1%1%1%0%0%0%0%2%

Contaminare cu virusi

Acces neautorizat

Furturi de dipozitive mobile

Furt de proprietate intelectuala


Fraude financiare

Abuzuri interne (Network or e-mail)

Fraude telecomunicatii

Bots (zombi) intre organizatii

Penetrare sisteme din afara

Phising

Abuzuri wireless

Abuzare IM

Abuzare aplicatii web

Sabotare date si retele

Deterioarare siste-uri

Password sniffing

Exploit-uri pe serverul DNS

Altele

Pierderi datorate atacurilor în cadrul organizaţiilor (continuare - 2005)

Pierderi anuale în anul 2006 (procente)

1999 2000 2001 2002 2003 2004 2005

Viruşi informatici

Furturi laptop-uri

Acces neautorizat


Penetrare sisteme


Fraudare telecomunicaţii

Fraude financiare

Sabotaje

Abuzarea reţelelor wireless

Abuzare web servere publice

Deteriorare site-uri


20

40

60

80

100

Sursa: Computer Security Institute, CSI/FBI 2006 Computer Crime and Security Survey

Tipuri de atacuri sau abuzuri raportate

2006

Principalele surse de atac

Surse de atac

81

26

44

21

7776

31

49

25

81

75

26

38

26

82

77

25

40

28

82

0

10

20

30

40

50

60

70

80

90

Angajati Companiistrăine

Competitori Guverne străine Hackeri(independenţi)

Pro

cen

taj răsp

un

su

ri

2000

2001

2002

2003

Sursa: Computer Security Institute, CSI/FBI 2003 Computer Crime and Security Survey2003: 488 răspunsuri/92%2002: 414 răspunsuri/82%2001: 484 răspunsuri/91%2000: 583 răspunsuri/90%

! !

Tehnologii de securitate folosite

Tehnologii de securitate folosite

92

50

62

50

78

8

36

39

100

54

90

90

53

64

61

95

9

42

39

98

48

92

82

50

58

60

89

10

38

35

90

44

84

92

58

69

73

98

11

49

40

99

47

91

0 20 40 60 80 100 120

Control acces

Criptare acces

Criptare fişiere

Detectarea intruziunilor

Firewall

Identificare biometrică

Identificare digitală

PCMCIA

Programe antivirus

Reutilizare parole

Securitate fizică

Procentaj răspunsuri

2003

2002

2001

2000


97%

96%

72%

70%

68%

52%

46%

42%

35%

35%

15%

0% 20% 40% 60% 80% 100% 120%

Firewall-uri

Programe anti-virus

Detectoare de intruziune

Liste control acces

Criptare transmisii de date

Reutilizare conturi şi parole

Criptare fişiere

Smart card/one-time password

PKI

Sisteme de prevenire intruziuni

Identificare biometrica

Tehnologii de securitate folosite (anul 2005)


98%

97%

79%

71%

69%

63%

48%

46%

43%

41%

39%

38%

38%

36%

32%

31%

20%

4%

0% 20% 40% 60% 80% 100% 120%

Firewall

Anti-virus software

Anti-spyware

Server-based access control list

Intrusion detection system

Encryption for data in transit

Encryption for data in storage

Reusable account/login password

Intrusion prevention system

Log management software

Application-level firewall

Smart-card/one-time password token

Forensic tools

Public Key Infrastructure

Specialized wireless security client software

Endpoint security client software

Biometrics

Other

Tehnologii de securitate folosite (anul 2006)


S E C U R I T A T E

SecretizareInterzicerea accesului neautorizat al persoanelor la informaţia care nu le este destinată.

AcurateţeDatele stocate în calculator să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate.

Datele stocate în calculator să poată să fie accesate de persoanele autorizate

Confirmă autenticitatea unui mesaj electronic

Ce urmărim să obţinem prin managementul riscului şi/sau analiza de risc?

Ce poate să facă firma ?

Definirea cerinţelor pentru îmbunătăţirea securităţii

3

Stabilirea personalului responsabil cu asigurarea securităţii

1 -Definirea şi obţinerea acordului pentru un tabel de securitate-Evaluarea politicilor de securitate existente-Creare de politici de securitate-Implementare politici de securitate-Supraveghere procese

Stabilirea etapelor principale pentru asigurarea securităţii

2 -Analiza riscurilor-Clasificarea datelor şi a documentelor-Stabilirea drepturilor de acces-Definirea politicii de securitate-Planificarea., designul şi implementarea tehnică a măsurilor de securitate

Informarea personalului despremăsurile adoptate

4-Conştientizare (program)-Comunicare executivă (program)

Auditul şi monitorizarea securităţii

-Control şi evaluare hardware-Control şi evaluare software-Monitorizarea intruziunilor şi scanarea vulnerabilităţilor-Răspunsul la intruziuni

5

Pe ce se poate baza firma ?

FIRMA

Oameni-pregătire-responsabilităţi-cultură-organizare

Procese-politici-proceduri-standarde

Tehnologii-infrastructură-aplicaţii

•Analiza riscului

•Determinarea necesităţilor

•Implemantare politici

•Implementare controale

•Asistare

•Conştientizare

•Monitorizare

•EvaluarePunct de convergenţă

Ciclul de management al riscului (variantă)

Ciclul de management al riscului (variantă)

Sursa http://www.noweco.com/

La http://www.noweco.com/downe.htm se găsesc materiale suplimentare referitoare la managementul riscului (Trial software, broşuri, prezentări)

Ciclul de management al riscului ((variantă) Microsoft)

Evaluarea

riscurilor

Coordonarea procesuluidecizional

Implementare

controale

Măsurarea eficacităţii programului

1

23

4

Ciclul de management al riscului (Microsoft)

Evaluarea riscului – Identificarea şi clasificarea riscurilor care pot să afecteze afacerea.

Coordonarea procesului decizional– Identificarea şi evaluarea măsurilor şi a soluţiilor de control ţinând cont de raportul cost-beneficii.

Implementarea controalelor – Implementarea şi rularea de măsuri de control menite să reducă sau să elimine riscurile.

Măsurarea eficacităţii programului – Analiza eficacităţii măsurilor de control adoptate şi verificarea dacă controalele aplicate asigură gradul de protecţie stabilit.

Nivelul de efort (Microsoft)

Culegere date

Analiză sumară a riscului

Analiză detaliată

a riscului

Procesul decizional

Implementare controale

Rulare controale

Faze ale procesului

Nivel efort Curba de efort

Nivel Status Descriere

0 Inexistent Firma nu are politica de securitate documentată.

1 Ad-hoc Firma este conştientă de risc. Eforturile de management al riscului sunt făcute în grabă şi haotic. Politicile şi procesele nu sunt bine documentate. Proiectele de management al riscului sunt necoordonate şi haotice, iar rezultatele nu pot fi măsurate şi evaluate.

2 Repetabil Firma are cunoştinţe despre managementul riscului. Procesul de management al riscului este repetabil dar imatur. Procesele de management al riscului nu sunt suficient documentate, dar firma lucrează in acest sens. Nu există o instruire formală sau o comunicare în ce priveşte managementul de risc, responsabilitatea fiind lăsată la latitudinea angajatului.

3 Definit Firma adoptă o decizie formală de implementare a managementului de risc. Sunt definite clar obiectivele şi modalităţile de măsurare a rezultatelor. Angajaţii sunt instruiţi formal la un nivel de bază.

4 Controlat Managementul riscului este bine înţeles în toate compartimentele şi nivelurile firmei. Există proceduri bine definite de control şi reducere a riscului. Eficacitatea poate fi măsurată. Personalul este instruit. Resursele alocate sunt suficiente. Beneficiile sunt vizibile. Echipa de management al riscului lucrează pentru a îmbunătăţi permanent procesele şi instrumentele pe care le utilizează. O mare parte din procesele de evaluare a riscului, de identificare a controalelor, de analiză costuri-beneficii sunt neautomatizare (manuale).

5 Optimizat Procesul de management al riscului este bine înţeles şi automatizat prin instrumente specifice dezvoltate în cadrul firmei sau achiziţionate de la firme specializate în domeniu. Sunt identificate sursele de risc şi sunt luate măsuri de limitare a efectelor acestora. Angajaţii sunt instruiţi diferenţial. Se lucrează la optimizare procese.

Nivelurile de management al riscului de securitate (Microsoft)

1. Politicile de asigurare a securităţii informaţiei sunt clare, concise, bine documentate şi complete.

0…5

2. Toate posturile care au responsabilităţi privind securitatea informaţiei au clare şi bine inţelese rolurile si responsabilităţile lor.

0…5

3. Politicile şi procedurile de securizare a accesului colaboratorilor la datele firmei sunt bine documentate.

0…5

4. Există un inventar al componentelor IT, hardware şi software exact şi actualizat, precum şi cu dislocarea acestora. 0…5

5. Sistemele de control existente sunt adecvate şi funcţionează la parametri pentru a proteja datele firmei împotriva accesării neautorizate din interior sau din afară.

0…5

6. Politicile şi practicile de asigurare a securităţii datelor sunt cunoscute de către utilizatori, iar aceştia sunt periodic instruiţi şi informaţi despre noutăţi.

0…5

7. Accesul fizic la reţeaua de computere şi la alte componente IT este restricţionat prin utilizarea unor sisteme eficiente de control.

0…5

8. Sistemele de calcul sunt dotate în conformitate cu standardele de securitate în domeniu, având instrumente automatizate pentru asigurarea securităţii datelor.

0…5

Pu

nct

aj

Întrebări

10. A fost creată o echipă care să reacţioneze şi să răspundă în cazul unor incidente. Această echipă a dezvoltat procese eficiente şi a creat documentaţia necesară pentru aceasta, în scopul de a putea rezolva incidentele legate de securitate. Sunt analizate toate aceste incidente până la descoperirea cauzei principale şi la rezolvarea oricăror probleme.

0…5

11. Firma dispune de un program antivirus complet, care include straturi multiple de protecţie, instruire a utilizatorului şi procese eficiente de răspuns la atacurile viruşilor.

0…5

12. Procesele de actualizare a utilizatorului sunt bine documentate şi cel putin parţial automatizate astfel încat noii angajaţi, furnizori sau parteneri sa aibă garantat un nivel potrivit de acces la sistemele de informaţii ale organizaţiei într-un timp scurt. Aceste procese ar trebui de asemenea să realizeze într-un interval de timp potrivit devalidarea şi ştergerea conturilor utilizatorului, a conturilor de care nu mai este nevoie.

0…5

13. Accesul la computere şi la reţea e controlat prin autentificare şi autorizare, liste de control restrictive asupra accesului la date, şi monitorizări preventive pentru încălcarea politicii firmei.

0…5

9. Este creat un sistem de management automat al actualizărilor programelor din cadrul organizaţiei capabil să furnizeze automat upgrade-urile software de la majoritatea furnizorilor către către marea majoritate a computerelor din organizaţie.

0…5

16. S-au lansat programe (şi acestea sunt eficiente) pentru a se asigura că toţi angajaţii îsi îndeplinesc sarcinile într-o manieră conformă cu prevederile legale.

0…5

17. Se folosesc în mod regulat recenziile şi auditurile (examinările oficiale) pentru a verifica conformitatea cu practicile standard pentru a obtine beneficii de securitate.

0…5

15. Fluenţa afacerii (a activităţii) şi programele ce asigură această conformitate sunt definite clar, bine documentate, şi testate periodic prin simulări si repetări.

0…5

14. Celor care se ocupă cu dezvoltarea aplicaţiilor le este oferită o pregătire periodică şi ei sunt conştienţi de standardele de securitate pentru crearea de software dar şi de testarea calităţii.

0…5

0 ... 85Punctaj final

Punctaj obţinut

Firma este pregătită pentru introducerea şi folosirea proceselor Microsoft de management al analizei riscului de securitate.

51 ... 85

Firma mai are de parcurs câteva etape necesare controlului de risc şi introduceriigraduate de noi procese de control.34 ... 50

Firma din această categorie trebuie să inceapă mai întâi să-şi creeze un nucleu al uneiechipe de management al analizei riscului. Aceasta îşi va concentra mai întâi eforturile,

pe o perioadă de câteva luni, pentru unul dintre compartimente. După ce se demonstreazăviabilitatea măsurilor aplicate de reducere a riscului, se vor extinde măsurile la

următoarele două-trei compartimente.

0 ... 33

Stadiu

Dacă situaţia o impune - risc iminent - atunci firm

a poate ignora recomandarile

pentru a putea să-şi impună rapid măsurile de securitate.

NISTNational Institute of Standatds and Technology

Security Self-Assessment Guide for Information Technology Systems

Alte întrebări care vor defini nivelul de securitate al organizaţiei Dvs., şi vă vor ghida în acţiunile ulterioare sunt disponibile la:

http://csrc.nist.gov/ Security Guideline 800 series

http://csrc.nist.gov/ publications/nistpub/index.html fişierul Mapping-of-800-53v1.doc

Reguli şi responsabilităţi pe parcursul procesului de Management al riscului de securitate (Microsoft)

Titlu Responsabilitate

Director executiv Gestionează toate activităţile care prezintă un risc asupra afacerii – dezvoltare, alocare de fonduri, autorizare şi sprijin pentru echipa de management al riscului. Responsabilitate asigurată de seful secdurităţii sau seful securităţii informaţiilor. Ultimul nivel la care se defineşte un risc acceptabil pentru afacere.

Proprietarul afacerii -Este responsabil pentru bunurile materiale (tangibile) şi nemateriale (intangibile) ale afacerii (firmei).-Responsabil pentru stabilirea bunurilor prioritare ale afacerii şi pentru definirea nivelului de impact asupra acestora.-Definirea nivelului acceptabil de risc.

Grupul de securitate a informaţiei -Deţine procesul mai amplu de control al riscului.

-Evaluarea fazelor de analiza riscului şi prioritizarea riscului pentru afacere.

-Echipa este alcătuită minimal din asistent pentru evaluarea riscului si secretar.

Grupul IT Responsabil cu arhitectura, ingineria şi operaţiile.

Titlu Responsabilitate

Echipa de management al riscului de securitate -Responsabilă pentru conducerea programului de control al riscului.-Responsabilă pentru faza de evaluare a riscului.-Stabileşte riscurile prioritare.

Asistent pentru evaluarea riscului -Conduce discuţiile de colectare a datelor.

-Poate conduce intregul proces de management al riscului.

Secretar Înregistrează informaţii detaliate din timpul discuţiilor de colectare a datelor.

Echipa de reducere riscuri Responsabilă pentru implementarea şi menţinerea soluţiilor de control pentru aducerea riscului la un nivel acceptabil.

Comitetul de conducere în securitate Este format din membri ai echipei de control al riscului, reprezentanţi ai grupului IT şi acţionari ai afacerii. Directorul executiv este seful comitetului. Este responsabil cu selectarea strategiilor de reducere a riscului şi definirea unui risc acceptabil pentru firma.

Acţionarii Defineşte participanţii direcţi sau indirecţi la procesul de management al riscului. Poate include şi grupuri sau persoane din afara IT.


continuare

Alegerea soluţiei de control adecvate

Grupul IT

Grupul de Securitate

Clasifică riscurile

ProprietarStabileşte ce este

important

Determinarea unuirisc acceptabil

Evaluare riscuri Definirea cerinţelor de securitate

Măsurarea soluţiilor de securitate

Proiectare şi implementare

soluţii de securitate

Exploatare şi sprijinpentru soluţii


schematic

Evaluarea

riscurilor


Implementare

controale


1

23

4

•Stabilire plan de culegere date - Discutarea de soluţii pentru eficacitate culegere date

•Culegerea datelor – Culegerea, gruparea şi analiza datelor

•Prioritizarea/ierarhizare riscuri – Stabilirea de soluţii pentru clasificarea şi cuantificarea riscurilor

•Definirea cerinţelor funcţionale – Definirea cerinţelor funcţionale pentru reducerea riscului

•Selectarea soluţiilor de control posibile – Rezumatul de soluţii posibile care să reducă riscul

•Revizuirea soluţiilor – Evaluarea soluţiilor de control comparativ cu cerinţele impuse

•Estimarea diminuării riscului – Estimarea de reducere a expunerii sau a probabilităţii de risc

•Estimarea costurilor soluţiilor – Evaluarea costurilor directe şi indirecte de atenuare a riscurilor

•Selectarea strategiei de reducere a costurilor – Analiză completă cost-beneficii pentru determinarea solutiei optime dpv cost.

•Căutarea unei abordari integrate – Corelarea între oameni, procese şi tehnologii pentru atenuarea riscului

•Organizarea soluţiilor de control – Organizarea soluţiilor de reducere a riscurilor peste activităţile firmei

•Dezvoltarea unei diagrame de evoluţie a nivelului de riscc – Înţelegerea nivelului de risc şi evoluţiile acestuia

•Măsurarea eficacităţii programului – Evaluarea periodică a programului de management al riscului pentru îmbunătăţirea periodică a acestuia

Reevaluarea continuă a măsurilor de control adoptate, a schimbării statutului bunurilor si a riscului.

Managementul riscului şi Analiza riscului

Managementul riscului Analiza riscului

Obiective Gestionează riscul, în sensul reducerii acestuia, până la un nivel acceptabil pentru nevoile firmei.

Identifică şi clasifică riscurile în cadrul firmei

Tip de proces Proces permanent pe toate fazele Funcţionează intr-o singură fază, atunci cand este nevoie de evaluare a riscului.

Comparaţii

Evaluarea

riscurilor


Implementare

controale


1

23

4

1. Planificarea• alinierea• scopul• aceptarea

2. Facilitarea culegerii datelor• determinarea bunurilor firmei• identificarea ameninţărilor• identificarea vulnerabilităţilor• estimarea expunerilor• estimarea probabilităţii de producere• sumar

3. Prioritizarea riscurilor• coordonarea unei prioritizări sumare a nivelului de risc• rezumat al prioritizării nivelului de risc• analiză împreună cu proprietarul• analiză de detaliu a prioritizării nivelului de risc• detalierea prioritizării nivelului de risc

Evaluarea riscurilor

1

Motivele pentru care se face analiză de risc ?

Identificarea bunurilor firmei

Identificarea măsurilor de control pentru securizarea bunurilor firmei

Avertizează conducerea firmei asupra termenelor care pot produce riscuri

Avertizează asupra necesităţii de a adopta măsuri de control

Ghidează în alocarea de resurse

Aliniază programul de control la misiunea firmei

Oferă criterii pentru proiectarea şi evaluarea planurilor de avarie

Oferă criterii pentru proiectarea şi evaluarea planurilor de recuperare

Modalităţi de abordare a Analizei riscului

Analiza cantitativă

Lucrează cu date statistice în domeniu

Analiza calitativă

Lucrează cu date mai puţin complexe

Analiza vulnerabilităţii /analiza pe post

Pune pe prim plan angajatul şi condiţiile specifice de lucru

Riscul poate fi definit ca o ameninţate care poate să exploateze eventualele slăbiciuni ale sistemului.

Analiza de risc presupune un proces de identificare a riscurilor de securitate, determinarea amplitudinii riscurilor, precum şi identificarea zonelor cu risc mare şi care trebuie securizate. Analiza de risc face parte din

ansamblul de măsuri care poarta denumirea de managementul riscului. Evaluarea riscurilor este un rezultat al unui proces de analiză a riscurilor.

Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului.

Acesta include: analiza riscurilor; analiza costului beneficiilor; selecţia mecanismelor; evaluarea securităţii măsurilor adoptate; analiza securităţii în general.

Riscul

Riscul este un eveniment care aşteaptă să se întâmple.

BunuriCe dorim să protejăm?

AmeninţareDe ce ne este frică?

VulnerabilitateCum se poate produce

ameninţarea?

AtenuareCare este nivelul actual

de atenuare?

ImpactCare este impactul asupra afacerilor?

ProbabilitateCare este probabilitatea ca ameninţarea

să se manifeste?

Definirea stării de risc

Definirea stării de risc (Microsoft)

Nivelul de risc = Rata de impact x Rata de probabilitate

unde

Rata de impact = Clasa de impact x Factorul de expunere

Categorii de risc 1/2

O categorisire a riscurilor se poate face ţinând cont de sursele de risc. O primă categorisire poate fi:

1. Raporturile şi legaturile legale şi comerciale2. Circumstanţele economice3. Circumstanţe politice4. Probleme tehnice şi tehnologice5. Activităţile generale de management şi control6. Activităţi individuale7. Comportament uman8. Evenimente naturale

Standardele în domeniu oferă următoarea categorisire a riscurilor:

1. Managementul bunurilor2. Managementul schimbării3. Înţelegerii4. Mediu5. Financiar6. Management general7. Responsabilităţi8. Personal9. Servicii şi producţie10. Tehnologie

Nr. Categorie Exemple/Descriere

1 Boli Afectează oamenii, animalele şi plantele.

2 Economic Fluctuaţii valutare, fluctuaţii dobânzi, cote de piaţă.

3 Mediu Zgomote, poluare, contaminare.

4 Financiar Riscuri contractuale, insuficienţă fonduri, fraude, amenzi.

5 Uman Revolte, lovituri, sabotaje, erori.

6 Dezastre naturale Condiţii climatice, cutremure de pământ, furtuni, erupţii vulcanice etc

7 Măsuri de siguranţă Măsuri de siguranţă inadecvate, management defectuos al siguranţei.

8 Productivitate Eroare de design, controale de calitate sub standarde, testare inadecvată.

9 Profesional Instruire defectuoasă şi insuficientă, neglijenţă, erori de design.

10 Distrugeri de proprietate Incendii, inundaţii, cutremure de pământ, contaminări, erori umane.

11 Publice Relaţiile cu publicul.

12 Securitate Atacuri, intruziuni, furturi, vandalizări.

13 Tehnologice Tehnologii noi (netestate), tehnologii invechite, tehologii dependente.

Standardele în domeniu oferă următoarea categorisire a riscurilor:

Categorii de risc 2/2

Evenimente !!!!!!

Categorii de risc Rezumat

Evenimente naturale

Mediul de afaceri Atacuri

Procese

Oameni

Tehnologii

Firma

Vulnerabilitate – ameninţare

Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii.

După factorii care determină vulnerabilitatea:• fizice;• naturale;• hardware;• software;• medii de stocare;• radiaţii;• comunicaţii;• umane.

Ameninţările la adresa securităţii se pot clasifica în trei categorii:

• naturale şi fizice;• accidentale;• intenţionate.

Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi categorisite în:• interne;• externe.

Ameninţările interne vin din partea propriilor angajaţi.

Ameninţările externe vin din partea mai multor categorii, şi anume:

• agenţii de spionaj străine;• terorişti şi organizaţii teroriste;• organizaţii criminale;• raiders;• hackeri şi crackeri.

Tip ameninţare Exemplu Tip ameninţare Exemplu

Catastofală Incendiu Accident Tensiune nestandard

Inundaţie Defect hardware

Cutremur de pământ Deconectări mecanice

Alunecare de teren Defect dispozitive control

Avalanşă Accident de construcţie

Furtună/uragan Acte neintenţionate

Angajat/colaborator neinformat

Atac terorist Angajat/colaborator neinstruit

Revolte/răscoale Angajat/colaborator neglijent

Explozie (industrială)

Ameninţare

(tipuri şi exemple) 1/2

Tip ameninţare Exemplu

Acte intenţionate

Hacker, cracker

Spionaj (partener de afaceri, concurenţă)

Spionaj (guverne străine)

Criminal PC

Social engineering

Angajat nemulţumit

Fost angajat nemulţumit

Terorist

Angajat şantajabil

Pseudo-angajat

Ameninţare


Tip vulnerabilitate Vulnerabilitate

Fizică Încăperi neîncuiate/neasigurate

Ferestre neîncuiate/neasigurate

Defecte de proiectare clădiri

Defecte de construcţie clădiri

Sisteme antiincendiu insuficiente

Materiale inflamabile depozitate inadecvat

Vulnerabilitate


Tip vulnerabilitate

Vulnerabilitate

Naturală Construcţie în zone inundabile

Construcţie în zone improprii

Construcţie în zone cu periocol de avalanşă

Construcţie în zone cu teren instabil

Vulnerabilitate


Tip vulnerabilitate

Vulnerabilitate

Hardware Configurare defectuoasă sau improprie

Sistem de calcul neasigurat fizic

Lipsă patch-uri

Echipamente învechite

Protocoale inadecvate

Vulnerabilitate


Tip vulnerabilitate

Vulnerabilitate

Software Software antivirus neactualizat

Software firewall neactualizat

Lipsă patch-uri/fix-uri.

Aplicaţii neprofesionale

Aplicaţii scrise cu back doors

Configurare software improprie

Vulnerabilitate


Tip vulnerabilitate

Vulnerabilitate

Medii stocare Casete de stocare cu defecte

Medii de stocare improprii

Medii de stocare vulnerabile

Vulnerabilitate


Tip vulnerabilitate

Vulnerabilitate

Comunicaţii Interferenţe radio

Interferenţe electrice

Comunicaţii necriptate

Protocoale necriptate în reţea

Conexiuni între mai multe reţele

Protocoale active fără utilizare

Nefiltrarea comunicaţiilor intre subreţele

Vulnerabilitate


Tip vulnerabilitate

Vulnerabilitate

Umane Neraportare atacuri

Răspuns slab la atacuri

Lipsa planuri de recuperare în caz de dezastre

Testare insuficientă proceduri

Vulnerabilitate


Fizic

Modelul de “apărare în adâncime” (Microsoft)

Reţea

Host/Gazdă

Aplicaţii

Date

Culegerea datelor

Împărţirea pe grupuriFiecare grup are atribuţii specifice

Discuţii fără nivel nu interogatoriiDiscuţiile care se poartă şi întrebările care se pun nu trebuiesc să fie agasante şi interogatorii.

Implicarea proprietaruluiAcesta ştie cel mai bine care sunt bunurilor din organizaţie, ce valoare au şi ce impact au evenimentele nedorite asupra acestora.

Comunicarea între departamenteImplicarea şi comunicarea cu departamentele IT este esenţială.

Responsabilitate şi conştientizareResponsabilitatea în procesul de culegere a datelor (şi ulterior), precum şi conştientizarea importanţei fiecărei faze se vor reflecta în datele finale.

Culegerea datelor (Microsoft)

Identificarea bunurilor pentru care grupul tau este responsabil cu dezvoltarea, managementul, intre ţinere şi mentenanţă.

Denumire bun Clasificare bun (d.p.v. al impactului) ( Î, M, R )

DB server Î

… …

LAN printer M

Pentru fiecare bun se va completa următorul tabel:

Nivelul

(din modelul de apărare în adâncime)

De ce ne temem?

(Ameninţare)

Cum se va întâmpla?

(Vulnerabilităţi)

Nivel de expunere

(Î, M, R)

Descriere controale curente

Probabilitate

(Î, M, R)

Controale potenţiale

Fizic

Reţea

Host/Gazdă

Aplicaţii

Date

Culegerea datelor (Microsoft)

Bun Expunere

Data identificată

Denumire bun/

Descriere

Clasa bunului

Nivelul de aplicabilitate

Descriere ameninţare

Descriere vulnerabilitate

Rata de expunere

(Î, M, R)

Rata de impact

(Î, M, R)

Date Date clienţi M Host Acces neautorizat

Furt sau ghicire parolă

L M

Date Date clienţi M Host Alterare Viruşi. Configurare improprie

Î M

… … … … … … … …

Informaţii colectate pe parcursul procesului de culegere date .

Abordarea socială a riscului

Angajator

Angajaţi

InterogatoriiDiscuţii

Grupul de securitate




Analiza calitativă




Această metodă este mai des folosită decât metoda calitativă, pretându-se la firmele de mărime mică.

Metoda nu foloseşte date statistice. În schimb, se foloseşte ca dată de intrare potenţialul de pierdere.

Metoda operează cu termeni ca:

des/înalt, mediu, rar/redus – referitor la probabilitatea de apariţie a riscurilor şi impactul acestora. vital, critic, important, general şi informaţional – referitor la tipul şi clasificarea informaţiilor. numere, 1, 2, 3.

Aceasta are ca efect imediat reducerea volumului de muncă şi a timpului consumat.

Metoda are şi dezavantaje. Printre acestea:

greu de cuantificat (ca şi la metoda anterioară) anumiţi termeni (important – este un termen greu de definit în management).

numerele sunt de această dată şi mai subiective. Dacă la metoda anterioară ele erau date statistice, acum sunt alese subiectiv.

Analiza riscului de securitate

Analiza calitativă a riscului de securitate

3. Prioritizarea riscurilor• coordonarea unei prioritizări sumare a nivelului de risc• rezumat al prioritizării nivelului de risc• analiză împreună cu proprietarul• analiză de detaliu a prioritizării nivelului de risc• detalierea prioritizării nivelului de risc

Pentru coordonarea unei prioritizări sumare a nivelului de risc se parcurg următorii paşi:

1. Determinarea valorii impactului pentru bunuri

2. Estimarea probabilităţii de producere a unui eveniment

3. Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului şi a probabilităţii de producere pentru fiecare bun

Analiza calitativă

Coordonarea unei prioritizări sumare a nivelului de risc

Analiză împreună cu proprietarul

Analiză de detaliu a prioritizării nivelului de risc

Rezumat al prioritizării nivelului de risc

Detalierea prioritizării nivelului de risc

-Determinarea valorii impactului-Estimarea probabilităţii de impact din lista sumară de nivele-Completarea listei sumare a nivelului de risc prin combinarea impactului şi a probabilităţii de producere

-Determinarea impactului şi a expunerii-Identificarea metodelor de control curente-Determinarea probabilităţii de impact-Determinarea în detaliu a nivelului de risc

Analiza ca

litativ

ă

Pierderi (USD)* Punctaj Clasa/nivel de impact Valoarea Clasei/nivelului de impact (V)

<1.000 1 R

21.001 – 10.000 2 R

10.001 – 50.000 3 R

50.001 – 100.000 4 R

100.001 – 500.000 5 M

5500.001 – 1.000.000 6 M

1.000.001 – 5.000.000 7 M

5.000.001 – 10.000.000 8 I

1010.000.001 – 50.000.000 9 I

>50.000.000 10 I

Clasa de impact: R – Redus. M – Mediu, I - Înalt

Valoarea pierderilor poate fi diferită în funcţie de mărimea firmei.Un nivel de pierderi mare pentru o firmă mică poate fi un nivel mic pentru o firmă mare.Se impune o stabilire a nivelului maxim şi minim al pierderilor pentru fiecare tip de firmă şi apoi stabilireascărilor de punctaj aferente.

*

Stabilirea nivelului de pierderi şi a Clasei/nivelului de impactAnaliza calitativă

Tipuri de firme după mărime

Tip firmă

Număr servere

Venit anual (USD) Număr angajaţi

Alte caracteristici

Mare >1.000 >1 mld. >2.000 - mai multe site-uri;- management special

Medie >100 >100 ml. >500 - câteva site-uri

Mică <100 <100 ml. <100 -

Analiza calitativă

Clasa de impact şi factorul de expunere

Înaltă

Medie

Redusă

Clasa de impact

Redus Mediu Înalt

Factor de expunere

Redusă

Redusă

Redusă

Medie

Medie

Medie

Înaltă

Înaltă Înaltă

Rata de impact

1. Determinarea valorii impactului pentru bunuriAnaliza calitativă

2. Estimarea probabilităţii de producere a unui eveniment

Probabilitatea de producere

(rata de probabilitate)

Descriere

Înaltă Sigur. Se produce o dată sau de mai multe ori pe an

Medie Probabil. Eveniment care se poate produce cel putin o dată sau de două sau trei ori pe an

Redusă Improbabil. Eveniment care nu se poate produce în următorii trei ani

Analiza calitativă

Impact şi probabilitate

Înaltă

Medie

Redusă

Ratade impact

Redusă Medie Înaltă

Probabilitate de producere

Redus

Redus

Redus

Mediu

Mediu

Mediu

Înalt

Înalt Înalt

Nivel de risc

3. Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului şi a probabilităţii de producere pentru fiecare bun

Analiza c

alitativ

ă

3. Prioritizarea riscurilor• coordonarea unei prioritizări sumare a nivelului de risc• rezumat al prioritizării nivelului de risc• analiză împreună cu proprietarul• analiză de detaliu a prioritizării nivelului de risc

Pentru detalierea nivelului de risc se parcurg următorii paşi:

1. Determinarea valorii impactului şi a expunerii pentru bunuri

2. Identificarea controalelor curente

3. Determinarea probabilităţii de impact

4. Determinarea detaliată a nivelului de risc

Analiza calitativă

1. Determinarea expunerii şi a valorii impactului pentru bunuri

Rata expunere

Consecinţe Descriere

1 Insignifiante Pierderi financiare minore. Nu sunt pagube materiale sau răniţi.

2 Minore Pierderi financiare medii. Pagube materiale reduse, se impune primul ajutor acordat personalului.

3 Moderate Pierderi financiare importante. Se impune tratament medical aplicat personalului. Activitatea se poate desfăşura în continuare.

4 Majore Pierderi financiare importante. Răniri grave ale personalului. Avarii importante. Capacităţile de producţie sunt diminuate.

5 Catastrofale Pierderi financiare enorme. Morţi. Pierderea totală a capacităţilor de producţie.

Determinarea expunerii

Analiza calitativă

Determinarea impactului

Determinarea valorii impactului se face prin înmulţirea între Valoarea clasei de impact (V) şi Factorul de expunere (FE) corespunzătoare

Clasa de impact Valoarea clasei de impact

(V)

Impact Î(nalt) 10

Impact M(ediu) 5

Impact R(edus) 2

Rata de expunere Factorul de expunere

(FE)

5 100%

4 80%

3 60%

2 40%

1 20%

x

Plaja de valori a ratei de impact

Nivel

7- 10 Înalt

4 - 6 Mediu

0 - 3 Redus

Rata de impact

Plajele de valori sunt cuprinse între 0 şi 10

Analiza calitativă

2. Identificarea controalelor curente

Analiza calitativă

Inventarierea controalelor curente (fizice).

Inventarierea controalelor curente.

Stabilire eficienţei ecestora (eventual).

Identificare controale “inactive”.

3. Determinarea probabilităţii de impact

-Presupune determinarea existenţei unei anumite vulnerabilităţi şi posibilitatea exploatării acesteia.-Presupune determinarea probabilităţii unei anumite vulnerabilităţi de a fi diminuată prin folosirea controalelor .

Nivelul de vulnerabilitate depinde in principal de câteva atribute:

1. Numărul de atacatori.

Vulnerabilitatea va creşte dacă numărul persoanelor care produc un atac este în creştere.Vulnerabilitatea va creşte dacă nivelul de pregătire al atacatorilor este ridicat.

2. Atac local sau atac la distanţă.

Vulnerabilitatea va creşte dacă anumite goluri de securitate pot fi exploatate de la distanţă.

3. Cunoştinţe

Vulnerabilitatea va creşte dacă un anume tip de atac este cunoscut şi documentat.

4. Automatizarea

Vulnerabilitatea va creşte dacă un anume tip de atac poate fi automatizat în aşa fel incât să găsească singur şi să exploateze golurile de securitate.

Analiza calitativă

3. Determinarea probabilităţii de impact (continuare)

Nivel vulnerabilitate

Condiţii Nota

Înaltă -Număr mare de atacatori - “script-kiddie”/hobbyist-Atac la distanţă-Privilegii de “anonymous”-Modalităţi de exploatare foarte bine cunoscute si documentate-Automatizare

5

– dacă cel putin una din condiţii este indeplinită

Medie -Număr mediu de atacatori - expert-specialist

-Atac local

-Necesită drepturi de acces-Metode de atac nedocumentate-Neautomatizare

3


Redusa -Număr redus de atacatori – cunoştinte arhitectură internă-Atac local-Necesită privilegii de Administrator-Metode de atac nedocumentate-Neautomatizare

1


Analiza calitativă

3. Determinarea probabilităţii de impact (continuare)

Întrebări Note

0 - Da, 1 - Nu

Sunt definite responsabilităţile şi sunt efectiv aplicate?

Sunt atenţionările comunicate şi urmărite executările acestora?

Procesele şi procedurile sunt bine definite şi învăţate?

Tehnologia existentă sau controalele existente reduc ameninţarea?

Practicile curente de audit sunt suficiente pentru detectarea abuzurilor sau controlul deficienţelor?

∑

Analiza calitativă

3. Determinarea probabilităţii de impact (continuare) - Exemplu

Întrebări referitoare la eficacitatea controalelor Note

0 - Da, 1 - Nu

Sunt definite responsabilităţile şi sunt efectiv aplicate? 0

Sunt atenţionările comunicate şi urmărite executările acestora? 0

Procesele şi procedurile sunt bine definite şi învăţate? 0

Tehnologia existentă sau controalele existente reduc ameninţarea? 1

Practicile curente de audit sunt suficiente pentru detectarea abuzurilor sau controlul deficienţelor? 1

∑ 2

Reţea (LAN) şi remote host

Nivel de vulnerabilitate 5

Rata totală de probabilitate pentru LAN şi host remote = 7

Analiza calitativă

4. Determinarea detaliată a nivelului de risc

Nivelul de risc = Rata de impact * Rata de probabilitate

Rata de impact

x

Rata de probabilitate Rezultat (produs) Nivelul de risc

10 – 7 Înaltă 10 – 7 41 – 100 Înalt

6 – 4 Medie 6 – 4 20 – 40 Mediu

3 – 0 Redusă 3 – 0 0 – 19 Redus

Impact Înalt 10 0 10 20 30 40 50 60 70 80 90 100

9 0 9 18 27 36 45 56 63 72 81 90

8 0 8 16 24 32 40 48 56 64 72 80

7 0 7 14 21 28 35 42 49 56 63 70

6 0 6 12 18 24 30 36 42 48 54 60

Mediu 5 0 5 10 15 20 25 30 35 40 45 50

4 0 4 8 12 16 20 24 28 32 36 40

3 0 3 6 9 12 15 18 21 24 27 30

2 0 2 4 6 8 10 12 14 16 18 20

Redus 1 0 1 2 3 4 5 6 7 8 9 10

0 1 2 3 4 5 6 7 8 9 10

Redus Mediu Înalt

Probabilitate

Analiza calitativă

Stabilim probabilitatea de producere a dezastrelor

Nivel de producere Probabilitate producere

Descriere

A Aproape sigur Se poate produce în orice condiţii

B Probabil Se poate produce în anumite condiţii

C Moderat Se poate produce în timp

D Improbabil S-ar putea produce în timp

E Rar Se poate produce numai în condiţii excepţionale

Analiza calitativăAnaliza calitativă a riscului de securitate (variantă simplificată)

Nivel consecinţe

Descriere / consecinţe

Exemple consecinţe

1 Insignifiante Pierderi financiare minore. Nu sunt pagube materiale sau răniţi.

2 Minore Pierderi financiare medii. Pagube materiale reduse, se impune primul ajutor acordat personalului.

3 Moderate Pierderi financiare importante. Se impune tratament medical aplicat personalului. Activitatea se poate desfăşura în continuare.

4 Majore Pierderi financiare importante. Răniri grave ale personalului. Avarii importante. Capacităţile de producţie sunt diminuate.

5 Catastrofale Pierderi financiare enorme. Morţi. Pierderea totală a capacităţilor de producţie.

Stabilim consecinţele dezastrelor

Analiza calitativăAnaliza calitativă a riscului de securitate (variantă simplificată)

Analiza calitativă a riscului de securitate (variantă simplificată)

E - Risc Extrem. Se impun acţiuni imediate pentru minimizarea acestuia. Se impune o detaliere asupra bunurilor şi a planurilor de management pentru minimizarea riscurilor. Trebuie impuse strategii pentru aceasta.

I - Risc Înalt. Trebuie luate imediat în calcul de către manager. Se vor identifica strategiile de management în acest caz. Ca şi anterior, trebuie minimizate riscurile.

M - Risc moderat. Trebuie luate în calcul de către manager. R - Risc Redus. Acţiuni specificate în procedurile de rutină. Tabelele folosite în analiza calitativă a riscului trebuie particularizate pe activităţile şi locurile specifice.

Stabilim matricea analizei calitative a riscului

Consecinţe

Probabilitate de producere

Insignifiante Minore Moderate Majore Catastrofale

1 2 3 4 5

A (aproape sigur) I I E E E

B (probabil) M I I E E

C (moderat) R M I E E

D (improbabil) R R M I E

E (rar) R R M I I

Analiza calitativă




Analiza calitativă




Pentru analiza calitativă a riscului se parcurg următorii paşi:


Analiza cantitativă a riscului de securitate

1. Identificarea şi evaluarea activelor (bunurilor firmei)

2. Determinarea vulnerabilităţilor

3. Estimarea probabilităţii de producere

4. Calcularea pierderilor anuale estimate

5. Analiza măsurilor de control

6. Calcularea Rentabilităţii Investiţiei (RI).


Presupune identificarea componentelor hardware, software, datele cu care se operează, personalul implicat în procese, documentaţiile aferente, suporturi etc.

Date Financiare Administrative Documentaţii

Logistice/manageriale Software

Planificări Hardware

Statistice Fişiere

Operaţionale Programe

Personal System

Fizice Clădiri Operaţionale

Birouri Programe

Sisteme auxiliare Ghiduri de operare

Sisteme de alimentare cu electricitate Documente de audit

Sisteme de alimentare cu apă Sisteme de alimentare cu gaze Proceduri

Sisteme de iluminat Planuri de avarie

Sisteme de aer condiţionat Planuri de securitate

Sisteme de siguranţa datelor Proceduri de I/E

Unităţi de stocare/backup Măsuri de control

Surse auxiliare de tensiune/surse Comunicaţii Linii de comunicaţie

Proceduri de comunicaţie

Switch/hub/multiplexoare

Modemuri

Cabluri

Terminale

Antene

1. a. Identificarea bunurilor

Analiza

cantit

ativă

Atunci când evaluăm bunurile este de preferat să se folosească o scală a valorii bunurilor.

Numărul Valoarea în USD

0 <1

1 110

2 11 100

………. ………….

6 100.001 1.000.000

7 1.000.00110.000.000

8 >10.000.000

1. b. Evaluarea bunurilor Analiza cantitativă

Determinarea valorii impactului pentru bunuri

Caz 1 Caz 2

Costuri de înlocuire Costuri de recuperare

Referitor la componentele hardware trebuie puse următoarele întrebări:- Care este costul de înlocuire a bunului la preţurile actuale?- Cât timp durează până se înlocuieşte bunul/componenta distrusă?- Dacă operaţia/operaţiile pot fi făcute manual, de câţi oameni este nevoie? De cât timp suplimentar este nevoie pentru remediere?- Care sunt pierderile în relaţiile cu clienţii în condiţii de nefuncţionalitate?

Pentru componenta software trebuie puse următoarele întrebări:- Cât timp îi va lua programatorului să găsească problema în caz de disfuncţionalitate a programelor?- Cât timp îi va lua pentru încărcarea şi testarea programului depanat?- Cât timp îi va lua pentru repunerea sistemului de operare în caz de dezastre?

Pentru date:- Pot fi acestea refăcute sau repuse?- Cât timp se pierde pentru refacerea acestora în caz de pierdere?- Dezastrul produs este din cauza unei acţiuni voite, sau sunt cauze întâmplătoare?- Informaţiile pierdute au caracter special (militare, secrete de serviciu, confidenţiale)?

Presupune să se stabilească costurile de înlocuire pentru cazuri când un anume bun este distrus. Pentru aceasta trebuie să ne punem întrebări care să ne ajute să evaluăm aceste bunuri. Unele dintre aceste întrebări ar putea să fie cele din rândurile următoare.

1. b. Evaluarea bunurilor

Pentru personal:- De câţi oameni este nevoie să lucreze pentru recuperare dezastre?- Cât costă instruirea unui nou personal?- Care sunt efectele psihologice ale dezastrelor?


Exemplu:Se consideră un fişier care stochează datele personale ale unui număr de 200 de angajaţi ai firmei. În urma unui

eveniment nedorit (intenţionat, neintenţionat, accident, fenomen natural), se pierd atât datele din fişier, cât şi structura acestuia. Nu există copie de siguranţă pentru acestea. Refacerea structurii fişierului poate fi făcută de o persoană calificată, lucrând 4 ore pentru reconstrucţie (în timpul programului). Salariul tarifar este de 2,5 USD/oră. Repunerea datelor, repopularea fişierului, va putea fi făcută în afara orelor de program de aceeaşi persoană sau de către o altă persoană. Această operaţie durează 5 (cinci) ore şi este plătită cu 3 USD/oră (lucrul în afara orelor de program).

Pierderea secretului, neştiind natura dezastrului, creează pierderi estimate la 5.000 USD, aceasta fiind zona cu impactul cel mai mare în privinţa costurilor de refacere.

4(ore) x 2,5 (USD/oră) + 5(ore) x 3 (USD/oră – suplimentar) = 25 USD.

În acest caz, Valoarea b = 5.000 + 0 + 25 = 5.025 USD.

Estimarea valorii impactului pe o zonăFiecare bun are, în cazul pierderii acestuia sau al funcţionării defectuoase, impact asupra a trei elemente necesare în asigurarea securităţii, şi anume: secretizare;� integritate;� disponibilitate.�

Zona impact Valoare impact (USD)

Secret 5.000

Integritate -

Disponibilitate 10 + 15 = 25

Calculul valorii totale pentru fiecare bunCalculăm valoarea totală pentru un impact folosind formula:

unde Valoare b = valoarea impactului pentru bunul b; Impact i = valoarea impactului în zona respectivă pentru bunul b.Avem trei (i = 3) zone de impact (Secret, Integritate şi Disponibilitate).

Impact Valoare i1

b

n

i

Analiza

cantit

ativă

Presupune stabilirea ameninţărilor la adresa bunurilor şi frecvenţa cu care aceste ameninţări se pot produce.Posibilele ameninţări la adresa bunurilor firmei sunt exemplificate mai jos.

Naturale Cutremure de pământ Acte intenţionate Dezvăluiri

Inundaţii Sabotaj al angajaţilor

Uragane Fraudări

Alunecări de teren Furturi

Furtuni de zăpadă Loviri

Furtuni de nisip Utilizări neautorizate

Tornade Vandalism

Tsunami Intruziuni

Descărcări electrice Atacuri cu bombe

Erupţii vulcanice Revolte/răscoale

Accidente Dezvăluiri Perturbări electrice

Întreruperi electrice

Incendii

Scurgeri de lichide

Erori de transmisii-telecomunicaţii

Erori ale operatorilor/utilizatorilor

Erori de cadru organizatoric

Erori hardware

Erori software

2. Determinarea vulnerabilităţilorAnaliza cantitativă

Se stabileşte probabilitatea de producere a unui incident într-un interval de timp. În tabelul următor avem exemplificate frecvenţele de producere a incidentelor:

Frecvenţa de producere a incidentelor

Frecvenţa Valoarea

Niciodată 0,0

O dată la 300 ani 1/300 0,00333

O dată la 200 ani 1/200 0,005

O dată la 100 ani 1/100 0,01

O dată la 50 ani 1/50 0,02

O dată la 25 ani 1/25 0,04

O dată la 5 ani 1/5 0,2

O dată la 2 ani 1/ 2 0,5

O dată pe an 1/1 1,0

De două ori pe an 2/1 2,0

O dată pe lună 12/1 12,0

O dată pe săptămână 52/1 52

O dată pe zi 365/1 365

3. Estimarea probabilităţii de producereAnaliza cantitativă

AmeninţăriRata

de producere

Naturale Cutremure de pământ 0,005 - 0,2

Inundaţii 0,01- 0,5

Uragane 0, 05 - 0,5

Alunecări de teren 0 - 0,1

Furtuni de zăpadă 0,07 - 50

Furtuni de nisip 0,01 - 0,5

Tornado 0 - 10

Tsunami 0,00001 - 2

Descărcări electrice 0 - 0,125

Erupţii vulcanice 0 - 0,01

Accidente Dezvăluiri 0,2 - 5

Perturbări electrice 0, 1 - 30

Întreruperi electrice 0,1 -10

Incendii 0,1 - 10

Scurgeri de lichide 0,02 - 3

Erori de transmisii/telecomunicaţii 0,5 - 100

Erori ale operatorilor/utilizatorilor 10 - 200

Erori hardware 10 - 200

Erori software 1 - 200

Acte intenţionate Dezvăluiri 0,2 - 5

Sabotaj al angajaţilor 0,1 - 5

Fraudări 0,09 - 0,5

Furturi 0,015 - 1

Loviri 0,1 - 5

Utilizări neautorizate 0,009 - 5

Vandalism 0,008 - 1,0

Intruziuni -

Atacuri cu bombe 0, 01 - 100

Revolte/răscoale 0 - 0,29


Bun = Calculator (local) Bun = Imprimantă Bun = Centru servere

Ameninţare = Şocuri de tensiune Ameninţare = Şocuri de tensiune Ameninţare = Şocuri de tensiune

Cost incident = 500 Cost incident = 500 Cost incident = 10.000

Frecvenţa de producere este de cinci (5) ori pe an.



PAE1, 1 = 500x5 = 2.500 PAE2, 1 = 500x5 = 2.500 PAE3, 1 = 10.000x5 = 50.000

PAE = PAE1, 1 + PAE2, 1 + PAE3, 1

PAE = 2.500 + 2.500 + 50.000 = 55.000 USD

Calcularea pierderilor anuale estimate pe fiecare ameninţare

unde PAE a = Pierderi Anuale Estimate pentru ameninţarea a, Vb = Valoarea bunului b (0 la n bunuri),

Ea = Estimarea numărului de incidente ale ameninţării a (0 la m ameninţări).

4. Calcularea pierderilor anuale estimateAnaliza cantitativă

Calcularea pierderilor anuale estimate pe fiecare bun

unde PAE b = Pierderi Anuale Estimate pentru bunul b, V b = Valoarea bunului b (0 la n bunuri), Ea = Estimarea numărului de incidente ale

ameninţării a (0 la m ameninţări).

Bun = Centru servere Bun = Centru servere Bun = Centru servere

Ameninţare = Şocuri de tensiune Ameninţare = Cutremur de pământ Ameninţare = Inundaţie

Cost incident = 30.000 Cost incident = 50.000 Cost incident = 10.000


Frecvenţa de producere este o dată la 50 de ani.

Frecvenţa de producere este de o dată la 25 de ani.

PAE1, 1 = 30.000x5 = 150.000 PAE1, 2 = 50.000x0,02 = 10.000 PAE1, 3 = 10.000x0,04 = 4.000

PAE = PAE1, 1 + PAE2, 1 + PAE3, 1

PAE = 2.500 + 2.500 + 50.000 = 55.000 USD

4. Calcularea pierderilor anuale estimateAnaliza cantitativă

Se determină Pierderile Anuale Estimate (PAE) însumând pe categorii de ameninţări:

unde PAE a = Pierderi Anuale Estimate pentru ameninţarea a, Vb = Valoarea bunului b (0 la n bunuri), Ea = Estimarea numărului de incidente ale ameninţării a (0 la m ameninţări).

Se determină Pierderile Anuale Estimate (PAE) însumând pe categorii de bunuri:

unde PAE b = Pierderi Anuale Estimate pentru bunul b, Vb = Valoarea bunului b (0 la n bunuri), Ea = Estimarea numărului de incidente ale ameninţării a (0 la m ameninţări).

Calcularea pierderilor anuale estimate totaleAnaliza cantitativă

Calcularea pierderilor anuale estimate totale

PAE = Total Pierderi Anuale Estimate pentru perechile bun/ameninţare. În ambele cazuri de calculare a pierderilor totale, pe categorii de ameninţări sau pe categorii de bunuri, rezultatul trebuie să fie identic.

Se poate obţine matricea ameninţare/bunuri:

Bunul 1 Bunul 2 ……… Bunul n

Ameninţare 1 (V1 x E1) + (V2 x E1) + ……… + (Vn x E1) PAE a, 1

Ameninţare 2 (V1 x E2) + (V2 x E2) + ……… + (Vn x E2) PAE a, 2

.

.

.

.

.

.

.

.

.

……… ...

.

.

.

Ameninţare m (V1 x E m) + (V2 x E m) + ……… + (Vn x E m) PAE a, m

PAE b, 1 PAE b, 2 ……… PAE b, n

PAESumă

Sumă


Se va identifica ameninţarea care produce cele mai mari valori ale pierderilor anuale estimate corespunzător acesteia (PAE a).

Se vor identifica măsurile care pot duce la reducerea vulnerabilităţii.

Ameninţări Metode de controlNaturale Cutremure de pământ Senzori, amplasament

Inundaţii Senzori, amplasamentUragane AmplasamentAlunecări de teren AmplasamentFurtuni de zăpadă AmplasamentFurtuni de nisip AmplasamentTornade AmplasamentTsunami AmplasamentDescărcări electrice Eclatoare, amplasamentErupţii vulcanice Amplasament

Accidente Dezvăluiri CriptarePerturbări electrice Stabilizatoare tensiuneÎntreruperi electrice Surse neîntreruptibileIncendii Sisteme avertizare/stingereScurgeri de lichide Senzori, carcase protecţie Erori de telecomunicaţii Linii dedicate de transmisieErori ale operatorilor/utilizatorilor Instruire personal

Erori hardware Testare echipament de marcăErori software Testare software

Acte intenţionate Dezvăluiri Criptare dateSabotaj al angajaţilor Criptare dateFraudări Jurnale de acces (control log)Furturi Jurnale de acces (control log)Loviri Limitare acces fizicUtilizări neautorizate Parole, criptareVandalism Limitare acces fizicAtacuri cu bombe Limitare acces fizicRevolte/răscoale Limitare acces fizicIntruziuni Control acces/criptare date

5. Analiza măsurilor de controlAnaliza cantitativă

Pentru fiecare măsură de control aplicată se identifică: Vulnerabilităţile care pot fi reduse prin aplicarea acelor măsuri de control. Atribuirea unei rate/valori optime pentru fiecare pereche eveniment/mod de control. Estimarea costurilor anuale pentru implementarea măsurii de control respectiv. Calcularea Rentabilităţii Investiţiei (RI).

unde Cc = Costul anual pentru aplicarea controlului c, rc = indicele de

eficacitate pentru controlul c, PAEa = Pierderile Anuale Estimate pentru

ameninţarea a.

La selectarea măsurilor suplimentare de control trebuie să se ţină cont de realizarea următoarelor obiective:

valoare a Rentabilităţii Investiţiei cât mai mare; minimizare a PAE (Pierderi Anuale Estimate).

Valoarea lui RI cât mai mare se va putea obţine acţionând asupra indicelui de eficacitate r c prin

creşterea acestuia până la valoarea maximă (1), sau asupra costului anual pentru aplicarea controlului C c

prin micşorarea costurilor de implementare a controlului.

5. Calcularea Rentabilităţii Investiţiei (RI).Analiza cantitativă

Exemplu:

/131,49

2.200

108.500

(2.200)

00)(0,7x155.0RI

PAE = PAE1, 1 + PAE2, 1 + PAE3, 1

PAE = 2.500 + 2.500 + 150.000 = 155.000 USD

Ameninţare = Şocuri de tensiune

Control = Stabilizator de tensiune (100 USD/buc.)

Cc = 22 x 100 = 2.200 (22 buc.)

rc = 0, 7 (se acoperă doar 70% din pierderi)


Metoda cantitativă de calcul al riscului de securitate este folosită cu precădere la firmele de mărime

medie şi/sau mare.

Metoda cantitativă expusă are însă anumite neajunsuri. Printre acestea se pot enumera:

Dificultatea de a găsi un număr care să cuantifice cât mai exact frecvenţa de producere a unui

eveniment.

Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte greu de definit disponibilitatea

unei informaţii şi calculul pierderilor când această caracteristică lipseşte.

Metoda nu face distincţie între ameninţările rare, dar care produc dezastre mari ca valoare (incendiu,

cutremure, tornade etc.), şi ameninţările dese care produc dezastre mici ca valoare (erori de operare),

în ambele cazuri efectele financiare fiind asemănătoare.

Alegerea numerelor folosite poate fi considerată subiectivă, muncă laborioasă care necesită timp şi

consum de resurse.


Comparaţii intre analiza cantitativă şi analiza calitativă a riscului de securitate

Analiza Cantitativă Analiza Calitativă

Beneficii Avantaje

Riscurile sunt prioritizate datorită impactului financiar; bunurile sunt prioritizate datorită valorii financiare a acestora.

Rezultatele ajută la managementul riscului prin investiţiile în securitate.

Valorile rezultatelor capătă valori “tangibile” (valori financiare, procente etc).

Acurateţea tinde să crească in timp datorită faptului ca firma îşi crează o bază de date cu istoricul evenimentelor, in acelaşi timp firma câştigând experienţă.

Permite o mai bună şi mai clară ierarhizare a valorii riscului.

Permite, datorită valorilor folosite, ajungerea mai rapidă la un consens.

Nu este necesară cuantificarea frecvenţei ameninţărilor.

Nu este necesară determinarea valorii financiare a bunurilor.

Comparaţii intre analiza cantitativă şi analiza calitativă a riscului de securitate

Analiza Cantitativă Analiza Calitativă

Dezavantaje

Valoarea impactului pe fiecare risc este bazată pe părerile subiective ale celor care fac analiza.

Procesele prin care se ajunge la rezultate credibile sunt mari consumatoare de timp.

Calculele sunt foarte complexe şi necesită timp îndelungat.

Rezultatele au valoare monetară şi sunt greu de interpretat de către personalul non-tehnic.

Nu face o diferenţiere suficientă între riscuri importante.

Este dificil de justificat o investiţie în măsuri/controale de securitate atunci când nu se bazează pe o analiză cost-beneficii.

Rezultatele sunt subiective. Acestea sunt dependente de calitatea şi componenţa echipei de analiză a riscului.

Procesele necesită personal cu experienţă care nu poate fi pregatit uşor.

Evaluarea

riscurilor


Implementare

controale


2

34

1

Coordonarea procesului decizional

Definirea cerinţelor funcţionale

Revizuirea soluţiilor de control propuse în conformitate cu cerinţelefuncţionale

Identificarea soluţiilor de control

Estimarea gradului de reducere a riscului

Estimarea costului pentru fiecare soluţie

Selectarea strategiei de atenuare a riscului

2

Comitetul de coordonare a securităţii

Grupul de control/ atenuare

Echipa de Management al riscului de

securitate


Revizuireasoluţiilor propuseîn conformitate

cu cerinţele

Selectarea soluţieide atenuare a riscului

Estimarea graduluide reducere a riscului


Identificarea soluţiilorde control

Fazele de coordonare a procesului decizional (Microsoft)

Participanţi în faza de Coordonare a procesului decizional

Participant Responsabilităţi

Operatorii afacerii Identifică procedurile de control disponibile pentru controlul riscului.

Proprietarul afacerii Analizează raportul cost-beneficii pentru riscuri.

Grupul financiar Asistă la analiza cost-beneficii. Defineşte alocarea de resurse.

Biroul de resurse umane (BRU) Identifică cerinţele de instruire a personalului în funcţie de soluţiile adoptate.

IT - arhitectură Identifică şi evaluează soluţiile posibile de control.

IT - inginerie Determină costul soluţiilor de control şi modul de implementare al acestora.

IT - executanţi Implementarea efectivă a soluţiilor de control.

Auditor intern Identifică gradul de conformitate cu cerinţele şi face evaluări asupra eficienţei controlului.

Jurist Identifică legalitatea controalelor în funcţie de politica firmei şi de aspectele contractuale.

Relaţiile publice (PR) Estimează valorile de impact asupra pieţei create de soluţiile control adoptate.

Comitetul de coordonare a securităţii Selectează soluţiile de control pe baza recomandărilor echipei de management al riscului.

Echipa de management al riscului Defineşte cerinţele funcţionale pentru controlul fiecărei categorii de risc. Comunică acţionarilor stadiul proiectelor de aplicare a controalelor şi personalul afectat de acestea.

Informaţii necesare în faza de Coordonare a procesului decizional

Informaţia ce trebuie culeasă Descriere

Decizia asupra modului de rezolvare a fiecărui risc.

La ce nivel să se facă controlul pentru fiecare risc major.

Trebuie aceptate toate riscurile majore.

Se pot evita anumite riscuri majore.

Cerinţe funcţionale Declaraţii în care să fie descrise elementele necesare atenuării riscului.

Soluţii potenţiale de control Liste cu elementele de control posibile, identificate de echipa de management a securităţii riscului, care pot fi eficiente în atenuarea fiecărui risc.

Gradul de reducere a riscului pentru fiecare soluţie de control

Evaluarea fiecărei soluţii de control propuse pentru a determina cât de mult reduce nivelul de risc pentru bunuri.

Costul estimal pentru fiecare soluţie de control

Totalitatea costurilor asociate cu achiziţionarea, implementarea, susţinerea şi măsurarea eficacităţii pentru fiecare control propus.

Lista soluţiilor de control ce urmează a fi implementate

Alegerea se face pe baza unei analize cost-beneficii.

În faza de Coordonare a procesului decizional, pentru alegerea controalelor menite să reducă riscurile trebuiesc puse câteva întrebări :

Ce perioadă de timp va fi efectiv controlul propus?

Câte ore/om an vor fi necesare pentru monitorizarea şi menţinerea controlului propus?

Ce inconveniente va crea controlul propus utilizatorilor?

Cât de mult timp este nevoie pentru instruire în vederea implementării, monitorizării şi menţinerii controlului?

Costul controlului este rezonabil în raport cu valoarea bunului?


Definirea unor cerinţe funcţionale necesare asigurării securităţii reprezintă de fapt declaraţii/expuneri privind descrierea controalelor necesare pentru atenuarea riscului.

Controalele trebuiesc exprimate mai degraba ca o cerinţă funcţională şi mai putin ca o stare funcţională .

Cerinţele funcţionale trebuiesc definite pentru fiecare din riscuri .

Cerinţele funcţionale definesc CE presupunem că trebuie făcut pentru identificarea şi reducerea riscului

dar nu specifică şi CUM riscul poate fi atenuat sau să indice controalele specifice.CUM poate fi atenuat riscul prin identificarea soluţiilor de control revine ca sarcina Grupui de control/atenuare a riscului.

Identificarea soluţiilor de control

Identificarea măsurilor de control presupune ca echipa care are aceasta sracină să aibă experienţă în domeniu.Dacă personalul propriu nu este specializat în acest scop atunci se poate apela la specialişti sau consultanţi din afara firmei (externalizare servicii – outsourcing). Aceştia pot să preia toate sarcinile sau să asigure asistenţă în domeniu.

Metode/Abordări în Identificarea soluţiilor de control

Informal Brainstorming Clasificarea şi organizarea controalelor

Informal Brainstorming

CoordonatorEchipa de evaluare a riscului

? … ? Răspuns(= Control propus)

Echipa de evaluare a riscului

= Control propus(= UPS)

Secretar

Întrebări:

-Care sunt etapele pe care firma trebuie să le parcurgă pentru a preîntâmpina declanşarea unui risc sau pentru controlul acestuia? -R. Implementarea autentificării multi-factor pentru reducerea riscului de compromitere a parolelor.

-Ce poate face firma, atunci când s-a declanşat evenimentul, pentru recuperare (disaster recovery)?-R. Backup, backup, backup.-R. Echipe şi proceduri de acţiune în caz de dezastre.-R. Sisteme auxiliare.-Ce măsuri poate lua firma pentru detectarea unui risc?-R. Sisteme de supraveghere video-R. Sisteme de detectare intruziuni la nivel de host şi de workstation.

-Cum poate firma să verifice că un control este plasat unde trebuie, că acesta funcţionează şi poate fi monitorizat?-R. Expert în domeniu.

-Cum poate firma să declare corectă eficacitatea unui control adoptat?-R. Specializare şi instruire periodică personal intern sau colaborare firmă (persoană) specializată.

-Se mai pot lua şi alte măsuri pentru controlul riscurilor?-R. Asigurări (în cazul obiectelor de inventar)

Clasificarea şi organizarea controalelorMetoda clasifică posibilele controale în trei categorii:organizaţional, operaţional şi tehnologic.

Fiecare categorie este împărţită în trei subcategorii cu următoarele roluri: prevenire, detecţie şi răspuns (management).

Tip control Descriere Subcategorii

Organizaţional

Proceduri şi procese care stabilesc modul de acţiune al personalului în cazul unor evenimente.

Prevenire

Detecţie

Răspuns (management)

Operaţional

(Procese)

Definesc modurile de manevrare a datelor, a componentelor software şi hardware de către personal.

Se includ şi elementele de protecţie generale si specifice.

Prevenire

Detecţie

Tehnologic

Se includ elemente de infrastructură, srhitectură, inginerie, hardware, software şi firmware.

Include toate componentele tehnologice folosite pentru construirea unui sistem informatic al firmei

Prevenire

Detecţie

Răspuns (management)

Tip control: Subcategoria:

Organizaţional Preventiv

•Roluri şi responsabilităţi clare. Definirea şi documentarea clară a acestora vor face ca managerii şi angajaţii să înţeleagă responsabilităţile pe fiecare post în parte.

•Separarea datoriilor şi mai puţine privilegii. Aceasta va asigura faptul că fiecărui post de lucru îi sunt permise doar operaţiile care sa-i asigure desfaşurarea doar a sarcinilor de serviciu.

•Planuri şi proceduri de securitate bine documentate. Acestea sunt dezvoltate pentru a explica cum au fost implementate sustemele de control şi cum trebuie acestea menţinute.

•Instruire şi campanii de informare. Instruirea este necesară pentru ca personalul sa fie la zi cu tehnologia iar campaniile de informare sunt necesare pentru avizarea personalului asupa schimbarilor care au fost făcute.

•Sisteme şi procese de activare/dezactivare utilizatori. Acestea sunt necesare ca atunci când un nou personal este angajat acesta să devină cât mai repede productiv, iar cel care nu mai lucrează în firmă să-şi piardă imediat drepturile. Aceleaşi principii trebuiesc stipulate şi la transferurile de personal între diferite compartimente. Trebuie luată în considerare şi schimbarea clasificării pentru un post sau departament.

•Stabilirea proceselor pentru acordarea accsului partenerilor de afaceri. Se includ aici toţi partenerii de afaceri: furnizorii, clienţii, distribuitorii, subcontractanţii etc. Principiile sunt similare cu cele enumerate anterior.

Clasificarea şi organizarea controalelor


Organizaţional Detecţie

•Programe continue de control a riscului, pentru evaluarea şi controlul riscului în compartimentele cheie ale firmei.

•Recenzii recurente ale sistemelor de control pentru a verifica eficienţa lor.

•Auditul periodic al sistemelor pentru a ne asigura că sistemele de control nu au fost compromise sau prost configurate.

•Referinţe şi investigarea trecutului candidaţilor la angajare pe posturi care necesita acces la nivele ridicate de securitate.

•Stabilirea unui sistem de “rotaţie” a muncii. Aceasta va permite descoperirea unor activităţi necinstite în rândul echipelor de IT în rândul angajaţilor care au acces la date senzitive.



Organizaţional Răspuns (management)

•Planuri de răspuns la incidente. Aceste planuri vor include măsuri rapide de reacţie pentru recuperare în caz de violare a securităţii şi minimizarea impactului pentru prevenirea răspândirii la alte sisteme. Planurile de răspuns la incidente mai trebuie să permită şi culegerea de dovezi care să permită ulterior adicerea în justiţie a vinovatului.

• Plan de continuare a afacerii. Cuprinde planuri menite să menţină firma în funcţiune, totală sau parţială, în cazul unor evenimente catastrofice care afectează marea parte a infrastructurii IT.



Operaţional Preventiv

•Protecţia sistemelor de calcul prin mijloace fizice. Se includ aici perimetre de protecţie, încăperi separatoare, încuietori şi lacăte electronice, identificări biometrice etc.

•Protecţia fizică pentru sistemele end-user (workstation). Se includ aici sisteme de blocare a computerelor şi sistemelor mobile de calcul în caz de furt, criptarea fişierelor stocate pe dispozitivele mobile.

•Asigurarea energiei electrice în caz de nevoie. Acestea vor asigura energia electrică necesară funcţionării calculatoarelor atunci când sursa primară de energie este indisponibilă. De asemene, vor asigură că aplicaţiile şi sistemele de operare care rulează pe sistem vor fi inchise în condiţii normale evitând în acest fel pierderea de date.

•Sisteme anti-incendiu. Cuprind sistemele de avertizare automată a incendiilor, a stingerii acestora, precum şi extinctoarele.

•Sisteme de control a temperaturii şi umidităţii. Aceste sisteme sunt menite să asigure funcţionarea sistemelor de calcul în parametrii indicaţi de producator, extinzând durata de funcţionare a acestora.

•Proceduri de acces la datele stocate pe suporturi externe. Acestea vor facilita doar accesul personalului autorizat la aceste date.

•Sisteme de salvare de siguranţă (backup). Acestea vor permite restaurarea imediată a datelor pierdute. În anumite cazuri se impune ca salvările de siguranţă să fie păstrate în afara firmei pentru a putea să fie folosite în caz de dezastre majore.



Operaţional Detecţie

•Securitate fizică. Sisteme care vor proteja firma de persoane care vor să pătrundă în incinta acesteia. Se includ aici senzori, alarme, camere de supraveghere, senzori de perimetru şi de mişcare etc.

•Securitatea faţă de mediu. Sisteme care vor proteja firma de ameninţările care vin din partea mediului ambiant. Se includ aici detectoare de fum şi de foc, detectoare de inundaţii, detectoare de suprasarcini atmosferice, paratrasnete, eclatoare etc.



Tehnologic Preventiv

•Autentificare/Identificare. Procesul de validare a elementelor de identificare ale unei persoane, computer, proces sau dispozitiv. Autentificarea presupune ca unul din elementele care a solicitat autentificarea să fie cel care pretinde că este. Formele de autentificare sunt: combinaţiile username şi parolă, Kerberos, token-uri, biometrică, certificate.

•Autorizare. Procesul de acordare a accesului la anumite informaţii, servicii sau funcţii a unei persoane, computer sau dispozitiv. După obţinerea autentificării se obţine autorizarea.

•Access (Control access). Procesul de limitare a accesului la anumite informaţii, proces bazat pe identitatea utilizatorului şi pe apartenenţa la anumite grupuri.

•Nerepudiere. Este o tehnică folosită pentru a se asigura de faptul că o persoană care a efectuat o acţiune pe un computer nu poate nega efectuarea acelei operatii.

•Protejarea comunicaţiilor. Pentru protejarea comunicaţiilor la nivel de reţele se foloseşte criptarea pentru a se asigura integritatea şi confidenţialitatea datelor transmise.


Mecanisme de control al accesului

Controlul accesului şi detectarea intruziunii

Control accesIdentificare Autentificare Autorizare


Tehnologic Detecţie

•Sisteme de audit. Aceste sisteme fac posibilă monitorizarea şi urmărirea evoluţiei unui sistem pentru a se vedea dacă funcţionează în parametri configuraţi. Sistemele de audit reprezintă un instrument de de bază pentru detectarea, înţelegerea şi recuperarea în caz de evenimente.

•Programe antivirus. Programele antivirus sunt construite să detecteze şi să răspundă la o serie de programe maliţioase (virusi, viermi, cai troieni). Răspunsul constă în blocarea accesului uitilizatorului la fisierele infectate, curăţarea fisirelor şi a sistemelor infectate, precum şi informarea utilizatorului despre componentele infectate.

•Instrumente de menţinere a integrităţii sistemului. Aceste instrumente fac ca personalul IT responsabil cu securitatea să determine unde s-a făcut o modificare neautorizată în sistem. (Ex. File Chechsum).



Tehnologic Răspuns (Management)

•Unelete de administrare a securităţii. Aceste instrumente sunt incluse în sistemele de operare, programe şi dispozitive menite să asigure securitatea pe un anume segment.

•Criptografia. Crearea, stocarea şi distribuirea cheilor criptografice în condiţii de siguranţă au dat naştere la tehnologii cum ar fi Virtual Private Network (VPN), autentificarea în condiţii de siguranţă a utilizatorului, precum şi criptarea datelor pe diferite suporturi de memorie.

•Identificarea. Permite facilitatea de a identifica in mod unic o anumita entitate. Cu ajutorul acestei facilităţi se pot crea altele suplimentare cum ar fi:contabilizarea, discretionary access control, role-based access control, şi mandatorz access control.

•Protecţii inerente în sistem. Acestea sunt facilităţi implementate în sisteme şi care asigură protecţia informaţiei supuse procesării sau care este stocată în acel sistem. Printre acestea se pot aminti: reutilizarea obiectelor, folosirea yonei de memorie NX (Non-Execute) şi separarea proceselor.


Revizuirea soluţiilor propuse în conformitate cu cerinţele

Echipa de Management al riscului de securitate trebuie să aprobe soluţiile de control propuse ţinând cont de definirea cerinţelor funcţionale .

Estimarea gradului de reducere a riscului

Întrebări care trebuiesc puse:

Controlul propus previne un atac specific sau previne o categorie specifcă de atacuri?

Controlul propus reduce şi/sau minimizează riscul pentru o clasă de atacuri?

Controlul propus este capabil să recunoască un atac/exploit atunci când acesta este în curs de desfăşurare?

Daca controlul propus recunoaşte un atac/exploit în curs de desfăşurare, este el capabil să reziste şi să urmărească atacul ?

Controlul propus poate ajuta la recuperarea bunurilor (datelor) după încetarea unui atac ?

Controlul propus poate ajuta la recuperarea bunurilor (datelor) după încetarea unui atac ?

Controlul propus mai oferă şi alte beneficii?

Care este valoarea controlului propus relativ la valoarea bunului?


Costuri de achiziţie

Costuri de implementare

Costuri de ulterioare

Costuri de comunicare

Costuri de instruire pentru personalul IT

Costuri de instruire pentru utilizatori

Costuri de productivitate

Costuri pentru auditare şi verificare

Cuprind costuri software, hardware sau servicii necesare achiziţionării unui control. Cuprind costuri necesare dezvoltării şi actualizării celor existente.

Cuprinde

Cuprind costuri necesare echipelor proprii sau consultanţilor pentru instalarea şi configurarea controalelor propuse.

Sunt costuri dificil de estimat. Se includ aici costurile asociate cu noile controale pe o anumită perioadă de timp. Sunt costuri de management, monitorizare şi intreţinere. Uneori sunt costuri 24/7 (24/7/365).

Cuprind costurile necesare comunicării personalului despre noile politici şi proceduri de asigurare a securităţii implementate în firmă.

Cuprind costurile necesare instruirii personalului IT în vederea implementării, gestionării, monitorizării şi întreţinerii noilor controale.

Cuprind costurile necesare instruirii personalului în vederea incorporării în procedurile uzuale a noilor controale.

Cuprind de fapt pierderile (iniţiale) de productivitate pană când folosirea noilor controale devine rutină. In multe cazuri aceste pierderi se datorează lipsei de comunicare şi instruire a personalului

Cuprind costuri pe care firma le va suporta periodic pentru auditarea şi verificarea regulată e eficacităţii controalelor adoptate. În unele cazuri aceste costuri merg către firme specializate.

Selectarea soluţiei de reducere a riscului

În această etapă se va compara nivelul de risc atins după adoptarea noilor controale cu costurile soluţiiei de control.

Atât riscurile (nivelul de risc) cât şi costurile soluţiilor adoptate conţin valori subiective care fac o dificilă cuantificare financiară.

Se urmăreşte protejarea următoarelor elemente: memoria; fişierele sau datele care sunt stocate pe un suport auxiliar; programul executabil din memorie; structură de directoare/foldere; un dispozitiv electronic; structură de date; sistemul de operare; instrucţiuni; parole; sistemul de protecţie însuşi.

Trebuie făcută însă o delimitare între termeni cum ar fi: politica, standard şi îndrumar. Un standard este format dintr-un set de cerinţe de sistem sau procedurale care trebuie cunoscute

şi implementate. Un standard va descrie, de exemplu, cum se poate spori securitatea unui server Windows Server 2003 care va fi plasat într-o zonă neprotejată.

Îndrumarul reprezintă un set de sugestii de sistem sau procedurale specifice necesare pentru o implementare practică cât mai bună. Acestea nu sunt obligatorii de ştiut dar sunt imperios recomandate.

Politici şi modele de securitate

Politica de securitate este formată dintr-un set de măsuri, acceptate de către conducere, care prevede reguli clare, dar flexibile pentru a determina operaţiile şi tehnologiile standard necesare asigurării securităţii.

O politică de securitate reprezintă un document care punctează cerinţele principale sau regulile care trebuie cunoscute şi aplicate pentru asigurarea securităţii.O politică de securitate va captura cerinţele de securitate dintr-o firma şi va descrie paşii care trebuie parcurşi pentru asigurarea securităţii.

Evaluarea

riscurilor


Implementare

controale


3

41

2

Implementare controale

Căutarea unei abordări integratoare

Organizarea soluţiilor de control

3

Participanţi în faza de Implementare controale


Inginerii IT Determină modul de implementare a soluţiilor de control

Proiectanţi arhitectura IT Definesc modul de implementare a soluţiilor de control astfel încât să fie în concordanţă cu sistemele de calcul existente

Operatori IT Implementează soluţiile tehnice de control

Personal însărcinat cu securitatea informaţiei Ajută în rezolvarea problemelor apărute în fazele de testare şi dezvoltare

Personal financiar Se asigură că nivelul cheltuielilor cu implementarea este la nivelul stabilit

Evaluarea

riscurilor


Implementare

controale


4

12

3


4

1. Dezvoltarea diagramei de evoluţie riscului de securitate

2. Măsurarea eficacităţii controalelor

3. Reevaluarea (evaluarea continuă) a măsurilor de control, a schimbărilor survenite asupra bunurilor şi asupra riscurilor

Participanţi în faza de Măsurare a eficacităţii programului


Personal însărcinat cu securitatea informaţiei Crează un raport sumar pentru Comitetul de Coordonare a Securităţii referitor la eficacitatea măsurilor de control adoptate şi asupra schimbărilor survenite în nivelul de risc. Suplimentar, va crea şi menţine o diagramă a evoluţiei nivelului de risc.

Auditorul intern Validează eficacitatea soluţiilor de control implementate.

Inginerii IT Comunică schimbările iminente echipei de management al riscului de securitate.

Proiectanţi arhitectura IT Comunică schinbările planificate echipei de management al riscului de securitate.

Operatori IT Comunică detaliile referitoare la evenimentele de securitate echipei de management al riscului de securitate.

Ianu

arie

Feb

ruar

ie

Mar

tie

Apr

ilie

Mai

Iuni

e

Iuli

e

Aug

ust

Sep

tem

brie

Oct

ombr

ie

Noi

embr

ie

Dec

embr

ie

Reţea

Host

Aplicaţii

Date

Fizic

!

!

!

!

Legendă:

Risc ridicat

Risc mediu

Risc scăzutDiagrama evoluţiei riscului

Data warehouse

Data Mining

Verificare/revizuire contramăsuri, revizuire politici şi actualizare

6

Reparare stricăciuni5

Determinare cauze4

Evaluare pagube3

Limitarea daunelor2

Protejarea vieţilor1

Aceasta trebuie să reprezinte prima prioritate.

În anumite situaţii, sistemele de calcul, au un rol important în protejarea vieţii oamenilor. Funcţionarea lor defectuoasa, sau nefuncţionarea, pot să ducă la pierderi de vieţi omeneşti.Trebuie avută foarte mare grijă de sistemele de calcul care au incidenţă directă asupra vieţii oamenilor.

Presupune luarea de măsuri în vederea limitării urmărilor unui atac sau eveniment.În multe situaţii trebuie decis rapid între “prezenţa” pe piaţă cu un server infectat care poate ulterior să creeze alte pagube mai mari decât simpla oprire a acestuia în vederea eliminării infecţiei.În cazul unui atac trebuie monitorizate acţiunile atacatorului şi limitarea daunelor provocate de acesta.Pîstrarea evidenţelor în vederea unei acţiuni ulterioare de tragere la raspundere a vinovatului.Limitarea daunelor provocate de evenimente fizice.

După ce limitarea daunelor a fost realizată se impune o evaluare a pagubelor.Evaluarea pagubelor va oferi o măsură a succesului atacului, precum şi a virulenţei acestuia. În cazul dezastrelor naturale se va oferi o măsură a intensităţii acestora prin prisma valorii pagubelor create.Determinarea cauzelor vizează cu precădere stabilirea sursei dezastrelor. Un dezastru poate fi provocat de un accident sau poate fi un act voit. Tratarea se face diferit.Dezastrele provocate de fenomene naturale sau accidente sunt uşor de determinat.Dificultăţi apar la determinarea cauzelor atunci când acestea sunt provocate de un atac al unei persoane răuvoitoare (cracker, hacher).Revizuirea tuturor configuraţiilor este absolut necesară.

Este imperios necesar ca repararea stricăciunilor să fie făcută cât mai rapid pentru ca firma să-şi reia activitatea şi să fie prezentă pe piaţă. Planurile şi procedurile la nivel de firmă trebuie să cuprindă şi strategii de restaurare. Echipele specializate în acest scop trebuie să scorde şi asistenţă şi îndrumare. In unele cazuri repararea stricăciunilor trebuie făcută cu foarte mare atenţie (ex. reinfectare cu viruşi de la alt sistem). Se stabileşte ce etape şi acţiuni au avut succes şi care nu au avut succes din etapele anterioare. Se stabilesc greselile de abordare şi de acţiune. Se vor modifica procesele, acolo unde este cazul, pentru ca pe viitor acestea sa confere o eficienţă sporită.Se fac imbunătăţiri şi aduceri la zi (actualizări). Se (re)consultă publicaţiile/news în domeniu.

Modul de răspuns la incidente (Microsoft)




Analiza calitativă




Această metodă analizează riscurile pornind de la postul de lucru şi de la caracteristicile acestuia.

Se analizează:



Condiţiile de lucru specifice fiecărei grupe de posturi.

Gradul de pregătire profesională al ocupantului postului respectiv.

Nivelul de acces pentru postul respectiv

Particularităţile specifice fiecărui post din grupa de posturi.

Bunurile/grupa de bunuri cu care postul/persoana are contact.

Metoda urmăreşte analiza vulnerabilităţilor dintr-un departament punand pe prim plan elementul uman ca factor determinant al vulnerabilităţii.

Analiza vulnerabilităţii /

analiza pe post

1. Identificarea bunurilor şi a ameninţărilor la adresa acestora.

2. Estimarea probabilităţii şi a impactului asupra vulnerabilităţii.

3. Evidenţierea punctelor vulnerabile.

4. Identificarea metodelor de control.

Metoda implică parcurgerea următorilor paşi:


analiza pe post

Probabilitate Expunere

Redusă Medie Înaltă

Redusă 1 3 6

Medie 2 5 8

Înaltă 4 7 9

Postul de lucru/bunul

Ameninţare Nivel de risc

Cădere de tensiune 9

Socuri/perturbări de tensiune 8

Erori personal 7

..... .

..... .

..... .

..... .

Utilizare neautorizată 2

Inundaţii 1


analiza pe post

Impactul componentelor sistemului informatic asupra securitătii

Analiza vulner

abilităţii

/

analiza pe p

ost

Surse de atac

81

26

44

21

7776

31

49

25

81

75

26

38

26

82

77

25

40

28

82

0

10

20

30

40

50

60

70

80

90

Angajati Companiistrăine

Competitori Guverne străine Hackeri(independenţi)

Pro

cen

taj răsp

un

su

ri

2000

2001

2002

2003


Tip firmăPregătire / cunoştinţe angajaţi

Acţiuni asupra securităţii datelor

Pierderi cauzate

Voite Nevoite Mari Mici

Mare Înaltă X X

Medie Înaltă X X

Medie X X X X

Scăzută X X X

Mică Medii X X X X

Scăzute X X X

Impactul asupra securităţii datelor şi pierderilor cauzate de pregătirea angajatului

Analiza

vuln

erab

ilităţ

ii /

anali

za pe p

ost

Atacuri de tip “social engineering”

Angajat firmă

Telefon

e-mail

IM/IRC

Aplicaţii de tip păcăleală (hoax)


analiza pe post

O altă categorie de acţiuni, care au ca efect pierderi de productivitate, o reprezintă mesajele de poştă electronică nesolicitate, aşa-numitele spam‑uri. Conform Yankee Group (www.yankeegroup.com), mesajele spam creează anual pierderi de productivitate cifrate la 4 miliarde USD.În anul 2003 (feb.) 42% din e-mail-uri erau spam-uri.În anul 2004 (feb.) 62% din e-mail-uri erau spam-uri.

? Ce se poate face în acest caz?

Un studiu efectuat în anul 1999 de către Net-Partners Internet Solutions arăta că, la nivelul Statelor Unite, angajatorii au avut pierderi de productivitate cifrate la 500.000.000 USD din cauză că aproximativ 13.500.000 de angajaţi au citit sau descărcat la serviciu raportul Starr. Raportul Starr cuprinde date referitoare la scandalul în care au fost implicaţi preşedintele Statelor Unite Bill Clinton şi angajata de la Casa Albă Monica Lewinsky.

? Cum pot fi eliminate acest tip de pierderi?


analiza pe post

Angajat/partener


analiza pe postPregătire profesională

Pregătire IT

Conduită

Referinţe

Particularizare post de lucru

Detaliere particularizare post de lucru

Bunuri generale cu care are contact

Bunuri specifice cu care are contact

CuantificarePrelucrare(+/- 0…5/0…10)

....

Ridicat

Mediu

Scăzut

Culegere date

Nivel de risc

Calitate software

Analiza riscului la nivelul reţelei

M. Kaeo, Designing Network Security, Cisco Press, Indianapolis, Indiana 46290 USA, 1999.

Alte modalităţi

Valori Explicaţie

Rata de producere

1 Puţin probabil

2 Probabil

3 Foarte probabil

Valori Explicaţie

Volumul pierderilor 1 Pierderi reduse

2 Pierderi moderate

3 Pierderi critice

Rata de producere

Volumul pierderilor

Valoare risc Explicaţie

1 1 1 Risc scăzut

1 2 2 Risc scăzut

1 3 3 Risc mediu

2 1 2 Risc scăzut

2 2 4 Risc mediu

2 3 6 Risc ridicat

3 1 3 Risc scăzut

3 2 6 Risc ridicat

3 3 9 Risc ridicat

Valori Explicaţie

Nivelul de risc

1, 2 Risc scăzut

3, 4 Risc mediu

6, 9 Risc ridicat

Analiza riscului la nivelul reţelei (continuare) Alte modalităţi

LAN Disponibilitate

[D]

Integritate

[I]

Confidenţialitate

[C]

Importanţa reţelei

[IR]

Prevenirea incidentelor

[PI]

Prevenirea deteriorării

[PD]

Riscul relativ

[RR]

Administrativ 2 3 1 6 0,1 0,3 3,78

Tehnic 2 3 2 12 0,5 0,5 3,00

Financiar 2 3 3 18 0,3 0,3 8,82

IR = D * I * C

RR = IR * [ (1 – PI) * (1- PD) ] PI

PD

Foarte redus 0,1

Redus 0,3

Moderat 0,5

Ridicat 0,7

Foarte ridicat 0,9

RR Administrativ = 6 * [ (1 - 0,1) * ( 1 - 0,3 ) ] = 6 * 0,9 * 0,7 = 3,78

RR Tehnic = 12 * [ (1 - 0,5) * ( 1 - 0,5 ) ] = 12 * 0,5 * 0,5 = 3,00

RR Financiar = 18 * [ (1 - 0,3) * ( 1 - 0,3 ) ] = 18 * 0,7 * 0,7 = 8,82

Costuri

Riscuri

0

? Care este nivelul acceptabil al riscului?

Cât investesc în securitate???

?

?

??

?

Întrebări referitoare la investiţiile în securitate

10 20 30 40 50 60 70 80 90 100

10

20

30

40

50

60

70

80

90

100

Costuri (%)

În majoritatea cazurilor 20% din costuri se reflectă în 80% beneficii în ceea ce priveşte

minimizarea riscurilor şi asigurarea securităţii.

O securitate maximă poate fi asigurată cu costuri foarte mari.

Beneficii (atenuarea riscului) %

Raportul cost – beneficii în asigurarea securităţii

Cât investesc în securitate?

Aceste analize de risc se fac cu precădere în cadrul firmelor mari şi eventual în cadrul firmelor medii. Firmele mici nu au nici personal specializat şi nici bani pentru a plătii o astfel de evaluare. Cu toate acestea, un minimum de măsuri de securitate trebuie luate. Este ştiut faptul că managerii de firme se lasă greu convinşi să investească în ceva care nu aduce profit direct. Iar atunci când se lasă convinşi de necesitatea disponibilizării sumelor pentru asigurarea securităţii, sumele alocate sunt sub limita celor impuse. În aceste condiţii, trebuie să se asigure o securitate ale cărei cheltuieli să nu depăşească o limită de sumă alocată. Se poate vorbi despre o securitate impusă financiar. Alternativele de rezolvare a acestei situaţii sunt două:

acoperirea ameninţărilor cele mai probabile, cu păstrarea metodelor de control iniţiale; acoperirea tuturor ameninţărilor şi reducerea costurilor măsurilor de control.

Prima măsură va permite o securitate maximă pentru anumite ameninţări, dar va lăsa descoperite parţial sau total alte ameninţări.

A doua măsură va impune reducerea cheltuielilor necesare asigurării controalelor pentru a putea să fie acoperite toate ameninţările posibile. Aceasta ar putea să se reflecte în modificarea şi configurarea măsurilor de control. Ca exemplu, nu se vor mai achiziţiona două surse neîntreruptibile APC UPS de 350VA la preţul de 95 dolari bucata pentru două calculatoare, ci se va achiziţiona o singură sursă APC UPS de 650VA la preţul de 140 de dolari bucata. Economia este de 50 de dolari (95 x 2 – 140 = 50). În acest caz însă, cele două calculatoare vor trebui să fie alimentate de la aceeaşi sursă neîntreruptibilă prin prelungirea cablurilor de alimentare sau prin plasarea lor aproape.

Această a doua măsură este de preferat primei, deoarece nu lasă vulnerabilităţi neacoperite de măsuri de control.

Securitate impusă (financiar)

Analiza a riscului de securitate

Suma calculată (Sc) Suma alocată (Sa)

Sc>SaNUDA

Acoperirea ameninţărilor cele mai probabile, cu

păstrarea metodelor de control iniţiale a.i. Cc <= Sa.

Acoperirea tuturor ameninţărilor şi reducerea

costurilor măsurilor de control a.i. Cc <= Sa.

Implementare

Securitate impusă (financiar)

Securitatea este greu de cuantificat. Nu o să se poată spune niciodată în cadrul firmei că am o securitate de o anumită notă. Pot doar să o estimez ca fiind de un nivel ridicat, mediu, minim sau deloc. Cu toate acestea, putem să facem o cuantificare (cel puţin financiară) a nivelului de securitate. Întotdeauna implementarea securităţii sau testarea şi îmbunătăţirea acesteia generează costuri de echipamente şi umane. Indicele care-l propun ca să cuantifice securitatea în cadrul firmei se va referi la echipamente şi în special la tehnica de calcul. Propun ca acest indice să poarte denumirea de ISf (indice de securitate – financiar) şi să poată să fie calculat cu ajutorul formulei:

unde: Ce - costul echipamentului de tehnică de calcul,Pi – ponderea controlului,

Cci – costul controalelor pentru echipamentul de tehnică de calcul aplicate.

Indice de securitate (financiar)

Securitatea este greu de cuantificat. ISf (indice de securitate – financiar) îşi propune să elimine (parţial) acest neajuns

unde: Ce - costul echipamentului de tehnică de calcul, P i – ponderea controlului, Cci – costul controalelor

pentru echipamentul de tehnică de calcul aplicate.

ISf = 0 Investiţie zero în securitate

0 < ISf < 1 Investiţie în securitate

ISf >= 1 nu am evaluat bine riscurile şi/sau am exagerat cu măsurile de control;

echipamentul (calculatorul) nu este de calitate şi are nevoie de echipamente suplimentare;

valoarea reactualizată a echipamentului este scăzută în comparaţie cu costul controalelor.

Indice de securitate (financiar)

Staţie 1

Ce = 1.000 USD

1

UPS

Cc = 140 USD

P = 1/2 = 0,5

Dispozitiv criptare disc

Cc = 500 USD

P = 1

2

Staţie 1

ISf =[(1.000 + 0,5 x 140 + 1 x 500) / 1.000] - 1 =0,57

Indice de securitate (financiar) (exemplu)

http://images.google.ro/imgres?imgurl=http://www.census.gov/dmd/www/imgs/computer.jpg&imgrefurl=http://www.census.gov/dmd/www/imgs/&h=698&w=787&sz=241&tbnid=JIQjT8b_J9AJ:&tbnh=125&tbnw=141&hl=ro&start=5&prev=/images%3Fq%3Dcomputer%26imgsz%3Dxxlarge%26svnum%3D100%26hl%3Dro%26lr%3D%26sa%3DN

http://images.google.ro/imgres?imgurl=http://www.fs-isys.com/images/Gallery/EDGE%2520UPS.jpg&imgrefurl=http://www.fs-isys.com/UniversalPowerSupplies_2593.asp&h=876&w=600&sz=62&tbnid=QEDDzbfg1LEJ:&tbnh=145&tbnw=99&hl=ro&start=47&prev=/images%3Fq%3Dups%26start%3D40%26imgsz%3Dxxlarge%26svnum%3D100%26hl%3Dro%26lr%3D%26sa%3DN

http://images.google.ro/imgres?imgurl=http://www.ixbt.com/video2/images/xabre128/xabre-128-card-front.jpg&imgrefurl=http://www.ixbt.com/video2/xabre128.shtml&h=864&w=1279&sz=378&tbnid=pRAOKoPqlkwJ:&tbnh=101&tbnw=150&hl=ro&start=10&prev=/images%3Fq%3Dcard%26imgsz%3Dxxlarge%26svnum%3D100%26hl%3Dro%26lr%3D%26sa%3DG

http://images.google.ro/imgres?imgurl=http://www.census.gov/dmd/www/imgs/computer.jpg&imgrefurl=http://www.census.gov/dmd/www/imgs/&h=698&w=787&sz=241&tbnid=JIQjT8b_J9AJ:&tbnh=125&tbnw=141&hl=ro&start=5&prev=/images%3Fq%3Dcomputer%26imgsz%3Dxxlarge%26svnum%3D100%26hl%3Dro%26lr%3D%26sa%3DN

Sursa: Computer Security Institute, CSI/FBI 2006 Computer Crime and Security Survey

Indicatori economici de rentabilitate

ROI – Return on Investment, Rentabilitatea InvestiţieiNPV – Net Present Value, Valoarea Actuală NetăIRR – Internal Rate of Return, Rata Internă de Rentabilitate

55

2825

38

18 19

42

1921

0

10

20

30

40

50

60

ROI NPV IRR

2004

2005

2006

%


ROIReturn on Investment

NPVNet Present Value

IRRInternal Rate of Return

Rentabilitatea Investiţiei (RI)

% 100 x Costuri

net BeneficiulRI

Beneficul net = Beneficiu - Costuri

Valoarea Actuală Netă (VAN)

Rata Internă de Rentabilitate (RIR)

a

1atr)(1

aan Venituri CiVAN

n21 RIR) 1(

nan Venituri...

RIR) (1

2an Venituri

RIR)(1

1an Venituri Ci0VAN

Se calculează “r” din ecuaţia VAN, considerând VAN = 0. r = RIR

r - RataCosturile iniţiale Ci au valori iniţiale negative

Investiţia este rentabilă dacă VAN > 0


Exemplu

Se achiziţionează o sursă neîntreruptibilă (UPS) in valoare de 1.000 USD. Se consideră că aceasta are o garanţie de buna funcţionare de 3 ani. Dupa această perioadă, sursa este scoasă din uz.Să se calculeze RI, VAN şi RIR.

Costurile iniţiale = 1.000 USDVenit anul 1 = 1.500 USDVenit anul 2 = 2.000 USDVenit anul 3 = 3.000 USD. Valorile sunt crescătoare datorită creşterii volumului de activitate a firmei .

6,5/1 100%x 1.000

1.000– 3.000) 2.000 (1.500 RI

4,3/1 100% x 000.1

000.1)1,01(

000.3

)1,01(

000.2

0,1) (1

1.500

RI321

4,3 000.1)1,01(

000.3

)1,01(

000.2

0,1) (1

1.500 VAN

321

VAN > 0 → Investiţia este rentabilă

... RIR 0 000.1)RIR1(

000.3

)RIR1(

000.2

RIR) (1

1.500 VAN

321


Exemplu

0

VAN

5 10 15 20 25 30 35 40

r /RIR

20,7 %

Investiţie rentabilă Investiţie nerentabilă

+

-

Un posibil “vinovat” de securitatea firmei !!!

Proprietar afacere

Analiza de risc

Definire politici Aprobare fonduri

t0 tn

Timpul…..

Timpul nu poate fi stocat

Timpul nu poate fi cumpărat

Timpul nu poate fi tranzacţionat

Timpul nu poate fi vândut

Timpul nu poate fi decât folosit.

Un alt posibil “vinovat” de securitatea firmei !!!

Reducerea riscurilor

Pentru a putea să reduc sau să elimin riscurile trebuie ca firma să fie capabilă de următoarele operaţii:

Prevenirea (selectarea corectă a produselor, actualizarea produselor şi adaptarea acestora la schimbările care se impun).

Detecţia (filtrarea şi analiza informaţiei, analizarea alertelor, corelarea cu nevoile firmei).

Răspunsul (luarea măsurilor care se impun, comunicarea, pregătirea constantă).

Oameni-pregătire...continuă, la zi...-responsabilităţi... aduse la cunoştinţă şi asumate ...-cultură... în domeniu ...-organizare... eficientă...

Procese-Politici... clare, actualizate, viabile...-proceduri... testate...-standarde... actualizate...

Tehnologii-infrastructură... adecvată, sigură...-aplicaţii... sigure, adecvate, testate, auditate...


PrevenireaPrevenirea unor evenimente care pot afecta securitatea firmei.

ReducereaReducerea probabilităţii de producere şi a impactului.

Evitarea Evitarea unui risc printr-o planificare eficientă.

Transferul“Eliminarea” riscului prin crearea unei asigurări pe acel risc.

Planificarea alternativă În cazul unor riscuri care nu pot fi prevăzute este nevoie de realizarea unor planuri alternative pentru reducerea impactului.


Există cinci strategi pentru reducerea riscurilor:

În ce stadiu ne aflăm şi

cu ce ne pot ajuta firmele în domeniu?

Stadiul actual al investiţiilor în securitate

Managementul firewall/router Managementul firewall/router

Furnizare Management Sevicii de Securitate

Implementarea măsurilor de securitate în cadrul firmei

Furnizare Sevicii de Securitate

Firewall Antivirus ……………

Managementul firewall/router

Controlul şi autentificarea

perimetrului de acces

Reţele private virtuale

Filtrare de conţinut web

Detectarea intruziunii

Scanarea de viruşi

Evaluarea vulnerabilităţii/

testul de penetrare

Răspunsul în caz de incident

24/7

Firma

Servicii de securitate din interior. Luăm în considerare o firmă medie. Pentru a crea un firewall pentru această conectare trebuie cumpărat hardware şi software pentru firewall la preţul de aproximativ 10.000 USD. Această sumă poate să fie mai mare dacă firma are mai multe conexiuni la Internet sau este o firmă mai mare. Cheltuielile în acest caz pot ajunge între 50.000 USD şi 75.000 USD. Gestionarea şi monitorizarea firewall-ului trebuie făcute de o persoană calificată. Salariul unui specialist în domeniu variază între 40.000 şi 60.000 USD anual. Achiziţionarea unui dispozitiv firewall scump nu suplineşte slaba pregătire a administratorului. Având în vedere faptul că se cere o acoperire permanentă (serviciu 24/7), este nevoie de cel puţin trei oameni, cu cheltuieli anuale medii de aproximativ 150.000 USD. Instruirea (minimă) a personalului de deservire va costa 15.000 USD per total anual. Această ultimă categorie de cheltuieli este necesară pentru ca personalul de deservire să fie la curent cu noutăţile în domeniu.

Componenta/cheltuiala Suma (USD)

Software şi hardware 10.000

Salarii 150.000

Instruire 15.000

Costuri totale 175.000

Servicii de securitate din exterior. Costurile de hardware şi de software sunt tot aceleaşi, dispozitivul firewall/router şi software-ul sunt achiziţionate de către beneficiar – în jur de 10.000 USD. Cheltuielile cu salariile celor trei angajaţi care să gestioneze firewall-ul vor fi nule, dar vor fi înlocuite de cheltuielile lunare de management extern care sunt în jur de aproximativ 2.000 USD. Aceasta duce la cheltuieli anuale de 24.000 USD. Costul iniţial al instalării (plătibil o singură dată) este de aproximativ 15.000 USD. Nu mai sunt costuri de instruire.

Componenta/cheltuiala Suma (USD)

Software şi hardware 10.000

Costuri management 24.000

Instalare 15.000

Costuri totale 49.000

Făcând acum o diferenţă:Costurile anuale din interior: 170.000 USDCosturile din exterior: 49.000 USDEconomii anuale: 121.000 USD

Cu ce ne poate ajuta o firmă ?

Business Process Evaluation and Risk Management

Phase 1Phase 1 Phase 2Phase 2 Phase 3Phase 3

Identify technical and informational

assets

Identify operational

and management

risks

Establish a counter-

measure plan

BS 7799, ISO 17799, OCTAVE, COBIT, SEI-CM

GeCAD NET Methodology

securITree

gecad net – security services for information technology

Ce ne propun firmele locale?

E-security today : e-business’ new requirements demand new forms of

security

securITree

gecad net - servicii de securitate in tehnologia informatiei oct 2004


MatureE-Business

EarlyE-Business

InternetConnectivity

StandaloneLAN/WAN

Mar

ket

Mat

uri

ty

TIME

Mailing lists

Portal sites

CUNOŞTINŢE

APLICAŢII

eWallet

Secure Transactions

Authorisation

INFRASTRUCTURĂ

IntrusionDetection

Firewall

EncryptionAnti-VirusAuthentication

PKI

VPN

Smart Cards

Business Process Evaluation and Risk Management

Risk Analysis

• The standards and methods offered by GeCAD are as following:• BS 7799 • ISO 17799 • OCTAVE • COBIT • ITIL

To develop a master plan in effective informational security, it is essential to identify the most critical information or systems, their qualitative or quantitative value, the potential risks and finally the solution scenarios available.

• The approach used by GeCAD is outlined below:• Identify technical and informational assets• Identify operational and management risks• Establish a counter-measure plan

securITree


Securit

atea nu es

te o dest

inaţie, se

curitatea

este

un proces co

ntinuu.

Securitatea – regulă de bază – BACKUP! BACKUP! BACKUP!

Prevenirea (selectarea corectă a produselor, actualizarea produselor şi adaptarea acestora la schimbările care se impun).

Detecţia (filtrarea şi analiza informaţiei, analizarea alertelor, corelarea cu nevoile firmei).

Răspunsul (luarea măsurilor care se impun, comunicarea, pregătirea constantă).

Securitatea nu este o destinaţie, securitatea este un proces continuu.

“Trebuie să-i pedepsim pe cei care încalcă legea. Dar nu putem să frânăm curiozitatea unui puşti de 13 ani care, experimentând astăzi, poate dezvolta mâine o tehnologie informaţională sau a telecomunicaţiilor care să ducă Statele Unite în secolul XXI ca lider în domeniu. Ei reprezintă şansa noastră ca să rămânem o naţiune competitivă tehnologic”.

Patric Leahy, senator de Vermont

Securitatea se implementează în funcţie de mărimea şi cerinţele firmei.

Securitatea este greu de cuantificat.

Securitatea excesiva poate avea efecte negative asupra afacerilor.

Securitatea minimală este de preferat în locul lipsei acesteia.

Securitatea nu rezolvă problemele de productivitate.

Este securitatea o marfă?

Securitatea excesiva poate fi agasantă.

Securitatea este o poliţă de asigurare în caz de dezastre.

BIBLIOGRAFIE

[BRHU02] C. Brenton, C. Hunt, Mastering Network Security, SYBEX Inc., 2002.

[BURK04] J.R. Burke, Network Management: Concepts and Practice, A Hands-On Approach, Prentice Hall PTR, 2004.

[GROT02] D. Groth, Network + Study Guide, SYBEX Inc., 2002.

[HSST95] S.B. Hsiao, R. Stemp, Computer Security, course, CS 4601, Naval Postgraduate School, Monterey, California, 1995.

[HSST95] S.B. Hsiao, R. Stemp, Advanced Computer Security, course, CS 4602, Naval Postgraduate School, Monterey, California, 1995.

[KAEO99] M. Kaeo, Designing Network Security, Cisco Press, Indianapolis, Indiana 46290 USA, 1999.

[LUAB00] T. Lunt, M. Abrams, D. Denning, L. Notargiacomo, Information and computer security, CS 4990/6990, course, Mississippi State University, 2000.

[LUSA03] I. Lungu, Gh. Sabău, I. Velicanu, M. Muntean, S. Ionescu, E. Posdarie, D. Sandu, Sisteme informatice. Analiză, proiectare şi implementare, Ed. Economică, Bucureşti, 2003.

[MCCA03] L. McCarthy, IT Security: Risking the Corporation, Prentice Hall PTR, 2003.

[MIMI02] M. Miller, Absolute PC Security & Privacy – Defending Your Computer Against Outside Intruder, SYBEX Inc., 2002.

[OGTE01] T.W. Ogletree, Firewalls – Protecţia reţelelor conectate la Internet, Ed. Teora, Bucureşti, 2001.

[OPDU99] D. Oprea, Analiza şi proiectarea sistemelor informaţionale economice, Ed. Polirom, Bucureşti, 1999.

[PRBY02] P.E. Proctor, F.C. Byrnes, The Secured Enterprise, Prentice Hall PTR, 2002.

[RUGA91] D. Russel, G.T. Gangemi Sr., Computer Security Basics, O’Reilly & Associates, Inc., 1991.

[SECU02] Security Complete, Second Edition, SYBEX Inc., 2002.

[SECU99] Securitatea în Internet, Ed. Teora, Bucureşti, 1999.

[STPE02] M. Strebe, C. Perkins, Firewalls 24seven, SYBEX Inc., 2002.

*** http://csrc.nist.gov/

*** http://www.gecadnet.ro Conferinta Anuala de Securitate - Editia 2004 “SecureITree”

*** http://www.idc.com

*** http://www.microsoft.com/technet/security/topics/policiesandprocedures/secrisk/default.mspx

Contact

Conf. univ. dr.

Burtescu R. Emil

[email protected]

[email protected]

www.burtescu.ro(în construcţie)

Vă mulţumesc!

Analiza Riscului in Sisteme Securizate 2007

Documents

Transcript of Analiza Riscului in Sisteme Securizate 2007