Analiza riscurilor de securitate.pdf

Analiza riscurilor de securitate

Stelian Arion

1

Analiza riscurilor de securitate

• Notiuni de management al riscului• Riscurile de securitate• Cerinte de securitate

• Sistemele de protectie si alarmare la efractie• Protectia informatiilor clasificate• Managementul securitatii informatiei• Protectia infrastructurilor critice

• Elaborarea specificatiei TO• Exercitiu 2

Notiuni de management al riscului

riscefectul incertitudinii asupra realizării obiectivelor managementul risculuiactivităţi coordonate pentru a direcţiona şi a controla o organizaţie în ceea ce priveşte riscul

3

ISO Ghid 73SR ISO 31000

ISO 31010

termeni referitori la risc;termeni referitori la managementul riscului;termeni referitori la procesul de management al riscului;termeni referitori la comunicare şi consultare;termeni referitori la context; termeni referitori la estimarea riscului;termeni referitori la identificarea riscului;termeni referitori la analiza riscului;termeni referitori la evaluarea riscului;termeni referitori la tratarea riscului;termeni referitori la monitorizare şi măsurare.

4

8

Prin stabilirea contextului, organizaţia îşi formulează obiectivele, defineşte parametrii externi şi interni de luat în considerare în managementul riscului, şi stabileşte domeniul de aplicare şi criteriile de risc pentru restul procesului• stabilirea contextului extern

• mediul cultural, social, politic, legal, de reglementare, financiar, tehnologic, economic, natural şi concurenţial, la nivel internaţional, naţional, regional sau local;• factorii critici şi tendinţele cu impact asupra obiectivelor organizaţiei;• relaţiile cu părţile interesate externe, percepţiile şi valorile acestora.

• stabilirea contextului intern• conducere, structură organizaţională, roluri şi responsabilităţi• politici, obiective şi strategii implementate pentru îndeplinirea acestora;• capabilităţi, înţelese în termeni de resurse şi cunoştinţe (de exemplu capital, termene, persoane, procese, sisteme şi tehnologii);• relaţii cu părţile interesate interne, percepţii şi valori ale acestora;• cultură organizaţională;• sisteme de informaţii, fluxuri de informaţii şi procese de luare a deciziilor (atât oficial cât şi neoficial); • standarde, linii directoare şi modele adoptate de organizaţie; • forma şi anvergura relaţiilor contractuale.

9

Prin stabilirea contextului, organizaţia îşi formulează obiectivele, defineşte parametrii externi şi interni de luat în considerare în managementul riscului, şi stabileşte domeniul de aplicare şi criteriile de risc pentru restul procesului• stabilirea contextului procesului de management al riscului

• definirea scopurilor şi obiectivelor activităţilor de management al riscului;• definirea responsabilităţilor pentru procesul de management al riscului şi în cadrul acestuia;• definirea domeniului de aplicare, precum şi a profunzimii şi întinderii activităţilor de managementul riscului ce trebuie derulate, inclusiv includerile şi excluderile specifice;• definirea activităţii, procesului, funcţiei, proiectului, produsului, serviciului sau activelor în termeni de timp şi locaţie;• definirea relaţiilor dintre un proiect, proces sau activitate anume şi alte proiecte, procese sau activităţi ale organizaţiei;• definirea metodelor de evaluare a riscului;• definirea modului în care performanţa şi eficacitatea managementului riscului sunt evaluate; • identificarea şi precizarea deciziilor care urmează să fie luate;• identificarea, stabilirea domeniului de aplicare şi încadrarea studiilor necesare, mărimea şi obiectivele acestora, precum şi resursele necesare pentru realizarea lor.

10

Prin stabilirea contextului, organizaţia îşi formulează obiectivele, defineşte parametrii externi şi interni de luat în considerare în managementul riscului, şi stabileşte domeniul de aplicare şi criteriile de risc pentru restul procesului• definirea criteriilor de risc

• natura şi tipurile de cauze şi de consecinţe care se pot să apară şi modul în care acestea se măsoară;• modul de definire al plauzibilităţii;• scara (scările) plauzibilităţii şi/sau a consecinţei (consecinţelor);• modul în care este determinat nivelul de risc;• punctele de vedere ale părţilor interesate;• nivelul la care riscul devine acceptabil sau tolerabil; • dacă trebuie luate în considerare combinaţiile de riscuri multiple şi, în acest caz, metoda de utilizat şi combinaţiile care trebuie luate în considerare.

11

Evaluarea riscului reprezintă procesul global de identificare a riscului, analiza riscului şi estimarea risculuiIdentificarea risculuiSe recomandă ca organizaţia să identifice sursele de risc, zonele de impact, evenimentele (inclusiv modificări ale circumstanţelor) precum şi cauzele riscurilor şi potenţialele consecinţe ale acestora. Scopul acestei etape este generarea unei liste exhaustive a riscurilor pe baza acelor evenimente care ar putea crea, intensifica, împiedica, degrada, accelera sau întârzia îndeplinirea obiectivelorAnaliza risculuiAnaliza riscului implică considerarea cauzelor şi surselor de risc, a consecinţelor lor pozitive şi negative, precum şi a plauzibilităţii că aceste consecinţe se pot produce. Se recomandă să se identifice factorii care afectează consecinţele şi plauzibilitatea acestora. Riscul este analizat prin stabilirea consecinţelor şi a plauzibilităţii lor, precum şi a altor atribute ale riscului. Un eveniment poate avea consecinţe multiple şi poate afecta obiective multiple. De asemenea, se recomandă să se ia în considerare mijloacele existente de control, eficacitatea şi eficienţa acestora. Estimarea risculuiEstimarea riscului implică compararea nivelului de risc determinat în cursul procesului de analiză cu criteriile de risc stabilite în momentul luării în considerare a contextului. Pe baza acestei comparaţii, poate fi luată în considerare nevoia de tratare a riscului.

12

Tratarea riscului implică selectarea uneia sau mai multor opţiuni pentru modificarea riscurilor şi implementarea respectivelor opţiuni.

a) evitarea riscului prin luarea deciziei de a nu începe sau de a nu continua cu activitatea care dă naştere riscului;b) asumarea sau creşterea riscului pentru a urmări o oportunitate;c) îndepărtarea sursei de risc;d) modificarea plauzibilităţii;e) modificarea consecinţelor;f) împărţirea riscului cu altă parte sau părţi (inclusiv contracte şi finanţarea riscului); şig) reţinerea riscului prin decizie fundamentată.

Alegerea celei mai potrivite opţiuni de tratare a riscului implică echilibrarea costurilor şi eforturilor de implementare în raport cu beneficiile derivate, cu respectarea cerinţelor legale, de reglementare şi a altor cerinţe, cum ar fi responsabilitatea socială şi protecţia mediului natural. Se recomandă ca planul de tratarea riscului să identifice în mod clar ordinea de prioritate în care fiecare mod de tratare a riscului se recomandă să fie implementat.

sursa risculuielement care, singur sau în combinaţie cu altele, are potenţialul intrinsec de a produce un riscvulnerabilitateproprietăţile intrinseci ale ceva care au ca urmare susceptibilitatea faţă de o sursă de risc care poate conduce la un eveniment cu o consecinţă mijloc control măsură care modifică riscul rezilienţăcapacitatea de adaptare a unei organizaţii într-un mediu complex şi înschimbare

13

• ISO 31010 – tehnici de evaluare a riscurilor (31)• analiza scenariilor• BIA• LOPA• analiza “fluture”• indicii de risc• matricea probabilitate/consecinte• analiza cost/efect – ALARP

• ISO 27005 – ISMS – Information risk management• ASIS – General Security Risk Assessment Guideline

Analiza scenariului

dezvoltarea modelelor descriptive despre turnura pe care o poate lua viitorul

poate fi folosită pentru a identifica riscurile prin luarea în considerare a dezvoltării viitoare posibile şi explorarea implicaţiilor acesteia

poate juca o parte în toate cele trei componente ale evaluării riscului. pentru identificare şi analiză, seturile de scenarii reflectă (de

exemplu) cel mai bun caz, cel mai rău caz şi cazul „aşteptat” şi care pot fi utilizate în identificarea a ceea ce se poate întâmpla în circumstanţe particulare şi analizează consecinţele potenţiale şi probabilităţile pentru fiecare scenariu

analiza scenariului poate fi utilizată pentru a anticipa cum se pot dezvolta ameninţările şi oportunităţile şi poate fi utilizată pentru toate tipurile de riscuri, fie în cadre de timp pe termen lung, fie pe termen scurt. Pentru cadre de timp pe termen scurt şi cu date valabile, asemenea scenarii pot fi extrapolate pornind de la prezent. Pentru cadre de timp pe termen lung sau date insuficiente, analiza scenariului devine mult mai imaginativă şi poate fi considerată o analiză viitoare.

14

Analiza impactului asupra activităţii

analizează modul în care riscurile de perturbare pot afecta funcţionarea organizaţiei şi apoi identifică şi cuantifică aptitudinile necesare pentru gestionarea acestora

• identificarea şi criticalitatea proceselor cheie ale afacerii, funcţiilor şi resurselor asociate şi interdependenţelor cheie ce există într-o organizaţie;

• faptul cum evenimentele de subminare vor afecta capacitatea şi capabilitatea de îndeplinire a obiectivelor critice de activitate;

• capacitatea şi capabilitatea necesară pentru a diminua impactul unei subminări şi revenirea organizaţiei la nivele de operare acceptate.

BIA este folosită pentru a determina starea critică şi graficele de timp necesare pentru refacerea proceselor şi resurselor asociate (oameni, echipament, tehnologia informaţiei) si a asigura îndeplinirea continuă a obiectivelor

BIA oferă asistenţă în determinarea interdependenţelor şi relaţiilor dintre procese, părţi interne şi externe şi orice legături din interiorul unui lanţ de aprovizionare.

15

Analiza straturilor de protecţie

Layers of protection analysis metodă semi-cantitativă pentru estimarea riscurilor asociate cu

un eveniment sau scenariu nedorit. Analizează dacă sunt suficiente măsuri pentru a controla sau limita riscul.

este selectată o pereche cauză-consecinţă şi sunt identificate straturile de protecţie ce previn cauza care duce la o consecinţă nedorită

LOPA poate fi utilizată pur şi simplu din punct de vedere calitativ pentru a revizui straturile de protecţie dintre un eveniment cauzal sau un eveniment întâmplător şi o avarie

LOPA poate fi folosită pentru a sprijini alocarea eficientă a resurselor de reducere a riscurilor prin analizarea reducerii riscului produs de către fiecare strat de protecţie.

16

Analiza – fluture

simplă diagramă care descrie şi analizează parcursurile unui element de risc de la cauze la consecinţe

se concentrează totuşi pe barierele dintre cauze şi risc şi dintre risc şi consecinţe

analiza – fluture este utilizată pentru a prezenta un risc arătând gama de cauze şi consecinţe posibile; este utilă acolo unde există parcursuri independente clare care conduc la eşec

17

Eveniment

Surse de risk

Cauză

Cauză 2

Cauză 3

Factor de intensificare

Consecinţa 1

Consecinţa 3

Consecinţa 4

Consecinţa 2

Comenzi de intensificare

Comenzi de prevenţie

Limite şi comenzi de reluare

IEC 2069/09

Indici de risc

o măsurătoare semi-cantitativă a riscului care reprezintă o estimare calculată prin utilizarea unei metode de punctare bazată pe scale ordinale

pot fi utilizaţi pentru a clasifica o serie de riscuri utilizând criterii similare astfel încât să poată fi comparate

deşi se utilizează cifre acestea au doar scopul de a permite manipularea datelor

indicii de risc pot fi utilizaţi pentru clasificarea diverselor riscuri aferente unei activităţi dacă se cunoaşte bine sistemul

indicii sunt utilizaţi pentru diferite tipuri de riscuri de regulă ca un instrument de încadrare pentru clasificarea riscului conform gradului de risc. Acest lucru poate fi utilizat pentru a determina care din riscuri necesită o evaluare mai detaliată şi posibil cantitativă.

18

Matricea consecinţe/probabilitate

o modalitate de combinare a clasamentelor calitative sau semi-cantitative a consecinţelor şi a probabilităţilor pentru a obţine un clasament al nivelul de risc sau al riscului

matricea consecinte/probabilitate este utilizată pentru a clasifica riscurile, sursele de risc sau tratamentele de risc în funcţie de nivelul de risc

utilizată ca un instrument de evaluare riscuri atunci când au fost identificate numeroase riscuri

utilizat pe scară largă pentru a determina dacă un anumit risc este în mare măsură acceptabil, sau nu în funcţie de zona în care se află pe matrice

folosită pentru a ajuta la comunicarea unei înţelegeri comune a nivelurilor calitative ale riscurilor în întreaga organizaţie

19

Analiza cost/beneficiu

evaluarea riscurilor acolo unde costurile aşteptate totale sunt cântărite în comparaţie cu beneficiile totale aşteptate pentru a alege opţiunea cea mai bună sau cea mai profitabilă

analiza cost/beneficiu cantitativă cumulează valoarea monetară a tuturor costurilor şi beneficiilor pentru toate persoanele interesate din domeniu şi o ajustează pe diverse intervale de timp în care se produc/rezultă aceste costuri şi beneficii

pentru anumite riscuri negative, în special cele care implică riscuri pentru viaţa umană sau daune pentru mediul ambiant, se poate totuşi aplica principiul ALARP (As Low As Reasonably Practicable)

trei zone: ◦ un nivel deasupra căruia riscurile negative sunt intolerabile şi nu pot fi

acceptate decât în împrejurări extraordinare; ◦ un nivel sub care riscurile sunt neglijabile şi nu

necesită decât monitorizare pentru a se asigura că rămân la nivel scăzut;

◦ o bandă centrală în care riscurile trebuie aduse la cel mai scăzut nivel cu putinţă

20

Zonă inacceptabilă

Zona ALARP sau de toleranţă (se acceptă riscul doar dacă nu se speră un

beneficiu)

Zonă larg acceptabilă

(Nu este nevoie de muncă detaliată pentru a demonstra

ALARP)

Risc neglijabil

Este necesar să se asigure că riscul rămâne la acest

nivel

Tolerabil în cazul în care costul reducerii riscului va

depăşi îmbunătăţirea adusă

Tolerabil doar dacă reducerea riscului este imposibilă sau atunci când costul reducerii este disproporţionat de mare faţă de îmbunătăţirea adusă

Riscul nu poate fi justificat decât în împrejurări

extraordinare

IEC 2073/09

Managementulriscurilor de securitate

• securitatea este conjunctura in care esti protejat impotriva pericolelorsi a pierderilor; se obtine prin reducerea consecintelor asociate cu actiuni intentionate si irationale ale altora• ca termen tehnic securitatea reprezinta ceva ce nu numai ca estesigur dar si ca a fost securizat

• risc de securitate = eveniment care poate avea ca rezultat compromiterea activelor organizaţionale.• utilizarea neautorizată, pierderea, prejudiciul, divulgarea sau modificarea activelor organizaţionale pentru profit, interes personal sau interes politic al unei persoane, grup sau altor entităţi şi riscul de a vătăma persoane.

• compromitere activelor poate afecta negativ compania, unităţile de afaceri şi clienţii• riscul de securitate constituie o componentă vitală a managementului riscului.

21

22

Identificarea riscurilor de securitate

Sursa Motiv Mod de operare

Infractor Profit Furt, tâlhărie, agresiune, fraudă, divulgare

Terorist Manipulare politică Bombă, deturnare, răpire, asasinare,

Servicii de informaţii străine Strategic, militar, politic, economic Spionaj, sabotaj, divulgare, subminare

Competitori comerciali sauindustriali

Profit, avantaj competitiv Spionaj industrial sau economic

Persoane rău intenţionate Răzbunare, renume, discreditare Divulgare, distrugere, vandalism

• identificarea ameninţărilor cu potenţial de afectare negativă a organizaţiei prin clasificare după sursă, motivaţie şi mod de operare

23

Identificarea riscurilor de securitate• identificarea ameninţărilor care pot deveni riscuri pornindde la activele (funcţii, resurse, valori) care sunt esenţiale pentru organizaţie şi grupandu-le după ameninţare şi riscul asociat

Activ organizaţional Riscuri AmeninţăriClădiri şi instalaţii Distrugere, prejudiciu, indisponibilitatea clădirii sau

instalaţieiIncendiu, explozie, alarme false, căderea alimentăriielectrice, contaminare, acces neautorizat

Sistem informatic Pierderea sau compromiterea securităţii informaţiilorclasificate, pierderea confidenţialităţii, disponibilităţiisau integrităţii informaţiei

Utilizatori neautorizaţi, analiza criminalistică adiscurilor, manipularea neglijentă a listingurilor,transmitere neglijentă a informaţiilor

Încrederea conducerii înprogram sau unitatea de profit

Piederea încrederii conducerii sau a încrederii publiceîn unitate sau program sau în procese ale acestora

Gestionarea eronată a unor informaţii sensibile,politică sau servcii inconsistente, prezentare medianegativă

Reputaţie organizaţională Pierderea reputaţiei organizaţiei Servciu deficitar, manipularea eronată a informaţiilor,politică sau servcii inconsistente, prezentare medianegativă

24

Identificarea riscurilor de securitate

• examinarea expunerilorsau vunerabilităţilororganizaţiei şi apoi analiza adecvanţei măsurilor de securitate existente

Grup de active Expuneri sau vulnerabilităţi identificatePersoane Răpire

AsasinareAtac, agresiune sau hărţuireBombăDezordine publicăVecini periculoşiDiferenţe culturale sau religioaseDiscriminare sau lezareAngajat nemulţumit...

Active informaţionale Distrugere sau corupereÎntreruperea serviciuluiDivulgare neprevăzutăScurgere informaţiiManipulare date/informaţii...

Active fizice SpargereIncendiuProceduri inadecvateDefecţiuni tehniceÎntreţinere deficitarăVandalismSabotajFurt...

25

Analiza expunerii• actorii umani cauta activ o modalitate de atac sau de a exploata o vulnerabilitate

Ameninţarea este analizată de regulă în termenii intenţiei şi capabilităţii unui surse de ameninţare, individ sau organizaţie, de a ataca sau afecta negativ un element de valoare, precum un activ, funcţie sau capabilitate. Alte definiţii includ orice are potenţialul de a împiedica atingerea obiectivelor şi/sau de a întrerupe procesele care contribuie la aceasta.

• parte a unui proces organizaţional de evaluare a riscurilor, analiza ameninţărilor este realizată de specialişti în securitate pe baza informaţiilor generale şi a consultării unor experţi în domeniu, al analizei incidentelor, al valorificării surselor deschise de informaţii etc. • cei doi factori utilizati de regulă pentru evaluarea ameninţărilor sunt intenţia şi plauzibilitatea care la rândul lor sunt în funcţie de motivaţia şi atributele atacatorului• diferenţiere între motivaţie care poate fi un factor pe termen lung, şi intenţie, factor cu perspectivă apropiată

26


Evaluarea vulnerabilităţiiimplică un proces şi rezultatele asociate cu analiza activelor şi/sau sistemelor de securitate în vederea identificării punctelor slabe. De regulă este realizată pornind de la un model de bază, urmărinduse modalitatea în care acesta poate fi atacat cu succes.

• Vulnerabilitatea poate fi considerată o funcţie de accesibilitate, abilitate de descurajare, nivel de robusteţe şi abilitate de a rezista unui atac. În general criticitatea unui activ nu este influenţată de vulnerabilitate sau ameninţări externe.• La o trecere în revistă a mai multor modele de evaluare a vulnerabilităţilor se pot identifica o serie de caracteristici comune, principalele fiind:

• oportunitatea de atac prezentă sau posibilă;• susceptibilitatea unui atac sau efectivitatea unui atac asupra ţintei.

La rândul său oportunitatea poate fi evaluată în termenii recunoşterii ca ţintă, al expunerii (de exemplu, în durată) şi al accesibilităţii ca ţintă.

27


Evaluarea criticităţii are ca scop prioritizarea infrastructurii organizaţionale, a activelor sau elementelor importante şi de care depind alte active, funcţii, procese, în practică aceasta este legată de, dar nu sinonimă cu, mărime impactului produs de distrugerea sau dezafectarea respectivului element. În mediul corporativ, este cunoscută şi sub numele de analiză a impactului asupra afacerii, iar în alte metodologii sub numele de evaluare a activului.

28

Analiza expunerii

Statia

Efractie

Paza umanaGard –bariera fizica

Sistem taut-wireBariere in infrarosu

Sistem de avertizare

Zona cu securitatesporita

Acces neautorizat

Incendii

Paza umanaControl acces

Confirmare identitateSistem detectie+stins

incendiiAlarmare

Accesneautorizat

Supraveghere videoPaza umanaControl acces

Sistem suplimentar de iluminat

Linia de TC

Sistem de monitorizare

Furturi sisabotaje

MANAGEMENT RISCURI

31

Indicele de risc

PROBABILITATE (P)

IMPACT (I)

RISC (R)R = f(P,I)

1 Rar A Nesemnificativ

2 Improbabil B Minor Redus 1A, 2A, 3A, 1B, 2B

3 Posibil C Moderat Mediu 4A, 5A, 3B, 1C, 2C

4 Probabil D Major Mare 4B, 5B, 3C, 4C, 1D, 2D, 3D

5 Aproape cert E Catastrofic Critic 5C, 4D, 5D, 1E, 2E, 3E, 4E, 5E

Incident Exemple de impact

A. Nesemnificativ- Fără răniri de persoane;- Pierderi mai mici de 30.000 EUR ŞI/SAU- Întrerupere de scurtă durată a unor servicii.

B. Minor

- Fără răniri de persoane;- Pierderi de la 30.000 la 300.000 EUR ŞI/SAU- Reportaj negativ în presa locală ŞI/SAU- Întreruperea totală a activităţii maximum o zi.

C. Moderat

- Raniri care necesita acordare de prim ajutor, fără spitalizare ŞI/SAU- Pierderi de la 300.000 la 3.000.000 EUR ŞI/SAU- Investigaţii ale autorităţilor ŞI/SAU- Întreruperea totală a activităţii până la o săptămână.

D. Major

- Rănire a una sau mai multor persoane cu spitalizare ŞI/SAU- Pierderi de la 3.000.000 la 30.000.000 EUR SI/SAU- Reportaj principal în mass media locală şi investigaţii ale autorităţilor de reglementare ŞI/SAU - Întrerupere totală a activităţii de până la o săptămână.

E. Catastrofic

- Deces (decese) ŞI/SAU- Pierderi mai mari de 30.000.000 EUR ŞI/SAU - Prezentare a evenimentului în mass media la nivel naţional şi investigaţii ale autorităţilor ŞI/SAU- Întreruperea totală a activităţii timp de peste o săptămână.

5 M H C C C

4 M H H C C

3 L M H H C

2 L L M H C

1 L L M H C

A B C D E

32

Matrice probabilitate/consecinte

100%

4

12

Hostage / KidnapStrike / WalkoutHostile Takeover

Major Explosion

TerrorismIndustrial Espionage0%

SabotageComm. Disease

Flood Suicide

Telecomm Failure.

Maj. Operator Error

Child Care IncidentTransportation Incident Minor Explosion

Neighbor Issue

Civil Unrest

Employee Violence

Tornado

Breach IT Security

Organized Crime

Blizzard

Bribery / Extortion

ProtestersInjury / DeathAccusation / Libel / Slander

Fog

Bomb ThreatEquipment MalfuncPower Failure

Ice Storm

Media Investigation

Chemical Spill / Contamination

Major Fire

Class Action Lawsuit

Management Issues

Security Breach

Loss of IT / Virus

Major Electrical Storm

HIGH RISK

LOW RISK

MEDIUM HIGH

MEDIUM LOW


34


35

Analiza cost/efect

Zonă inacceptabilă

Zona ALARP sau de toleranţă (se acceptă riscul doar dacă nu se speră un

beneficiu)

Zonă larg acceptabilă

(Nu este nevoie de muncă detaliată pentru a demonstra

ALARP)

Risc neglijabil

Este necesar să se asigure că riscul rămâne la acest

nivel

Tolerabil în cazul în care costul reducerii riscului va

depăşi îmbunătăţirea adusă

Tolerabil doar dacă reducerea riscului este imposibilă sau atunci când costul reducerii este disproporţionat de mare faţă de îmbunătăţirea adusă

Riscul nu poate fi justificat decât în împrejurări

extraordinare

IEC 2073/09

36

Analiza fluture

Eveniment

Surse

de risk

Cauză

Cauză 2

Cauză 3

Factor de intensificare

Consecinţa 1

Consecinţa 3

Consecinţa 4

Consecinţa 2

Comenzi de intensificare

Comenzi de prevenţie Limite şi comenzi de reluare

IEC 2069/09

37

Analiza “fluture”

38

Mijloace de control al riscurilor de securitate

Standarde naţionale şi internaţionale

Sisteme de alarmă împotriva efracţiei, control al accesului, TVCI

• prescripţii generale (EN 50131-1, etc.)

• ghid de aplicare (SR CLC/TS 50131-7, etc.)

Standarde profesionale

ASIS International

• Facilities Physical Security Measures Guideline

• Threat Advisory System Response Guideline

• Information Asset Protection Guideline

Cataloage măsuri de securitate

• ISO 27002

• IT Baseline Protection Manual

• Recomandari NIST

39

Cerinte de securitate in contextul legislatiei si standardelor aplicabile in Romania

• Cerinţe de conformitate legală• L 333/2003, L 9/200, L 40/2010, HG 1010• L 182/2002, HG 585/2002, HG 781/2002 • OU 98/2010• L 535/2004• L 677/2001• L sectoriale

• Modele şi standarde• SR ISO 27000• BS 25999• EN 5013x• IT Baseline Protection Manual• ASIS International

40

Securitate fizica

• sisteme tehnice de protectie si alarmare la efractie• responsabilitatea conducatorilor organizatiilor de a luamasuri pentru protectia persoanelor si bunurilor• cerinte minime pentru tipuri de obiective: financiar-bancare, spatii comerciale, institutii d utilitate publica, sportive si culturale, depozite• analiza riscurilor• au fost avute în vedere ameninţări legate de infracţionalitatea de drept comun (furt, jaf, fraudă etc.) şi nu alte tipuri de ameninţari, precum, de exemplu, ameninţarea teroristă, care impun alte exigenţe pentru a se asigura un nivel de securitate admisibil

41

Protectia informatiilor clasificate

• informatii clasificate• secrete de stat• secret de serviciu

• informatii neclasificate• informatii si date personale• secret bancar

• informatii de interes public

• sistemul de securitate fizica are rolul• să prevină pătrunderea neautorizată a persoanelor, prin efracţie sau în mod fraudulos, în spaţiile protejate;• să prevină, să descopere şi să împiedice acţiunile ostile ale personalului neloial care pot afecta securitatea informaţiilor clasificate;• să permită accesul la informaţii clasificate exclusiv persoanelor autorizate;• să descopere şi să combată orice încălcare a măsurilor de protecţie a informaţiilor clasificate

42


Un sistem de securitate trebuie să respecte următoarele principii:• adaptarea măsurilor de protecţie;• eşalonarea în adâncime a măsurilor de protecţie;• corelarea măsurilor de protecţie fizică cu timpul de intervenţie a forţelor de securitate; • asigurarea eficacităţii sistemului;• asigurarea disponibilităţii tehnice a echipamentelor;• planificarea a măsurilor de protecţie şi dimensionare în funcţie de:

• nivelul de clasificare a informaţiilor;• volumul şi suportul fizic de prezentare a informaţiilor clasificate;• nivelul de acces conferit de certificatul de securitate, cu aplicarea principiului nevoii de a şti;• situaţia din zona de localizare a obiectivului.

43


Dintre măsurile de securitate minimale reglementate cele mai importante sunt:• Controlul accesului persoanelor;• Controlul vizitatorilor;• Controlul bagajelor (planificat şi inopinat):

la intrare (aparate fotografiat, filmat, înregistrare audio-video, copiere date, comunicare la distanţă);la ieşire (bagaje, colete, genţi care ar putea transporta materiale sau informaţii clasificate).

• Încăperi de securitate: pereţi, podele, plafoane, uşi, încuietori;protecţie chei, coduri;ferestre parter sau ultimul etaj - zăbrele sau asigurare antiefracţie;sistemul de aerisirire – asigurare împotriva pătrunderii sau introducerii de materiale incendiare.

44


• Containere – pentru păstrare dar şi pentru evacuare:Metalice, autorizate;Clase A, B.

• ÎncuietoriClase A, B, C (mobilier);Asigurare chei, coduri.

• Controlul activităţii la copiatoare, faxuri etc.• Protecţie împotriva ascultărilor neautorizate:

Pasive – izolare fonică a încăperilor;Active – microfoane, instalaţii, ecipamente de comunicaţii, mobilier etc.;Protecţia fizică a încăperilor, inclusiv în perioadele în care nu sunt utilizate;Evidenţa dotărilor încăperilor, controlul activităţilor de curăţenie, reparţii etc.

• Protecţia împotriva distrugerii:protecţie la incendiu;protecţie la inundaţie;protecţie la atac terorist.

• Controlul distrugerii documentelor declasificate.

45

Managementul securitatii informatiei

• ISO 27000 – termeni si defintii• ISO 27001 – specificatie (cerinte) pentru certificare• ISO 27002 – ghid de buna practica (mijloace de control al riscurilor)• ISO 27005 – recomandari pentru managementul riscurilorinformationale

Categorii principale de mijloace de control (măsuri de securitate)• Politica de securitate;• Organizarea securităţii informaţiei;• Managementul resurselor;• Securitatea resurselor umane;• Securitatea fizică şi a mediului de lucru;• Managementul comunicaţiilor şi operaţiunilor;• Controlul accesului;• Achiziţionarea, dezvoltarea şi mentenanţa sistemelor informatice;• Managementul incidentelor de securitate a informaţiei;• Managementul continuităţii afacerii;• Conformitatea.

46

Managementul securitatii informatiei

Securitatea fizică şi a mediului de lucru• securitatea zonelor’ care are ca obiectiv să prevină accesul fizic neautorizat, distrugerile şi pătrunderea în interiorul organizaţiei precum şi accesul la informaţii• ‚securitatea echipamentelor’ care are ca obiectiv să prevină pierderea, avarierea, furtul sau compromiterea resurselor şi întreruperea activităţilor din cadrul organizaţiei

Principalele categorii de măsuri de securitate recomandate includ:• perimetrul fizic de securitate;• controlul accesului fizic; • securizarea birourilor, încăperilor şi a sistemelor informaţionale;• protejarea împotriva ameninţărilor externe şi de mediu;• desfăşurarea activităţii în zone de securitate;• zone de acces public, puncte de livrare şi încărcare;• amplasarea şi protejarea echipamentelor;• utilităţi;• securitatea reţelelor de cablu;• întreţinerea echipamentelor;• securitatea echipamentelor în afara locaţiei;• scoaterea din uz sau reutilizarea în condiţii de siguranţă.

47

Protectia infrastructurilor critice

un element, un sistem sau o componenta a acestuia, aflat pe teritoriul national, care este esential pentru mentinerea functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii, bunastarii sociale ori economice a persoanelor si a carui perturbare sau distrugere ar avea un impact semnificativ la nivel national ca urmare a incapacitatii de a mentine respectivele functii

48


SECTOARE

• Energetic• Tehnologia informaţiei şi comunicaţii• Alimentare cu apă• Alimentaţia• Sănătate• Securitate naţională• Administraţie• Transporturi• Industria chimică şi nucleară• Spaţiu şi cercetare

49


• P.S.O. include identificarea principalelor active, evaluarea riscurilor, precum şi selecţia şi prioritizarea măsurilor şi procedurilor care trebuie instituite• O.L.S. are rolul de a îmbunătăţi comunicarea şi cooperarea cu autorităţile statului cu atribuţii în protecţia infrastructurilor critice.• Selectarea măsurilor de securitate trebui să acopere

• aspecte organizaţionale - precum instituirea unui cadru organizatoric, adoptarea unei strategii şi a unor politici de securitate, securitatea personalului, securitatea relaţiilor cu terţii, tratarea incidentelor etc. • domeniul securităţii fizice şi cel al securităţii informatice, managementul situaţiilor de urgenţă şi criză, managementul dezvoltării. • trebuie avută în vedere asigurarea unui echilibru între măsurile proactive, reactive şi corective, asigurarea informării, formării şi perfecţionării în domeniul securităţii, precum şi instituirea managementului în domeniul securităţii care trebuie integrat cu toate celelalte aspecte şi structuri de management ale organizaţiei.

50


O atenţie deosebită trebuie acordată protecţiei informaţiilorsensibile, reprezentând acele informaţii despre infrastructurilecritice care, în cazul divulgării, pot fi folosite pentru planificarea şiproducerea unor acte care să ducă la perturbarea sau distrugereaacestora.

În ceea ce priveşte securitatea fizică, un element specific protecţiei infrastructurilor critice este importanţa specială care trebuie acordată ameninţării teroriste în contextul general al ameninţărilor. Această abordare impune coniderarea mai multor niveluri de protecţie care să asigure descurajare‚ detectare‚ blocare‚ intârziere‚ răspuns‚ răspuns gradual.

51

Elaborarea specificatiei tehnico-operative

52

Elaborarea specificatiei tehnico-operativeSpecificaţie tehnico-operativă a sistemului tehnic de protecţie şi alarmare împotriva efracţiei poate include:• Introducere – o declaraţie a conducătorului organizaţiei menţionând importanţa planului şi susţinerea efectivă;• Scop şi domeniul de aplicare – explicitarea relaţiilor dintre practicile de securitate şi obiectivele şi practicile curente ale organizaţiei (ce este important şi valoros pentru organizaţie şi cum protecţia acestora va favoriza atingerea obiectivelor). Dacă la baza elaborării a stat un incident petrecut anterior, acestea trebuie specificat;• Mediul de securitate – un sumar al analizei de risc, principalele ameninţări avute în vedere şi consideraţii asupra practicilor de securitate existente în organizaţie;• Obiective – prezentare concisă a ceea ce prezenta specificaţie îşi propune să realizeze;• Strategiile şi acţiunile de securitate – prezentare detaliată a măsurilor de securitate care urmează a fi implementate, precum şi strategia de implementare;• Riscurile reziduale – prezentarea riscurilor reziduale estimate şi indicaţii pentru monitorizarea acestora şi a eficienţei măsurilor de securitate;• Grafic de implementare – după caz se pot specifica termene recomandate sau numai etapele necesare pentru implementarea specificaţiei;• Resurse – după caz se poate introduce o estimare a efortului de implementare a măsurilor de securitate propuse.

54

Nivel amenintare Scazut Mediu Ridicat

Nivel vulnerabilitate Scazut Mediu Ridicat Scazut Mediu Ridicat Scazut Mediu Ridicat

Valoare activ

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8

Analiza riscurilor de securitate.pdf

Documents

Transcript of Analiza riscurilor de securitate.pdf