Managementul Riscului de Securitate a Informatiei

28
Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investeşte în oameni! Întreprinzător în Mileniul Trei Întreprinzător în Mileniul Trei INTRODUCERE IN MANAGEMENTUL RISCULUI sprijinim să deveniţi întreprinzător în mileniul

Transcript of Managementul Riscului de Securitate a Informatiei

Page 1: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Întreprinzător în Mileniul TreiÎntreprinzător în Mileniul Trei

INTRODUCERE IN

MANAGEMENTUL RISCULUI

Vă sprijinim să deveniţi întreprinzător în mileniul trei!

Page 2: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Întreprinzător în Mileniul Trei,spaţiul virtual al întreprinzătorilor care au ales să se

conecteze la mediul de afaceri european!

Cultură antreprenorială, competenţă managerială

tehnologia informaţiei în afaceri!

Page 3: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Conceptul de management al risculuiConceptul de management al riscului

“Pericol eventual, mai mult sau mai puţin previzibil”

Noul dicţionar explicativ al Limbii Române, Editura Litera Internaţional, 2002

“Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un necaz sau de suportat o pagubă”

Dicţionar explicativ al Limbii Române, Academia Română, Institutul de Lingvistică "Iorgu Iordan", Editura Univers Enciclopedic, 1998

Page 4: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

“Incertitudinea …care afecteaza posibilitatea atingerii obiectivelor”

British Standards Institute (BSI), standardul 6079-3/2000

“Un eveniment sau o conditie incerta care, daca apare, are un efect pozitiv sau negativ asupra obiectivelor proiectului. Riscul proiectului include atat amenintarile asupra obiectivelor cat si oportunitatile de a imbunatati aceste obiective.”

Project Management Institute (PMI), PMBoK (editia 2000 republicata in 2004)

Conceptul de management al risculuiConceptul de management al riscului

Page 5: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

“Masura a neconcordantei dintre diferite rezultate posibile, mai mult sau mai putin favorabile sau nefavorabile intr-o actiune viitoare”.

Dictionarul Enciclopedic Managerial, Editura Academica de Management

Institutul pentru Managementul Riscului utilizeaza definitia din ISO/IEC Guide 73: “Combinatia dintre probabilitatea de aparitie a unui eveniment si consecintele acestuia”

Conceptul de management al risculuiConceptul de management al riscului

Page 6: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Din punct de vedere economicStare in care exista probabilitatea aparitiei unei variatii adverse in raport cu un obiectiv definit de o organizatie(legat de modificarile produse la nivelul veniturilor, costurilor, sau volumului de productie).

Din punct de vedere financiarRelatie intre o entitate (individ, organizatie) si un activ ce poate fi pierdut sau poate fi deteriorat.

Conceptul de management al risculuiConceptul de management al riscului

Page 7: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Din punct de vedere al domeniului asigurarilorProdusul dintre o pierdere posibila si probabilitatea de aparitie a acesteia, produs cunoscut ca “expunere la risc”.

Din punct de vedere al managementului de proiectProbabilitate a aparitiei unui eveniment si impactul acestui eveniment asupra obiectivelor unui proiect.

Conceptul de management al risculuiConceptul de management al riscului

Page 8: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Din punct de vedere al stiintelor mediuluiPosibilitatea aparitiei de efecte negative asupra componentelor mediului, ca urmare a unor agenti daunatori sau a unor fenomene naturale cu efecte dezastruoase.

Din punct de vedere al sanatatii si securitatii umaneProbabilitatea de modificare a starii de sanatate a indivizilor ca urmare a expunerii la unul sau mai multi factori de risc externi, interni sau de mod de viata.

Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”

Conceptul de management al risculuiConceptul de management al riscului

Page 9: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Din punct de vedere informationalRaportarea la o stare in care principalele proprietati ale informatiei ar putea sa fie afectate: confidentialitate, integritate, disponibilitate. Pot fi de asemenea implicate si alte proprietati ale informatiei: autenticitate, responsabilitate, non-repudiere, fiabilitate. Informatia trebuie privita in totalitatea ei, independent de suportul pe care circula.

Managementul riscului - activitati coordonate pentru directionarea si controlul organizatiei cu privire la riscuri (conform ISO/IEC 73)

Conceptul de risc informationalConceptul de risc informational

Page 10: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Dezvoltarea Risk Management (RM) ca disciplina incepe dupa 1900:

-1900 Uraganul Galveston, schimba abordarea asupra previziunilor meteo

-1920 British Petroleum infiinteaza Tanker Inshurance Company

-1921 primele publicatii, “Risc, Uncertainty and Profit”, Frank Knight si “A Treatise on Probability”, Maynard Keyes

-Diverse publicatii, nu foarte numeroase, in special in zona investitionala, financiara, asigurari

-1950 se consacra termenul de Management al Riscului si incep sa se infiinteze functii de MR in organizatii

IstoricIstoric

Page 11: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

-1962 apare prima publicatie care incurajeaza opinia publica sa ia in considerare degradarea mediului “The silent spring”, Rachel Carson

-1970 infiintarea “Agentiei de Protectie a Mediului” in SUA

-1973 Asociatia de la Geneva incepe sa acorde stimulente intelectuale pentru promovarea Managementului Riscului

-1975 se infiinteaza “Risk & Insurance Management Society” - (RIMS)

-1980 in Washington se infiinteaza “Societatea de Analiza a Riscului” - SRA, acumuleaza pana in anul 1999 2200 membri http://www.sra.org/

IstoricIstoric

Page 12: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

-1986 se infiinteaza la Londra “Institutul de Management al Riscului” – IRM orientat catre sustinere si formare, lanseaza un program educational intensiv (http://www.theirm.org)

-1995 apare primul “Risk Management Standard” revizuit ulterior, in 1999

-1996 se infiinteaza “The Global Association of Risk Professionals” – GARP, cu orientare catre zona financiar-bancara, desfasoara activitati aproape exclusiv prin Internet, devine pana in 2002 cea mai mare asociatie (cu 5000 contribuabili si 17000 membri asociati) (http://www.garp.com)

Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”

IstoricIstoric

Page 13: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

ISO 31000:2009, Risk management - Guidelines on principles and implementation of risk managementBS 6079-3:2000, Guide to the Management of Business Related Project RiskSR EN/ISO CEI 27001:2005, Tehnologia informatiei - Tehnici de securitate -Sisteme de management al securitatii informatiei. CerinteSR EN/ISO CEI 27002:2007, Tehnologia informatiei - Tehnici de securitate - Cod de buna practica pentru managementul securitatii informatieiISO/IEC 27005:2008, Information technology - Security techniques - Information security risk management (inlocuieste 13335-2,3,4)

IstoricIstoric

Page 14: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use in standards (www.iso.ch) ISO/IEC 18044:2004, Information technology - Security Techniques - Information Security Incident Management.- ISO/IEC 18028:2006, Information technology - Security techniques - IT network security- ISO/IEC 15408-1: 2005, Information technology - Security techniques - Evaluation criteria for IT security (criterii comune)

Standarde si documente de referintaStandarde si documente de referinta

Page 15: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

-CobIT, Control Objectives for Information and Related Technology, elaborat de ISACA (Information System Audit and Control Asociation (www.isaca.org). Colectie de bune practici in domeniul IT.- ITIL, IT Infrastructure Library, OGC - Office of Government Commerce, echivalent cu ISO/ IEC 20000:2005 Information technology - Service management (www.iso.ch), de asemenea o colectie de bune practici orientat insa inspre gestionarea SLA.- ITBPM, IT Baseline Protection Manual elaborat de Federal Office for Security in Information Technology (FSI), Germania (http://bsi.bund.de)

Standarde si documente de referintaStandarde si documente de referinta

Page 16: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Determinarea riscului - procesul combinat de analiza si evaluare a riscului (ISO/IEC 73)

Analiza riscului - utilizarea sistematica a informatiilor pentru identificarea surselor si estimarea riscului (ISO/IEC 73)

Estimarea riscului – exprimare a duratei, intensitatii, dimensiunii si capacitatii de a genera consecinte, aferente unui factor de risc identificat, intr-o maniera cuantificata sau baneasca (Business Dictionary)

DefinitiiDefinitii

Page 17: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Evaluarea riscului - procesul de comparare a riscului estimat cu criteriile de risc pentru determinarea semnificatiei riscului (ISO/IEC 73

Tratarea riscului - procesul de selectie si implementare a masurilor pentru reducerea riscului (ISO/IEC 73)

Amenințare - cauza potentiala a unui incident nedorit care poate produce daune unui sistem sau unei organizații (ISO/IEC 13335-1)

Vulnerabilitate - slabiciune a unei resurse sau grup de resurse care poate fi exploatata de una sau mai multe amenintari (ISO/IEC 13335-1)

DefinitiiDefinitii

Page 18: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Impact - daunele cauzate de un incident

Bun (Asset) - valoare pentru organizatie, activitatea organizatiei si continuitatea acesteia (ISO/IEC 13335-1)

Masura de control - practica, procedura sau mecanism care reduce riscurile de securitate (ISO/IEC 13335-1)

Risc rezidual – riscul care ramane dupa tratarea riscului (ISO/IEC 73)

Managementul riscului - activitati coordonate pentru indrumarea si controlul unei organizatii luand in considerare riscurile (ISO/IEC 73)

DefinitiiDefinitii

Page 19: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Riscul informational se raporteaza la informatie si la capacitatea acesteia de a fi mentinuta in conditii de securitate.

Atat riscul cat si securitatea informatiei se raporteaza la proprietatile informatiei: confidentialitate, integritate, disponibilitate, responsabilitate, autenticitate, non-repudiere, fiabilitate.

Sisteme de management al securitatii informatiei - SMSISisteme de management al securitatii informatiei - SMSI

Page 20: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

SMSI este parte a intregului sistem de management care are in centru o abordare a riscului afacerii folosita pentru a stabili, implementa, functiona, monitoriza, revizui, mentine si imbunatati securitatea informatiei.

Stabilirea unui SMSI intr-o organizatie are in centrul tuturor demersurilor realizarea proceselor adecvate de management al riscului informational in vederea asigurarii securitatii informatiei.

Sisteme de management al securitatii informatiei - SMSISisteme de management al securitatii informatiei - SMSI

Page 21: Managementul Riscului de Securitate a Informatiei

PLAN- identificarea riscului- cuantificarea riscului in raport cu

- impactul materializarii sale asupra afacerii- probabilitatea de aparitie

- identificarea masurilor necesare pentru a aduce riscul in limite acceptabile

ACT- imbunatatirea masurilor de tratare a riscurilor tinand cont de schimbarile de situatie din contextul organizational- imbunatatirea continua a procesului in ansamblu

DO- implementarea masurilor de tratare a riscurilor- instruirea conducerii si a personalului in general cu privire la riscurile identificate si masurile stabilite

CHECK- monitorizarea si reevaluarea rezultatelor masurilor aplicate, a eficacitatii si eficientei procesului

Sisteme de management al securitatii informatiei - SMSISisteme de management al securitatii informatiei - SMSI

Page 22: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Impactul pe care o amenintare il creeaza prin exploatarea unei vulnerabilitati ar trebui analizat din perspectiva obiectivelor securitatii informatiei: integritate, disponibilitate, confidentialitate.

Mare pierderi materiale cu costuri foarte mari; pierderi foarte importante de imagine, reputatie, etc; pierderi foarte importante la nivel de securitate si sanatate in muncaMediu pierderi materiale cu costuri semnificative; pierderi semnificative de imagine, reputatie, etc; pierderi la nivel de securitate si sanatate in muncaScazut pierderi materiale neimportante; oarecare atingere de imagine, reputatie, etc;

Analiza riscului informationalAnaliza riscului informational

Page 23: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Exemplu estimare: abordare detaliata consecinte-impact- probabilitate, masurare calitativa

Page 24: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Exemplu estimare : abordare detaliata valoare bunuri-vulnerabilitate-probabilitate, masurare calitativa

Page 25: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Cei 4T - “Terminate, Tolerate, Treat, Transfer”

TRANSFER TERMINARE

TOLERARE TRATARE

Impact

Mare

Mic

Mica Mare

Probabilitate de aparitie

Tratarea riscului informationalTratarea riscului informational

Page 26: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Pentru fiecare dintre riscurile determinate este necesara o decizie de tratare. Optiuni posibile:

- Evitarea riscurilor prin interzicerea actiunilor care ar putea cauza aparitia riscurilor (Terminare)- Acceptarea constienta si obiectiva a riscului conform politicii si criteriilor de acceptare a riscurilor stabilite de organizatie (Tolerare)- Aplicarea masurilor adecvate de securitate pentru reducerea riscului (Tratare)- Transferul riscurilor catre terte parti, e.g. asiguratori sau furnizori de servicii (Transfer)

Tratarea riscului informationalTratarea riscului informational

Page 27: Managementul Riscului de Securitate a Informatiei

Proiect cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Pentru riscurile pentru care s-a luat decizia de tratare trebuie luate masuri de reducere a riscurilor la un nivel acceptabil.

Controalele pot fi selectate din acest standard sau din alte seturi de controale, pot fi proiectate noi controale pentru a îndeplini nevoile specifice organizatiei

Trebuie recunoscute controalele care nu pot fi aplicate la fiecare sistem sau mediu de informatii si care nu sunt utilizabile pentru toate organizatiile

Tratarea riscului informationalTratarea riscului informational

Page 28: Managementul Riscului de Securitate a Informatiei

Tratarea riscului informationalTratarea riscului informational