Analiza de risc din perspectiva standardelor europene. Metode de analiză a riscului *

By | November 12, 2014

Principalele diferenţe între prevederile standardelor europene şi normele uzuale româneşti, în faza de proiectare a sistemelor de securitate, constau în următoarele :

– standardele europene încadrează echipamentele şi sistemele de securitate în 4 clase de mediu, de la clasa I (condiţii de funcţionare în mediu controlat), până la clasa a IV -a (funcţionare în aer liber, sub influenţa directă a factorilor de mediu )

– echipamentele şi sistemele pot fi încadrate în 4 grade de securitate :

  1. gradul 1 (risc scăzut) – echipamente care săreziste la atacul unor infractori sau hoţi cu cunoştinţe reduse despre acestea şi deţinând unelte simple;
  2. gradul 2 (risc mediu) – echipamente care să reziste la atacul unor infractori sau hoţi cu cunoştinţe limitate despre acestea şi deţinând unelte de uz general şi instrumente portabile simple;
  3. gradul 3 (risc mediu spre ridicat) – echipamente care să reziste la atacul unor infractori sau hoţi cu cunoştinţe serioase despre acestea şi deţinând o gamă completă de unelte şi instrumente;
  4. gradul 4 (risc ridicat) – echipamente care să reziste la atacul unor infractori sau hoţi care au abilităţi şi resurse să planifice o intruziune şi deţinând echipamente şi mijloace tehnice de substituire a unor componente de securitate.

 

Analiza de risc

Riscul, ca noţiune, reprezintă estimarea probabilităţii ca o ameninţare să folosească cu succes o vulnerabilitate şi să producă o consecinţă nefavorabilă. Ca fenomen, este o componentă omniprezentă a acţiunilor umane, atât în plan personal, cât, mai ales, la nivelul economic şi social.

Acţiunea de control al riscurilor este o activitate complexă, desfăşurată de la nivelul factorilor de conducere şi până la personalul de execuţie, revenind managerului de securitate al obiectivului şi este cunoscută, în literatura de specialitate sub numele de management al riscului.

Principalele etape ale managementului sunt :

  • identificarea riscului;
  • evaluarea riscului;
  • tratarea riscului .

Activitatea cunoscută sub numele de analiză de risc presupune însuşirea completă a caracteristicilor constructive şi funcţionale ale obiectivului sau procesului de protejat şi utilizarea sistematică a datelor şi informaţiilor culese, în scopul inventarierii activelor şi recunoaşterii ameninţărilor specifice. Procesul continuă cu aplicarea în practică a metodologiei de evaluare a riscului, adecvată obiectivului sau procesului de protejat.

Ca operaţii concrete, cuprinde :

  • identificarea resurselor: fizice, procesuale, informaţionale, de personal;
  • identificarea ameninţărilor la resurse;
  • cunoaşterea vulnerabilităţilor care pot conduce la „succesul” ameninţărilor;
  • identificarea impactului pe care concretizarea ameninţărilor îl poate avea asupra resurselor şi procesului predominant în organizaţie: daune, costuri directe şi asociate, alte categorii de pierderi.

Analiza de risc poate fi :

  • calitativă, când nu se alocă valori financiare resurselor, iar finalitatea constă în încadrarea pe o scală de aprecieri, sau
  • cantitativă, când predomină factorul cost (valoarea resursei pentru organizaţie, impactul financiar imediat şi costul asociat ).

În practica analizei riscului, literatura de specialitate menţionează o listă lungă de metode şi tehnici, din care specialiştii le aleg pe cele care se adaptează cel mai bine obiectivelor şi proceselor care trebuie protejate.

Dintre cele mai frecvent utilizate amintesc :

A) metoda matricilor de risc;

B) metoda OCTAVE;

C) metoda MEHARI .

     

A) Metoda matricilor de risc

Metoda împarte obiectivul de protejat în patru componente de bază :

  • componenta fizică;
  • componenta funcţională (procesuală);
  • componenta informaţională;
  • componenta de personal.

Având ca punct de plecare modelul relaţionalităţii dintre ameninţări şi vulnerabilităţi, se face evaluarea riscului global prin aplicarea relaţiilor de calcul specifice la determinarea riscurilor pentru fiecare componentă şi însumarea ponderată a rezultatelor parţiale.

Matricea de risc este construită din liste de ameninţări, liste de vulnerabilităţi specifice, aferente şi liste de riscuri, rezultate din conjuncţia celor doi factori.

Caracteristicile fizice se referă la perimetrul obiectivului, zona exterioară imediată, zona interioară imediată, zona spaţiilor funcţionale, zona spaţiilor interioare destinate păstrării valorilor critice, alte elemente specifice construcţiilor. Procesul funcţional, predominant în organizaţie, este definit prin resurse materiale şi umane, mod de organizare, grad existent de asigurare a continuităţii derulării sale.

Componenta informaţională este analizată prin prisma rolului pe care îl are în obiectiv, aspectele sale structurale (elemente hardware şi software), precum şi tinând seama de ameninţările determinate de transmiterea informaţiilor spre şi din exterior.

O atenţie deosebită este acordată protecţiei personalului, plecând de la tipizarea potenţialilor infractori şi până la etapele de recrutare, angajare, instruire şi fidelizare a personaluluipropriu.

Calculul riscului global, Rg , se obţine prin însumarea ponderată a riscurilor pe componente, după o formalizare de tipul :

Rg = p1 x Rp + p2 x Rf + p3 x Ri + p4 x Rps ,

unde :

  • Rp , este riscul asupra componentei procesuale,
  • Rf , este riscul asupra componentei fizice,
  • Ri , este riscul asupra componentei informaţionale,
  • Rps , este riscul asupra componentei de personal ,

iar : p1 , p2 , p3 , p4 sunt ponderile specifice organizaţiei (obiectivului).

Evident Σ pi=1 .

La rândul său, fiecare valoare de risc se calculează ca o sumă ponderată a valorilor riscurilor pe elementele constitutive ale componentei; de exemplu:

Rf = Σ pk x Rfk , cu :

  • pk , ponderea alocată elementului k
  • Rck , riscul aferent elementului k al componentei fizice

Metoda este adaptabilă şi se poate transforma într-un instrument de evaluare.

 

B) Metoda OCTAVE

Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability EvaluationSM ), elaborată de specialişti americani, defineşte evaluarea strategică, bazată pe risc şi planificarea tehnică, în scopul realizării securităţii obiectivului de protejat. Există o versiune adaptată organizaţiilor mici, având până la 100 de persoane şi care se numeşte OCTAVE -S. Pentru implementarea metodei este necesar să lucreze oechipă de 3-5 specialişti, care se vor ocupa cu culegerea de date, analiza informaţiilor obţinute, elaborarea strategiei de protecţie şi a planurilor de reducere a riscurilor identificate .

Activitatea este organizată în cadrul a 3 faze.

Faza 1 este consacrată construirii profilului ameninţării pe baza valorilor existente în organizaţie (obiectiv) şi se compune din două procese :

  1. identificarea informaţiilor organizaţiei;
  2. stabilirea profilurilor ameninţărilor.

Pe durata procesului 1 se definesc criteriile de evaluare a impactului asupra bunurilor organizaţiei, se inventariază valorile acesteia, precum şi practicile de securitate la data auditului .

În cadrul procesului 2 are loc o selectare şi ierarhizare a valorilor critice, stabilirea cerinţelor de securitate pentru acestea şi identificarea ameninţărilor la valorile critice .

Faza a 2-a, de identificare a vulnerabilităţilor infrastructurii, este dedicată analizei detaliate a reţelelor de calculatoare, din punctul de vedere al valorilor critice.

Procesul specific fazei constă în examinarea căilor de acces (fizic şi logic) la resursele reţelelor, precum şi a tehnologiilor utilizate pentru implementare.

În cadrul fazei a 3-a, activitatea se derulează prin două procese :

  1. identificarea şi analiza riscurilor;
  2. dezvoltarea strategiei de protecţie şi a planurilor de reducere a riscurilor.

Activităţile pe durata primului proces, de identificare şi analiză a riscurilor, sunt alocate evaluării impactului ameninţărilor, determinării probabilităţii pentru criteriile de evaluare şi estimării probabilităţilor ameninţărilor.

În continuare, pe parcursul celui de-al doilea proces, de elaborare a strategiei de protecţie şi a planurilor concrete de reducerea riscurilor, se efectuează următoarele activităţi :

  • schiţarea strategiei curente de protecţie;
  • alegerea concepţiilor de reducere a riscurilor;
  • dezvoltarea planurilor de reducere a riscurilor;
  • identificarea schimbărilor în strategia de protecţie.

Din această scurtă prezentare se evidenţiază câteva caracteristici ale metodei, care începe cu selectarea şi tratarea diferenţiată a valorilor critice ale organizaţiei, continuă cu analiza dedicată componentei informaţionale şi nu se încheie cu elaborarea strategiei de securitate, ci cu redactarea planurilor concrete de reducere a riscurilor identificate, activităţi care sunt concepute a se derula ciclic şi sistemic.

 

C) Metoda MEHARI

Una din metodele utilizate pe plan european este metoda MEHARI, elaborată de o echipă de specialişti francezi, care abordează atât analiza, cât şi managementul riscului, evaluând, cantitativ şi calitativ, factoriide risc. În setul de instrumente al metodei există o bază de cunoştinţe referitoare la situaţiile de risc, susţinută de o aplicaţie software, ce permite calcule, simulări şi optimizări.

Schema globală a analizei de risc conţine paşii următori :

  1. evaluarea expunerii naturale, care se face pe baza unei grile combinate, ce conţine nivelurile expunerii (expunere foarte slabă, slabă, medie, ridicată) şi în funcţie de care se face evaluarea a patru capitole de ameninţări:

accidente (foc, inundaţii, căderi ale energiei electrice, deranjamente de echipamente IT sau telefonice, pierderi accidentale de date şi fişiere, pierderi de personal important s.a.)

acţiuni răuvoitoare (vandalism, terorism, alterare intenţionată de date şi fişiere, furturi de date şi componente IT , configurare greşită intenţionată a software-ului de reţea, spionaj industrial sau de stat, etc.)

acţiuni intenţionate, dar fără intenţie răuvoitoare (absenţă sau greva personalului IT , plecarea sau demisia unor funcţionari cheie, utilizare ilegală de software licenţiat)

erori (degradarea performanţelor ca urmare a neaplicării mentenanţei periodice, ştergere neintenţionată de programe, ca urmare a unor erori umane, bug-uri în programe aplicative, erori la introducerea datelor de intrare, etc.)

  1. evaluarea factorilor de descurajare şi prevenire (elemente de construcţie, echipamente tehnice, proceduri, personal de specialitate)
  2. evaluarea potenţialităţii (în funcţie de evenimentul care conduce la scenariu, se foloseşte unul din trei tabele standard – STATUS -EXPO , STATUS -DISS , STA TUS -PREV – şi se evaluează potenţialitatea sub numele STATUS-P)
  3. evaluarea impactului direct ; are ca punct de plecare o grilă ale cărei capitole tratează :

– bunuri (valori);

– date şi informaţii;

– infrastructura (telecomunicaţii şi sisteme);

– infrastructura generală;

– disponibilitatea personalului;

– conformitatea cu reglementările şi procedurile în materie. (referitor la capitolul informaţional, în cadrul acestei anexe se evidenţiază atributele specifice, ce pot fi afectate: Disponibilitatea informaţiilor, Integritatea sau Confidenţialitatea acestora)

  1. evaluarea factorilor de protectie, compensare şi recuperare; exista un set de 5 categorii de măsuri de reducere a riscului :

– descurajare;

– prevenire;

– protecţie;

– compensare;

– recuperare.

  1. evaluarea reducerii impactului ( în cadrul etapei de audit de securitate se face analiza factorilor de reducere a riscurilor şi evaluarea nivelurilor acestora; factorii de reducere sunt disuasiunea şi prevenţia, pentru potenţialitate, protecţie şi paliativ şi recuperarea,pentru impact ).
  2. evaluarea globală a riscului ( pe baza evaluării STATUS -P, la pasul 3 şi a grilei STATUS -RI , la pasul 6, se evaluează STATUS -GLOBAL, respectând raţionamentele specifice metodei şi tabelele standard de evaluare).

Estimarea factorilor ce concură la definirea şi calcularea riscului se realizează utilizând un set de grile standard (grile STATUS-P, axate pe scenarii de tip accident, eroare, actiune voluntara şi grile STATUS-RI, axate pe scenarii de tip Disponibilitate, Integritate, Confidentialitate), care fac parte din baza de cunoştinte MEHARI .

Faza iniţială de inspecţie în obiectiv (site-survey) este susţinută de un set de chestionare care servesc la relevarea caracteristicilor amănunţite ale componentelor obiectivului:

  • organizaţia;
  • locaţia;
  • incintele;
  • funcţionarea extinsă a reţelei;
  • funcţionarea reţelei locale;
  • operaţii în reţea;
  • securitatea arhitecturii de sistem;
  • operaţionalitatea resurselor IT ;
  • aplicaţiile principale;
  • securitatea aplicaţiilor şi a dezvoltării de proiecte;
  • mediul de lucru;
  • reglementările în funcţiune, interne şi naţionale.

Din prezentarea succintă a metodei se relevă unele trăsături specifice :

  • utilizarea unor instrumente de ghidare (chestionare de audit, scenarii de evenimente);
  • tratarea completă a securităţii (fizică, funcţională, informaţională, de personal);
  • aplicarea acestei metode nu se limitează la obiective deja consacrate în domeniu (militare, guvernamentale, comerciale, ş.a. ), ci se aplică şi la alte categorii, care au de protejat diverse tipuri de valori, în accepţiunea generală a noţiunii de securitate;
  • este o metodă laborioasă, care necesită un număr mare de persoane calificate.

Metoda impresionează prin pachetul de chestionare care servesc la efectuarea auditului şi lista amănunţită de scenarii, lucru util la evaluarea cât mai precisă a impactului asupra valorilor organizaţiei.

 

* Adaptare după Ing. Adrian Roşca, articol din revista Alarma, decembrie 2008