Principalele diferen\u0163e \u00eentre prevederile standardelor europene \u015fi normele uzuale rom\u00e2ne\u015fti, \u00een faza de proiectare a sistemelor de securitate, constau \u00een urm\u0103toarele :<\/p>\n
– standardele europene \u00eencadreaz\u0103 echipamentele \u015fi sistemele de securitate \u00een 4 clase de mediu, de la clasa I (condi\u0163ii de func\u0163ionare \u00een mediu controlat), p\u00e2n\u0103 la clasa a IV -a (func\u0163ionare \u00een aer liber, sub influen\u0163a direct\u0103 a factorilor de mediu )<\/p>\n
– echipamentele \u015fi sistemele pot fi \u00eencadrate \u00een 4 grade de securitate :<\/p>\n
<\/p>\n
Analiza de risc<\/strong><\/p>\n Riscul, ca no\u0163iune, reprezint\u0103 estimarea probabilit\u0103\u0163ii ca o amenin\u0163are s\u0103 foloseasc\u0103 cu succes o vulnerabilitate \u015fi s\u0103 produc\u0103 o consecin\u0163\u0103 nefavorabil\u0103. Ca fenomen, este o component\u0103 omniprezent\u0103 a ac\u0163iunilor umane, at\u00e2t \u00een plan personal, c\u00e2t, mai ales, la nivelul economic \u015fi social.<\/p>\n Ac\u0163iunea de control al riscurilor este o activitate complex\u0103, desf\u0103\u015furat\u0103 de la nivelul factorilor de conducere \u015fi p\u00e2n\u0103 la personalul de execu\u0163ie, revenind managerului de securitate al obiectivului \u015fi este cunoscut\u0103, \u00een literatura de specialitate sub numele de management<\/em><\/strong> al riscului.<\/em><\/strong><\/p>\n Principalele etape ale managementului sunt :<\/p>\n Activitatea cunoscut\u0103 sub numele de analiz\u0103 de risc presupune \u00eensu\u015firea complet\u0103 a caracteristicilor constructive \u015fi func\u0163ionale ale obiectivului sau procesului de protejat \u015fi utilizarea sistematic\u0103 a datelor \u015fi informa\u0163iilor culese, \u00een scopul inventarierii activelor \u015fi recunoa\u015fterii amenin\u0163\u0103rilor specifice. Procesul continu\u0103 cu aplicarea \u00een practic\u0103 a metodologiei de evaluare a riscului, adecvat\u0103 obiectivului sau procesului de protejat.<\/p>\n Ca opera\u0163ii concrete, cuprinde :<\/p>\n Analiza de risc poate fi :<\/p>\n \u00cen practica analizei riscului, literatura de specialitate men\u0163ioneaz\u0103 o list\u0103 lung\u0103 de metode \u015fi tehnici, din care speciali\u015ftii le aleg pe cele care se adapteaz\u0103 cel mai bine obiectivelor \u015fi proceselor care trebuie protejate.<\/p>\n Dintre cele mai frecvent utilizate amintesc :<\/p>\n A) metoda matricilor de risc;<\/p>\n B) metoda OCTAVE;<\/p>\n C) metoda MEHARI .<\/p>\n \u00a0 \u00a0 \u00a0<\/strong><\/p>\n A) Metoda matricilor de risc<\/strong><\/p>\n Metoda \u00eemparte obiectivul de protejat \u00een patru componente de baz\u0103 :<\/p>\n Av\u00e2nd ca punct de plecare modelul rela\u0163ionalit\u0103\u0163ii dintre amenin\u0163\u0103ri \u015fi vulnerabilit\u0103\u0163i, se face evaluarea riscului global prin aplicarea rela\u0163iilor de calcul specifice la determinarea riscurilor pentru fiecare component\u0103 \u015fi \u00eensumarea ponderat\u0103 a rezultatelor par\u0163iale.<\/p>\n Matricea de risc este construit\u0103 din liste de amenin\u0163\u0103ri, liste de vulnerabilit\u0103\u0163i specifice, aferente \u015fi liste de riscuri, rezultate din conjunc\u0163ia celor doi factori.<\/p>\n Caracteristicile fizice se refer\u0103 la perimetrul obiectivului, zona exterioar\u0103 imediat\u0103, zona interioar\u0103 imediat\u0103, zona spa\u0163iilor func\u0163ionale, zona spa\u0163iilor interioare destinate p\u0103str\u0103rii valorilor critice, alte elemente specifice construc\u0163iilor. Procesul func\u0163ional, predominant \u00een organiza\u0163ie, este definit prin resurse materiale \u015fi umane, mod de organizare, grad existent de asigurare a continuit\u0103\u0163ii derul\u0103rii sale.<\/p>\n Componenta informa\u0163ional\u0103 este analizat\u0103 prin prisma rolului pe care \u00eel are \u00een obiectiv, aspectele sale structurale (elemente hardware \u015fi software), precum \u015fi tin\u00e2nd seama de amenin\u0163\u0103rile determinate de transmiterea informa\u0163iilor spre \u015fi din exterior.<\/p>\n O aten\u0163ie deosebit\u0103 este acordat\u0103 protec\u0163iei personalului, plec\u00e2nd de la tipizarea poten\u0163ialilor infractori \u015fi p\u00e2n\u0103 la etapele de recrutare, angajare, instruire \u015fi fidelizare a personaluluipropriu.<\/p>\n Calculul riscului global, Rg <\/em><\/strong>, se ob\u0163ine prin \u00eensumarea ponderat\u0103 a riscurilor pe componente, dup\u0103 o formalizare de tipul :<\/p>\n Rg <\/em><\/strong>= p1 <\/em><\/strong>x Rp <\/em><\/strong>+ p2 <\/em><\/strong>x Rf <\/em><\/strong>+ p3 <\/em><\/strong>x Ri <\/em><\/strong>+ p4 <\/em><\/strong>x Rps <\/em><\/strong>,<\/p>\n unde :<\/p>\n iar : p1 <\/em><\/strong>, p2 <\/em><\/strong>, p3 <\/em><\/strong>, p4 <\/em><\/strong>sunt ponderile specifice organiza\u0163iei (obiectivului).<\/p>\n Evident \u03a3<\/strong> pi=1 .<\/p>\n La r\u00e2ndul s\u0103u, fiecare valoare de risc se calculeaz\u0103 ca o sum\u0103 ponderat\u0103 a valorilor riscurilor pe elementele constitutive ale componentei; de exemplu:<\/p>\n Rf <\/em><\/strong>= \u03a3<\/strong> pk <\/em><\/strong>x Rfk <\/em><\/strong>, cu :<\/p>\n Metoda este adaptabil\u0103 \u015fi se poate transforma \u00eentr-un instrument de evaluare.<\/p>\n \u00a0<\/strong><\/p>\n B) Metoda OCTAVE<\/strong><\/p>\n Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability EvaluationSM ), elaborat\u0103 de speciali\u015fti americani, define\u015fte evaluarea strategic\u0103, bazat\u0103 pe risc \u015fi planificarea tehnic\u0103, \u00een scopul realiz\u0103rii securit\u0103\u0163ii obiectivului de protejat. Exist\u0103 o versiune adaptat\u0103 organiza\u0163iilor mici, av\u00e2nd p\u00e2n\u0103 la 100 de persoane \u015fi care se nume\u015fte OCTAVE -S. Pentru implementarea metodei este necesar s\u0103 lucreze oechip\u0103 de 3-5 speciali\u015fti, care se vor ocupa cu culegerea de date, analiza informa\u0163iilor ob\u0163inute, elaborarea strategiei de protec\u0163ie \u015fi a planurilor de reducere a riscurilor identificate .<\/p>\n Activitatea este organizat\u0103 \u00een cadrul a 3 faze.<\/p>\n Faza 1 <\/em><\/strong>este consacrat\u0103 construirii profilului amenin\u0163\u0103rii pe baza valorilor existente \u00een organiza\u0163ie (obiectiv) \u015fi se compune din dou\u0103 procese :<\/p>\n Pe durata procesului 1 <\/em>se definesc criteriile de evaluare a impactului asupra bunurilor organiza\u0163iei, se inventariaz\u0103 valorile acesteia, precum \u015fi practicile de securitate la data auditului .<\/p>\n \u00cen cadrul procesului 2 <\/em>are loc o selectare \u015fi ierarhizare a valorilor critice, stabilirea cerin\u0163elor de securitate pentru acestea \u015fi identificarea amenin\u0163\u0103rilor la valorile critice .<\/p>\n Faza a 2-a<\/em><\/strong>, de identificare a vulnerabilit\u0103\u0163ilor infrastructurii, este dedicat\u0103 analizei detaliate a re\u0163elelor de calculatoare, din punctul de vedere al valorilor critice.<\/p>\n Procesul specific fazei const\u0103 \u00een examinarea c\u0103ilor de acces (fizic \u015fi logic) la resursele re\u0163elelor, precum \u015fi a tehnologiilor utilizate pentru implementare.<\/p>\n \u00cen cadrul fazei a 3-a<\/em><\/strong>, activitatea se deruleaz\u0103 prin dou\u0103 procese :<\/p>\n Activit\u0103\u0163ile pe durata primului proces<\/em>, de identificare \u015fi analiz\u0103 a riscurilor, sunt alocate evalu\u0103rii impactului amenin\u0163\u0103rilor, determin\u0103rii probabilit\u0103\u0163ii pentru criteriile de evaluare \u015fi estim\u0103rii probabilit\u0103\u0163ilor amenin\u0163\u0103rilor.<\/p>\n \u00cen continuare, pe parcursul celui de-al doilea proces<\/em>, de elaborare a strategiei de protec\u0163ie \u015fi a planurilor concrete de reducerea riscurilor, se efectueaz\u0103 urm\u0103toarele activit\u0103\u0163i :<\/p>\n Din aceast\u0103 scurt\u0103 prezentare se eviden\u0163iaz\u0103 c\u00e2teva caracteristici ale metodei, care \u00eencepe cu selectarea \u015fi tratarea diferen\u0163iat\u0103 a valorilor critice ale organiza\u0163iei, continu\u0103 cu analiza dedicat\u0103 componentei informa\u0163ionale \u015fi nu se \u00eencheie cu elaborarea strategiei de securitate, ci cu redactarea planurilor concrete de reducere a riscurilor identificate, activit\u0103\u0163i care sunt concepute a se derula ciclic \u015fi sistemic.<\/p>\n <\/p>\n C) Metoda MEHARI<\/strong><\/p>\n Una din metodele utilizate pe plan european este metoda MEHARI<\/em>, elaborat\u0103 de o echip\u0103 de speciali\u015fti francezi, care abordeaz\u0103 at\u00e2t analiza, c\u00e2t \u015fi managementul riscului, evalu\u00e2nd, cantitativ \u015fi calitativ, factoriide risc. \u00cen setul de instrumente al metodei exist\u0103 o baz\u0103 de cuno\u015ftin\u0163e <\/em>referitoare la situa\u0163iile de risc, sus\u0163inut\u0103 de o aplica\u0163ie software, ce permite calcule, simul\u0103ri \u015fi optimiz\u0103ri.<\/p>\n Schema global\u0103 a analizei de risc con\u0163ine pa\u015fii urm\u0103tori :<\/p>\n – accidente <\/em><\/strong>(foc, inunda\u0163ii, c\u0103deri ale energiei electrice, deranjamente de echipamente IT sau telefonice, pierderi accidentale de date \u015fi fi\u015fiere, pierderi de personal important s.a.)<\/p>\n – ac\u0163iuni r\u0103uvoitoare <\/em><\/strong>(vandalism, terorism, alterare inten\u0163ionat\u0103 de date \u015fi fi\u015fiere, furturi de date \u015fi componente IT , configurare gre\u015fit\u0103 inten\u0163ionat\u0103 a software-ului de re\u0163ea, spionaj industrial sau de stat, etc.)<\/p>\n – ac\u0163iuni inten\u0163ionate, dar f\u0103r\u0103 inten\u0163ie r\u0103uvoitoare <\/em><\/strong>(absen\u0163\u0103 sau greva personalului IT , plecarea sau demisia unor func\u0163ionari cheie, utilizare ilegal\u0103 de software licen\u0163iat)<\/p>\n – erori <\/em><\/strong>(degradarea performan\u0163elor ca urmare a neaplic\u0103rii mentenan\u0163ei periodice, \u015ftergere neinten\u0163ionat\u0103 de programe, ca urmare a unor erori umane, bug-uri \u00een programe aplicative, erori la introducerea datelor de intrare, etc.)<\/p>\n – bunuri (valori);<\/p>\n – date \u015fi informa\u0163ii;<\/p>\n – infrastructura (telecomunica\u0163ii \u015fi sisteme);<\/p>\n – infrastructura general\u0103;<\/p>\n – disponibilitatea personalului;<\/p>\n – conformitatea cu reglement\u0103rile \u015fi procedurile \u00een materie. (referitor la capitolul informa\u0163ional, \u00een cadrul acestei anexe se eviden\u0163iaz\u0103 atributele specifice, ce pot fi afectate: D<\/em><\/strong>isponibilitatea informa\u0163iilor, I<\/em><\/strong>ntegritatea sau C<\/em><\/strong>onfiden\u0163ialitatea acestora)<\/p>\n – descurajare;<\/p>\n – prevenire;<\/p>\n – protec\u0163ie;<\/p>\n – compensare;<\/p>\n – recuperare.<\/p>\n Estimarea factorilor ce concur\u0103 la definirea \u015fi calcularea riscului se realizeaz\u0103 utiliz\u00e2nd un set de grile standard (grile STATUS-P<\/em><\/strong>, axate pe scenarii de tip accident,<\/em><\/strong> eroare, actiune voluntara <\/em><\/strong>\u015fi grile STATUS-RI<\/em><\/strong>, axate pe scenarii de tip Disponibilitate, Integritate, Confidentialitate<\/em><\/strong>), care fac parte din baza de cuno\u015ftinte MEHARI .<\/p>\n Faza ini\u0163ial\u0103 de inspec\u0163ie \u00een obiectiv (site-survey) este sus\u0163inut\u0103 de un set de chestionare care servesc la relevarea caracteristicilor am\u0103nun\u0163ite ale componentelor obiectivului:<\/p>\n Din prezentarea succint\u0103 a metodei se relev\u0103 unele tr\u0103s\u0103turi specifice :<\/p>\n Metoda impresioneaz\u0103 prin pachetul de chestionare care servesc la efectuarea auditului \u015fi lista am\u0103nun\u0163it\u0103 de scenarii, lucru util la evaluarea c\u00e2t mai precis\u0103 a impactului asupra valorilor organiza\u0163iei.<\/p>\n <\/p>\n *\u00a0Adaptare dup\u0103 Ing. <\/strong>Adrian Ro\u015fca, articol din revista Alarma<\/em>, decembrie 2008<\/strong><\/p>\n\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n