analiza riscurilor de securitate.pdf
DESCRIPTION
Instalatii de securitateTRANSCRIPT
Analiza riscurilor de securitate
Stelian Arion
1
Analiza riscurilor de securitate
• Notiuni de management al riscului• Riscurile de securitate• Cerinte de securitate
• Sistemele de protectie si alarmare la efractie• Protectia informatiilor clasificate• Managementul securitatii informatiei• Protectia infrastructurilor critice
• Elaborarea specificatiei TO• Exercitiu 2
Notiuni de management al riscului
riscefectul incertitudinii asupra realizării obiectivelor managementul risculuiactivităţi coordonate pentru a direcţiona şi a controla o organizaţie în ceea ce priveşte riscul
3
ISO Ghid 73SR ISO 31000
ISO 31010
termeni referitori la risc;termeni referitori la managementul riscului;termeni referitori la procesul de management al riscului;termeni referitori la comunicare şi consultare;termeni referitori la context; termeni referitori la estimarea riscului;termeni referitori la identificarea riscului;termeni referitori la analiza riscului;termeni referitori la evaluarea riscului;termeni referitori la tratarea riscului;termeni referitori la monitorizare şi măsurare.
4
5
6
7
8
Prin stabilirea contextului, organizaţia îşi formulează obiectivele, defineşte parametrii externi şi interni de luat în considerare în managementul riscului, şi stabileşte domeniul de aplicare şi criteriile de risc pentru restul procesului• stabilirea contextului extern
• mediul cultural, social, politic, legal, de reglementare, financiar, tehnologic, economic, natural şi concurenţial, la nivel internaţional, naţional, regional sau local;• factorii critici şi tendinţele cu impact asupra obiectivelor organizaţiei;• relaţiile cu părţile interesate externe, percepţiile şi valorile acestora.
• stabilirea contextului intern• conducere, structură organizaţională, roluri şi responsabilităţi• politici, obiective şi strategii implementate pentru îndeplinirea acestora;• capabilităţi, înţelese în termeni de resurse şi cunoştinţe (de exemplu capital, termene, persoane, procese, sisteme şi tehnologii);• relaţii cu părţile interesate interne, percepţii şi valori ale acestora;• cultură organizaţională;• sisteme de informaţii, fluxuri de informaţii şi procese de luare a deciziilor (atât oficial cât şi neoficial); • standarde, linii directoare şi modele adoptate de organizaţie; • forma şi anvergura relaţiilor contractuale.
9
Prin stabilirea contextului, organizaţia îşi formulează obiectivele, defineşte parametrii externi şi interni de luat în considerare în managementul riscului, şi stabileşte domeniul de aplicare şi criteriile de risc pentru restul procesului• stabilirea contextului procesului de management al riscului
• definirea scopurilor şi obiectivelor activităţilor de management al riscului;• definirea responsabilităţilor pentru procesul de management al riscului şi în cadrul acestuia;• definirea domeniului de aplicare, precum şi a profunzimii şi întinderii activităţilor de managementul riscului ce trebuie derulate, inclusiv includerile şi excluderile specifice;• definirea activităţii, procesului, funcţiei, proiectului, produsului, serviciului sau activelor în termeni de timp şi locaţie;• definirea relaţiilor dintre un proiect, proces sau activitate anume şi alte proiecte, procese sau activităţi ale organizaţiei;• definirea metodelor de evaluare a riscului;• definirea modului în care performanţa şi eficacitatea managementului riscului sunt evaluate; • identificarea şi precizarea deciziilor care urmează să fie luate;• identificarea, stabilirea domeniului de aplicare şi încadrarea studiilor necesare, mărimea şi obiectivele acestora, precum şi resursele necesare pentru realizarea lor.
10
Prin stabilirea contextului, organizaţia îşi formulează obiectivele, defineşte parametrii externi şi interni de luat în considerare în managementul riscului, şi stabileşte domeniul de aplicare şi criteriile de risc pentru restul procesului• definirea criteriilor de risc
• natura şi tipurile de cauze şi de consecinţe care se pot să apară şi modul în care acestea se măsoară;• modul de definire al plauzibilităţii;• scara (scările) plauzibilităţii şi/sau a consecinţei (consecinţelor);• modul în care este determinat nivelul de risc;• punctele de vedere ale părţilor interesate;• nivelul la care riscul devine acceptabil sau tolerabil; • dacă trebuie luate în considerare combinaţiile de riscuri multiple şi, în acest caz, metoda de utilizat şi combinaţiile care trebuie luate în considerare.
11
Evaluarea riscului reprezintă procesul global de identificare a riscului, analiza riscului şi estimarea risculuiIdentificarea risculuiSe recomandă ca organizaţia să identifice sursele de risc, zonele de impact, evenimentele (inclusiv modificări ale circumstanţelor) precum şi cauzele riscurilor şi potenţialele consecinţe ale acestora. Scopul acestei etape este generarea unei liste exhaustive a riscurilor pe baza acelor evenimente care ar putea crea, intensifica, împiedica, degrada, accelera sau întârzia îndeplinirea obiectivelorAnaliza risculuiAnaliza riscului implică considerarea cauzelor şi surselor de risc, a consecinţelor lor pozitive şi negative, precum şi a plauzibilităţii că aceste consecinţe se pot produce. Se recomandă să se identifice factorii care afectează consecinţele şi plauzibilitatea acestora. Riscul este analizat prin stabilirea consecinţelor şi a plauzibilităţii lor, precum şi a altor atribute ale riscului. Un eveniment poate avea consecinţe multiple şi poate afecta obiective multiple. De asemenea, se recomandă să se ia în considerare mijloacele existente de control, eficacitatea şi eficienţa acestora. Estimarea risculuiEstimarea riscului implică compararea nivelului de risc determinat în cursul procesului de analiză cu criteriile de risc stabilite în momentul luării în considerare a contextului. Pe baza acestei comparaţii, poate fi luată în considerare nevoia de tratare a riscului.
12
Tratarea riscului implică selectarea uneia sau mai multor opţiuni pentru modificarea riscurilor şi implementarea respectivelor opţiuni.
a) evitarea riscului prin luarea deciziei de a nu începe sau de a nu continua cu activitatea care dă naştere riscului;b) asumarea sau creşterea riscului pentru a urmări o oportunitate;c) îndepărtarea sursei de risc;d) modificarea plauzibilităţii;e) modificarea consecinţelor;f) împărţirea riscului cu altă parte sau părţi (inclusiv contracte şi finanţarea riscului); şig) reţinerea riscului prin decizie fundamentată.
Alegerea celei mai potrivite opţiuni de tratare a riscului implică echilibrarea costurilor şi eforturilor de implementare în raport cu beneficiile derivate, cu respectarea cerinţelor legale, de reglementare şi a altor cerinţe, cum ar fi responsabilitatea socială şi protecţia mediului natural. Se recomandă ca planul de tratarea riscului să identifice în mod clar ordinea de prioritate în care fiecare mod de tratare a riscului se recomandă să fie implementat.
sursa risculuielement care, singur sau în combinaţie cu altele, are potenţialul intrinsec de a produce un riscvulnerabilitateproprietăţile intrinseci ale ceva care au ca urmare susceptibilitatea faţă de o sursă de risc care poate conduce la un eveniment cu o consecinţă mijloc control măsură care modifică riscul rezilienţăcapacitatea de adaptare a unei organizaţii într-un mediu complex şi înschimbare
13
• ISO 31010 – tehnici de evaluare a riscurilor (31)• analiza scenariilor• BIA• LOPA• analiza “fluture”• indicii de risc• matricea probabilitate/consecinte• analiza cost/efect – ALARP
• ISO 27005 – ISMS – Information risk management• ASIS – General Security Risk Assessment Guideline
Analiza scenariului
dezvoltarea modelelor descriptive despre turnura pe care o poate lua viitorul
poate fi folosită pentru a identifica riscurile prin luarea în considerare a dezvoltării viitoare posibile şi explorarea implicaţiilor acesteia
poate juca o parte în toate cele trei componente ale evaluării riscului. pentru identificare şi analiză, seturile de scenarii reflectă (de
exemplu) cel mai bun caz, cel mai rău caz şi cazul „aşteptat” şi care pot fi utilizate în identificarea a ceea ce se poate întâmpla în circumstanţe particulare şi analizează consecinţele potenţiale şi probabilităţile pentru fiecare scenariu
analiza scenariului poate fi utilizată pentru a anticipa cum se pot dezvolta ameninţările şi oportunităţile şi poate fi utilizată pentru toate tipurile de riscuri, fie în cadre de timp pe termen lung, fie pe termen scurt. Pentru cadre de timp pe termen scurt şi cu date valabile, asemenea scenarii pot fi extrapolate pornind de la prezent. Pentru cadre de timp pe termen lung sau date insuficiente, analiza scenariului devine mult mai imaginativă şi poate fi considerată o analiză viitoare.
14
Analiza impactului asupra activităţii
analizează modul în care riscurile de perturbare pot afecta funcţionarea organizaţiei şi apoi identifică şi cuantifică aptitudinile necesare pentru gestionarea acestora
• identificarea şi criticalitatea proceselor cheie ale afacerii, funcţiilor şi resurselor asociate şi interdependenţelor cheie ce există într-o organizaţie;
• faptul cum evenimentele de subminare vor afecta capacitatea şi capabilitatea de îndeplinire a obiectivelor critice de activitate;
• capacitatea şi capabilitatea necesară pentru a diminua impactul unei subminări şi revenirea organizaţiei la nivele de operare acceptate.
BIA este folosită pentru a determina starea critică şi graficele de timp necesare pentru refacerea proceselor şi resurselor asociate (oameni, echipament, tehnologia informaţiei) si a asigura îndeplinirea continuă a obiectivelor
BIA oferă asistenţă în determinarea interdependenţelor şi relaţiilor dintre procese, părţi interne şi externe şi orice legături din interiorul unui lanţ de aprovizionare.
15
Analiza straturilor de protecţie
Layers of protection analysis metodă semi-cantitativă pentru estimarea riscurilor asociate cu
un eveniment sau scenariu nedorit. Analizează dacă sunt suficiente măsuri pentru a controla sau limita riscul.
este selectată o pereche cauză-consecinţă şi sunt identificate straturile de protecţie ce previn cauza care duce la o consecinţă nedorită
LOPA poate fi utilizată pur şi simplu din punct de vedere calitativ pentru a revizui straturile de protecţie dintre un eveniment cauzal sau un eveniment întâmplător şi o avarie
LOPA poate fi folosită pentru a sprijini alocarea eficientă a resurselor de reducere a riscurilor prin analizarea reducerii riscului produs de către fiecare strat de protecţie.
16
Analiza – fluture
simplă diagramă care descrie şi analizează parcursurile unui element de risc de la cauze la consecinţe
se concentrează totuşi pe barierele dintre cauze şi risc şi dintre risc şi consecinţe
analiza – fluture este utilizată pentru a prezenta un risc arătând gama de cauze şi consecinţe posibile; este utilă acolo unde există parcursuri independente clare care conduc la eşec
17
Eveniment
Surse de risk
Cauză
Cauză 2
Cauză 3
Factor de intensificare
Consecinţa 1
Consecinţa 3
Consecinţa 4
Consecinţa 2
Comenzi de intensificare
Comenzi de prevenţie
Limite şi comenzi de reluare
IEC 2069/09
Indici de risc
o măsurătoare semi-cantitativă a riscului care reprezintă o estimare calculată prin utilizarea unei metode de punctare bazată pe scale ordinale
pot fi utilizaţi pentru a clasifica o serie de riscuri utilizând criterii similare astfel încât să poată fi comparate
deşi se utilizează cifre acestea au doar scopul de a permite manipularea datelor
indicii de risc pot fi utilizaţi pentru clasificarea diverselor riscuri aferente unei activităţi dacă se cunoaşte bine sistemul
indicii sunt utilizaţi pentru diferite tipuri de riscuri de regulă ca un instrument de încadrare pentru clasificarea riscului conform gradului de risc. Acest lucru poate fi utilizat pentru a determina care din riscuri necesită o evaluare mai detaliată şi posibil cantitativă.
18
Matricea consecinţe/probabilitate
o modalitate de combinare a clasamentelor calitative sau semi-cantitative a consecinţelor şi a probabilităţilor pentru a obţine un clasament al nivelul de risc sau al riscului
matricea consecinte/probabilitate este utilizată pentru a clasifica riscurile, sursele de risc sau tratamentele de risc în funcţie de nivelul de risc
utilizată ca un instrument de evaluare riscuri atunci când au fost identificate numeroase riscuri
utilizat pe scară largă pentru a determina dacă un anumit risc este în mare măsură acceptabil, sau nu în funcţie de zona în care se află pe matrice
folosită pentru a ajuta la comunicarea unei înţelegeri comune a nivelurilor calitative ale riscurilor în întreaga organizaţie
19
Analiza cost/beneficiu
evaluarea riscurilor acolo unde costurile aşteptate totale sunt cântărite în comparaţie cu beneficiile totale aşteptate pentru a alege opţiunea cea mai bună sau cea mai profitabilă
analiza cost/beneficiu cantitativă cumulează valoarea monetară a tuturor costurilor şi beneficiilor pentru toate persoanele interesate din domeniu şi o ajustează pe diverse intervale de timp în care se produc/rezultă aceste costuri şi beneficii
pentru anumite riscuri negative, în special cele care implică riscuri pentru viaţa umană sau daune pentru mediul ambiant, se poate totuşi aplica principiul ALARP (As Low As Reasonably Practicable)
trei zone: ◦ un nivel deasupra căruia riscurile negative sunt intolerabile şi nu pot fi
acceptate decât în împrejurări extraordinare; ◦ un nivel sub care riscurile sunt neglijabile şi nu
necesită decât monitorizare pentru a se asigura că rămân la nivel scăzut;
◦ o bandă centrală în care riscurile trebuie aduse la cel mai scăzut nivel cu putinţă
20
Zonă inacceptabilă
Zona ALARP sau de toleranţă (se acceptă riscul doar dacă nu se speră un
beneficiu)
Zonă larg acceptabilă
(Nu este nevoie de muncă detaliată pentru a demonstra
ALARP)
Risc neglijabil
Este necesar să se asigure că riscul rămâne la acest
nivel
Tolerabil în cazul în care costul reducerii riscului va
depăşi îmbunătăţirea adusă
Tolerabil doar dacă reducerea riscului este imposibilă sau atunci când costul reducerii este disproporţionat de mare faţă de îmbunătăţirea adusă
Riscul nu poate fi justificat decât în împrejurări
extraordinare
IEC 2073/09
Managementulriscurilor de securitate
• securitatea este conjunctura in care esti protejat impotriva pericolelorsi a pierderilor; se obtine prin reducerea consecintelor asociate cu actiuni intentionate si irationale ale altora• ca termen tehnic securitatea reprezinta ceva ce nu numai ca estesigur dar si ca a fost securizat
• risc de securitate = eveniment care poate avea ca rezultat compromiterea activelor organizaţionale.• utilizarea neautorizată, pierderea, prejudiciul, divulgarea sau modificarea activelor organizaţionale pentru profit, interes personal sau interes politic al unei persoane, grup sau altor entităţi şi riscul de a vătăma persoane.
• compromitere activelor poate afecta negativ compania, unităţile de afaceri şi clienţii• riscul de securitate constituie o componentă vitală a managementului riscului.
21
22
Identificarea riscurilor de securitate
Sursa Motiv Mod de operare
Infractor Profit Furt, tâlhărie, agresiune, fraudă, divulgare
Terorist Manipulare politică Bombă, deturnare, răpire, asasinare,
Servicii de informaţii străine Strategic, militar, politic, economic Spionaj, sabotaj, divulgare, subminare
Competitori comerciali sauindustriali
Profit, avantaj competitiv Spionaj industrial sau economic
Persoane rău intenţionate Răzbunare, renume, discreditare Divulgare, distrugere, vandalism
• identificarea ameninţărilor cu potenţial de afectare negativă a organizaţiei prin clasificare după sursă, motivaţie şi mod de operare
23
Identificarea riscurilor de securitate• identificarea ameninţărilor care pot deveni riscuri pornindde la activele (funcţii, resurse, valori) care sunt esenţiale pentru organizaţie şi grupandu-le după ameninţare şi riscul asociat
Activ organizaţional Riscuri AmeninţăriClădiri şi instalaţii Distrugere, prejudiciu, indisponibilitatea clădirii sau
instalaţieiIncendiu, explozie, alarme false, căderea alimentăriielectrice, contaminare, acces neautorizat
Sistem informatic Pierderea sau compromiterea securităţii informaţiilorclasificate, pierderea confidenţialităţii, disponibilităţiisau integrităţii informaţiei
Utilizatori neautorizaţi, analiza criminalistică adiscurilor, manipularea neglijentă a listingurilor,transmitere neglijentă a informaţiilor
Încrederea conducerii înprogram sau unitatea de profit
Piederea încrederii conducerii sau a încrederii publiceîn unitate sau program sau în procese ale acestora
Gestionarea eronată a unor informaţii sensibile,politică sau servcii inconsistente, prezentare medianegativă
Reputaţie organizaţională Pierderea reputaţiei organizaţiei Servciu deficitar, manipularea eronată a informaţiilor,politică sau servcii inconsistente, prezentare medianegativă
24
Identificarea riscurilor de securitate
• examinarea expunerilorsau vunerabilităţilororganizaţiei şi apoi analiza adecvanţei măsurilor de securitate existente
Grup de active Expuneri sau vulnerabilităţi identificatePersoane Răpire
AsasinareAtac, agresiune sau hărţuireBombăDezordine publicăVecini periculoşiDiferenţe culturale sau religioaseDiscriminare sau lezareAngajat nemulţumit...
Active informaţionale Distrugere sau corupereÎntreruperea serviciuluiDivulgare neprevăzutăScurgere informaţiiManipulare date/informaţii...
Active fizice SpargereIncendiuProceduri inadecvateDefecţiuni tehniceÎntreţinere deficitarăVandalismSabotajFurt...
25
Analiza expunerii• actorii umani cauta activ o modalitate de atac sau de a exploata o vulnerabilitate
Ameninţarea este analizată de regulă în termenii intenţiei şi capabilităţii unui surse de ameninţare, individ sau organizaţie, de a ataca sau afecta negativ un element de valoare, precum un activ, funcţie sau capabilitate. Alte definiţii includ orice are potenţialul de a împiedica atingerea obiectivelor şi/sau de a întrerupe procesele care contribuie la aceasta.
• parte a unui proces organizaţional de evaluare a riscurilor, analiza ameninţărilor este realizată de specialişti în securitate pe baza informaţiilor generale şi a consultării unor experţi în domeniu, al analizei incidentelor, al valorificării surselor deschise de informaţii etc. • cei doi factori utilizati de regulă pentru evaluarea ameninţărilor sunt intenţia şi plauzibilitatea care la rândul lor sunt în funcţie de motivaţia şi atributele atacatorului• diferenţiere între motivaţie care poate fi un factor pe termen lung, şi intenţie, factor cu perspectivă apropiată
26
Analiza expunerii• actorii umani cauta activ o modalitate de atac sau de a exploata o vulnerabilitate
Evaluarea vulnerabilităţiiimplică un proces şi rezultatele asociate cu analiza activelor şi/sau sistemelor de securitate în vederea identificării punctelor slabe. De regulă este realizată pornind de la un model de bază, urmărinduse modalitatea în care acesta poate fi atacat cu succes.
• Vulnerabilitatea poate fi considerată o funcţie de accesibilitate, abilitate de descurajare, nivel de robusteţe şi abilitate de a rezista unui atac. În general criticitatea unui activ nu este influenţată de vulnerabilitate sau ameninţări externe.• La o trecere în revistă a mai multor modele de evaluare a vulnerabilităţilor se pot identifica o serie de caracteristici comune, principalele fiind:
• oportunitatea de atac prezentă sau posibilă;• susceptibilitatea unui atac sau efectivitatea unui atac asupra ţintei.
La rândul său oportunitatea poate fi evaluată în termenii recunoşterii ca ţintă, al expunerii (de exemplu, în durată) şi al accesibilităţii ca ţintă.
27
Analiza expunerii• actorii umani cauta activ o modalitate de atac sau de a exploata o vulnerabilitate
Evaluarea criticităţii are ca scop prioritizarea infrastructurii organizaţionale, a activelor sau elementelor importante şi de care depind alte active, funcţii, procese, în practică aceasta este legată de, dar nu sinonimă cu, mărime impactului produs de distrugerea sau dezafectarea respectivului element. În mediul corporativ, este cunoscută şi sub numele de analiză a impactului asupra afacerii, iar în alte metodologii sub numele de evaluare a activului.
28
Analiza expunerii
29
Statia
Efractie
Paza umanaGard –bariera fizica
Sistem taut-wireBariere in infrarosu
Sistem de avertizare
Zona cu securitatesporita
Acces neautorizat
Incendii
Paza umanaControl acces
Confirmare identitateSistem detectie+stins
incendiiAlarmare
Accesneautorizat
Supraveghere videoPaza umanaControl acces
Sistem suplimentar de iluminat
Linia de TC
Sistem de monitorizare
Furturi sisabotaje
MANAGEMENT RISCURI
31
Indicele de risc
PROBABILITATE (P)
IMPACT (I)
RISC (R)R = f(P,I)
1 Rar A Nesemnificativ
2 Improbabil B Minor Redus 1A, 2A, 3A, 1B, 2B
3 Posibil C Moderat Mediu 4A, 5A, 3B, 1C, 2C
4 Probabil D Major Mare 4B, 5B, 3C, 4C, 1D, 2D, 3D
5 Aproape cert E Catastrofic Critic 5C, 4D, 5D, 1E, 2E, 3E, 4E, 5E
Incident Exemple de impact
A. Nesemnificativ- Fără răniri de persoane;- Pierderi mai mici de 30.000 EUR ŞI/SAU- Întrerupere de scurtă durată a unor servicii.
B. Minor
- Fără răniri de persoane;- Pierderi de la 30.000 la 300.000 EUR ŞI/SAU- Reportaj negativ în presa locală ŞI/SAU- Întreruperea totală a activităţii maximum o zi.
C. Moderat
- Raniri care necesita acordare de prim ajutor, fără spitalizare ŞI/SAU- Pierderi de la 300.000 la 3.000.000 EUR ŞI/SAU- Investigaţii ale autorităţilor ŞI/SAU- Întreruperea totală a activităţii până la o săptămână.
D. Major
- Rănire a una sau mai multor persoane cu spitalizare ŞI/SAU- Pierderi de la 3.000.000 la 30.000.000 EUR SI/SAU- Reportaj principal în mass media locală şi investigaţii ale autorităţilor de reglementare ŞI/SAU - Întrerupere totală a activităţii de până la o săptămână.
E. Catastrofic
- Deces (decese) ŞI/SAU- Pierderi mai mari de 30.000.000 EUR ŞI/SAU - Prezentare a evenimentului în mass media la nivel naţional şi investigaţii ale autorităţilor ŞI/SAU- Întreruperea totală a activităţii timp de peste o săptămână.
5 M H C C C
4 M H H C C
3 L M H H C
2 L L M H C
1 L L M H C
A B C D E
32
Matrice probabilitate/consecinte
100%
4
12
Hostage / KidnapStrike / WalkoutHostile Takeover
Major Explosion
TerrorismIndustrial Espionage0%
SabotageComm. Disease
Flood Suicide
Telecomm Failure.
Maj. Operator Error
Child Care IncidentTransportation Incident Minor Explosion
Neighbor Issue
Civil Unrest
Employee Violence
Tornado
Breach IT Security
Organized Crime
Blizzard
Bribery / Extortion
ProtestersInjury / DeathAccusation / Libel / Slander
Fog
Bomb ThreatEquipment MalfuncPower Failure
Ice Storm
Media Investigation
Chemical Spill / Contamination
Major Fire
Class Action Lawsuit
Management Issues
Security Breach
Loss of IT / Virus
Major Electrical Storm
HIGH RISK
LOW RISK
MEDIUM HIGH
MEDIUM LOW
Matrice probabilitate/consecinte
34
Matrice probabilitate/consecinte
35
Analiza cost/efect
Zonă inacceptabilă
Zona ALARP sau de toleranţă (se acceptă riscul doar dacă nu se speră un
beneficiu)
Zonă larg acceptabilă
(Nu este nevoie de muncă detaliată pentru a demonstra
ALARP)
Risc neglijabil
Este necesar să se asigure că riscul rămâne la acest
nivel
Tolerabil în cazul în care costul reducerii riscului va
depăşi îmbunătăţirea adusă
Tolerabil doar dacă reducerea riscului este imposibilă sau atunci când costul reducerii este disproporţionat de mare faţă de îmbunătăţirea adusă
Riscul nu poate fi justificat decât în împrejurări
extraordinare
IEC 2073/09
36
Analiza fluture
Eveniment
Surse
de risk
Cauză
Cauză 2
Cauză 3
Factor de intensificare
Consecinţa 1
Consecinţa 3
Consecinţa 4
Consecinţa 2
Comenzi de intensificare
Comenzi de prevenţie Limite şi comenzi de reluare
IEC 2069/09
37
Analiza “fluture”
38
Mijloace de control al riscurilor de securitate
Standarde naţionale şi internaţionale
Sisteme de alarmă împotriva efracţiei, control al accesului, TVCI
• prescripţii generale (EN 50131-1, etc.)
• ghid de aplicare (SR CLC/TS 50131-7, etc.)
Standarde profesionale
ASIS International
• Facilities Physical Security Measures Guideline
• Threat Advisory System Response Guideline
• Information Asset Protection Guideline
Cataloage măsuri de securitate
• ISO 27002
• IT Baseline Protection Manual
• Recomandari NIST
39
Cerinte de securitate in contextul legislatiei si standardelor aplicabile in Romania
• Cerinţe de conformitate legală• L 333/2003, L 9/200, L 40/2010, HG 1010• L 182/2002, HG 585/2002, HG 781/2002 • OU 98/2010• L 535/2004• L 677/2001• L sectoriale
• Modele şi standarde• SR ISO 27000• BS 25999• EN 5013x• IT Baseline Protection Manual• ASIS International
40
Securitate fizica
• sisteme tehnice de protectie si alarmare la efractie• responsabilitatea conducatorilor organizatiilor de a luamasuri pentru protectia persoanelor si bunurilor• cerinte minime pentru tipuri de obiective: financiar-bancare, spatii comerciale, institutii d utilitate publica, sportive si culturale, depozite• analiza riscurilor• au fost avute în vedere ameninţări legate de infracţionalitatea de drept comun (furt, jaf, fraudă etc.) şi nu alte tipuri de ameninţari, precum, de exemplu, ameninţarea teroristă, care impun alte exigenţe pentru a se asigura un nivel de securitate admisibil
41
Protectia informatiilor clasificate
• informatii clasificate• secrete de stat• secret de serviciu
• informatii neclasificate• informatii si date personale• secret bancar
• informatii de interes public
• sistemul de securitate fizica are rolul• să prevină pătrunderea neautorizată a persoanelor, prin efracţie sau în mod fraudulos, în spaţiile protejate;• să prevină, să descopere şi să împiedice acţiunile ostile ale personalului neloial care pot afecta securitatea informaţiilor clasificate;• să permită accesul la informaţii clasificate exclusiv persoanelor autorizate;• să descopere şi să combată orice încălcare a măsurilor de protecţie a informaţiilor clasificate
42
Protectia informatiilor clasificate
Un sistem de securitate trebuie să respecte următoarele principii:• adaptarea măsurilor de protecţie;• eşalonarea în adâncime a măsurilor de protecţie;• corelarea măsurilor de protecţie fizică cu timpul de intervenţie a forţelor de securitate; • asigurarea eficacităţii sistemului;• asigurarea disponibilităţii tehnice a echipamentelor;• planificarea a măsurilor de protecţie şi dimensionare în funcţie de:
• nivelul de clasificare a informaţiilor;• volumul şi suportul fizic de prezentare a informaţiilor clasificate;• nivelul de acces conferit de certificatul de securitate, cu aplicarea principiului nevoii de a şti;• situaţia din zona de localizare a obiectivului.
43
Protectia informatiilor clasificate
Dintre măsurile de securitate minimale reglementate cele mai importante sunt:• Controlul accesului persoanelor;• Controlul vizitatorilor;• Controlul bagajelor (planificat şi inopinat):
la intrare (aparate fotografiat, filmat, înregistrare audio-video, copiere date, comunicare la distanţă);la ieşire (bagaje, colete, genţi care ar putea transporta materiale sau informaţii clasificate).
• Încăperi de securitate: pereţi, podele, plafoane, uşi, încuietori;protecţie chei, coduri;ferestre parter sau ultimul etaj - zăbrele sau asigurare antiefracţie;sistemul de aerisirire – asigurare împotriva pătrunderii sau introducerii de materiale incendiare.
44
Protectia informatiilor clasificate
• Containere – pentru păstrare dar şi pentru evacuare:Metalice, autorizate;Clase A, B.
• ÎncuietoriClase A, B, C (mobilier);Asigurare chei, coduri.
• Controlul activităţii la copiatoare, faxuri etc.• Protecţie împotriva ascultărilor neautorizate:
Pasive – izolare fonică a încăperilor;Active – microfoane, instalaţii, ecipamente de comunicaţii, mobilier etc.;Protecţia fizică a încăperilor, inclusiv în perioadele în care nu sunt utilizate;Evidenţa dotărilor încăperilor, controlul activităţilor de curăţenie, reparţii etc.
• Protecţia împotriva distrugerii:protecţie la incendiu;protecţie la inundaţie;protecţie la atac terorist.
• Controlul distrugerii documentelor declasificate.
45
Managementul securitatii informatiei
• ISO 27000 – termeni si defintii• ISO 27001 – specificatie (cerinte) pentru certificare• ISO 27002 – ghid de buna practica (mijloace de control al riscurilor)• ISO 27005 – recomandari pentru managementul riscurilorinformationale
Categorii principale de mijloace de control (măsuri de securitate)• Politica de securitate;• Organizarea securităţii informaţiei;• Managementul resurselor;• Securitatea resurselor umane;• Securitatea fizică şi a mediului de lucru;• Managementul comunicaţiilor şi operaţiunilor;• Controlul accesului;• Achiziţionarea, dezvoltarea şi mentenanţa sistemelor informatice;• Managementul incidentelor de securitate a informaţiei;• Managementul continuităţii afacerii;• Conformitatea.
46
Managementul securitatii informatiei
Securitatea fizică şi a mediului de lucru• securitatea zonelor’ care are ca obiectiv să prevină accesul fizic neautorizat, distrugerile şi pătrunderea în interiorul organizaţiei precum şi accesul la informaţii• ‚securitatea echipamentelor’ care are ca obiectiv să prevină pierderea, avarierea, furtul sau compromiterea resurselor şi întreruperea activităţilor din cadrul organizaţiei
Principalele categorii de măsuri de securitate recomandate includ:• perimetrul fizic de securitate;• controlul accesului fizic; • securizarea birourilor, încăperilor şi a sistemelor informaţionale;• protejarea împotriva ameninţărilor externe şi de mediu;• desfăşurarea activităţii în zone de securitate;• zone de acces public, puncte de livrare şi încărcare;• amplasarea şi protejarea echipamentelor;• utilităţi;• securitatea reţelelor de cablu;• întreţinerea echipamentelor;• securitatea echipamentelor în afara locaţiei;• scoaterea din uz sau reutilizarea în condiţii de siguranţă.
47
Protectia infrastructurilor critice
un element, un sistem sau o componenta a acestuia, aflat pe teritoriul national, care este esential pentru mentinerea functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii, bunastarii sociale ori economice a persoanelor si a carui perturbare sau distrugere ar avea un impact semnificativ la nivel national ca urmare a incapacitatii de a mentine respectivele functii
48
Protectia infrastructurilor critice
SECTOARE
• Energetic• Tehnologia informaţiei şi comunicaţii• Alimentare cu apă• Alimentaţia• Sănătate• Securitate naţională• Administraţie• Transporturi• Industria chimică şi nucleară• Spaţiu şi cercetare
49
Protectia infrastructurilor critice
• P.S.O. include identificarea principalelor active, evaluarea riscurilor, precum şi selecţia şi prioritizarea măsurilor şi procedurilor care trebuie instituite• O.L.S. are rolul de a îmbunătăţi comunicarea şi cooperarea cu autorităţile statului cu atribuţii în protecţia infrastructurilor critice.• Selectarea măsurilor de securitate trebui să acopere
• aspecte organizaţionale - precum instituirea unui cadru organizatoric, adoptarea unei strategii şi a unor politici de securitate, securitatea personalului, securitatea relaţiilor cu terţii, tratarea incidentelor etc. • domeniul securităţii fizice şi cel al securităţii informatice, managementul situaţiilor de urgenţă şi criză, managementul dezvoltării. • trebuie avută în vedere asigurarea unui echilibru între măsurile proactive, reactive şi corective, asigurarea informării, formării şi perfecţionării în domeniul securităţii, precum şi instituirea managementului în domeniul securităţii care trebuie integrat cu toate celelalte aspecte şi structuri de management ale organizaţiei.
50
Protectia infrastructurilor critice
O atenţie deosebită trebuie acordată protecţiei informaţiilorsensibile, reprezentând acele informaţii despre infrastructurilecritice care, în cazul divulgării, pot fi folosite pentru planificarea şiproducerea unor acte care să ducă la perturbarea sau distrugereaacestora.
În ceea ce priveşte securitatea fizică, un element specific protecţiei infrastructurilor critice este importanţa specială care trebuie acordată ameninţării teroriste în contextul general al ameninţărilor. Această abordare impune coniderarea mai multor niveluri de protecţie care să asigure descurajare‚ detectare‚ blocare‚ intârziere‚ răspuns‚ răspuns gradual.
51
Elaborarea specificatiei tehnico-operative
52
Elaborarea specificatiei tehnico-operativeSpecificaţie tehnico-operativă a sistemului tehnic de protecţie şi alarmare împotriva efracţiei poate include:• Introducere – o declaraţie a conducătorului organizaţiei menţionând importanţa planului şi susţinerea efectivă;• Scop şi domeniul de aplicare – explicitarea relaţiilor dintre practicile de securitate şi obiectivele şi practicile curente ale organizaţiei (ce este important şi valoros pentru organizaţie şi cum protecţia acestora va favoriza atingerea obiectivelor). Dacă la baza elaborării a stat un incident petrecut anterior, acestea trebuie specificat;• Mediul de securitate – un sumar al analizei de risc, principalele ameninţări avute în vedere şi consideraţii asupra practicilor de securitate existente în organizaţie;• Obiective – prezentare concisă a ceea ce prezenta specificaţie îşi propune să realizeze;• Strategiile şi acţiunile de securitate – prezentare detaliată a măsurilor de securitate care urmează a fi implementate, precum şi strategia de implementare;• Riscurile reziduale – prezentarea riscurilor reziduale estimate şi indicaţii pentru monitorizarea acestora şi a eficienţei măsurilor de securitate;• Grafic de implementare – după caz se pot specifica termene recomandate sau numai etapele necesare pentru implementarea specificaţiei;• Resurse – după caz se poate introduce o estimare a efortului de implementare a măsurilor de securitate propuse.
53
54
Nivel amenintare Scazut Mediu Ridicat
Nivel vulnerabilitate Scazut Mediu Ridicat Scazut Mediu Ridicat Scazut Mediu Ridicat
Valoare activ
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
55