managemantul riscurilor si evaluarea riscuri -itc

8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC

1/20

Managemantul Riscurilor IT

Evaluarea Riscurilor IT

Adrian ILINCA

COMUNICAII I TEHNOLOGIA INFORMAIEI


2/20

Risc Management

Risc Management este procesul carepermite managerilor IT s asigure unechilibru ntre costurile operaionale i

resursele financiare pentru msurile deprotecie i atingerea obiectivelor privindprotejarea datelor i sistemelor IT care

susin activitatea organizaiei.


3/20

Managementul Riscurilor IT

Procesul de management al riscului IT:

1. Identificarea vulnerabilitilor

2. Identificarea ameninrilor3. Stabilirea msurilor de limitare a riscurilor

SCOPUL managementului riscurilor: reducereariscurilor la un nivel acceptat.


4/20

Vulnerabilitate: un punct slabn sistemul IT care poate afectasistemul sau operaiile acestuia, mai ales cnd aceast punctslab este exploatat de o persoan ostil sau afectat urmare aunui eveniment sau conjunctur.

Ameninrilereprezint un pericolpotenial la care este expusun sistem constnd n: acces neautorizat, alterri saudistrugerea datelor, software-ului, resurselor harware i/sau decomunicaie.

Activiti specifice pentru fiecare categorie de risc:1. IDENTIFICARE2. ANALIZA3. EVALUAREA IMPACTULUI

4. EVALUAREA VULNERABILITILOR5. MONITORIZARE6. MSURI DE LIMITARE


5/20

Evaluarea Riscurilor

Evaluarea riscurilor este primul proces nmetodologia de risc management. Organizaiilefolosesc evaluarea riscurilor pentru a determinaextinderea potenialelor ameninri i riscurileasociate cu sistemele IT. Rezultatele acestui process

ajut la identificarea controalelor necesare pentrureducerea sau eliminarea riscului. Riscul este o funcie ntre probabilitatea de apariie a unei

surse de ameninare datorate unei vulnerabiliti particularei impactul asupra organizaiei a unui eveniment advers.

Pentru a determina probabilitatea unui eveniment advers,trebuie analizate ameninrile sistemelor IT n conjucie cuvulnerabilitile poteniale i controalele implementate pentrusistemele IT.


6/20


7/20



8/20



9/20

Pas 1 : CARACTERIZAREA SISTEMULUIInformaii privind sistemul:

1.

Hardware2. Software3. Interfee (ex: conectivitatea interni extern)4. Date i informaii

5. Persoane care ntrein i folosesc sistemulinformatic6. Misiunea sistemului (ex: procesele executate n

cadrul sistemului informatic)

7. Sisteme i date critice (ex: valoarea sistemului sauimportana pentru organizaie)8. Senzitivitatea sistemului i a datelor


10/20

Informaii suplimentare privind mediul operaional alsistemului informatic i datele acestuia includ:

1. Cerine funcionale a sistemului informatic

2. Utilizatorii sistemului (ex: utilizatorii sistemului care ofersuport tehnic sistemului informatic; aplicaiile utilizatorilorcare asigurfunciile de business)

3. Politici de securitate a sistemului (politici organizationale,cerine generale, legislative, practici ale domeniului)

4. Arhitectura de securitate a sistemului5. Topologia reelei (ex: Diagrama reelei)6. Protecia informaiei stocate i disponibilitatea datelor,

integritatea iconfidenialitatea datelor.7. Fluxul informaiei n sistemul informatic (ex:interfeele

sistemului, fluxul intrriloriieirilor).8. Controale tehnice folosite n sistem (ex: produse de securitate

implementate n sistem pentru asigurarea identificrii iautentificrii, controlul accesului, audit, protecia informaiei,metode de criptare).


11/20

9. Controlul managementului n sistemul IT (ex: reguliprivind comportamentul utilizatorilor, planificareasecuritii).

10. Controale operaionale folosite n sistemulinformatic (ex: securitatea persoanelor, back-up,operaiuni de refacere a sistemului, mentenenasistemului, stocarea off-site, proceduri pentru creareai anularea conturilor utilizator, controale alesegregrii funciilor utilizatorilor cum ar fi accesulutilizatorilor privilegiai vs accesul utilizatorilorstandard).

11. Securitatea fizic a mediului sistemului IT (ex:

faciliti de securitate, politicile centrului de date).12. Securitatea mediului implementat pentru mediulsistemului IT (control al umiditii, ap, curentelectric, poluare, temperatur etc).


12/20


13/20


14/20

Pas 4: Analiza controalelor

Tipuri de controaleControale preventive blocheaz ncercrile de

violare a politicii de securitate i includcontroale cum ar fi implementarea controlului

accesului, criptarea, autentificarea.Controale detective: avertizeaz asupra

violrilorsau ncercrilorde violare a politicii

de securitate i includ controale cum ar fi audittrail, metode pentru detectarea intruziuniloretc.


15/20

Pas 5: Determinarea probabilitii

Rating pentru probabilitate (Ridicat, Mediu,

Sczut)Probabilitate Definiia probabilitii

Mare Sursa ameninrii este bine motivaticapabil,i controale care trebuie s previnvulnerabilitatea sunt ineficiente

Mediu Sursa ameninrii este motivat i capabil darexist controale care pot mpiedica folosirea

vulnerabilitiiSczut Sursei ameninrii i lipsesc motivaia i

cunotinele i controalele existente pot mpiedica n mod semnificativ folosireavulnerabilitii


16/20

Pas 6: Analiza impactului

Definirea magnitudinii impactuluiImpact DefiniieMare Valorificarea vulnerabilitii poate conduce la pierderi

mari privind active tangibile sau resurse; poateinfluena semnificativ misiunea i reputaia

organizaiei sau profitul; poate determina decesul saurnirea personalului

Mediu Valorificarea vulnerabilitii poate conduce la pierderiprivind active tangibile sau resurse; poate influenamisiunea i reputaia organizatiei sau profitul; poatedetermina rnirea personalului

Sczut Valorificarea vulnerabilitii poate conduce la unelepierderi privind active tangibile sau resurse; poateinfluena notabil misiunea ireputaiaorganizaiei sauprofitul.


17/20

Pas 7: Determinarea risculuiMatricea riscului

Determinarea riscului se face prin ponderarea probabilitii cuimpactul. Tabela de mai jos arat cum ratingul riscului poate fideterminat pe baza introducerii probabilitii i impactului.Tabela de mai jos este de tip 3X3: probabilitatea i impactul

sunt stabilite pe 3 niveluri (mare, mediu, sczut). Probabilitatea stabilit pentru fiecare ameninare prezint

urmtoarele nivele: 1.0 pentru Mare, 0.5 pentru Mediu, 0.1pentru Sczut.

Valoarea asignat pentru fiecare nivel al impactului este: 100pentru Mare, 50 pentru Mediu i 10 pentru Sczut.


18/20

Pas 7: Determinarea risculuiMatricea riscului


19/20

Pas 8: Recomandri privindcontrolul

Scopul controalelor recomandate este de a reduce nivelul derisc al sistemului IT precum si al datelor la un nivel acceptabil.Urmtorii factori trebuie luai n considerare n recomandareacontroalelor i soluii alternative pentru minimizarea saueliminarea riscurilor identificate:

Eficacitatea opiunilor recomandate (ex: compatibilitateasistemului)

Legislaie i reglementri

Politic organizaional

Siguran i credibilitate.


20/20

Pas 9: Documentarea rezultatelor

Odat ce evaluarea riscurilor a fost realizat(sursele ameninrilor i vulnerabilitileidentificate, riscurile evaluate i formulaterecomandrile privind controalele), rezultateletrebuie s fie documentate ntr-un raportoficial.

Un raport de evaluare a riscurilor este unraport de management care ajutmanagementul s ia decizii privind politica,procedurile, bugetul i sistemul operaional i

schimbrile de management

managemantul riscurilor si evaluarea riscuri -itc

Documents