vi - managementul securitatii -1

MANAGEMENTUL SECURITATII

Modele.Cerinte.Caracteristici

Ca element de caracterizare a calitatii unui sistem,

SECURITATEA este capacitatea sistemului de a-i conserva

caracteristicile constructiv-funcionale sub aciunea unor factori

distructivi, care ar putea sa-l transforme in pericol pentru mediul

nconjurator i viaa oamenilor aflai in zona de risc, ori sa

provoace pagube materiale, informaionale sau morale.

ro Asuma-ti riscuri calculate. Asta inseamna sa nu te grabesti George S. Patton


Modele.Cerinte.Caracteristici(cont.)

SECURITATEA este singurul concept care poate

raspunde dezideratelor de siguran i stabilitate necesare bunei

funcionari a sistemelor/organizaiilor in ziua de azi,

caracterizat de o multiplicare fr precedent a riscurilor.

23 octombrie 2014 2 Evaluator de risc la securitatea fizic

SECURITATEA

PROCESUL

SIGURAN

STABILITATE



O alt perspectiva a SECURITAII: capacitatea de a te putea proteja mpotriva pericolelor sau a pagubelor, prin diminuarea consecinelor adverse asociate aciunilor intenionate i improprii ale altora.

Odat cu ameninarile tot mai complexe, securitatea tinde s includ reziliena, sustenabilitatea i asigurarea serviciilor critice.

Reziliena este abilitatea unei organizaii/individ/comunitate de a minimiza cosecinele negative ale unor evenimente adverse/potrivnice i de a le utiliza ca declanator pentru aciuni de ntarire i dezvoltare.

Reziliena se bazeaz pe starea de spirit, cultur, atitudine i valorile organizaiei. Este centrat mai mult pe securizarea viziunii i obiectivelor organizaiei decat pe prevenirea pierderilor.

Cultura de securitate se obine printr-un program reuit de contientizare a aspectelor de securitate. Insuite, oamenii acioneaz pentru aprarea lor.

Cultura de securitate este bazat pe informaie: cei ce conduc, opereaz i aplica sistemul de securitate, au cunotine la zi despre resursele umane, tehnice i organizaionale i despre factorii externi care determin eficiena sistemului , caun ntreg.




Ca proces in continua desfaurare, SECURITATEA are

ca obiectiv stabilitatea sistemului. Ea are o legislatie specific, se

bazeaz pe un sistem de strategii, norme, metodologii, procedee,

aciuni i instituii specializate/dedicate. Acestea, mpreuna cu

suportul tehnic tot mai avansat, sunt capabile sa ofere servicii de

siguran, protecie, supraveghere, precum i condiii pentru

viabilitatea sistemelor i a utilizatorilor acestora.

Fara securitate, ca parametru principal de calitate, a

tuturor proceselor si sistemelor, eficiena nu este posibil.


VI - MANAGEMENTUL SECURITATII


Securitate = ,, absena pericolului,, (sistem protejat)

iar

Insecuritate = ,, prezena pericolului,, (sistem insuficient protejat)

Concluzia: unei securitai ridicate i corespunde un risc sczut, iar

unei securitai sczute, i corespunde un risc ridicat.


Secu

rita

te

Securitate Absena pericolului

Insecuritate Existena pericolului

Risc 0

Preocuparile pentru asigurarea securitaii pornesc de la

individ, continu la nivelul organuzaiilor de orice tip, la nivelul

comunitaii i al structurilor administrative, la nivelul statului, si

constituie de multe ori obiectul al unor inelegeri, proiecte sau

structuri internaionale


Componentele securitaii


Homeland security

Protecia societaii

Securitatea privata

Protectie bunuri,etc.

Securitatea

nationala


Modele. Securitatea ntreprinderii. Modelul GRC.

Au fost elaborate diferite modele de gestionare a securitaii:

-mangementul securitatii informaiei;

-protecia infrastructurii critice;

-protectia lanului de aprovizionare (supply chain management);

-modele ce funcioneaza la scara mare(organizaii de afaceri, mediu

universitar, societate civil)

Implementarea unui model la nivelul unei organizaii presupune un

proces de management al riscurilor, controlul reducerii acestora pe

domenii distincte(securitate fizic, informatica, etc).

Binomul autoritai publice-mediu privat: diferena dintre obiectivele i

misiunile celor dou pari ndeplinirea atribuiilor stabilite prin lege i

finaate de la buget, respectiv maximizarea profitului, joaca un rol

important in managementul securitii.



Securitatea ntreprinderii. Modelul GRC.

Odat cu apariia Legii Sarbanes Oxley si a cerintelor SUA privind societile listate la bursa, integrarea celor trei componente ale managementului securitii guvernare, analiza riscului, conformitate(GRC) - a devenit tot mai important. O reala integrare s-a obinut prin mbuntirea procesului lurii deciziilor i a planificrii strategice.

Guvernarea asigur conducerii executive datele i informaiile strategice, apte sa asigure luarea deciziilor i s implementeze mecanismele de control a conformitii.

Managementul riscului reprezinta un complex de procese prin care riscurile sunt identificate, analizate i, cnd se impune se iau msuri concrete, funcie de gravitatea perceput, implicnd eliminarea, acceptarea sau transferul acestora ctre teri. Riscurile legate de conformitatea cu cerinele legale i de rglementare reprezint aspectul cheie al modelului GRC.

Conformitatea reprezinta respectarea cerinelor stabilite.



Securitatea ntreprinderii. Modelul GRC. (cont)


La nivelul unei organizaii, consecinele adverse pot fi:

- afectarea parial sau compromiterea obiectivelor afacerii

- nerespectarea cerinelor legale care are/poate avea ca urmare afectarea din culp a persoanelor, comunitaii, mediului.

Cele do categorii nu se exclud ntre ele.

Este evident faptul ca este nevoie de un sistem de management al securitii care s gestioneze unitar, integrat cu afacerea n sine, la nivelul ntregii organizaii toate aspectele de securitate, dar mai ales pe cele relevante.

Un astfel de sistem trebuie s asigure guvernarea, managementul riscurilor de securitate, si conformitatea, integrndu-se totodat n managementul general al organizaiei.


Cerine de securitate.Cerine de conformitate legal


Complexitatea aspectelor de securitate i percepia tot mai acut a ameninrilor i vulnerabilitilor au condus la necesitatea formularii unor cerine de securitate n legi, hotrri de guvern ordine ale minitrilor, pentru reglementarea unitar a unor domenii de activitate, etc.

-Legea nr. 333 din 8 iulie 2003 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor i modificrile aduse prin Legea 9/2007, Legea 40/ 2010;

-HG 301/2012 pentru aprobarea Normelor metodologice de aplicarea Legii 333/2003;

-Legea 16/2011 pentru aprobarea Ordonanei de urgena a Guvernului nr. 98/2010 privind identificarea, desemnarea i protecia infrastructurilor critice;

-Legea nr. 535/2004 privind prevenirea i combaterea terorismului;

-Legislaia naional i ordinele directorului ORNISS cu privire la informaiile clasificate(Legea 182/2002 privind protecia informaiilor clasificate; HG 585/2002 pentru aprobarea standardelor naionale de protecie a informaiilor clasificate n Romnia; HG 781/2002 privind protecia informaiilor secret de serviciu);

-Legea 677/2001 privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i circulaia acestor date;

-Legislaia privind prevenirea i stingerea incendiilor i situaii de urgen (Legea nr. 307/2006 privind aprarea mpotriva incendiilor; Legea 481/2004 privind protecia civil .a.m.d.);

-Legi sectoriale privind sectoarele electric, petrol i gaze, bancar, bursier, etc. *Legea58/1999 privind activitatea bancar.


Cerine de securitate.Cerine de conformitate legal


Fiecare categorie de acte legislative prezentat, reprezint o anume problematic la nivelul statului i are asociat o anume autoritate numita de regula autoritate de relementare, sau mai multe autoriti.

Astfel paza obiectivelor, bunurilor, valorilor i protecia persoanelor se afl sub autoritatea Insp. Gen. De Poliie-Dir. Ordine Public.

Protecia infrastructurilor critice este coordonat de un ansamblu de autoriti, cuprinznd un consilier de stat, un grup interinstituional, un centru de coordonare i mai multe autoriti responsabile.

Protecia informaiilor clasificate este sun autoritatea ORNISS i a autoritilor desemnate.

SRI este autoritatea n domeniul prevenirii i combaterii terorismului , dar i n domeniul inteligenei cibernetice.

De prevenirea i stingerea incendiilor, precum i de gestionarea situaiilor de urgena se ocupa IGSU.

Respectarea unui set de cerine de securitate, dintr-o anume lege/HG, nu nseamn asigurarea securitii n ansamblu. O organizaie trebuie s fie conform tuturor cerinelor de securitate ce-i reglementeaza activitatea, reglementri de rgul disparate, sub coordonarea mai multor autoriti, dup cum s-a putut vedea.


Cerine de securitate. Modele i standarde


Pentru creterea eficacitii n tratarea problemanticii de securitate, au fost dezvoltate mai multe modele, au fost elaborate standarde internaionale, care cuprind linii directoare, liste de bune practici i chiar cerine pentru certificare de catre teri. Relevante pentru securitate sunt:

-SR ISO/EC 9001:2008 privind sistemul de management al calitaii;

-Familia de standarde ISO/EC 27035 Managementul incidentelor privind securitatea informaiilor; SR ISO/EC 24762 Tehnologia informaiei Tehnici de securitate. Linii directoare pentru servicii de recuperare dup dezastre a trehnologiei informaiei i telecomunicaiilor;

-Standardul ISO/EC 28001 Securitatea canalului de aprovizionare;

- ISO/EC 22301 Managementul continuitii activitii

Dei nu sunt obligatorii, aplicarea cerinelor standardelor asigur utilizarea unor mecanisme de management care asigur performana i arat partenerilor capabilitiloe organizaiei n acest sens.

-n cazul unor standarde se practic autorizarea cde ctre autoritatea ter, urmare a auditrii, confirmnd aplicarea sistemului de management respectiv.

Autoritile de certificare sprijin doritorii in procesul implementrii adaptate a cerinelor standardului la condiiile concrete ale unei organizaii.

Alte standarde cuprind linii directoare sau aa numitele bune practici, ce trebuiesc adoptate n vederea obinerii anumitor performane.

O a treia categorie de standarde cuprind cerine minimale pentru bunuri i/sau servicii, fiind foarte utile n derularea achiziiilor.


Paza obiectivelor, bunurilor, valorilor i protecia persoanelor


Acest domeniu reglementat de IGPR Direcia Ordine Public este unul din cele mai cunoscute, privind securitatea n ara noastr. Aici ntlnim prestatori de servicii de paza i protecie, proiectare, instalare i ntreinere sisteme de alarm la efracie i, n curnd, consultan de securitate i analiza de risc la securitatea fizic.

Domeniul este rglementat de Legea 3333/203 i HG 301/2012. care stabilesc cine i n ce condiii trebuie s asigure paza.

-Paza se organizea i efectueaz potrivit planului de paza ntocmit de unitate i avizat de poliie.

-Sistemele tehnice de protecie i alarmare mpotriva efraciei sunt complementare pazei , realiznd securitatea mecanic i electronic a obiectivului protejat.

-Securitatea fizic reprezint domeniul aplicativ al securitii cuprinznd msuri pentru prevenirea i mpiedicarea atacatorilor s aib acces la obiective, resurse sau informaii, precum i recomandri privind proiectarea infrastructurii pentru a opune rezizten la actele ostile.


Paza obiectivelor, bunurilor, valorilor i protecia

persoanelor(cont1)


Modalitatea prin care autoritatea se asigur ca unitile desemnate aplic msurile de securitate necesare este stabilirea unui set de cerine minimale obligatorii, iar proiectul sistemului tehnic de protecie i alarm la efracie s fie supus avizrii de specialitate a poliiei.

Unitile care trebuie s aplice aceste cerine minime, obligatorii sunt;

-uniti de interes strategic i obiective ale infrastructurii critice;

-uniti sau instituii de interes public;

-Instituii de creditare, uniti potale, puncte de schimb valutar, case de amanet, uniti profilate pe bijuterii din metale sau pietre preioase;

-Magazine de arme i muniii;

-Staii de comercializare a carburanilor/combustibililor;

-Sli de exploatare a jocurilor de noroc;

-Centre de procesare;

-Casierii furnizori de servicii de utiliti;

-Obiective industriale;

-Depozite;

-Instalaii tehnologice.


Paza obiectivelor, bunurilor, valorilor i protecia

persoanelor(cont2)


HG 301/2012 vine cu completri la prevederile Legii 333/203, cum ar fi:

-introducerea in lista a infrastructurii critice;

-utilizarea analizei de risc ca fundament pentru adoptarea msurilor de securitate, n completare cu cerinele minimale de securitate, pe zone funcionale i categorii de uniti.

Analiza de risc este efectuat de unitate prin structuri de specialitate sau experi abilitai care dein competene profesionale dobndite pentru ocupaia de evaluator de risc la securitatea fizic. Aceasta poresupune parcurgerea urmatoarelor etape:

-Definirea parametrilor interni i externi care genereaz i/sau modific riscurile la securitatea fizic a unitii;

-Stabilirea metodei i a instrumentelor de lucru;

-Identificarea tuturor riscurilor la securitatea fizic, a zonelor de impact, a evenimentelor i cauzelor riscului, precum i a potenialelor consecine;

-Analizarea riscurilor la securitatea fizic;

-Estimarea riscurilor unitii beneficiare;

-ntocmirea Raportului de evaluare i propuneri de tratarea riscurilor la securitatea fizic.


Protecia informaiilor clasificate. Clasificare


Principalul domeniu de aplicare a soluiilor de securitate din cauza avntului IT.

1.Informaii clasificate:

- secrete de stat:

- secrete;

- strict secrete;

-strict secrete de importan deosebita;

- secret de seviciu.

2.Informaii neclasificate

3.Informaii de interes public(Legea 544/2001 privind accesul la informaii publice).

Protecia informaiilor clasificate: ORNISS(Oficiul Registrului Naional al Informaiilor Secrete de Stat). SRI, MApN, MI, SIE, SPP, STS.

La nivelul organizaiei, responsabilitatea pstrrii secretului de stat/serviciu, revine conductorului instituiei, care trebuie s desemneze o structur de securitate sau, cel puin, un funcionar de securitate.


Protecia informaiilor clasificate.Componente


Componentele proteciei informaiilor clasificate, statuate de standardele naionale de protecie a informaiilor clasificate sunt:

-protecia juridic;

-protecia prin msuri procedurale;

-protecia fizic;

-accesul la informaii naionale clasificate;

-Protecia personalului;

-Protecia surselor generatoare de informaii-INFOSEC.


Protecia informaiilor clasificate. Sistem de securitate


n ceea ce privete informaiile clasificate, sistemul de securitate cuprinde totalitatea echipamentelor i personalul destinat aplicrii masurilor de securitate fizic ntr-o incint/comunitate/organizaie. Acesta are rolul; -S previn ptrunderea persoanelor neautorizate;

-S descopere persoanele neloiale, s descopere i s previn aciunile ostile ale acestora;

-s permit accesul la informaiile clasificate doar pesoanelor autorizate;

-S descopere i s combat orice nclvare a msurilor pe linia informaiilor clasificate.

Sistemul de securitate trebuie s se conduc dupa urmtoarele principii:

-ealonarea n adncime a msurilor de protecie;

-Corelarea masurilor de protecie fizic cu timpul de intervenie al forelor destinate;

-Eficacitate;

-Disponibilitate tehnic;

-Planificarea contingenei msurilor de protecie.

Acesta trebuie dimensionat funcie de:

-nivelul informaiilor clasificate;

-volumul i suporul fizic de prezentare al acestora;

-nivelul de acces conferit de certificatul de securitate/nevoia de a ti;

-situaia din zona de dispunere.


Protecia informaiilor clasificate.Cerine minimale


Trebuie reinut c la protecia informaiilor clasificate sunt avute n vedere i alte ameninri dect cele aplicabile proteciei persoanei i valorilor. Reglementrile prevd msuri minimale, dar nu exclude analiza de risc, mai ales n cazul informaiilor pe suport electronic. Cele mai importante:

-Contolul accesului persoanelor;

-Controlul vizitatorilor;

-Controlul bagajelor(planificat i inopinat):

-la intrare (aparatur de copiere, stocare, transmitere date);

-La ieire(supori informaii, etc.)

-ncperi de securitate:

-Perei,podele, plafoane, ui,ncuietori;

-Protecie chei,coduri;

-Ferestre parter sau ultimul etaj gratii sau protecie antiefracie;

-Sistem de aerisire protecie mpotriva introducerii de materiale incendiare;

-Containere pentru pastrare dar i evacuare:

-Metalice, autorizate;

-Clasa A, B.

-ncuietori:

-clase A,B,C, mobilier;

-chei,coduri.


Protecia informaiilor clasificate.Cerine minimale(cont)


Trebuie reinut c la protecia informaiilor clasificate sunt avute n vedere i alte ameninri dect cele aplicabile proteciei persoanei i valorilor. Reglementrile prevd msuri minimale, dar nu exclude analiza de risc, mai ales n cazul informaiilor pe suport electronic. Cele mai importante:

-Contolul activitii la copiatoare, faxuri

-Protecia mpotriva ascultrii neautorizate:

-pasive-izolarea fonic a ncperilor;

- active miocrofoane, instalaii, echipamente de comunicaii;

-protecia fizic a ncperilor , inclusiv n perioada n care nbu sunt utilizate;

- evidena dotrilor ncperilor, a cureniei, reparaiilor.

-Protecia mpotriva distrugerii:

- la incendiu;

- la inundaie;

- la atac terorist;

-Controlul distrugerii documentelor(clasificate, declasificate)


Managementul securitii informaiilor. Standarde


Conceptul aplicativ cel mai evoluat de gestionare a securitii la nivelul unei organizaii.Acesta face obiectul familiei de standarde ISO 27000, care trateaza de la inventarierea valorilor care trebuie protejate, analiza i tratarea riscurilor, alegerea mijloacelor de diminuare a riscurilor, pna la recomandri de aplicare a msurilor de securitate, n general, sau specifice unor tipuri de organizaii. Cel mai important este standardul SR/ISO 27001 care este o specificaie de certificare.


Managementul securitii informaiilor. SR/ISO 27001


Cel mai important este standardul SR/ISO 27001 care este o specificaie de certificare.

PDCA

Plan

Do

Check

Act

Proiectare SMSI (evaluarea riscurilor, tratarea riscurilor, stabilirea mijloacelor de control...)

Proiectare i utilizarea SMSI (implementarea i testarea mijloacelor, de control, politicilor, procedurilor, proceselor...)

Monitorizare i revizuire SMSI (incidente, schimbrui, reevaluare riscuri, audituri..)

Actualizare i mbuntire SMSI (mbuntire sau implementare de Noi mijloace de control, politici, proceduri..)

Procesul de management al securitii informaiei




Funcionarea SMSI este reglementat de un set de documente, folosite pentru analiza, control i mbuntire.

DOCUMENTAIE

Domeniul de aplicare i politica SMSI

Raportul de evaluare a riscurilor

Planul de tratatre a riscurilor

Declaraia de aplicabilitatea

Proceduri SMSI

Manuale SMSI

Manuale de audit

NREGISTRRI

nregistrri privind incidentele

nregistrri de personal

nregistrri privind instruirile

nregistrri privind contractele,

livrrile, achiziiile

nregistrri financiare

Rezultatele testrilor

Dovezi de audit




Standardul SR/ISO 27002 Tehnologia informaiei Tehnici de securitate Cod de bune practici pentru managementul securitii informaiei, prezint recomandri pentru reducerea riscurilor la securitatea informaiei IT la elaborarea i implementarea:

-Politicii de securitate;

-Organizarea securitii informaiei;

-Managementul resurselor;

-Securitatea resurselor umane;

-Securitatea fizic i a mediului de lucru;

-Managementul comunicaiilor i operiunilor;

-Controlul accesului;

-Achiziionarea, dezvoltarea i mentenana sistemelor informatice;

-Mnagementul incidentelor de securitate a informaiei;

-Managementul continuitii afacerii:

-Conformitatea


Managementul securitii informaiilor. SR/ISO 27002(cont)


Fiecare domeniu al masurilor de securitate amintite, cuprinde : -un obiectiv al msurilor de securitate, care stabilete ce trebuie atins;

-una sau mai multe msuri de securitate care pot ajuta la tingerea

obiectivului.

Pentru msura de securitate sunt date enunul, detalii de implementare i

alte consideraii.

Alegerea msurii/lor de securitate se face urmare a procesului de

management al riscurilor informaionale, iar acestea sunt reinute n aa

numita ,,declaraie de aplicabilitatea,, , acesta din urm fiind utilizat de

auditor n vederea certificrii conformitii cu standardul SR/ISO 27001.

Dezvoltarea SMSI Identificare, evaluare risc Decizia de a trata

riscurile Adoptarea msurii de securitate. Control

Auditare SMSI


Protecia infrastructurii critice. Concept


Conform UE: Acele obiective, reele, servicii, active fizice i mijloace informatice care, dac sunt ntrerupte sau distruse , vor avea un impact serios asupra sntii, siguranei, securitii sau a bunstrii economice a cetenilor sau asupra funcionrii efective a actului de guvernare;

-sisteme de producere, transport sau distribuie a energiei electrice;

-sisteme de extracie, prelucrare i transport petrol, gaze i alte resurse primare de energie;

-obiective i instalaii nucleare;

-sisteme informatice i de telecomunicaii(rele calculatoare, telefonie, etc

-deeuri rezultate din prelucrarea substanelor radioactive, toxice;

-sisteme aprovizionare cu ap;

-infrastructura i mijloacele de transport, de toate tipurile;

-sistemele financiare, bancare i de asigurri;

-serviciile de sntate i de intervenie n cazurile de urgen;

-valorile i utilitile publice de interes strategic;

-autoriti publice (preedinie, parlament, guvern, structurile informative.

Consilier de Stat


Protecia infrastructurii critice. Cadru naional


Protecia infrastructurii critice devine tot mai mult un model regional/continental de securitate, care poate fi pus n practic n baza parteneriatului public-privat.

Directiva 114/2008, Ordonaa de Urgen nr. 98/2009 i Legea nr.18/2010 asigura cadrul legal de aciune.

Prim ministru

Ministerul Administraiei i Internelor Grup de lucru interinstituional

Centru de coordonare a proteciei infrastructurii critice (CCPIC)

Punct de contact naional Mnagement reea CIWIN

Autoriti publice responsabile

Compartiment specializat n domeniul ICN/ICE

Proprietari/operatori/administratori de ICN/ICE

Ofier de legtur pentru securitatea ICE/ICN

Planul de securitate al operatorului

Centru ssituaii de urgen/Guvern


Protecia infrastructurii critice.


n accepiunea UE, infrastructura critic trebuie s afecteze cel puin 2 state.

Grupul de lucru interinstituional i CCPIC-ul au contacte la nivel UE.

Autoritile publice responsabile (APR) i Operatorii de infrastructuri

critice rspund de punerea n practic a msurilor i de coordonarea

eforturilor la nivel sectorial.

Din aceast perspectiv, deintor sau operator este acea

persoan/instituie care au responsabiliti cu investiiile n /operarea

curent a unui obiectiv/sistem sau parte a sa, identificat i desemnat ca

infrastructur critic.

Linkul ataat ne conduce la tabelul cu toate autoritile desemnate ca

responsabile pentru infrastructura critic.

..\Anexa 1.pdf


Protecia infrastructurii critice. Mecanism de aciune


Mecanismul de aciune, cu alocarea rolului i a responsabilitilor ntre participani este prezentat schematic mai jos.

Guvern, ministere, administraie local

Furnizori, Asociaii profesionale Mediu academic, ONG-uri

Companii publice sau Private careD/A/O IC

Identificare active critice

Evaluarea vulnerabilitilor

Analiza riscurilor

Managementul riscurilor

Planificarea rspunsului de Urgen i al recuperrii

Abordarea procesual

Diseminare informaii, instruire

Coordonare

Interdependene

Cercetare-dezvoltare

Prevederi legale


Infrastructuri critice de informaii


Protecia infrastructurii critice, excede n unele privine, aspectele securitii. De exemplu,

managementul riscurilor operaionale sau, analiza i managementul intedependenelor, n care

predomin aspectul tehnic sau operaional specific .

n al doile rnd, interdependena infrastructur critic i infrastructur critic de informaii.

Infrastructurile critice de informaii se refer la sistemele informatice i de telecomunicaii, vitale

pentru operarea/funcionarea infrastructurii critice naionale sau internaionale:

-reele de telecomunicaii, managementul acestora, servicii de localizare utilizate n apelurile de urgen;

-Controlul traficului aerian, controlul i rutarea trenurilor, managementul traficului rutier, fluvial;

-Sistemul plilor electronice cu card, tranzacii electronice, burse electronice;

-Sisteme de tip SCADA care gestioneaz producerea i distribuia energiei, a celei chimice.

-Conform OECD , ICI sunt definite ca ,, acele reele i sisteme de informaii interconectatea care, dac

sunt ntrerupte sau distruse, pot avea un impact major asupra sntii, siguranei, securitii sau a

bunstrii economice a cetenilor sau asupra funcionrii efective a actului de guvernare i a

economiei.,,

-Acestea pot fi:

- componente informatice care susin infrastructurile critice;

-Infrastructuri de informaii care susin componentele majore ale guvernrii;

-Infrastructuri de informaii care sunt eseniale pentru economia naional.

Atenie la rolul nefast pe care poate s-l aib atacul cibernetic asupra securitii infrastructurii critice de

informaii.

Internetul, magazinele virtuale, diagnostic/consultaii on-line.


Infrastructura critic. Managementul rezilienei organizaiei.


Pornind de la adevrul c nu toate activele pot fi protejate (sau c este prea scump)

ASIS Internaional a dezvoltat un nou concept ,, reziliena organizaional,,, n care a integrat

managementul securitii cu pregtirea pentru i susinerea rspunsului de urgen i de

cpntinuitate.

Cum nu toate riscurile pot fi eliminate, conceptul de rezilien pune accentul pe

rvenirea ct mai urgent la starea de normalitate. Elementele rezilienei:

-robusteea elementului/sistemului care trebuiwe protejat;

-existena unor proceduri i active adecvate de rezerv;

-capacitatea de a rspunde i de a declana aciunile de recuperare necesare;

-viteza cu care aciunile de reactivare sunt declanate;

-capabilitatea organizaiei de a gestiona situaia de criz.

Astfel au aprut standardele ASIS SPC 1-2009 Organizational Resilience: Security,

Preparadness, and Continuity Management Systems Requirements for Use, ANSI/ASIS SPC 4

2012 Organisational Resilience Maturity Model Phase Implementation, sau documentul de bune

practici elaborat de specialistii italieni UNI/PdR 6- 2014 Critical Infrastructure . Resilience

management system Requirments.

Aceste documente ofer , pentru orice tip de organizaie, elemntele necesare realizrii

unui control proactiv al riscurilor i a performanei n gestionarea rezilienei n raport cu dotrile

fizice, serviciile, activitile, produsele, canalele de aprovizionare i furnizare sau continuitatea

operaional.


Infrastructura critic. Activiti de rspuns dup incident.


Incident

Obiectivul: Revenirea la starea de normalitate

Timp

Rspuns la incident

Continuitatea activitii

Recuperare/Restabilire starea normal

Salvarea oamenilor Limitarea pagubelor Utilizarea planului de continuitate

Recuperarea proceselor critice Refacerea muncii pierdute

Repararea daunelor Revenirea la normal Recuperarea daunelor de la asiguratori

Minute - ore

Minute - zile

Sptmni - luni


Mangementul riscului la securitatea fizic.


Riscul este definit ca incertitudinea unui rezultat, mbrcnd forma unei oportuniti de

natur pozitiv sau ameniri la adresa unor aciuni, procese sau evenimente. Riscul trebuie

evaluat din perspectiva unei combinaii ntre probabilitatea ca ceva s se ntmple i impactul pe

care materializarea respectivei posibiliti l va avea.

Managementul riscurilor include identificarea i evaluarea riscurilor i modul de

reacie la apariia acestora. n cele mai multe cazuri, riscurile nu pot fi evitate, de aceea se va urmri

un rspuns optim la risc, plecnd de la prioritile stabilite de analiza riscului.

Fiecare organizaie trebuie s iamsurile ce necesare controlrii riscului pna la nivelurile

confirmate ca fiind tolerabile.

Rspunsul la risc - ,,control intern,, pote consta n:

-Tolerare;

-Tratarea ntr-un mod adecvat, pn la reducerea acestuia la un nivel acceptabil, sau transformarea

acestuia n oportuniti;

-Transferare;

-ncetarea activitii care l-a generat.

-Nivelul de risc care persist i dup tratarea acestuia expunerea la respectivul risc, trebuie s fie

acceptabil i justificabil(n limitele apetitului la risc).

-Unb proces eficace de gestionare a riscurilor presupune o analiz riguroas a contextului n care

organizaia funcioneaz i de prioritizarea riscurilor partenerilor.


Ierarhia riscului.


Proiect i operaional

Program

Strategic Decizii strategice

Decizii care traduc Strategia n aciuni

Decizii necesare implementrii

Mnagementul riscului la orice nivel strategic, de program i operaional Trebuie integrat, astfel ca nivelurile s se susin reciproc. Aceast strategie face din managementul riscului o operaie de rutin, plecat din vrf, pna La nivelurile de jos. Personalul trebuie s contientizeze importana controlului riscului pentru atingerea obiectivelor , urmare a instruirii n acest sens.


Standardele SR/ISO/IEC 31000 i 31010.


Abordarea generic din aceste standarde furnizeaz principiile i liniile directoare pentru abordarea oricrei probleme de risc ntr-o form sistematic, transparent i continu, pentru orice domeniu i orice context.

Fiecare sector sau aplicaie de management al riscului presupune nevoi, public, percepii i criterii proprii. Aceasta a fcut ca standardele enunate s includ n managementul riscului, chiar de la nceput, stabilirea contextului .

Acest proces preliminar ne ajut s nelegem obiectivele organizaiei, mediul n care organizaia acioneaz, prile interesate i complexitatea activitii, inclusiv diversitatea riscurilor inerente.

Pentru evaluarea riscului, n faza stabilirii contextului, se va urmri identificarea contextului extern dar i a celui intern:

a) extern familiarizarea cu mediul n care organizaia opereaz:

- factori culturali, sociali, politici, juridici, de reglementare, financiari, economici i de mediu concurenial, fie ei locali, regionali, naionali sau internaionali;

- factori cheie i tendine cu impact asupra organizaiei;

- percepii i valori ale prilor externe interesate.

b) Intern, implic nelegerea:

- capacitilor organizaiei n ceea ce privete cunotinele i resursele;

- fluxurilor de informaii i a proceselor decizionale;

- prilor interne interesate;

-Obiectivelor i a strategiilor pentryu atingerea acestora;

- percepiilor, valorilor, implicaiilor socio-culturale;

- poiliticilor i proceselor;

-Standardelor i modelelor de referin adoptate de organizaie;

-Structurilor (organigrame, roluri, atribuii)




c) Stabilirea contextului procesului de managemnt al riscurilor implic:

- definirea atribuiilor i responsabilitilor;

- definirea amplorii activitilor de managemnt al riscurilor ce vor

fi desfurate, inclusiv ce se include/exclude;

- definirea relaiei dintre un proiect/eveniment anume i alte

proiecte/evenimente ale organizaiei;

- definirea metodologiei de evaluare a riscurilor;

- definirea criteriilor de risc;

- definirea modului de evaluare a performanei managementului

riscului;

- identificarea i precizarea deciziilor i aciunilor ce trebuie

ntreprinse;

- identificarea studiilor necesare pentru domeniul de aplicare sau

ncadrare, mrimea, obiectivele, i resursele necesare pentru aceste

studii;




d) Definirea criteriilor de risc implic stabilirea:

- naturii i tipului de consecine ce trebuie incluse i modul n care

acestea vor fi msurate;

- modalitii n care se vor exprima probabilitile;

- modalitii de stabilire a unui nivel de risc;

- criteriile conform crora se va decide cnd un risc trebuie tratat;

- criteriile care stabilesc cnd un risc este acceptabil/tolerabil;

- dac i cum vor fi luate n considerare combinaiile de riscuri.

Criteriile se pot baza pe surse precum:

- obiective convenite ale proceselor;

- criterii identificate n specificaii;

- criterii general acceptate n domeniu, ex. Niveluri de integritate a

securitii;

- apetitul pentru risc organizaional;

- cerine juridice sau de alt natur, pentru echipamente sau procese.


EVALUAREA RISCULUI .


EVALUAREA RISCULUI reprezint procesul global care cuprinde identificarea, analiza

i estimarea riscului.

IDENTIFICAREA RISCULUI reprezint procesul de descoperire, recunoatere i descriere a

riscului i implic:

- identificarea surselor de risc, a evenimentelor, a cauzelor i a potenialelor cerine ale acestora;

- date istorice, analize teoretice, opinii informate i ale experilor, precum i nevoile prilor

interesate;

- descrierea riscului reprezint prezentarea structurat a riscului care conine, de regul, patru

elemente: surse, evenimente, cauze i consecine;

sursa riscului reprezint elementul care, singur sau n combinaie cu altele, are potenialul intrinsec de a

produce un risc;

evenimentul reprezint apariia sau modificarea unui anumit set de mprejurri:

- poate fi unic, se poate produce de mai multe ori sau poate avea mai multe cauze;

- poate consta din ceva ce nu se ntmpl;

- poate fi un incident sau un accident;

pericolul reprezint sursa de posibile pagube; poate fi o surs de risc;

proprietarul riscului reprezint o persoan sau o entitate cu responsabilitatea i autoritatea de a gestiona

un risc.


ANALIZA RISCULUI .


ANALIZA RISCULUI reprezint procesul de nelegere a naturii riscului i de determinare a nivelului de risc; ea constituie baza estimrii riscului i a deciziilor referitoare la

tratarea riscului:

- plauzibilitatea reprezint posibilitatea ca un anumit fapt s se ntmple; ea mai este considerat posibilitate,

probabilitate sau frecven;

- expunerea la risc reprezint msura n care o organizaie i/sau o parte interesat sunt/ este supuse (supus) unui

eveniment;

- consecina reprezint efectul unui eveniment care afecteaz obiectivele:

- un eveniment poate genera o serie de consecine;

- o consecin poate fi cert sau incert i poate avea efecte pozitive saunegative asupra obiectivelor;

- consecinele pot fi exprimate calitativ sau cantitativ;

- consecinele iniiale pot declana reacii n lan;

- probabilitatea este msura posibilitii de apariie exprimat ca un numr ntre 0 i 1, unde 0 reprezint

imposibilitatea i 1 - evenimentul sigur;

- frecvena reprezint numrul de evenimente sau efecte ntr-o unitate de timp definit: ea poate fi aplicat

evenimentelor trecute (plauzibilitate) sau evenimentelor viitoare (probabilitate);

- vulnerabilitatea reprezint caracteristica unei entiti care are ca urmare susceptibilitatea fa de o surs de risc i

poate conduce la un eveniment cu consecine;

- matricea de risc reprezint instrumentul pentru clasificarea i afiarea riscurilor, prin definirea categoriilor de

consecine i de plauzibiliti;

- nivelul de risc reprezint mrimea unui risc sau a unei combinaii de riscuri exprimat prin combinaia

consecinelor i plauzibilitii acestora.


MONITORIZAREA RISCULUI .


MONITORIZAREA reprezint verificarea continu,

supravegherea, observarea critic sau determinarea strii n scopul

de a identifica schimbrile fa denivelul de performan n raport

denivelul solicitat sau ateptat:

- poate fi aplicat unui cadru organizaional de management al

riscului, unui proces de management al riscului, unui risc sau unui

mijloc de control.


REVIZUIREA RISCULUI .


REVIZUIREA reprezint activitatea desfurat pentru a determina oportunitatea,

adecvarea i eficiena subiectului legate de atingerea obiectivelor stabilite:

- poate fi aplicat unui cadru organizaional de management al riscului, unui proces de management

al riscului, unui risc sau unui mijloc de control;

- raportararea riscului reprezint forma de comunicare destinat informrii anumitor pri interesate

interne sau externe, furnizndu-le informaii referitoare la starea curent a riscului i la

managementul acesteia;

- registrul de risc reprezint instrumentul de nregistrare a informaiilor despre riscurile identificate:

- mai este denumit i jurnal de risc;

- profilul de risc reprezint descrierea unui ansamblu de riscuri:

- ansamblul de riscuri poate conine elemente care se refer la ntreaga organizaie sau la o parte a

acesteia;

- auditul managementului riscului reprezint procesul sistematic, independent i documentat pentru

obinerea i evaluarea dovezilor n mod obiectiv, n scopul de a determina msura n care cadrul

organizaional de management al riscului sau orice parte selectat a acestuia, este adecvat sau

adecvat i eficient.


TEHNICI DE ANALIZ A RISCULUI.


Riscul n activitatea unei firme se refer la probabilitatea de a nu se respecta obiectivele

stabilite n termeni de performanta (nerealizarea standardelor de calitate), program (nerespectarea

termenului de execuie) si cost (depirea bugetului).

Element de risc este orice element care are o probabilitate msurabil de a devia de la plan.

O activitate,notat (a), poate fi considerat element de risc dac sunt ndeplinite simultan

urmtoarele dou condiii:

0 < P(a) < 1 (1) n faza de identificare a riscului

L(a) = 0 (2) se identific tote elementele care

stisfac condiiile (1) i (2)

unde: P(a) = probabilitatea ca un eveniment (a) s se produc

E(a) = efectul evenimentului (a) asupra obiectivelor

L(a) = evaluarea monetar a lui E(a)

Managementul riscului este un proces ciclic, cu mai multe faze distincte: identificarea riscului,

analiza riscului i reacia la risc.

Totodat, se elimin riscurile neconcordante, adic acele elemente de risc cu probabiliti reduse de

apariie sau cu un efect nesemnificativ.

Atenie : riscuri interne i riscuri externe


Metode de identificare a riscului.


Ci i metode de identificarea riscului:

ntocmirea unor liste de control care cuprind surse poteniale de risc, cum ar fi: condiii de mediu, rezultatele ateptate, personalul, modificri ale obiectivelor, erorile i omisiunile de

proiectare i execuie, estimrile costurilor i a termenelor de execuie etc.;

analiza documentelor disponibile n arhiva firmei, pentru identificarea problemelor care au aprut n situaii similare celor curente;

utilizarea experienei personalului direct productiv (efi de secii i de echipe) prin invitarea acestora la o edin formala de identificare a riscurilor. De multe ori oamenii de pe teren sunt

contieni de riscuri i probleme pe care cei din birourinu le sesizeaz. O comunicare

eficient teren - birouri este una dintre cele mai bune surse de identificare i diminuare a

riscurilor;

identificarea riscurilor impuse din exterior (prin legislaie, schimbri n economie, tehnologie, relaii cu sindicatele) prin desemnarea unei persoane care s participe la ntrunirile

asociaiilor profesionale, la conferine i care s parcurg publicaiile de specialitate.

Analiza riscului realizeaz o cuantificare ct mai precis a riscurilor identificate. Exist o

multitudine de metode matematice de cuantificare a riscului, de la calculul probabilistic, pna

la metoda Monte Carlo.

Cea mai simpl metod de cuantificare a riscurilor este aceea a valorii ateptate (VA), care se calculeaz ca produs ntre probabilitile de apariie ale anumitor evenimente i efectele acestora:

VA(a) = P(a) x E(a) (3)


Riscurile securitii fizice. (cont)


Securitate fizic este definita ca fiind starea de fapt n care riscul determinat de

factorii de ameninare i vulnerabilitile care pot pune n pericol viaa, integritatea corporal sau

libertatea persoanei ori pot aduce prejudicii valorilor deinute de uniti, se situeaz la unnivel

acceptabil.

Riscurile care ar putea interveni sunt:

g) mecanisme de securitate soluii care cuprind mai multe msuri de securitate, carefuncioneaz

conform unor scenarii predefinite, pentru securizarea unuia sau mai multor obiective, atunci cnd

sunt amplasate n acelai perimetru;

h) sisteme de securitate - soluii lanivel de sistem pentru uniti cu multiple obiective de securitate

distribuite geografic n locaii diferite;

i) parametri interni i externi care genereaz i/sau modific riscurile la securitatea fizic a unitii

contextul care poate cuprinde, dar nu se limiteaz la:

1. mediul cultural, social, politic, de reglementare, financiar, tehnologic, economic,natural i

concurenial, lanivel internaional,naional, regional sau local;

2. factorii cheie i tendinele cu impact asupra obiectivelor organizaiei;

3. relaiile cu prile interesate, percepiile i valorile acestora.

RISCUL LA SECURITATEA FIZIC

Conceptul de risc.


Riscul nseamn posibilitatea de producere a unui eveniment nedorit,

Fapt ce ar duce la consecine negative.

Numim risc nesigurana asociat oricrui rezultat.

Nesigurana se poate referi la probabilitatea de apariie a unui eveniment sau

La influena, la efectul unui eveniment n cazul n care acesta se produce.

Riscul apare atunci cnd:

un eveniment se produce sigur, dar rezultatul acestuia e nesigur;

efectul unui eveniment este cunoscut, dar apariia evenimentului este

nesigur;

att evenimentul ct i efectul acestuia sunt incerte.


Caracteristicile riscurilor.


Un eveniment concret ce se poate produce n viitor

Probabilitatea de apariie

Consecina producerii (impact + sau -)

Riscul este aproape ntotdeauna asociat unei ameninri; cu toate acestea,

exist riscuri pozitive, care pot fi vzute ca o oportuniti

Riscul nu este o problemo problem este un risc care sa

materializat


Presupunere Vs Risc.


Presupunere (Assumption) Pot exista circumstante sau

evenimente externe care trebuie sa aiba loc pentru ca proiectul sa

se poata incheia cu succes. Daca probabilitatea de aparitie a unui

astfel de eveniment este mare, el trebuie considerat presupunere

(in contrast cu definitia riscului). Daca un eveniment se afla sub

controlul echipei de proiect, cum este de exemplu terminarea

testarii pina la o anumita data, acesta nu este o presupunere (face

parte din abordarea proiectului). Daca un eveniment are sanse

100% sa se intimple, nu este o presupunere, deoarece nu sunt

implicate o probabilitate sau un risc (este doar o realitate, un

fapt). Exemple de presupuneri pot fi Bugetul si resursele vor fi

disponibile atunci cind va fi nevoie sau Noua versiune de

software va fi disponibila pentru utilizare pina la inceperea Fazei

de Constructie.


Formalizri ale riscului de securitate.


Au fost dezvoltatea modele de formalizare i reprezentarea nivelelor de risc.

Modelul EASI(Estimate of Adversary Sequence Interruption) propune evaluarea probabilitii

ntreruperii unui atac pe baza pe baza performanelor unui sistem de protecie fizic din

prespectiva funciilor de baz ale scestuia: detecie, ntrziere, rspunsul i comunicaiile.

Astfel, pentru ntreruperea unei tentative de furt, de exemplu, timpul de rspuns

necesa forelor de intervenie s intervin i s ntrerup atacul, trebuie s fie mai mic sau egal

cu suma timpilor necesari pentru: transmiterea alarmei, evaluarea alarmei, alertarea forelor de

intervenie, pregtirea rspunsului, parcurgerea distanei, intervenia/oprirea atacului.

Transmiterea alarmei

Evaluarea alarmei

Alertarea forelor de intervenie

Pregtirea rspunsului

Parcurgerea distanei

Intervenia Timp pentru:


Factori ai riscului de securitate.


Pentru desemnarea cauzelor poteniale care pot pune n pericol viaa, integritatea corporal sau libertatea persoanei ori pot aduce prejudicii valorilor deinute de uniti, este utilizat tot mai frecvent, n analizele de specialitate, termenul de factor de risc. Orientarea specialitilor ctre studierea aprofundat a factorilor de risc este

perfect justificat de posibilitatea oferit astfel pentru stabilirea msurilor de prevenire

pornind de la riscurile poteniale.

Factori de risc la adresa securitii fizice pot fi clasificai n factori interni i externi.

La rndul lor, factorii externi de risc se pot diviza n:

- factori de risc determinai de mediu (obiectivi);

- factori de risc de natur uman (subiectivi).

Factorii de risc nu sunt independeni, iar pierderile nregistrate n situaiile manifestrii riscului sunt deseori consecine ale interdependenei dintre ei.


Factori ai riscului de securitate.


Factorii interni de risc sunt asociai activitilor i operaiunilor desfurate n

interiorul entitii i exprim, n principal, deficienele cu care subsistemele entitii sunt

proiectate, realizate i exploatate de ctre utilizatori (cum ar fi calitatea i motivarea

personalului, fluctuaia personalului, calitatea sistemelor de control i creterea rapid a

volumului de munc). Acetia pot conduce, n unele cazuri, la obinerea unor

performane sczute ale sistemului (entitii) n ansamblu.

Factorii externi de risc pot fi reprezentani de mediul legislativ existent i posibilitatea schimbrilor n legislaie, dezvoltrile tehnologice, capacitatea instituiilor

de a ndeplini activitile ce le sunt delegate i mediul general de risc n care se opereaz,

situaii de for major.

Eroarea uman - numrul erorilor produse este determinat de fiabilitatea factorului uman, care depinde chiar pentru acelai individ i aceeai operaie, de un

numr ridicat de factori care nu ntotdeauna pot fi modelai veridic. Rata greelilor

umane crete semnificativ proporional cu creterea complexitii tehnice a sistemului din care face parte, ct i a complexitii sarcinii pe care acesta o are de ndeplinit.

.


Corelaia Securitate - Risc.


n terminologia de specialitate, securitatea este definit ca faptul de a fi la adpost de

orice pericol, iar riscul - posibilitatea de a ajunge ntr-o primejdie, pericol potenial.

Securitatea guverneaz managementul riscului.

Gestionarea eficienta a riscurilor depinde de cuantificarea exacta a acestora. Este extrem

de dificil a proiecta o strategie durabila si de succes in gestionarea riscurilor fara ca mai intai sa

identifici, sa masori, sa analizezi si sa intelegi riscurile existente si emergente care au impact asupra

unei companii.

Proces cu nalt nivel de operaionalizare, securitatea este caracterizat, dpdv al performanelor, de

riscul asumat, care reprezint att indicator de performan al sistemului ct i element de referin

al comportamentului reactiv al acestuia.

La nivelurile de risc (dezastru, major, mediu, minor, neglijabil) se raporteaz direct strategiile de

securitate (limitele de siguran i stabilitate minimale, suficiente, acoperitoare i sigure), i se

evalueaz de regul, i costurile necesar a fi suportate.

Dat fiind faptul c nivelul de risc (R) este o variabil analitic, avnd drept factori ameninrile (A

= A1 A2) i vulnerabilitile (V) , iar ca element de concretizare corespondena cu producerea

evenimentelor nedorite, (de securitate), pe care le caracterizeaz din punct de vedere al

probabilitii sau posibilitii, precum i al consecinelor de producere, rezult c evaluarea

riscului este un proces complex, cu un nivel ridicat de subiectivism; de aceea pentru evaluare se

impun procedee ct mai precise i mai laborioase.

A1 = ameninri de mediu, A2= ameninri ce provin din exacerbarea unor vulnerabiliti


Repartizarea riscului.


Repartizarea riscurilor este de asemenea un instrument performant de management al riscului. Aceasta se refera la partile care vor accepta o parte sau intreaga

responsabilitate pentru consecintele riscului. Repartizarea riscului trebuie sa se faca

tinandu-se seama de comportamentul fata de risc al diferitelor organizatii implicate. In

acest sens regula generala de alocare a riscului este sa se aloce riscul partii care poate sa

il suporte si sa il controleze cel mai bine.

Strategia de contractare constituie un mecanism esential in repartizarea

riscului. Riscurile pe care si le asuma firma sunt in mod obisnuit formalizate princontracte cu

beneficiarii. Riscurile legate de resursele umane sunt acoperite, cel putin partial, prin

incheierea contractelor colective si individuale de munca. In majoritatea cazurilor, riscurile legate

de materiale si echipamente pot fi transferate furnizorilor acestora, prin garantiile pe care acestia le

ofera. Unele riscuri pot fi indepartate prin incheierea unor contracte de asigurare. Compania de

asigurari isi asuma o parte din riscuri in schimbul unui pret (prima de asigurare). Daca riscul se

produce in conditiile specificate prin contractul de asigurare, asiguratorul va rambursa partea

asigurata sau toate pierderile suferite datorita riscului.

Performanta in procesul de management al riscului este data de calitatea managerilor si a

personalului implicat, si anume de cea mai slaba veriga din cadrul sau. Managerii firmei trebuie sa

se asigure ca echipa care realizeaza managementul riscului este competenta si a gasit o cale de

mijloc intre tehnicizarea excesiva a procesului si actiunea pe baza de intuitie.


Definirea riscului la securitatea fizic.


Ameninare = un pericol potenial, ce trebuie evideniat funcie de natura procesului

care trebuie protejat i de caracteristicile mediului din care acesta face parte i care, dac se

concretizeaz, poate produce consecine dezastruoase.

Vulnerabilitatea reprezint fie o zon a aciunii invocate avnd un grad de ameninare

vizibil sau ridicat, fie un mediu favorabil neglijenei sau, n general, criminalitii, care, dac este

exploatat de un potenial duman, poate conduce, de asemenea, la consecine dezastruoase.

Prin risc se nelege, aadar, probabilitatea de a se produce i capabilitatea de a nfrunta

un pericol, o situaie neprevzut sau de a suporta o pagub, un eec n aciunea ntreprins. Sau,

altfel spus, riscul poate fi considerat o estimare a probabilitii ca o ameninare s foloseasc cu

succes o vulnerabilitate i s produc o consecin dezastruoas.

Atribuirea unei valori de risc pentru o aciune, un eveniment este condiionat de doi

factori importani: probabilitatea de apariie a pericolului i consecinele apariiei acestuia,

transpus formal n relaia:

R = P x C

sau, in termeni ai teoriei multimilor :

RISC = PROBABILITATE CONSECINE

Din aceast relaie rezult c riscul poate fi ridicat atunci cnd, fie probabilitatea de

producere a pericolului este mare, fie cnd, n cazul producerii unui pericol, consecinele sunt

pronunat negative, dar este sigur ridicat cnd ambii factori sunt mari.


Niveluri de risc


Corelaia risc, probabilitatea de producere a pericolului i consecinele producerii

Asociind valori discrete celor dou mulimi ce se intersecteaz, rezult nivelurile de risc astfel:


Scala de reprezentare a nivelurilor de risc


CALITATIV CANTITATIV

DEZASTRU F. MARE RIDICAT 100 % 1 5

MAJOR MARE 80 % 0,81 4 0,66

MEDIU MODERAT MEDIU 60 % 0,6 3

MINOR SCZUT 40 % 0,4 2 33

NEGLIJABIL REDUS F. SCZUT 20 % 0,2 1

n aplicaiile de determinare a riscurilor obiectivelor de securitate , i nu numai, se utilizeaz o scal cu cinci niveluri i cu valori de la 0 la 5, la care este asociat caracterizarea calitativ De la NEGLIJABIL la DEZASTRU


Niveluri de risc vs Atitudinea fa de risc


Fig. 2. Atitudinea fa de risc


Atitudinea fa de risc


La fundamentarea analizei de risc se va avea n vedere realizarea unei

corespondene ntre valorile de risc obinute i gradul de acceptabilitate al

acestuia, coresponden de care depinde politica de securitate ce va fi adoptat

de factorii de decizie

Analiznd corespondena din figur se poate trage concluzia c pot fi

adoptate 3 categorii de atitudini fa de risc:

acceptarea (tolerarea): se poate adopta fa de riscurile neglijabile i de o mic

parte a celor minore, care, dac s-ar produce, ar determina pagube suportabile

reducerea selectiv: se poate adopta fa de riscurile minore, medii i o mic

parte a celor majore i ar consta n adoptarea unor msuri preventive care s

reduc posibilitatea producerii evenimentelor nedorite i utilizarea unor tehnici

i proceduri adecvate de reducere a consecinelor acestora

asigurarea: se adopt obligatoriu fa de riscurile dezastruoase i o parte a

celor majore, pentru care msurile desecuritate proprii ar fi prea costisitoare sau

prea complexe i din aceste cauze aceste riscuri sunt inacceptabile.


Componentele riscului la securitatea fizic


Un obiectiv cu nevoi de securitate este o entitate fizic, valoric, ori

un mediu de existen ori de afaceri. Unui obiectiv de securitate i corespunde o

strategie, un mediu i un mecanism de securitate, realizate urmare a unor

evaluri unitare, realizate n baza unor proceduri i standarde ce guverneaz

domeniul securitii.

O analiz complet a riscurilor pe care le implic o entitate/facere/activitate,

este un proces laborios care trebuie s in seama att de cele dou dimensiuni

ct i de cele patru componente ale securitii.

Securitate

Fizic

Stabilitate

De personal

Siguran

Procesual

Informaional

Categorii Dimensiuni


Componentele securitii unui obiectiv


Pentru evidenierea dimensiunilor i componentelor riscului de securitate facem

apel la metoda Fishbone(Ishikawa):

Securitate obiectiv

Procesual

Fizic

Informaional

De personal

Juridic

Funcional

Procedural

Detecie

Analiz

Tratare

Disponibilitate

Confidenialitate

Integritate

Protecie personal

Protecie mpotriva personalului

G

u

v

e

r

n

a

r

e

E v

enim

ent

ned

orit

I

n

f

o

r

m

a

i

i

Personal propriu

Personal din mediu


Riscul unui obiectiv de securitate


Diagrama Fishbone(Ishikawa) a riscului unui obiectiv de securitate:

Informaional procesual

De personal Fizic

Disponibilitate

Confidenialitate

Integritate

Autenticitate

Proceduralitate

Funcionalitate

Jurisdicie

Protecie personal

Protecie mpotriva personalului

Detecie

Analiz

Tratare

Riscul de securitate


Determinarea componentelor riscului.


Cele 4 componente de securitate constituie cauze primare ale efectului.

Fiecare cauz primar are cte dou trei cauze secundare. Ex., informaionl are,

disponibilitatea, integritatea, confidenialitatea, autenticitatea. Acestea din urm

determin greeli de operare, abateri procedurale, erori procesuale sau infraciuni.

riscul de securitae este suma ponderat a riscurilor celor dou dimensiuni (stabilitate i siguran):

Rs = p1 * Rst + p2 * Rsg unde p1 +p2 = 1

p1 = ponderea cauzelor primare care determina stabilitatea efectului

p2 = ponderea cauzelor primare care determin sigurana evenimentului

riscul fiecrei dimensiuni reprezint suma ponderat a riscurilor cauzelor primare care le compun:

Rst = Pp * Rp + Pi * Ri ; Pp +Pi =1; Rp risc comp. procesualitate; Ri risc comp.

Informaional

Rsg = Pf * Rf + Pps * Rps

riscul fiecrei componente reprezint suma ponderat a cauzelor sercundare care le produc:

Rp = Pj*Rj + Pfc*Rfc + Ppr*Rpr; Pj+Pfc+Ppr=1; Rj, Rfc, Rpr reprezint riscurile cauzelor

secundare care produc componenta procesualitii a riscului de securitate (jurisdicie,

procesualitate i proceduralitate). La fel se determin i componentele informaional, de personal

i fizic


Determinarea riscului.


riscurile cauzelor secundare se determin izomorfic, conform formalizrilor probabilitate , consecine , oricu alt metod de determinare a riscului.

Determinarea riscului cu metoda fishbone se face aadar dup urmtorul algoritm:

Evaluarea ponderilor i impactului elementelor cauzelor secundare

Stabilirea riscului cauzelor secundare

Evaluarea/stabilireaponderilor cauzelor secundare

Determinarea riscurilor cauzelor primare

Determinarea poderilor cauzelor primare

Determinarea riscului dimensiunilor

Determinarea ponderilor dimensiunilor

Determinarea riscului global(de securitate)

Acceptarea risculuui

Risc acceptabil NU

DA

EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA

FIZIC.

Metoda cartografierii riscurilor


Exemplu: riscul pierderii locului de munc.

Revizuirea riscului

de nesiguran la

locul de munc

Rapoarte de control al

riscului de nesiguran

la locul de munc

Buget

Timp manager

Proceduri de siguran

Standarde naionale

Evaluator

Reprezentant Camera

de Munc

PROCES

Principala intrare a procesului de evaluare a riscului de nesiguran la locul de munc l reprezint revizuirea riscului la locul de munc. n evaluarea riscului de nesiguran se ine cont de o serie de restricii (proceduri de siguran, standarde naionale, buget i resurse de timp ale conducerii), dar i de o gam larg de resurse ce ajut n obinerea unui rezultat (ieiri) rapoarte de control al riscului de nesiguran. Evaluatorul/reprezentantul Camerei de Munc reprezint resursele acestui proces, i nu intrrile acestui proces, ntruct nu se consum pe parcursul desfurrii procesului.


FIZIC.

Metoda clasificrii riscurilor


Cunoscut drept proces de evaluare a prioritii riscurilor, metoda se concentreaz pe ordonarea unui numr variat de riscuri innd cont de importana lor, respectiv de probabilitatea ca un incident s cauzeze consecine de o anumit gravitate (Baldwin, 2002).

Metoda se aplic pentru evaluarea riscurilor acute din organizaiile mici i mijlocii. Tehnica presupune un proces n ase pai:

1. identificarea evenimentului;

2. probabilitatea de producere a evenimentului;

3. modul n care evenimentul afecteaz persoanele;

4. numrul de persoane afectate;

5. evaluarea riscurilor;

6. clasificarea, planificarea i revizuirea soluiilor.

Metoda are la baz un sistem de scoruri bazat pe gradul de seriozitate a

accidentelor de la locul de munc. ntregul algoritm se bazeaz pe incidente din trecut

pentru a previziona pierderi viitoare, innd cont de statistici naionale. Potrivit

procesului de evaluare a prioritii riscurilor, cu ct este mai mare scorul riscului, cu att problema este mai serioas i de aici se impune o decizie mai structurat pentru reducerea acestuia.


FIZIC.

Cardul de notare a riscului


Cardul de notare a riscului este o metod strategic, cu o gam mai larg de aplicaii pentru identificarea riscurilor. Abordarea de notare pentru mbuntirea performanelor unei organizaii se bazeaz pe raionamentul urmtor: mbuntirea performanei poate fi realizat prin cuantificarea indicatorilor-cheie de performan.

Principalii indicatori de performan luai n considerare sunt cei din domeniul clienilor, operaiilor interne i al managementului financiar.

Una dintre variantele metodei este cardul de notare a riscurilor FIRM (financiar,

infrastructur, reputaie, mediu). Metoda se concentreaz asupra evoluiei riscurilor n timp, a

impactului riscurilor asupra organizaiei i a corelrii dintre expunerea la risc i capacitatea de risc

a organizaiei. Astfel, metoda (cardul de notare) ilustreaz natura complex i interdependena

riscurilor din cadrul activitii i efectul asupra ntregii organizaii. Potrivit acestei metode, riscuri

le sunt interne (infrastructur i financiar) i externe (reputaie i mediu).

Riscurile financiare sunt riscuri cu impact asupra resurselor financiare.

Riscurile de infrastructur sunt cele denumite riscuri stabilite, adic acele riscuri acoperite prin

asigurri i mecanisme similare.

Riscurile de reputaie sunt legate de imaginea organizaiei fa de clieni, furnizori, acionari i societate, n general. Aceste riscuri sunt variate, dificil de neles i cuantificat. Exemple de astfel de riscuri ar fi managementul firmei, aspecte de etic, aspecte legale. Rezultatul poate fi o imagine negativ i nedorit care afecteaz imaginea i reputaia companiei.


FIZIC.

Cardul de notare a riscului


Riscurile de mediu sunt acele riscuri legate de poziionarea organizaiei pe pia riscurile comerciale care afecteaz clienii i cheltuiala acestora, abilitatea de a menine contractele

cu partenerii, profilul de pia i performana organizaiei.

innd cont de aceste patru tipuri de riscuri, se poate determina capacitatea de risc a unei

organizaii. Astfel, aceasta se bazeaz pe acceptarea controalelor, tolerana la hazarduri i apetitul

pentru oportuniti.

Capacitate de risc = Acceptare control + Toleran hazarduri + Apetit pentru

oportuniti

Infrastructur

Reputaie Mediu

Financiar

Acceptare

control

Hazard

Oportunitate


FIZIC.

Profilul riscurilor


Metoda profilul riscurilor ofer un cadru pentru realizarea unor raportri publice anuale privind controale de managementul riscului, permind evaluarea i monitorizarea strategic, sistematic i structurat a riscurilor existente (Dickson, 2003). De asemenea, metoda ofer sigurana suplimentar mpotriva pierderilor dezastruoase, un control efectiv al riscurilor pe perioade de schimbri i cretere, un management continuu, fr devieri, n timpul fuzionrilor i al achiziiilor. Potrivit unei organizaii de inovaii din Marea Britanie, care ofer soluii de management al riscului, aceast metod este format din cinci etape (AEA Technology, 2003).

1. definirea unitilor de risc;

2. stabilirea unor grade i a unei scheme de prioriti;

3. identificarea i evaluarea ameninrilor;

4. clasificarea riscurilor i identificarea controalelor;

5. monitorizarea i planurile de aciune pentru controlul riscului.

Un instrument de gradare a riscurilor propus de AEA, pct. 2, este matricea de gradare, care ine

cont de severitatea i frecvena evenimentelor.

Impact Niciuna Minor Moderat Semnificativ Impresionant

Frecven

Ocazional Mediu Mediu Ridicat Ridicat Ridicat

Redus Redus Mediu Mediu Ridicat Ridicat

Improbabil Redus Redus Mediu Mediu Ridicat

De necrezut Redus Redus Redus Mediu Mediu


FIZIC.

Concluzii


Astfel, pentru o frecven ocazional cu un impact semnificativ, riscul va fi clasat drept ridicat. n schimbul celor trei valori ridicat, mediu i redus AEA folosete sistemul culorilor

rou, galben i verde.

Metoda de stabilire a profilului riscurilor ofer o abordare complex, interdisciplinar i strategic. Sistemul ofer o evaluare transparent, comparabil i consistent a riscurilor din ntreaga organizaie. Imaginea de ansamblu a riscurilor adreseaz prioritile de risc diferite i concurente cu care se confrunt majoritatea companiilor. Procesul este creat pentru necesitile fiecrei or

Procesul de prioritizare permite concentrarea resurselor limitate pentru riscurile-cheie

care pot afecta obiectivele i scopul unei organizaii. Un alt avantaj este preocuparea continu pentru identificarea i integrarea riscurilor noi n sistem.ganizaii ntruct diferenele existente determin profiluri distincte.

Concluzii

Dei exist un numr semnificativ de metode de identificare, exist o serie de

caracteristici comune pentru toate acestea. De obicei, nu este suficient o singur metod de

identificare pentru relevarea tuturor problemelor de risc cu care o organizaie are de-a face. Nu este

de dorit aplicarea numai a uneia sau a dou tehnici de identificare a riscurilor, ntruct excluderea

celorlalte ar duce la restrngerea numrului de riscuri pe care managerul de risc va putea s le

releve.


FIZIC.

Etapele de evaluare a riscurilor


Etapele metodologiei de analiz a riscurilor

Caracterizarea obiectivului

Identificarea evenimentelor nedorite

i a activelor critice

Determinarea consecinelor

Determinarea consecinelor

Definirea ameninrilor

Analiza eficienei sistemului

de securitate fizic

Estimarea riscurilor

Estimarea riscurilor Nu

Da


FIZIC.

Analiza riscurilor


Analiza riscului este un proces iterativ, cuprinznd urmtoarele etape:

-Definirea parametrilor externi i interni, care pot contribui la generarea/modificarea

riscurilor organizaiei;

- stabilirea mwetodei i a instrumentelor de lucru;

- identificarea tuturor riscurilor, zonelor de impact, evenimentelor, cauzelor riscului,

precum i a potenialelor consecine, dac acestea s-ar materializa;

- analizarea riscurilor identificate;

- estimarea riscurilor identificate;

- ntocmirea Raportului de evaluare i tratare a riscurilor.


FIZIC.

Analiza riscurilor


Definirea parametrilor (factorilor, contextului)

Externi (Ameninri)

Interni (vulnerabiliti)

Stabilirea:

- Metodei de evaluare a riscului

- Instrumentelor de lucru

Identificarea riscurilor:

- Zonelor de manifestare

-Evenimentelor

- Cosecinelor

Analiza riscurilor

Estimarea riscurilor

Raportul de evaluare i tratare a riscurilor

(1)

(2)

(3)

(4)

(5)

(6)


FIZIC.

Analiza riscurilor


Analiza de risc poate fi :

calitativ, cnd nu se aloc valori financiare resurselor, iar finalitatea const n

ncadrarea pe o

scal de aprecieri, sau

cantitativ, cnd predomin factorul cost ( valoarea resursei pentru organizaie,

impactul financiar imediat i costul asociat ).

n practica analizei riscului, literatura de specialitate menioneaz o list lung de

metode i tehnici, din care specialitii le aleg pe cele care se adapteaz cel mai bine

obiectivelor i proceselor care trebuie protejate.

Dintre cele mai frecvent utilizate amintesc :

a. metoda matricilor de risc;

b. metoda OCTAVE;

c. metoda MEHARI .


FIZIC.

Metoda matricilor de risc


Metoda mparte obiectivul de protejat n patru componente de baz :

componenta fizic;

componenta funcional (procesual);

componenta informaional;

componenta de personal.

Avnd ca punct de plecare modelul relaionalitii dintre ameninri i vulnerabiliti, se face

evaluarea riscului global prin aplicarea relaiilor de calcul specifice la determinarea riscurilor

pentru fiecare component i nsumarea ponderat a rezultatelor pariale.

Matricea de risc este construit din liste de ameninri, liste de vulnerabiliti specifice, aferente

i liste de riscuri, rezultate din conjuncia celor doi factori.

Caracteristicile fizice se refer la perimetrul obiectivului, zona exterioar imediat, zona interioar

imediat, zona spaiilor funcionale, zona spaiilor interioare destinate pstrrii valorilor critice,

alte elemente specifice construciilor. Procesul funcional, predominant n organizaie, este definit

prin resurse materiale i umane, mod de organizare, grad existent de asigurare a continuitii

derulrii sale. Componenta informaional este analizat prin prisma rolului pe care l are n

obiectiv, aspectele sale structurale ( elemente hardware i software), precum i tinnd seama de

ameninrile determinate de transmiterea informaiilor spre i din exterior. O atenie deosebit este

acordat proteciei personalului, plecnd de la tipizarea potenialilor infractori i pn la etapele de

recrutare, angajare, instruire i fidelizare a personalului propriu.


FIZIC.

Metoda matricilor de risc (cont)


Calculul riscului global, Rg , se obine prin nsumarea ponderat a riscurilor pe componente, dup o formalizare de tipul :

Rg = p1 x Rp + p2 x Rf + p3 x Ri + p4 x Rps ,

unde :

Rp , este riscul asupra componentei procesuale

Rf , este riscul asupra componentei fizice

Ri , este riscul asupra componentei informaionale

Rps , este riscul asupra componentei de personal ,

iar : p1 , p2 , p3 , p4 sunt ponderile specifice organizaiei (obiectivului).

Evident pi=1 .

La rndul su, fiecare valoare de risc se calculeaz ca o sum ponderat a valorilor

riscurilor pe elementele constitutive ale componentei; de exemplu:

Rf = pk x Rfk , cu :

pk , ponderea alocat elementului k

Rck , riscul aferent elementului k al componentei fizice

Metoda este adaptabil i se poate transforma ntr-un instrument de evaluare.


FIZIC.

Metoda OCTAVE


Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation SM ), elaborat de specialiti americani, definete evaluarea strategic,

bazat pe risc i planificarea tehnic, n scopul realizrii securitii obiectivului de

protejat. Exist o versiune adaptat organizaiilor mici, avnd pn la 100 de persoane i

care se numete OCTAVE -S. Pentru implementarea metodei este necesar s lucreze o

echip de 3-5 specialiti, care se vor ocupa cu culegerea de date, analiza informaiilor

obinute, elaborarea strategiei de protecie i a planurilor de reducere a riscurilor identificate .

Activitatea este organizat n cadrul a 3 faze .

Faza 1 este consacrat construirii profilului ameninrii pe baza valorilor existente n organizaie

(obiectiv) i se compune din dou procese :

1. identificarea informaiilor organizaiei;

2. stabilirea profilurilor ameninrilor.

Faza a 2-a, de identificare a vulnerabilitilor infrastructurii, este dedicat analizei detaliate a

reelelor de calculatoare, din punctul de vedere al valorilor critice.

n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese :

1. identificarea i analiza riscurilor;

2. dezvoltarea strategiei de protecie i a planurilor de reducere a riscurilor.


FIZIC.

Metoda OCTAVE (cont)


Faza a 2-a, de identificare a vulnerabilitilor infrastructurii, este dedicat analizei detaliate a reelelor de calculatoare, din punctul de vedere al valorilor critice.

n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese :

1. identificarea i analiza riscurilor;

2. dezvoltarea strategiei de protecie i a planurilor de reducere a riscurilor.

Activitile pe durata primului proces, de identificare i analiz a riscurilor, sunt alocate evalurii impactului ameninrilor, determinrii probabilitii pentru criteriile de evaluare i estimrii probabilitilor ameninrilor.

n continuare, pe parcursul celui de-al doilea proces, de elaborare a strategiei de protecie i a planurilor concrete de reducerea riscurilor, se efectueaz urmtoarele activiti :

schiarea strategiei curente de protecie;

alegerea concepiilor de reducere a riscurilor;

dezvoltarea planurilor de reducere a riscurilor;

identificarea schimbrilor n strategia de protecie .

Din aceast scurt prezentare se evideniaz cteva caracteristici ale metodei, care ncepe cu selectarea i tratarea difereniat a valorilor critice ale organizaiei, continu cu analiza dedicat componentei informaionale i nu se ncheie cu elaborarea strategiei de securitate, ci cu redactarea planurilor concrete de reducere a riscurilor identificate, activiti care sunt concepute a se derula ciclic i sistemic .


FIZIC.

Metoda MEHARI


Una din metodele utilizate pe plan european este metoda MEHARI, elaborat de o echip de specialiti francezi, care abordeaz att analiza, ct i managementul riscului, evalund,

cantitativ i calitativ, factorii de risc. n setul de instrumente al metodei exist o baz de cunotine

referitoare la situaiile de risc, susinut de o aplicaie software, ce permite calcule, simulri i

optimizri.

Schema global a analizei de risc conine paii urmtori :

1. evaluarea expunerii naturale, care se face pe baza unei grile combinate, ce conine nivelurile

expunerii ( expunere foarte slab, slab, medie, ridicat ) i n funcie de care se face evaluarea a

patru capitole de ameninri:

accidente (foc, inundaii, cderi ale energiei electrice, deranjamente de echipamente IT sau telefonice, pierderi accidentale de date i fiiere, pierderi de personal important s.a.)

actiuni ruvoitoare (vandalism, terorism, alterare intenionat de date i fiiere, furturi de date

i componente IT , configurare greit intenionat a software-ului de reea, spionaj industrial sau

de stat, etc.)

actiuni intenionate, dar fr intenie ruvoitoare (absen sau greva personalului IT , plecarea

sau demisia unor funcionari cheie, utilizare ilegal de software liceniat )

erori ( degradarea performanelor ca urmare a neaplicrii mentenanei periodice, tergere neintenionat de programe, ca urmare a unor erori umane, bug-uri n programe aplicative, erori la

introducerea datelor de intrare, etc. )


FIZIC.

Metoda MEHARI (cont)


2. evaluarea factorilor de descurajare i prevenire (elemente de construcie, echipamente tehnice,

proceduri, personal de specialitate )

3. evaluarea potenialitii (n funcie de evenimentul care conduce la scenariu, se folosete unul

din trei tabele standard STATUS -EXPO , STATUS -DISS , STA - TUS -PREV - i se evalueaz

potenialitatea sub numele STATUS-P)

4. evaluarea impactului direct ; are ca punct de plecare o gril ale crei capitole trateaz :

bunuri (valori);

date i informaii;

infrastructura (telecomunicaii i sisteme);

infrastructura general;

disponibilitatea personalului;

conformitatea cu reglementrile i procedurile n materie.

(referitor la capitolul informaional, n cadrul acestei anexe se evideniaz atributele specifice, ce

pot fi afectate : Disponibilitatea informaiilor, Integritatea sau Confidenialitatea acestora)

5. evaluarea factorilor de protectie, compensare i recuperare ; exista un set de 5 categorii de

msuri de reducere a riscului :

o descurajare;

o prevenire;

o protecie;

o compensare;

o recuperare.


FIZIC.



5. evaluarea factorilor de protectie, compensare i recuperare ; exista un set de 5 categorii de

msuri de reducere a riscului :

descurajare;

prevenire;

protecie;

compensare;

recuperare.

6. evaluarea reducerii impactului ( n cadrul etapei de audit de securitate se face analiza factorilor

de reducere a riscurilor i evaluarea nivelurilor acestora; factorii de reducere sunt disuasiunea i

prevenia, pentru potenialitate, protecie i paliativ i recuperarea, pentru impact ).

7. evaluarea global a riscului ( pe baza evalurii STATUS -P, la pasul 3 i a grilei STATUS -RI , la

pasul 6, se evalueaz STATUS -GLOBAL , respectnd raionamentele specifice metodei i tabelele

standard de evaluare).

Estimarea factorilor ce concur la definirea i calcularea riscului se realizeaz utiliznd un set de

grile standard (grile STATUS-P, axate pe scenarii de tip accident, eroare, actiune voluntara i

grile STATUS-RI, axate pe scenarii de tip Disponibilitate, Integritate, Confidentialitate ), care fac

parte din baza de cunotinte MEHARI .


FIZIC.



Faza iniial de inspecie n obiectiv (site-survey) este susinut de un set de chestionare care servesc la relevarea caracteristicilor amanunite ale componentelor obiectivului :

organizaia; locaia;

incintele; funcionarea extins a reelei;

funcionarea reelei locale; operaii n reea;

securitatea arhitecturii de sistem; operaionalitatea resurselor IT ;

aplicaiile principale; securitatea aplicaiilor i a dezvoltrii de proiecte;

mediul de lucru; reglementrile n funciune, interne i naionale.

Din prezentarea succint a metodei se relev unele trsturi specifice :

utilizarea unor instrumente de ghidare (chestionare de audit, scenarii de evenimente );

tratarea complet a securitii (fizic, funcional, informaional, de personal );

aplicarea acestei metode nu se limiteaz la obiective deja consacrate n domeniu (militare, guvernamentale, comerciale, .a. ), ci se aplic i la alte categorii, care au de protejat diverse tipuri de valori, n accepiunea general a noiunii de securitate;

este o metod laborioas, care necesit un numr mare de persoane calificate.

Metoda impresioneaz prin pachetul de chestionare care servesc la efectuarea auditului i lista

amnunit de scenarii, lucru util la evaluarea ct mai precis a impactulu

vi - managementul securitatii -1

Documents