4. Exemplu Mehari

7/22/2019 4. Exemplu Mehari

1/27

MEHARI 2007

Presentation of MEHARI knowledge base

MEHARI is a trademark registered by the CLUSIF

Index Objective

License Reminder of MEHARI license

Base_scen List of MEHARI standard risk situations and references to the security services used for the reduction of the risks

ServicesList of the security services (control objectives), ordered by Domain (01 to 12) and of the risk scenarios which reference

them.

MEHARI security themes Scoring of 16 security indicators, based on the results of the vulnerability audit

Classif & T1 to T3 tables Intrinsic impact chart (Classif) and classification tables used to build the "intrinsic impact" table

Expo Natural exposition chart

Org to Legal (12 indexes) Vulnerability audit questionnaires distributed into 12 "security domains" (01 to 12)

I&P grids Evaluation of status RI (Rduction of Impact) and P (Potentiality) of the risk scnarios

RiskEvaluation of the residual risk seriousness based on the Potentiality and Reduction of Impact, taking into account the

security measures

ISO scoring Conversion table between the clauses of ISO/IEC 17799:2005 and MEHARI 2007 security services

Please send your questions, comments and remarks to: [email protected]

Thank you in advance

Date Revision status and commentsMay 2007

CLUB DE LA SECURITE DE LINFORMATION FRANAIS

30, rue Pierre Semard, 75009 PARIS

Tl.: +33 153 25 08 80 - Fax: +33 1 53 25 08 88

e-mail: [email protected] Web: http://www.clusif.asso.fr

(c) CLUSIF MEHARI 2007 ! Present 1


2/27

ietatea: SC AAAA Sistems SRL

completarii : 01.11.2009

Domeniul: Organizarea

Intrebare Y/N W

Exista un document care descrie politica de securitate in legatura cu sistemul informational, in speta in

legatura cu organizarea, administrarea si dirijarea politicii de securitate (roluri si responsabilitati), dar si

principiile fundamentale care subliniaza admistrarea securitatii informatiei?

1 2

Exista o procedura pentru a actualiza in mod regulat documentele referitoare la securitatea sistemului

informational o data cu schimbarea structuriilor organizationale?

1 2

A fost comunicata functia de securitate auditorilor interni (sau structurii responsabile de auditorii interni) o

referinta ghid legata de o informatie a sistemului de securitate, descriind in particular, obligatiile fiecarei

categorii de personal,directivele si recomandarile imputernicitului?

1 4

Exista o procedura de alerta, distribuita pe intreaga organizatie, care dau posibilitatea direct sau indirect

(supravietuirea personalului)sa contacteze persoane variate initiate intr-un plan de criza?

1 2

Sunt obligatiile si responsabilitatile angajatiilor legate de folosirea si protejarea bunurilor si resurselor careapartin companiei detaliate intr-un memoriu sau intr-un document disponibil conducerii?

0 4

Exista un document care sa definesca regulile generale aplicate protejarii accesului la resursele computerului

(stocari si elemente ale retelei, sisteme, alicatii, date, media, etc.) si conditiile cerute pentru rezultatul final,

managementul si controlul drepturilor de acces?

1 2

Exista un document care sa stabilesca sarcini, responsabilitatile si procedurile de aplicat pentru a proteja

arhive importante pentru companie?

1 4

Exista ,in contractele de munca sau in regulile interne o clauza clara a conditiilor obligatorii de a adera la

regulile securitatii in forta?

1 4

Chestionar de audit

(c) CLUSIF MEHARI 2007 ! 01Org 1


3/27

Exista un identificator unic (ID) asociat fiecarui user (angajat, exteriorului, etc) care poate avea acces la

informatiile sistemului?

1 4

(c) CLUSIF MEHARI 2007 ! 01Org 1


4/27

Societatea: SC AAAA Sistems SRL

Data completarii : 01.11.2009

Domeniul: Securitatea fizica

Nr. Intrebare Y/N W

1 Este procedura de acordare (modificare sau retragere) a autorizatiei de acces documentata si

sub un control strict?

1 4 Procedura de acordare

autorizatiei de acces

administrativ impreuna c

2 Sistemul si dotarea fizica sunt securizate impotriva furturilor si contra distrugerilor? 1 4 Intregul perimetru al clad

incendiu este automata,

3 Sunt cardurile sau ecusoanele, care reprezinta autorizarile de accea personalizate folosindu-se

numele detinatorului si fotografia?

1 2 Ecusoanele de acces su

si si functia detinatorului

4 Exista un sistem de operare (automatic sau securizat) pentru controlarea accesului (persoane si

vehicule) in cladire ?

0 2 La intrare este un siste

baza ecusonului dar ac

ecuson sa intre.

5 Va garanteaza sistemul ca persoanele care intra sunt verificate? Un control eficient presupune

o usa dubla, sau un agent de paza care permite accesul individual in cazul persoanelor si in

cazul vehiculelor permite aceesul tuturor persoanelor aflate in vehicul

1 4 La recepr\tie exista per

toate persoanele care int

6 Daca accesul in acest sistem depinde de folosirea unui ecuson, va garanteaza sistemul ca

acelasi ecuson nu poate fi folosit de o a doua persoana ( spre exemplu: Memoreaza toate

intrarile si nu permite o intrarea viitoare fara existenta unei iesiri?) ?

0 4 Sistemul informatic m

avertizeaza in cazul in

ecuson fara a fi o iesire,

7 Echipa de securitate are suficiente resurse sa verifice si sa actioneze in eventualitatea

declansarii intentionate a mai multor alarme?

1 4 Echipa de securi tate est

actionarii mai multor alar

8 Exista un nivel de control mai ridicat dupa terminarea programului? 0 2 Dupa terminarea program

timpul programului.

9 Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informatic in

afara orelor de program?

1 4 Sistemul informatic re

persoanele care l-au folo

programului.

Total 6 30

Mw = 4 * Ri * Wi / Wi = 4 * 22/30 = 2,93

Chestionar de audit

In ceea ce priveste securitatea fizica societatea prezinta un nivel de risc de 2,93.

accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si un angajat al unei fir

toate persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La intr

pentru pontarea intrarilor si iesirilor dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si

protectie pentru incendii este automat.


5/27


6/27


7/27


8/27


9/27


10/27

Domeniu: Intretinerea generala

Intrebare Y/N W

Exista un sistem de reglementare a electricitatii care include cel putin o sursa de energie permanenta

pentru cel mai sensibil echipament?Exista baterii de rezerva (aprovizionand una sau mai multe surse

permanente)garantand suficienta automonie echipamentului sa se opreasca corespunzator si in

siguranta?

0 4

Exista detectori ai umiditatii in preajma echipamentelor sensibile legati la un centru de monitorizare? 0 4

Perimetrul sau imprejurimile locatiilor vulnerabile se afla sub supraveghere completa si coerenta cu

ajutorul unor mijloace video sau direct visuale?

1 4

Exista un sistem de aer conditionat care regleaza calitatea aerului (temperatura,presiune,continut de

apa,praf) corespunzand specificatiilor producatorilor echipamentelor instalate?

1 4

Exista un sistem de protectie impotriva incendiilor? 1 4

Avaria(oprirea) accidentala sau deliberata a sistemului de aer condtionat este detectata si semnalata unei

echipe de interventie capabile sa reactioneze prompt?

1 2

Este sistemul de cabluri protejat corespunzator si verificat regulat? 1 4

Se foloseste un sistem automat de control al accesului in locatii sensibile? 1 4

Este controlul asigurat al tuturor punctelor de intrare si iesire incluzand iesirile normale si altele precum

ferestre accesibile din exterior, iesiri de urgenta, acces posibil cu privire la podele care se ridica si tavane

false?

0 4

(c) CLUSIF MEHARI 2007 ! 03Prem 1


11/27

niu: Reteaua extinsa

Intrebare Y/N W

A fost stabilita o lista a incidentelor care pot afecta funtionarea corecta a retelei

extinse si pt. fiecare din acestea solutiile pentru implementare si actiunile efectuate de

personalul operational?

1 2

A fost stabilit un plan de siguranta cuprinzand toate configuratiile retelei, definind toate

obiectele sa salveze si a fost stabilita frecventa copiilor de siguranta?

1 4

Exista un mecanism pentru autentificarea si controlul accesului in reteua interna

respectiv reteaua extinsa?

1 4

Toate copiile de siguranta si fisierele de configuratie care permit redarea mediului de

productie al retelei extinse sunt de asemenea salvate la o locatie de baza (refugiu de

siguranta)?

1 4

Sunt copiile de siguranta stocate intr-o locatie sigura si protejate impotriva riscurilor de

accident sau furt? O asemenea locatie trebuie protejata printr-un control strict al

accesului precum si protejata impotriva riscurilor de incendiu sau inundatie.

1 4

Pentru fiecare incident posibil al retelei extinse a fost determinat un timp previzionat

de solutionare si o procedura de extindere in cazul esuarii sau intarzierii actiunilor

corective specificate?

0 4

S-a stabilit solutia ce ar trebui propusa de echipa de supraveghere pentru fiecare risc

intalnit ,si s-a luat in calcul pregatirea si disponibilitatea fiecaruia dintre membri pentru

aceste cerinte?

1 4

Exista o linie telefonica disponibila 24 ore ,care sa se ocupe preluarea si inregistrarea

apelurilor referitoare la reteaua de internet extinsa si care sa raporteze toateincidentele?Exista o aplicatie care sa se ocupe de administrarea acestor

incidente(riscuri)?

0 2

A fost planul de rezerva transpus in proceduri operationale automate? 0 2

(c) CLUSIF MEHARI 2007 ! 04WANArc 1


12/27

Domeniu : Local Area Network (LAN)

Intrebare Y/N WReteaua locala a fost impartita in domenii de securitate, fiecare avand regulile specifice cu privire la

securitate?

1 4

Arhitectura echipamentului din retea se adapteaza modificarilor la toate nivelurile? 1 2

Instrumentele de reconfigurare si monitorizare ale retelei permit actiuni corectoare compatibile cu

echipamentele utilizatorilor?

0 4

A fost stabilita o politica de management a drepturilor de acces la aria locala de retea? 1 2

Au fost introdusi diferiti parametrii variabili in definirea regulilor drepturilor de acces (care determina

drepturile ce sunt atribuite profilelor) ca functie de context, in particular, locatia statiei solicitante (accest

direct LAN, linie inchiriata, internet, tipuri de protocol etc ) sau clasificarea sub-retelei cerute.

1 2

Exista vreo metoda de autentificare sau de control al accesului tuturor utilizatorilor care se conecteaza la

reteaua locala din afara?

1 4

Exista o persoana sau un grup de persoane disponibile 24h/24h sa reactioneze in cazul unui incident la

retea?

0 4

Pentru un posibil incident in retea sunt stabilite actiuni corective? 1 4

A fost stabilit un plan de back-up care acopera toate configurarile retelei, defineste toate obiectele ce

trebuie salvate si frecventa salvarilor?

1 4

(c) CLUSIF MEHARI 2007 ! 05LANArc 1


13/27

Exista o politica de securitate ce vizeaza personalul ce realizeaza operatiuni in retea care sa acopere

toate aspectele privind securitatea informatiei (confidentialitatea informatiei, disponibilitatea serviciului si a

informatiei, integritatea informatiei si a configuratiilor, etc)?

1 4

Personalul trebuie sa semneze clauze contractuale de aderare la aceasta politica de securitate (indiferent

de statut: personal temporar sau permanent, studenti, etc)?

0 4

Exista un curs de instruire special pentru personalul operational? Este cursul obligatoriu? 0 2

Deciziile de schimbare a echipamentelor sunt bazate pe analiza capacitatii noului echipament si sistemde a asigura volumul necesar tinand cont de evolutia prevazuta a cererii?

1 2

Personalul operational a primit instruire in analiza riscului si obtine sfaturi adecvate atunci cand are

nevoie?

1 4

Sunt echipamentele de retea si configuratiile statiilor de lucru verificate periodic in conformitate cu acest

document de referinta la fiecare conectare?

1 2

Sunt sistemele protejate impotriva posibilitatii de instalare de software si modificari ale configuratiilor? 1 4

Este interzis sa adaugi sau sa creezi intrumente sau componete fara o autorizatie legala si este aceasta

lege folosita de catre o procedura automata care declansaza o alarma catre manager?

1 2

Drepturile atribuite echipelor operationale interzic orice modificare ale instrumentelor operationale sau

componente sau exista totusi o alarma la aceste modificari care se sanctioneaza la manager ?

1 4

(c) CLUSIF MEHARI 2007 ! 06NetOp 1


14/27

Domeniul: Securitatea arhitecturii sistemului

Intrebare Y/N W

Este procesul de definire si managementul drepturilor atribuite profilelor sub un control strict? Un control

strict cere ca lista persoanelor care pot schimba drepturile atribuite profilelor sa fie limitata si

implementarea acestor drepturi sa fie sigura si deasemenea sa existe un control capabil sa modifice

aceste drepturi si orice modificare sa poata fi auditata?

1 4

Este posibil sa se revada oricand, lista completa a profilurilor si drepturilor atribuite fiecarui profil? 1 2

Exista un proces strict controlat(ca cel de mai inainte) care permite delegarea propriilor autorizari, partial

sau total,unei persoane la alegere pe o perioada determinata(in caz de absenta)? In acest caz drepturile

delegate nu mai trebuie sa fie autorizate persoanei care le-a delegat in acest timp. Detinatorul, oricum

trebuie sa aiba posibilitatea sa le primeasca inapoi printr-un proces prin care el sau ea pun capat efectiv

delegarii.

1 4

Procesul de atribuire sau modificare a legitimatiilor utilizatorilor respecta o serie de reguli care asigura

validitatea intrinseca a acestora?In cazul parolelor: lungime adecvata(8 caractere sau mai mult),

obligatoriu mixaj de tipuri diferi te de caractere, schimbarea frecventa(cel putin o data pe luna),

imposibilitatea reutilizarii unei parole vechi, cuvintelor banale, poreclelor, numelor, anagrame, date etc. In

cazul certificatelor si autentificarilor bazate pe un mecanism criptografic: procesul de evaluare a

persoanelor sau recunoastere publica, parole de lungime suficienta etc.

1 4

Procesul de logare este securizat(sigur)?O logare sigura nu ar trebui sa dea nici o informatie inainte ca

procesul sa fie executat cu succes, sa nu afiseze parolele de autentificare, data sau ora ultimei conectari,

eventualele conectari limitate care au esuat, etc.

1 2

A fost dusa la indeplinire o analiza specifica a apelurilor confidentiale inregistrate si a parametrilor acestor

apeluri care ar trebui inregistrate?

0 4

In cazul unor multiple greseli de autentificare, exista un proces automat care nevalideaza temporar

utilizatorul folosit, sau da posibilitatea insasi a validarii de a incetinii autentificarea astfel incat sa inhibe

orice alta conectare uzuala?

0 4

A fost dusa la indeplinire o analiza a echipamentelor si sistemelor puse la dispozitie (exceptand

arhitectura aplicatiilor , dar incluzand sistemele periferice generale, ca de exemplu sistemele de rezerva

si roboti , servere de printare si echipament centralizat pentru printare) cu scopul de a scoate in evidenta

nevoia de continuitate a serviciilor? In urma unei analize profunde, s-a stabilit o lista de posibile erori si ,

de asemeni, corespondenta acestora.

0 4

Sunt realizate teste regulate pentru a demonstra ca securitatea echipamentului poate garanta nivelul

minim de performanta solicitat in cazul unei erori?

1 2

(c) CLUSIF MEHARI 2007 ! 07Syst 1


15/27

Domeniu : Mediul de productie IT

Intrebare Y/N W

Exista o politica de securitate, special directionat spre personalul utilizator, raportat la sistemul

informational?

1 4

Este interzis a se crea sau a se adauga unelte sau utilitati fara autorizatie oficiala si exista o verificare

automata regulata pentru a intari aceasta regula prin alertarea unui manager apropiat?

1 2

Productia informatica poate fi coordonata de la distanta? 0 2

Decizia schimbarii si a evolutiei echipamentelor si sitemelor fac ele obiectul unei proceduri de

control(inregistrare,planing,aprobare formala,comunicare in ansamblul persoanelor referinta,etc.)?

1 4

Masurile de securitate decid remedierea noilor riscuri puse in evidenta ,fac ele obiectul controalelor

formale inainte de a fi puse spre productie?

1 4

Toate documentele importante sunt imprimate in locuri protejate impotriva patrunderiilor abuzive si contra

riscurilor de deturnare in cursul elaborarii sau in asteptarea distributiei?

0 4

Respectarea prevederilor de securitate ale furnizorilor este tinuta sub control si revazuta regulat? 1 4

Este integritatea configurarilor sistemului verificata,la fiecare pornire a sistemului si/sau regulat

(saptamanal)conform configurarii teoretice asteptate?

0 4

Exista un document(sau un set de doc)si o procedura operationala care descrie(toate aplicatiile

software,pachetele si versiunile lor)parametrii de securitate si securitatea arhitecturii software?

1 4

(c) CLUSIF MEHARI 2007 ! 08ITOper 1


16/27

Domeniul : Securitatea aplicatiilor

Intrebare Y/N W

A fost stabilita o politica de management pentru drepturile de acces al datelor, construita pe o analiza a

cerintelor de securitate bazata pe riscurile afacerii?

1 2

E posibil fie ajustate drepturile de acces atribuite unui profil dat, potrivit contextului legaturii (originea

legaturii, calea retelei, protocol, codificare, etc.) si clasificarii resurselor accesate?

1 4

Sunt procesele de definire si management al drepturilor atribuite profilurilor sub control strict? Controlulstrict necesita ca listele de persoane ce pot sa schimbe drepturile atribuite profilurilor sa fie strict limitate

si ca implementarea acestor drepturi (e.g. in tabele) sa fie securizata si sa existe un control al accesului

eficient pentru orice modificare a acestor drepturi si fiecare modificare a lor sa fie inregistrata si verificata.

1 4

Prezentarea acestor drepturi de catre utilizator garanteaza inviolabiltatea lor? Scriind o parola va fii

intotdeauna un punct slab. Singurele procese care sunt observabile fara a divulga informatii consta fie in

a introduce un obiect continand un secret , fie utilizand un cod care sa se schimbe la oricare monent (fisa,

card instrument), fie utilizand un mijloc care sa contina caractere biometrice.

0 4

Inchiderea sau scurtcircuitarea solutiei de cr iptare este detectata imediat, semnalata catre o echipa

disponibila 24 de ore din 24 si capabila de a genera o reactie imediata?

0 4

Ofera solutia de criptare garantii valide si solide, este ea aprobata de ofiterul Securitatii

Informatiei?[Lungimea suficienta a cheiei este una dintre mai multi parametri de luat in considerare(ca o

functie al unui algoritm)]. Recomandarea unei organizatii oficiale, ca DCSSI in Franta poate fi un factor

convingator.]

1 4

Au fost identificate tranzactiile speciale care trebuie protejate prin semnatura electonica la nivelul

aplicatiilor?

1 4

S-a luat in considerare posibilitatea distrugerii informatiei stocate in sistemul IT si au fost stabilite care

dintre aceste proceduri va da posibilitatea reconstituirii datelor dupa cele originale?

1 4

Au fost inventariate,documentate si testate procedurile si mijloacele de calcul ce permit crearea de logs si

reconstituirea de informatii?0 4

(c) CLUSIF MEHARI 2007 ! 09Appli 1


17/27

Domeniu : Securitatea aplicatiilor proiectate si dezvoltate

Intrebare Y/N W

Exista un grup de suport, specializat in analizarea riscurilor proiectului, asistand conducerea proiectului

cu analizele proceselor de risc si care are suficienta disponibilitate pentru a raspunde la cerintele

utilizatorilor?

1 4

Au aplicatiile de intretinere la dispozitie un centru de suport tehnica care sa asigure o asistenta telefonica

rapida si competenta?

1 2

Exista o persoana desemnata pentru a se ocupa de rezolvarea problemelor utilizatorilor pe parcursul

week-endurilor si in timpul vacantelor?

0 4

Procedurile de dezvoltare impun o analiza a confidentialitatii aplicatiilor dezvoltate si o clasificare a

obiectelor scoase in evidenta in timpul dezvoltarilor ( documentatie , codul sursa , codul obiectului ,

studiile noastre etc ) ?

1 4

In cazul dezvoltarilor asupra unei aplicatii confidentiale , exista proceduri particulare de gestiune a

documentatiei?

1 4

In cazul dezvoltarilor asupra unei aplicatii confidentiale , am realizat profiluri care permit limitarea difuzarii

informatiilor confidentiale , numai persoanelor care au intradevar nevoie?

1 4

Codurile sursa , obiectele si documentatia fac obiectul unei proceduri de gestiune a accesului , stricta ,

precizand , in functie de frazele de dezvoltare , profilurile care au acces la aceste elemente ca si conditiile

de stocare si de control al accesului corespunzator? O procedura si conditiile de gestiune stricte ale

accesului trebuie sa permita garantarea ca orice acces la cod sau la documentatie , este facut de catre o

persoana autorizata in conditii autorizate.

1 4

De la conceptie sau de la punerea in practica a aplicatiilor recurgem la un studiu detaliat al slabiciunilortratamentului putand face loc pierderilor de integritate?

1 4

(c) CLUSIF MEHARI 2007 ! 10Dev 1


18/27

niu : Mediul de lucru

Intrebare Y/N WEste impartirea fizica separata in zona interna protejata si zona receptie, externa zonei protejate, folosita

pentru intalniri?

0 4

Exista un sistem de supraveghere video capabil sa detecteze miscarile si comportamentul anormal?Is

video surveillance material recorded and kept for a long period?

1 4

Vizitatorii si serviciile ocazionale sunt acompaniati in cladire? 0 2

Accesul la echipamente este protejat ( chiar si pentru utilizare locala ) de o parola sau un sistem deautentificare?

1 2

Toate elementele folosite in procesul de encriptare sunt protejate impotriva alterarilor si modificarilor? 1 4

Exista un centru de suport disponibil pentru software care garanteaza un suport rapid si eficient? 1 2

Sunt statiile de lucru protejate impotriva virusilor? 1 4

Sunt produsele antivirus actualizate regulat? 1 4

Exista cateva generati i de fis iere salvate pentru a putea reface oricand informatiile pierdute? 1 4

(c) CLUSIF MEHARI 2007 ! 11Work 1


19/27

Societatea: SC AAAA Sistems SRL

Data completarii : 01.11.2009

Domeniul : Legalitatea

Nr. Intrebare Y/N W

1 Exista un ansamblu de reguli si masuri legale normative asociate sistemului informational privind protectiadatelor personale?

1 4

2 Exista un ansamblu de reguli si masuri legale normative asociate sistemului informational privind protectiadrepturilor de proprietate intelectuala?

1 4

3 Exista controale regulate privind licenta programelor instalate? 1 2

4 Managerii societatii au facut o evaluare a eficientei controlului intern privind procedurile si controalele ceasigura ca situatiile financiare sunt emise in acord cu reglementarile externe?

1 4

5 Documentul de evaluare a calitatii a fost evaluat de catre auditorii financiari? 1 2

6 Sunt total independenti membrii comisiei de audit(de exemplu: nu detin autoritate operationala in cadrulcompaniei, nu sunt afiliati niciunei persoane care isi exercita autoritatea in companie si nu primesc nicio

remuneratie in afara celei relationate cu functia lor in comisia de audit)?

1 2

7 Este acolo o colectie a tuturor regulilor si masurilor aplicabile legal si compensator, asociate sistemului deinformatii, privind folosirea criptarii?

1 4

8 Sunt sistemele operationale care au o legatura directa sau indirecta cu sistemul de gestiune tinute inconformitate cu prevederile VCA? Sunt toate aplicatiile contabile si aplicatiile care alimenteaza sistemul

de gestiune, prin intermediere sau fise de decont, tinute?

1 4

Chestionar de audit

(c) CLUSIF MEHARI 2007 ! 12Legal 1


20/27

9 Sunt evidentele contabile de baza pastrate in conformitate cu legile referitoare la verificarile evidentelorcontabile computerizate(VCA)? Datele de baza sunt acele date care nu sunt inscrise dar sunt inregistrate

dupa origini. De exemplu documente de miscare (ordine, facturi, registre...), documente originale,

documente de intrare, date permanente, inregistrari de fise curente...

1 4

Total 9 30

Mw = 4 * Ri * Wi / Wi = 4 * 30/30 = 4

In ceea ce priveste legalitatea societatea prezinta un nivel de risc de 4,

In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in v

calitatii astfel este asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistem

standardele.Toate programele informatice se afla sub licenta producatorului.

(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 Ma


21/27

ComentariiIn ceea ce priveste datele prosonale exista o procedura stricta privind

confidentialitatea atat pentru angajati dar mai ales pentr datele furnizate

pe site.

In cadrul departamentului It exista o sectiune destinata producerii si

implementarii de noi module si programe. In acest sens exista o

procedura speciala privind drepturile de proprietate intelectuala.

Toate programele instalate sunt licentiate. Obiectul de activitate fiind

distributia echipamentelor IT societatea beneficiaza de gratuitati din

partea producatorilor de programe.

Situatiile financiare sunt intocmite si prezentate in conformitate cu

legislatia in vigoare.

Societatea este cerificata privind asigurarea calitatii si astfel periodic sunt

controale in acest sens.

Auditul este asigurat se o Ernest&Young, o societate cu renume in

domeniul auditului.

Sistemul privind criptarea este sub un control strict si in conformitate cu

legislatia din Romania.

Intregul proces contabil este tinut in conformitate cu legislatia in vigoare.

No.12



22/27

Documentele contabile sunt intocmite si pastrate in conformitate cu legile

caracteristice.

igoare. Este certificata ISO: Sistemul de management al

elor etc. Evidentele contabile sunt tinute respectand

(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 May 200


23/27



24/27



25/27



26/27

Mw = 4 * Ri * Wi / Wi = Mi / 12 = 3.43 + 2.93 + 2.59 + 2.93 + 2.93 + 2.75 + 2.4 +

Analiza riscului prin metoda Mehari

Organizarea si implicatiile acesteia asupra securitatii este realizata de catre departamentul administrativ si

Acestea elaboreaza Manualul angajatului:un ghid complet pentru angajati ce cuprinde un set de principii,n

Securitatea accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si u

persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La int

dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si deasemenea sistemul de pro

de vedere fizic, o reprezinta aprovizionarea cu elergie electrica care se realizeaza din reteaua orasului soc

permanenta pentru echipamentele sensibile ci doar un set de baterii care nu asigura autonomia sistemului.

contra incendiilor automat, sistemul de aer conditionat asigura intreg perimetrul, cablurile sunt montate si p

centru de monitorizare 24h/24h.

In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in vigoare.este asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistemelor etc. Evidentele co

informatice se afla sub licenta producatorului.

Societatea are o retea locala la care au acces angajati, atat prin intermediul echipamentelor societatii cat s

fiecare departament in care exista sectiunile public(la care au acces toti angajatii) si privat (cuprinde medi

este restrictionat.


27/27

2.75 + 2.59 + 3.5 + 3.2 + 4 / 12 = 3

departamentul resurse umane sub indrumarea managementului.

orme si proceduri de securitate obligatorii.

n angajat al unei firme de paza care monitorizeaza toate

rare este un sistem informatic pentru pontarea intrarilor si iesirilor

tectie pentru incendii este automat.Principala problema, din punct

ietatea nedispunand de un sistem care sa includa o sursa

. Intretinerea generala este asigurata de un sistem de protectie

rotejate corespunzator. Exista o supraveghere video legata la un

Este certificata ISO: Sistemul de management al calitatii astfelntabile sunt tinute respectand standardele.Toate programele

i din afara. Reteaua locala este partitionata in domenii pentru

l de lucru propriu fiecarui departament).Accesul la mediul privat

Documents

4. Exemplu Mehari