Upload
adrian-ilinca
View
231
Download
0
Embed Size (px)
Citation preview
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
1/20
Managemantul Riscurilor IT
Evaluarea Riscurilor IT
Adrian ILINCA
COMUNICAII I TEHNOLOGIA INFORMAIEI
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
2/20
Risc Management
Risc Management este procesul carepermite managerilor IT s asigure unechilibru ntre costurile operaionale i
resursele financiare pentru msurile deprotecie i atingerea obiectivelor privindprotejarea datelor i sistemelor IT care
susin activitatea organizaiei.
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
3/20
Managementul Riscurilor IT
Procesul de management al riscului IT:
1. Identificarea vulnerabilitilor
2. Identificarea ameninrilor3. Stabilirea msurilor de limitare a riscurilor
SCOPUL managementului riscurilor: reducereariscurilor la un nivel acceptat.
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
4/20
Vulnerabilitate: un punct slabn sistemul IT care poate afectasistemul sau operaiile acestuia, mai ales cnd aceast punctslab este exploatat de o persoan ostil sau afectat urmare aunui eveniment sau conjunctur.
Ameninrilereprezint un pericolpotenial la care este expusun sistem constnd n: acces neautorizat, alterri saudistrugerea datelor, software-ului, resurselor harware i/sau decomunicaie.
Activiti specifice pentru fiecare categorie de risc:1. IDENTIFICARE2. ANALIZA3. EVALUAREA IMPACTULUI
4. EVALUAREA VULNERABILITILOR5. MONITORIZARE6. MSURI DE LIMITARE
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
5/20
Evaluarea Riscurilor
Evaluarea riscurilor este primul proces nmetodologia de risc management. Organizaiilefolosesc evaluarea riscurilor pentru a determinaextinderea potenialelor ameninri i riscurileasociate cu sistemele IT. Rezultatele acestui process
ajut la identificarea controalelor necesare pentrureducerea sau eliminarea riscului. Riscul este o funcie ntre probabilitatea de apariie a unei
surse de ameninare datorate unei vulnerabiliti particularei impactul asupra organizaiei a unui eveniment advers.
Pentru a determina probabilitatea unui eveniment advers,trebuie analizate ameninrile sistemelor IT n conjucie cuvulnerabilitile poteniale i controalele implementate pentrusistemele IT.
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
6/20
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
7/20
Evaluarea Riscurilor
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
8/20
Evaluarea Riscurilor
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
9/20
Pas 1 : CARACTERIZAREA SISTEMULUIInformaii privind sistemul:
1.
Hardware2. Software3. Interfee (ex: conectivitatea interni extern)4. Date i informaii
5. Persoane care ntrein i folosesc sistemulinformatic6. Misiunea sistemului (ex: procesele executate n
cadrul sistemului informatic)
7. Sisteme i date critice (ex: valoarea sistemului sauimportana pentru organizaie)8. Senzitivitatea sistemului i a datelor
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
10/20
Informaii suplimentare privind mediul operaional alsistemului informatic i datele acestuia includ:
1. Cerine funcionale a sistemului informatic
2. Utilizatorii sistemului (ex: utilizatorii sistemului care ofersuport tehnic sistemului informatic; aplicaiile utilizatorilorcare asigurfunciile de business)
3. Politici de securitate a sistemului (politici organizationale,cerine generale, legislative, practici ale domeniului)
4. Arhitectura de securitate a sistemului5. Topologia reelei (ex: Diagrama reelei)6. Protecia informaiei stocate i disponibilitatea datelor,
integritatea iconfidenialitatea datelor.7. Fluxul informaiei n sistemul informatic (ex:interfeele
sistemului, fluxul intrriloriieirilor).8. Controale tehnice folosite n sistem (ex: produse de securitate
implementate n sistem pentru asigurarea identificrii iautentificrii, controlul accesului, audit, protecia informaiei,metode de criptare).
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
11/20
9. Controlul managementului n sistemul IT (ex: reguliprivind comportamentul utilizatorilor, planificareasecuritii).
10. Controale operaionale folosite n sistemulinformatic (ex: securitatea persoanelor, back-up,operaiuni de refacere a sistemului, mentenenasistemului, stocarea off-site, proceduri pentru creareai anularea conturilor utilizator, controale alesegregrii funciilor utilizatorilor cum ar fi accesulutilizatorilor privilegiai vs accesul utilizatorilorstandard).
11. Securitatea fizic a mediului sistemului IT (ex:
faciliti de securitate, politicile centrului de date).12. Securitatea mediului implementat pentru mediulsistemului IT (control al umiditii, ap, curentelectric, poluare, temperatur etc).
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
12/20
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
13/20
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
14/20
Pas 4: Analiza controalelor
Tipuri de controaleControale preventive blocheaz ncercrile de
violare a politicii de securitate i includcontroale cum ar fi implementarea controlului
accesului, criptarea, autentificarea.Controale detective: avertizeaz asupra
violrilorsau ncercrilorde violare a politicii
de securitate i includ controale cum ar fi audittrail, metode pentru detectarea intruziuniloretc.
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
15/20
Pas 5: Determinarea probabilitii
Rating pentru probabilitate (Ridicat, Mediu,
Sczut)Probabilitate Definiia probabilitii
Mare Sursa ameninrii este bine motivaticapabil,i controale care trebuie s previnvulnerabilitatea sunt ineficiente
Mediu Sursa ameninrii este motivat i capabil darexist controale care pot mpiedica folosirea
vulnerabilitiiSczut Sursei ameninrii i lipsesc motivaia i
cunotinele i controalele existente pot mpiedica n mod semnificativ folosireavulnerabilitii
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
16/20
Pas 6: Analiza impactului
Definirea magnitudinii impactuluiImpact DefiniieMare Valorificarea vulnerabilitii poate conduce la pierderi
mari privind active tangibile sau resurse; poateinfluena semnificativ misiunea i reputaia
organizaiei sau profitul; poate determina decesul saurnirea personalului
Mediu Valorificarea vulnerabilitii poate conduce la pierderiprivind active tangibile sau resurse; poate influenamisiunea i reputaia organizatiei sau profitul; poatedetermina rnirea personalului
Sczut Valorificarea vulnerabilitii poate conduce la unelepierderi privind active tangibile sau resurse; poateinfluena notabil misiunea ireputaiaorganizaiei sauprofitul.
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
17/20
Pas 7: Determinarea risculuiMatricea riscului
Determinarea riscului se face prin ponderarea probabilitii cuimpactul. Tabela de mai jos arat cum ratingul riscului poate fideterminat pe baza introducerii probabilitii i impactului.Tabela de mai jos este de tip 3X3: probabilitatea i impactul
sunt stabilite pe 3 niveluri (mare, mediu, sczut). Probabilitatea stabilit pentru fiecare ameninare prezint
urmtoarele nivele: 1.0 pentru Mare, 0.5 pentru Mediu, 0.1pentru Sczut.
Valoarea asignat pentru fiecare nivel al impactului este: 100pentru Mare, 50 pentru Mediu i 10 pentru Sczut.
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
18/20
Pas 7: Determinarea risculuiMatricea riscului
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
19/20
Pas 8: Recomandri privindcontrolul
Scopul controalelor recomandate este de a reduce nivelul derisc al sistemului IT precum si al datelor la un nivel acceptabil.Urmtorii factori trebuie luai n considerare n recomandareacontroalelor i soluii alternative pentru minimizarea saueliminarea riscurilor identificate:
Eficacitatea opiunilor recomandate (ex: compatibilitateasistemului)
Legislaie i reglementri
Politic organizaional
Siguran i credibilitate.
8/6/2019 Managemantul Riscurilor Si Evaluarea Riscuri -ITC
20/20
Pas 9: Documentarea rezultatelor
Odat ce evaluarea riscurilor a fost realizat(sursele ameninrilor i vulnerabilitileidentificate, riscurile evaluate i formulaterecomandrile privind controalele), rezultateletrebuie s fie documentate ntr-un raportoficial.
Un raport de evaluare a riscurilor este unraport de management care ajutmanagementul s ia decizii privind politica,procedurile, bugetul i sistemul operaional i
schimbrile de management