Analiza riscurilor de securitate

Stelian Arion

Analiza riscurilor de securitate

Notiuni de management al riscului Riscurile de securitate Cerinte de securitate

Sistemele de protectie si alarmare la efractie Protectia informatiilor clasificate Managementul securitatii informatiei Protectia infrastructurilor critice

Elaborarea specificatiei TO Exercitiu

Notiuni de management al riscului

risc efectul incertitudinii asupra realizrii obiectivelor managementul riscului activiti coordonate pentru a direciona i a controla o organizaie n ceea ce privete riscul

ISO Ghid 73 SR ISO 31000 ISO 31010

termeni termeni termeni termeni termeni termeni termeni termeni termeni termeni termeni referitori referitori referitori referitori referitori referitori referitori referitori referitori referitori referitori la la la la la la la la la la la risc; managementul riscului; procesul de management al riscului; comunicare i consultare; context; estimarea riscului; identificarea riscului; analiza riscului; evaluarea riscului; tratarea riscului; monitorizare i msurare.
4

tehnologic, economic, natural i concurenial, la nivel internaional, naional, regional sau local; factorii critici i tendinele cu impact asupra obiectivelor organizaiei; relaiile cu prile interesate externe, percepiile i valorile acestora. stabilirea contextului intern conducere, structur organizaional, roluri i responsabiliti politici, obiective i strategii implementate pentru ndeplinirea acestora; capabiliti, nelese n termeni de resurse i cunotine (de exemplu capital, termene, persoane, procese, sisteme i tehnologii); relaii cu prile interesate interne, percepii i valori ale acestora; cultur organizaional; sisteme de informaii, fluxuri de informaii i procese de luare a deciziilor (att oficial ct i neoficial); standarde, linii directoare i modele adoptate de organizaie; forma i anvergura relaiilor contractuale.
8

Prin stabilirea contextului, organizaia i formuleaz obiectivele, definete parametrii externi i interni de luat n considerare n managementul riscului, i stabilete domeniul de aplicare i criteriile de risc pentru restul procesului stabilirea contextului extern mediul cultural, social, politic, legal, de reglementare, financiar,

Prin stabilirea contextului, organizaia i formuleaz obiectivele, definete parametrii externi i interni de luat n considerare n managementul riscului, i stabilete domeniul de aplicare i criteriile de risc pentru restul procesului stabilirea contextului procesului de management al riscului

definirea scopurilor i obiectivelor activitilor de management al riscului; definirea responsabilitilor pentru procesul de management al riscului i n cadrul acestuia; definirea domeniului de aplicare, precum i a profunzimii i ntinderii activitilor de managementul riscului ce trebuie derulate, inclusiv includerile i excluderile specifice; definirea activitii, procesului, funciei, proiectului, produsului, serviciului sau activelor n termeni de timp i locaie; definirea relaiilor dintre un proiect, proces sau activitate anume i alte proiecte, procese sau activiti ale organizaiei; definirea metodelor de evaluare a riscului; definirea modului n care performana i eficacitatea managementului riscului sunt evaluate; identificarea i precizarea deciziilor care urmeaz s fie luate; identificarea, stabilirea domeniului de aplicare i ncadrarea studiilor necesare, mrimea i obiectivele acestora, precum i resursele necesare pentru realizarea lor.

Prin stabilirea contextului, organizaia i formuleaz obiectivele, definete parametrii externi i interni de luat n considerare n managementul riscului, i stabilete domeniul de aplicare i criteriile de risc pentru restul procesului definirea criteriilor de risc

natura i tipurile de cauze i de consecine care se pot s apar i modul n care acestea se msoar; modul de definire al plauzibilitii; scara (scrile) plauzibilitii i/sau a consecinei (consecinelor); modul n care este determinat nivelul de risc; punctele de vedere ale prilor interesate; nivelul la care riscul devine acceptabil sau tolerabil; dac trebuie luate n considerare combinaiile de riscuri multiple i, n acest caz, metoda de utilizat i combinaiile care trebuie luate n considerare.

10

Evaluarea riscului reprezint procesul global de identificare a riscului, analiza riscului i estimarea riscului

Identificarea riscului Se recomand ca organizaia s identifice sursele de risc, zonele de impact, evenimentele (inclusiv modificri ale circumstanelor) precum i cauzele riscurilor i potenialele consecine ale acestora. Scopul acestei etape este generarea unei liste exhaustive a riscurilor pe baza acelor evenimente care ar putea crea, intensifica, mpiedica, degrada, accelera sau ntrzia ndeplinirea obiectivelor Analiza riscului Analiza riscului implic considerarea cauzelor i surselor de risc, a consecinelor lor pozitive i negative, precum i a plauzibilitii c aceste consecine se pot produce. Se recomand s se identifice factorii care afecteaz consecinele i plauzibilitatea acestora. Riscul este analizat prin stabilirea consecinelor i a plauzibilitii lor, precum i a altor atribute ale riscului. Un eveniment poate avea consecine multiple i poate afecta obiective multiple. De asemenea, se recomand s se ia n considerare mijloacele existente de control, eficacitatea i eficiena acestora. Estimarea riscului Estimarea riscului implic compararea nivelului de risc determinat n cursul procesului de analiz cu criteriile de risc stabilite n momentul lurii n considerare a contextului. Pe baza acestei comparaii, poate fi luat n considerare nevoia de tratare a riscului.
11

Tratarea riscului implic selectarea uneia sau mai multor opiuni pentru modificarea riscurilor i implementarea respectivelor opiuni. a) evitarea riscului prin luarea deciziei de a nu ncepe sau de a nu continua cu activitatea care d natere riscului; b) asumarea sau creterea riscului pentru a urmri o oportunitate; c) ndeprtarea sursei de risc; d) modificarea plauzibilitii; e) modificarea consecinelor; f) mprirea riscului cu alt parte sau pri (inclusiv contracte i finanarea riscului); i g) reinerea riscului prin decizie fundamentat. Alegerea celei mai potrivite opiuni de tratare a riscului implic echilibrarea costurilor i eforturilor de implementare n raport cu beneficiile derivate, cu respectarea cerinelor legale, de reglementare i a altor cerine, cum ar fi responsabilitatea social i protecia mediului natural. Se recomand ca planul de tratarea riscului s identifice n mod clar ordinea de prioritate n care fiecare mod de tratare a riscului se recomand s fie implementat.
12

 ISO 31010 tehnici de evaluare a riscurilor (31)

analiza scenariilor BIA LOPA analiza fluture indicii de risc matricea probabilitate/consecinte analiza cost/efect ALARP

ISO 27005 ISMS Information risk management ASIS General Security Risk Assessment Guideline
sursa riscului element care, singur sau n combinaie cu altele, are potenialul intrinsec de a produce un risc vulnerabilitate proprietile intrinseci ale ceva care au ca urmare susceptibilitatea fa de o surs de risc care poate conduce la un eveniment cu o consecin mijloc control msur care modific riscul rezilien capacitatea de adaptare a unei organizaii ntr-un mediu complex i n schimbare

13

dezvoltarea modelelor descriptive despre turnura pe care o poate lua viitorul poate fi folosit pentru a identifica riscurile prin luarea n considerare a dezvoltrii viitoare posibile i explorarea implicaiilor acesteia poate juca o parte n toate cele trei componente ale evalurii riscului. pentru identificare i analiz, seturile de scenarii reflect (de exemplu) cel mai bun caz, cel mai ru caz i cazul ateptat i care pot fi utilizate n identificarea a ceea ce se poate ntmpla n circumstane particulare i analizeaz consecinele poteniale i probabilitile pentru fiecare scenariu analiza scenariului poate fi utilizat pentru a anticipa cum se pot dezvolta ameninrile i oportunitile i poate fi utilizat pentru toate tipurile de riscuri, fie n cadre de timp pe termen lung, fie pe termen scurt. Pentru cadre de timp pe termen scurt i cu date valabile, asemenea scenarii pot fi extrapolate pornind de la prezent. Pentru cadre de timp pe termen lung sau date insuficiente, analiza scenariului devine mult mai imaginativ i poate fi considerat o analiz viitoare.

Analiza scenariului
14

analizeaz modul n care riscurile de perturbare pot afecta funcionarea organizaiei i apoi identific i cuantific aptitudinile necesare pentru gestionarea acestora identificarea i criticalitatea proceselor cheie ale afacerii, funciilor i resurselor asociate i interdependenelor cheie ce exist ntr-o organizaie; faptul cum evenimentele de subminare vor afecta capacitatea i capabilitatea de ndeplinire a obiectivelor critice de activitate; capacitatea i capabilitatea necesar pentru a diminua impactul unei subminri i revenirea organizaiei la nivele de operare acceptate. BIA este folosit pentru a determina starea critic i graficele de timp necesare pentru refacerea proceselor i resurselor asociate (oameni, echipament, tehnologia informaiei) si a asigura ndeplinirea continu a obiectivelor BIA ofer asisten n determinarea interdependenelor i relaiilor dintre procese, pri interne i externe i orice legturi din interiorul unui lan de aprovizionare.

Analiza impactului asupra activitii

15

Layers of protection analysis metod semi-cantitativ pentru estimarea riscurilor asociate cu un eveniment sau scenariu nedorit. Analizeaz dac sunt suficiente msuri pentru a controla sau limita riscul. este selectat o pereche cauz-consecin i sunt identificate straturile de protecie ce previn cauza care duce la o consecin nedorit LOPA poate fi utilizat pur i simplu din punct de vedere calitativ pentru a revizui straturile de protecie dintre un eveniment cauzal sau un eveniment ntmpltor i o avarie LOPA poate fi folosit pentru a sprijini alocarea eficient a resurselor de reducere a riscurilor prin analizarea reducerii riscului produs de ctre fiecare strat de protecie.

Analiza straturilor de protecie

16

simpl diagram care descrie i analizeaz parcursurile unui element de risc de la cauze la consecine se concentreaz totui pe barierele dintre cauze i risc i dintre risc i consecine analiza fluture este utilizat pentru a prezenta un risc artnd gama de cauze i consecine posibile; este util acolo unde exist parcursuri independente clare care conduc la eec

Surse de risk Cauz Comenzi de intensificare Factor de intensificare Cauz 2

Consecina 1

Consecina 2

Eveniment

Consecina 3

Cauz 3 Comenzi de prevenie Limite i comenzi de reluare

Consecina 4

Analiza fluture

IEC 2069/09

17

o msurtoare semi-cantitativ a riscului care reprezint o estimare calculat prin utilizarea unei metode de punctare bazat pe scale ordinale pot fi utilizai pentru a clasifica o serie de riscuri utiliznd criterii similare astfel nct s poat fi comparate dei se utilizeaz cifre acestea au doar scopul de a permite manipularea datelor indicii de risc pot fi utilizai pentru clasificarea diverselor riscuri aferente unei activiti dac se cunoate bine sistemul indicii sunt utilizai pentru diferite tipuri de riscuri de regul ca un instrument de ncadrare pentru clasificarea riscului conform gradului de risc. Acest lucru poate fi utilizat pentru a determina care din riscuri necesit o evaluare mai detaliat i posibil cantitativ.

Indici de risc
18

o modalitate de combinare a clasamentelor calitative sau semicantitative a consecinelor i a probabilitilor pentru a obine un clasament al nivelul de risc sau al riscului matricea consecinte/probabilitate este utilizat pentru a clasifica riscurile, sursele de risc sau tratamentele de risc n funcie de nivelul de risc utilizat ca un instrument de evaluare riscuri atunci cnd au fost identificate numeroase riscuri utilizat pe scar larg pentru a determina dac un anumit risc este n mare msur acceptabil, sau nu n funcie de zona n care se afl pe matrice folosit pentru a ajuta la comunicarea unei nelegeri comune a nivelurilor calitative ale riscurilor n ntreaga organizaie

Matricea consecine/probabilitate
19

evaluarea riscurilor acolo unde costurile ateptate totale sunt cntrite n comparaie cu beneficiile totale ateptate pentru a alege opiunea cea mai bun sau cea mai profitabil analiza cost/beneficiu cantitativ cumuleaz valoarea monetar a tuturor costurilor i beneficiilor pentru toate persoanele interesate din domeniu i o ajusteaz pe diverse intervale de timp n care se produc/rezult aceste costuri i beneficii pentru anumite riscuri negative, n special cele care implic riscuri pentru viaa uman sau daune pentru mediul ambiant, se poate totui aplica principiul ALARP (As Low As Reasonably Practicable) trei zone:

un nivel deasupra cruia riscurile negative sunt intolerabile i nu pot fi acceptate dect n mprejurri extraordinare; un nivel sub care riscurile sunt neglijabile i nu necesit dect monitorizare pentru a se asigura c rmn la nivel sczut; o band central n care riscurile trebuie aduse la cel mai sczut nivel cu putin
Zon inacceptabil Riscul nu poate fi justificat dect n mprejurri extraordinare Tolerabil doar dac reducerea riscului este imposibil sau atunci cnd costul reducerii este disproporionat de mare fa de mbuntirea adus Zona ALARP sau de toleran (se accept riscul doar dac nu se sper un beneficiu) Tolerabil n cazul n care costul reducerii riscului va depi mbuntirea adus Zon larg acceptabil (Nu este nevoie de munc detaliat pentru a demonstra ALARP) Este necesar s se asigure c riscul rmne la acest nivel

Analiza cost/beneficiu

Risc neglijabil
IEC 2073/09

20

Managementul riscurilor de securitate

securitatea este conjunctura in care esti protejat impotriva pericolelor si a pierderilor; se obtine prin reducerea consecintelor asociate cu actiuni intentionate si irationale ale altora ca termen tehnic securitatea reprezinta ceva ce nu numai ca este sigur dar si ca a fost securizat

risc de securitate = eveniment care poate avea ca rezultat compromiterea activelor organizaionale. utilizarea neautorizat, pierderea, prejudiciul, divulgarea sau modificarea activelor organizaionale pentru profit, interes personal sau interes politic al unei persoane, grup sau altor entiti i riscul de a vtma persoane.

compromitere activelor poate afecta negativ compania, unitile de afaceri i clienii riscul de securitate constituie o component vital a managementului riscului.

21

Identificarea riscurilor de securitate identificarea ameninrilor cu potenial de afectare negativ a organizaiei prin clasificare dup surs, motivaie i mod de operare

Sursa Infractor Terorist Servicii de informaii strine Profit

Motiv

Mod de operare Furt, tlhrie, agresiune, fraud, divulgare Bomb, deturnare, rpire, asasinare, Spionaj, sabotaj, divulgare, subminare

Manipulare politic Strategic, militar, politic, economic

Competitori industriali

comerciali

sau Profit, avantaj competitiv

Spionaj industrial sau economic

Persoane ru intenionate

Rzbunare, renume, discreditare

Divulgare, distrugere, vandalism

22

Identificarea riscurilor de securitate identificarea ameninrilor care pot deveni riscuri pornind de la activele (funcii, resurse, valori) care sunt eseniale pentru organizaie i grupandu-le dup ameninare i riscul asociat
Activ organizaional Cldiri i instalaii Riscuri Ameninri

Distrugere, prejudiciu, indisponibilitatea cldirii sau Incendiu, explozie, alarme false, cderea alimentrii instalaiei electrice, contaminare, acces neautorizat Pierderea sau compromiterea securitii informaiilor Utilizatori neautorizai, analiza criminalistic a clasificate, pierderea confidenialitii, disponibilitii discurilor, manipularea neglijent a listingurilor, sau integritii informaiei transmitere neglijent a informaiilor

Sistem informatic

ncrederea conducerii n Piederea ncrederii conducerii sau a ncrederii publice Gestionarea eronat a unor informaii sensibile, program sau unitatea de profit n unitate sau program sau n procese ale acestora politic sau servcii inconsistente, prezentare media negativ

Reputaie organizaional

Pierderea reputaiei organizaiei

Servciu deficitar, manipularea eronat a informaiilor, politic sau servcii inconsistente, prezentare media negativ
23

Identificarea riscurilor de securitate

Grup de active Persoane Expuneri sau vulnerabiliti identificate Rpire Asasinare Atac, agresiune sau hruire Bomb

examinarea expunerilor sau vunerabilitilor organizaiei i apoi analiza adecvanei msurilor de securitate existente

Dezordine public Vecini periculoi Diferene culturale sau religioase Discriminare sau lezare Angajat nemulumit ... Active informaionale Distrugere sau corupere ntreruperea serviciului Divulgare neprevzut Scurgere informaii Manipulare date/informaii ... Active fizice Spargere Incendiu Proceduri inadecvate Defeciuni tehnice ntreinere deficitar Vandalism Sabotaj Furt ... 24

Analiza expunerii actorii umani cauta activ o modalitate de atac sau de a exploata o vulnerabilitate
Ameninarea este analizat de regul n termenii inteniei i capabilitii unui surse de ameninare, individ sau organizaie, de a ataca sau afecta negativ un element de valoare, precum un activ, funcie sau capabilitate. Alte definiii includ orice are potenialul de a mpiedica atingerea obiectivelor i/sau de a ntrerupe procesele care contribuie la aceasta. parte a unui proces organizaional de evaluare a riscurilor, analiza ameninrilor este realizat de specialiti n securitate pe baza informaiilor generale i a consultrii unor experi n domeniu, al analizei incidentelor, al valorificrii surselor deschise de informaii etc. cei doi factori utilizati de regul pentru evaluarea ameninrilor sunt intenia i plauzibilitatea care la rndul lor sunt n funcie de motivaia i atributele atacatorului difereniere ntre motivaie care poate fi un factor pe termen lung, i intenie, factor cu perspectiv apropiat
25

Analiza expunerii actorii umani cauta activ o modalitate de atac sau de a exploata o vulnerabilitate
Evaluarea vulnerabilitii implic un proces i rezultatele asociate cu analiza activelor i/sau sistemelor de securitate n vederea identificrii punctelor slabe. De regul este realizat pornind de la un model de baz, urmrinduse modalitatea n care acesta poate fi atacat cu succes. Vulnerabilitatea poate fi considerat o funcie de accesibilitate, abilitate de descurajare, nivel de robustee i abilitate de a rezista unui atac. n general criticitatea unui activ nu este influenat de vulnerabilitate sau ameninri externe. La o trecere n revist a mai multor modele de evaluare a vulnerabilitilor se pot identifica o serie de caracteristici comune, principalele fiind: oportunitatea de atac prezent sau posibil; susceptibilitatea unui atac sau efectivitatea unui atac asupra intei. La rndul su oportunitatea poate fi evaluat n termenii recunoterii ca int, al expunerii (de exemplu, n durat) i al accesibilitii ca int.
26

Analiza expunerii actorii umani cauta activ o modalitate de atac sau de a exploata o vulnerabilitate
Evaluarea criticitii are ca scop prioritizarea infrastructurii organizaionale, a activelor sau elementelor importante i de care depind alte active, funcii, procese, n practic aceasta este legat de, dar nu sinonim cu, mrime impactului produs de distrugerea sau dezafectarea respectivului element. n mediul corporativ, este cunoscut i sub numele de analiz a impactului asupra afacerii, iar n alte metodologii sub numele de evaluare a activului.

27

Analiza expunerii

28

29

Efractie

Paza umana Gard bariera fizica Sistem taut-wire Bariere in infrarosu Sistem de avertizare

MANAGEMENT RISCURI

Statia
Zona cu securitate sporita

Sistem suplimentar de iluminat Furturi si sabotaje Supraveghere video Paza umana Control acces
Linia de TC

Acces neautorizat

Acces neautorizat Incendii

Paza umana Control acces Confirmare identitate Sistem detectie+stins incendii Alarmare

Sistem de monitorizare

Indicele de risc
PROBABIL ITATE (P)
1 Rar 2 Improbabil

IMPACT (I)
A Nesemnific ativ B Minor

RISC (R) R = f(P,I)

Redus 1A, 2A, 3A, 1B, 2B 4A, 5A, 3B, 1C, 2C 4B, 5B, 3C, 4C, 1D, 2D, 3D 5C, 4D, 5D, 1E, 2E, 3E, 4E, 5E

Incident
A. Nesemnificativ

Exemple de impact
- Fr rniri de persoane; - Pierderi mai mici de 30.000 EUR I/SAU - ntrerupere de scurt durat a unor servicii. - Fr rniri de persoane; - Pierderi de la 30.000 la 300.000 EUR I/SAU - Reportaj negativ n presa local I/SAU - ntreruperea total a activitii maximum o zi. - Raniri care necesita acordare de prim ajutor, fr spitalizare I/SAU - Pierderi de la 300.000 la 3.000.000 EUR I/SAU - Investigaii ale autoritilor I/SAU - ntreruperea total a activitii pn la o sptmn. - Rnire a una sau mai multor persoane cu spitalizare I/SAU - Pierderi de la 3.000.000 la 30.000.000 EUR SI/SAU - Reportaj principal n mass media local i investigaii ale autoritilor de reglementare I/SAU - ntrerupere total a activitii de pn la o sptmn. - Deces (decese) I/SAU - Pierderi mai mari de 30.000.000 EUR I/SAU - Prezentare a evenimentului n mass media la nivel naional i investigaii ale autoritilor I/SAU - ntreruperea total a activitii timp de peste o sptmn.

3 Posibil

C Moderat

Mediu

B. Minor

4 Probabil

D Major

Mare

C. Moderat

5 Aproape cert E Catastrofic

Critic

D. Major

5 4 3 2 1

M M L L L A

H H M L L B

C H H M M C

C C H H H D

C C C C C E
E. Catastrofic

31

Matrice probabilitate/consecinte

32

Matrice probabilitate/consecinte

12

Hostage / Kidnap Strike / Walkout Hostile Takeover

Tornado Chemical Spill / Contamination

Media Investigation

Class Action Lawsuit

Loss of IT / Virus

Major Explosion

Employee Violence

MEDIUM HIGH

Breach IT Security

HIGH RISK

Ice Storm

Major Electrical Storm

Civil Unrest

Major Fire Terrorism Industrial Espionage

Blizzard

0%
Flood

Neighbor Issue

100%

Sabotage Comm. Disease

Suicide Telecomm Failure. Maj. Operator Error

Management Issues

LOW RISK

MEDIUM LOW
Organized Crime

Protesters Injury / Death Accusation / Libel / Slander

Bribery / Extortion

Bomb Threat Equipment Malfunc Power Failure Security Breach Fog

Child Care Incident Transportation Incident Minor Explosion

Matrice probabilitate/consecinte

34

Analiza cost/efect
Zon inacceptabil Riscul nu poate fi justificat dect n mprejurri extraordinare

Tolerabil doar dac reducerea riscului este imposibil sau atunci cnd costul reducerii este disproporionat de mare fa de mbuntirea adus

Zona ALARP sau de toleran (se accept riscul doar dac nu se sper un beneficiu)

Tolerabil n cazul n care costul reducerii riscului va depi mbuntirea adus

Zon larg acceptabil (Nu este nevoie de munc detaliat pentru a demonstra ALARP)

Este necesar s se asigure c riscul rmne la acest nivel

Risc neglijabil
IEC 2073/09

35

Analiza fluture

Surse de risk

Consecina 1 Comenzi de intensificare

Cauz

Factor de intensificare

Consecina 2

Cauz 2

Eveniment
Consecina 3

Cauz 3 Limite i comenzi de reluare

Consecina 4

Comenzi de prevenie

IEC 2069/09

36

Analiza fluture

37

Mijloace de control al riscurilor de securitate

Sisteme de alarm mpotriva efraciei, control al accesului, TVCI prescripii generale (EN 50131-1, etc.) ghid de aplicare (SR CLC/TS 50131-7, etc.) Cataloage msuri de securitate ISO 27002 IT Baseline Protection Manual Recomandari NIST

Standarde naionale i internaionale

ASIS International

Standarde profesionale

Facilities Physical Security Measures Guideline Threat Advisory System Response Guideline Information Asset Protection Guideline
38

Cerinte de securitate in contextul legislatiei si standardelor aplicabile in Romania Cerine de conformitate legal L 333/2003, L 9/200, L 40/2010, HG 1010 L 182/2002, HG 585/2002, HG 781/2002 OU 98/2010 L 535/2004 L 677/2001 L sectoriale Modele i standarde SR ISO 27000 BS 25999 EN 5013x IT Baseline Protection Manual ASIS International

39

Securitate fizica sisteme tehnice de protectie si alarmare la efractie responsabilitatea conducatorilor organizatiilor de a lua masuri pentru protectia persoanelor si bunurilor cerinte minime pentru tipuri de obiective: financiarbancare, spatii comerciale, institutii d utilitate publica, sportive si culturale, depozite analiza riscurilor au fost avute n vedere ameninri legate de infracionalitatea de drept comun (furt, jaf, fraud etc.) i nu alte tipuri de ameninari, precum, de exemplu, ameninarea terorist, care impun alte exigene pentru a se asigura un nivel de securitate admisibil

40

Protectia informatiilor clasificate informatii clasificate secrete de stat secret de serviciu informatii neclasificate informatii si date personale secret bancar informatii de interes public sistemul de securitate fizica are rolul s previn ptrunderea neautorizat a persoanelor, prin efracie sau n mod fraudulos, n spaiile protejate; s previn, s descopere i s mpiedice aciunile ostile ale personalului neloial care pot afecta securitatea informaiilor clasificate; s permit accesul la informaii clasificate exclusiv persoanelor autorizate; s descopere i s combat orice nclcare a msurilor de protecie a informaiilor clasificate 41

Protectia informatiilor clasificate Un sistem de securitate trebuie s respecte urmtoarele principii: adaptarea msurilor de protecie; ealonarea n adncime a msurilor de protecie; corelarea msurilor de protecie fizic cu timpul de intervenie a forelor de securitate; asigurarea eficacitii sistemului; asigurarea disponibilitii tehnice a echipamentelor; planificarea a msurilor de protecie i dimensionare n funcie de: nivelul de clasificare a informaiilor; volumul i suportul fizic de prezentare a informaiilor clasificate; nivelul de acces conferit de certificatul de securitate, cu aplicarea principiului nevoii de a ti; situaia din zona de localizare a obiectivului.
42

Protectia informatiilor clasificate Dintre msurile de securitate minimale reglementate cele mai importante sunt: Controlul accesului persoanelor; Controlul vizitatorilor; Controlul bagajelor (planificat i inopinat): la intrare (aparate fotografiat, filmat, nregistrare audio-video, copiere date, comunicare la distan); la ieire (bagaje, colete, geni care ar putea transporta materiale sau informaii clasificate). ncperi de securitate: perei, podele, plafoane, ui, ncuietori; protecie chei, coduri; ferestre parter sau ultimul etaj - zbrele sau asigurare antiefracie; sistemul de aerisirire asigurare mpotriva ptrunderii sau introducerii de materiale incendiare.
43

Protectia informatiilor clasificate Containere pentru pstrare dar i pentru evacuare: Metalice, autorizate; Clase A, B. ncuietori Clase A, B, C (mobilier); Asigurare chei, coduri. Controlul activitii la copiatoare, faxuri etc. Protecie mpotriva ascultrilor neautorizate: Pasive izolare fonic a ncperilor; Active microfoane, instalaii, ecipamente de comunicaii, mobilier etc.; Protecia fizic a ncperilor, inclusiv n perioadele n care nu sunt utilizate; Evidena dotrilor ncperilor, controlul activitilor de curenie, reparii etc. Protecia mpotriva distrugerii: protecie la incendiu; protecie la inundaie; protecie la atac terorist. Controlul distrugerii documentelor declasificate.

44

Managementul securitatii informatiei ISO 27000 termeni si defintii ISO 27001 specificatie (cerinte) pentru certificare ISO 27002 ghid de buna practica (mijloace de control al riscurilor) ISO 27005 recomandari pentru managementul riscurilor informationale Categorii principale de mijloace de control (msuri de securitate) Politica de securitate; Organizarea securitii informaiei; Managementul resurselor; Securitatea resurselor umane; Securitatea fizic i a mediului de lucru; Managementul comunicaiilor i operaiunilor; Controlul accesului; Achiziionarea, dezvoltarea i mentenana sistemelor informatice; Managementul incidentelor de securitate a informaiei; Managementul continuitii afacerii; Conformitatea.
45

Managementul securitatii informatiei

securitatea zonelor care are ca obiectiv s previn accesul fizic neautorizat, distrugerile i ptrunderea n interiorul organizaiei precum i accesul la informaii securitatea echipamentelor care are ca obiectiv s previn pierderea, avarierea, furtul sau compromiterea resurselor i ntreruperea activitilor din cadrul organizaiei

Securitatea fizic i a mediului de lucru

Principalele categorii de msuri de securitate recomandate includ: perimetrul fizic de securitate; controlul accesului fizic; securizarea birourilor, ncperilor i a sistemelor informaionale; protejarea mpotriva ameninrilor externe i de mediu; desfurarea activitii n zone de securitate; zone de acces public, puncte de livrare i ncrcare; amplasarea i protejarea echipamentelor; utiliti; securitatea reelelor de cablu; ntreinerea echipamentelor; securitatea echipamentelor n afara locaiei; scoaterea din uz sau reutilizarea n condiii de siguran.

46

Protectia infrastructurilor critice un element, un sistem sau o componenta a acestuia, aflat pe teritoriul national, care este esential pentru mentinerea functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii, bunastarii sociale ori economice a persoanelor si a carui perturbare sau distrugere ar avea un impact semnificativ la nivel national ca urmare a incapacitatii de a mentine respectivele functii

47

Protectia infrastructurilor critice SECTOARE Energetic Tehnologia informaiei i comunicaii Alimentare cu ap Alimentaia Sntate Securitate naional Administraie Transporturi Industria chimic i nuclear Spaiu i cercetare

48

Protectia infrastructurilor critice P.S.O. include identificarea principalelor active, evaluarea riscurilor, precum i selecia i prioritizarea msurilor i procedurilor care trebuie instituite O.L.S. are rolul de a mbunti comunicarea i cooperarea cu autoritile statului cu atribuii n protecia infrastructurilor critice. Selectarea msurilor de securitate trebui s acopere aspecte organizaionale - precum instituirea unui cadru organizatoric, adoptarea unei strategii i a unor politici de securitate, securitatea personalului, securitatea relaiilor cu terii, tratarea incidentelor etc. domeniul securitii fizice i cel al securitii informatice, managementul situaiilor de urgen i criz, managementul dezvoltrii. trebuie avut n vedere asigurarea unui echilibru ntre msurile proactive, reactive i corective, asigurarea informrii, formrii i perfecionrii n domeniul securitii, precum i instituirea managementului n domeniul securitii care trebuie integrat cu toate celelalte aspecte i structuri de management ale organizaiei.

49

Protectia infrastructurilor critice O atenie deosebit trebuie acordat proteciei informaiilor sensibile, reprezentnd acele informaii despre infrastructurile critice care, n cazul divulgrii, pot fi folosite pentru planificarea i producerea unor acte care s duc la perturbarea sau distrugerea acestora. n ceea ce privete securitatea fizic, un element specific proteciei infrastructurilor critice este importana special care trebuie acordat ameninrii teroriste n contextul general al ameninrilor. Aceast abordare impune coniderarea mai multor niveluri de protecie care s asigure descurajare detectare blocare intrziere rspuns rspuns gradual.

50

Elaborarea specificatiei tehnico-operative

51

Elaborarea specificatiei tehnico-operative Specificaie tehnico-operativ a sistemului tehnic de protecie i alarmare mpotriva efraciei poate include:

Introducere o declaraie a conductorului organizaiei menionnd importana planului i susinerea efectiv; Scop i domeniul de aplicare explicitarea relaiilor dintre practicile de securitate i obiectivele i practicile curente ale organizaiei (ce este important i valoros pentru organizaie i cum protecia acestora va favoriza atingerea obiectivelor). Dac la baza elaborrii a stat un incident petrecut anterior, acestea trebuie specificat; Mediul de securitate un sumar al analizei de risc, principalele ameninri avute n vedere i consideraii asupra practicilor de securitate existente n organizaie; Obiective prezentare concis a ceea ce prezenta specificaie i propune s realizeze; Strategiile i aciunile de securitate prezentare detaliat a msurilor de securitate care urmeaz a fi implementate, precum i strategia de implementare; Riscurile reziduale prezentarea riscurilor reziduale estimate i indicaii pentru monitorizarea acestora i a eficienei msurilor de securitate; Grafic de implementare dup caz se pot specifica termene recomandate sau numai etapele necesare pentru implementarea specificaiei; Resurse dup caz se poate introduce o estimare a efortului de implementare a msurilor de securitate propuse.

52

53

Nivel amenintare Nivel vulnerabilitate Scazut

Scazut Mediu Ridicat Scazut

Mediu Mediu Ridicat Scazut

Ridicat Mediu Ridicat

Valoare activ

0 1 2 3 4

0 1 2 3 4

1 2 3 4 5

2 3 4 5 6

1 2 3 4 5

2 3 4 5 6

3 4 5 6 7

2 3 4 5 6

3 4 5 6 7

4 5 6 7 8

54

55