 |
|
 |  |
|
|
| |
 | Biologie | Chimie | Didactica | Fizica | Geografie | Informatica |
| Istorie | Literatura | Matematica | Psihologie |
Model cantitativ de evaluare a riscurilor in sistemul informatic
Riscurile sistemului informatic sunt urmarea:
Vulnerabilitatilor sistemului determinata de:
accesibilitatea la sistem prin aceasta intelegand accesul fizic si accesul la retea;
numarul de utilizatori ai sistemului;
solutiile tehnice implementate.
Complexitatii:
organizatiei;
sistemului informatic prin aria de cuprindere, functiile sistemului si solutiile IT utilizate.
Ciclului de viata a sistemului:
fiecarei etape din ciclul de viata ii sunt specifice anumite riscuri;
- perenitatea sistemului informatic determina o crestere a
riscurilor legate de exploatare.
Nivelului de incredere oferit de:
controlul intern;
nivelul de pregatire a personalului;
calitatea managementului;
climatul de munca existent.
Calitatii documentatiei existente:
- completitudinea documentatiei;
- masura in care
s-a realizat o actualizare
permanenta a documentatiei.
Pentru fiecare risc identificat pot fi specificate trei niveluri de risc si anume: scazut, mediu si mare fiind necesara precizarea factorilor care determina respectivul nivel de risc.
În urma evaluarii unui sistem informatic pot fi identificate urmatoarele riscuri:
Riscul asociat accesului fizic
|
NIVEL RISC |
DESCRIERE |
|
MARE |
Resursele informationale sunt accesibile tuturor angajatilor. |
|
MEDIU |
Resursele informationale sunt in birouri organizate cu acces limitat de personal. |
|
SCAZUT |
Resursele informationale sunt in zona cu acces strict controlat. |
Riscul asociat retelei de comunicatii13
|
NIVEL RISC |
DESCRIERE |
|
MARE |
Sistem conectat la reteaua publica. |
|
MEDIU |
Sistem conectat la retea privata. Comunicarea cu exteriorul cu linii dedicate. |
|
SCAZUT |
Nici o conexiune cu mediul exterior. |
Nivel de vulnerabilitate
|
Numar de utilizatori autorizati |
RISCUL ACCESIBILITATII |
||
|
MARE |
MEDIU |
SCAZUT |
|
|
Majoritatea utilizatori autorizati |
MARE |
MARE |
MEDIU |
|
50 % utilizatori autorizati |
MARE |
MEDIU |
SCAZUT |
|
Numar limitat de utilizatori autorizati |
MEDIU |
SCAZUT |
SCAZUT |
Riscul complexitatii organizationale
|
MARE |
Erorile din sistem afecteaza intreaga organizatie |
|
MEDIU |
Erorile din sistem afecteaza anumite compartimente |
|
SCAZUT |
Erorile din sistem afecteaza un compartiment. |
Riscul functiilor sistemului14
|
MARE |
Functii multiple ce se intersecteaza |
|
MEDIU |
Functii multiple independente |
|
SCAZUT |
Sistemul realizeaza o singura functie. |
Riscul asociat personalului
|
MARE |
Personalul nu a fost verificat inainte de angajare si nici in prezent |
|
MEDIU |
Personalul este verificat imediat dupa angajare |
|
SCAZUT |
Personalul este verificat inainte de angajare. |
Sursa : https://www.itandit.org/memberana/form/newitanditor/F213.na.htm
14www.Palisade.com
Riscul asociat personalului de specialitate
|
MARE |
0 singura persoana se ocupa de tot sistemul |
|
MEDIU |
Exista 2-3 persoane ce asigura functionarea si intretinerea sistemului |
|
SCAZUT |
Exista mai mult de 3 persoane implicate in functionarea sistemului. |
Riscul asociat managerilor
|
MARE |
Nici o preocupare a managerilor |
|
MEDIU |
Manageri preocupati numai de securitatea sistemelor |
|
SCAZUT |
Manageri implicati activ si constant in asigurarea securitatii ca urmare a evenimentelor produse in trecut. |
Riscul asociat ciclului de viata
|
MARE |
Sistem implementat de cel mult un an si durata de viata este de cel putin 20 ani. |
|
MEDIU |
Sistem cu durata de viata mai mare de 4 ani. |
|
SCAZUT |
Sistem cu durata de viata intre 1- 4 ani. |
Riscul asociat documentatiei
|
MARE |
Nu exista documentatie. |
|
MEDIU |
Documentatia exista, dar nu reflecta realitatea din sistem. |
|
SCAZUT |
Documentatia este actualizata si este disponibila. |
Trebuie subliniat faptul ca la ora actuala exista produse software specializate in evaluarea riscurilor. Dintre acestea amintim:
https://computers.software-directory.com
|
RISK |
Cu functia de simularea riscurilor. |
|
BUDDY SYSTEM |
Asigurand desfasurarea unei analize a securitatii si managementul riscurilor. |
|
RISK PAC |
Sistem expert pe baza de chestionar. |
Pierderile cauzate de riscurile prezentate de un sistem informatic pot consta din:
fraude produse prin intermediul sistemului
divulgarea neautorizata a informatiilor
furtul de echipamente si informatii
distrugerea fizica a echipamentelor
distrugerea unor fisiere continand date
intreruperi ale procesarii datelor etc.
Pierderile inregistrate de organizatie ca urmare a producerii riscurilor aferente sistemului informatic pot fi anticipate. Determinarea acestor pierderi potentiale trebuie facuta tinandu-se seama de urmatoarele elemente:
impactul unor riscuri in planul pierderilor cauzate poate fi mare, dar probabilitatea producerii unor astfel de riscuri este mai redusa (exemplu: producerea unui cutremur);
pierderile cauzate de producerea unui anumit risc sunt de valori medii, dar frecventa de producere a acestor amenintari este mare;
pierderile pot fi ocazionale;
pot exista atacuri asupra sistemului informatic, dar acestea sa nu conduca la producerea de efecte negative (exemplu: detectarea la timp a unor incercari de intruziune in sistem).
Pierderea determinata de producerea unui anumit risc poate fi exprimata valoric prin calcularea indicatorului pierdere anticipata anualizata (PAA) care reprezinta valoarea medie a pierderii estimata la nivelul unui an calendaristic.
Dar fiecare amenintare prezinta o anumita rata de aparitie probabila la nivelul unui an calendaristic si acest lucru va trebui sa fie luat in calculul PAA. Mai trebuie sa avem in vedere faptul ca pentru fiecare pereche activ-amenintare putem determina un factor de vulnerabilitate calculat ca raport intre pierderea curenta generata de o singura producere a riscului si valoarea totala a pierderilor potentiale aferente unui anumit bun. Factorul de vulnerabilitate va lua valori in intervalul [0, 1].
Rezulta ca pierderea anticipata anualizata (PAA), determinata pentru un anumit bun ca urmare a producerii unei anumite amenintari se va putea determina astfel:
PAA = RA x PP x FV unde:
RA = rata aparitiei
PP = pierderea potentiala
FV = factor de vulnerabilitate
Valoarea totala a pierderilor anticipate la nivelul unui an calendaristic este data de formula :
PATA = 
PAAi unde:
PATA = pierderea anticipata totala anualizata
i = perechea bun - amenintare pentru care s-a calculat PAA.
O alta posibilitate de evaluare a impactului riscurilor poate fi data de formula:
Risc = Amenintari x Vulnerabilitati x Impacturi.
In acest caz, se pleaca de la o clasificare cantitativa15 a celor trei factori determinanti ai riscului (A, V, I):
Risc mare = 3
Risc mediu = 2
Risc redus = 1
Risc inexistent = 0
Rezulta ca impactul determinat al riscului este curpins in intervalul [0, 27]. Exemplu :
- Riscul furtului unui calculator (PC) care nu are stocate in hard-discul local date sau aplicatii importante poate fi:
Risc = 3x1x1=3=» risc mediu
Am precizat valoarea 3 la amenintare deoarece accesul fizic la calculator nu este controlat corespunzator.
- Daca insa datele stocate local ar prezenta importanta deosebita:
Risc = 2x3x3 = 18=> risc mare
Am precizat valoarea 2 la amenintare considerand ca solutiile de securitate asigura un risc mediu.
Problema prezentata, intr-o alta abordarea intr-un capitol anterior.
Vulnerabilitatea si impactul au. valoarea 3 datorita faptului ca datele stocate local prezinta importanta deosebita.
Copyright © 2024 - Toate drepturile rezervate
