Professional Documents
Culture Documents
10 februarie 2008
Recunoa!tere CLUSIF dore!te s" mul#umeasc" membrilor echipei de lucru care au contribuit la crearea acestui document. CLUSIF dore!te de asemenea s" mul#umeasc" dlui. Valentin P. M"z"reanu !i echipei sale (Alina Marin, Raluca Ungureanu) care au acceptat s" furnizeze aceast" traducere. Dl. Valentin P. M"z"reanu !i desf"!oar" activitatea n cadrul Facult"#ii de Economie !i Administrarea Afacerilor, Universitatea Al.I.Cuza Ia!i !i este director general al Paideia Consulting Ia!i. Pentru mai multe informa#ii despre activitatea dlui. Valentin P. M"z"reanu v" invit"m s" accesa#i www.managementul-riscurilor.ro. V" rug"m s" trimite#i ntreb"rile !i comentariile dumneavoastr" la adresa mehari@clusif.asso.fr
10 februarie 2008
Cuprins
1 Introducere ..................................................................................................................................................................................... 4 2 Scara de valori a defec#iunilor........................................................................................................................................................ 6 2.1 Identificarea principalelor activit"#i !i obiectivele lor ................................................................................................................ 6 2.1.1 Rezultatele prev"zute........................................................................................................................................................... 6 2.1.2 Abordare.............................................................................................................................................................................. 6 2.2 Identificarea poten#ialelor defec#iuni.......................................................................................................................................... 6 2.2.1 Rezultate prev"zute ............................................................................................................................................................. 6 2.2.1.1 Poten#iale defec#iuni identificate la nivel func#ional .................................................................................................... 7 2.2.1.2 Poten#ialele defec#iuni identificate la nivel tehnic........................................................................................................ 8 2.2.2 Abordare.............................................................................................................................................................................. 8 2.3 Analiza mizelor de securitate: evaluarea gravit"#ii defec#iunilor identificate............................................................................. 9 2.3.1 Scara gravit"#ii..................................................................................................................................................................... 9 2.3.2 Criteriile defec#iunii !i praguri de criticalitate: rezultate elementare................................................................................. 10 2.3.3 Abordare............................................................................................................................................................................ 10 2.4 Scara de valori a defec#iunilor.................................................................................................................................................. 10 3 Clasificarea informa#iei !i a bunurilor ajut"toare ............................................................................................................................ 12 3.1 Identificarea elementelor care vor fi clasificate........................................................................................................................ 12 3.1.1 Identificarea elementelor legate de procesele de afaceri ................................................................................................... 12 3.1.2 Identificarea elementelor legate de serviciile comune....................................................................................................... 15 3.1.3 Identificarea infrastructurii ajut"toare comune care trebuie clasificat" ............................................................................. 15 3.2 Criteriile de clasificare ............................................................................................................................................................. 16 3.3 Procesul clasific"rii .................................................................................................................................................................. 16 3.3.1 Clasificarea bunurilor care sprijin" procesele de afaceri ................................................................................................... 16 3.3.2 Clasificarea elementelor legate de serviciile comune........................................................................................................ 17 3.3.3 Clasificarea elementelor de infrastructur" global" ............................................................................................................ 17 4 Construirea tabelului impactului intrinsec....................................................................................................................................... 18 5 Sfaturi practice ................................................................................................................................................................................ 20 5.1 Puncte importante care trebuiesc luate n considerare n crearea sc"rii de valori..................................................................... 20 5.1.1 Concentra#i-v" asupra aspectelor celor mai critice ............................................................................................................ 20 5.1.2 Excluderea controalelor existente...................................................................................................................................... 20 5.1.3 Consisten#a defec#iunilor de diferite tipuri ........................................................................................................................ 20 5.1.4 Aspecte strategice !i de luare a deciziilor ale sc"rii de valori............................................................................................ 20 5.2 Puncte importante n timpul clasific"rii.................................................................................................................................... 21 5.3 Limite pentru clasificare........................................................................................................................................................... 21 5.4 Planuri de ac#iune ..................................................................................................................................................................... 21 Anexa 1: Exemplu al unei sc"ri de valori (ntreprindere industrial")................................................................................................. 22 Anexa 2: Tabelul Impactului Intrinsec ............................................................................................................................................... 26
10 februarie 2008
1 Introducere
Necesitatea unei analize a ceea ce este n joc pentru managementul riscului informa#ional a fost recunoscut" n documentul Concepte !i Mecanisme MEHARI. Aceast" analiz" trebuie s" ofere dou" seturi principale de rezultate: - Scara de valori a defec#iunilor, - Evaluarea sau clasificarea bunurilor legate de informa#ie. Din aceste dou" seturi de rezultate, se poate deduce tabelul impactului intrinsec, folosit pentru evaluarea scenariilor de risc oferite de c"tre MEHARI (vezi Ghidul MEHARI pentru Analiza Riscului). Procedura pentru analiza mizelor este descris" mai jos. Abordarea MEHARI const" n analizarea activit"#ilor ntreprinderii sau organiza#iei, !i astfel a proceselor sale de afaceri care au leg"tur" cu informa#ia, pentru a deduce ce defec#iuni ar putea avea loc, !i s" pentru a evalua ct de grave ar putea fi aceste defec#iuni. Apoi este posibil s" se evalueze bunurile legate de informa#ie.
10 februarie 2008
Identificarea defec#iunilor
Scara de valori a defec#iunilor Scara de valori a defec#iunilor Identificarea bunurilor pentru clasificare
Clasificarea bunurilor
10 februarie 2008
Creeaz" !i men#in o perspectiv" consolidat" a trezoreriei !i a Permite departamentului de contabilitate s" suplimenteze contabilitatea dup" necesit"#ilor ei. necesit"#i (!i s" evite pl"#ile nesus#inute).
2.1.2 Abordare
O identificare riguroas" !i exhaustiv" a activit"#ilor poate fi f"cut" printr-o analiz" a procesului n care ac#ioneaz" acestea. Acest lucru presupune identificarea tuturor proceselor din domeniul examinat, chiar !i sub-mp"r#irea lor n cte sub-procese este necesar pentru a eviden#ia diferitele dependin#e !i rezultate intermediare. Experien#a arat" c" o abordare global" !i mai intuitiv", dac" are un nivel destul de ridicat de sponsorizare a managementului, poate identifica rapid principalele func#ii !i scopurile lor. Acest lucru este suficient pentru necesit"#ile acestei abord"ri. Abordarea este astfel bazat# pe interviuri individuale (ntre 60 "i 90 de minute) cu manageri responsabili pentru diferite activit#!i n ntreprindere sau organiza!ie.
Totu!i, trebuie men#ionat c" o defec#iune poate fi descris" n mai multe moduri. La nivelul elementului care deranjeaz" sau este deranjat n procesul care este examinat. Acesta ar putea fi, de exemplu, indisponibilitatea sistemului de management al trezoreriei sau baza de date asociat"; deci, la nivel tehnic. La nivelul procesului nsu!i (la nivel func#ional). De exemplu, incapacitatea de a oferi o privire consolidat" asupra necesit"#ilor trezoreriei.
Aceea!i defec#iune poate astfel s" fie descris" fie n ceea ce prive!te indisponibilitatea datelor necesare pentru a produce un rezultat specificat, fie n ceea ce prive!te incapacitatea de a executa sarcina care ar produce rezultatul. Prima dintre acestea este cunoscut" n MEHARI ca analiza la nivel tehnic a mizelor de securitate, iar cea din urm" este cunoscut" ca analiza func!ional# a mizelor de securitate.
10 februarie 2008
Consecin!e
ntrzieri ale pl"#ilor n conturi, care implic" o incapacitate de a pl"ti furnizorii, care la rndul ei duce la ntreruperea livr"rilor !i a produc#iei.
Not#: Exemplul folosit accentueaz" multiplicarea rezultatelor. O defec#iune dat" poate, efectiv, s" fie exprimat" fie la nivel func#ional sau la nivel tehnic. Totu!i, descrierile la nivel tehnic pot avea mai multe consecin#e, !i vor fi mai pu#in durabile deoarece depind de tehnologiile care sunt folosite. Este de aceea preferabil s" se dea prioritate descrierilor la nivel func#ional.
2.2.2 Abordare
Aici ar putea folosit" din nou o abordare foarte sistematic", pe baza unei analize a procesului !i a imagin"rii tuturor devia#iilor posibile din proces !i sub-procese: rezultate incoerente, ntrzieri n (sau absen#a) rezultate, indiscre#ie, etc. Experien#a arat" c" un nivel corespunz"tor al responsabilit"#ii n organiza#ie va identifica rapid principalele defec#iuni printr-o abordare mai global", care se reduce la a-i ntreba pe manageri de ce se tem cel mai mult sau care este cea mai mare grij" a lor. La nivel func#ional, ei cunosc procesul critic foarte bine. La nivel tehnic, chiar dac" nu pot face o list" exhaustiv" cu aplica#iile !i bazele de date folosite, pot cu siguran#" s" le descrie global folosind termeni generici care vor fi de ajuns (plat", pentru acele programe !i aplica#ii implicate, de exemplu). Descrierea defec!iunilor, fie la nivel func!ional sau tehnic, poate fi constituit# astfel prin interviuri individuale, dup# cum s-a men!ionat anterior, cu managerii diferitelor activit#!i din
Analiza mizelor de joc !i Ghidul Clasific"rii 8 10 februarie 2008
10 februarie 2008
Nivelul 1: Nesemnificativ La acest nivel, orice daun" care ar rezulta nu ar avea un impact semnificativ asupra rezultatelor sau imaginii entit"#ii, chiar dac" unii membri ai personalului sunt foarte implica#i n restabilirea statului ini#ial.
Nesemnificativ Grav Foarte grav Incapacitatea de a men#ine conturile Durata: mai pu#in de 4 Durata: ntre 4 ore !i Durata: mai mult de 2 din banc" aprovizionate corespunz"tor, ore 2 zile zile deoarece bazele de date ale trezoreriei nu sunt disponibile.
2.3.3 Abordare
Identificarea criteriilor defec#iunilor !i evaluarea pragurilor criticalit"#ii vor fi realizate n timpul interviurilor cu managerii opera#ionali din ntreprindere. n timpul aceluia!i interviu (avnd durata ntre 60 !i 90 de minute) va fi definit" !i activitatea, precum !i identificarea poten#ialelor defec#iuni, !i determinarea criticalit"#ii ca func#ie a parametrilor semnificativi. Rezultatele elementare ale fiec#rui interviu vor consta deci ntr-o descriere a acestor activit#!i, o descriere a poten!ialelor defec!iuni, "i o evaluare a nivelului lor de gravitate.
n exemplu, valorile !i criteriile sunt folosite doar pentru a ilustra principiul, !i nu ar trebui n nici un caz luate ca standarde pentru aplicarea n cazuri reale Analiza mizelor de joc !i Ghidul Clasific"rii 10 februarie 2008 10
Defec!iune
Nivelul
Nivelul 2
Nivelul
Nivelul 4 >
Nesemnificativ Pierderea < 0.1 M Falsificarea datelor de plat", conducnd la fraud" Dezv"luirea personale
Grav Foarte grav Vital Pierderea Pierderea ntre Pierderea 0.1 M & 1 M ntre 1 !i 10 10 M a
informa#iilor Dezv"luirea salariului Dezv"luirea Dezv"luirea tuturor salariilor repetat" unui angajat angaja#ilor salariilor tuturor angaja#ilor Plata trzie a salariilor ntrziere < 2 zile ntrziere ntre 2 ntrziere > 15 zile !i 15 zile Distrugerea datelor de $tergerea datelor $ tergerea baz " folosite pentru plata recente (din ultima datelor din salariilor (calcule & lun") anul anterior parametri)
Dup" ce s-a examinat astfel fiecare activitate, compilarea rezultatelor va oferi sc"ri de valori a defec#iunilor pentru fiecare activitate, !i la nivel global, corporativ al organiza#iei sau companiei. Scara de valori rezultant" reprezint" doar o compilare documentar" a tuturor tipurilor de defec#iuni !i pragurile lor critice, !i poate fi v"zut" ca un pas de formalizare. Experien#a a demonstrat c" compilarea tuturor tipurilor de defec#iuni, !i pragurile lor critice, pot scoate la iveal" discrepan#e care nu ar fi v"zute la nivelul activit"#ilor individuale. Un pas de consolidare este deci necesar. n orice caz, orice concluzii sau obiecte de ac#iune care pot fi deduse din scara de valori, sau o folosesc, vor fi luate n serios doar dac" scara de valori reflect" un adev"rat consens al opiniei managerilor entit"#ii. Este de aceea foarte recomandat s# existe o discu!ie adev#rat#, "i s# se caute un consens al opiniilor privind scara de valori, cu acordul managementului asupra ei. Rezultatul final va fi o scar# de valori a defec!iunilor validat#. Un exemplu complet este dat n Anexa 1.
11
10 februarie 2008
Servere de aplica#ie (ASA); Servere desktop (ASB); Re#elele folosite (fie cu larg" acoperire (WAN), locale(LAN), publice (PUB)); Orice echipament specific folosit (AED); PC-uri portabile !i orice alt echipament mobil (APM);
Tabelul completat va ar"ta oarecum ca partea superioar" a Proceselor de afaceri din tabelul T1 de mai jos3:
Este posibil s" se ia n considerare alte componente ajut"toare (spa#iile utile, loca#iile...) n coloane adi#ionale Analiza mizelor de joc !i Ghidul Clasific"rii 10 februarie 2008 13
Tipuri de Aplica#ie !i/sau Date ale servicii proceduri aplica#iei (baze de date)
CLASIFICARE Date ale Fi!iere desktop List Document email sau post" aplica#iei n asociate "ri sau arhive fax Mesaje tranzit sau scrise de print mn" "ri
INFRASTRUCTUR% Indica#ie (printr-un 1 sau un nume) c" aplica#ia, procesul sau domeniul aplica#iei, necesit" disponibilitatea bunurilor citate (servere, re#ea, echipament specializat, dispozitive mobile sau portabile, etc.)
A Typ
Numele coloanei pentru Clasificare ~> Aap
Apli desk LA WA PD Dispoz . N N Echip. itive top N spec Serv serv. mobile
APM
Iap
Ctm Afb
Ifb
Cfb
Cli
Aec
Cec
Acf
Icf
Procese de afaceri Procesul 1 : HR Procesul 2 : Managementul vnz"rilor Procesul 3 : Planificarea strategic" Procesul 4 : Domeniul financiar !i contabil Procesul 5: Procesul 6 : CAD/CAM Procesul 7 : site web comercial .../... Procesul N Servicii comune e-mail Serviciul po!tal Arhivarea fi!ierelor IT Arhivele documentelor Administrarea sistemului Ajutorul & spijinul utilizatorului MSG COU ARI ARD ADM HLP 3 3 2 3 3 3 3 3 3 3 1 1 1 1 1 3 3 2 3 3 3 3 1 1 1 1 1 1 1 1 1 1 1 3 1 1 1 1 1 2 2 1 1 1 1 1 1 1 1 1 1 3 1 3 1 1 1 1 1 1 1 1 3 2 1 2 2 2 3 2 1 1 1 Wa n 2 2 1 2 2 1 2 2 1 2 2 1 1 1 1 2 2 3 3 2 3 3 3 3 1 3 1 2 2 3 3 2 3 3 3 3 1 3 1 2 2 3 3 2 3 3 3 3 1 3 1 2 3 1 3 3 1 1 3 1 Uly sse 1 2 2 3 2 1 4 2 2 3 2 2 4 2 2 3 2 2 4 1 1 2 1 3 2 3 3 3 1 2 2 1 1 1 3 3 1 1 1 1 1 1 1 Inte rnet 1 1 1 3 1 2 2 4 1 1 RL C 1 1
Tabelul T1. Clasificarea bunurilor #i componentele ajut"toare. Analiza mizelor de joc !i Ghidul Clasific"rii 14 10 februarie 2008
Merit" men#ionat faptul c", n acest tabel componentele de infrastructur" (bunurile ajut"toare) sunt men#ionate pentru fiecare proces care le folose!te. Clasificarea se aplic" doar componentelor specifice proceselor entit"#ii: aplica#ii, proceduri !i diferite tipuri de date sau informa#ii. Clasificarea componentelor comune sau dedicate infrastructurii folosite pentru crearea, procesarea, transmiterea sau consultarea informa#iilor pot fi deduse logic din clasificarea elementelor func#ionale dependente. Ar trebui re#inut !i faptul c" componentele de infrastructur" men#ionate n tabel pot fi dedicate (precum serverele de aplica#ie) sau comune (precum re#eaua cu acoperire larg"). Acest tabel este important deoarece scoate la iveal", n timpul clasific"rii, constrngerile impuse de mizele de securitate ale fiec"rei activit"#i asupra IT !i arhitecturii comunic"rii. Acest lucru, n sine, poate conduce la necesitatea de a defini sub-domenii pentru anumite activit"#i (sau sub-procese), pentru a scoate la iveal" bunuri de infrastructur" specifice (de exemplu, pentru a eviden#ia activit"#ile care folosesc PC-uri portabile). Componentele de infrastructur" care sunt folosite de c"tre diferitele procese ar trebui identificate, aplica#ie cu aplica#ie: - Fie prin simpla observa#ie c" sunt folosite de c"tre aplica#ie, de c"tre un 1 (celul" altfel goal"); - Sau prin specificarea numelui lor: nume (sub) re#ea, nume server, etc. dac" este necesar s" se diferen#ieze elementele de aceea!i natur".
- re#ea cu acoperire larg" (RE); - re#ea de telefonie (RT); - servere de aplica#ie (SV) !i comune (SS); - periferice (inclusiv, de exemplu, serviciile de imprimare, !i serverele lor de printare) (PF); - portaluri c"tre servicii externe (ex. Internet) (PA); - spa#iul util (ET). Aceste bunuri de infrastructur" ar trebui examinate n mod specific, !i apoi pot fi documentate ntr-un nou tabel (T2), cu coloane specifice. Un exemplu este ar"tat mai jos:
Tabelul T2 (Exemplu) Componente de infrastructur" FUNC&IE Op#ional (descriere) Subclasa infrastruct cablare &echip. CLASSIFICATION Fi!iere de Biblioteca configurare programul ui sistemului A Afc 3 3 2 3 2 I Ifc 3 3 3 2 3 C Cfc 3 2 3 1 1 A Alp 1 1 1 1 1 1 1 I Ilp 2 2 2 2 3 2 2 C Clp 1 1 1 1 1 1 1
A Numele coloanei pentru formulele de clasificare LAN-uri WAN-uri Re#ea de telefonie Servere de aplica#ie & servere de date Servere IT sau de serviciu de re#ea (DNS, LDAP, server de autentificare, etc.) Periferice Portaluri de acces Mediu global de lucru SCA RL RE RT SV SS PF PA ET Aeq 2 2 3 2 2 1 2 2
I leq 3 2 2 2 2 1 2 1
realizat" o analiz" pentru a determina dac" o pierdere a confiden#ialit"#ii ar putea conduce la una sau mai multe posibile defec#iuni, !i, dac" acesta este cazul, la ce nivel al defec#iunii. Dac" din pierderea confiden#ialit"#ii pentru un bun ar putea rezulta mai multe defec#iuni poten#iale, este re#inut cel mai nalt nivel al acestora (pe o scar" de la 1 la 4) pentru criteriul de confiden#ialitate. Acela!i lucru este valabil pentru alte criterii (disponibilitatea !i integritatea) care rezult", pentru fiecare grup" de bunuri identificat", ntr-o valoare a clasific"rii pentru fiecare criteriu (Disponibilitate, Integritate Confiden#ialitate). Scopul clasific"rii este astfel de a defini, pentru grupurile de bunuri identificate, etichete care vor ar"ta nivelurile consecin#elor unei pierderi a disponibilit"#ii, integrit"#ii sau confiden#ialit"#ii pentru fiecare clas" de bunuri.
17
10 februarie 2008
Procesul pentru completarea tabelului impactului intrinsec beneficiaz" de tabelele de clasificare a bunurilor (T1 !i T2) care au fost definite !i descrise n sec#iunea anterioar". n total, procesul const", pentru fiecare rnd al tabelului impactului intrinsec, !i pentru fiecare criteriu de clasificare (A, I sau C) n: - selectarea elementelor relevante din tabelele de clasificare; - identificarea, pentru fiecare element selectat, a nivelului maxim de clasificare, !i copierea acestuia n tabelul impactului intrinsec; Elementele selectate sunt ar"tate n tabelul T3 de mai jos, unde fiecare cmp arat": - n coloanele A, I, sau C, cea mai mare valoare g"sit" n coloane identice ale tabelelor T1 !i T2; - n coloana Condi#ie, criteriul pentru selectarea rndurilor din tabelele T1 !i T2 astfel nct s" fie extrase din fiecare tabel doar acele elemente care sunt att n rndurile ct !i n coloanele selectate.
18
10 februarie 2008
Formulele Tabelului Impactului Intrinsec Clasificarea datelor, informa!iilor #i a componentelor infrastructurii Date !i informa"ii D01 D02 D03 D04 D05 D06 D07 D08 DU Fi!iere de date sau date de baze ale aplica#iilor Fi!iere desktop depozitate pe server de acces comun Fi!iere desktop depozitate pe o sta#ie de lucru personal" Informa#ii scrise de mn" sau printate de#inute de c"tre utilizatori, arhive personale List"ri sau print"ri cu aplica#ii IT Mesaje trimise, date n tranzit Po!t" !i Faxuri Arhive istorice, arhive cu valoare de dovad" Date !i informa#ii publicate pe site-uri web publice A I C Condi!ie 1 2 2 1 1 1 1 3 2 2 !i 4 Regul"
T1 : coloana Ida T1 : coloana Afb T1 : coloana Ifb T1 : coloana Afb T1 : coloana: Ifb T1 : coloana Aec T1 : coloana Atm T1 : coloana Itm T1 : coloana Acf T1 : coloana Icf T1 : coloana Aec T1 : coloana AAa T1 : coloana Ida
T1 : coloana Cda T1: coloana Cfb Rnduri precum ASB # "" T1: coloana Cfb Rnduri precum ASB = "" T1: coloana Cec T1: coloana Cli T1: coloana Ctm T1: coloana Ccf
Rndurile Typ ARI !i ARD T1: coloana Cda Rnduri precum ARP # "" T1 Rnduri precum ARE # "" T2Rndul:SCA=RE T1 Rnduri precum ARL # "" T2 Rndul: SCA = RL T2 Rndul: SCA = RE T2 Rndul. SCA = RE T1 Rnduri precum ASA # "" T2 Rndul: SCA = SV sau SS T2 Rndul: SCA = SV T1 Rnduri precum AED# "" T2 Rndul: SCA = PF T1: coloana Cap
Infrastructura IT !i a comunica"iilor R01 Link-uri !i echipament WAN (sisteme de re#ea !i software- T1 : coloana AAa T1 : coloanele T2 : coloana Aeq Cda, Ida !i lap ul lor) T2 : coloana leq R02 Link-uri !i echipament LAN (sisteme de re#ea !i software- T1 : coloana AAa T1 : coloana T2 : coloana Aeq Cda, Ida !i lap ul lor) T2 : coloana leq R03 Date de configurare WAN T2 : coloana Afc T2 : coloana Ifc T2 : coloana Cfc R04 Date de configurare LAN T2 . coloana Afc T2 : coloana Ifc T2 : coloana Cfc S01 Mainframe-uri, servere de aplica#ii, !i periferice centrale T1 : coloana AAa T1: coloana Cda, dedicate, servere de fi!iere comune T2 : coloana Aeq Ida and lap T2 : coloana leq S02 Fi!iere de sistem !i de configurare a serverului T2: coloana Afc T2: coloana Ifc T2: coloana Cfc S03 A01 Infrastructura general" E01 Mediul de lucru al utilizatorului E02 Echipament de telecomunica#ii oral sau analogic I01 ntreaga instala#ie a camerei IT sau de telecomunica#ii T1: coloanele Afb !i Aec T2 : coloana Aeq T2 : coloana Aeq T2: coloana Ieq T1: coloanele Aap !i AAa T2 : coloana Aeq Echipament pentru terminal disponibil utilizatorilor (PCuri, periferice, dispozitive speciale) T1 : coloana AAa T2 : coloana T1: coloana Aap T1: coloana Iap
2 !i 4 4 4 2 !i 4 4 2 !i 4 1 1 !i 4 4 1
Ultima parte a Tabelului T3 corespunde impacturilor intrinseci care nu depind de clasificarea unui bun. De fapt, necesit" evaluarea impactului intrinsec a unor tipuri de scenarii mai deosebite. n practic", acestea vor privi indisponibilitatea personalului sau neaderen#a la legi sau directive. Aceast" parte ar trebui s" fie subiectul unei analize specifice care s" ia n calcul consecin#ele posibile ale unui scenariu de risc !i impactul intrinsec direct evaluat, n mod independent de orice clasificare.
19
10 februarie 2008
5 Sfaturi practice
5.1 Puncte importante care trebuiesc luate n considerare n crearea sc!rii de valori
5.1.1 Concentra"i-v# asupra aspectelor celor mai critice
Este important s# v# concentra!i asupra principalelor defec!iuni, "i nu s# ncerca!i s# lua!i n considerare fiecare scenariu de risc posibil. Primul scop al securit"#ii, indiferent de abordarea folosit", este cel de a evita producerea problemelor grave sau foarte grave. Acestea reprezint" riscuri care trebuie, de aceea, s" fie identificate !i examinate. Acesta este motivul pentru care este foarte recomandat ca managementul de top !i cei responsabili pentru o activitate dat" s" fie implica#i direct n procesul de evaluare. Nu ar trebui delegat niciodat" unui delegat. n practic", pentru fiecare activitate, cel mai bine este s" se concentreze un num"r mic de defec#iuni critice (de obicei ntre 3 !i 8).
20
10 februarie 2008
21
10 februarie 2008
Fraud" sau delapidare n achizi#ionarea !i plata corespondent" sau n managementul livr"rii. Incapacitatea global" de a factura pentru o perioad" de mai pu#in de o s"pt"mn" Incapacitatea global" de a factura pentru o perioad" cuprins" ntre o s"pt"mn" !i o lun". Pierderea informa#iilor privind livr"rile efectuate ntr-o zi. Indisponibilitatea pe termen lung a sistemului de memento. 1 Nivelul 2 Grav Dezv"luirea planurilor pe termen lung ale unui afiliat. Dezv"luirea bugetului Dezv"luirea rapoartelor lunare Nivelul Foarte grav Dezv"luirea informa#iilor privind evolu#ia strategic" Dezv"luirea planurilor pe termen lung consolidate ale ntreprinderii 3 Nivelul 4 Vital Incapacitatea global" de a factura pentru o perioad" mai mare de o lun". Pierdea complet" a dovezii livr"rii pentru o ntreag" s"pt"mn".
Incapacitatea de a face rapoarte sau analiza rezultatelor pentru mai mult de 2 luni
de
raportare
!i
a Coruperea datelor elementare sau informa#ii m"rite pe baza unor date elementare.
Dezv"luirea notelor !i sumarelor directorilor privind dezvoltarea afacerii Dezv#luirea condi"iilor Dezv#luirea financiare specifice unui documentelor anumit client strategiei de fixare a pre"ului Dezv#luirea unor elemente Dezv#luirea ale bazei de informa"ii a informa"iilor despre clien"ilor to"i clien"ii Dezv#luirea condi"iilor financiare pentru to"i clien"ii.
22
10 februarie 2008
nc"lcarea acordurilor de nc"lcarea acordurilor de confiden#ialitate cu confiden#ialitate cu partenerii furnizorii cheie de tehnologie Pierderea arhivelor a memorandumurilor !i a buletinelor tehnice privind dezvoltarea tehnic".
Pierderea expertizei
Defec"iune care conduce la folosirea planurilor de instalare incorecte n timpul evolu"iei !i actualiz#rilor
Erori n, sau schimb"ri la planurile de instalare existente, sau defec#iunea managementului de schimbare. Dezv"luirea temelor de Dezv"luirea tuturor munc" !i a programului de dosarelor pre-proiectului cercetare a pre-proiectului (inclusiv pozi#ionarea strategic" a proiectului) Indisponibilitatea uneltelor interne de planificare Indisponibilitatea uneltelor de management al ordinii pentru mai pu#in de o s"pt"mn" Indisponibilitatea uneltelor de management al ordinii pentru proiect pentru mai mult de o s"pt"mn"
Indisponibilitatea uneltelor de management al ntre#inerii pentru mai pu#in de o lun" Pierderea datelor tehnice !i istorice necesare pentru planificarea ntre#inerii
Indisponibilitatea uneltelor de management al ntre#inerii pentru mai mult de o lun" Schimb"ri ale parametrilor uneltelor de management al ntre#inerii
23
10 februarie 2008
Produc"ia oprit# (nici un sistem nu este Nici un fel de produc#ie Nici un fel de produc#ie Nici un fel de produc#ie disponibil, pierderea unui element critic) pentru mai mult de o pentru o perioad" ntre 1 ntre 1 !i 3 luni. s"pt"mn" s"pt"mn" !i 1 lun". Pierderea unui element Pierderea unui element critic, conducnd la critic, conducnd la pierderea produc#iei pentru pierderea produc#iei pentru o perioad" ntre 1 !i 3 luni mai pu#in de 1 lun". Uneltele de indisponibile management al produc"iei Uneltele de management al produc#iei indisponibile pentru mai pu#in de o s"pt"mn" Uneltele de management al Uneltele de management al produc#iei indisponibile produc#iei indisponibile pentru o perioad" cuprins" pentru mai mult de o lun" ntre o s"pt"mn" !i o lun"
Incapacitatea de a asigura logistica pentru Incapacitatea de a asigura Incapacitatea de a asigura livrarea produselor livr"rile critice pentru mai livr"rile critice pentru mai pu#in de o s"pt"mn" mult de o s"pt"mn"
Publicarea prematur" a Publicarea prematur" a rezultatelor unui afiliat conturilor consolidate ntrziere n publicarea Pierderea total" a tuturor conturilor de mai mult de elementelor financiare 2 s"pt"mni necesare pentru producerea conturilor anuale
Dezv#luirea notelor sau a memoriilor privind riscurile, opera"iunile sau mecanismele fiscale Pierderea elementelor istorice care justific# o opera"iune fiscal# Plata trzie a taxelor !i impozitelor
Dezv"luirea notelor sau a memoriilor privind riscurile, opera#iunile sau mecanismele fiscale n func#ie de con#inutul notei sau al memoriului Pierderea elementelor istorice care justific" o opera#iune fiscal" Indisponibilitatea uneltelor de calcul a pl"#ii taxelor Pierderea autoriza#iilor oficiale pentru a opera Pierderea documentelor oficiale sau a arhivelor care sunt cerute din punct de vedere legal de c"tre procedurile administrative (taxe, export)
24
10 februarie 2008
Dezv"luirea a p"r#i dintr-o Dezv"luirea a p"r#i expunere penal" curent" dintr-o expunere penal" n circumstan#e excep#ionale Pierderea sau dispari#ia Pierderea sau dispari#ia contractelor originale originalelor unor acorduri specifice, declara#ii de inten#ie, etc.
9. Managementul HR
Defec!iune Nivelul Nesemnificativ Dezv#luirea informa"iilor personale Dezv"luirea salariului unui angajat ntrziere < 2 zile 1 Nivelul 2 Grav Dezv"luirea salariilor ntreg personalului Nivelul Foarte grav Dezv"luirea repetat" a salariilor ntreg personalului 3 Nivelul 4 Vital
ntrzieri ntre 2 !i 15 zile ntrzieri > 15 zile $tergerea tuturor datelor, inclusiv a datelor istorice
Distrugerea datelor de baz# privind plata $tergerea datelor recente $tergerea datelor pentru salariilor (calcule !i parametri) (nu mai vechi de o lun") ntregul an
Indisponibilitatea pentru Indisponibilitatea pentru mai pu#in de o lun" mai mult de o lun" Indisponibilitatea sistemului de e-mail Indisponibilitatea re#elei de telefonie Pierderea serverelor de date, sau a arhivelor de email Coruperea tabelului drepturilor de acces !i crearea drepturilor de administrare Dezv"luirea rapoartelor directorilor sau a informa#iilor detaliate privind securitatea sistemului !i sl"biciuni necorectate.
25
10 februarie 2008
fi!iere comune
S02 Fi!iere de configurare legate de sistemele !i serverele principale S03 Sta#ii de lucru !i terminale (PC, imprimante locale periferice, interfe#e specifice, etc.)
A01 Software, package sau middleware pentru aplica#ii (cod executabil) A02 Cod surs" A03 Fi!iere de configurare legate de aplica#ii A04 Aplica#ii !i software al utilizatorului sau clientului Infrastructura general# E01 Spa#iul de lucru !i mediul utilizatorului E02 Echipamente folosite pentru schimburile orale (telefon, etc.) 101 Totalitatea camerei computerelor !i premise telecom Impacturi intrinseci (obiecte globale sau nelegate de un anumit obiect) Indisponibilitatea personalului P01 Echipe de speciali!ti (legat de afaceri) P02 Personalul pentru opera#iuni IT Neconformarea legal# "i reglementar#
C01 Neconformarea la legi !i reglement"ri privind protec#ia vie#ii private C02 Neconformarea la legi !i reglement"ri privind controalele financiare C03 Neconformarea la legi !i reglement"ri privind drepturile de proprietate intelectual" C04 Neconformarea la legi !i reglement"ri privind protec#ia sistemului informa#ional C05 Neconformarea la legi !i reglement"ri privind punerea n pericol a personalului !i a siguran#ei
publice !i a mediului
26
10 februarie 2008