Analiza mizelor de securitate si ghidul de clasificare
nolembrle 2010
Comisia Metodelor
CLUB DE LA SECURITE DE L!INFORMATION FRANAIS 11, rue de Mogador, 75009 PARIS (France) Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr Web : hLLp://www.cluslf.asso.fr
"+,-./ +01+ 2-.34 56.+7/01.-14 - 89:;'< Impossible d'a!cher l'image lie. Le chier a peut-tre t dplac, renomm ou supprim. Vriez que la liaison pointe vers le chier et l'emplacement corrects. Impossible d'a!cher l'image lie. Le chier a peut-tre t dplac, renomm ou supprim. Vriez que la liaison pointe vers le chier et l'emplacement corrects. MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 2 CLuSll 2010
"#$!#"%&%
Clusif ai uoii s mul(umeasc n special lui }ean-Philippe }ouas pentiu contiibutia sa, lui }ean-Louis Roule pentiu tiauuceie ct ,i membiiloi comisiei Netoueloi caie au paiticipat la iealizaiea acestui uocument.
Tiauuceiea n limba iomn a fost iealizat ue $'(')*'+, -.*+'/$,0(' stuuenta a Facult(ii ue Economie ,i Auministiaiea Afaceiiloi uin cauiul 0niveisit(ii Alexanuiu Ioan Cuza uin Ia,i.
Pioiectul a fost cooiuonat ue 1)2 3'.*+40+/5*4), "6(6)*'+,, ceicettoi postuoc ,i cauiu uiuactic asociat n institu(ia mai sus men(ionat.
Contact: www.managementul-iiscuiiloi.io MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare S CLuSll 2010
7#5&%89
1.lnLroducere................................................................................................................................................4 2. Scara de valorl a defecLlunllor ..................................................................................................................3 2.1. ldenLlflcarea prlnclpalelor acLlvlLaLl sl oblecLlvele lor .......................................................................6 2.1.1 8ezulLaLele prevazuLe..................................................................................................................6 2.1.2 Abordare.....................................................................................................................................6 2.2. ldenLlflcarea poLenLlalelor defecLlunl................................................................................................6 2.2.1. 8ezulLaLele prevazuLe.................................................................................................................6 2.2.1.1. oLenLlale defecLlunl ldenLlflcaLe la nlvel funcLlonal...........................................................7 2.2.1.2. oLenLlale defecLlunl ldenLlflcaLe la nlvel Lehnlc.................................................................8 2.2.2 Abordare......................................................................................................................................9 2.3 Anallza mlzelor de securlLaLe: evaluarea gravlL(ll defec(lunllor ldenLlflcaLe....................................9 2.3.1 Scara gravlL(ll .............................................................................................................................9 2.3.2 CrlLerllle defec(lunll ;l pragurl de crlLlcallLaLe: rezulLaLe elemenLare .......................................10 2.3.3 Abordare....................................................................................................................................11 2.4 Scara de valorl a defec(lunllor ..........................................................................................................11 3. Claslflcarea lnforma(lel ;l a bunurllor a[uLLoare ...................................................................................12 3.1 ldenLlflcarea elemenLelor care vor fl claslflcaLe ...............................................................................12 3.1.1 ldenLlflcarea elemenLelor legaLe de procesele de afacerl .........................................................13 3.1.2. ldenLlflcarea elemenLelor legaLe de pollLlca de securlLaLe a companlel ..................................13 3.2 CrlLerllle de claslflcare ......................................................................................................................13 3.3. rocesul de claslflcare .....................................................................................................................13 3.3.1 Claslflcarea bunurllor care sprl[ln procesele de afacerl ...........................................................13 3.3.2. Claslflcarea bunurllor la nlvel corporaLlv..................................................................................16 4. ConsLrulrea Labelulul lmpacLulul lnLrlnsec .............................................................................................17 3. SfaLurl pracLlce .......................................................................................................................................17 3.1 uncLe lmporLanLe care Lrebulesc luaLe in conslderare in crearea scrll de valorl ..........................17 3.1.1 ConcenLra(l-v asupra aspecLelor celor mal crlLlce ...................................................................17 3.1.2 Lxcluderea conLroalelor exlsLenLe.............................................................................................17 3.1.3 ConslsLen(a defec(lunllor de dlferlLe Llpurl ...............................................................................18 3.1.4 AspecLe sLraLeglce ;l de luare a declzlllor ale scrll de valorl ....................................................18 3.2 uncLe lmporLanLe in Llmpul claslflcrll............................................................................................18 3.3 LlmlLe penLru claslflcare ...................................................................................................................18 3.4 lanurl de ac(lune.............................................................................................................................19 Anexa 1: Exemplu al unei scii ue valoii (ntiepiinueie inuustiial) ..................................................20 Anexa 2: 1abelul lmpacLulul lnLrlnsec ........................................................................................................28
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 4 CLuSll 2010
:2%+4);1,<*)* Analiza mizelor este un pas esential pentru orice proces de gestionare a riscurilor. Scopul acestui document este de a completa ghidul de procesare pentru analiza si gestionare riscurilor si ghidul de analiza si gestionare riscurilor, pentru a oferi asistenta pe durata cursului procesului si pentru a justifica rezultatele. Analiza mizelor trebuie sa ofere 2 seturi principale de rezultate: - Scara de valori a defectiunilor - Evaluarea sau clasificarea bunurilor legate de informatie Din aceste doua seturi de rezultate, este posibila deducerea tabelului impactului intrinsec, folosit pentru evaluarea scenariilor de risc oferite de MEHARI. Procedura pentru analiza mizelor este descrisa mai jos. Abordarea MEHARI consta in analizarea activitatilor intreprinderii sau organizatiei, si a proceselor sale de afaceri care au legatura cu informatia, pentru a deduce ce defectiuni ar putea avea loc, si pentru a evalua cat de grave ar putea fi aceste defectiuni.Apoi este posibil sa se evalueze bunurile legate de informatie. MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare S CLuSll 2010
=2 9<')' 1* >'.;)0 ' 1*?*<40,+0.;) Acest proces este conceput pentru a oferi o scara de valori pentru defectiunile care ar putea afecta semnificativ activitatile unei entitati. Analiza cuprinde 4 etape: - Analiza activitatilor principale si obiectivele lor Anallza acLlvlL(llor ;l scopurllor lor ldenLlflcarea defec(lunllor Anallza gravlL(ll flecrel defec(lunl: pragurl crlLlce Scara de valorl a defec(lunllor ldenLlflcarea bunurllor penLru claslflcare Claslflcarea bunurllor ueclzla de a incepe o anallz a mlzelor
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 6 CLuSll 2010 - Identificarea posibilelor defectiuni pentru fiecare activitate, care poate fi realizata la urmatoarele nivele: - Tehnic - Functional - O evaluare a nivelului gravitatii defectiunilor, activitate cu activitate - Determinarea unei scari globale a valorilor pentru entitate. =2:2 %1*+40?0<')*' @)0+<0@'.*.;) '<40>04'40 A0 ;B0*<40>*.* .;) Un punct de plecare bun este identificarea activitatilor principale ale domeniului care este analizat, descrierea pe scurt a lor, si identificarea scopurilor sau cel putin a rezultatelor prevazute. =2:2: &*(,.4'4*.* @)*>'(,4* Activitatile vor fi descrise in termeni functionali. Pe langa o descriere functionala, merita sa se defineasca rezultatele prevazute sau scopurile activitatii. Aceste rezultate dorite ar trebi definite din punctul de vedere al entitatii, si din acela al entitatilor client. Iat! un exemplu: !"#$%&' ($)*"+& -& +'."/010' *+'23."0' Creeaz ;l men(ln o perspecLlv consolldaL a Lrezorerlel ;l a neceslL(llor el. ermlLe deparLamenLulul de conLablllLaLe s supllmenLeze conLablllLaLea dup neceslL(l (;l s evlLe pl(lle nesus(lnuLe).
=2:2= CB;)1')* O identificare riguroasa si exhaustiva a activitatilor poate fi facuta printr-o analiza a procesului in care actioneaza acestea.Acest lucru presupune identificarea tutror proceselor din domeniul examinat, chiar sub-divizandu-le in atatea sub-procese cat este nevoie pentru a scoate la suprafata variatele dependinte si rezultate intermediare. Experienta arata ca o abordare globala si mai intuitiva, daca are un nivel destul de inalt desponsorizare a managementului, poate identifica rapid principalele functii si scopurile lor. Acest lucru este destul de suficient pentru nevoile aceste abordari. Abordarea este astfel bazata pe interviuri individuale (intre 60 si 90 de minute) cu manageri responsabili pentru activitati diferite in intreprindere sau organizatie. =2=2 %1*+40?0<')*' @;4*+40'.*.;) 1*?*<40,+0 Odata ce activitatile sunt identificate, defectiunile potentiale sau suspectate asociate cu ele ar trebui scoase la lumina. =2=2:2 &*(,.4'4*.* @)*>'(,4* Descrierea defectiunilor ar trebui sa fie de asa natura incat gravitatea sa poata fi evaluata.Totusi, ar trebui mentionat ca o defectiune poate fi descrisa in mai multe moduri: MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 7 CLuSll 2010 - La nivelul elementului care deranjeasa sau este deranjat in procesul care este examinat.Acest lucru poate fi, de exemplu, indisponibilitatea sistemului de management al trezoreriei sau baza de dateasociata; deci, la un nivel tehnic. - La nivelul procesului insusi (la nivel functional). De exemplu, incapacitatea de a oferi o privire consolidata asupra necesitatilor trezoreriei. Aceleasi defectiuni pot fi astfel descrise fie in ceea ce priveste indisponibilitatea a datelor necesare pentru a produce un rezultat specificat, fie in ceea ce priveste incapacitatea de a executa sarcina care ar produce rezultatul. Prima dintre acestea este cunoscuta in MEHARI ca analiza la nivel tehnic a mizelor de securitate, iar cea din urma este cunoscuta ca analiza functionala a mizelor de securitate. !"!"#"#" %&'()'*+,( -(.(/'*0)* *-()'*.*/+'( ,+ )*1(, .0)/'*&)+, La nivelul functional, scopul este de a identifica potentialele defectiuni care au un impact significant in activitatile intreprinderii. Acestea vor fi de obicei defectiuni ale proceselor. Urmatoarele criterii generice de profil ale defectiunii procesului vor fi valabile de obicei: - Sincronizare incorecta: sarcinile sau activitatile care sunt planificate nu sunt terminate la timp; - Lipsa concordantei: sarcinile sau activitatile care sunt planuite nu sunt terminate in conformitate cu specificatiile; - Lipsa completitudinii: sarcinile sau activitatile care sunt planificate sunt doar partial terminate ( desi partile terminate sunt conform cu specificatiile); - Lipsa corectitudinii: sunt indeplinite sarcini sau activitati aditionale car enu erau planificate sau specificate; - Lipsa discretiei: informatia este dezvaluita necorespunzatorin timp ce sarcinile sau activitatile sunt indeplinite; - Lipsa controlului: sarcinile sau activitatile sunt indeplinite si terminate dupa cum era planificat dar fara control sau vizibilitate asupra executiei lor. Este posibil, astfel, descrierea unel defectiuni in ceea ce priveste sarcina sau activitatea implicata de catre tipul de defectiune. Deasemnea este deseori utile sa se descrie consecintele potentiale, pentru a intelege mai bine gravitatea lor. Deci, folosind exemplul ipotetic al dezvaluirii necorespunzatoare a salariilor angajatilor, merita sa se identifice consecintele potentiale: actiunea de greva, obligatia de a da numeroase mariri de salariu pentru anumite categorii de personal, de-motivarea personalului, si asa mai departe. Deasemenea, daca defectiunea inchipuita priveste schimbarile de plata, merita identificarea faptului daca consecintele potentiale implica sau nu frauda si pierdea de bani, sau actiunea de MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 8 CLuSll 2010 greva din partea personalului (sau de-motivarea acestora), sau nevoia de a face corectii numeroase si complicate. Fiecare defectiune, la nivel functional, ar trebui descris ca o schimbare a procesului afacerii. Astfel ar trebui descrisa in ceea ce priveste procesul sau activitatea in cauza, precum si tipul de defectiune si tipu de consecinte. Folosind exemplul managementului de trezorerie, mentionat mai sus: !"#$%&' ($)*"+&/' -& +'."/010'/' 1-0'*010' lnLrzlerea pl(ll in conLurlle Lrezorerlel lncapaclLaLea de a plLl furnlzorll, lmpllcnd o inLrerupere a llvrrllor ;l asLfel a produc(lel.
!"!"#"!" %&'()'*+,( -(.(/'*0)* *-()'*.*/+'( ,+ )*1(, '(2)*/ La nivel tehnic, scopul este identificarea defectiunilor significante n asigurarea bunurilor necesare pentru ntreprindere sau organiza"ie. Bunurile care sunt asigurate ar putea fi: - Bunuri fizice: o Bunuri obi#nuite pentru orice ntreprindere (spa"iu pentru birouri, echipament pentru birouri, telefoane #i faxuri, alt echipament mai specific, etc.); o Bunuri IT (servere, sta"ii de lucru, re"ele de date, etc.); o Bunuri documentare n general, #i cele specifice pentru sarcin! sau activitate; o Bunuri pentru comunicare (po#ta, re"ele de telefonie, etc.). - Bunuri soft: o Date (fi#iere, baze de date, elemente de referin"! specifice cerin"elor activit!"ii); o Programe (software de baz!, aplica"ii, etc.) - Resurse umane #i bunuri: o Personalul necesar (competen"!, delegare #i decizii, etc.). Tipurile clasice de defec"iuni sunt pierderea disponibilit!"ii, sau a integrit!"ii sau a confiden"ialit!"ii. La fel ca pentru defec"iunile la nivel func"ional, #i din acelea#i motive, este deseori util s! se descrie consecin"ele poten"iale, pentru a n"elege mai bine gravitatea acestora. Defec!iunile tehnice identificate astfel vor fi descrise n ceea ce prive"te degradarea care ar putea avea loc la nivelul bunurilor folosite de c#tre proces, "i al consecin!elor unei astfel de degrad#ri. loloslnd exemplul anLerlor al Lrezorerlel, ob(lnem: 4'5'$%&"#' 6)#7'$&#%' 8aza de daLe a Lrezorerlel lndlsponlbll ManagemenLul bazel de daLe a Lrezorerlel lndlsponlbll lnLrzlerl ale pl(llor in conLurl, care lmpllc o lncapaclLaLe de a plLl furnlzorll, care la rndul el duce la inLreruperea llvrrllor ;l a produc(lel.
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 9 CLuSll 2010 Not#: Exemplul folosit accentueaz! multiplicarea rezultatelor. O defec"iune dat! poate, efectiv, s! fie exprimat! fie la nivel func"ional sau la nivel tehnic. Totu#i, descrierile la nivel tehnic pot avea mai multe consecin"e, #i vor fi mai pu"in durabile deoarece depind de tehnologiile care sunt folosite. Este de aceea preferabil s! se dea prioritate descrierilor la nivel func"ional.
=2=2= CB;)1')* Aici ar putea folosit! din nou o abordare foarte sistematic!, pe baza unei analize a procesului #i a imagin!rii tuturor .devia"iilor. posibile din proces #i sub-procese: rezultate incoerente, ntrzieri n (sau absen"a) rezultate, indiscre"ie, etc. Experien"a arat! c! un nivel corespunz!tor al responsabilit!"ii n organiza"ie va identifica rapid principalele defec"iuni printr-o abordare mai global!, care se reduce la a-i ntreba pe manageri de ce se tem cel mai mult sau care este cea mai mare grij! a lor. La nivel func"ional, ei cunosc procesul critic foarte bine. La nivel tehnic, chiar dac! nu pot face o list! exhaustiv! cu aplica"iile #i bazele de date folosite, pot cu siguran"! s! le descrie global folosind termeni generici care vor fi de ajuns (.plat!., pentru acele programe #i aplica"ii implicate, de exemplu). Descrierea defec!iunilor, fie la nivel func!ional sau tehnic, poate fi constituit# astfel prin interviuri individuale, dup# cum s-a men!ionat anterior, cu managerii diferitelor activit#!i din ntreprindere sau organiza!ie.
=2D C+'.0(' E0(*.;) 1* A*<,)04'4*F *>'.,')*' G)'>046H00 1*?*<H0,+0.;) 01*+40?0<'4* A treia faz! n determinarea sc!rii de valori a defec"iunilor vrea s# evalueze gravitatea defec!iunilor identificate anterior. Pentru a face asta, o scar! standard a gravit!"ii ar trebui folosit! ca referin"!.
=2D2: 9<')' G)'>046H00 MEHARI identific! 4 nivele de gravitate. Acestea sunt notate de la 1 la 4. Defini"iile lor generale sunt descrise mai jos:
Nivelul 4: Vital La acest nivel, riscul poten"ial este foarte grav, #i chiar #i existen"a #i supravie"uirea entit!"ii (sau cel pu"in una din principalele sale activit!"i) este n pericol. Dac! o astfel de defec"iune ar avea loc, ar privi ntreaga for"! de munc!, #i ar putea crede c! slujbele lor sunt n pericol. Pentru organiza"ii, precum serviciile publice, ale c!ror func"ie nu poate fi pus! la ndoial!, acest nivel al gravit!"ii ar putea conduce la un transfer la alt departament guvernamental, sau la sectorul privat. Pentru companiile comerciale, #i n termeni financiari, merit! luat n considerare faptul c! o astfel de defec"iune ar genera pierderi de a#a nivel nct ac"ionarii s-ar retrage (#i ar rezulta n sc!deri drastice n pre"ul ac"iunilor). n medicina uman!, acest lucru ar fi echivalent cu un accident sau o boal! extrem de grav!, sau unde doctorii s-ar ab"ine s! se pronun"e. MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 1u CLuSll 2010 Dac! organiza"ia supravie"uie#te unei astfel de defec"iuni, ar exista consecin"e grave #i durabile.
Nivelul 3: Foarte grav Aceste defec"iuni sunt considerate foarte grave la nivelul entit!"ii, de#i viitorul s!u nu ar fi supus riscului. La acest nivel al gravit!"ii, ntreg personalul (sau, cel pu"in, o mare parte) este preocupat de condi"iile de lucru #i rela"iile sociale, dar slujbele lor nu sunt supuse riscului. n termeni financiari, acest lucru ar avea un impact foarte negativ asupra profiturilor pentru acea perioad!, de#i nu s-ar nregistra o retragere masiv! a ac"ionarilor. n ceea ce prive#te imaginea public!, acest nivel de defec"iune d!uneaz! deseori imaginii organiza"iei n a#a m!sur! nct ar dura mai multe luni pentru a o reface, chiar dac! impactul financiar nu poate fi evaluat precis. Accidentele care duc la luni ntregi de dezordine organiza"ional! pentru o ntreprindere ar fi #i ele evaluate la acest nivel.
Nivelul 2: Grav Defec"iunile de la acest nivel ar avea un impact clar asupra opera"iunilor entit!"ii, a rezultatelor ei sau a imaginii, dar sunt controlabile global. Doar o parte limitat! din personal ar fi implicat! n rela"iile cu consecin"ele defec"iunii, cu un impact semnificativ asupra condi"iilor lor de munc!.
Nivelul 1: Nesemnificativ La acest nivel, orice daun! care ar rezulta nu ar avea un impact semnificativ asupra rezultatelor sau imaginii entit!"ii, chiar dac! unii membri ai personalului sunt foarte implica"i n restabilirea statului ini"ial.
=2D2= 7)04*)00.* 1*?*<H0,+00 I0 @)'G,)0 1* <)040<'.04'4*F )*(,.4'4* *.*E*+4')* Defec"iunile identificate nu au neap!rat o singur! #i unic! gravitate. Dimpotriv!, n multe cazuri defec"iunile trebuiesc caracterizate de unul sau mai mul"i parametri care sunt esen"iali pentru nivelul de gravitate. De exemplu, o ntrziere n terminarea unui proces este o defec"iune a c!rei gravit!"i ar depinde de obicei de ntrzierea cantitativ! #i de num!rul de oameni asupra c!rora ntrzierea a avut un impact. Pentru fiecare defec!iune, ar trebui defini!i parametrii semnificativi, cu valorile pragului care mut# defec!iunea de un nivel al gravit#!ii la altul. Criteriile criticalit!"ii #i pragurile lor corespondente vor permite astfel evaluarea gravit!"ii fiec!rei defec"iuni, de la defec"iunea care are un impact minimal, la una care este vital! pentru entitatea n discu"ie. Ca un exemplu, #i folosind studiul de caz de mai devreme, defec"iunea ar produce urm!torul tabel:
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 11 CLuSll 2010 4'5'$%&"#' 8&2'/"/ 9 8'7':#&5&$10& 2 8&2'/"/ ; <+12 8&2'/"/ = !)1+0' >+12 8&2'/"/ ? @&01/ lncapaclLaLea de a men(lne conLurlle dln banc aprovlzlonaLe corespunzLor, deoarece bazele de daLe ale Lrezorerlel nu sunL dlsponlblle. uuraLa: mal pu(ln de 4 ore uuraLa: inLre 4 ore ;l 2 zlle uuraLa: mal mulL de 2 zlle
=2D2D CB;)1')* Identificarea criteriilor defec"iunilor #i evaluarea pragurilor criticalit!"ii vor fi realizate n timpul interviurilor cu managerii opera"ionali din ntreprindere. n timpul aceluia#i interviu (avnd durata ntre 60 #i 90 de minute) va fi definit! #i activitatea, precum #i identificarea poten"ialelor defec"iuni, #i determinarea criticalit!"ii ca func"ie a parametrilor semnificativi. Rezultatele elementare ale fiec#rui interviu vor consta deci ntr-o descriere a acestor activit#!i, o descriere a poten!ialelor defec!iuni, "i o evaluare a nivelului lor de gravitate.
=2J 9<')' 1* >'.;)0 ' 1*?*<H0,+0.;) Va fi realizat! apoi o compila"ie a diferitelor rezultate pentru fiecare activitate. Un exemplu par"ial este ar!tat mai jos, pentru o activitate HR. 4'5'$%&"#' 8&2'/"/ 9 8'7':#&5&$10&2 8&2'/"/ ; <+12 8&2'/"/ = !)1+0' >+12 8&2'/"/ ? @&01/ lalslflcarea daLelor de plaL, conducnd la fraud lerderea < 0.1 Mt lerderea inLre 0.1 Mt & 1 Mt lerderea inLre 1 ;l 10 Mt lerderea > 10 Mt uezvlulrea lnforma(lllor personale uezvlulrea salarlulul unul anga[aL uezvlulrea LuLuror salarlllor anga[a(llor uezvlulrea repeLaL a salarlllor LuLuror anga[a(llor
ulsLrugerea daLelor de baz foloslLe penLru plaLa salarlllor (calcule & parameLrl) 5Lergerea daLelor recenLe (dln ulLlma lun) 5Lergerea daLelor dln anul anLerlor 5Lergerea LuLuror daLelor, ;l a urmelor lsLorlce
Dup! ce s-a examinat astfel fiecare activitate, compilarea rezultatelor va oferi sc!ri de valori a defec"iunilor pentru fiecare activitate, #i la nivel global, corporativ al organiza"iei sau companiei. Scara de valori rezultant! reprezint! doar o compilare documentar! a tuturor tipurilor de defec"iuni #i pragurile lor critice, #i poate fi v!zut! ca un pas de formalizare. Experien"a a demonstrat c! compilarea tuturor tipurilor de defec"iuni, #i pragurile lor critice, pot scoate la iveal! discrepan"e care nu ar fi v!zute la nivelul activit!"ilor individuale. Un pas de consolidare este deci necesar. MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 12 CLuSll 2010 n orice caz, orice concluzii sau obiecte de ac"iune care pot fi deduse din scara de valori, sau o folosesc, vor fi luate n serios doar dac! scara de valori reflect! un adev!rat consens al opiniei managerilor entit!"ii. Este de aceea foarte recomandat s# existe o discu!ie adev#rat#, "i s# se caute un consens al opiniilor privind scara de valori, cu acordul managementului asupra ei. Rezultatul final va fi o scar# de valori a defec!iunilor validat#. Un exemplu complet este dat n Anexa 1. D2 7.'A0?0<')*' 0+?;)E'H0*0 I0 ' B,+,)0.;) 'K,464;')*
Scara de valori a defec"iunilor este rezultatul principal al analizei mizelor de securitate. Ea este direct legat! de activit!"ile #i procesele fundamentale ale ntreprinderii sau organiza"iei. Acestea fiind spuse, mecanismele de analiz! a riscului, #i anumite abord!ri mai sistematice folosite pentru alegerea solu"iilor sau construirea planurilor de ac"iune, necesit! ca defec"iunile (exprimate ini"ial n termeni dependen"i de activitate) s! fie reformulate n termeni tehnici lega"i de sistemul informa"ional, n cel mai larg sens al cuvntului. Exemple sunt: pierderea confiden"ialit!"ii a anumitor baze de date, indisponibilitatea unui server dat, etc. Aceast! reformulare const! n definirea sc!rii de valori sub forma unei clasific!ri. Aceast! formulare complementar! const! n: - Identificarea bunurilor care trebuiesc clasificate (informa"ii, componentele sistemului informa"ional, aparate, etc.). - Calificarea fiec!rui bun ca o func"ie a: - Modului n care ar putea produce o defec"iune identificat! - Gravit!"ii care rezult!. Clasificarea sau estimarea informa"iei #i a bunurilor ajut!toare "inte#te s! produc! etichete care pot fi puse pe fiecare bun astfel nct persoanele care folosesc bunul s! fie informate de importan"a acestuia n securitate.
D2: %1*+40?0<')*' *.*E*+4*.;) <')* >;) ?0 <.'A0?0<'4* Toate bunurile ar putea fi clasificate individual, fie c! sunt informa"ionale sau elemente ajut!toare (precum site, elemente de procesare, sau re"ea #i comunicare). n practic!, este mai eficient s! se grupeze informa"iile, obiectele, sau bunurile care au roluri asem!n!toare, #i care necesit! acela#i tip #i nivel de protec"ie. Deci, o aplica"ie #i uneltele sale asociate, un set de tabele cu baze de date, etc., vor fi deseori grupate mpreun! din motive de clasificare. Nu toate obiectele care pot fi identificate ntr-o entitate ar trebui clasificate individual. Acestea ar trebui grupate. Aceste grupuri de informa!ii "i bunuri sunt cele care vor fi clasificate. Oricum, este practic #i eficient s! se fac! distinc"ia ntre: Elementele #i bunurile care sunt legate n mod deosebit de procese sau domenii de activitate date, pe de o parte; Elemente de infrastructur! #i servicii comune, folosite de diferite domenii de activitate, pe de alt! parte.
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 1S CLuSll 2010 D2:2: %1*+40?0<')*' *.*E*+4*.;) .*G'4* 1* @);<*A*.* 1* '?'<*)0 Pentru acele elemente #i bunuri care sunt legate de procesele de afaceri sau domenii de activitate, este recomandat s! se nceap! cu o list! a proceselor sau activit!"ilor (sau aplica"iilor IT).Acestea ar trebui unite n grupuri omogene, dup! cum s-a explicat mai sus. Pentru fiecare proces, aplica"ie sau domeniu de activitate, ar trebui identificate bunurile care trebuiesc clasificate. Asa cum este formulat in MEHARI: Concepte fundamentale si specificatii functionale, bunurile identifcate trebuie sa corespunde cu cerintele organizatiei si apartin unor 3 categorii: - Serviciile ( fie generale sau in legatura cu ITC); - Datele necesare pentru ca serviciile sa functioneze; - Procesele transversale fie in conformitate cu o reglementare sau pentru managementul securitatii insusi. Aceste bunuri sunt denumite bunuri primare iar o tipologie este listata mai jos: Bunuri din categoria Servicii - Servicii de retea - Servicii de aplicatii - Obisnuite/Servicii partajate de birou - Servicii de sistem obisnuite: emailing, arhivare, printare, editare etc - Servicii pentru interfata cu utilizatorul siperiferice ( pc, imprimante locale, interfate specifice etc) - Servicii de telecomunicatii( voce, fax, video-conferinte etc) - Servicii obisnuite pentru atmosfera de lucru a personalului ( birouri, alimentarea cu energie, aer conditionat etc) - Servicii clasice de mail Bunuri din categoria Data - Fisiere de date sau baze de date asociate aplicatiilor - Schimb de date, ecrane, date individuale sensibile - Fisiere legate de birou - Informatii scrise sau printate disponibile utilizatorilor si arhive personale - Mail (clasic sau electronic) si faxuri - Arhive Bunuri din categoria procese de management - Procese legate de legi, regularizari si cerinte contractuale - Procese pentru managementul securitatii informatiilor Bunurile primare corespund cerintelor organizatiei si la acest nivel va trebui evaluata importanta acestor cerinte, acest nivel va fi folosit pentru evaluarea nivelului de risc. Aceste bunuri trebuie clasificate. Cunostinte de baza MEHARI 2010 furnizeaza 3 tabele, numite T1 pana la T3, si un exemplu pentru completarea lor este propus mai jos: MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 14 CLuSll 2010
Tabel 1 Clasificarea valorilor tip data
Tabel 2 Clasificarea valorilor tip servicii
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 1S CLuSll 2010 Tabel 3 Clasificarea proceselor de management D2:2=2 %1*+40?0<')*' *.*E*+4*.;) .*G'4* 1* @;.040<' 1* A*<,)04'4* ' <;E@'+0*0 Este posibil intotdeauna ca anumite servicii obisnuite sa nu fie identificate ca si elemtene critice in timpul analizei proceselor afacerilor.Totusi, ar putea fi critice (intr-o mai mica sau mai mare masura) pentru intreprindere sau organizatie ca un tot.
Acesta ar cazul in care, de exemplu, ele ar putea influeta planificarea sau dezvoltarea strategiei IT, sau cand ele ar putea avea impact asupra imaginii profesionale a organizatiei sau suportului ei de servicii, fie intern fie extern. Aceste servicii comune ar trebui identificate si clasificate, doar pentru procesele afacerii mentionate mai sus, permitand o privire corporativa asupra cerintelor de securitate.
D2= 7)04*)00.* 1* <.'A0?0<')* Pierderea disponibilit!"ii, integrit!"ii, sau a confiden"ialit!"ii unui bun poate avea Conse cin"e opera"ionale #i de afaceri care trebuiesc evaluate. Tabelele de mai sus trebuiesc completate cu o valoare (de la 1 la 4) pentru fiecare tip de bun #i criteriu. Pentru printuri, de obicei doar confiden"ialitatea este luat! n discu"ie. Totu#i, pentru documentele scrise #i arhive, disponibilitatea poate fi ad!ugat! la confiden"ialitate . Pentru servicii, principala preocupare o reprezint! pierderea disponibilit!"ii sau a integrit!"ii .Totu#i, confiden"ialitatea poate reprezenta #i ea o preocupare pentru anumite aplica"ii care ofer! avantaj competitiv pentru entitate. Pentru respectarea legilor,reglementari sau cerinte contractuale, criteria de clasificare E (eficienta) se aplica, asa cum este exemplificat in tabelul T3.
D2D2 5);<*A,. 1* <.'A0?0<')* D2D2: 7.'A0?0<')*' B,+,)0.;) <')* A@)0K0+6 @);<*A*.* 1* '?'<*)0 Pentru fiecare grup! de bunuri care sprijin! procesele de afaceri sau un domeniu de activitate, va fi realizat! o analiz! pentru a determina dac! o pierdere a confiden"ialit!"ii ar putea conduce la una sau mai multe posibile defec"iuni, #i, dac! acesta este cazul, la ce nivel al defec"iunii. Dac! din pierderea confiden"ialit!"ii pentru un bun ar putea rezulta mai multe defec"iuni poten"iale, este re"inut cel mai nalt nivel al acestora (pe o scar! de la 1 la 4) pentru criteriul de confiden"ialitate. Acela#i lucru este valabil pentru alte criterii (disponibilitatea #i integritatea) care rezult!, pentru fiecare grup! de bunuri identificat!, ntr-o valoare a clasific!rii pentru fiecare criteriu (Disponibilitate, Integritate Confiden"ialitate). Scopul clasific!rii este astfel de a defini, pentru grupurile de bunuri identificate, etichete care vor ar!ta nivelurile consecin"elor unei pierderi a disponibilit!"ii, integrit!"ii sau confiden"ialit!"ii pentru fiecare clas! de bunuri.
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 16 CLuSll 2010 D2D2=2 7.'A0?0<')*' B,+,)0.;) .' +0>*. <;)@;)'40> Deasemenea, pentru o viziune a corporatiei, este necesara asumarea consecintelor unei degradari a bunurilor independent de fiecare domeniu de afaceri individual.
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 17 CLuSll 2010 J2 7;+A4),0)*' 4'B*.,.,0 0E@'<4,.,0 0+4)0+A*<
n timpul procesului MEHARI de analiz! a riscului, este introdus! no"iunea de impact intrinsec al unui scenariu. Aceasta reprezint! evaluarea consecin"elor producerii unui scenariu de risc independent de orice m!suri de securitate. Mai exact, baza de cuno#tin"e MEHARI se refer! la un tabel al impactului intrinsec, care poate fi completat cu informa"ii din tabelele de clasificare discutate mai devreme. Procesul pentru completarea automata a tabelului impactului intrinsec beneficiaza de tabelele clasificarii bunurilor (T1 pana la T3) care au fost definite si descrise in sectiunea precedenta. L2 9?'4,)0 @)'<40<* L2: 5,+<4* 0E@;)4'+4* <')* 4)*B,0*A< .,'4* M+ <;+A01*)')* M+ <)*')*' A<6)00 1* >'.;)0 L2:2: 7;+<*+4)'H0/>6 'A,@)' 'A@*<4*.;) <*.;) E'0 <)040<* Este important s# v# concentra!i asupra principalelor defec!iuni "i nu s# ncerca!i s# lua!i n considerare fiecare scenariu de risc posibil. Primul scop al securit!"ii, indiferent de abordarea folosit!, este cel de a evita producerea problemelor grave sau foarte grave. Acestea reprezint! riscuri care trebuie, de aceea, s! fie identificate #i examinate. Acesta este motivul pentru care este foarte recomandat ca managementul de top #i cei responsabili pentru o activitate dat! s! fie implica"i direct n procesul de evaluare. Nu ar trebui delegat niciodat! unui delegat. n practic!, pentru fiecare activitate, cel mai bine este s! se concentreze un num!r mic de defec"iuni critice (de obicei ntre 3 #i 8).
L2:2= -N<.,1*)*' <;+4);'.*.;) *N0A4*+4* n al doilea rnd, dar la fel de important, defec"iunile care par imposibile la prima vedere nu ar trebui ignorate. Este ntlnit prea des cazul n care managementul alung! din minte producerea poten"ial! a unui accident care ar putea pierde toate datele importante, prin pretextul c! datele sunt computerizate #i deci arhivate de c!tre sistemul IT. Defec!iunile, "i gravitatea lor, ar trebui identificate "i evaluate f#r# a lua n considerare controalele de securitate existente, chiar dac# acele m#suri sunt implementate solid. Altfel, acest lucru ar putea conduce la concluzia c! nimic nu este supus riscului, #i c! controalele de securitate nu sunt necesare, #i deci pot fi scoase din calcul. De asemenea, natura mai mult sau mai pu!in probabil# a unui eveniment care conduce la defec!iune nu ar trebui luat# n considerare n timpul acestei faze a abord#rii.
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 18 CLuSll 2010 L2:2D 7;+A0A4*+H' 1*?*<H0,+0.;) 1* 10?*)04* 40@,)0 Un alt punct important n determinarea criteriilor #i a pragurilor critice este de a men"ine o consisten"! ntre diferite tipuri de defec"iuni care au nivele de gravitate echivalente. Cu acest scop n minte, este recomandat s! se defineasc! axe strategice care pot fi folosite ca referin"! pentru a asigura consisten"a nivelelor de gravitate pentru diferite defec"iuni. Una din axele de evaluare poate fi financiar!. Astfel, echivalentele financiare ar fi c!utate pentru fiecare tip de defec"iune. De asemenea, o ax! de serviciu pentru public ar reprezenta referin"a pentru compararea impactului individual, m!rimea popula"iei etc.
L2:2J CA@*<4* A4)'4*G0<* I0 1* .,')* ' 1*<0(00.;) '.* A<6)00 1* >'.;)0 Deseori, gravitatea unor defec"iuni nu poate fi evaluat!. Acest lucru ar putea fi din cauz! c! consecin"ele indirecte sunt greu de identificat, sau din cauz! c! este prea greu s! evaluez! serios eficien"a ac"iunilor care ar putea fi realizate n situa"ia dat!. n unele situa!ii, gravitatea defec!iunii poate fi rezultatul unei simple decizii. Nu exist# o evaluare formal# ci o decizie strategic# pentru ntreprindere sau organiza!ie care spune c# o defec!iune dat# ar trebui considerat# ca fiind grav#, foarte grav#, sau vital#.
L2= 5,+<4* 0E@;)4'+4* M+ 40E@,. <.'A0?0<6)00 Mai nti, este important s! se grupeze corespunz!tor bunurile cu scopurile similare pentru a nu trebui s! se analizeze cantit!"i mari de obiecte. Un bun punct de plecare este gruparea aplica!iilor n domenii. n al doilea rnd, este recomandat s! se planifice un pas de consolidare #i validare la nivelul fiec!rei entit!"i, precum #i pentru scara de valori.
L2D $0E04* @*+4), <.'A0?0<')* n mod clar, procesul care a fost descris, fie el crea"ia sc!rii de valori sau clasificarea, se pliaz! unei entit!"i cu independen"! decizional! #i propriile sale scopuri. Aceasta ar putea fi afiliat! (na"ional sau regional) unui grup de corpora"ii, sau unei unit!"i de afaceri, sau unui serviciu opera"ional sau func"ional cu o responsabilitate bine definit!. Scara de valori a defec"iunilor #i clasificarea informa"iilor #i a bunurilor care sunt definite pentru o entitate sunt evident valabile pentru acea entitate. Totu#i, care este valoarea lor n afara acelei entit!"i? Prin defini!ie, clasificarea definit# pentru o entitate reprezint# mijlocul de a mp#r!i "i comunica sensibilitatea unui bun care apar!ine acelei entit#!i. Aceast# clasificare este valabil# n ntreprindere. De fapt, aceasta este o regul! a schimbului de elemente (mai ales informa"ii) ntre entit!"i. Dac! o entitate A (o agen"ie mic!, de exemplu) consider! c! confiden"ialitatea informa"iei este vital!, #i o clasific! ca atare, nu este posibil ca entitatea B (sediul central de exemplu) s! regndeasc! clasificarea #i s! decid! c! informa"ia nu este sensibil!. Dac! s-ar permite ca lucrul din urm! s! aib! loc, atunci entitatea A ar trebui s! decid! s! nu transmit! informa"ii entit!"ii B. Aceast! no"iune de limite ale valabilit!"ii pentru clasificare este deosebit de important! n managementul securit!"ii pe baza unei reguli stabilite numite Cadrul de referin"! n securitate. MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 19 CLuSll 2010 n exemplul de mai sus, precau"iile sau controalele de securitate care vor fi aplicate ca func"ie a clasific!rii sunt cunoscute. Ar fi stupid ca o entitate s! protejeze informa"iile aliniate la un nivel al clasific!rii #i ca alte entit!"i s! aplice alte reguli de protejare pentru aceea#i informa"ie. n mod deosebit, ar fi periculos pentru o alt! entitate s! decid! de una singur! c! informa"ia nu trebuie protejat! la nivelul hot!rt de o alt! entitate.
L2J 5.'+,)0 1* '<H0,+* Aici, vom acoperi construirea planurilor de securitate direct din analiza mizelor. Totu#i, merit! observat faptul c! interviurile individuale care contribuie la crearea sc!rii de valori, mpreun! cu o #edin"! a managementului, n care sunt discutate cele mai grave defec"iuni, ar trebui s! dea na#tere la planuri de ac"iune urgente. Orice manager ar fi frustrat s! petreac! timp cu o analiz! #i identificare a vulnerabilit!"ilor, doar ca s! afle c! nu reiese nimic de aici. Ar trebui, deci s# fie ntocmit un plan de ac!iune pentru ac!iunile cele mai urgente. Acest lucru ar trebui poate discutat "i aprobat ntr-o "edin!# a managementului, imediat dup# ce analiza mizelor este terminat#.
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 2u CLuSll 2010
1(*)0)*"2)2#) %# ) ')*2-$) 3-(-$"/# /"4$)2# lncapaclLaLea global de a facLura penLru o perload de mal pu(ln de o spLmn lncapaclLaLea global de a facLura penLru o perload cuprlns inLre o spLmn ;l o lun. lerderea lnforma(lllor prlvlnd llvrrlle efecLuaLe inLr-o zl. lncapaclLaLea global de a facLura penLru o perload mal mare de o lun.
lerdea compleL a dovezll llvrrll penLru o inLreag spLmn.
5#'#*6"-(#) 0$7*#.-/-" %# 8#8#(27 )/ */"#(6"/7$ lndlsponlblllLaLea Lemporar a slsLemulul de memenLo. lndlsponlblllLaLe a pe Lermen lung a slsLemulul de memenLo.
;A (0+10'>&' D E#F&$1%&& >'#'+1/' D B1#1>':'#0 -& "+:3+&+'
uezvlulrea planurllor pe Lermen lung consolldaLe ale inLreprlnderll
1(%".07("3"/"2)2#) )()/"9#" $#9-/2)2#/7$ .)- ) .".2#8-/-" "(2#$( %# $)07$2)$# lndlsponlblllLaLea procesulul de raporLare lunar lncapaclLaLea de a face rapoarLe sau anallza rezulLaLelor penLru mal mulL de 2 lunl
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 21 CLuSll 2010 <7$-0#$#) %)2#/7$ %# $)07$2)$# =" ) $)07)$2#/7$ /-()$# Coruperea daLelor elemenLare sau lnforma(ll mrlLe pe baza unor daLe elemenLare.
4'5'$%&"#' 8&2'/"/ 9 8'7':#&5&$10&2 8&2'/"/ ; <+12 8&2'/"/ = !)1+0' >+12 8&2'/"/ ? @&01/ 5#94+/-"$#) "('7$8)6""/7$ 2#?("*# uezvlulrea modelelor de slmulare uezvlulrea buleLlnelor Lehnlce curenLe uezvlulrea lnforma(lllor despre speclflca(llle sau procedurlle lnLerne ;l despre evolu(la curenL uezvlulrea buleLlnelor Lehnlce in cazurl excep(lonale uezvlulrea lnforma(lllor asupra lmpacLulul evolu(lel Lehnlce, rezulLnd in inchlderea unlL(llor.
@(*+/*)$#) )*7$%-$"/7$ %# *7('"%#(6")/"2)2# lnclcarea acordurllor de conflden(lallLaLe cu parLenerll lnclcarea acordurllor de conflden(lallLaLe cu furnlzorll chele de Lehnologle
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 22 CLuSll 2010 !"#$%#$#) #>0#$2"9#" lerderea arhlvelor a memorandumurllor ;l a buleLlnelor Lehnlce prlvlnd dezvolLarea Lehnlc.
GA B1#1>':'#0"/ *+)$'7"/"& &#F"70+&1/ D H+)&'$0' *'#0+" '2)/"%&' I J#0+'%&#'+'
4'5'$%&"#' 8&2'/"/ 9 8'7':#&5&$10&2 8&2'/"/ ; <+12 8&2'/"/ = !)1+0' >+12 8&2'/"/ ? @&01/ !"#$%#$#) )$?"4#/7$ %# %7*-8#(2# ) 0$7"#*2-/-" %# #47/-6"# !"#$%#$#) %7*-8#(2)6"#" 2#?("*# 0#(2$- #*?"0)8#(2-/ #>".2#(2 lerderea arhlvelor prolecLulul pe duraLa de vla( a prolecLulul. lerderea coplllor in orlglnal a planurllor echlpamenLulul care au fosL aprobaLe de cLre auLorlL(lle compeLenLe. lerderea LoLal a arhlvelor pe Lermen lung prlvlnd echlpamenLul ;l modlflcrlle fcuLe la acesLa.
5#'#*6"-(# *)$# *7(%-*# /) '7/7."$#) 0/)(-$"/7$ %# "(.2)/)$# "(*7$#*2# A( 2"80-/ #47/-6"#" =" )*2-)/"9+$"/7$ Lrorl in, sau schlmbrl la planurlle de lnsLalare exlsLenLe, sau defec(lunea managemenLulul de schlmbare.
5#94+/-"$#) "('7$8)6""/7$ 2#?("*# uezvlulrea Lemelor de munc ;l a programulul de cerceLare a pre- prolecLulul uezvlulrea LuLuror dosarelor pre- prolecLulul (lncluslv pozl(lonarea sLraLeglc a prolecLulul)
1(%".07("3"/"2)2#) -(#/2#/7$ %# 8)():#8#(2 )/ 0$7"#*2-/-" lndlsponlblllLaLea unelLelor lnLerne de planlflcare lndlsponlblllLaLea unelLelor de managemenL al ordlnll penLru mal pu(ln de o spLmn lndlsponlblllLaLea unelLelor de managemenL al ordlnll penLru prolecL penLru mal mulL de o spLmn
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 2S CLuSll 2010 5#'#*6"-(# A( 8)():#8#(2-/ %# A(2$#6"(#$# lerderea bazel de daLe a ac(lunll de inLre(lnere planlflcaLe lndlsponlblllLaLea unelLelor de managemenL al inLre(lnerll penLru mal pu(ln de o lun lerderea daLelor Lehnlce ;l lsLorlce necesare penLru planlflcarea inLre(lnerll lndlsponlblllLaLea unelLelor de managemenL al inLre(lnerll penLru mal mulL de o lun Schlmbrl ale parameLrllor unelLelor de managemenL al inLre(lnerll
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 24 CLuSll 2010 => H+)F"$%&' -& /&2+1+' I K)>&70&$3
4'5'$%&"#' 8&2'/"/ 9 8&2'/"/ ; 8&2'/"/ = 8&2'/"/ ? 8'7':#&5&$10&2 <+12 !)1+0' >+12 @&01/ nlcl un fel de produc(le penLru mal mulL de o spLmn !$7%-*6") 70$"2+ B("*" -( .".2#8 (- #.2# %".07("3"/C 0"#$%#$#) -(-" #/#8#(2 *$"2"*D
nlcl un fel de produc(le penLru o perload inLre 1 spLmn ;l 1 lun. lerderea unul elemenL crlLlc, conducnd la plerderea produc(lel penLru mal pu(ln de 1 lun.
nlcl un fel de produc(le inLre 1 ;l 3 lunl.
lerderea unul elemenL crlLlc, conducnd la plerderea produc(lel penLru o perload inLre 1 ;l 3 lunl roduc(la oprlL penLru mal mulL de 3 lunl.
lerderea unul elemenL crlLlc, conducnd la plerderea produc(lel penLru mal mulL de 3 lunl.
E(#/2#/# %# 8)():#8#(2 )/ 0$7%-*6"#" "(%".07("3"/# unelLele de managemenL al produc(lel lndlsponlblle penLru mal pu(ln de o spLmn unelLele de managemenL al produc(lel lndlsponlblle penLru o perload cuprlns inLre o spLmn ;l o lun unelLele de managemenL al produc(lel lndlsponlblle penLru mal mulL de o lun
Modlflcarea managemenLulul de produc(le conducnd la neconformlLaLea produselor
Modlflcarea managemenLulul de produc(le conducnd la accldenLe sau la deLerlorarea unelLelor de produc(le 1(*)0)*"2)2#) %# ) ).":-$) /7:".2"*) 0#(2$- /"4$)$#) 0$7%-.#/7$
lncapaclLaLea de a aslgura llvrrlle crlLlce penLru mal pu(ln de o spLmn
lncapaclLaLea de a aslgura llvrrlle crlLlce penLru mal mulL de o spLmn
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 2S CLuSll 2010
LA M'/1%&&/' $" *3+%&/' 0'+%' N1/0'/' F'$O0 $):'+$&1/'P
4'5'$%&"#' 8&2'/"/ 9 8'7':#&5&$10&2 8&2'/"/ ; <+12 8&2'/"/ = !)1+0' >+12 8&2'/"/ ? @&01/ 5#94+/-"$#) "('7$8)6""/7$ ).-0$) $#9-/2)2#/7$ *7$07$)6"#" ubllcarea premaLur a rezulLaLelor unul aflllaL ubllcarea premaLur a conLurllor consolldaLe
5#'#*6"-(# A( 0$7*#.-/ 0#(2$- *7(.7/"%)$#) *7(2-$"/7$ )(-)/# lnLrzlere in publlcarea conLurllor de mal pu(ln de 2 spLmnl lnLrzlere in publlcarea conLurllor de mal mulL de 2 spLmnl lerderea LoLal a LuLuror elemenLelor flnanclare necesare penLru producerea conLurllor anuale
5#94+/-"$#) (72#/7$ .)- ) 8#87$""/7$ 0$"4"(% $".*-$"/#C 70#$)6"-("/# .)- 8#*)(".8#/# '".*)/# uezvlulrea noLelor sau a memorlllor prlvlnd rlscurlle, opera(lunlle sau mecanlsmele flscale in func(le de con(lnuLul noLel sau al memorlulul
!"#$%#$#) #/#8#(2#/7$ ".27$"*# *)$# F-.2"'"*+ 7 70#$)6"-(# '".*)/+ lerderea elemenLelor lsLorlce care [usLlflc o opera(lune flscal !/)2) 2G$9"# ) 2)>#/7$ =" "8079"2#/7$ lndlsponlblllLaLea unelLelor de calcul a pl(ll Laxelor
!"#$%#$#) %7*-8#(2#/7$ 7'"*")/# .)- ) )$?"4#/7$ lerderea auLorlza(lllor oflclale penLru a opera lerderea documenLelor oflclale sau a arhlvelor care sunL ceruLe dln puncL de vedere legal de cLre procedurlle admlnlsLraLlve (Laxe, exporL)
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 26 CLuSll 2010
?> B1#1>':'#0"/ +'$/1:1%&&/)+ D 17*'$0' /'>1/' -& *'#1/'
@(2G$9"#$" /) 0/)2) .)/)$""/7$ lnLrzlere < 2 zlle lnLrzlerl inLre 2 ;l 13 zlle lnLrzlerl > 13 zlle 5".2$-:#$#) %)2#/7$ %# 3)9+ 0$"4"(% 0/)2) .)/)$""/7$ B*)/*-/# =" 0)$)8#2$"D 5Lergerea daLelor recenLe (nu mal vechl de o lun) 5Lergerea daLelor penLru inLregul an 5Lergerea LuLuror daLelor, lncluslv a daLelor lsLorlce
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 27 CLuSll 2010
9SA (&70':"/ )+:1%&)#1/
4'5'$%&"#' 8&2'/"/ 9 8'7':#&5&$10&2 8&2'/"/ ; <+12 8&2'/"/ = !)1+0' >+12 8&2'/"/ ? @&01/ 1(%".07("3"/"2)2#) $#6#/#" =" ) .#$4#$#/7$ B%)2# *78-(# =" 0#$.7()/#D lndlsponlblllLaLea penLru mal pu(ln de o lun lndlsponlblllLaLea penLru mal mulL de o lun
1(%".07("3"/"2)2#) .".2#8-/-" %# #H 8)"/ lndlsponlblllLaLea slsLemulul de e-mall
1(%".07("3"/"2)2#) $#6#/#" %# 2#/#'7("# lndlsponlblllLaLea re(elel de Lelefonle
!"#$%#$#) )$?"4#/7$ lerderea serverelor de daLe, sau a arhlvelor de e-mall
<$#)$#) "/"*"2+ ) %$#02-$"/7$ %# )%8"(".2$)$# ).-0$) .".2#8-/-" Coruperea Labelulul drepLurllor de acces ;l crearea drepLurllor de admlnlsLrare
5#94+/-"$#) "('7$8)6""/7$ %#.0$# .".2#8 .)- )$?"2#*2-$+ uezvlulrea rapoarLelor dlrecLorllor sau a lnforma(lllor deLallaLe prlvlnd securlLaLea slsLemulul ;l slblclunl necorecLaLe.
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 28 CLuSll 2010
C+*N' =F Q'B*.,. %E@'<4,.,0 %+4)0+A*<
1abelul lmpacLulul lnLrlnsec
@/A+BCB 3B-0/D/34.// E-1+BF.G /6DF.2-H//BF. I/ -B 3F2JF6+61+BF. E+ /6D.-01.C31C.4 % ' 8 410' -& )+:1%&& u01 ll;lere de daLe sau baze de daLe accesaLe de apllca(ll u02 ll;lerele ;l daLele offlce comune u03 ll;lere offlce personale (pe C, echlpamenLe eLc.) u04 lnforma(ll ;l daLe scrlse sau prlnLaLe psLraLe de uLlllzaLorl ;l arhlve personale
u03 LlsLrl sau documenLe prlnLaLe u06 Mesa[e Lrlmlse, screen vlew-url, daLe lndlvlduale senslblle u07 o;La elecLronlca u08 Scrlsorl sl mesa[e fax (posLal) u09 uocumenLe sau arhlve paLrlmonlale foloslLe ca dovezl u10 Arhlve l1 u11 uaLe ;l lnforma(ll publlcaLe pe slLe-url publlce sau lnLerne
@1/)+& 7'+2&$&& % ' 8 ;+.A/3// K+6+.-B+
C01 SpaLlul de lucru al uLlllzaLorulul sl medlul de lucru 3 C02 Servlcll de LelecomunlcaLll (voce, fax, audlo & vldeoconferlnLa eLc.) 3 2 ;+.A/3// 'L 0/ E+ .+1+- 801 Servlcll de reLea exLlnse 3 3 802 Servlcll LAn 3 3 S01 Servlcll furnlzaLe de apllcaLll 3 3 4 S02 Servlcll comune de blrou (servere,managemenL documenLe, lmprlmanLe comune eLc.)
3 3 MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare 29 CLuSll 2010
S03 LchlpamenLe la dlspozlLla uLlllzaLorllor (sLaLll de lucru, lmprlmaLe locale, perlferlce, lnLerfeLe speclflce eLc.) nC1A: se apllca ln cazul plerderllor maslve, nu doar la caLlva uLlllzaLorl 3 S04 Servlcll comune, medlul de lucru: mesagerle, lmprlmare, arhlvare, edlLare eLc. 3 2 S03 Servlcll de edlLare web (lnLerne sau publlce) 3 2
@1/)+& F' 0&* *+)$'7' F' :1#1>':'#0 T M.F3+0+ E+ 2-6-7+2+61 J+61.C 3F6DF.2-.+- B+7-B4 I/ .+7B+2+61-.4 C01 Conformarea la legl ;l reglemenLrl prlvlnd proLec(la vle(ll prlvaLe C02 Conformarea la legl ;l reglemenLrl prlvlnd comunlcarea flnanclara C03 Conformarea la legl ;l reglemenLrl prlvlnd conLrolul flnanclar dlglLal C04 Conformarea la legl ;l reglemenLrl prlvlnd drepLurlle de proprleLaLe lnLelecLual C03 Conformarea la legl ;l reglemenLrl prlvlnd proLec(la slsLemulul lnforma(lonal C06 Conformarea la legl ;l reglemenLrl prlvlnd punerea in perlcol a personalulul ;l a slguran(el publlce ;l a medlulul
MLPA8l 2010 Anallza mlzelor de securlLaLe sl ghldul de claslflcare Su CLuSll 2010
'6 0J/./1CB E/0+2/6-.//
CLUB DE LA SCURIT DE L'INFORMATION FRANAIS 11, rue de Mogador 75009 Paris France ! 01 53 25 08 80 clusif@clusif.asso.fr