MEHARI 2010 Analiza Mizelor Si Ghidul de Clasificare

"#$%&' ()*)
Analiza mizelor de securitate si ghidul de clasificare

nolembrle 2010

Comisia Metodelor

CLUB DE LA SECURITE DE L!INFORMATION FRANAIS
11, rue de Mogador, 75009 PARIS (France)
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : hLLp://www.cluslf.asso.fr

"+,-./ +01+ 2-.34 56.+7/01.-14 - 89:;'<
Impossible d'a!cher l'image lie. Le chier a peut-tre t
dplac, renomm ou supprim. Vriez que la liaison pointe
vers le chier et l'emplacement corrects.
Impossible d'a!cher l'image lie. Le chier a peut-tre t dplac,
renomm ou supprim. Vriez que la liaison pointe vers le chier et
l'emplacement corrects.
MLPA8l 2010
Anallza mlzelor de securlLaLe sl ghldul de claslflcare 2 CLuSll 2010

"#$!#"%&%

Clusif ai uoii s mul(umeasc n special lui }ean-Philippe }ouas pentiu contiibutia sa, lui
}ean-Louis Roule pentiu tiauuceie ct ,i membiiloi comisiei Netoueloi caie au paiticipat
la iealizaiea acestui uocument.

Tiauuceiea n limba iomn a fost iealizat ue $'(')*'+, -.*+'/$,0(' stuuenta a
Facult(ii ue Economie ,i Auministiaiea Afaceiiloi uin cauiul 0niveisit(ii Alexanuiu Ioan
Cuza uin Ia,i.

Pioiectul a fost cooiuonat ue 1)2 3'.*+40+/5*4), "6(6)*'+,, ceicettoi postuoc ,i cauiu
uiuactic asociat n institu(ia mai sus men(ionat.

Contact:
www.managementul-iiscuiiloi.io
MLPA8l 2010
Anallza mlzelor de securlLaLe sl ghldul de claslflcare S CLuSll 2010

7#5&%89

1.lnLroducere................................................................................................................................................4
2. Scara de valorl a defecLlunllor ..................................................................................................................3
2.1. ldenLlflcarea prlnclpalelor acLlvlLaLl sl oblecLlvele lor .......................................................................6
2.1.1 8ezulLaLele prevazuLe..................................................................................................................6
2.1.2 Abordare.....................................................................................................................................6
2.2. ldenLlflcarea poLenLlalelor defecLlunl................................................................................................6
2.2.1. 8ezulLaLele prevazuLe.................................................................................................................6
2.2.1.1. oLenLlale defecLlunl ldenLlflcaLe la nlvel funcLlonal...........................................................7
2.2.1.2. oLenLlale defecLlunl ldenLlflcaLe la nlvel Lehnlc.................................................................8
2.2.2 Abordare......................................................................................................................................9
2.3 Anallza mlzelor de securlLaLe: evaluarea gravlL(ll defec(lunllor ldenLlflcaLe....................................9
2.3.1 Scara gravlL(ll .............................................................................................................................9
2.3.2 CrlLerllle defec(lunll ;l pragurl de crlLlcallLaLe: rezulLaLe elemenLare .......................................10
2.3.3 Abordare....................................................................................................................................11
2.4 Scara de valorl a defec(lunllor ..........................................................................................................11
3. Claslflcarea lnforma(lel ;l a bunurllor a[uLLoare ...................................................................................12
3.1 ldenLlflcarea elemenLelor care vor fl claslflcaLe ...............................................................................12
3.1.1 ldenLlflcarea elemenLelor legaLe de procesele de afacerl .........................................................13
3.1.2. ldenLlflcarea elemenLelor legaLe de pollLlca de securlLaLe a companlel ..................................13
3.2 CrlLerllle de claslflcare ......................................................................................................................13
3.3. rocesul de claslflcare .....................................................................................................................13
3.3.1 Claslflcarea bunurllor care sprl[ln procesele de afacerl ...........................................................13
3.3.2. Claslflcarea bunurllor la nlvel corporaLlv..................................................................................16
4. ConsLrulrea Labelulul lmpacLulul lnLrlnsec .............................................................................................17
3. SfaLurl pracLlce .......................................................................................................................................17
3.1 uncLe lmporLanLe care Lrebulesc luaLe in conslderare in crearea scrll de valorl ..........................17
3.1.1 ConcenLra(l-v asupra aspecLelor celor mal crlLlce ...................................................................17
3.1.2 Lxcluderea conLroalelor exlsLenLe.............................................................................................17
3.1.3 ConslsLen(a defec(lunllor de dlferlLe Llpurl ...............................................................................18
3.1.4 AspecLe sLraLeglce ;l de luare a declzlllor ale scrll de valorl ....................................................18
3.2 uncLe lmporLanLe in Llmpul claslflcrll............................................................................................18
3.3 LlmlLe penLru claslflcare ...................................................................................................................18
3.4 lanurl de ac(lune.............................................................................................................................19
Anexa 1: Exemplu al unei scii ue valoii (ntiepiinueie inuustiial) ..................................................20
Anexa 2: 1abelul lmpacLulul lnLrlnsec ........................................................................................................28

MLPA8l 2010

:2%+4);1,<*)*
Analiza mizelor este un pas esential pentru orice proces de gestionare a riscurilor.
Scopul acestui document este de a completa ghidul de procesare pentru analiza si gestionare
riscurilor si ghidul de analiza si gestionare riscurilor, pentru a oferi asistenta pe durata
cursului procesului si pentru a justifica rezultatele. Analiza mizelor trebuie sa ofere 2 seturi
principale de rezultate:
- Scara de valori a defectiunilor
- Evaluarea sau clasificarea bunurilor legate de informatie
Din aceste doua seturi de rezultate, este posibila deducerea tabelului impactului intrinsec,
folosit pentru evaluarea scenariilor de risc oferite de MEHARI.
Procedura pentru analiza mizelor este descrisa mai jos.
Abordarea MEHARI consta in analizarea activitatilor intreprinderii sau organizatiei, si a
proceselor sale de afaceri care au legatura cu informatia, pentru a deduce ce defectiuni ar putea
avea loc, si pentru a evalua cat de grave ar putea fi aceste defectiuni.Apoi este posibil sa se
evalueze bunurile legate de informatie.
MLPA8l 2010
Anallza mlzelor de securlLaLe sl ghldul de claslflcare S CLuSll 2010

=2 9<')' 1* >'.;)0 ' 1*?*<40,+0.;)
Acest proces este conceput pentru a oferi o scara de valori pentru defectiunile care ar putea
afecta semnificativ activitatile unei entitati.
Analiza cuprinde 4 etape:
- Analiza activitatilor principale si obiectivele lor
Anallza acLlvlL(llor ;l scopurllor lor
ldenLlflcarea defec(lunllor
Anallza gravlL(ll flecrel defec(lunl:
pragurl crlLlce
Scara de valorl a defec(lunllor
ldenLlflcarea bunurllor penLru claslflcare
Claslflcarea bunurllor
ueclzla de a incepe o
anallz a mlzelor

Scara de valorl a
defec(lunllor

Claslflcarea bunurllor
1abelul lmpacLulul
lnLrlnsec

MLPA8l 2010
- Identificarea posibilelor defectiuni pentru fiecare activitate, care poate fi realizata la
urmatoarele nivele:
- Tehnic
- Functional
- O evaluare a nivelului gravitatii defectiunilor, activitate cu activitate
- Determinarea unei scari globale a valorilor pentru entitate.
=2:2 %1*+40?0<')*' @)0+<0@'.*.;) '<40>04'40 A0 ;B0*<40>*.* .;)
Un punct de plecare bun este identificarea activitatilor principale ale domeniului care este
analizat, descrierea pe scurt a lor, si identificarea scopurilor sau cel putin a rezultatelor
prevazute.
=2:2: &*(,.4'4*.* @)*>'(,4*
Activitatile vor fi descrise in termeni functionali.
Pe langa o descriere functionala, merita sa se defineasca rezultatele prevazute sau
scopurile activitatii. Aceste rezultate dorite ar trebi definite din punctul de vedere al entitatii, si
din acela al entitatilor client.
Iat! un exemplu:
!"#$%&' ($)*"+& -& +'."/010' *+'23."0'
Creeaz ;l men(ln o perspecLlv consolldaL a Lrezorerlel
;l a neceslL(llor el.
ermlLe deparLamenLulul de conLablllLaLe s supllmenLeze
conLablllLaLea dup neceslL(l (;l s evlLe pl(lle nesus(lnuLe).

=2:2= CB;)1')*
O identificare riguroasa si exhaustiva a activitatilor poate fi facuta printr-o analiza a
procesului in care actioneaza acestea.Acest lucru presupune identificarea tutror proceselor din
domeniul examinat, chiar sub-divizandu-le in atatea sub-procese cat este nevoie pentru a scoate
la suprafata variatele dependinte si rezultate intermediare.
Experienta arata ca o abordare globala si mai intuitiva, daca are un nivel destul de inalt
desponsorizare a managementului, poate identifica rapid principalele functii si scopurile lor.
Acest lucru este destul de suficient pentru nevoile aceste abordari.
Abordarea este astfel bazata pe interviuri individuale (intre 60 si 90 de minute) cu
manageri responsabili pentru activitati diferite in intreprindere sau organizatie.
=2=2 %1*+40?0<')*' @;4*+40'.*.;) 1*?*<40,+0
Odata ce activitatile sunt identificate, defectiunile potentiale sau suspectate asociate cu
ele ar trebui scoase la lumina.
=2=2:2 &*(,.4'4*.* @)*>'(,4*
Descrierea defectiunilor ar trebui sa fie de asa natura incat gravitatea sa poata fi
evaluata.Totusi, ar trebui mentionat ca o defectiune poate fi descrisa in mai multe moduri:
MLPA8l 2010
- La nivelul elementului care deranjeasa sau este deranjat in procesul care este
examinat.Acest lucru poate fi, de exemplu, indisponibilitatea sistemului de management
al trezoreriei sau baza de dateasociata; deci, la un nivel tehnic.
- La nivelul procesului insusi (la nivel functional). De exemplu, incapacitatea de a oferi o
privire consolidata asupra necesitatilor trezoreriei.
Aceleasi defectiuni pot fi astfel descrise fie in ceea ce priveste indisponibilitatea a datelor
necesare pentru a produce un rezultat specificat, fie in ceea ce priveste incapacitatea de a executa
sarcina care ar produce rezultatul. Prima dintre acestea este cunoscuta in MEHARI ca analiza la
nivel tehnic a mizelor de securitate, iar cea din urma este cunoscuta ca analiza functionala a
mizelor de securitate.
!"!"#"#" %&'()'*+,( -(.(/'*0)* *-()'*.*/+'( ,+ )*1(, .0)/'*&)+,
La nivelul functional, scopul este de a identifica potentialele defectiuni care au un impact
significant in activitatile intreprinderii. Acestea vor fi de obicei defectiuni ale proceselor.
Urmatoarele criterii generice de profil ale defectiunii procesului vor fi valabile de obicei:
- Sincronizare incorecta: sarcinile sau activitatile care sunt planificate nu sunt terminate
la timp;
- Lipsa concordantei: sarcinile sau activitatile care sunt planuite nu sunt terminate in
conformitate cu specificatiile;
- Lipsa completitudinii: sarcinile sau activitatile care sunt planificate sunt doar partial
terminate ( desi partile terminate sunt conform cu specificatiile);
- Lipsa corectitudinii: sunt indeplinite sarcini sau activitati aditionale car enu erau
planificate sau specificate;
- Lipsa discretiei: informatia este dezvaluita necorespunzatorin timp ce sarcinile sau
activitatile sunt indeplinite;
- Lipsa controlului: sarcinile sau activitatile sunt indeplinite si terminate dupa cum era
planificat dar fara control sau vizibilitate asupra executiei lor.
Este posibil, astfel, descrierea unel defectiuni in ceea ce priveste sarcina sau activitatea
implicata de catre tipul de defectiune.
Deasemnea este deseori utile sa se descrie consecintele potentiale, pentru a intelege mai bine
gravitatea lor.
Deci, folosind exemplul ipotetic al dezvaluirii necorespunzatoare a salariilor angajatilor,
merita sa se identifice consecintele potentiale: actiunea de greva, obligatia de a da numeroase
mariri de salariu pentru anumite categorii de personal, de-motivarea personalului, si asa mai
departe.
Deasemenea, daca defectiunea inchipuita priveste schimbarile de plata, merita identificarea
faptului daca consecintele potentiale implica sau nu frauda si pierdea de bani, sau actiunea de
MLPA8l 2010
greva din partea personalului (sau de-motivarea acestora), sau nevoia de a face corectii
numeroase si complicate.
Fiecare defectiune, la nivel functional, ar trebui descris ca o schimbare a procesului
afacerii. Astfel ar trebui descrisa in ceea ce priveste procesul sau activitatea in cauza,
precum si tipul de defectiune si tipu de consecinte.
Folosind exemplul managementului de trezorerie, mentionat mai sus:
!"#$%&' ($)*"+&/' -& +'."/010'/' 1-0'*010'
lnLrzlerea pl(ll in conLurlle Lrezorerlel
lncapaclLaLea de a plLl furnlzorll, lmpllcnd o inLrerupere a
llvrrllor ;l asLfel a produc(lel.

!"!"#"!" %&'()'*+,( -(.(/'*0)* *-()'*.*/+'( ,+ )*1(, '(2)*/
La nivel tehnic, scopul este identificarea defectiunilor significante n asigurarea
bunurilor necesare pentru ntreprindere sau organiza"ie.
Bunurile care sunt asigurate ar putea fi:
- Bunuri fizice:
o Bunuri obi#nuite pentru orice ntreprindere (spa"iu pentru birouri, echipament
pentru birouri, telefoane #i faxuri, alt echipament mai specific, etc.);
o Bunuri IT (servere, sta"ii de lucru, re"ele de date, etc.);
o Bunuri documentare n general, #i cele specifice pentru sarcin! sau activitate;
o Bunuri pentru comunicare (po#ta, re"ele de telefonie, etc.).
- Bunuri soft:
o Date (fi#iere, baze de date, elemente de referin"! specifice cerin"elor activit!"ii);
o Programe (software de baz!, aplica"ii, etc.)
- Resurse umane #i bunuri:
o Personalul necesar (competen"!, delegare #i decizii, etc.).
Tipurile clasice de defec"iuni sunt pierderea disponibilit!"ii, sau a integrit!"ii sau a
confiden"ialit!"ii.
La fel ca pentru defec"iunile la nivel func"ional, #i din acelea#i motive, este deseori util s!
se descrie consecin"ele poten"iale, pentru a n"elege mai bine gravitatea acestora.
Defec!iunile tehnice identificate astfel vor fi descrise n ceea ce prive"te degradarea
care ar putea avea loc la nivelul bunurilor folosite de c#tre proces, "i al consecin!elor unei
astfel de degrad#ri.
loloslnd exemplul anLerlor al Lrezorerlel, ob(lnem:
4'5'$%&"#' 6)#7'$&#%'
8aza de daLe a Lrezorerlel lndlsponlbll
ManagemenLul bazel de daLe a Lrezorerlel
lndlsponlbll
lnLrzlerl ale pl(llor in conLurl, care lmpllc o
lncapaclLaLe de a plLl furnlzorll, care la rndul el duce la
inLreruperea llvrrllor ;l a produc(lel.

MLPA8l 2010
Not#:
Exemplul folosit accentueaz! multiplicarea rezultatelor. O defec"iune dat! poate, efectiv,
s! fie exprimat! fie la nivel func"ional sau la nivel tehnic. Totu#i, descrierile la nivel tehnic pot
avea mai multe consecin"e, #i vor fi mai pu"in durabile deoarece depind de tehnologiile care sunt
folosite. Este de aceea preferabil s! se dea prioritate descrierilor la nivel func"ional.

=2=2= CB;)1')*
Aici ar putea folosit! din nou o abordare foarte sistematic!, pe baza unei analize a
procesului #i a imagin!rii tuturor .devia"iilor. posibile din proces #i sub-procese: rezultate
incoerente, ntrzieri n (sau absen"a) rezultate, indiscre"ie, etc.
Experien"a arat! c! un nivel corespunz!tor al responsabilit!"ii n organiza"ie va identifica
rapid principalele defec"iuni printr-o abordare mai global!, care se reduce la a-i ntreba pe
manageri de ce se tem cel mai mult sau care este cea mai mare grij! a lor.
La nivel func"ional, ei cunosc procesul critic foarte bine. La nivel tehnic, chiar dac! nu
pot face o list! exhaustiv! cu aplica"iile #i bazele de date folosite, pot cu siguran"! s! le descrie
global folosind termeni generici care vor fi de ajuns (.plat!., pentru acele programe #i aplica"ii
implicate, de exemplu).
Descrierea defec!iunilor, fie la nivel func!ional sau tehnic, poate fi constituit# astfel
prin interviuri individuale, dup# cum s-a men!ionat anterior, cu managerii diferitelor activit#!i
din ntreprindere sau organiza!ie.

=2D C+'.0(' E0(*.;) 1* A*<,)04'4*F *>'.,')*' G)'>046H00 1*?*<H0,+0.;)
01*+40?0<'4*
A treia faz! n determinarea sc!rii de valori a defec"iunilor vrea s# evalueze gravitatea
defec!iunilor identificate anterior. Pentru a face asta, o scar! standard a gravit!"ii ar trebui
folosit! ca referin"!.

=2D2: 9<')' G)'>046H00
MEHARI identific! 4 nivele de gravitate. Acestea sunt notate de la 1 la 4. Defini"iile lor
generale sunt descrise mai jos:

Nivelul 4: Vital
La acest nivel, riscul poten"ial este foarte grav, #i chiar #i existen"a #i supravie"uirea
entit!"ii (sau cel pu"in una din principalele sale activit!"i) este n pericol.
Dac! o astfel de defec"iune ar avea loc, ar privi ntreaga for"! de munc!, #i ar putea crede
c! slujbele lor sunt n pericol.
Pentru organiza"ii, precum serviciile publice, ale c!ror func"ie nu poate fi pus! la
ndoial!, acest nivel al gravit!"ii ar putea conduce la un transfer la alt departament
guvernamental, sau la sectorul privat.
Pentru companiile comerciale, #i n termeni financiari, merit! luat n considerare faptul c!
o astfel de defec"iune ar genera pierderi de a#a nivel nct ac"ionarii s-ar retrage (#i ar rezulta n
sc!deri drastice n pre"ul ac"iunilor).
n medicina uman!, acest lucru ar fi echivalent cu un accident sau o boal! extrem de
grav!, sau unde doctorii s-ar ab"ine s! se pronun"e.
MLPA8l 2010
Anallza mlzelor de securlLaLe sl ghldul de claslflcare 1u CLuSll 2010
Dac! organiza"ia supravie"uie#te unei astfel de defec"iuni, ar exista consecin"e grave #i
durabile.

Nivelul 3: Foarte grav
Aceste defec"iuni sunt considerate foarte grave la nivelul entit!"ii, de#i viitorul s!u nu ar
fi supus riscului.
La acest nivel al gravit!"ii, ntreg personalul (sau, cel pu"in, o mare parte) este preocupat
de condi"iile de lucru #i rela"iile sociale, dar slujbele lor nu sunt supuse riscului.
n termeni financiari, acest lucru ar avea un impact foarte negativ asupra profiturilor
pentru acea perioad!, de#i nu s-ar nregistra o retragere masiv! a ac"ionarilor.
n ceea ce prive#te imaginea public!, acest nivel de defec"iune d!uneaz! deseori imaginii
organiza"iei n a#a m!sur! nct ar dura mai multe luni pentru a o reface, chiar dac! impactul
financiar nu poate fi evaluat precis.
Accidentele care duc la luni ntregi de dezordine organiza"ional! pentru o ntreprindere ar
fi #i ele evaluate la acest nivel.

Nivelul 2: Grav
Defec"iunile de la acest nivel ar avea un impact clar asupra opera"iunilor entit!"ii, a
rezultatelor ei sau a imaginii, dar sunt controlabile global.
Doar o parte limitat! din personal ar fi implicat! n rela"iile cu consecin"ele defec"iunii,
cu un impact semnificativ asupra condi"iilor lor de munc!.

Nivelul 1: Nesemnificativ
La acest nivel, orice daun! care ar rezulta nu ar avea un impact semnificativ asupra
rezultatelor sau imaginii entit!"ii, chiar dac! unii membri ai personalului sunt foarte implica"i n
restabilirea statului ini"ial.

=2D2= 7)04*)00.* 1*?*<H0,+00 I0 @)'G,)0 1* <)040<'.04'4*F )*(,.4'4* *.*E*+4')*
Defec"iunile identificate nu au neap!rat o singur! #i unic! gravitate. Dimpotriv!, n multe
cazuri defec"iunile trebuiesc caracterizate de unul sau mai mul"i parametri care sunt esen"iali
pentru nivelul de gravitate.
De exemplu, o ntrziere n terminarea unui proces este o defec"iune a c!rei gravit!"i ar
depinde de obicei de ntrzierea cantitativ! #i de num!rul de oameni asupra c!rora ntrzierea a
avut un impact.
Pentru fiecare defec!iune, ar trebui defini!i parametrii semnificativi, cu valorile
pragului care
mut# defec!iunea de un nivel al gravit#!ii la altul.
Criteriile criticalit!"ii #i pragurile lor corespondente vor permite astfel evaluarea gravit!"ii
fiec!rei defec"iuni, de la defec"iunea care are un impact minimal, la una care este vital! pentru
entitatea n discu"ie.
Ca un exemplu, #i folosind studiul de caz de mai devreme, defec"iunea ar produce
urm!torul tabel:

MLPA8l 2010
4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&
2
8&2'/"/ ;
<+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
lncapaclLaLea de a men(lne
conLurlle dln banc
aprovlzlonaLe corespunzLor,
deoarece bazele de daLe ale
Lrezorerlel nu sunL dlsponlblle.
uuraLa: mal pu(ln
de 4 ore
uuraLa: inLre 4
ore ;l 2 zlle
uuraLa: mal mulL
de 2 zlle

=2D2D CB;)1')*
Identificarea criteriilor defec"iunilor #i evaluarea pragurilor criticalit!"ii vor fi realizate n
timpul interviurilor cu managerii opera"ionali din ntreprindere. n timpul aceluia#i interviu
(avnd durata ntre 60 #i 90 de minute) va fi definit! #i activitatea, precum #i identificarea
poten"ialelor defec"iuni, #i determinarea criticalit!"ii ca func"ie a parametrilor semnificativi.
Rezultatele elementare ale fiec#rui interviu vor consta deci ntr-o descriere a acestor
activit#!i, o descriere a poten!ialelor defec!iuni, "i o evaluare a nivelului lor de gravitate.

=2J 9<')' 1* >'.;)0 ' 1*?*<H0,+0.;)
Va fi realizat! apoi o compila"ie a diferitelor rezultate pentru fiecare activitate.
Un exemplu par"ial este ar!tat mai jos, pentru o activitate HR.
4'5'$%&"#'
8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/ ;
<+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/ ?
@&01/
lalslflcarea daLelor de
plaL, conducnd la fraud
lerderea < 0.1 Mt lerderea inLre
0.1 Mt & 1 Mt
lerderea
inLre 1 ;l 10
Mt
lerderea >
10 Mt
uezvlulrea lnforma(lllor
personale
uezvlulrea salarlulul
unul anga[aL
uezvlulrea
LuLuror salarlllor
anga[a(llor
uezvlulrea
repeLaL a
salarlllor
LuLuror
anga[a(llor

laLa Lrzle a salarlllor lnLrzlere < 2 zlle lnLrzlere inLre 2
;l 13 zlle
lnLrzlere
> 13 zlle

ulsLrugerea daLelor de
baz foloslLe penLru plaLa
salarlllor (calcule &
parameLrl)
5Lergerea daLelor
recenLe (dln ulLlma
lun)
5Lergerea
daLelor dln
anul anLerlor
5Lergerea
LuLuror
daLelor, ;l a
urmelor
lsLorlce

Dup! ce s-a examinat astfel fiecare activitate, compilarea rezultatelor va oferi sc!ri de
valori a defec"iunilor pentru fiecare activitate, #i la nivel global, corporativ al organiza"iei sau
companiei.
Scara de valori rezultant! reprezint! doar o compilare documentar! a tuturor tipurilor de
defec"iuni #i pragurile lor critice, #i poate fi v!zut! ca un pas de formalizare.
Experien"a a demonstrat c! compilarea tuturor tipurilor de defec"iuni, #i pragurile lor critice, pot
scoate la iveal! discrepan"e care nu ar fi v!zute la nivelul activit!"ilor individuale.
Un pas de consolidare este deci necesar.
MLPA8l 2010
n orice caz, orice concluzii sau obiecte de ac"iune care pot fi deduse din scara de valori,
sau o folosesc, vor fi luate n serios doar dac! scara de valori reflect! un adev!rat consens al
opiniei managerilor entit!"ii.
Este de aceea foarte recomandat s# existe o discu!ie adev#rat#, "i s# se caute un
consens al opiniilor privind scara de valori, cu acordul managementului asupra ei.
Rezultatul final va fi o scar# de valori a defec!iunilor validat#.
Un exemplu complet este dat n Anexa 1.
D2 7.'A0?0<')*' 0+?;)E'H0*0 I0 ' B,+,)0.;) 'K,464;')*

Scara de valori a defec"iunilor este rezultatul principal al analizei mizelor de securitate.
Ea este direct legat! de activit!"ile #i procesele fundamentale ale ntreprinderii sau organiza"iei.
Acestea fiind spuse, mecanismele de analiz! a riscului, #i anumite abord!ri mai
sistematice folosite pentru alegerea solu"iilor sau construirea planurilor de ac"iune, necesit! ca
defec"iunile (exprimate ini"ial n termeni dependen"i de activitate) s! fie reformulate n termeni
tehnici lega"i de sistemul informa"ional, n cel mai larg sens al cuvntului. Exemple sunt:
pierderea confiden"ialit!"ii a anumitor baze de date, indisponibilitatea unui server dat, etc.
Aceast! reformulare const! n definirea sc!rii de valori sub forma unei clasific!ri.
Aceast! formulare complementar! const! n:
- Identificarea bunurilor care trebuiesc clasificate (informa"ii, componentele sistemului
informa"ional, aparate, etc.).
- Calificarea fiec!rui bun ca o func"ie a:
- Modului n care ar putea produce o defec"iune identificat!
- Gravit!"ii care rezult!.
Clasificarea sau estimarea informa"iei #i a bunurilor ajut!toare "inte#te s! produc!
etichete care pot fi puse pe fiecare bun astfel nct persoanele care folosesc bunul s! fie
informate de importan"a acestuia n securitate.

D2: %1*+40?0<')*' *.*E*+4*.;) <')* >;) ?0 <.'A0?0<'4*
Toate bunurile ar putea fi clasificate individual, fie c! sunt informa"ionale sau elemente
ajut!toare (precum site, elemente de procesare, sau re"ea #i comunicare).
n practic!, este mai eficient s! se grupeze informa"iile, obiectele, sau bunurile care au
roluri asem!n!toare, #i care necesit! acela#i tip #i nivel de protec"ie. Deci, o aplica"ie #i uneltele
sale asociate, un set de tabele cu baze de date, etc., vor fi deseori grupate mpreun! din motive de
clasificare.
Nu toate obiectele care pot fi identificate ntr-o entitate ar trebui clasificate individual.
Acestea ar trebui grupate. Aceste grupuri de informa!ii "i bunuri sunt cele care vor fi
clasificate.
Oricum, este practic #i eficient s! se fac! distinc"ia ntre:
Elementele #i bunurile care sunt legate n mod deosebit de procese sau domenii de
activitate date, pe de o parte;
Elemente de infrastructur! #i servicii comune, folosite de diferite domenii de activitate,
pe de alt! parte.

MLPA8l 2010
Anallza mlzelor de securlLaLe sl ghldul de claslflcare 1S CLuSll 2010
D2:2: %1*+40?0<')*' *.*E*+4*.;) .*G'4* 1* @);<*A*.* 1* '?'<*)0
Pentru acele elemente #i bunuri care sunt legate de procesele de afaceri sau domenii de
activitate, este recomandat s! se nceap! cu o list! a proceselor sau activit!"ilor (sau aplica"iilor
IT).Acestea ar trebui unite n grupuri omogene, dup! cum s-a explicat mai sus. Pentru fiecare
proces, aplica"ie sau domeniu de activitate, ar trebui identificate bunurile care trebuiesc
clasificate.
Asa cum este formulat in MEHARI: Concepte fundamentale si specificatii functionale,
bunurile identifcate trebuie sa corespunde cu cerintele organizatiei si apartin unor 3 categorii:
- Serviciile ( fie generale sau in legatura cu ITC);
- Datele necesare pentru ca serviciile sa functioneze;
- Procesele transversale fie in conformitate cu o reglementare sau pentru managementul
securitatii insusi.
Aceste bunuri sunt denumite bunuri primare iar o tipologie este listata mai jos:
Bunuri din categoria Servicii
- Servicii de retea
- Servicii de aplicatii
- Obisnuite/Servicii partajate de birou
- Servicii de sistem obisnuite: emailing, arhivare, printare, editare etc
- Servicii pentru interfata cu utilizatorul siperiferice ( pc, imprimante locale, interfate
specifice etc)
- Servicii de telecomunicatii( voce, fax, video-conferinte etc)
- Servicii obisnuite pentru atmosfera de lucru a personalului ( birouri, alimentarea cu
energie, aer conditionat etc)
- Servicii clasice de mail
Bunuri din categoria Data
- Fisiere de date sau baze de date asociate aplicatiilor
- Schimb de date, ecrane, date individuale sensibile
- Fisiere legate de birou
- Informatii scrise sau printate disponibile utilizatorilor si arhive personale
- Mail (clasic sau electronic) si faxuri
- Arhive
Bunuri din categoria procese de management
- Procese legate de legi, regularizari si cerinte contractuale
- Procese pentru managementul securitatii informatiilor
Bunurile primare corespund cerintelor organizatiei si la acest nivel va trebui evaluata importanta
acestor cerinte, acest nivel va fi folosit pentru evaluarea nivelului de risc. Aceste bunuri trebuie
clasificate.
Cunostinte de baza MEHARI 2010 furnizeaza 3 tabele, numite T1 pana la T3, si un exemplu
pentru completarea lor este propus mai jos:
MLPA8l 2010

Tabel 1 Clasificarea valorilor tip data

Tabel 2 Clasificarea valorilor tip servicii

MLPA8l 2010
Tabel 3 Clasificarea proceselor de management
D2:2=2 %1*+40?0<')*' *.*E*+4*.;) .*G'4* 1* @;.040<' 1* A*<,)04'4* ' <;E@'+0*0
Este posibil intotdeauna ca anumite servicii obisnuite sa nu fie identificate ca si elemtene
critice in timpul analizei proceselor afacerilor.Totusi, ar putea fi critice (intr-o mai mica sau mai
mare masura) pentru intreprindere sau organizatie ca un tot.

Acesta ar cazul in care, de exemplu, ele ar putea influeta planificarea sau dezvoltarea
strategiei IT, sau cand ele ar putea avea impact asupra imaginii profesionale a organizatiei sau
suportului ei de servicii, fie intern fie extern.
Aceste servicii comune ar trebui identificate si clasificate, doar pentru procesele afacerii
mentionate mai sus, permitand o privire corporativa asupra cerintelor de securitate.

D2= 7)04*)00.* 1* <.'A0?0<')*
Pierderea disponibilit!"ii, integrit!"ii, sau a confiden"ialit!"ii unui bun poate avea
Conse
cin"e opera"ionale #i de afaceri care trebuiesc evaluate. Tabelele de mai sus trebuiesc completate
cu o valoare (de la 1 la 4) pentru fiecare tip de bun #i criteriu.
Pentru printuri, de obicei doar confiden"ialitatea este luat! n discu"ie. Totu#i, pentru
documentele scrise #i arhive, disponibilitatea poate fi ad!ugat! la confiden"ialitate .
Pentru servicii, principala preocupare o reprezint! pierderea disponibilit!"ii sau a
integrit!"ii .Totu#i, confiden"ialitatea poate reprezenta #i ea o preocupare pentru anumite aplica"ii
care ofer! avantaj competitiv pentru entitate.
Pentru respectarea legilor,reglementari sau cerinte contractuale, criteria de clasificare E
(eficienta) se aplica, asa cum este exemplificat in tabelul T3.

D2D2 5);<*A,. 1* <.'A0?0<')*
D2D2: 7.'A0?0<')*' B,+,)0.;) <')* A@)0K0+6 @);<*A*.* 1* '?'<*)0
Pentru fiecare grup! de bunuri care sprijin! procesele de afaceri sau un domeniu de
activitate, va fi realizat! o analiz! pentru a determina dac! o pierdere a confiden"ialit!"ii ar putea
conduce la una sau mai multe posibile defec"iuni, #i, dac! acesta este cazul, la ce nivel al
defec"iunii. Dac! din pierderea confiden"ialit!"ii pentru un bun ar putea rezulta mai multe
defec"iuni poten"iale, este re"inut cel mai nalt
nivel al acestora (pe o scar! de la 1 la 4) pentru criteriul de confiden"ialitate.
Acela#i lucru este valabil pentru alte criterii (disponibilitatea #i integritatea) care rezult!,
pentru fiecare grup! de bunuri identificat!, ntr-o valoare a clasific!rii pentru fiecare criteriu
(Disponibilitate, Integritate Confiden"ialitate).
Scopul clasific!rii este astfel de a defini, pentru grupurile de bunuri identificate,
etichete care vor ar!ta nivelurile consecin"elor unei pierderi a disponibilit!"ii, integrit!"ii sau
confiden"ialit!"ii pentru fiecare clas! de bunuri.

MLPA8l 2010
D2D2=2 7.'A0?0<')*' B,+,)0.;) .' +0>*. <;)@;)'40>
Deasemenea, pentru o viziune a corporatiei, este necesara asumarea consecintelor unei
degradari a bunurilor independent de fiecare domeniu de afaceri individual.

MLPA8l 2010
J2 7;+A4),0)*' 4'B*.,.,0 0E@'<4,.,0 0+4)0+A*<

n timpul procesului MEHARI de analiz! a riscului, este introdus! no"iunea de impact
intrinsec al unui scenariu. Aceasta reprezint! evaluarea consecin"elor producerii unui scenariu de
risc independent de orice m!suri de securitate.
Mai exact, baza de cuno#tin"e MEHARI se refer! la un tabel al impactului intrinsec, care
poate fi completat cu informa"ii din tabelele de clasificare discutate mai devreme.
Procesul pentru completarea automata a tabelului impactului intrinsec beneficiaza de
tabelele clasificarii bunurilor (T1 pana la T3) care au fost definite si descrise in sectiunea
precedenta.
L2 9?'4,)0 @)'<40<*
L2: 5,+<4* 0E@;)4'+4* <')* 4)*B,0*A< .,'4* M+ <;+A01*)')* M+ <)*')*' A<6)00 1*
>'.;)0
L2:2: 7;+<*+4)'H0/>6 'A,@)' 'A@*<4*.;) <*.;) E'0 <)040<*
Este important s# v# concentra!i asupra principalelor defec!iuni "i nu s# ncerca!i s#
lua!i n considerare fiecare scenariu de risc posibil.
Primul scop al securit!"ii, indiferent de abordarea folosit!, este cel de a evita producerea
problemelor grave sau foarte grave. Acestea reprezint! riscuri care trebuie, de aceea, s! fie
identificate #i examinate.
Acesta este motivul pentru care este foarte recomandat ca managementul de top #i cei
responsabili pentru o activitate dat! s! fie implica"i direct n procesul de evaluare. Nu ar trebui
delegat niciodat! unui delegat.
n practic!, pentru fiecare activitate, cel mai bine este s! se concentreze un num!r mic de
defec"iuni critice (de obicei ntre 3 #i 8).

L2:2= -N<.,1*)*' <;+4);'.*.;) *N0A4*+4*
n al doilea rnd, dar la fel de important, defec"iunile care par imposibile la prima vedere
nu ar trebui ignorate. Este ntlnit prea des cazul n care managementul alung! din minte
producerea poten"ial! a unui accident care ar putea pierde toate datele importante, prin pretextul
c! datele sunt computerizate #i deci arhivate de c!tre sistemul IT. Defec!iunile, "i gravitatea lor,
ar trebui identificate "i evaluate f#r# a lua n considerare controalele de securitate existente,
chiar dac# acele m#suri sunt implementate solid. Altfel, acest lucru ar putea conduce la
concluzia c! nimic nu este supus riscului, #i c! controalele de
securitate nu sunt necesare, #i deci pot fi scoase din calcul.
De asemenea, natura mai mult sau mai pu!in probabil# a unui eveniment care conduce
la defec!iune nu ar trebui luat# n considerare n timpul acestei faze a abord#rii.

MLPA8l 2010
L2:2D 7;+A0A4*+H' 1*?*<H0,+0.;) 1* 10?*)04* 40@,)0
Un alt punct important n determinarea criteriilor #i a pragurilor critice este de a men"ine
o consisten"! ntre diferite tipuri de defec"iuni care au nivele de gravitate echivalente.
Cu acest scop n minte, este recomandat s! se defineasc! axe strategice care pot fi folosite
ca referin"! pentru a asigura consisten"a nivelelor de gravitate pentru diferite defec"iuni.
Una din axele de evaluare poate fi financiar!. Astfel, echivalentele financiare ar fi c!utate
pentru fiecare tip de defec"iune. De asemenea, o ax! de serviciu pentru public ar reprezenta
referin"a pentru compararea impactului individual, m!rimea popula"iei etc.

L2:2J CA@*<4* A4)'4*G0<* I0 1* .,')* ' 1*<0(00.;) '.* A<6)00 1* >'.;)0
Deseori, gravitatea unor defec"iuni nu poate fi evaluat!. Acest lucru ar putea fi din cauz!
c! consecin"ele indirecte sunt greu de identificat, sau din cauz! c! este prea greu s! evaluez!
serios eficien"a ac"iunilor care ar putea fi realizate n situa"ia dat!.
n unele situa!ii, gravitatea defec!iunii poate fi rezultatul unei simple decizii.
Nu exist# o evaluare formal# ci o decizie strategic# pentru ntreprindere sau
organiza!ie care spune c# o defec!iune dat# ar trebui considerat# ca fiind grav#, foarte grav#,
sau vital#.

L2= 5,+<4* 0E@;)4'+4* M+ 40E@,. <.'A0?0<6)00
Mai nti, este important s! se grupeze corespunz!tor bunurile cu scopurile similare
pentru a nu trebui s! se analizeze cantit!"i mari de obiecte.
Un bun punct de plecare este gruparea aplica!iilor n domenii.
n al doilea rnd, este recomandat s! se planifice un pas de consolidare #i validare la
nivelul fiec!rei entit!"i, precum #i pentru scara de valori.

L2D $0E04* @*+4), <.'A0?0<')*
n mod clar, procesul care a fost descris, fie el crea"ia sc!rii de valori sau clasificarea, se
pliaz! unei entit!"i cu independen"! decizional! #i propriile sale scopuri. Aceasta ar putea fi
afiliat! (na"ional sau regional) unui grup de corpora"ii, sau unei unit!"i de afaceri, sau unui
serviciu opera"ional sau func"ional cu o responsabilitate bine definit!.
Scara de valori a defec"iunilor #i clasificarea informa"iilor #i a bunurilor care sunt definite
pentru o entitate sunt evident valabile pentru acea entitate. Totu#i, care este valoarea lor n afara
acelei entit!"i?
Prin defini!ie, clasificarea definit# pentru o entitate reprezint# mijlocul de a mp#r!i "i
comunica sensibilitatea unui bun care apar!ine acelei entit#!i. Aceast# clasificare este valabil#
n ntreprindere.
De fapt, aceasta este o regul! a schimbului de elemente (mai ales informa"ii) ntre entit!"i.
Dac! o entitate A (o agen"ie mic!, de exemplu) consider! c! confiden"ialitatea informa"iei este
vital!, #i o clasific! ca atare, nu este posibil ca entitatea B (sediul central de exemplu) s!
regndeasc! clasificarea #i s! decid! c! informa"ia nu este sensibil!. Dac! s-ar permite ca lucrul
din urm! s! aib! loc, atunci entitatea A ar trebui s! decid! s! nu transmit! informa"ii entit!"ii B.
Aceast! no"iune de limite ale valabilit!"ii pentru clasificare este deosebit de important! n
managementul securit!"ii pe baza unei reguli stabilite numite Cadrul de referin"! n securitate.
MLPA8l 2010
n exemplul de mai sus, precau"iile sau controalele de securitate care vor fi aplicate ca
func"ie a clasific!rii sunt cunoscute. Ar fi stupid ca o entitate s! protejeze informa"iile aliniate la
un nivel al clasific!rii #i ca alte entit!"i s! aplice alte reguli de protejare pentru aceea#i
informa"ie. n mod deosebit, ar fi periculos pentru o alt! entitate s! decid! de una singur! c!
informa"ia nu trebuie protejat! la nivelul hot!rt de o alt! entitate.

L2J 5.'+,)0 1* '<H0,+*
Aici, vom acoperi construirea planurilor de securitate direct din analiza mizelor.
Totu#i, merit! observat faptul c! interviurile individuale care contribuie la crearea sc!rii
de valori, mpreun! cu o #edin"! a managementului, n care sunt discutate cele mai grave
defec"iuni, ar trebui s! dea na#tere la planuri de ac"iune urgente. Orice manager ar fi frustrat s!
petreac! timp cu o analiz! #i identificare a vulnerabilit!"ilor, doar ca s! afle c! nu reiese nimic de
aici.
Ar trebui, deci s# fie ntocmit un plan de ac!iune pentru ac!iunile cele mai urgente.
Acest lucru ar trebui poate discutat "i aprobat ntr-o "edin!# a managementului, imediat dup#
ce analiza mizelor este terminat#.

MLPA8l 2010
Anallza mlzelor de securlLaLe sl ghldul de claslflcare 2u CLuSll 2010

C+*N' :F -N*E@., '. ,+*0 A<6)0 1* >'.;)0 OM+4)*@)0+1*)* 0+1,A4)0'.6P
9A B1#1>':'#0"/ 5&#1#%'/)+ -& 1/ C">'0"/"&

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/ ;
<+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
!"#$%#$# '"()(*")$+ lerdere < 1 Mt lerdere inLre 1
Mt ;l10Mt
lerdere inLre 10 ;l
100 Mt
lerdere >
100 Mt
,$)-%+ .)- %#/)0"%)$# lraud sau delapldare in achlzl(lonarea ;l
plaLa corespondenL sau in
managemenLul llvrrll.

1(*)0)*"2)2#) %# ) ')*2-$)
3-(-$"/# /"4$)2#
lncapaclLaLea global
de a facLura penLru o
perload de mal pu(ln
de o spLmn
lncapaclLaLea
global de a facLura
penLru o perload
cuprlns inLre o
spLmn ;l o lun.
lerderea
lnforma(lllor prlvlnd
llvrrlle efecLuaLe
inLr-o zl.
lncapaclLaLea
global de a facLura
penLru o perload
mal mare de o lun.

lerdea compleL a
dovezll llvrrll
penLru o inLreag
spLmn.

5#'#*6"-(#) 0$7*#.-/-" %#
8#8#(27 )/ */"#(6"/7$
lndlsponlblllLaLea
Lemporar a
slsLemulul de
memenLo.
lndlsponlblllLaLe
a pe Lermen lung
a slsLemulul de
memenLo.

;A (0+10'>&' D E#F&$1%&& >'#'+1/' D B1#1>':'#0 -& "+:3+&+'

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/
; <+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
5#94+/-"$#) %)2#/7$ .)- )
"('7$8)6""/7$ 0$"4"(% 0/)(-$"/# 0#
2#$8#( /-(: .)- *#/# .2$)2#:"*#;
uezvlulrea
planurllor pe
Lermen lung ale
unul aflllaL.
uezvlulrea
bugeLulul
uezvlulrea
rapoarLelor
lunare
uezvlulrea
evolu(la sLraLeglc

uezvlulrea
planurllor pe
Lermen lung
consolldaLe ale
inLreprlnderll

1(%".07("3"/"2)2#) )()/"9#"
$#9-/2)2#/7$ .)- ) .".2#8-/-"
"(2#$( %# $)07$2)$#
lndlsponlblllLaLea
procesulul de
raporLare lunar
lncapaclLaLea de a
face rapoarLe sau
anallza rezulLaLelor
penLru mal mulL de
2 lunl

MLPA8l 2010
<7$-0#$#) %)2#/7$ %# $)07$2)$# ="
) $)07)$2#/7$ /-()$#
Coruperea daLelor elemenLare sau
lnforma(ll mrlLe pe baza unor daLe
elemenLare.

=A 4'.2)/01+'1 151$'+&& D :1#1>':'#0"/ $/&'#0"/"&

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/
; <+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
5#94+/-"$#) "('7$8)6""/7$ 0$"4"(%
70#$)6"-("/# %# %#947/2)$# )
)')*#$""
uezvlulrea noLelor ;l sumarelor
dlrecLorllor prlvlnd dezvolLarea afacerll

5#94+/-"$#) *7(%"6""/7$ '"()(*")$# 5#94+/-"$#) *7(%"6""/7$
'"()(*")$# .0#*"'"*#
-(-" )(-8"2 */"#(2
5#94+/-"$#)
%7*-8#(2#/7$
.2$)2#:"#" %#
'">)$# ) 0$#6-/-"
5#94+/-"$#)
*7(%"6""/7$
'"()(*")$# 0#(2$-
276" */"#(6"";

5#94+/-"$#) "('7$8)6""/7$ %#.0$#
*/"#(2
5#94+/-"$#) -(7$
#/#8#(2# )/# 3)9#" %#
"('7$8)6"" ) */"#(6"/7$
5#94+/-"$#)
"('7$8)6""/7$
%#.0$# 276"
*/"#(6""

?A 6'+$'01+' -& F'.2)/01+'

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/
; <+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
5#94+/-"$#) "('7$8)6""/7$ 2#?("*# uezvlulrea
modelelor de
slmulare
uezvlulrea
buleLlnelor Lehnlce
curenLe
uezvlulrea
lnforma(lllor
despre
speclflca(llle sau
procedurlle
lnLerne ;l despre
evolu(la curenL
uezvlulrea
buleLlnelor Lehnlce in
cazurl excep(lonale
uezvlulrea
lnforma(lllor asupra
lmpacLulul evolu(lel
Lehnlce, rezulLnd in
inchlderea unlL(llor.

@(*+/*)$#) )*7$%-$"/7$ %#
*7('"%#(6")/"2)2#
lnclcarea
acordurllor de
conflden(lallLaLe cu
parLenerll
lnclcarea acordurllor
de conflden(lallLaLe
cu furnlzorll chele de
Lehnologle

MLPA8l 2010
!"#$%#$#) #>0#$2"9#" lerderea arhlvelor a
memorandumurllor
;l a buleLlnelor
Lehnlce prlvlnd
dezvolLarea Lehnlc.

GA B1#1>':'#0"/ *+)$'7"/"& &#F"70+&1/ D H+)&'$0' *'#0+" '2)/"%&' I J#0+'%&#'+'

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/
; <+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
!"#$%#$#) )$?"4#/7$ %#
%7*-8#(2# ) 0$7"#*2-/-" %#
#47/-6"#
!"#$%#$#) %7*-8#(2)6"#"
2#?("*# 0#(2$- #*?"0)8#(2-/
#>".2#(2
lerderea arhlvelor
prolecLulul pe duraLa
de vla( a prolecLulul.
lerderea coplllor in
orlglnal a planurllor
echlpamenLulul care
au fosL aprobaLe de
cLre auLorlL(lle
compeLenLe.
lerderea LoLal a
arhlvelor pe Lermen
lung prlvlnd
echlpamenLul ;l
modlflcrlle fcuLe
la acesLa.

5#'#*6"-(# *)$# *7(%-*# /)
'7/7."$#) 0/)(-$"/7$ %# "(.2)/)$#
"(*7$#*2# A( 2"80-/ #47/-6"#" ="
)*2-)/"9+$"/7$
Lrorl in, sau
schlmbrl la
planurlle de
lnsLalare exlsLenLe,
sau defec(lunea
managemenLulul
de schlmbare.

5#94+/-"$#) "('7$8)6""/7$ 2#?("*# uezvlulrea Lemelor
de munc ;l a
programulul de
cerceLare a pre-
prolecLulul
uezvlulrea LuLuror
dosarelor pre-
prolecLulul (lncluslv
pozl(lonarea
sLraLeglc a
prolecLulul)

1(%".07("3"/"2)2#) -(#/2#/7$ %#
8)():#8#(2 )/ 0$7"#*2-/-"
lndlsponlblllLaLea
unelLelor lnLerne de
planlflcare
lndlsponlblllLaLea
unelLelor de
managemenL al
ordlnll penLru mal
pu(ln de o
spLmn
lndlsponlblllLaLea
unelLelor de
managemenL al
ordlnll penLru
prolecL penLru mal
mulL de o
spLmn

MLPA8l 2010
5#'#*6"-(# A( 8)():#8#(2-/ %#
A(2$#6"(#$#
lerderea bazel de
daLe a ac(lunll de
inLre(lnere
planlflcaLe
lndlsponlblllLaLea
unelLelor de
managemenL al
inLre(lnerll penLru
mal pu(ln de o lun
lerderea daLelor
Lehnlce ;l lsLorlce
necesare penLru
planlflcarea
inLre(lnerll
lndlsponlblllLaLea
unelLelor de
managemenL al
inLre(lnerll penLru
mal mulL de o lun
Schlmbrl ale
parameLrllor
unelLelor de
managemenL al
inLre(lnerll

MLPA8l 2010
=> H+)F"$%&' -& /&2+1+' I K)>&70&$3

4'5'$%&"#' 8&2'/"/ 9 8&2'/"/ ; 8&2'/"/ = 8&2'/"/ ?
8'7':#&5&$10&2 <+12 !)1+0' >+12 @&01/
nlcl un fel de
produc(le penLru
mal mulL de o
spLmn
!$7%-*6") 70$"2+ B("*" -( .".2#8 (-
#.2# %".07("3"/C 0"#$%#$#) -(-"
#/#8#(2 *$"2"*D

nlcl un fel de
produc(le penLru o
perload inLre 1
spLmn ;l 1 lun.
lerderea unul
elemenL crlLlc,
conducnd la
plerderea produc(lel
penLru mal pu(ln de
1 lun.

nlcl un fel de
produc(le inLre 1 ;l 3
lunl.

lerderea unul
elemenL crlLlc,
conducnd la
penLru o perload
inLre 1 ;l 3 lunl
roduc(la oprlL
penLru mal mulL de 3
lunl.

lerderea unul
elemenL crlLlc,
conducnd la
penLru mal mulL de
3 lunl.

E(#/2#/# %# 8)():#8#(2 )/
0$7%-*6"#" "(%".07("3"/#
unelLele de
managemenL al
produc(lel
lndlsponlblle penLru
mal pu(ln de o
spLmn
unelLele de
managemenL al
produc(lel
o perload cuprlns
inLre o spLmn ;l
o lun
unelLele de
managemenL al
produc(lel
mal mulL de o lun

<7$-0#$#) -(#/2#/7$ %# 8)():#8#(2
)/ 0$7%-*6"#" .)- ')/."'"*)$#)
0)$)8#2$"/7$ %# 8)():#8#(2

Modlflcarea
managemenLulul de
produc(le conducnd
la neconformlLaLea
produselor

Modlflcarea
managemenLulul de
produc(le conducnd
la accldenLe sau la
deLerlorarea unelLelor
de produc(le
1(*)0)*"2)2#) %# ) ).":-$) /7:".2"*)
0#(2$- /"4$)$#) 0$7%-.#/7$

lncapaclLaLea de a
aslgura llvrrlle
crlLlce penLru mal
pu(ln de o
spLmn

lncapaclLaLea de a
aslgura llvrrlle
crlLlce penLru mal
mulL de o
spLmn

MLPA8l 2010

LA M'/1%&&/' $" *3+%&/' 0'+%' N1/0'/' F'$O0 $):'+$&1/'P

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/ ;
<+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
5#94+/-"$#) "('7$8)6""/7$
).-0$) $#9-/2)2#/7$ *7$07$)6"#"
ubllcarea
premaLur a
rezulLaLelor unul
aflllaL
ubllcarea
premaLur a
conLurllor
consolldaLe

5#'#*6"-(# A( 0$7*#.-/
0#(2$- *7(.7/"%)$#)
*7(2-$"/7$ )(-)/#
lnLrzlere in
publlcarea conLurllor
de mal pu(ln de 2
spLmnl
lnLrzlere in
publlcarea
conLurllor de mal
mulL de 2
spLmnl
lerderea LoLal a
LuLuror elemenLelor
flnanclare necesare
penLru producerea
conLurllor anuale

5#94+/-"$#) (72#/7$ .)- )
8#87$""/7$ 0$"4"(% $".*-$"/#C
70#$)6"-("/# .)- 8#*)(".8#/#
'".*)/#
uezvlulrea noLelor sau a memorlllor prlvlnd rlscurlle,
opera(lunlle sau mecanlsmele flscale in func(le de con(lnuLul
noLel sau al memorlulul

!"#$%#$#) #/#8#(2#/7$ ".27$"*#
*)$# F-.2"'"*+ 7 70#$)6"-(#
'".*)/+
lerderea elemenLelor lsLorlce care [usLlflc o opera(lune flscal
!/)2) 2G$9"# ) 2)>#/7$ ="
"8079"2#/7$
lndlsponlblllLaLea
unelLelor de calcul
a pl(ll Laxelor

!"#$%#$#) %7*-8#(2#/7$ 7'"*")/#
.)- ) )$?"4#/7$
lerderea
auLorlza(lllor
oflclale penLru
a opera
lerderea
documenLelor
oflclale sau a
arhlvelor care sunL
ceruLe dln puncL de
vedere legal de
cLre procedurlle
admlnlsLraLlve
(Laxe, exporL)

MLPA8l 2010

?> B1#1>':'#0"/ +'$/1:1%&&/)+ D 17*'$0' /'>1/' -& *'#1/'

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&
2
8&2'/"/
; <+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
5#94+/-"$#) 0$73#/7$ .)-
)$:-8#(2#/7$ /#:)2# %# 7
$#*/)8)6"#;
uezvlulrea
o reclama(le in curs.
uezvlulrea lnforma(lllor prlvlnd
o reclama(le excep(lonal.

5#94+/-"$#) ) 0+$6" %"(2$H7
#>0-(#$# 0#()/+ 0$"4"(%
0#$.7()/-/
uezvlulrea a pr(l
dlnLr-o expunere
penal curenL
uezvlulrea a pr(l
dlnLr-o expunere
penal in
clrcumsLan(e
excep(lonale

!"#$%#$#) .)- %".0)$"6")
7$":"()/#/7$ -(7$ %7*-8#(2#
lerderea sau
dlsparl(la conLracLelor
orlglnale
lerderea sau
dlsparl(la
orlglnalelor unor
acordurl speclflce,
declara(ll de
lnLen(le, eLc.

QA B1#1>':'#0"/ RM

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&
2
8&2'/"/
; <+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
5#94+/-"$#) "('7$8)6""/7$ 0#$.7()/# uezvlulrea
salarlulul unul
anga[aL
uezvlulrea
salarlllor inLreg
personalulul
uezvlulrea
repeLaL a salarlllor
inLreg personalulul

@(2G$9"#$" /) 0/)2) .)/)$""/7$ lnLrzlere < 2 zlle lnLrzlerl inLre 2 ;l
13 zlle
lnLrzlerl > 13 zlle
5".2$-:#$#) %)2#/7$ %# 3)9+
0$"4"(% 0/)2) .)/)$""/7$ B*)/*-/# ="
0)$)8#2$"D
5Lergerea daLelor
recenLe (nu mal vechl
de o lun)
5Lergerea daLelor
penLru inLregul an
5Lergerea LuLuror
daLelor, lncluslv a
daLelor lsLorlce

MLPA8l 2010

9SA (&70':"/ &#5)+:1%&)#1/

4'5'$%&"#' 8&2'/"/ 9
8'7':#&5&$10&2
8&2'/"/ ;
<+12
8&2'/"/ =
!)1+0' >+12
8&2'/"/
? @&01/
1(%".07("3"/"2)2#) $#6#/#" =" )
.#$4#$#/7$ B%)2# *78-(# ="
0#$.7()/#D
lndlsponlblllLaLea
penLru mal pu(ln de o
lun
lndlsponlblllLaLea
penLru mal mulL de
o lun

1(%".07("3"/"2)2#) .".2#8-/-" %# #H
8)"/
lndlsponlblllLaLea
slsLemulul de e-mall

1(%".07("3"/"2)2#) $#6#/#" %#
2#/#'7("#
lndlsponlblllLaLea
re(elel de Lelefonle

!"#$%#$#) )$?"4#/7$ lerderea
serverelor de daLe,
sau a arhlvelor de
e-mall

<$#)$#) "/"*"2+ ) %$#02-$"/7$ %#
)%8"(".2$)$# ).-0$) .".2#8-/-"
Coruperea
Labelulul
drepLurllor de
acces ;l crearea
drepLurllor de
admlnlsLrare

5#94+/-"$#) "('7$8)6""/7$
%#.0$# .".2#8 .)- )$?"2#*2-$+
uezvlulrea
rapoarLelor
dlrecLorllor sau a
lnforma(lllor
deLallaLe prlvlnd
securlLaLea
slsLemulul ;l
slblclunl
necorecLaLe.

MLPA8l 2010

C+*N' =F Q'B*.,. %E@'<4,.,0 %+4)0+A*<

1abelul lmpacLulul lnLrlnsec

@/A+BCB 3B-0/D/34.// E-1+BF.G /6DF.2-H//BF. I/ -B 3F2JF6+61+BF. E+ /6D.-01.C31C.4 % ' 8
410' -& &#5)+:1%&&
u01 ll;lere de daLe sau baze de daLe accesaLe de apllca(ll
u02
ll;lerele ;l daLele offlce comune
u03
ll;lere offlce personale (pe C, echlpamenLe eLc.)
u04
lnforma(ll ;l daLe scrlse sau prlnLaLe psLraLe de
uLlllzaLorl ;l arhlve personale

u03
LlsLrl sau documenLe prlnLaLe
u06
Mesa[e Lrlmlse, screen vlew-url, daLe lndlvlduale senslblle
u07
o;La elecLronlca
u08
Scrlsorl sl mesa[e fax (posLal)
u09
uocumenLe sau arhlve paLrlmonlale foloslLe ca dovezl
u10
Arhlve l1
u11
uaLe ;l lnforma(ll publlcaLe pe slLe-url publlce sau lnLerne

@1/)+& 7'+2&$&& % ' 8
;+.A/3// K+6+.-B+

C01
SpaLlul de lucru al uLlllzaLorulul sl medlul de lucru
3
C02
Servlcll de LelecomunlcaLll (voce, fax, audlo & vldeoconferlnLa eLc.)
3 2
;+.A/3// 'L 0/ E+ .+1+-
801 Servlcll de reLea exLlnse 3 3
802
Servlcll LAn
3 3
S01 Servlcll furnlzaLe de apllcaLll 3 3 4
S02
Servlcll comune de blrou (servere,managemenL documenLe, lmprlmanLe comune
eLc.)

3 3
MLPA8l 2010

S03 LchlpamenLe la dlspozlLla uLlllzaLorllor (sLaLll de lucru, lmprlmaLe locale, perlferlce,
lnLerfeLe speclflce eLc.)
nC1A: se apllca ln cazul plerderllor maslve, nu doar la caLlva uLlllzaLorl
3
S04 Servlcll comune, medlul de lucru: mesagerle, lmprlmare, arhlvare, edlLare eLc. 3 2
S03 Servlcll de edlLare web (lnLerne sau publlce) 3 2

@1/)+& F' 0&* *+)$'7' F' :1#1>':'#0 T
M.F3+0+ E+ 2-6-7+2+61 J+61.C 3F6DF.2-.+- B+7-B4 I/ .+7B+2+61-.4
C01
Conformarea la legl ;l reglemenLrl prlvlnd proLec(la vle(ll prlvaLe
C02
Conformarea la legl ;l reglemenLrl prlvlnd comunlcarea flnanclara
C03
Conformarea la legl ;l reglemenLrl prlvlnd conLrolul flnanclar dlglLal
C04
Conformarea la legl ;l reglemenLrl prlvlnd drepLurlle de proprleLaLe lnLelecLual
C03
Conformarea la legl ;l reglemenLrl prlvlnd proLec(la slsLemulul lnforma(lonal
C06 Conformarea la legl ;l reglemenLrl prlvlnd punerea in perlcol a personalulul ;l a
slguran(el publlce ;l a medlulul

MLPA8l 2010
Anallza mlzelor de securlLaLe sl ghldul de claslflcare Su CLuSll 2010

'6 0J/./1CB E/0+2/6-.//

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
11, rue de Mogador
75009 Paris France
! 01 53 25 08 80
clusif@clusif.asso.fr

www.clusif.asso.fr

MEHARI 2010 Analiza Mizelor Si Ghidul de Clasificare

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MEHARI 2010 Analiza Mizelor Si Ghidul de Clasificare

Uploaded by

Copyright:

Available Formats

"#$%&' ()*)

Analiza mizelor de securitate si ghidul de clasificare

You might also like