Analiza riscurilor 2 - Securitatea Informatica

Analiza riscurilor 2

Abstract: The problem of risks and methods of minimizing the risks are examined in this work. First of all we would like to view some ideas like: What does the term “the risks” mean and some ideas on this topic. Two of many standards ISO 17799 and C RAMM are examined in this work.

Riscul este evenimentul capabil (în cazul producerii) sa exercite o influenţă asupra desfăşurării proiectului. Riscurile există în toate proiectele, dar nu neapărat se produc. Majoritatea experţilor sunt de părerea: cu cat mai degrabă va fi stabilit pericolul potenţial, cu atât mai mult timp va rămâne ca echipa de proiectanţi să-l neutralizeze sau să minimizeze pierderile. Majoritatea companiilor activitatea cărora ţine de elaborarea de proiect a produselor-program (PP), alcătuiesc propriile clasificatoare de riscuri, bazate atât pe cunoştinţele teoretice, cât şi pe experienţa de realizare a proiectelor.

În cele mai dese cazuri, complexitatea factorilor de risc este divizată convenţional în obiectivi şi subiectivi. La factorii obiectivi raportăm: modificarea datelor iniţiale condiţiilor Beneficiarului, furnizarea întârziată a utilajului, precum şi circumstanţele de forţă majoră. La rândul lor, factorii subiectivi caracterizează relaţiile reciproce dintre Beneficiar şi echipa de proiectanţi, deci tot ceea ce se referă la aşa-numitul «factor uman».

O altă variantă de clasificare a riscurilor este categorisirea lor în cele interne şi externe. Aceasta modalitate este utilizată pentru definirea simplificată a pericolelor potenţiale şi a măsurilor de contracarare a acestora. Pe de o parte, sunt formate riscurile ce ţin de activitatea firmei-proiectante, iar, pe de alta parte, – riscurile la care este supus Beneficiarul. Schema prezentată se complică şi în cazul în care firma-proiectant transmite o parte din lucrări unei terţe organizaţii de subantrepriză. În această situaţie apare terţa parte şi respectivele riscuri ce nu trebuie trecute cu vederea.

Altă modalitate ar putea fi repartizarea riscurilor în două grupuri: evaluabile si neevaluabile. Anume riscurile neevaluabile creează obstacole managementului de proiect. Impactul sau consecinţele riscului reprezintă influenţa riscului produs asupra posibilităţii de realizare a unor componente anumite ale planului. Impactul se referă, de regulă, la costul, graficul şi caracteristicile tehnice ale produsului elaborat. Spre exemplu, la elaborarea PP, impactul riscului poate avea ca efect necorespunderea produsului exigenţelor Beneficiarului, ba mai mult ca atât – el poate deveni de-a dreptul inutil. Impactul adeseori parcurge o perioadă latentă – din momentul apariţiei riscului până la apariţia modificării rezultante în sistem. Pentru evaluarea impactului riscului sunt, de regulă, utilizate unităţi convenţionale ori scara calitativa (spre exemplu, impactul neglijabil, neesenţial, esenţial, mare, catastrofal). Pentru lucrul cu riscurile pozitive se impune extinderea scării în mod corespunzător.

Depistarea riscurilor proiectelor AP, poate fi convenţional divizată în câteva categorii:

  1. Riscurile tehnice ce ţin de elaborarea noilor soluţii, ori de modificarea celor vechi în legătură cu necesitatea de a spori productivitatea, ori de a obţine o funcţionalitate principial nouă
  2. Riscurile de program ce ţin de achiziţionarea ori de utilizarea PP ale terţelor firme (dacă aceasta achiziţie nu este supusa unui control cuvenit din partea elaboratorilor sau conducătorilor proiectului).
  3. Riscurile la etapa însoţirii sistemului, inclusiv cele ce ţin de amplasarea PP la Beneficiar, deservire, instruire etc.
  4. Riscurile valorice ce ţin de sporirea cheltuielilor ori de problemele finanţării proiectului.
  5. Riscurile temporale, ce ţin de necesitatea de a accelera elaborarea în virtutea unor circumstanţe de ordin extern.

CRAMM (Risk Analysis and Management Method) în anul 1985, Agenţia Centrală pentru Calculatoare şi Telecomunicaţii (CCTA) din Marea Britanie a desfăşurat cercetări în domeniul procedeelor efective de administrare a securităţii informaţionale pentru emiterea recomandărilor de utilizare a acestor metode în organizaţiile guvernamentale în cadrul cărora este efectuată procesarea informaţiei. Nici un procedeu examinat nu a fost recunoscut suficient de util. Atunci s-a procedat la elaborarea metodei CRAMM, iar în baza ei – a metodicii respective cu aceeaşi denumire (CRAMM: analiza şi controlul riscurilor), corespunzătoare cerinţelor CCTA. Apoi au apărut câteva versiuni ale metodicii, orientate spre cerinţele diferitelor organizaţii şi structuri de stat şi comerciale. Una din versiunile de profil „comercial” a fost înalt apreciată pe piaţa mijloacelor de protecţie a informaţiei. Scopurile principale ale metodicii CRAMM sunt:

  • formalizarea şi automatizarea procedurilor de analiză şi administrare a riscurilor;
  • optimizarea cheltuielilor pentru mijloacele de control şi protecţie;
  • planificarea şi administrarea complexă a riscurilor la toate etapele ciclului vital al sistemelor informaţionale;
  • reducerea timpului pentru elaborarea, şi însoţirea sistemului corporativ de protecţie a informaţiei;
  • argumentarea eficienţei măsurilor de protecţie propuse şi a mijloacelor de control;
  • administrarea modificărilor şi a incidentelor;
  • menţinerea continuităţii businessului;
  • luarea deciziilor operative privind administrarea securităţii etc.

Valoarea resurselor

Metodica permite determinarea valorii resurselor. Acest pas este obligatoriu în varianta deplină a analizei riscurilor. Valoarea resurselor fizice în acest procedeu este determinată de preţul restabilirii în caz de distrugere. Valoarea datelor si a produselorprogram este stabilită în următoarele situaţii:

  • inaccesibilitatea resursei pe parcursul unei perioade mari de timp;
  • distrugerea resursei-pierderea informaţiei primite după ultima copiere de rezervă ori distrugerea ei completă;
  • încălcarea confidenţialităţii în cazurile accesului nesancţionat al colaboratorilor titulari ori a persoanelor străine;
  • examinarea modificării pentru cazurile când personalul admite mici erori (erorile introducerii), erori de program, erori premeditate;
  • erorile ce ţin de transmiterea informaţiei: refuzul de transportare, netransportarea informaţiei, transportarea pe o adresă incorectă.

Pentru evaluarea unui posibil prejudiciu, sunt propuse următoarele criterii:

  • prejudicierea reputaţiei organizaţiei;
  • încălcarea legislaţiei în vigoare;
  • prejudicierea sănătăţii personalului;
  • prejudiciul cauzat de divulgarea datelor personale ale unor persoane aparte;
  • pierderile financiare ca rezultat al divulgării informaţiei;
  • pierderile financiare în legătură cu restabilirea resurselor;
  • pierderile în legătură cu imposibilitatea onorarii angajamentelor;
  • dezorganizarea activităţii.

Această totalitate de criterii este utilizată în varianta comercială a metodei (profilul Standard). În alte versiuni totalitatea va fi alta, spre exemplu, în versiunea utilizata în cadrul instituţiilor guvernamentale sunt adăugaţi parametrii ce reflecta asemenea domenii ca securitatea naţională şi relaţiile internaţionale. Deosebit de utilă este aplicarea mijloacelor instrumentale de tipul metodei CRAMM la efectuarea analizei riscurilor sistemelor informaţionale cu exigenţe sporite în domeniul SI. Aceasta permite obţinerea evaluări argumentate a nivelurilor existente, şi a celor admisibile ale pericolelor, vulnerabilităţilor, eficienţei protecţiei.

Concluzie: În final relatăm că ambele standarde funcţionează foarte bine şi sunt recunoscute pe plan internaţional. Cu ajutorul acestor standarde putem minimiza cu mult riscurile posibile.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro