Home - Rasfoiesc.com
Educatie Sanatate Inginerie Business Familie Hobby Legal
Doar rabdarea si perseverenta in invatare aduce rezultate bune.stiinta, numere naturale, teoreme, multimi, calcule, ecuatii, sisteme




Biologie Chimie Didactica Fizica Geografie Informatica
Istorie Literatura Matematica Psihologie

Informatica


Index » educatie » Informatica
» Model cantitativ de evaluare a riscurilor in sistemul informatic


Model cantitativ de evaluare a riscurilor in sistemul informatic


Model cantitativ de evaluare a riscurilor in sistemul informatic

Riscurile sistemului informatic sunt urmarea:

Vulnerabilitatilor sistemului determinata de:

accesibilitatea la sistem prin aceasta intelegand accesul fizic si accesul la retea;

numarul de utilizatori ai sistemului;

solutiile tehnice implementate.



Complexitatii:

organizatiei;

sistemului informatic prin aria de cuprindere, functiile sistemului si solutiile IT utilizate.


Ciclului de viata a sistemului:

fiecarei etape din ciclul de viata ii sunt specifice anumite riscuri;

- perenitatea sistemului informatic determina o crestere a
riscurilor legate de exploatare.

Nivelului de incredere oferit de:

controlul intern;

nivelul de pregatire a personalului;

calitatea managementului;

climatul de munca existent.

Calitatii documentatiei existente:

- completitudinea documentatiei;

- masura in care s-a realizat o actualizare permanenta a documentatiei.

Pentru fiecare risc identificat pot fi specificate trei niveluri de risc si anume: scazut, mediu si mare fiind necesara precizarea factorilor care determina respectivul nivel de risc.

În urma evaluarii unui sistem informatic pot fi identificate urmatoarele riscuri:

Riscul asociat accesului fizic

NIVEL RISC

DESCRIERE

MARE

Resursele informationale sunt accesibile tuturor angajatilor.

MEDIU

Resursele informationale sunt in birouri organizate cu acces limitat de personal.

SCAZUT

Resursele informationale sunt in zona cu acces strict controlat.

Riscul asociat retelei de comunicatii13

NIVEL RISC

DESCRIERE

MARE

Sistem conectat la reteaua publica.

MEDIU

Sistem conectat    la retea privata. Comunicarea cu exteriorul cu linii dedicate.

SCAZUT

Nici o conexiune cu mediul exterior.

Nivel de vulnerabilitate

Numar de utilizatori autorizati

RISCUL ACCESIBILITATII

MARE

MEDIU

SCAZUT

Majoritatea utilizatori autorizati

MARE

MARE

MEDIU

50 % utilizatori autorizati

MARE

MEDIU

SCAZUT

Numar limitat de utilizatori autorizati

MEDIU

SCAZUT

SCAZUT

Riscul complexitatii organizationale

MARE

Erorile din sistem afecteaza intreaga organizatie

MEDIU

Erorile din sistem afecteaza anumite compartimente

SCAZUT

Erorile din sistem afecteaza un compartiment.

Riscul functiilor sistemului14

MARE

Functii multiple ce se intersecteaza

MEDIU

Functii multiple independente

SCAZUT

Sistemul realizeaza o singura functie.

Riscul asociat personalului

MARE

Personalul nu a fost verificat inainte de angajare si nici in prezent

MEDIU

Personalul este verificat imediat dupa angajare

SCAZUT

Personalul este verificat inainte de angajare.

Sursa : https://www.itandit.org/memberana/form/newitanditor/F213.na.htm

14www.Palisade.com

Riscul asociat personalului de specialitate

MARE

0 singura persoana se ocupa de tot sistemul

MEDIU

Exista 2-3 persoane ce asigura functionarea si intretinerea sistemului

SCAZUT

Exista mai mult de 3 persoane implicate in functionarea sistemului.

Riscul asociat managerilor

MARE

Nici o preocupare a managerilor

MEDIU

Manageri preocupati numai de securitatea sistemelor

SCAZUT

Manageri implicati activ si constant in asigurarea securitatii ca urmare a evenimentelor produse in trecut.

Riscul asociat ciclului de viata

MARE

Sistem implementat de cel mult un an si durata de viata este de cel putin 20 ani.

MEDIU

Sistem cu durata de viata mai mare de 4 ani.

SCAZUT

Sistem cu durata de viata intre 1- 4 ani.

Riscul asociat documentatiei

MARE

Nu exista documentatie.

MEDIU

Documentatia exista, dar nu reflecta realitatea din sistem.

SCAZUT

Documentatia este actualizata si este disponibila.

Trebuie subliniat faptul ca la ora actuala exista produse software specializate in evaluarea riscurilor. Dintre acestea amintim:

https://computers.software-directory.com

RISK

Cu functia de simularea riscurilor.

BUDDY SYSTEM

Asigurand desfasurarea unei analize a securitatii si managementul riscurilor.

RISK PAC

Sistem expert pe baza de chestionar.

Pierderile cauzate de riscurile prezentate de un sistem informatic pot consta din:

fraude produse prin intermediul sistemului

divulgarea neautorizata a informatiilor

furtul de echipamente si informatii

distrugerea fizica a echipamentelor

distrugerea unor fisiere continand date

intreruperi ale procesarii datelor etc.

Pierderile inregistrate de organizatie ca urmare a producerii riscurilor aferente sistemului informatic pot fi anticipate. Determinarea acestor pierderi potentiale trebuie facuta tinandu-se seama de urmatoarele elemente:

impactul unor riscuri in planul pierderilor cauzate poate fi mare, dar probabilitatea producerii unor astfel de riscuri este mai redusa (exemplu: producerea unui cutremur);

pierderile cauzate de producerea unui anumit risc sunt de valori medii, dar frecventa de producere a acestor amenintari este mare;

pierderile pot fi ocazionale;

pot exista atacuri asupra sistemului informatic, dar acestea sa nu conduca la producerea de efecte negative (exemplu: detectarea la timp a unor incercari de intruziune in sistem).

Pierderea determinata de producerea unui anumit risc poate fi exprimata valoric prin calcularea indicatorului pierdere anticipata anualizata (PAA) care reprezinta valoarea medie a pierderii estimata la nivelul unui an calendaristic.

Dar fiecare amenintare prezinta o anumita rata de aparitie probabila la nivelul unui an calendaristic si acest lucru va trebui sa fie luat in calculul PAA. Mai trebuie sa avem in vedere faptul ca pentru fiecare pereche activ-amenintare putem determina un factor de vulnerabilitate calculat ca raport intre pierderea curenta generata de o singura producere a riscului si valoarea totala a pierderilor potentiale aferente unui anumit bun. Factorul de vulnerabilitate va lua valori in intervalul [0, 1].

Rezulta ca pierderea anticipata anualizata (PAA), determinata pentru un anumit bun ca urmare a producerii unei anumite amenintari se va putea determina astfel:

PAA = RA x PP x FV unde:

RA = rata aparitiei

PP = pierderea potentiala

FV = factor de vulnerabilitate

Valoarea totala a pierderilor anticipate la nivelul unui an calendaristic este data de formula :

PATA = PAAi unde:

PATA = pierderea anticipata totala anualizata

i = perechea bun - amenintare pentru care s-a calculat PAA.

O alta posibilitate de evaluare a impactului riscurilor poate fi data de formula:

Risc = Amenintari x Vulnerabilitati x Impacturi.

In acest caz, se pleaca de la o clasificare cantitativa15 a celor trei factori determinanti ai riscului (A, V, I):

Risc mare = 3

Risc mediu = 2

Risc redus = 1

Risc inexistent = 0

Rezulta ca impactul determinat al riscului este curpins in intervalul [0, 27]. Exemplu :

- Riscul furtului unui calculator (PC) care nu are stocate in hard-discul local date sau aplicatii importante poate fi:

Risc = 3x1x1=3=» risc mediu

Am precizat valoarea 3 la amenintare deoarece accesul fizic la calculator nu este controlat corespunzator.

- Daca insa datele stocate local ar prezenta importanta deosebita:

Risc = 2x3x3 = 18=> risc mare

Am precizat valoarea 2 la amenintare considerand ca solutiile de securitate asigura un risc mediu.


Problema prezentata, intr-o alta abordarea intr-un capitol anterior.

Vulnerabilitatea si impactul au. valoarea 3 datorita faptului ca datele stocate local prezinta importanta deosebita.





Politica de confidentialitate





Copyright © 2024 - Toate drepturile rezervate