Managementul Riscului Asupra Informatiilor Clasificate din Ministerul Apararii
LUCRARE DE LICENȚĂ
LUCRARE DE LICENȚĂ
Managementul riscului asupra informațiilor clasificate din minnisterul apărării
CUPRINS
INTRODUCERE
CAPITOLUL I – DELIMITĂRI CONCEPTUALE, STRUCTURI ȘI RESPONSABILITĂȚI
DE CE ESTE NECESAR UN MANAGEMENT AL RISCURILOR?
1.1 CONCEPTE DE BAZĂ ALE MANAGEMENTULUI RISCURILOR DE SECURITATE
1.2 ROLUL, LOCUL ȘI IMPORTANȚA MANAGEMENTULUI RISCULUI DE SECURITATE ÎN DOMENIUL MILITAR
1.3PLANIFICAREA ȘI FINANȚAREA
1.3.1 Planificarea
1.3.2 Responsabilitatea și autoritatea militară
1.3.3 Finanțarea
CAPITOLUL II – FUNCȚIILE MANAGEMENTULUI DE RISC
2.1 PRINCIPIILE MANAGEMENTULUI DE RISC ÎN DOMENIUL MILITAR
2.2 FUNCȚIILE DE BAZĂ ALE MANAGEMENTULUI RISCULUI DE SECURITATE
2.3 MANAGEMENTUL RISCULUI INTEGRAT AL RISCURILOR DE SECURITATE LA ADRESA INFORMAȚIILOR CLASIFICATE
CAPITOLUL III – STRUCTURA PROCESULUI DE MANAGEMENT AL RISCULUI DE SECURITATE
3.1 DEFINIREA MANAGEMENTULUI DE RISC CA PROCES
3.1.1 Definirea Politicii de Securitate a Informațiilor
3.1.2 Definirea Abordării Evaluării Riscului
3.2.3 Inițierea Evaluării Riscului
3.2.4 Managementul (Administrarea) Riscului
3.2.5 Selectarea Mecanismelor
3.2.6 Pregătirea Formulei de Aplicabilitate
3.2.7 Aprobarea conducerii
3.2.8 Importanța documentației
CAPITOLUL IV – PREZENTAREA UNEI METODE DE ANALIZĂ A RISCULUI ASUPRA INFORMAȚIILOR CLASIFICATE DIN MINISTERUL APĂRARII NAȚIONALE
4.1METODE ȘI ABORDĂRI RECOMANDATE ANALIZĂ
4.2METODOLOGIA DE DETERMINARE A RISCULUI DE SECURITATE
4.3 DESCRIEREA APLICAȚIEI DE CALCUL AL RISCULUI DE SECURITATE LA ADRESA INFORMAȚIILOR CLASIFICATE
BIBLIOGRAFIE
ANEXE
INTRODUCERE
Trăim intr-o lume nesigură in care riscul este prezent in orice domeniu economic,social,politic,militar sau informațional .Se pune problema riscului deoarece prezența inevitabila a acestuia aduce consecințe care nu pot fi intotdeauna prevazute sau anticipate.Ultimele decenii evidențiază o evoluție în aprecierea noțiunilor de risc și incertitudine prin creșterea progresivă a situațiilor de risc și de incertitudine, utilizarea tot mai intensă a resurselor științei în procesele de studiu al riscului, precum și ca urmare „a amplificării și diversificării pe care aplicațiile și tehnicile de analiză a riscului le-a generat în cadrul mediului social, în natură sau la nivelul fiecărei organizații”.
Abordările raționaliste ale procesului decizional se sprijină pe analiza unor cantități masive de informații în cadrul proceselor de management al riscurilor de securitate. Informațiile de valoare nu garantează decizii de valoare, însă informații fără valoare mai mult ca sigur generează decizii fără valoare, cu excepția situațiilor marcate de șansă. ”În prezent și în viitor, trecerea rapidă la forme infocratice ale organizației plasează informația în centrul organizației; granițele organizaționale continuă să se estompeze pe măsură ce alianțele și rețelele se concentrează în jurul grupelor comune de nevoi – inclusiv informaționale. Acoperirea dată de informația solicitată de diferiți beneficiari cu drepturi depline într-o astfel de alianță infocratică devine tot mai largă, adâncă și complexă” .
Există noi puncte de vedere în cadrul organizațiilor, noi modele și metafore care transcend abordările de tipul soluționării problemelor managementului și deciziilor manageriale. Deși teoriile și instrumentele pentru luarea deciziilor abundă, totuși valoarea și succesul relativ al oricărei decizii particulare se poate determina doar prin prisma istorică și contextul în care s-a aplicat respectiva decizie.
Organizațiile, inclusiv cele militare, au trecut de-a lungul timpului prin mai multe etape de evoluție care, în cele din urmă, au dus la crearea și formarea celor existente în prezent, pe tipuri și misiuni în concordanță cu scopul general al existenței lor.
Saltul decisiv în modernizarea organizației a fost făcut în momentul apariției sistemelor informaționale, care reprezintă instrumentele principale cu ajutorul cărora se desfășoară toate activitățile importante din viața unei organizații. Totodată, sistemele informaționale joacă un rol important în abordarea și desfășurarea proceselor de management al riscului de securitate, cu ajutorul cărora se poate realiza evaluarea în timp real a amenințărilor și vulnerabilităților și luarea oportună a unor decizii juste.
Sistemele informaționale și organizațiile se influențează reciproc. Pe de o parte, sistemele informaționale trebuie aliniate cu organizația pentru a putea furniza informațiile necesare către principalele grupuri de activități ale acesteia. Pe de altă parte, organizația trebuie să conștientizeze și să fie complet receptivă la influențele generate de sistemele informaționale, pentru a putea beneficia din implementarea noilor tehnologii. Din punct de vedere comportamental, organizația reprezintă o colecție de drepturi, privilegii, obligații și responsabilități aflate într-un echilibru delicat pe perioadele de timp dintre conflicte (și rezolvarea acestora) ce se produc între membrii săi. Organizațiile sunt entități legale formale, cu reguli și proceduri interne, care trebuie să respecte legile în vigoare. Acestea mai reprezintă și structuri sociale, deoarece sunt o colecție de elemente sociale, tot așa cum un mecanism are o structură ce se constituie dintr-un set specific de elemente ce intră în interacțiune spre îndeplinirea destinației sale.
Caracteristicile structurale ale organizațiilor sunt definite prin: diviziunea clară a muncii, ierarhie, reguli și proceduri explicite, judecată imparțială, standarde tehnice pentru fiecare loc de muncă, eficiență organizațională maximă.
Sistemele informaționale sunt instrumente cheie pentru desfășurarea activităților în deplinătatea cunoștințelor necesare, dar și pentru identificarea schimbărilor externe de interes ce ar putea necesita un răspuns din partea organizației pe care aceștia o conduc. În general, mediile se schimbă mult mai repede decât organizațiile. Principalele motive pentru eșecurile organizațiilor sunt incapacitatea acestora de a se adapta la un mediu rapid schimbător și lipsa de resurse, influența, uneori distructivă, a elementelor exterioare acesteia.
Sistemele informaționale au devenit parte integrantă, interactivă și profund implicată în operațiunile și procesul decizional din marile organizații. Continua lărgire a rolului sistemelor informaționale în organizații a impus și o serie de schimbări în infrastructura IT a acestora. Pe măsură ce costurile tehnologiilor de sisteme informaționale scad, acestea înlocuiesc munca ce reprezintă, istoric vorbind, un cost în creștere.
În societățile postindustriale, autoritatea se sprijină, din ce în ce mai mult, pe cunoaștere și competență, forma organizațiilor având tendința de „aplatizare”, lucrătorii profesioniști având o tendință spre autoconducere. În context, procesul decizional ar trebui să devină mai descentralizat, pe măsură ce cunoașterea și informațiile sunt din ce în ce mai larg răspândite. Sistemele informaționale sunt, inevitabil, implicate și în politica organizațională deoarece influențează accesul la o resursă esențială – informația. Datorită faptului că sistemele informaționale au potențialul schimbării structurii organizației, a culturii, politicii și muncii în cadrul acesteia, se constată o rezistență considerabilă atunci când se încearcă implementarea acestora în organizație.
O concluzie posibilă în etapa de demarare a dezideratelor societății informatice – societatea cunoașterii, este aceea că analiza de vulnerabilitate și risc trebuie considerate cu precădere. Se afirma recent că ,,…a aștepta apariția dezastrelor este o strategie periculoasă. Acum este timpul pentru a acționa în vederea protejării viitorului nostru”.
În noua geografie a riscurilor generate de existența infrastructurilor critice în cadrul societății informatice – societatea cunoașterii este necesar să învățăm să gândim diferit asupra operabilității conceptelor de vulnerabilitate, siguranță, securitate și risc care trebuie integrate și exploatate într-un proces de management al riscurilor bine definit și adaptat obiectivelor vitale ale organizației.
CAPITOLUL I –
DELIMITĂRI CONCEPTUALE, STRUCTURI ȘI RESPONSABILITĂȚI
De ce este necesar un management al riscurilor?
Un răspuns general la această întrebare este indus de observația conform căreia atât în organizație, cât și în mediul în care aceasta acționează, există incertitudini de natura amenințărilor în realizarea obiectivelor sau de natura oportunităților. Orice manager trebuie să-și pună problema de a gestiona amenințările, deoarece, în caz contrar, neatingându-și obiectivele, s-ar descalifica, sau de a fructifica oportunitățile în beneficiul organizației, dovedindu-și eficiența. Dacă incertitudinea este o realitate cotidiană, atunci și reacția la incertitudine trebuie să devină, de asemenea, o preocupare permanentă.
Motivația generală de mai sus ar putea justifica singură necesitatea implementării managementului riscurilor, însă există și unele motivații specifice, cum ar fi:
– managementul riscurilor impune modificarea stilului de management;
– managementul riscurilor facilitează realizarea eficientă și eficace a obiectivelor organizației;
– managementul riscurilor asigură condițiile de bază pentru un control intern sănătos.
Actualele evoluții interne și internaționale în domeniul securității relevă caracterul dinamic, complex și fluid al riscurilor și amenințărilor cu impact direct asupra modului de funcționare a instituțiilor statului cu atribuții în asigurarea securității naționale și, implicit, în asigurarea securității informațiilor clasificate, ca latură a securității naționale. În acest context, ținând cont de caracterul permanent evolutiv și imprevizibil al factorilor de amenințare, o sarcină deosebit de dificilă o constituie mentinerea unei stări de securitate a organismului militar cu ajutorul unui proces de management al riscurilor de securitate.
1.1 Concepte de bază ale managementului riscurilor de securitate
Pentru a putea înțelege conceptul de management al riscului de securitate trebuie clarificată mai întâi noțiunea de risc. Numim risc „nesiguranța asociată oricărui rezultat”. Nesiguranța se poate referi la probabilitatea de apariție a unui eveniment sau la influența/efectul unui eveniment în cazul în care acesta se produce. Riscul apare atunci când:
un eveniment se produce sigur, dar rezultatul acestuia e nesigur;
efectul unui eveniment este cunoscut, dar apariția evenimentului este nesigură;
atât evenimentul cât și efectul acestuia sunt incerte.
Riscul este un concept care, din punct de vedere matematic, se leagă de calcularea unei probabilități de producere a unor evenimente viitoare cu posibile efecte negative și care este independent de valoarea procesului desfășurat. Termenul de risc își are etimologia în limba latină "riscium", dar apariția și utilizarea lui curentă sunt legate de perioada modernă. În Evul Mediu, termenul era utilizat cu precădere pentru a identifica "distrugeri" sau "pierderi". În secolul XVII, în limbajul "vernacular" (opus celui liturgic) se foloseau termenii de "rischio" sau "riezgo". Tot în același secol a început să se folosească în Anglia termenul de "risk", în sensul de "noroc" sau "neșansă" în afaceri.
Riscul poate fi analizat atât din punct de vedere cantitativ, cât si calitativ. Sub aspect calitativ, se înțelege că riscul este proporțional atât cu pierderea așteptată a se produce din cauza unui eveniment viitor, cât și cu probabilitatea producerii acelui eveniment.
Riscul este definit de multe ori și prin intermediul unor componente ale sale, cum ar fi vulnerabilitatea, pericolul, impactul sau incertitudinea. Distincția ce trebuie făcută între risc și incertitudine a fost susținută încă din anul 1921 de către Frank Knight care menționează că "incertitudinea" se atașează riscului non-cantitativ. Un alt autor, Douglas W. Hubbard, încearcă să soluționeze această diferențiere, prezentând câteva metode d, dar apariția evenimentului este nesigură;
atât evenimentul cât și efectul acestuia sunt incerte.
Riscul este un concept care, din punct de vedere matematic, se leagă de calcularea unei probabilități de producere a unor evenimente viitoare cu posibile efecte negative și care este independent de valoarea procesului desfășurat. Termenul de risc își are etimologia în limba latină "riscium", dar apariția și utilizarea lui curentă sunt legate de perioada modernă. În Evul Mediu, termenul era utilizat cu precădere pentru a identifica "distrugeri" sau "pierderi". În secolul XVII, în limbajul "vernacular" (opus celui liturgic) se foloseau termenii de "rischio" sau "riezgo". Tot în același secol a început să se folosească în Anglia termenul de "risk", în sensul de "noroc" sau "neșansă" în afaceri.
Riscul poate fi analizat atât din punct de vedere cantitativ, cât si calitativ. Sub aspect calitativ, se înțelege că riscul este proporțional atât cu pierderea așteptată a se produce din cauza unui eveniment viitor, cât și cu probabilitatea producerii acelui eveniment.
Riscul este definit de multe ori și prin intermediul unor componente ale sale, cum ar fi vulnerabilitatea, pericolul, impactul sau incertitudinea. Distincția ce trebuie făcută între risc și incertitudine a fost susținută încă din anul 1921 de către Frank Knight care menționează că "incertitudinea" se atașează riscului non-cantitativ. Un alt autor, Douglas W. Hubbard, încearcă să soluționeze această diferențiere, prezentând câteva metode de măsurare a riscurilor pentru fundamentarea deciziei optime în domenii în care riscurile se manifestă mai pregnant, cum ar fi proprietatea intelectuală, IT, raportul cerere-ofertă pe piața liberă ș.a. El consideră că "incertitudinea" reprezintă lipsa de certitudini și existența a mai mult decât a unei singure posibilități de decizie. Măsurarea incertitudinii se poate realiza, în opinia autorului, prin relaționarea unui "set de probabilități" la un "set de posibilități". În acest caz, riscul reprezintă o stare de incertitudine în care unele posibilități pot induce pierderi, catastrofe sau alte consecințe nedorite. Măsurarea acestui risc se poate realiza prin stabilirea cantitativă a unui set de posibilități, corelate cu un set de probabilități de tip pierdere, cuantificabile. Concluzia lui Hubbard este că "poate exista incertitudine fără riscuri, dar nu poate fi vorba de riscuri fără incertitudine". Exemplul său este formulat astfel: "putem să avem o incertitudine privind câștigarea unui concurs de către cineva, dar numai dacă am investit bani în unul dintre concurenți vom risca".
În glosarul de termeni NATO aceleași concepte sunt definite astfel:
Amenințare: o violare potențială a securității sistemului;
Vulnerabilitate: slăbiciune sau lipsă a controlului ce ar permite sau facilita acțiunea unei amenințări împotriva unui bun sau ținte specifice;
Risc: posibilitatea ca o amenințare particulară să exploateze o vulnerabilitate particulară din sistem.
În ultimii ani, toate sectoarele economice s-au concentrat pe dezvoltarea și implementarea unor procese de management al riscului, considerând că investițiile în acest domeniu reprezintă factorul decisiv în atingerea cu succes a obiectivelor organizațiilor concomitent cu protejarea intereselor beneficiarilor. În literatura de specialitate, având în vedere că riscul este incertitudinea asociată unui rezultat, se apreciază că buna gestionare a riscului de către organizație, respectiv derularea unui proces documentat și eficient al managementului riscurilor, permite acesteia să:
aibă o încredere sporită în obținerea unor rezultate dorite/așteptate;
constrângă în mod eficient amenințările la niveluri acceptabile;
ia decizii informate în legătură exploatarea oportunităților.
Conform „The Book”, principiile managementului riscului centrat pe îndeplinirea obiectivelor organizației sunt următoarele:
riscurile trebuie să fie analizate în strânsă legătură cu obiectivele;
un risc identificat poate avea semnificație pentru mai multe obiective ale organizației, iar impactul său poate varia în funcție de fiecare obiectiv în parte;
atunci când riscurile sunt identificate, trebuie avut în atenție ca impactul riscului să nu fie exprimat ca riscul în sine;
să se evite formularea unor riscuri care nu afectează obiectivele;
trebuie acordată atenție evitării definirii riscurilor prin formulări de tipul negării obiectivelor;
formularea unui risc trebuie să includă cauza impactului și impactul pe care riscul îl are asupra obiectivelor.
Conceptul de management de risc a pătruns destul de greu în mediul guvernamental și privat, și parțial, la nivel teoretic, în domeniul apărării. Cercetările de până acum din mediul militar, dar și din cel civil, au abordat doar secvențial managementul riscurilor, numai în ceea ce privește securitatea informațiilor clasificate, vehiculate prin sistemele informatice și de comunicații. Alte lucrări de cercetare au fost orientate pe managementul securității informațiilor clasificate, fără să aprofundeze și să ofere soluții viabile pentru un proces al managementului riscurilor, în toate domeniile securității informațiilor: organizare și administrare, securitate fizică, a personalului, industrială, INFOSEC, securitatea documentelor.
Pornind de la accepțiunea generală, definiția managementului riscului de securitate în domeniul protecției informațiilor clasificate necesită unele clarificări preliminare. Exista cel puțin șapte moduri/filozofii de abordare a conceptului de management al riscurilor. O definiție larg folosită este aceea că managementul de risc reprezintă un proces complex, unitar și flexibil de gestionare a riscurilor de orice tip care amenință desfășurarea normală a unui proces bazat pe utilizarea unor tehnici și instrumente complexe, pentru prevenirea pierderilor de orice natură.
Într-o altă viziune, managementul de risc este un proces continuu, bazat pe procese, metode și instrumente de gestionare a riscurilor care asigură un mediu riguros pentru un proces decizional pro-activ, prin:
evaluarea continuă a ceea ce se poate întâmpla rău (riscul);
– identificarea riscurilor care trebuie tratate prioritate;
– implementarea strategiilor de gestionare și diminuarea riscurilor;
– gestionarea riscurilor de securitate după un model adaptat cerințelor organizației.
Atât viața, cât și modelele teoretice și argumentele practice demonstrează că managementul (gestionarea în cunoștință de cauză) riscului este, în esență, o problemă de organizare a protecției împotriva principalelor amenințări: umane și financiare. Bineînțeles că spectrul amenințărilor este mult mai larg, acesta cuprinzând amenințările de natură politică, sociale, economice, ecologice, efectul tuturor manifestându-se tot prin cele două laturi principale, cea umană și cea financiară.
Figura 1. Managementul riscului
Acest aspect al riscului acțiunilor volitive directe sau indirecte nu exclude însă protecția împotriva celorlalte tipuri de amenințări, ca: accidentele de muncă, de circulație sau casnice, catastrofele naturale etc., ci evidențiază latura confruntării directe și inteligente. Se insistă, astfel, pe faptul că managementul riscului nu este numai o problemă de costuri, ci mai degrabă o disciplină complexă cu fundamente teoretice, aplicații organizatorice și practice.
În concluzie, putem defini managementul riscului ca fiind ”totalitatea acțiunilor, metodelor sau mijloacelor prin care este gestionată incertitudinea, ca bază majoră a factorilor de risc, în scopul îndeplinirii obiectivelor în cadrul activității desfășurate de organizație”. Cuvântul cheie al managementului de risc este sistematic, deoarece numai o abordare extrem de riguroasă și constantă la toate nivelurile de desfășurare ale activităților, poate conduce la un control eficient asupra activităților organizației și la reducerea factorilor de risc. De altfel, în literatura de specialitate din domeniul managementului de risc, se arată că un proces sănătos al managementului riscului și îmbunătățirea continuă a acestuia constituie semnul distinctiv al organizațiilor care obțin performanțe în medii competitive.
Totodată, managementul de risc “nu trebuie privit doar prin perspectiva singulară a unui capitol component al managementului global al organizației, datorită complexității sale situându-se în categoria selectă a științelor de graniță ce necesită în general coroborarea informațiilor din mai multe domenii: economic, tehnic, juridic, statistic și psihologic”.
1.2 Rolul, locul și importanța managementului riscului de securitate în domeniul militar
Din punct de vedere al managementului de risc, ca știință, organismul militar trebuie receptat ca fiind o organizație ce încearcă să-și eficientizeze derularea activităților specifice, în speță să ofere servicii de apărare și securitate națională cât mai performante. În acest sens, organismul militar urmărește o cât mai bună atingere a obiectivelor sale prin utilizarea managementului riscurilor.
Orice decizie în ceea ce privește realizarea unui obiectiv nou, dezvoltarea sau restructurarea organizației, antrenează un risc în obținerea rezultatelor estimate inițial datorită influenței schimbărilor ce se manifestă neîncetat dinspre mediu intern și extern, cel economic sau social. Aceste influențe, precum și existența unui mare număr de participanți la derularea activităților, fac necesară gestionarea (managementul) riscului printr-o strategie coerentă de identificare, evaluare, tratare și diminuare sau monitorizare a acestuia.
Managementul securității informației ca parte a managementului riscului organismului militar poate fi asimilat cu un ciclu continuu de patru acțiuni: „Planificare”, „Acțiune”, „Control” și „Documentare” (PACD). În cadrul acestui ciclu intrările sunt cerințele de securitate și așteptările organizației care derivă din politica de securitate, iar rezultatele obținute sunt reflectate în gradul de asigurare a securității informațiilor gestionate. Sistemul de management al securității informației (SMSI) din perspectiva modificării permanente a amenințărilor și a vulnerabilităților reflectă nevoia de adaptare continuă a politicii de securitate pentru a preveni expunerea organizației la noile riscuri de securitate.
Figura 2. Ciclul PACD.
Informația se regăsește în mai multe forme: tipărită sau scrisă pe hârtie, salvată electronic pe dispozitive de stocare, transmisă prin poștă sau prin mijloace electronice, înregistrată în cadrul unei conversații, etc. Securitatea informației trebuie să acopere toate procesele care operează cu informații, pe suport fizic sau electronic, indiferent dacă implică resurse umane și tehnologie. Securitatea informației trebuie să asigure protecția informațiilor împotriva riscurilor de pierdere, alterare, folosire necorespunzătoare, dezvăluire neautorizată, discontinuitate operațională și inaccesibilitate. Tot in domeniul securității informației intră și protecția față de riscul potențial privind răspunderea civilă sau legală cu care organizațiile se confruntă ca rezultat al unor informații incorecte, pierderi de informații sau lipsei protecției informațiilor cu caracter personal.
Este unanim acceptat că nu se poate asigura o securitate perfectă. De aceea, este nevoie ca riscurile de securitate la adresa informațiilor să fie gestionate în permanență și eficient. Produsele de securitate pot furniza o oarecare protecție, dar necesitatea și eficiența acestor produse va depinde de managementul cuvenit al securității informațiilor.
Noile realități demonstrează că este nevoie de un instrument care ar trebui să ne permită o metodă standardizată și documentată de management al riscurilor. Procesul de management al riscului trebuie să fie repetabil și să utilizeze date anterioare obținute în decursul timpului. Totodată, ar trebui ca informațiile necesare procesului să fie ușor de asimilat și aplicat de către persoane care nu au expertiză în domeniul securității informațiilor, precum și în analiza riscurilor de securitate. Este imperios necesar ca procesul de management al riscurilor să se bazeze pe criterii bine stabilite, pe efort propriu de documentare și să fie implementat la toate nivelurile organizației.
În acest context, securitatea informației trebuie să realizeze protecția față de un număr mare de amenințări, pe durata întregului ciclu de viață al informației, pentru a asigura continuitatea misiunilor, minimizarea riscurilor și maximizarea asigurării obiectivelor organizației în condiții de planificare optimă a resurselor alocate. Un obiectiv cheie al securității informației este reducerea impactului negativ asupra organizației la un nivel de risc considerat acceptabil – risc rezidual.
În cazul informațiilor clasificate, obiectivul politicii managementului riscului de securitate este de a apăra valorile informaționale ale instituției și asigurarea suportului îndeplinirii misiunilor/acțiunilor sau a activităților indiferent de natura acestora prin asigurarea următoarelor atribute informațiilor:
Confidențialitate – accesul la informație este permis numai celor autorizați;
Integritate – acuratețea și integritatea informațiilor (datelor) și metodelor de prelucrare sunt apărate, protejate;
Disponibilitatea – informațiile și valorile asociate acestora sunt accesibile utilizatorilor autorizați, la cererea, necesitatea acestora.
Figura 3. Triada confidențialitate – integritate – disponibilitate
Succesul oricărui mecanism de securitate deplin implementat în vederea protecției informațiilor clasificate depinde, în mod de indubitabil, de eficiența cu care organizațiile analizează și evaluează amenințările și vulnerabilitățile și își asumă costurile pentru desfășurarea managementului riscurilor de securitate, atât la nivel strategic, cât și la nivel operațional.
1.3Planificarea și Finanțarea
1.3.1 Planificarea
Planificarea securității informațiilor în MApN este produsul politicii SMSI și al procesului de management al riscului de securitate a informațiilor realizat de structura centrală cu responsabilități în domeniul securității informațiilor clasificate. O parte din rezultatele SMSI pot conduce la modificări (sau completări) ale Politicii SMSI, cu aspecte detaliate ce privesc comportamentul ideal de adoptat al personalului, în special. De asemenea, este necesară o concordanță între planificare și politică, iar pe măsură ce aspectele organizaționale și de finanțare sunt rezolvate, următoarea revizuire a politicii trebuie avută în vedere printr-o nouă planificare bugetară și a activităților.
Este nevoie ca securitatea informației să se adreseze atât activităților de planificare, cât și celor de luare a deciziei în perfecționarea și schimbarea mecanismelor și procedurilor utilizate. Aceasta include dezvoltarea, atât a sistemelor de securitate existente avându-se în vedere noile activități, cât și ridicarea performanțelor sistemelor de suport în cazul în care sunt utilizate SIC.
Instituirea unui program SMSI este o parte a procesului de planificare a dezvoltării sistemului.
În această etapă trebuie să fie făcute pregătirile pentru pasul următor. Acestea includ stabilirea și încadrarea cu personal bine pregătit a structurilor de securitate și definirea noului mod de abordare a riscurilor legat de procesul managementului riscului de securitate în MApN. O cheie a funcționării sistemului este însăși planificarea relaționării între responsabilitățile SMSI și cele de management al informației, ale managementului riscului de securitate și sistemelor informaționale.
1.3.2 Responsabilitatea și autoritatea militară
Responsabilitatea, autoritatea militară și inter-relaționarea personalului care are atribuții de execuție precum și de control, cu precădere pe linia managementului securității informațiilor, trebuie să fie bine definite și documentate, în special pentru categoriile de persoane care au nevoie de libertate organizațională pentru a executa una sau mai multe din următoarele activități specifice:
– identificarea acelor zone ale căror riscuri de securitate impun necesitatea unui management de securitate;
– inițierea acțiunilor de prevenire sau reducere a efectelor adverse produse de eventualele manifestări ale riscurilor de securitate;
– controlul ulterior aparițiilor riscurilor de securitate până la nivelul la care riscul devine acceptabil;
-identificarea și înregistrarea oricăror disfuncții referitoare la managementul riscului;
– inițierea, recomandarea sau furnizarea soluțiilor identificate în procesul de management al riscului prin canalele special destinate acestui scop;
– verificarea implementării soluțiilor de securitate;
– comunicarea și consultarea, pe plan intern, în cadrul MApN, sau extern, cu alte structuri cu atribuții în domeniul securității naționale, după caz, în vederea identificării de soluții viabile de aplicat în managementul riscurilor de securitate.
Securitatea informațiilor din domeniul militar este o activitate interdisciplinară și poate fi implementată prin diverse scheme organizaționale, în funcție de mărimea structurii din organica MApN și de atribuțiile specifice acesteia:
– structură centrală sau structură din compunerea categoriilor de forțe;
– structură operaționalizată sau în curs de operaționalizare;
– structură combatantă sau structură de asigurare a acțiunilor de luptă (noncombatantă);
– structură dispusă pe teritoriul național sau dislocată într-un teatru de operații.
Conform politicii cadru, responsabilitatea pentru securitatea informațiilor este atributul întregului personal al organizației militare (pornind de la comandant sau șef, după caz, ajungând la fiecare executant care are în atribuții operarea cu informații clasificate). Pentru implementarea eficace și controlul implementării securității informațiilor în cadrul MApN, toți membrii structurii de securitate își împart responsabilitățile pe domenii ale securității.
Echipa de management al securității informației (structura specializată desemnată, de securitate) îndeplinește următoarele activități de bază:
– revizuiesc și aprobă politica securității informației și responsabilitățile generale în implementarea acesteia;
– supraveghează schimbările semnificative în expunerea la amenințări a valorilor informaționale;
– revizuiesc și monitorizează incidentele de securitate;
– dezvoltă inițiative majore pentru creșterea nivelului securității informațiilor, în funcție de situația concretă.
Pentru structurile centrale, este necesară coordonarea implementării securității informațiilor printr-o structură specializată cu atribuții în acest sens. Această structură:
– stabilește rolurile și responsabilitățile specifice pentru securitatea informațiilor în cadrul MApN;
– stabilește metodologiile, procedurile și procesele specifice pentru securitatea informațiilor (ex. evaluarea riscului, ghidul de clasificare a informațiilor);
– emite și propune spre aprobare acte normative în domeniul securității informațiilor în cadrul MApN (ex. regulamente, dispoziții, instrucțiuni metodologii);
– asigură faptul că securitatea este parte a procesului de planificare a informației;
– evaluează acceptabilitatea și coordonarea implementării mecanismelor specifice de securitate a informației pentru serviciile și sistemele ce aparțin MApN;
– investighează incidentele de securitate a informațiilor în cadrul MApN și ia măsuri de reducere a acestora prin îmbunătățirea politicii de securitate;
– promovează vizibilitatea activității pentru securitatea informațiilor la nivel MApN.
Securitatea eficace necesită asumarea răspunderii și o stabilire explicită a responsabilităților pentru gestionari, furnizori și utilizatori de informații clasificate.
Politica SMSI trebuie să furnizeze o orientare generală în alocarea rolurilor în cadrul securității și responsabilităților în cadrul MApN. Unde este necesar, aceasta este suplimentată de detalierea locurilor specifice, sistemelor sau serviciilor care necesită o atenție deosebită. Responsabilitățile locale pentru bunurile individuale fizice, informaționale și pentru procesele de securitate, cum ar fi de exemplu continuitatea planificării, trebuie să fie clar definită în cadrul fiecărei structuri militare.
La nivelul fiecărei structuri se impune stabilirea unei structuri sau cel puțin a unui ofițer care să aibă în responsabilitate securitatea informațiilor în cadrul acesteia. Structura de securitate sau, după caz, Ofițerul cu Securitatea Informațiilor – OSI – trebuie să aibă autoritatea necesară pentru a avea putere de decizie și acces direct la comanda structurii când problemele necesită o rezolvare imediată și eficientă. Această structură/ofițer are responsabilități generale în identificarea metodelor, dezvoltarea procedurilor și implementarea mecanismelor de securitate pentru a susține sistemele perfect funcționale. Responsabilitatea pentru finanțare și implementare a mecanismelor este atribuită comandanților și șefilor de la toate eșaloanele din cadrul MApN, în calitate de ordonatori de credite.
Un gestionar trebuie să fie în măsură să justifice proveniența, existența și parcursul fiecărei informații clasificate, pe toată perioada de viață a acesteia. Gestionarul va fi responsabil pentru securitatea zilnică a informațiilor clasificate. Această responsabilitate poate fi delegată la nivele ierarhice, pe structuri. Oricum, gestionarul rămâne responsabilul principal pentru securitatea valorilor informaționale și trebuie să fie în măsură să determine dacă orice responsabilitate delegată a fost transmisă corespunzător (practic acest lucru se realizează pe bază de semnătură în registrele de evidență).
1.3.3 Finanțarea
Sunt situații în care nu este nevoie ca sarcinile să fie îndeplinite de mai multe persoane, necesarul de personal pentru securitatea informațiilor depinzând de mărimea structurii (unității militare) și cerințele specifice de securitate.
Comanda unității militare trebuie să asigure resursele adecvate pentru implementarea programului SMSI (atât materiale, financiare cât și umane). De asemenea, comanda trebuie să se asigure că personalul implicat în diferitele aspecte ale SMSI deține calificarea și cunoștințele necesare pentru a duce la îndeplinire cu succes sarcinile pe care le primesc.
Specialiștii proprii (de obicei ofițerul cu securitatea informației și/sau structura de securitate, în cazul în care există) furnizează recomandări personalului MApN, pe problemele de securitatea informației.
Schimbările rapide în domeniul tehnologiei, declanșează provocări pentru specialiștii din cadrul structurii de securitate în a fi la zi cu noile descoperiri în domeniu și astfel se derulează adevărate procese de cercetare-dezoltare în domeniul securității informației. Unde este necesar, deprinderile lor trebuie suplimentate cu expertiză și cunoștințe externe. Sursele externe pentru soluții includ schimburi de experiență cu alte instituții cu atribuții în domeniul securității naționale, cu organizații profesionale și consultanți externi pentru securitate.
CAPITOLUL II –
FUNCȚIILE MANAGEMENTULUI DE RISC
Securitatea informațiilor este una din componentele importante ale sistemului de securitate al unei instituții și este, în general, fără sens să fie tratată separat. Asigurarea securității informațiilor se face prin mecanismul de management permanent al securității instituției și are în vedere asigurarea protecției fluxurilor de informații în interiorul instituției și a schimbului de informații cu exteriorul pentru a asigura cadrul informațional optim atingerii obiectivelor organizației.
Determinarea obiectivelor privind securitatea informațiilor și sistemelor din cadrul unei instituții se face plecând de la:
– misiunile (activitățile) critice ale instituției;
– mecanismele privind activitățile principale ale instituției;
– valorile informaționale critice implicate în activitatea instituției;
-constrângerile rezultate din asigurarea funcționalității instituției în mediul de activitate.
Atingerea obiectivelor în domeniul securității informațiilor se bazează pe principii și se realizează prin intermediul unor funcții specifice procesului de management al riscurilor de securitate.
2.1 Principiile managementului de risc în domeniul militar
Managementul riscului este un element central al oricărei instituții de management strategic. Acesta este procesul prin care organizațiile evaluează riscurile asociate activităților lor cu scopul de a obține un beneficiu sau atingerea unui obiectiv în cadrul fiecărei activități sau domeniu. Astfel, managementul riscului devine un proces de identificare, analiză și răspuns la riscurile potențiale ale unei organizații, unui sistem informațional sau unui proiect.
Scopul managementului riscurilor este de identificare și tratare a acestor riscuri. Aceasta crește probabilitatea de succes, și reduce atât probabilitatea de eșec cât și incertitudinea în atingerea obiectivelor instituției în ansamblu.
Managementul riscului ar trebui să fie un proces continuu și în continuă dezvoltare, care se implementează și realizează în întregul spectru de domenii ale instituției. Acesta ar trebui să abordeze metodic toate riscurile aferente activităților instituției trecute, prezente și, în special, viitoare.
Scopul general al managementului riscului este acela de a ajuta înțelegerea riscurilor la care este expusă o instituție, astfel încât acestea să poată fi gestionate.
În funcție de momentul în care se analizează riscurile, există scopuri pre-eveniment (înainte ca riscul să se materializeze), când se urmărește evitarea producerii riscului și scopuri post-eveniment (riscul s-a materializat deja), când se urmărește asigurarea continuității activității și atingerea obiectivelor.
Pentru a fi cât mai eficace, procesul de management al riscului din cadrul unei instituții trebuie să adere și să aplice următoarele principii:
1) Managementul riscului creează valoare.
Managementul riscului contribuie la demonstrarea realizării și îmbunătățirii obiectivelor instituției, în domenii cum ar fi cele ale sănătății umane și siguranței, ale conformității juridice și de reglementare, de acceptare publică, de protecție a mediului, al performanței financiare, al calității produselor, al eficienței în operațiuni, de guvernare corporativă și de reputație.
2) Managementul riscului este o parte integrantă a proceselor organizaționale.
Managementul riscului este parte a responsabilităților de management și o parte integrantă a proceselor organizatorice normale, precum și a tuturor proceselor de management al schimbărilor. Managementul riscului nu este o activitate separată de principalele activități și procese ale instituției.
3) Managementul riscului este parte din procesul de luare a deciziilor.
Managementul riscului ajută factorii de decizie să adopte decizii în cunoștință de cauză, să prioritizeze acțiunile și să realizeze distincția între diferite alternative de acțiune. În ultimă instanță, managementul riscului poate ajuta deciziile în sensul acceptării unui, dacă acesta este inacceptabil sau dacă tratamentul aplicat va fi adecvat și eficient.
4) Managementul riscului se referă în mod explicit la incertitudine.
Managementul riscului se ocupă cu acele aspecte legate de procesul de luare a deciziilor care sunt incerte, cu natura acestor incertitudini și cum poate fi acestea abordate.
5) Managementul riscului este sistematic, structurat și realizat la timp.
O abordare sistematică, în timp și structurată a managementului riscului contribuie obținerea de rezultate eficiente, comparabile și fiabile.
6) Managementul riscului se bazează pe cele mai bune informații disponibile.
Intrările în cadrul procesului de managementul riscului se bazează pe surse de informații, cum ar fi cele de experiență (lecții învățate), de feedback, de observare, de previziune și de apreciere ale experților. Cu toate acestea, factorii de decizie ar trebui să fie informați și ar trebui să ia în considerare orice limitări de date sau de modelare utilizate sau de posibilitatea unor opinii divergente între experți.
7) Managementul riscului este adaptat instituției.
Managementul riscului este adaptat contextului de organizare internă și externă, cât și profilului de risc al fiecărei instituții/structuri.
8) Managementul riscului ia în considerare factorii umani și culturali.
Managementul riscului la nivelul instituției trebuie să recunoască percepțiile, capacitățile și intențiile persoanelor din exteriorul sau interiorul organizației, care pot facilita sau împiedica realizarea obiectivelor acesteia.
9) Managementul riscului este transparent și cuprinzător.
Implicarea adecvată și la timp a părților interesate și factorii de decizie de la toate nivelurile instituției asigură faptul că managementul riscului rămâne relevant și actualizat. Implicarea permite, de asemenea, ca părțile interesate să fie corect reprezentate și de a avea punctele lor de vedere luate în considerare la stabilirea criteriilor de risc.
10) Managementul riscului este dinamic, iterativ și răspunde la schimbări.
La nivelul instituției pot apărea evenimente interne și externe, se pot schimba contextul și cunoștințele, pot avea loc monitorizarea și revizuirea unor activități, pot apărea noi riscuri emergente, unele se schimbă, iar altele dispar. În consecință, organizația trebuie să se asigure că managementul riscului sesizează în mod continuu riscurile și răspunde schimbărilor acestora.
11) Managementul riscului facilitează îmbunătățirea și consolidarea continuă a organizației.
Organizația trebuie să elaboreze și să pună în aplicare strategii de îmbunătățire a managementului riscului la un nivel de maturitate din ce în ce mai evoluat.
Managementul trebuie sa se concentreze pe sisteme si proceduri de control ierarhic, să conducă prin întâlniri formale cu managerii împuterniciți, să decidă la nivelul lor de acțiune, sa analizeze rezultatele, să impună acțiuni de alocare eficienta a resurselor prin planuri, bugete și ținte de atins
În conceptul MEHARI – Harmonised Risk Analysis Method, elaborat de CLUSIF – Club de la Sécurité de l'Information, serviciile de securitate reprezintă funcții de securitate, care sunt oferite de soluții implementate în organizație. Abordarea MEHARI ia în considerare faptul că serviciile de securitate sunt definite și implementate de către echipe cu dimensiuni limitate, cu o politica de securitate (fie că este documentată explicit sau nu) care îi va determina să ia decizii omogene și consecvente, chiar și atunci când constrângerile tehnice necesită soluții care diferă prin detalii. Pe această bază, principiile MEHARI sunt:
– realizarea distincției între domenii de responsabilitate, unde este clar definită o persoană care are responsabilitatea pentru un domeniu, cu o politică de securitate consecventă;
– analizarea, în cadrul acestor domenii, a existenței persoanelor care ar putea avea politici de securitate diferite și definirea diferitelor sub-domenii de responsabilitate. De exemplu, în funcție de misiunile principale ale unei unități militare, șefii structurilor de securitate pot avea, pentru securitatea obiectivului lor, politici diferite de cele ale altui obiectiv;
– analizarea, în fiecare domeniu sau sub-domeniu, a sub-seturilor care pot avea politici diferite din oricare motiv (tehnic etc.).
Având în vedere modul în care este concepută politica de securitate a informațiilor în cadrul MApN, se poate aprecia că principiile enunțate în conceptul MEHARI se pot aplica și organismului militar. Totodată, luând în considerație scopul managementului riscurilor de securitate pentru organismul militar, putem afirma că sunt valabile următoarele principii de gestionare a riscurilor la adresa informațiilor clasificate :
– integrarea managementului riscului în planificarea misiunii;
– neacceptarea, fără justificare, a niciunui risc;
– luarea deciziilor de risc la nivelul corespunzător;
– acceptarea riscurilor numai atunci când beneficiile depășesc costurile.
2.2 Funcțiile de bază ale managementului riscului de securitate
În vederea stabilirii funcțiilor managementului riscului de securitate, luându-se în considerare că acesta reprezintă un proces interactiv interdisciplinar între nivelul decizional și cel operațional, trebuie să fie analizate cele două componente majore ale acestuia:
Evaluarea riscului: identificarea, cuantificarea și prioritizarea riscurilor la adresa organizației, luându-se în considerare cele două criterii: obiectivele instituției/unității și riscul acceptat;
Tratarea riscului: selectarea și implementarea măsurilor pentru adecvate riscului de securitate.
Așa cum reiese din cele două definiții rezultă că procesul de management de risc constă în două direcții de acțiune: identificarea și evaluarea amenințărilor și vulnerabilităților și diminuarea lor prin luarea deciziilor care să conducă la minimizarea acestora, adoptarea măsurilor de control, precum și monitorizarea și evaluarea lor.
Fiind vorba, în esență, despre o activitate de management, managementul riscului trebuie să îndeplinească, cel puțin, aceleași funcții ca și managementul general. Astfel, îi putem extrapola aceleași funcții ale managementului general, cu specificul adaptării la domeniul informațiilor clasificate și la protecția acestora.
În consecință, putem atribui următoarele cinci funcții ale managementului de risc al informațiilor clasificate, prezentate în Figura 4.
Figura 4 Funcțiile managementului de risc
1. Funcția de previziune a managementului de risc se realizează printr-o serie de activități menite să descopere acele elemente ale unei instituții – personal, infrastructură, tehnică, activități, informații – care pot genera anumite riscuri, datorită vulnerabilităților pe care le au sau le pot dobândi. Exemplificând acest aspect, putem considera că activitățile de verificare ale personalului care urmează să aibă acces la informații clasificate îndeplinesc sarcinile acestei funcții.
2. Funcția de organizare a activităților de management al riscurilor se realizează prin desfășurarea tuturor activităților de natură să asigure o securitate corespunzătoare, minimă, a informațiilor, în funcție de nivelul lor de clasificare. Putem agrega aici toate măsurile, de orice natură, care au rolul de a asigura informațiilor clasificate, caracteristicile lor de bază: confidențialitate, integritate și disponibilitate.
3. Funcția de coordonare a activităților pe linia managementului de risc se realizează prin acele măsuri organizatorice și de orice altă natură, planificate, cuprinse în acte normative, reglementări la nivel departamental, proceduri și altele, care sunt de natură să reglementeze toate aspectele privind identificarea amenințărilor, vulnerabilităților și riscurilor specifice unei instituții și să le elimine, să le diminueze efectele sau, în cazul riscurilor, să stabilească modalitățile de tratare sau asumare a lor.
4. Funcția de antrenare – motivația personalului se poate realiza prin acele pregătiri prin colocvii, cursuri etc. la care participă persoanele care au atribuții în gestionarea informațiilor clasificate, persoanele care au îndatoriri de control și monitorizare a respectării reglementărilor și cele care gestionează direct problematica riscurilor și vulnerabilităților instituției.
5. Funcția de control și evaluare a activităților, personalului și tehnologiei se poate identifica în acele activități de verificare în scopul depistării vulnerabilităților și riscurilor asimilate acestora, specifice domeniului securității informațiilor clasificate. Cu ocazia acestor activități de verificare trebuie să se facă și o evaluare a riscurilor și vulnerabilităților specifice fiecărei structuri/valori informaționale și să se stabilească măsurile concrete de eliminare, diminuare sau asumare a lor.
Din punct de vedere acțional, funcțiile 1 și 5 sunt îndeplinite în cadrul procesului de evaluare a riscului de securitate, iar funcțiile 2, 3 și 4 se realizează în cadrul procesului de tratare a riscului de securitate.
Managementul unei activități care gestionează probleme legate de riscurile ce pot apărea în activitatea de protecție a informațiilor clasificate gravitează în jurul acelor activități pe care trebuie să le înfăptuiască și care, de fapt, se sintetizează în funcțiile (atributele) sale.
Principalul atu al managementului de risc constă în faptul că urmărește în mod continuu să surprindă relațiile complexe dintre interesele specifice unei structuri, vulnerabilitățile asociate proceselor care susțin îndeplinirea acestor interese și amenințările la adresa acestora. Altfel spus, care se bazează pe identificarea, evaluarea și controlul riscurilor, amenințărilor și vulnerabilităților, din perspectiva echilibrării costurilor cu beneficiile.
Până în prezent, în abordarea procesului de management de risc s-a acordat prioritate potențialelor amenințări, identificarea și gestionarea riscurilor făcându-se mai mult din această perspectivă. Din punct de vedere al oportunităților managementul riscurilor reprezintă un proces de identificare și prioritizare în funcție de impactul și probabilitatea de apariție și acțiune competitivă, în funcție de resursele avute la dispoziție și priorități, pentru reducerea riscurilor și fructificarea oportunităților la adresa obiectivelor organizației.
Toate aceste pericole au ca punct de plecare compromiterea informațiilor clasificate prin pierderea confidențialității, integrității și disponibilității acestora, precum si a sistemelor care le procesează, stochează și/sau le transmit. Ca proces de management al riscului, acesta trebuie să integreze o analiză completă care ar trebui să includă tot spectrul de amenințări și vulnerabilități din domeniile protecției informațiilor clasificate: organizare și administrare, protecția fizică, a personalului, a documentelor, INFOSEC, industrială și juridică.
Noile realități demonstrează că este nevoie de un instrument care ar trebui să ne permită o metodă standardizată și documentată de management al riscurilor. Procesul de management al riscului trebuie să fie repetabil și să utilizeze date anterioare obținute în decursul timpului. Totodată, ar trebui ca informațiile necesare procesului să fie ușor de asimilat și aplicat de către persoane care nu au expertiză în domeniul securității informațiilor, precum și în analiza riscurilor de securitate. Este imperios necesar ca procesul de management al riscurilor să se bazeze pe criterii bine stabilite, pe efort propriu de documentare și să fie implementat la toate nivelurile instituției.
În sinteză, managementul de risc asigură că decidenții evaluează ce riscuri pot fi asumate, ordonă măsuri de diminuare a acestora și se asigură că toți executanții și-au însușit și execută ordinele transmise. Situația este evaluată în permanență și sunt implementate noi activități de monitorizare și control al riscurilor.
2.3 Managementul riscului integrat al riscurilor de securitate la adresa informațiilor clasificate
Riscul trebuie administrat într-o manieră integrată, acolo unde poate să apară, adică chiar la cele patru niveluri cheie necesare pentru realizarea interdependenței între procesul de monitorizare a riscului, accesul la informații certe și procesul de luare a deciziei în vederea atenuării riscului. Cele patru niveluri sunt:
Nivel strategic – la acest nivel riscurile pot apare acolo unde se manifestă preocuparea organizației în stabilirea și menținerea direcției strategice și a obiectivelor de nivel înalt;
Nivel de program – la acest nivel riscurile pot apare acolo unde se administrează interdependențele între programele aflate în derulare și mediul în care acestea se desfășoară;
Nivel de proiect – la acest nivel riscurile se asociază în mod tipic cu progresul conform planurilor. Trebuie luate în considerare la acest nivel în măsura în care acesta afectează proiectul;
Nivel operațional – la acest nivel riscurile pot fi legate de probleme tehnice, administrarea resurselor sau de serviciile oferite. Toate nivelurile superioare își au punctul de plecare în acest nivel.
Filozofia fundamentală a abordărilor în domeniul securității informațiilor clasificate și, implicit, a procesului de management integrat al riscurilor, trebuie să aibă la bază aducerea în prim plan a activităților de prevenire, prin dezvoltarea unor politici unitare și coerente, precum și eficientizarea capabilităților la nivelul structurilor de securitate pentru aplicarea procedurilor și mecanismelor de securitate adecvate atingerii obiectivelor și misiunilor de îndeplinit. Abordările tradiționale din sfera securității informațiilor, respectiv tratarea separată a subdomeniilor securității informațiilor clasificate se dovedesc tot mai ineficiente în procesul de prevenire și de contracarare a riscurilor și amenințărilor la adresa securității informațiilor clasificate. Menținerea vulnerabilităților la adresa securității informațiilor clasificate în limite acceptabile nu se mai poate realiza fără definirea și dezvoltarea unor capabilității operaționale la fiecare eșalon/structură militară care să aibă responsabilitatea prevenirii potențialelor riscuri si amenințări. Elaborarea deciziilor în sfera securității informațiilor clasificate nu mai poate fi performantă fără existența unei politici integrate, la nivelul organismului militar, ca rezultat al analizei și evaluării amenințărilor și vulnerabilităților de securitate prezente în mediul intern și extern organismului militar.
Caracterul interdisciplinar al amenințărilor, precum și multiplicarea vulnerabilităților, odată cu diversificarea tehnicii și tehnologiilor utilizate în procesul de gestionare a informațiilor clasificate, impun reconceptualizarea activității din sfera securității informațiilor clasificate, pornind de la modul de organizare și administrare a securității informațiilor. În scopul eficientizării activității de securitate a informațiilor clasificate, activitatea de prevenire a scurgerii informațiilor clasificate trebuie să se desfășoare în cadrul managementului de risc pe cel puțin două paliere, astfel:
la nivel strategic încă din faza de planificarea a obiectivelor majore a organismului militar;
la nivel operațional din faza inițială de planificare a misiunilor.
În cazul organismului militar, riscurile trebuie identificate în raport cu interesele și obiectivele Armatei. Asumarea unor riscuri este inevitabilă, într-o oarecare măsură, dacă organismul militar dorește să-și atingă obiectivele. Din acest motiv, riscurile trebuie monitorizate și reevaluate cu regularitate pentru a putea analiza schimbarea raportului dintre beneficiile atingerii obiectivelor propuse și pierderile aduse de posibilele prejudicii care pot apărea prin manifestarea riscurilor.
Analiza riscului reprezintă procesul de determinare a gradului de întindere, de corelare a mai multor riscuri și de stabilire a riscurilor prioritare în procesul de management de risc. Analiza presupune evaluarea caracteristicilor riscului, clasificarea riscurilor și ierarhizarea acestora după prioritate.
Evaluarea riscului creează o imagine destul de precisă a gradului de vulnerabilitate a organismului militar la amenințări, iar politicile, strategiile și programele de gestionare a riscurilor oferă soluții pentru aducerea acestora (a riscurilor) la niveluri de acceptabilitate pentru interesele și obiectivele MApN.
În cadrul evaluării caracteristicilor riscurilor se stabilesc valori pentru impactul acestuia (adică pierderile sau efectele riscurilor implicate de proiect), probabilitatea de manifestare (posibilitatea ca riscul să se manifeste) și cadrul de timp necesar diminuării (perioada de acțiune necesară diminuării riscului).
Principalul obiectiv al acestei evaluări este acela de a obține o mai bună înțelegere a riscului în scopul alegerii celor mai bune soluții de gestionare a acestuia.
Evaluările de risc nu furnizează elemente cu caracter de senzațional sau spectaculos, însă aduc, în mod constant, în atenția factorilor de decizie, o problematică diversă și realistă, adesea cuantificabilă și măsurabilă, care permite acestora luarea celor mai potrivite decizii pentru atingerea obiectivelor propuse.
În raport cu managementul de criză, managementul de risc presupune o soluție de tip pro-activ, încercând să răspundă la întrebările: „Ce se poate întâmpla rău?", „Cu ce efecte?", „Ce strategii alternative există?" și „Care este strategia optimă?".
Managementul de risc este un proces continuu, pro-activ și sistematic de a înțelege, conduce și comunica prin prisma intereselor și obiectivelor Armatei, în scopul generării de decizii strategice.
Implementarea unor soluții pro-active presupune realizarea unui management integrat al riscurilor de securitate la adresa informațiilor clasificate, respectiv abordarea în toate etapele cilului “Planificare”, „Acțiune”, „Control” și „Documentare” (PACD) a tuturor subdomeniilor securității informațiilor clasificate, respectiv:
– organizare și administrare;
– securitatea personalului;
– securitatea fizică;
– securitatea documentelor clasificate;
– INFOSEC;
– securitatea industrială;
– activitatea oficială de cifru.
Managementul integrat al riscurilor de securitate la adresa informațiilor clasificate este un sistem de management care integrează toate subdomeniile securității informațiilor într-un sistem coerent, astfel încât să permită realizarea scopului și misiunilor sale stabilite prin Politica SMSI.
Realizarea unui managementul integrat al riscurilor de securitate la adresa informațiilor clasificate este o necesitate obiectivă determinată de:
-caracterul transdisciplinar al riscurilor și amenințărilor, care impune un management de tip "macro-proiect", gestionat centralizat la nivel strategic (politică SMSI, coordonare și control) și aplicat unitar la nivel operațional (standarde, proceduri. mecanisme);
-această realitate impune un management performant al resurselor, prin alocarea acestora pe proiecte/programe, în condițiile unor constrângeri bugetare continue.
Necesitatea abordării integrale a managementului riscurilor de securitate la adresa informațiilor clasificate derivă și din faptul că Armata, în majoritatea acțiunilor pe care le desfășoară pentru îndeplinirea obiectivelor stabilite, operează cu informații clasificate, care necesită să fie protejate printr-o bună Politică SMSI.
Totodată, în mod particular, implementarea “Obiectivelor Forței 2008” asumate de România față de NATO pentru perioada 2009-2018, impune furnizării factorilor de decizie o viziune unitară privind cerințele de securitate în raport cu cele de realizare a programelor majore ale MApN. În scopul eficientizării costurilor, apreciem că managementul integrat al riscurilor de securitate la adresa informațiilor clasificate, trebuie corelat cu managementul programelor de înzestrare care vizează noi capabilități ale Armatei.
CAPITOLUL III – STRUCTURA PROCESULUI DE MANAGEMENT AL RISCULUI DE SECURITATE
3.1 Definirea managementului de risc ca proces
Managementul riscului de securitate a informației este o aplicare sistematică a politicilor de management, a procedurilor și practicilor în vederea stabilirii unui context, identificarea, analiza, evaluarea, tratarea, monitorizarea și comunicarea riscurilor de securitate a informației. Managementul securității informațiilor poate fi implementat foarte bine împreună cu un proces eficient de management al riscurilor de securitate.
Filozofia generală a MApN despre managementul riscului, cultura și structura de securitate vor determina dacă pașii de parcurs vor fi combinați sau omiși. Oricum, toate conceptele fundamentale trebuie să fie luate în considerare.
Un SMSI este un sistem documentat (bine fundamentat științific) care descrie valorile informaționale ce trebuie protejate, modalitatea abordării managementului de risc al instituției, formularea obiectivelor și implementarea mecanismelor de control, precum și necesarul gradual de asigurare materială. Un SMSI poate fi aplicat unui sistem specific, componentelor unui sistem sau unei instituții în ansamblul ei.
O abordare sistematică este descrisă (conturată) în Figura 6 care prezintă pașii semnificativi și documentația aferentă, ca rezultat al fiecărui pas.
Figura 6: Procesul de Management al Securității Informațiilor
3.1.1 Definirea Politicii de Securitate a Informațiilor
Această activitate a fost tratată detaliat în Secțiunea 3.1. Prin aceasta se delimitează clar orientarea securității informațiilor. Politicile de securitate specifice trebuie să fie definite astfel încât să reflecte cerințele de securitate specifice rezultate din contextul activităților concrete desfășurate de instituție. Este puțin probabil ca Politica generală să fie definită în această etapă, dar aspectele cheie trebuie deja stabilite pentru a oferi cadrul necesar pașilor de urmat. Odată ce activitățile de management al riscului sunt identificate și stabilite, ulterior pot fi adăugate detalii suplimentare în unele părți ale Politicii pentru stabilirea cadrului general.
3.1.2 Definirea Abordării Evaluării Riscului
Scopul și caracteristicile (parametrii) SMSI trebuie să fie clar definite la începutul procesului de management, pe baza rezultatelor pasului anterior. Acest pas stabilește direcțiile de urmat pentru restul procesului, în cadrul căruia toate riscurile trebuie să fie administrate, iar pentru reducerea/minimizarea vulnerabilităților trebuie să fie oferite instrucțiuni clare în luarea deciziilor. O caracterizare corectă a limitelor evită munca inutilă și crește calitatea analizei riscului.Acest pas dorește să clarifice următoarele:
– Care sunt laturile activității/instituției care se bazează pe acuratețe, integritate și disponibilitate a informațiilor în vederea luării deciziilor importante?
– Care sunt produsele care au nevoie să fie luate în considerare în evaluarea riscurilor la adresa securității informațiilor?
– Ce informații au nevoie să fie protejate?
– Care sunt cerințele de securitate a informațiilor necesare instituției?
– Componentele analizate pentru stabilirea obiectivelor SMSI sunt:
– Stabilirea contextului strategic;
– Stabilirea contextului organizațional;
– Stabilirea contextului managementului riscului;
– Dezvoltarea criteriilor de evaluare a riscului;
– Definirea structurală a activității de evaluare a riscului;
– Definirea valorilor informaționale.
Contextul general de securitate este ilustrat în Figura 7.
A. Stabilirea Contextului Strategic
Orice decizie privind managementul riscului securității informațiilor se impune a fi elaborată având la bază analiza atât a mediului de securitate națională, a contextului de participare la acțiuni militare internaționale, cât și a mediului de securitate propriei instituții militare.
Organismul militar trebuie să determine elementele decisive (cruciale) care sunt în măsură să susțină sau să diminueze capacitatea de management a riscurilor de securitate. Politica de Securitate a informațiilor creată în cadrul Pasului 1 este unul din elementele care stau la baza acestei etape. Pentru aceasta, conducerea trebuie să înțeleagă următoarele:
– care sunt constrângerile, slăbiciunile, oportunitățile și amenințările;
– stabilirea entităților și persoanelor din exterior și interior, care vor avea acces la informații clasificate ținând cont de obiectivele și percepțiile acestora;
– aspectele financiare, operaționale, competitive, politice (publice/percepții/imagine), sociale, beneficiarilor, culturale, sau juridice ale funcționării instituției.
Ar trebui să fie o relație strânsă între managementul riscului securității informației și formularea misiunii instituției sau obiectivelor strategice ale acesteia.
Acolo unde riscurile pot fi împărțite între instituție și o altă organizație, trebuie să fie identificate aspecte organizaționale ale instituției. În plus, atacurile la adresa oricărei organizații din compunerea Infrastructurii Naționale de Informații poate avea impact și asupra propriei instituții.
B. Stabilirea Contextului Organizațional
Această componentă necesită o analiză a modului în care instituția este organizată, capabilitățile, scopurile, obiectivele și strategiile pe care urmărește să le atingă. Aceasta va ajuta la definirea criteriilor pentru determinarea nivelului de risc acceptabil și pentru formularea mecanismelor de bază și a opțiunilor de tratare a riscurilor. Natura generală a valorilor informaționale ale instituției în termeni cuprinzători ai tangibilității sau intangibilității valorilor este o parte a contextului organizațional.
Politica de Securitate a Informației creată la Pasul 1 este una dintre datele ce se introduc în cadrul acestei etape.
Eșecul în atingerea obiectivelor instituției, a activității specifice sau proiectelor, în parte, poate să ducă la un management slab al riscurilor de securitate.
C. Stabilirea Contextului Managementului Riscului
Scopul și profunzimea procesului de revizuire a riscurilor de securitate a informațiilor sunt determinate de această componentă. Aceasta implică:
Definirea revizuirii proiectului și activității, precum și stabilirea misiunilor și obiectivelor. Va acoperi această revizuire obiectivele și misiunile întregii instituții sau va fi limitată la un proiect specific, activitate, entități consolidate de valori informaționale sau valori individuale?
Definirea cadrului de timp și a localizărilor pentru a fi acoperite de această revizuire. Care este durata de timp alocată pentru completarea evaluării? Unde va avea loc revizuirea – numai în biroul șefului, în cadrul subunităților sau în cadrul unei anumite structuri, loc sau un grup de locații?
Identificarea actelor normative, instrucțiunilor, sprijinului și resurselor necesare pentru efectuarea revizuirii. Instrucțiunile pot identifica sursele generatoare de risc, exemplele de vulnerabilități comune (generale), tipurile de amenințări și zonele, ariile de impact. Trebuie efectuată evaluarea cu resurse interne sau externe? Câte persoane trebuie să fie implicate în aceasta? Dacă evaluarea se efectuează cu resurse interne, care este cea mai potrivită persoană pentru a îndeplini această sarcină? Ce instrumente trebuie să fie folosite pentru evaluarea riscurilor – programe de calculator sau înregistrări (evidențe) scrise?
Definirea dimensiunii și gradului de detaliere a activităților de efectuat în cadrul procesului de management al riscurilor. Rezultatele specifice care necesită să fie luate în considerare, includ următoarele:
– rolurile și responsabilitățile diferitelor entități ale instituției, care participă la managementul riscului;
– relaționarea între proiectul de evaluare a riscului securității informației și alte entități ale instituției sau alte proiecte implementate/planificate în cadrul instituției.
D. Dezvoltarea Criteriilor de Evaluare a Riscului
Pentru a evalua riscurile, impactul, consecințele și alegerea mecanismelor de securitate adecvate, trebuie definite criteriile cantitative/calitative care se vor folosi. O atenție sporită se va acorda determinării nivelului de risc real pe care instituția este dispusă să îl accepte. Politica de Securitate a Informației creată la pasul 1 este unul dintre datele inițiale pentru această etapă.
Dezvoltarea criteriilor de evaluare a riscurilor va fi influențată de o serie de factori, ca de exemplu:
– politica internă a instituției, scopurile și obiectivele, misiunile;
– așteptările decidenților și a personalului;
– cerințele juridice, legale.
Este important ca criteriile corespunzătoare să fie determinate de o evaluare inițială a riscului și să fie continuu revizuite, reanalizate pe întreaga durată a procesului evaluării riscului. Criteriile de risc pot fi ulterior dezvoltate și perfecționate pentru a avea asigurarea că acestea corespund tipurilor de riscuri și modului clar de a exprima nivelul riscului real.
Decizia privitoare la acceptabilitatea riscului și tratarea subsecventă a riscului se poate baza pe criterii operaționale, tehnice, financiare, juridice sociale sau umane.
Criteriile pentru evaluarea riscurile de securitate sunt în mod caracteristic (nefiind limitate) consecințele compromiterii informațiilor clasificate asociate cu:
– impactul breșelor de securitate asupra reglementărilor;
– impactul lipsei de informații asupra activităților la nivel operațional;
– impactul pierderii confidențialității, integrității și disponibilității informațiilor asupra obiectivelor și misiunilor.
Totodată, la stabilirea criteriilor pentru evaluarea riscurilor se vor lua în considerare politicile stabilite prin acte legislative de către Autoritatea Națională de Securitate care vizează domeniul securității informațiilor. Acestea includ:
– cerințe privind protecția informațiilor clasificate secret de stat și secret de serviciu;
– asigurarea disponibilității informațiilor oficiale destinate interesului public;
-cerințe privind prelucrarea datelor și informațiilor cu caracter personal;
– măsuri și proceduri de declasificare și arhivare a informațiilor.
E. Definirea Structurală a Activității de Evaluare a Riscului
În funcție de natura riscurilor și de scopul evaluării, evaluarea riscului poate fi divizată într-un set de elemente, ce compun un cadru logic pentru identificarea și analiza riscurilor, astfel încât să nu existe posibilitatea omiterii riscurilor cele mai semnificative.
De exemplu, structura cadrului de evaluare ar putea să se bazeze pe:
-diferite categorii de bunuri informaționale cum au fost descrise anterior;
– misiunile de bază ale instituției (sau structura organizațională);
– locații fizice;
– programe și proiecte.
F. Definirea Valorii Informațiilor
O informație este o componentă sau o parte a unui întreg sistem căreia instituția îi atribuie o valoare și, de aceea, necesită să fie protejată. În procesul de identificare a valorilor este necesar să se structureze activitatea de risc pe baza tipurilor de valori cum au fost descrise anterior la Secțiunea 3.1.
Toate valorile trebuie identificate în contextul managementului riscului, la un nivel potrivit de detaliere. În schimb toate valorile care sunt excluse din context, din orice motiv, trebuie să fie avute în vedere la o revizuire ulterioară. În acest sens, la nivelul instituției este necesar să se adopte un nomenclator al tuturor informațiilor gestionate care să aibă la bază valoarea informațiilor ce trebuie protejată.
O altă cerință pentru determinarea nivelului de protecție necesar, informațiile trebuie să fie marcate în concordanță cu clasificarea de securitate stabilită pe baza criteriilor stabilite prin lege și/sau normele departamentale.
Este esențial ca instituțiile să respecte regula că originatorul clasifică informația. Informațiilor primite de la alte instituții nu li se poate schimba clasificarea fără aprobarea instituției originatoare.
3.2.3 Inițierea Evaluării Riscului
Acest pas combină identificarea riscului și elementelor analizelor de risc ale proceselor managementului de risc.
Determinarea riscului trebuie să identifice, să cuantifice și să stabilească prioritatea riscului prin prisma criteriilor de risc acceptabil și a obiectivelor relevante pentru instituție. Acțiunile de management și prioritățile adecvate pentru managementul riscurilor de securitate a informației și pentru implementarea măsurilor de securitate selecționate pentru protecția împotriva riscurilor trebuie orientate și stabilite pe baza acestor rezultate. S-ar putea să fie necesar ca procesul de determinare a riscului și de selecție a măsurilor de securitate să fie reluat de câteva ori pentru a fi acoperite diverse zone ale instituției sau sisteme de informații individuale.
Determinarea riscului trebuie să cuprindă abordarea sistematică a estimării mărimii riscurilor (analiza de risc) și procesul de comparare a riscurilor estimate față de criteriile de risc, pentru stabilirea semnificației riscurilor (evaluarea riscului).
Determinările de risc trebuie efectuate periodic pentru a se răspunde schimbărilor înregistrate de cerințele de securitate și de situațiile de risc, spre exemplu în privința resurselor, amenințărilor, vulnerabilităților, impacturilor, evaluării riscului, precum și în cazul unor schimbări semnificative. Aceste determinări de risc trebuie realizate într-o manieră metodică capabilă să producă rezultate comparabile și reproductibile.
Evaluarea riscului privind securitatea informației trebuie să vizeze un domeniu precis pentru a fi eficientă și trebuie să cuprindă legături cu determinările de risc din alte domenii, dacă este cazul.
Există o varietate de metode pentru evaluarea riscului de securitate. Acestea se situează (întind) de la o abordare de genul „listă de verificare” la tehnici de inginerie de sistem. Experiența a arătat că o abordare structurată în grup este cea mai eficientă cale de a evalua riscurile. Aceasta necesită participarea unui număr de 3-8 persoane care au cunoștințe despre diferite aspecte ale valorii informaționale ce urmează să fie evaluate. Orice metodă s-ar folosi, trebuie să corespundă filozofiei și culturii organizaționale ale instituției.
A. Identificarea Riscului
Identificarea riscului constă în identificarea, clasificarea și catalogarea (enumerarea) tuturor riscurilor și vulnerabilităților sau amenințărilor care pot afecta valorile informaționale identificate la Pasul 2. Este esențial să se utilizeze un proces sistematic, bine structurat, pentru asigurarea identificării riscurilor. Această identificare ar trebui să includă toate riscurile, chiar dacă pot fi controlate de instituție sau nu. Riscurile potențiale neidentificate în cadrul acestei etape vor fi excluse din următoarele analize.
Nu este neobișnuit ca riscuri sigure, vulnerabilități sau amenințări să poată afecta mai mult de una din laturile securității informațiilor (integritate, confidențialitate, disponibilitate, responsabilitate, autenticitate și certitudine). O instituție ar trebui să fie conștientă că aceste riscuri, vulnerabilități sau amenințări sunt într-o continuă transformare.
Trebuie acordată o atenție deosebită asupra naturii și sursei riscului, ca de exemplu:
Ce se poate întâmpla sau ce poate merge incorect?
Cum se poate întâmpla?
De ce se poate întâmpla?
Când se poate întâmpla?
Cine sau ce poate fi afectat?
Scopul acestei etape este de identificare a unei liste cuprinzătoare de evenimente ce pot afecta fiecare element al structurii riscului, fiind luate în considerare posibilele cauze și diverse scenarii. Se examinează sursa riscului din perspectiva entităților/persoanelor din cadrul instituției sau celor cu care aceasta are acorduri de cooperare.
B. Analiza Riscului
Analiza riscului va separa riscurile minore, acceptabile de riscurile majore și va furniza date pentru evaluarea și tratarea acestora. Aceasta implică determinarea consecințelor izvorâte dintr-un eveniment nedorit sau probabilitate a manifestării unui risc. Nivelul riscului este determinat prin combinarea probabilității și evaluarea consecințelor în condițiile existenței mecanismelor de management și tehnice.
Pentru determinarea mecanismelor existente, pot fi folosite diferite metode (incluzând inspecții și tehnici de autoevaluare) în scopul identificării eficacității managementului existent, a măsurilor tehnice și procedurilor pentru protecția valorilor.
Analiza riscului poate fi calitativă, cantitativă sau semi-cantitativă. În majoritatea cazurilor este folosită analiza calitativă, caz în care sunt determinate scale explicite de probabilitate, consecințe și nivelurile riscului. De asemenea, poate fi folosită o metodă semi-cantitativă, prin atribuirea numerelor (de obicei între 0 și 1) scalei calitative. Când riscurile pot fi măsurate, poate fi potrivită metoda cantitativă. Regula generală este ca metoda să fie solidă și practică pentru nevoile instituției. Metodele cantitative se pretează să fie folosite în probabilitățile bazate pe aprecierea recuperării investiției în securitate.
Exemple de măsuri calitative pentru consecințe sau impact, probabilitate și nivelul riscului este arătat în tabelul de mai jos. Când se evaluează probabilitatea, este important să se determine cadrul de timp pentru un posibil eveniment, de exemplu probabilitatea ca un eveniment să aibă loc într-o perioadă de 5 ani. Oricum, diferite evenimente pot avea diferite întinderi de timp (de ex. dacă o instituție își schimbă premisele în următoarele 12 luni, atunci considerarea multor tipuri de risc în perioada de 5 ani este inadecvată).
Consecințe
Probabilitate
Nivelul riscului
E = Risc Extrem – este necesară acțiunea imediată
H = Risc Înalt – este necesară atenția managementului de top
M = Risc Moderat – trebuie specificată responsabilitatea managementului
L = Risc Scăzut – administrat prin procedurile de rutină
Există o mare varietate de surse de informații și date care pot fi de ajutor în efectuarea evaluării consecințelor și probabilității riscurilor. Acestea pot include:
– înregistrării anterioare;
– experiențe din trecut (ex. cutremure și inundații);
– practica și experiența din ramura respectivă;
– studiile și cercetările;
– judecățile, raționamentele experților și specialiștilor;
– statisticile și referințele de nivel (comparative cu alte situații).
C. Evaluarea Riscului
Odată ce probabilitatea și consecințele au fost identificate și evaluate, trebuie elaborată o listă a riscurilor identificate pentru acțiunea următoare, prioritate bazată pe nivelul riscului. Obiectivul este identificarea riscurilor acceptabile și a celor inacceptabile.
O listă a priorităților este următoarea:
– dă o vedere generală asupra nivelului general și modelului riscurilor la adresa securității informațiilor;
– concentrează atenția asupra elementelor de risc înalt;
– ajută la decizia pentru necesitatea acțiunii imediate a managementului și pentru decizia de desfășurare a planurilor de acțiune pentru activitățile următoare;
– facilitează alocarea resurselor pentru sprijinul oricărei decizii de acțiune.
Motivele pentru acceptarea riscului includ:
– nivelul riscului este atât de scăzut încât tratarea specifică nu este în concordanță cu resursele disponibile;
– nici există nici o posibilitate de tratare a riscului, uneori depășind competențele instituției;
– costul tratării riscului depășește valoarea pierderilor.
D. Documentarea
Documentarea constă în elaborarea următoarelor instrumente:
– o listă a riscurilor identificate, incluzând sursele și cauzele fiecărui risc;
– un profil al valorii, incluzând estimarea și posibile impacturi;
– o listă a amenințărilor și vulnerabilităților modelate pe valorile informațiilor, împreună cu probabilitățile și consecințele în cazul în care amenințările s-au manifestat într-o perioadă de timp stabilită;
– o listă a priorităților riscurilor pentru determinarea acceptării riscului.
– o bază de date cu Lecții învățate.
3.2.4 Managementul (Administrarea) Riscului
Instituțiile trebuie să administreze riscurile și să protejeze activitățile pentru protecția eficace a informațiilor. Constrângerile care pot influența modul de administrare a riscurilor includ: organizațional, financiar, personal, timp, juridic și tehnic.
Tratarea riscului poate include o combinație a următoarelor acțiuni:
Evitarea riscului – prin decizia de a nu mai continua cu o misiune probabilă să genereze un risc;
Reducerea probabilității – prin implementarea mecanismelor de reducere a amenințărilor și vulnerabilităților;
Reducerea consecințelor – prin implementarea mecanismelor de reducere a amenințărilor și vulnerabilităților;
Transferul riscului – prin pregătirea unui alt participant pentru a prelua întregul sau o parte a unui risc;
Acceptarea riscului – instituția suportă tot riscul.
Întrebările cheie în tratarea riscului sunt:
– Ce procese, mecanisme de protecție și apărare există sau sunt necesare pentru reducerea riscului la un nivel acceptabil?
– Procesele, mecanismele de protecție și precauțiile sunt, raportat la cost, cele mai eficace în raport cu valoarea informației?
– Ce resurse sunt necesare (personal, fonduri, echipament)?
– Cine are responsabilitatea și răspunderea tratării și administrării riscului?
Înainte de a întreprinde tratarea, ar trebui făcută selectarea mecanismelor adecvate, având în vedere strategia generală a instituției, obiectivele operaționale, prioritățile, cu resursele și fondurile alocate.
Rezultatul acestui pas este o listă a opțiunilor de tratare pentru riscurile neacceptate identificate la Pasul 3. Politica creată la Pasul 1 trebuie să fie revizuită și modificată sau îmbunătățită, după cum este necesar, pentru a furniza soluții noi de selectare a mecanismelor și includerea noilor cerințe în Politica SMSI.
3.2.5 Selectarea Mecanismelor
Mecanismele adecvate pentru reducerea riscurilor evaluate la un nivel acceptabil trebuie identificate și selectate cu justificarea costului/beneficiului. Mecanismele deja existente și proiectate trebuie avute în vedere la selecție, pentru evitarea duplicării eforturilor. În acest scop, trebuie efectuată o verificare pentru a se asigura că mecanismele existente sau proiectate funcționează efectiv. De asemenea, este posibil ca un mecanism existent să nu fie pentru mult timp justificat și este necesar să fie îndepărtat, înlocuit cu unul mai adecvat sau să fie păstrat din motive ale costului. Vulnerabilitățile asociate amenințărilor indică dacă sunt necesare mecanisme suplimentare și ce formă trebuie să aibă.
Pentru selectarea mecanismelor este avantajoasă identificarea funcțiunilor acestora din punctul de vedere al protecției, abaterii, răspunsului și restaurării în caz de incidente. Multe mecanisme protective pot servi mai multor funcțiuni, astfel că este mai eficient financiar, alegerea acestora. Unul dintre principiile moderne îl constituie reducerea riscurilor de securitate prin mecanisme care oferă „apărarea în adâncime” prin integrarea mai multor funcții:
Evitarea – Ocolirea sau prevenirea situației ca un eveniment nedorit să aibă loc.
Protecție – Apărarea bunurilor informaționale de evenimente nefavorabile
Detecție – Identificarea ocaziei unui eveniment nedorit
Răspuns – Reacția pentru sau contra unui eveniment nefavorabil
Restaurare – Refacerea integrității, disponibilității și confidențialității bunurilor informaționale la situația așteptată
Domeniile securității informațiilor unde pot fi utilizate mecanismele includ:
– Politica de securitate;
– Organizarea și administrarea securității;
– Personalul;
– Securitatea fizică;
– Comunicații și informatică
– Managementul operațiilor;
– Controlul accesului;
– Dezvoltarea sistemelor și întreținerea acestora;
– Continuitatea activităților;
– Conformitate.
Mecanismele sunt selectate în contextul riscurilor, pentru a furniza securitate, funcționalitate și încredere.
Selectarea mecanismelor ar trebui să fie o paralelă între mecanismele operaționale (non-tehnice) și tehnice. Mecanismele operaționale de securitate includ mecanismele fizice, de personal, administrative sau procedurale.
Exemple ale acestor mecanisme includ:
Securitatea fizică :Mecanismele fizice de securitate includ accesul în clădiri și încăperi, închiderea/deschiderea containerelor de securitate, sistemele de prevenire și stingere a incendiilor precum și permanența și paza.
Securitatea personalului:Securitatea personalului acoperă verificările la angajarea (recrutarea) personalului, în special pentru „pozițiile de încredere”, supravegherea personalului și programele de conștientizare a securității informațiilor precum și revalidarea periodică.
Securitatea procedurală:Securitatea procedurală poate să includă zone neacoperite de legislație și de acte normative departamentale, concretizându-se în proceduri operaționale de securitate, procedurile de avizare, autorizare și acreditare a personalului și SIC-urilor, precum și procedurile de gestionare a incidentelor de securitate.
Securitatea tehnică:Securitatea tehnică se adresează în special domeniului INFOSEC și constă în securitatea hardware (dispozitive fizice) și software (programe de calculator), precum și mecanismele de protejare a comunicațiilor prin cifrul de stat sau alte sisteme criptografice. Aceasta include: identificarea și autentificarea, cerințele de control al accesului logic, controlul și auditul fișierelor jurnal, autentificarea mesajelor, criptarea comunicațiilor, utilizarea semnăturii digitale, monitorizarea stării rețelelor, programe antivirus.
O instituție poate achiziționa produse, sisteme sau părți ale funcțiunilor acestora, care au fost evaluate și examinate de ANS sau certificate de instituții autorizate. Evaluarea trebuie să fie pentru un profil corespunzător de protecție pentru sisteme și produse și amenințările la adresa acestuia. Produsele sau sistemele evaluate oferă instituției convingerea că un set implementat de funcționalități este corespunzător cerințelor iar implementarea funcționalităților este corectă și completă.
Factorii de luat în considerare pentru selectarea mecanismelor pentru implementare includ:
– Utilizare ușoară a mecanismelor de protecție și pază;
– Transparență pentru utilizatori;
– Proximitatea mecanismului față de valoarea de protejat;
– Asistență oferită utilizatorilor pentru îndeplinirea activităților;
– Costul mecanismului;
– Compatibilitatea cu mecanismele existente;
– Puterea relativă a mecanismelor;
– Profilul de protecție și nivelul de asigurare al evaluării;
– Tipuri de funcțiuni pe care le poate executa – protecție, evitare, detecție, răspuns, restaurare.
O altă observație pentru selectarea mecanismului este arhitectura de securitate care descrie modul în care vor fi atinse cerințele de securitate. Arhitectura de securitate poate fi folosită când sunt dezvoltate noi sisteme sau când sunt făcute schimbări majore la sistemele existente. Pe baza rezultatelor analizei de risc ori abordării inițiale, cerințele de securitate sunt perfecționate în cadrul unor servicii tehnice de securitate pentru sisteme. Unele din cerințe pot fi în forma cadrul mecanismelor specifice a se folosi, și anume când sunt făcute modificări ale sistemelor existente.
În mod normal, un arhitectură de securitate se compune din unul sau mai multe domenii ale securității. Astfel, în urma analizei de risc la construirea unei arhitecturi de securitate se vor avea în vedere următoarele aspecte:
– relaționările și interdependențele între domeniile de securitate;
– impacturile sau implicațiile relaționărilor sau interdependențelor care slăbesc serviciile de securitate;
-extra-serviciile sau prevederile necesare pentru corectarea, controlul sau evidența oricărei slăbiciuni.
Totodată, pentru alegerea unei arhitecturi de securitate, în conformitate cu obiectivele instituției, este necesar să se aibă în vedere următoarele documente:
– concepția operațională de securitate;
– planul/programul de securitate;
– politica de securitate;
– documentația de certificare și acreditare, dacă este necesară.
Există multe constrângeri care pot influența selectarea mecanismelor. Aceste constrângeri trebuie avute în vedere la pe timpul recomandărilor (regulilor de folosire) și pe timpul implementărilor. După natura lor aceste constrângeri se clasifică astfel:
De timp – mecanismele ar trebui implementate într-o perioadă de timp acceptabilă pentru management;
Financiare – instituțiile au multe necesități conflictuale pe latura resurselor financiare disponibile limitate. De exemplu, este posibil ca fondurile să nu fie disponibile pentru implementarea totală a mecanismului propus, iar conducerea este pregătită să accepte o implementare parțială și să suporte riscul rezidual până când fondurile suplimentare necesare vor fi disponibile.
Tehnice – probleme tehnice, cum ar fi compatibilitatea programelor sau dispozitivelor fizice, tehnice, pot fi ocolite cu ușurință dacă astfel de probleme sunt luate în considerare pe timpul alegerii mecanismelor. De asemenea, implementările retrospective ale mecanismelor în cadrul unui sistem de securitate existent este adesea împiedicat de constrângeri tehnice.
Sociologice – nu pot fi ignorate deoarece multe mecanisme tehnice și operaționale se bazează pe suportul activ al personalului. Dacă personalul nu înțelege nevoia mecanismului sau nu îl găsesc acceptabil din punct de vedere cultural, este probabil ca acel mecanism să devină ineficient în timp.
De mediu – factorii de mediu pot influența selectarea mecanismelor, factori cum ar fi disponibilitatea spațiului (suprafeței), condițiile extreme de climat etc.
Juridice – cum ar fi Legea pentru protecția persoanelor în privința prelucrării datelor cu caracter personal și libera circulație a acestor date ar putea afecta alegerea mecanismelor. Legile specifice non-ITC și reglementările, ca de ex. reglementările pentru incendii, legile de reglementare a muncii, codurile de conduită, sănătatea în muncă și reglementările despre securitate pot, de asemenea, să influențeze alegerea mecanismelor.
De calificare – unele mecanisme pot necesita disponibilitatea de specializare/calificare a unor specialiști pentru implementare sau operare. Este posibil ca mecanismele să nu poată fi operate corect dacă nu sunt disponibile persoane cu calificarea sau competența necesară.
3.2.6 Pregătirea Formulei de Aplicabilitate
Formula de Aplicabilitate (FdA) documentează obiectivele de control și mecanismele pentru fiecare risc pentru care este necesară tratarea acestuia. Decizia de selecție sau respingere a anumitor mecanisme trebuie să fie documentată și fundamentată. În unele cazuri această fundamentare poate fi foarte pe scurt dar în altele, unde alegerea este complexă sau are un impact semnificativ asupra riscurilor, este necesar să se ofere mai multe detalii. FdA poate face referire la alte documente, ca de exemplu revizuirea securității și rapoartele de audit interne și externe, în care au fost făcute referiri, recomandări specifice de acțiune. Cel mai important este că FdA trebuie să înregistreze motivele pentru care nu au fost implementate oricare din mecanismele specificate în rezultatul analizei de risc.
3.2.7 Aprobarea conducerii
Ultimul pas în faza de planificare este obținerea aprobării conducerii pentru riscurile reziduale și pentru un program de dezvoltare și implementare a planului de tratare a riscului. Ciclurile bugetare pot necesita ca un plan de tratare a unui risc inițial să fie dezvoltat și inclus la costuri în cadrul acestui Pas.
3.2.8 Importanța documentației
Documentarea fiecărui pas al procesului de management al riscului informațiilor este imperativă din următoarele motive:
– pentru a demonstra că procesul a fost îndeplinit corect;
– pentru a furniza o evidență a deciziilor și a proceselor efectuate;
– pentru a furniza un mecanism al răspunderilor;
– pentru facilitarea continuării monitorizării și revizuirii;
– pentru a furniza un fundal pentru audit;
– pentru a distribui și comunica informația.
Nivelul de documentare necesar va depinde de cerințele legislative, costuri și beneficii, ținând cont de factorii de mai sus. Instituția trebuie să aleagă abordarea practică cea mai bună care este corespunzătoare circumstanțelor proprii.
Ca în orice sistem documentat, instituția trebuie să își stabilească și mențină procedurile pentru controlul (verificarea) întregii documentații și să-și asume responsabilitățile pentru a asigura că:
– documentația este disponibilă oricând;
– este revizuită și actualizată periodic, ori de câte ori este nevoie, pentru a asigura că este de actualitate;
– controlul versiunii este aplicată documentației și toate documentele includ data efectului și numele persoanei responsabile;
– documentațiile învechite (depășite) sunt imediat retrase, identificate și păstrate dacă este necesar pentru partea juridică și/sau pentru necesitatea păstrării.
Instituția ar trebui, de asemenea, să stabilească și mențină procedurile de identificare, întreținere, păstrare și eliminare a înregistrărilor conținând evidența acordurilor cu necesitățile SMSI.
Toată documentația și înregistrările trebuie să fie lizibile, identificabile, datate și asociate activităților la care se referă fiind protejate conform nivelului de clasificare atribuit. Documentația referitoare la mecanismele de control trebuie să fie distribuite în vederea consultării numai personalului cu atribuții în domeniul securității informațiilor pe baza principiului „necesitatea de a cunoaște”(need to know).
CAPITOLUL IV – PREZENTAREA UNEI METODE DE ANALIZĂ A RISCULUI ASUPRA INFORMAȚIILOR CLASIFICATE DIN MINISTERUL APĂRARII NAȚIONALE
4.1Metode și abordări recomandate analiză
O analiză a riscului securității informațiilor poate fi consumatoare de timp și resurse. Una din cele mai eficace abordări pentru analiza riscului este combinarea celor legate de identificarea riscului, evaluare și tratare. Aceasta implică dirijarea unui analize inițiale de risc de înalt nivel a valorilor pentru identificarea riscurilor comune și pentru care este stabilit un cod de tratare din practică (ori mecanisme inițiale) și a riscurilor care neconvenționale și cu potențial de producere ridicat. Pentru ultimele tipuri de risc, este necesară o analiză de risc detaliată. Această abordare are avantajul focalizării atenției și resurselor pe ambele tipuri de riscuri.
Analiza de risc de nivel înalt
În cadrul acestui tip de analiză trebuie luate în considerare următoarele aspecte:
– obiectivele organismului sunt dependente în mare măsură de utilizarea de SIC-urilor;
– gradul de dependență a instituției de SIC-uri, pentru îndeplinirea misiunilor fiind considerate critice, iar conducerea efectivă a activităților este dependentă de aceste sisteme bazându-se pe mecanisme care asigură confidențialitatea, integritatea, și disponibilitatea informațiilor;
– nivelul investiției într-un sistem informațional, în ceea ce privește dezvoltarea, întreținerea sau înlocuirea sistemului;
– informațiile clasificate pentru care instituția atribuie direct valoare.
Regula generală este că dacă poate rezulta un neajuns al sistemului de securitate, suficient de mare astfel încât să poată afecta serios obiectivele instituției, activitățile de referință sau bunurile acesteia, atunci este necesară o analiză de risc aprofundată pentru identificarea unor opțiuni corespunzătoare de tratare a riscurilor. Mai degrabă o abordare inițială a tratării riscului furnizează modul de protecție necesară.Fiecare bun informațional sau grup de bunuri informaționale vor avea cerințe diferite de asigurarea a integrității lor, confidențialității și disponibilității. Instituția trebuie să asigure nivelele de protecție corespunzătoare valorii și importanței bunurilor.Gestionarii și utilizatorii bunurilor informaționale ar trebui să ofere datele inițiale pentru aprecierea valorii, solicitându-se pe parcursul analizei, asistență de la diverse compartimente specializate în planificarea activităților, resurselor, administrarea SIC-urilor sau alte activități relevante.
Pentru toate bunurile informaționale, trebuie atribuită o evaluare calitativă. Aceasta ar putea fi pe o scală de la scăzut → moderat → înaltă → foarte înaltă. Rezultatele considerabile ar putea fi deteriorări rezultate din:
– încălcarea legislației, reglementărilor și/sau contractelor;
– deteriorarea performanțelor instituției;
– afectarea imaginii și reputației instituției;
-existența unor vulnerabilități care pot conduce la pierderea confidențialității;
– periclitarea siguranței personale;
– vulnerabilități la adresa securității naționale și ordinii publică;
– pierderi financiare;
– întrerupere a serviciilor;
– periclitarea securității mediului operațional.
Trebuie luate în considerare dependențele bunurilor cu alte bunuri și efectele cumulative, astfel:
– dacă valorile bunurilor dependente (ex. date) sunt mai mici sau egale cu valoarea bunurilor apreciate (ex. programe de calculator, software), valorile lor rămân aceleași;
– dacă valorile bunurilor dependente (ex. date) sunt mai mari, atunci valoarea bunurilor apreciate (ex. programe de calculator, software) ar trebui ridicată, în concordanță cu valorile primelor.
Un alt aspect care trebuie luat în considerare în cadrul analizei de nivel înalt este identificarea informațiilor distribuite în mai multe locații și pentru care trebuie să răspundă acelorași cerințe de securitate.
Acest tip de analiză a riscului folosește așa numita pierdere anuală estimată (Blakley și colab., 2002) ori costul anual estimat. Se calculează valoarea pentru un anumit eveniment prin multiplicarea pierderilor potențiale cu probabilitatea petrecerii evenimentului nedorit. Această abordare face posibilă ierarhizarea evenimentelor în ordinea riscului, ceea ce permite luarea unor decizii bazate pe această ierarhizare.
O asemenea abordare prezintă, însă, neajunsuri cauzate de fiabilitatea joasă și exactitatea precară a datelor. Probabilitatea producerii unui eveniment doar rareori poate fi estimată precis. Adițional, controalele și contramăsurile abordează doar un număr de evenimente potențiale. Cu toate aceste neajunsuri, un număr important de organizații au adoptat cu succes analiza de risc cantitativă.
Analiza de risc detaliată
Pentru bunuri care necesită o analiză mai detaliată, analiza implică o evaluare a amenințărilor și vulnerabilităților.
Evaluarea amenințării și vulnerabilității
Bunurile informaționale sunt subiect al multor tipuri de amenințări. Amenințările pot apare direct de la sursă sau indirect. Amenințările pot fi naturale (mediul înconjurător) sau cauzate de oameni (accidentale sau intenționate). O amenințare poate izvorî din interiorul sau din exteriorul instituției. Impactul cauzat de un incident nedorit poate avea o natură temporară sau permanentă. Vulnerabilitățile la adresa unei valori poate fi exploatată și poate conduce la consecințe nedorite de natură să afecteze confidențialitatea, integritatea, disponibilitatea, responsabilitatea, autenticitatea și/sau certitudinea informațiilor.
Este necesară să fie identificate vulnerabilitățile referitoare la organizarea și administrarea securității, mediului fizic, personalului, documentelor, INFOSEC, industrială care pot fi exploatate de o amenințare.
Gestionarii bunurilor informaționale și personalul cu atribuții de securitate trebuie să contribuie la evaluarea amenințărilor și vulnerabilităților. În condițiile în care amenințările sunt într-o continuă schimbare, lista nu este în niciun caz cuprinzătoare și completă.
Câteva dintre cele mai comune amenințări sunt:
– erorile și omisiunile;
– frauda și furtul;
– sabotajul angajaților, personalului;
– pierderea suportului fizic și de infrastructură;
– accesul neautorizat în SIC-uri cu intenții ostile și premeditate;
– coduri ostile, cu rea intenție;
– spionaj industrial.
Pentru evaluarea amenințării, vor fi luate în considerare:
– sursa;
– motivația, capabilitățile percepute ale amenințării și resursele pe care le are aceasta;
– factorii geografici pentru amenințările mediului înconjurător;
– frecvența apariției;
– gravitatea amenințării.
Exemple de vulnerabilități:
– conexiuni neprotejate (ex. la Internet);
– procesele de identificare a utilizatorilor de la distanță;
– utilizatori nepregătiți;
– pregătirea inadecvată a personalului itc;
– selecție greșită și utilizarea greșită a parolelor;
– mecanisme de control al accesului ineficiente (logic și/sau fizic);
– configurarea incorectă a mecanismelor de securitate;
– defecte cunoscute și nereparate ale programelor (software) de securitate;
– informații informatice prea larg disponibile;
– lipsa copiilor de rezervă a informațiilor și programelor;
– localizarea în afara zonelor de securitate a obiectivului pe timpul exercițiilor, misiunilor etc.
Câteva amenințări sau vulnerabilități pot afecta mai mult de un bun informațional. Aceasta poate determina impacturi diferite, în funcție de informație a fost afectată. Rezultatul acestei componente este o listă a amenințărilor și vulnerabilităților schițată pe grila valorilor informaționale, a probabilităților și consecințelor amenințărilor manifestate.
4.2Metodologia de determinare a riscului de securitate
Pornind de la considerentele prezentate în secțiunile anterioare și având în vedere cerințele de securitate prevăzute în Politica de securitate a organismului militar, am proiectat un model de analiză a riscurilor de securitate ce poate fi un instrument util și facil structurilor de securitate în cadrul procesului de management al riscurilor de securitate desfășurat de la fiecare eșalon.
Riscul de securitate în domeniul protecției informațiilor clasificate este direct proporțional cu nivelul vulnerabilităților existente în cadrul obiectivului, respectiv cu totalitatea amenințărilor existente în mediul funcțional și operațional al acestuia. Riscul poate fi privit și exprimat ca fiind o serie de evenimente nedorite, care au o anumită probabilitate de realizare și care produc o serie de prejudicii în domeniul protecției informațiilor clasificate.
Pentru a se crea o imagine cât mai cuprinzătoare a nivelului de risc la nivelul unui obiectiv militar am încercat identificarea a cât mai multor evenimente nedorite, precizate anterior, pe care le voi numi în continuare evenimente de risc.
Evenimentul de risc, după cum am văzut, poate fi exprimat în funcție de doi parametrii: prejudiciile produse de realizarea evenimentului (costul), parametru pe care îl vom numi în continuare impact al evenimentului de risc, și probabilitatea de realizare a evenimentului de risc.
Probabilitatea de realizare a evenimentului de risc este un parametru care se determină funcție de indicatorii vulnerabilitate și amenințare specifici obiectivului, exprimați procentual, conform ecuației de mai jos:
Probabilitate = Nivel vulnerabilitate (%) x Nivel amenințare (%)
Nivelul amenințării este un indicator exprimat funcție de mediul de securitate global și local specific obiectivului, și este exprimat pentru fiecare eveniment de risc în parte. În procesului de estimare a nivelului amenințării pentru un obiectiv anume pot fi luați în calcul numeroși vectori de amenințare, unii dintre aceștia fiind extrem de dificil de cuantificat, aspect ce induce un nivel ridicat de complexitate al procesului, precum și numeroase elemente de particularitate pentru fiecare obiectiv în parte.
Nivelul vulnerabilității este un indicator care poate fi determinat pe baza unor evaluării realizate pentru fiecare domeniu al securității. Pentru estimarea nivelului vulnerabilității pentru un domeniu se folosește o machetă care cuprinde toate vulnerabilitățile specifice domeniului, și care au fost identificate în cadrul obiectivului. Aceste valori ale vulnerabilităților se exprimă procentual, iar valoarea totală a parametrului vulnerabilitate pentru un anumit domeniu se obține prin medierea aritmetică a acestor valori.
Odată obținute valorile vulnerabilităților pentru toate domeniile securității se impune identificarea valorii globale a parametrului vulnerabilitate. Pentru realizarea acestui deziderat este necesară realizarea unei ierarhizări a domeniilor funcție de importanța acestora, corelată cu intensitatea vectorilor amenințare orientați pe domenii.
Cel mai simplu mod de ierarhizare se poate obține prin stabilirea unor parametrii, exprimați procentual, fiecare parametru reprezentând ponderea domeniului în determinarea valorii globale a vulnerabilității. Suma totală acestor ponderi, într-o estimare corectă, trebuie să fie 100%. Determinarea valorii globale a parametrului vulnerabilitate se realizează folosind ecuația :
Vulnerabilitate Total = ∑ Ponderei x Vulnerabilitatei
unde Ponderei și Vulnerabilitatei reprezintă valoarea ponderii, respectiv valoarea determinată a vulnerabilității pentru domeniul “i”.
Impactul evenimentului de risc este un parametru care poate fi estimat ușor, funcție de consecințele sau costurile pe care le implică realizarea unui eveniment de risc. O estimare simplă, se poate face pe o scară de la 1 la 10, iar unitățile de măsură pentru această scară le vom numi unități impact.
Pentru fiecare eveniment de risc identificat în domeniul securității informațiilor clasificate se va face o estimare a impactului, în unități impact. Acest parametru fiind utilizat atât în determinarea riscului pentru un anume domeniu al securității, cât și pentru determinarea nivelului global al riscului.
În momentul de față dispunem de toți parametrii ecuației de calcul a riscului. Probabilitatea de realizare a evenimentelor de risc pentru fiecare domeniu în parte se va obține din produsul valorii parametrului vulnerabilitate și pondere, pentru domeniul în cauză, respectiv valoarea amenințării asociate evenimentului de risc:
ProbabilitateDomeniu = (Vulnerabilitate x Pondere)Domeniu x
Nivel AmenințareEveniment de Risc ;
După obținerea tuturor probabilităților de realizare a evenimentelor de risc pe fiecare domeniu al securității în parte, conform ecuației de mai sus, se pot determina cu ușurință valorile riscului pe domenii și evenimente folosind ecuația:
Nivel Risc Domeniu = Probabilitate Domeniu x Impact Eveniment de Risc ;
Determinarea nivelului global al riscului asociat unui eveniment se poate realiza prin însumarea tuturor nivelurilor de risc pe domenii, determinate anterior, sau se poate folosi valoarea nivelului global al vulnerabilității, conform ecuației:
Risc Total = Vulnerabilitate Global x Amenințare Eveniment de Risc x
Impact Eveniment de Risc ;
Valoarea riscurilor determinate sunt exprimate în unități impact și reprezintă valoarea, cea mai probabilă, a pierderilor generate de vulnerabilitățile și amenințările asociate obiectivului evaluat.
Metodologia de față este un model care poate fi ușor adaptat și particularizat pentru fiecare obiectiv în parte. Macheta folosită pentru determinarea vulnerabilităților poate fi completată și actualizată funcție de evoluția și tendințele în domeniu. Nu există limitări privind numărul de evenimente de risc, fiind astfel aplicabilă pentru orice tip de situație sau stare generatoare de risc.
Metodologia a fost implementată în cadrul unei aplicații pentru determinarea riscurilor de securitate în domeniul protecției informațiilor clasificate, și este prezentată în anexa prezentei lucrări. Aplicația este poate fi particularizată în funcție de specificul obiectivelor militare și poate fi un instrument util pentru decidenții militari de la diverse eșaloane.
4.3 Descrierea aplicației de calcul al
Riscului de Securitate la adresa informațiilor clasificate
Aplicația de calcul al riscului de securitate permite estimarea nivelurilor de risc ale unui obiectiv militar prin determinarea vulnerabilităților asociate fiecărui domeniu al securității și corelarea acestora cu nivelul estimat al amenințărilor, respectiv cu impactul rezultat în situația în care evenimentele de risc se realizează.
Evenimentele de risc definite și utilizate în cadrul aplicației sunt:
-Pierderea Confidențialității Informațiilor;
-Pierderea Disponibilității Informațiilor;
-Pierderea Integrității Informațiilor;
-Posibilitatea Repudierii Transmiterii de Informații;
-Pierderea Autenticității Informațiilor;
-Imposibilitatea Auditării Acțiunilor;
-Pierderea Exactității Informațiilor;
-Imposibilitatea Restaurării Informațiilor în Situația Pierderii
Disponibilității.
Modelul matematic de calculare al riscului de securitate are la bază parametrii vulnerabilitate, amenințare și cost (în cazul structurilor militare costul este exprimat ca nivel al impactului produs de realizarea unui eveniment de risc pe o scară de la 1 la 10). Ecuația de calcul este:
Risc = Vulnerabilitate x Amenințare x Impact (Cost);
Aplicația a fost dezvoltată folosind instrumentul de calcul tabelar Excel din suita Microsoft Office 2003.Interfața grafică conține multe detalii explicative fiind ușor utilizabilă în procesul de completare a machetelor de date și în analiza rezultatelor. Estimările se risc sunt determinate atât la nivel global, cât și pentru fiecare domeniu al securității în parte.
Pentru determinarea nivelului de risc al unui obiectiv militar, utilizatorul trebuie să parcurgă următorii pași:
Pasul 1
În cadrul tabelului „Valoare Amenințări”(Tabelul Nr.1) se completează, pentru fiecare eveniment de risc, valori estimate procentual ale parametrului amenințare. Aceste valori sunt estimate funcție de condițiile și particularitățile mediului de securitate global și local al obiectivului militar.
Tabelul Nr.1
Pasul 2
În cadrul tabelului „Domeniile securitații”(Tabelul Nr.2) se completează valorile ponderilor domeniilor securității utilizate în determinarea valorii totale a parametrului vulnerabilitate.
Pentru determinarea valorii totale a parametrului vulnerabilitate se utilizează un procedeu de mediere ponderată a valorilor determinate pe fiecare domeniu în parte. Ponderile utilizate în mediere se exprimă procentual, suma acestora fiind mereu 100% .Aplicația calculează suma ponderilor iar utilizatorul poate urmării rezultatul în rubrica „Total” .
Aplicația calculeaza automat valoarea vulnerabilității totale după introducera ponderilor si a nivelurilor de amenințări.
În urma completării se obțin valori ale vulnerabilităților pe fiecare domeniu al securității care se utilizează apoi în determinarea riscului.
Tabelul Nr.2
Pasul 3
Parametrul Impact (Cost) se exprimă pentru fiecare eveniment de risc și se completează de către utilizator în tabelul de calcul „RISC” la rubrica „Nivelul impactului” (valorile sunt pe scara 1 la 10).
După completarea tuturor datelor prezentate anterior, aplicația generează o matrice cu valorile riscului pe domenii și pentru fiecare eveniment în parte, precum și valori totale ale riscurilor pe evenimente. Valorile riscului sunt exprimate în procente (scară de la 0 la 100%, valoarea maximă fiind egală cu parametrul Impact în situația în care valorile amenințate și vulnerabilitate sunt 100%).
Tabelul Nr.3
Valorile determinate ale nivelului de risc precum și cele exprimate ale parametrilor amenințare (pe evenimente de risc) și vulnerabilitate (pe domenii ale securității) sunt exprimate și sub forma unor diagrame grafice în pagina „DIAGRAME”.(Vezi diagramele 1,2,3)
Prin determinarea nivelului de amenințare si vulnerabilitate adiacent fiecărui domeniu al securității vom cunoaște nivelul riscului ,astfel vom știi unde avem probleme în procesul de protecție a informațiilor clasificate si vom proceda in consecință pentru inlăturarea sau limitarea consecințelor prin inplementarea de noi măsuri de securitate.
1.Diagrama Amenințări
2.Diagrama Vulnerabilități
3.Diagrama Riscului
BIBLIOGRAFIE
Lucrări de specialitate
1. Boaru G., Răducu M., Păun V. , Managementul riscurilor în acțiunile militare, Editura Academiei de Înalte Studii Militare, București, 2003;
2. Cornescu V., Marinescu P., Curteanu D., Toma S. , Management – de la teorie la practică, Editura Universității, București, 2004
3. Hubbard, D. W. , How to Measure Anything: Finding the Value of Intangibles in Business, Editura Wiley, 2010.
4. Knight, Frank H., Risk Uncertainty and Profit, Editura Hart Schaffner & Marx, Houghton Mifflin Co, 1921;
5. Macarie C., Curs Teorii organizaționale , Universitatea Babeș Bolyai Facultatea de Științe Politice Administrative și ale Comunicării Departamentul de Administrație Publică, 2006;
6.Rusu C., Riscul in activitatea de management, Editura Economica,București,
2010;
Publicații
1.Aldea C., Securitatea informației, Facultatea de matematică și
informatică/Universitatea Transilvania din Brașov, www.cs.unitbv.ro
2. Banu C., De ce este necesar un management al riscurilor?, Publicat in 26 iunie 2010, www.datasecurity.ro;
3. Bujoreanu I., Rezumat teză de doctorat, Considerații asupra evaluării riscului în sistemul românesc de Management al resurselor de apărare, Academia Tehnică Militară, 2006, www.mta.ro;
4. Dornescu V., Diminuarea riscurilor ca obiectiv principal al managementului afacerilor, Data publicării: 14/01/2009, http://www.flacarais.ro;
5. Gheorghe A..V., Analiza de risc si de vulnerabilitate pentru infrastructurilor critice ale societății informatice –societate a cunoașterii, www.acad.ro/pro_pri/doc/st_b02.doc;
6. Ilie Gh., Securitatea proceselor și calitatea vieții – Managementul riscului, Revista Alarma Nr. 1 din martie 2007, www.revista-alarma.ro;
7. Mihaiu M., Democrația și cultura de securitate, Articol publicat în Revista SPIRIT MILITAR MODERN, Anul XV Nr.6-7 (101-102)/2005, www.networksecurity.ro;
8. Persu I., Predescu I., Managementul riscurilor majore in industrie, FORUMUL REGIONAL AL ENERGIEI – FOREN 2008, Neptun, 15-19 iunie 2008
9.***, The Orange Book – Management of Risk – Principles and Concepts, HM Treasury, October 2004, www.hm-treasury.gov.uk
10.***, Vulnerabilitatea și riscul în politicile de securitate, Articol publicat în Revista de Științe Politice, 1 Aprilie 2008, www.thefreelibrary.com;
11.***, Ce este si cum te ajuta managementul riscului?, Publicat pe 26 August 2008, www.startups.ro ;
12.***, Curs Masterat – Tehnologii, structuri și managementul rețelelor de calculatoare, Riscurile de atac asupra sistemelor informaționale, www.xanderzone.ro
13.***,International Organization for Standardization, New ISO/IEC standard on risk assessment complements risk management toolbox, Articol publicat în data de 27.01.2010, www.iso.org.
14.***, Glosar de termeni de intelligence competitiv, www.intellcompetitiv.ro
15.***, Principiile și Metodologia Standardizării Managementului Riscului, Universitatea “ 1 Decembrie 1918” Alba Iulia, www.uab.ro;
C.Legislație si reglementări
1.Legea nr. 182/2002 privind protecția informațiilor clasificate, publicata in Monitorul Oficial nr. 248 din 12 aprilie 2002;
2. HG-585/2002 pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România, publicat în Monitorul Oficial, Partea I nr. 485 din 5 iulie 2002.
3. Ordinul nr. 946 din 04.07.2005 pentru aprobarea „Codului controlului intern, cuprinzând standardele de management/control intern la entitățile publice” și pentru dezvoltarea sistemelor de control managerial;
4. Ordinul nr. M-149 din 03.08.2007 privind constituirea comisiei de monitorizare, coordonare și îndrumare metodologică a dezvoltării sistemului de control managerial în MApN”;
5. Ordinul M-113 din 26.10.2009 pentru aprobarea normelor metodologice privind elaborarea și dezvoltarea sistemului de control managerial în Ministerul Apărării Naționale;
6. MEHARI 2007 – Ghid de evaluare pentru serviciile de securitate, CLUSIF, 10 februarie 2008, www.managementul-riscurilor.ro;
7. P.I.C.-1, Norme privind protecția informațiilor clasificate în Armata României, 2002;
8. Standardul ISO/DIS 31000:2008- Risk management – Principles and guidelines, www.iso.org;
ANEXE
Anexa Nr.1
Tabel cu definiții
Anexa Nr.2
Registrul de riscuri al Ministerului Apărării Naționale
REGISTRUL DE RISCURI
AL MINISTERULUI APĂRĂRII NAȚIONALE
Legendă: Scala de evaluare a riscurilor
BIBLIOGRAFIE
Lucrări de specialitate
1. Boaru G., Răducu M., Păun V. , Managementul riscurilor în acțiunile militare, Editura Academiei de Înalte Studii Militare, București, 2003;
2. Cornescu V., Marinescu P., Curteanu D., Toma S. , Management – de la teorie la practică, Editura Universității, București, 2004
3. Hubbard, D. W. , How to Measure Anything: Finding the Value of Intangibles in Business, Editura Wiley, 2010.
4. Knight, Frank H., Risk Uncertainty and Profit, Editura Hart Schaffner & Marx, Houghton Mifflin Co, 1921;
5. Macarie C., Curs Teorii organizaționale , Universitatea Babeș Bolyai Facultatea de Științe Politice Administrative și ale Comunicării Departamentul de Administrație Publică, 2006;
6.Rusu C., Riscul in activitatea de management, Editura Economica,București,
2010;
Publicații
1.Aldea C., Securitatea informației, Facultatea de matematică și
informatică/Universitatea Transilvania din Brașov, www.cs.unitbv.ro
2. Banu C., De ce este necesar un management al riscurilor?, Publicat in 26 iunie 2010, www.datasecurity.ro;
3. Bujoreanu I., Rezumat teză de doctorat, Considerații asupra evaluării riscului în sistemul românesc de Management al resurselor de apărare, Academia Tehnică Militară, 2006, www.mta.ro;
4. Dornescu V., Diminuarea riscurilor ca obiectiv principal al managementului afacerilor, Data publicării: 14/01/2009, http://www.flacarais.ro;
5. Gheorghe A..V., Analiza de risc si de vulnerabilitate pentru infrastructurilor critice ale societății informatice –societate a cunoașterii, www.acad.ro/pro_pri/doc/st_b02.doc;
6. Ilie Gh., Securitatea proceselor și calitatea vieții – Managementul riscului, Revista Alarma Nr. 1 din martie 2007, www.revista-alarma.ro;
7. Mihaiu M., Democrația și cultura de securitate, Articol publicat în Revista SPIRIT MILITAR MODERN, Anul XV Nr.6-7 (101-102)/2005, www.networksecurity.ro;
8. Persu I., Predescu I., Managementul riscurilor majore in industrie, FORUMUL REGIONAL AL ENERGIEI – FOREN 2008, Neptun, 15-19 iunie 2008
9.***, The Orange Book – Management of Risk – Principles and Concepts, HM Treasury, October 2004, www.hm-treasury.gov.uk
10.***, Vulnerabilitatea și riscul în politicile de securitate, Articol publicat în Revista de Științe Politice, 1 Aprilie 2008, www.thefreelibrary.com;
11.***, Ce este si cum te ajuta managementul riscului?, Publicat pe 26 August 2008, www.startups.ro ;
12.***, Curs Masterat – Tehnologii, structuri și managementul rețelelor de calculatoare, Riscurile de atac asupra sistemelor informaționale, www.xanderzone.ro
13.***,International Organization for Standardization, New ISO/IEC standard on risk assessment complements risk management toolbox, Articol publicat în data de 27.01.2010, www.iso.org.
14.***, Glosar de termeni de intelligence competitiv, www.intellcompetitiv.ro
15.***, Principiile și Metodologia Standardizării Managementului Riscului, Universitatea “ 1 Decembrie 1918” Alba Iulia, www.uab.ro;
C.Legislație si reglementări
1.Legea nr. 182/2002 privind protecția informațiilor clasificate, publicata in Monitorul Oficial nr. 248 din 12 aprilie 2002;
2. HG-585/2002 pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România, publicat în Monitorul Oficial, Partea I nr. 485 din 5 iulie 2002.
3. Ordinul nr. 946 din 04.07.2005 pentru aprobarea „Codului controlului intern, cuprinzând standardele de management/control intern la entitățile publice” și pentru dezvoltarea sistemelor de control managerial;
4. Ordinul nr. M-149 din 03.08.2007 privind constituirea comisiei de monitorizare, coordonare și îndrumare metodologică a dezvoltării sistemului de control managerial în MApN”;
5. Ordinul M-113 din 26.10.2009 pentru aprobarea normelor metodologice privind elaborarea și dezvoltarea sistemului de control managerial în Ministerul Apărării Naționale;
6. MEHARI 2007 – Ghid de evaluare pentru serviciile de securitate, CLUSIF, 10 februarie 2008, www.managementul-riscurilor.ro;
7. P.I.C.-1, Norme privind protecția informațiilor clasificate în Armata României, 2002;
8. Standardul ISO/DIS 31000:2008- Risk management – Principles and guidelines, www.iso.org;
ANEXE
Anexa Nr.1
Tabel cu definiții
Anexa Nr.2
Registrul de riscuri al Ministerului Apărării Naționale
REGISTRUL DE RISCURI
AL MINISTERULUI APĂRĂRII NAȚIONALE
Legendă: Scala de evaluare a riscurilor
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Managementul Riscului Asupra Informatiilor Clasificate din Ministerul Apararii (ID: 142443)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.