Șef departament: conf. univ., dr. Fiodorov Ion [603826]

1

Universitatea Tehnică a Moldovei

Model practic de gestionare a riscurilor
informaționale

Practical model of information risk management

Masterand: [anonimizat]:
Conf. univ., dr. Beșliu Victor

Chișinău – 2020

2
Ministerul Educației Culturii și Cercetării al Republicii Moldova
Universitatea Tehnică a Moldovei
FACULTATEA Calculatoare, Informatică și Microelectronică
Departamentul Ingineria Software și Automatică

Admis la susținere
Șef departament: conf. univ., dr. Fiodorov Ion
_______________________________
„__”_____________ 2020

Model practic de gestionare a riscurilor informaționale

Teză de master în Securitate Informațională

Masterand:__ _____________ ________________(Agapii Cristian )
Conducător:__ ________________ ______________(Beșliu Victor )

Chișină u – 2020

3

DECLARAȚIA DE ONESTITATE

Subsemnatul Agapii Cristian masterand: [anonimizat], Informatică și Microelectronică a
Universității Tehnice a Moldovei, programul de master Securitate Informațională.
Declar pe proprie răspundere că la conceperea tezei de master cu titlul Mo del practice de gestionare a
riscurilor informaționale.
Sub conducerea științifică Beșliu Victor.
Nu am folosit alte surse decât cele menționate în bibliografie, lucrarea îmi aparține în întregime și nu conține
plagiat.

Data _____________ Agapii Cristian
___________________

4
UNIVERSITATEA TEHNICĂ A MOLDOVEI
FACULTATEA Calculatoare, Informatică și Microelectronică
Departamentul Ingineria Software și Automatică

AVIZ
la teza de master
Program de master Securitate Informațională
Tema: Model practice de gestionare a riscurilor informaționale

Masterand: [anonimizat]: Agapii Cristian gr. SI -181M

1. Actualitatea temei este determinată de necesitatea eficientizării procese lor de analiză a riscurilor de
securitate, accelerînd acumu larea informațiilor de maximă utilitate și care să descrie situația reală, proces e
important e în activitatea oricărei organizații.
2. Caracteristica tezei de master teza reprezintă un document finalizat care corespunde tuturo r cerințelor
înaintate. În luc rare a fost dezvoltat un model de gestionare a riscurilor informaționale, bazat pe standarde din
categoria ISO 27000 și a cerințelor instituției în care este implementat acest model.
3. Conținutul științific/practic modelul de gest iune a riscurilor este de scris la nivel general cu prezentarea
unor descrieri amănunțite a le proceselor prin care se realizează identificarea și analiza riscurilor.
4. Estimarea și valoarea rezultatelor obținute modelul de gestiune a r iscurilor informaționale descris în
lucrare f uncționează corect, nu este complicat, fiind dezvoltat pentru a simplifica procedura de gestionare a
riscurilor.
5. Corectitudinea materialului expus teza corespunde cerințelor înaintate, iar corectit udinea materialului
este verificată de derularea procese lor de analiză și prin faptul că acest model este deja aprobat în cadrul
instituției unde autorul își desfășoară act ivitatea profesională, I.P. „Centrul de Tehnologii Informaționale în
Finanțe ” (I.P. „CTIF”), în calitate de Specialist control risc coordo nator.
6. Valoarea teoretică și practică a tezei este demonstrată de exploatarea industrial ă a rezultatelor tezei în
cadrul I.P. „CTIF”.
7. Observații și recomandări recomand implementarea modelului elaborat la nivelul întregului Minister al
Finanțelor.
8. Caracteristica masterandului și tit lul conferit obiectivele și scopul tezei au fost atinse în totalitate, teza
corespunde cerințelor școlii superioare și poate fi notată cu nota 10 (zece), iar masterandului să -i fie conferit
calificativul Master în Securit atea informației.
Conducătorul
tezei de master ________________________________________________________

5
Adnotare:

Această teză de master a fost elaborată de studentul Agapii Cristian, grupa SI -181M, cu tematica
„Model practic de gestionare a riscurilor informaționale”. Structura tezei este formată din: Introducere, 3
capitole, Concluzii și Anexe.
Abordarea acestei lucrări este determinată de necesitatea unor procese de analiză a riscurilor mult mai
eficiente, rapide și în urma cărora va fi acumulată max imă informație utilă și care va descrie cu certitudine
situația reală. Analiza riscurilor este un proces important în activitatea unei organizații.
Valoarea teoretică este fundamentată din analiza a mai multor surse din literatura de specialitate din
domen iul securității informaționale și a analizei riscurilor, precum și conformarea cu cerințele standardelor
internaționale (ISO 27001, ISO 27002, ISO 27005, CobiT, NIST, etc.) și cu bazele lugale cum ar fi hotărîri
de guvern, ordine și sarcini tehnice (HG nr. 201 din 28.03.2017, etc.).
În primul capitol a acestei teze de master este descrisă analiza domeniului de studiu, unde au fost
descrisă definirea managementului riscurilor precum și definiția de risc, necesitatea unei metodologii bine
aranjată și structur ată pentru a piermite ușurința procesului de colectare a informației și elaborarea
documentației, cum se elaborează politici de gestionarea a riscurilor și însuce descrie un proces de gestionare
și identificare a riscurilor.
În capitolul doi au fost anali zate numeroase tehnici de gestionare a riscurilor, ca de exemplu: analizs
SWOT, analiza GAP, Brainstorimiing și analiza CSM. Acestea prezentînd doar o etapă din întreg procesul de
identificare și analiză a riscurilor.
În capitolul trei este prezentat însuș i modelul de gestionare a riscurilor elaborat de către autor, acesta
cuprinde cîteva etape cheie: identificarea resurselor, identificarea amenințărilor și vulnerabilităților, analiza
de risc și tratarea riscurilor. Ca etapă finală a întregului proces se re zultă un Plan de tratare a riscurilor, acesta
fiind documentul scop a întregului model elaborat în această teză de master.
În concluzie această teză de master putem spune că au fost abordate principalele probleme întîlnite în
procesul de gestionare a riscu rilor și modelul propus este unul practic, fiind implementat și aprobat într -o
instituție.

6
Abstract

This master's thesis was elaborated by the student Agapii Cristian, group SI -181M, with the theme
"Practical model of information risk management". The structure of the thesis consists of: Introduction, 3
chapters, Conclusions and Annexes.
The approach of this paper is determined by the need for processes of analysis of the risks more
efficient, fast and after which will be accumulated maximum useful inf ormation and that will describe with
certainty the real situation. Risk analysis is an important process in the activity of an organization.
The theoretical value is based on the analysis of several sources in the specialized literature in the
field of inf ormation security and risk analysis, as well as in compliance with the requirements of international
standards (ISO 27001, ISO 27002, ISO 27005, CobiT, NIST, etc.) and with the bases such as government
decisions, orders and technical tasks (GD no. 201 of 2 8.03.2017, etc.).
In the first chapter of this master's thesis is described the analysis of the field of study, where the
definition of risk management as well as the definition of risk was described, the need for a well -arranged
and structured methodology in order to lose the ease of the information collection process and the
documentation elaboration, as described develops risk management policies and then outlines a risk
management and identification process.
In chapter two, many risk management techniq ues were analyzed, such as: SWOT analysis, GAP
analysis, Brainstorimiing and CSM analysis. They present only one stage in the entire process of risk
identification and analysis.
Chapter three presents the risk management model itself developed by the autho r, which includes
several key steps: identifying resources, identifying threats and vulnerabilities, risk analysis and risk
management. As a final stage of the entire process, a Risk Management Plan is the result, which is the
purpose document of the entir e model elaborated in this master's thesis.
In conclusion, this master's thesis can say that the main problems encountered in the risk management
process were addressed and the proposed model is a practical one, being implemented and approved in an
institu tion.

7
Cuprins
Introducere ………………………….. ………………………….. ………………………….. ………………………….. .. 8
1. Analiza domeniului de studiu ………………………….. ………………………….. ………………………….. . 9
1.1. Definirea managementul riscur ior ………………………….. ………………………….. ……………… 9
1.2. Definiții ………………………….. ………………………….. ………………………….. ……………………… 10
1.3. Necesitatea metodologii ………………………….. ………………………….. ………………………….. .. 13
1.4. Strategia de gestionare a riscurilor ………………………….. ………………………….. …………….. 14
1.5. Elaborarea politicii de gestionare a riscurilor ………………………….. ………………………….. 17
1.6. Proces ul de gestionare a riscurilor ………………………….. ………………………….. ……………… 18
1.7. Identificare a riscurilor ………………………….. ………………………….. ………………………….. ….. 20
2. Tehnici de identifi care a riscurilor ………………………….. ………………………….. …………………….. 24
2.1. Analiza GAP (decalaj) ………………………….. ………………………….. ………………………….. …. 24
2.2. Brainstorming ………………………….. ………………………….. ………………………….. …………….. 26
2.3. Analiza SWO T ………………………….. ………………………….. ………………………….. ……………. 28
2.4. Metoda Crawford Slip (CS M) ………………………….. ………………………….. …………………… 30
3. Prezentarea modelului de gestionare a riscurilor innformaționale ………………………….. ……… 33
3.1. Identificarea resurs elor (proceselor / active lor) ………………………….. ………………………… 33
3.2. Identificarea amenințărilor și vulnerabilităților ………………………….. ………………………… 34
3.3. Analiza de risc ………………………….. ………………………….. ………………………….. …………….. 35
3.4. Tratarea riscurilor ………………………….. ………………………….. ………………………….. ………… 36
Concluzii ………………………….. ………………………….. ………………………….. ………………………….. …. 38
Bibliografie ………………………….. ………………………….. ………………………….. ………………………….. . 39

8
Introducere
Prezenta metodologie are ca scop îmbunătățirea procesului de management al riscurilor, prin
parcurgerea etapelor de bază: identificarea, evaluarea, gestionarea și tratarea riscurilor. Prevederile se aplică
de către personalul responsabil implicați în proce sul de identificare, evaluare, stabilire a măsurilor de tratare
și monitorizare a minimizării riscurilor.
Metodologia vizează resursele stabilite pe următoarele categorii – informații, hardware, software,
personal, locație și facilități, precum și procesel e principale identificate, considerate în continuare ca
categorie de resurse organizaționale.
Riscul este evenimentul capabil (în cazul producerii) să exercite o influență asupra desfășură rii
proiectului. Riscurile există în toate proiectele, dar nu neapă rat se produc. Majoritatea experților sunt de
părerea: cu cît mai degrabă va fi stabilit pericolul pote nțial, cu atît mai mult timp va rămane ca echipa de
proiectanți să -l neutralizeze sau s ă minimizeze pierderile. Astfel, identifica rea riscurilor trebuie efectuată la
etapa incipientă a lucră rilor asupra IT -proiectului.
Majoritatea companiilor activitatea c ărora ț ine de elaborarea de proiect a produselor program (PP),
alcătuiesc propriile cla sificatoare de riscuri, bazate atît pe cunoștinț ele teoretice, cît și pe experienț a de
realizare a proiectelor. În cele mai dese cazuri, complexitatea factorilor de risc este divizată convențional în
cei obiectivi ș i subiectiv i. La factorii obiectivi rapor tăm: modificarea datelor inițiale, condiț iilor
Beneficiarului, furnizarea întîrziată a utilajului, precum și circumstanțele de forță majoră .
O altă variantă de clasificare a riscurilor este clasificarea lor în cele interne și externe. Această
modalitate es te utilizată pentru definirea simplificată a pericolelor potențiale și mă surilor de contracarare a
acestora. Pe de o pa rte, sunt formate riscurile ce ț in de activitatea fi rmei-proiectante, iar pe de altă parte
riscurile, la care este supus Beneficiarul. Sc hema prezentată se complică și în cazul, î n care firma -proiectant
transmi te o parte din lucrari unei terțe organizații de subantrepriză. În această situaț ie apare t erța parte ș i
respectivele riscuri ce nu trebuie trecute cu vederea.
Impactul, ori consecinț ele riscului reprezintă influenț a riscului produs asupra posibilităț ii de realizare a unor
componente anumite ale planului. Impactul se referă, de regulă, la costul, graficul ș i caracteristicile tehnice
ale produsului elaborat. Spre exemplu, la elaborarea PP impactul riscului poate avea ca efect
necorespunderea produsului exigentelor Benefici arului, ba mai mult ca atît el poate deveni de -a dreptul inutil.
Impac tul adeseori parcurge o perioadă latent din momentul apariț iei ris cului pînă la apariția modifică rii
rezultante in sistem. Pentru evaluarea impactului riscului sunt de regulă, utilizate unităț i conventionale ori
scara calitativă (spre exemp lu, impactul neglijabil, neesențial, esenț ial, mare, catastrofal). Pentru lucrul cu
riscurile poziti ve se impune extinderea scă rii în mod corespunză tor.

9
1. Analiza domeniului de studiu
1.1. Definirea managementul riscurilor
Gestionarea riscurilor – reprezintă un model organizațional care vizează dezvoltarea calității
proceselor de management. Se dezvăluie prin analiza succ intă a evenimentelor care nu au avut loc niciodată
în cadrul organizației, și cele care au o pondere de repetare sporită. Spre deosebire de majoritatea sistemelor
de gestionare, managementul riscurilor nu se supune cu alte controale interne, deoarece repre zintă o
perspectivă diferită, care include planificarea și monitorizarea, evaluarea performanțelor, auditul, calitatea,
etc.
Deaceea managementul riscurilor asigură organizația să îmbunătățească calitatea serviciilor și a
produselor, deoarece aceasta susți ne procesele decizionale, pregătește din timp pentru dificultăți care pot
împiedica realizarea obiectivelor strategice [3].
În termeni generali, principala sarcină a managementului riscului este protecția și consolidarea, se
referă la următoarele:
– valoarea și etica;
– imobilizări materiale și necorporale ale entităților;
– creșterea culturii organizaționale;
– conducerea și relații;
– eficiența și productivitatea proceselor;
– resursele pentru prioritățile strategice;
– interesul partenerilor externi.
Managementul riscurilor poate fi văzut ca un instrument eficient de gestionare a proceselor unei
organizații. De fapt, se ocupă de riscurile și oportunitățile care afectează sau păstrează valorile întreprinderii.
De fapt, managementul riscurilor reprezin tă: „Procesul desfășurat de comisia administrației, de
conducere și alte persoane responsabile din cadrul oragnizației, utilizat în întreprindere, destinat identificării
eventualilor evenimente care ar putea afecta organizația și gestionarea riscurilor în timpul creșterii acestuia,
pentru a oferi asigurarea suficientă privind atingerea obictivelor organizației” [1].
Gestionarea riscurilor reflectă cîteva concepte de bază:
– procesul actual care are loc în cadrul organizației;
– impactul factorului uman la toa te nivelurile organizației;

10
– aplicarea în dezvoltarea strategiei;
– aplicare în întregime la fiecare nivel și diviziune a întreprinderii, care include o analiză completă la
nivelul de risc al organizației;
– are ca scop de a identifica evenimentele eventuale, c are, în caz de apariție vor afecta esența și
gestionarea riscurilor în cadrul parametrilor acceptabili de pregătire;
– abilitatea de a oferi ogaranție conducerii și consiliului de administrație.
Gestionarea riscurilor ia în considerare evenimentele care au un impact negativ, ele reprezintă riscuri
care pot împiedica crearea valorii sau distrugerea deja celei existente. De fapt, conceptul de risc este mai
complex decît combinația dintre probabilitate și efect, include aspecte de analiză cognitivă față de
organizație, care include:
– profilul de risc – care include un set de riscuri care pot afecta întreaga întreprindere sau o parte a
acesteia;
– asumarea riscurilor – totalitatea riscurilor pe care organizația decide să le asume, gestioneze sau șă le
pună în aplica re;
– percepția riscului – descrie modul în care oamenii percep riscurile în conformitate cu valorile și
interesele lor;
– atitudinea față de risc – dacă organizația are o metodă eficientă în gestionarea anumitor tipuri de
riscuri, aceasta poate fi predispusă la un risc mai mare din acest tip, sau este posibil și invers, să nu fie
gata în acest domeniu;
– acceptarea riscului – în ceea pe privește impactul maxim potențial al riscului pe care o organizație îl
poate suporta. De multe ori nivelul de pregătire către un risc este mult mai mic decît nivelul acceptat;
– capacitatea de administrare a riscurilor – reprezintă nivelul maxim de risc pe care o oranizație îl poate
lua fără a încălca sarcina de reglementare;
– capacitatea de menținerea a riscului – care ia în consid erare indicativele de profit ale părților
interesate și gradul de pregătire pentru asumarea riscurilor;
– toleranța la risc – este nivelul soluțiilor pe care compania este gata să le accepte în scopuri ecifice [2].
O analiză a principalelor motive poate ajut a organizația să distingă riscurile care pot fi depășite în
mod eficient, de cele care pot fi depășite numai parțial sau acceptate.
1.2. Definiții
Principalele concepte utilizate în managementul riscurilor sunt următoarele:

11
– Atenuarea riscului – Măsurile întreprinse pentru diminuarea probabilității (posibilității) de apariție a
riscului sau/și de diminuare a consecințelor (impactului) asupra rezultatelor (obiectivelor) dacă riscul
s-ar materializa. Atenuarea riscului reprezintă diminuarea expun erii la risc, dacă acesta este o
amenințare.
– Controlul intern managerial – Ansamblul formelor de control exercitate la nivelul entității publice,
inclusiv auditul intern, stabilite de conducere, în concordanță cu obiectivele acesteia și cu
reglementările l egale, în vederea asigurării administrării fondurilor în mod economic, eficient și
eficace; acesta include, de asemenea, structurile organizatorice, metodele și procedurile. Sintagma
"control intern managerial" subliniază responsabilitatea tuturor niveluri lor ierarhice pentru ținerea sub
control a tuturor proceselor interne desfășurate, pentru realizarea obiectivelor generale și a celor
specifice .
– Evaluarea riscului – Evaluarea consecințelor materializării riscului, în combinație cu evaluarea
probabilității de materializare a riscului. Evaluarea riscului reprezintă evaluarea expunerii la risc.
– Expunere la risc – Consecințele, ca o combinație de probabilitate și impact, pe care le poate resimți o
organizație în raport cu obiectivele prestabilite, în cazul în care riscul se materializează.
– Gestionarea riscurilor / managementul riscurilor – Vizează toate procesele privind identificarea,
evaluarea, constituirea unui plan de măsuri de atenuare sau anticipare a acestora, revizuirea periodică,
monitorizarea progresu lui și stabilirea responsabilităților.
– Impactul – Reprezintă consecința / efectele generate asupra rezultatelor (obiectivelor), dacă riscul s –
ar materializa. Dacă riscul este o amenințare, consecința asupra rezultatelor este negativă, iar dacă
riscul este o oportunitate, consecința este pozitivă.
– Incident de integritate – Eveniment produs la nivelul unei structuri a entătăți, urmat de trimiterea în
judecată, adoptarea unei hotărâri definitive de condamnare pentru fapte de corupție, sau aplicarea unei
sancți uni disciplinare ca urmare a efectuării unui test de integritate, ori a întocmirii unui raport de
evaluare, rămas definitiv, de către Agenția Națională de Integritate.
– Materializarea riscului – Translatarea riscului din domeniul incertitudinii (posibilului ) în cel al
certitudinii (al faptului împlinit). Riscul materializat se transformă dintr -o problemă posibilă într -o
problemă dificilă, dacă riscul reprezintă o amenințare, sau într -o situație favorabilă, dacă riscul
reprezintă o oportunitate.
– Obiective gen erale – ținte fixate pe termen mediu sau lung, la nivelul global al entității publice și/sau
al funcțiunilor acesteia enunțate în actul normativ de organizare și funcționare al entității, sau stabilite
de conducere în planul strategic și documentele de pol itici publice.

12
– Obiective specifice – obiective rezultate din obiectivele generale și care constituie, de regulă, ținte
intermediare ale unor activități, care trebuie atinse pentru ca obiectivul general corespunzător să fie
îndeplinit. Acestea sunt exprimat e descriptiv sub formă de rezultate și se stabilesc la nivelul fiecărui
compartiment din cadrul entității publice.
– Probabilitatea de materializare a riscului – Posibilitatea sau eventualitatea ca un risc să se
materializeze. Reprezintă o măsură a posibilit ății de apariție a riscului, determinată apreciativ sau prin
cuantificare, atunci când natura riscului și informațiile disponibile permit o astfel de evaluare.
– Profilul de risc – Un tablou cuprinzând evaluarea generală documentată și prioritizată a gamei de
riscuri specifice identificate cu care se confruntă o entoitate.
– Responsabil cu riscurile – Persoană desemnată de către conducătorul unui compartiment, care
colectează alertele de risc, elaborează și actualizează registrul de riscuri la nivelul structurii și
pregătește reuniunile echipei de gestionare a riscurilor în cadrul compartimentului.
– Registrul de riscuri – Document integrator al gestiunii/managementului riscurilor, cuprinzâ nd o
sinteză a informațiilor și deciziilor luate în urma analizei riscurilor.
– Risc – O situație, un eveniment, care nu a apărut încă, dar care poate să apară în viitor, caz în care,
obținerea rezultatelor în prealabil fixate este amenințată sau potențată. Astfel, riscul poate reprezenta
fie o amenințare, sau o oportunitate și trebuie abordat ca fiind o combinație între probabilitate și
impact.
– Risc inerent – Expunerea cauzată de un anumit risc, înainte să fie luată vreo măsură de atenuare a
acestuia.
– Risc r ezidual – Expunerea cauzată de un anumit risc după ce au fost luate măsuri de atenuare a
acestuia. Măsurile de atenuare a riscurilor aparțin controlului intern. Din această cauză, riscul rezidual
este o măsură a eficacității controlului intern, fapt pentru care unele țări au înlocuit termenul de „risc
rezidual” cu cel de „risc de control”.
– Risc semnificativ/strategic – Risc major, reprezentativ care poate afecta capacitatea entității de a -și
atinge obiectivele. Se referă la riscurile identificate care ar pu tea avea un impact substanțial și o
probabilitate ridicată de manifestare, și care vizează entitatea în întregimea ei.
– Strategia de risc – Abordarea generală pe care o are entitatea publică în privința riscurilor. Ea trebuie
să fie documentată și ușor acce sibilă în entitate. În cadrul strategiei de risc se definește toleranța la
risc.
– Toleranța la risc – Cantitatea de risc pe care o entitate este pregătită să o tolereze sau la care este
dispusă să se expună la un moment dat [3].

13
1.3. Necesitatea metodologiei
Managementul riscurilor necesită im plicarea tuturor factorilor, atî t a celor cu responsabilități
decizionale, cî t și a celor cu atribuții executive din cadrul entități lor și stabilirea de linii clare de
responsabilitate la nivelul tuturor structurilo r orga nizatorice și decizionale.
Implementarea unui management al riscurilor în cadrul entităților este definit prin :
a) fluxul continuu, care constituie o parte integrantă a activității curente ;
b) procesul sistematic pentru optimizarea resurselor în conco rdață cu ob iectivele entității;
c) includerea aspectelor de tratare a riscului în practicile de management și la luarea deciziilor pe
parcursul întregului ciclu de viață al activităților;
d) maximizarea rezultatelor dorite, dacă este desfășurat într -o manieră integrate.
Managementul riscurilor reprezintă un proces complex de identificare, analiză și răspuns la posibile
riscuri ale unei entități, printr -o abordare științifică, care utilizează resurse mat eriale, financiare și umane
pentru atingerea obiectivelor, vizî nd red ucerea expunerii la pierderi. Astfel, controlul intern este asociat
direct cu managementul riscurilor, de oarece, prin măsurile luate, se asigură, în mod rezonabil, un cadru
funcțional ce permite entității publice să își atingă obiectivele .
Fiecare entitate are obligația de a analiza sistematic, cel puțin o dată pe an, riscurile legate de
desfășurarea activităților sale, să numească responsabili cu gestionarea riscurilor și să elaboreze registrele de
riscuri la nivelul compartimentelor .
În ceea ce privește M R, o atenție deosebită trebuie acordată atitudinii față de risc, care are la bază o
cultură organizațională specifică și mai puțin unui set de norme și reguli cu caracter imperativ .
Realizarea unui management coerent al riscurilor implică :
a) analiza prealabi lă a tuturor expunerilor la risc, identificarea surselor de risc fiind fundamentală
și determinantă în evaluarea corectă a riscurilor entității ;
b) identificarea riscurilor semnificative/strategice, care pot a fecta eficacitatea și eficiența
activităților aferente obiectivelor specifice, fără a ig nora regulile și regulamentele; încrederea
în informațiile financiare și în management; protejarea bunuri lor; prevenirea și descoperirea
fraudelor ;
c) definirea gradului de toleranță/nivelul acceptabil de expunere la riscuri ;

14
d) evaluarea probabilității ca riscul să se materializeze, stabilirea impactului și expunerea
acestuia ;
e) stabilirea strategiei (măsurilor de control) în vederea gestionării și monitorizării riscurilor .
Necesitatea elaborării metodologiei de management al riscurilor este descrisă de:
a) neidentificarea nevoii de pregătire profesională în domeniul managementului riscurilor ;
b) neparcurgerea în mod cronologic și succesiv a etapelor aferente procesului de gestionare a
riscurilor, ceea ce conduce la tratarea necorespunzătoare a riscurilor identificate la nivelul
entității ;
c) procesul de gestionare a riscurilor este organizat la nivelul Comisiei de monitorizare, nefiind
funcțională încă o structură distinctă cu atribuții în acest sens ;
d) activitățile privind identi ficarea, evaluarea și tratarea riscurilor se realizează subiectiv, nefiind
corelate cu o procedură de sistem privind Managementul riscurilor aferentă legislației în
domeniu ;
e) nu există o responsabilizare a personalului cu privire la gestionarea riscurilor, prin
menționarea atribuțiilor specifice unui management al riscurilor în fișele de post ;
f) evaluarea riscurilor și stabilirea măsurilor de control nu sunt în concordanță cu instrucțiunile
de completare prevăzute de cadrul legislativ, astfel estimarea punctaj ului aferent riscului
inerent și riscului rezidual este necorespunzătoare ;
g) confuzia creeată între risc și cauza care a generat apariția acestuia, cât și ierahizarea și
prioritizarea riscurilor ;
h) registrele de riscuri de la nivelul entităților sunt incomplet e și neactualizate pe formatul
prevăzut de cadrul de reglementare [2].
Managementul riscurilor asigură un cadru organizațional eficient și eficace în atingerea
obiectivelor de identificarea și ierarhizarea amenințărilor și a riscurilor va determina o prior itizare în
alocarea resurselor entității în urma unor analize „cost – beneficiu” sau mai general – „efort depus –
rezultat obținut” și eforturile convergente pentru atingerea obiectivelor asumate și analizarea
sistematică a riscurilor identificate implică o realocare periodică a resurselor și modificarea unor
priorități .
1.4. Strategia de gestionare a riscurilor
Strategia de gestionare a riscurilor include determinarea domeniului de aplicare și a planului de
tratare a riscurilor, precum și analiza percepției ris curilor.

15
a) percepția de gestionare a riscurilor
Percepția de gestionare a riscurilor – este un set de cerințe și atitudini care descriu modul în care
riscul este luat în considerare în activitățile organizației. Aceasta acționează asupra aplicării componente lor
de gestionare a riscurilor, inclusiv la modalitățile de identificare a riscurilor, tipurile de riscuri acceptate și
metodele de gestionare a acestora.
Dacă percepția de înțelegere a gestionării riscurilor nu este formată, nu este studiată sau înțeleas ă de
către personal, există posibilitatea ca procesul de gestionare a riscurilor în unitățile întreprinderii, formațiuni
sau departamente, să fie aplicat incorect și inegal. Prin urmare percepția riscului, accesptarea acestuia și
strategia de risc trebuie să se potrivească unul cu altul, deoarece unul reflectă celălalt. În acest caz, este
necesat să se stabilească măsuri de percepție a riscurilor de către personalul de la conducere (administrator,
șefi departamente, manageri, specialist control risc), precu m și maturitatea riscului în contextul organizației,
deoarece acesta poate fi mai mult sau mai puțin stabil în caz de incident.
b) certificare
Certificatul de gestionare a riscurilor reprezintă o declarație sau un document formal care definește în
mod clar st rategia și obiectivele de gestionare a riscurilor, persoanele responsabile pentru toate nivelele și
autorizate să utilizeze toate resursele disponibile pentru a atinge obiectivele propuse.
Minimizarea riscurilor semnificative care apar în timpul muncii și furnizării de servicii fiind aplicate
principii și practici eficiente de gestionare a riscurilor. Organizația primește un nivel acceptabil de risc, dar
numai după evaluarea probabilității, consecințelor și costului unui eveniment edvers privind resursele
disponibile pentru eliminarea sau gestionarea riscului.
c) sfera de aplicare a managementului riscului
Stabilirea sferei de aplicare a strategiei de management al riscului presupune că întreg personalul este
conștient de impostanța și relevanța riscului în ati ngerea obiectivelor presupuse, deasemenea pentru
persoanele responsabile este necesară o pregătire specială. Aceasta înseamnă că organizația are o abordare
comună în ceea ce privește gestionarea riscurilor, inclusiv o analiză comună de risc, exprimată prin același
limbaj.
d) planul de risc
Pentru implementarea unui sistem de management al riscurilor, este necesar un plan de risc care să
includă următoarele:

16
1) sarcini de gestionare a riscurilor (strategice și operaționale);
2) activități de control a riscurilor întreprinse într -un interval de timp cît mai optim, asigurînd
organizației atingerea obiectivelor strategice;
3) resursele necesare, inclusiv personalul, cunoștințe și buget respectiv;
4) metode, decizii de informare cu privire la riscurile active, la nivel inte rn și extern.
În plan sunt descrise recomandări de monitorizare, analiză și raporate a rezultatelor strategiei de
gestionare a riscurilor.
Reguli asociate identi ficării riscurilor:
a) Riscul este legat de incertitudine și are asociată o probabilitate de mater ializare. Riscul nu este
ceva sigur și nu se referă la o problemă dificilă deja materializată ;
b) Nu trebuie ignorate probleme dificile deja materializate: acestea pot fi riscuri potențiale în
viitor, dacă entitatea acționează în aceleași circumstanțe ;
c) Nu con stituie riscuri acele situații / probleme care nu pot să apară (așa numitele ficțiuni). A
concentra atenția entității pe ficțiuni înseamnă a risipi resurse ;
d) Nu trebuie identificate ca riscuri acele probleme care se vor materializa cu siguranță. Acestea
nu sunt riscuri ci certitudini. Certitudinile sunt gestionate și de regulă presupun alocări de
resurse, modificarea obiectivelor asumate, schimbări de strategie ;
e) Riscurile nu se definesc prin impactul lor asupra obiectivelor. Impactul nu este risc ci o
măsură a modului în care materializarea unui risc afectează respectivele obiective ;
f) Nu se definesc riscurile prin negarea obiectivelor ;
g) Nu identificați riscuri care nu afectează obiectivele: există doar riscuri corelate cu obiectivele.
E indicat ca la identifica rea riscurilor să se evite stabilirea unei cauzalități indirecte deoarece
există pericolul de vedea riscuri peste tot ;
h) Riscurile au o cauză și un efect: există o cauză și un efect ale materializării riscului. Cauza –
un context favorabil apariției riscului . Efectul – impactul materializării riscului ;
i) Trebuie făcută deosebirea între riscul inerent și riscul rezidual. Riscul inerent este riscul
specific, ce ține de realizarea obiectivului, fără a fi luate măsuri de atenuare a riscurilor, în
timp ce riscul rez idual este acel risc ce rămâne după ce au fost întreprinse măsuri de control
intern. Riscul rezidual este expresia faptului că riscurile inerente nu pot fi controlate în
totalitate. Oricâte măsuri ar fi luate, incertitudinea nu poate fi eliminată ;

17
j) Identifi carea riscurilor nu este un proces strict obiectiv ci depinde foarte mult de percepția
celor implicați. Se operează cu percepții asupra riscurilor și nu cu riscuri în sine ;
k) Identificarea riscurilor este necesară dar nu suficientă. „Anticiparea viitorului” este una din
practicile prin care se asigură un proces coerent de identificare proactivă / prospectivă a
riscurilor inerente ;
l) Riscurile identificate trebuie grupate. Gruparea riscurilor se face funcție de percepția și
nevoile entității publice [5].

1.5. Elabor area politicii de gestionare a riscurilor
Pentru asigurarea coerenței de gestionare a riscurilor în cadrul organizației, politica de gestionare a
riscurilor trebuie să conțină o analiză la nivel avansat și să descrie procesul amănunțit de analiză a riscurilor.
Principalele caracteristici și cerințe ale politicii :
– determinarea pregătirii pentru acceptarea riscurilor corporative – consiliul de administrare și
personalul responsabil, managerii stabilesc nivelul de risc pentru definirea limitelor admisibile de
organizație a valorii riscurilor;
– implementarea unui proces standard de control a riscurilor pe toate nivelurile, asigurînd astfel că
managementul riscului este o par te integrată a managementului principal al întreprinderii;
– participarea administrației la dezvoltarea structurii de management al proiectelor;
– prestarea de oportunități părților interesate;
– stabilirea criteriilor de risc;
– stabilirea ierarhiei de risc;
– crearea grupului sau departamentului responsabil de sistemul de management al riscului;
– implementarea politicii, instrucțiunii de pregătire a resurselor umane pentru susținerea procesului
de gestionare a riscurilor;
– crearea sistemului unic și standardizat de r aportare.
Organizația nu poate trata riscul doar din rezultatele impactului asupra probabilității de activitate a
unuia sau altui risc, controlul acestuia depinde de componentele variabilelor în determinarea valorii riscului,
sau în valoarea stabilită de r isc pe care organizația este dispusă să o accepte, să o susțină sau pe care este gata
să o expună în orice moment. Nivelul de pregătire pentru acceptarea riscurilor depnde de tipul activității
desfășurate de întreprindere, bunuri și servicii oferite, precu m de reglementarea și contextul înconjurător în
care activează organizația.

18
Variabilele care exprimă raportul dintre profilul de risc și gradul de pregătire pentru asumarea riscului
sunt următoarele:
a) percepția riscului, care descrie modul în care personal ul înțelege riscul, în ceea ce privește valorile
și interesele lor;
b) atitudinea față de risc, în cazul în care organizația are un proces destul de eficient în tratarea
anumitor tipuri de riscuri, aceasta poate fi gata să accepte riscuri suplimentare din ace astă
categorie sau invers, nu poate accepta;
c) acceptarea riscului, se referă la impactul maxim posibil al unui eveniment la care organizția poate
face față. Este probabil ca pregătirea de acceptare a riscului poate fi mai scăzută decît nivelul de
acceptare a acestuia;
d) gradul de risc admisibil, reprezintă nivelul maxim al impactului pe care organizația îl poate
suporta, fără a încălca reglementările;
e) menținerea riscului, reprezintă așteptările privind revenirea părților interesate și nivel foarte
scăzut pentr u pregătirea de a asuma un risc;
f) tendința spre risc, reprezintă un nivel de variații pe care organizația este dispusă să îl întreție în
legătură cu anumite sarcini.
Structura de pregătire pentru asumarea riscurilor – reprezintă o schemă metodologică care are ca scop
determinarea nivelului de pregătire a organizației de accepta riscul prin dezvoltare, prezentat ca un proces
iterativ care trebuie să ajute întreprinderea să identifice cantitatea de risc pe care are posibilitatea de a fi
acceptat, ceea ce va a juta la atingerea obiectivelor în conformitate cu strategia de afacere, procesele business.

1.6. Procesul de gestioanare a riscurilor
Procesul de gestune a riscurilor este o componentă a structurii dezvoltată pe baza politicii de
management al riscului. Acest proces reprezintă aplicarea sisteatică a politicilor, procedurilor și practicilor de
management în ceea ce privește sarcinile de cominicare, crearea contextului, evalu area, moitorizarea și
analiza ricului.
Managementul riscului este un proces ciclic, care se desfășoară pe toată perioada derulării unei
activități și presupune parcurgerea a cinci etape de lucru, și anume:
– planificarea riscului;
– identificarea riscului;

19
– analiza riscului (cantitativă și calitativă);
– stabilirea strategiilor de abordare a riscului;
– monitorizarea și controlul riscului.

Figura 1.1 – Ciclul procesului de management al riscului
De asemenea procesul ar trebui să ia în considerare verificarea și su sținerea orientată spre risc a
sistemului informatic în toate etapele.
Gestionarea riscurilor prevede un mecanism sistematic de control intern, care să impună personalul
din diferite domenii să se unească pentru a colabora, identifica și rezolva problemele . Această activitate
contribuie la îmbunătățirea calității muncii și sporirea procesului de gestionare a riscurilor. Factorul uman
este considerat unul din elemntele cheie ale succesului organizației, dar și unele incetitudini care formează un
risc, care p ot apărea ca rezultat al mediului intern al întreprinderii.
Organizația ar trebui să creeze măsuri preventive pentru a controla resursele umane pentru a reduce
probabilitatea și impactul evenimentelor adverse, de exemplu, nerespectarea și încălcarea discip linei. Prin
urmare, organizația ar trebui să revizuie matricea riscurilor prioritare și, după caz, planul de optimizare a
riscului, care este pus în aplicare pentru reflectarea inițiativelor resurselor umane în cadrul analizei actuale a
riscului și eficien ța în ceea ce privește analiza p lanificată a riscului rezidual.

20
1.7. Identificarea riscurilor
În procesul de identificare a riscurilor se ia întotdeauna în vedere obiectivele și activitățile care
contribuie la realizarea acestora. Pentru o identificare corespun zătoare a riscurilor, este necesar crearea unui
document care să includă obiectivele asumate la nivelul entității. Acesta poate fi un plan de management, un
plan strategic, un nomenclator, sau un oarecare alt document care să includă: abiectivele generale, obiectivele
specifice, activități pentru atingerea obiectivelor propuse.
Managementul riscurilor presupune identificarea și evaluarea riscurilor, stabilirea măsurilor de
control în vederea micșorării posibilității de apariție a acestora, cît și diminuarea consecințelor produse ca
urmare a materializării lor.
Terminologia utilizată:
– Amenințare – o cauză potențială a unui incident nedorit care poate afecta un sistem sau o
organizație;
– Vulnerabilitate – o slăbiciune a unei resurse sau mai multe care poate fi exploatată de o
amenințare; un set de condiții existente care pot permite unei amenințări să afecteze o resursă;
– Risc – posibilitatea ca o anumită amenințare să exploateze o vulnerabilitate a sistemului sau a unei
resurse particulare și să cauzeze distrugerea sau expunerea acestei resurse;
– Risc controlat – riscul pentru care a implementat controlul intern de atenuare a expunerii la risc;
– Risc rezidual – expunerea la riscurile rămase după implementarea controlului intern;
– Evaluarea riscului – procesu l general de analiză și estimare a riscului;
– Proprietarul resursei – utilizatorul sau responsabilul desemnat al resursei, care exercită dreptul de
proprietate al Întreprinderii asupra informațiilor proprietare și bunurilor asociate;
– Proprietarul riscului – persoană sau entitate cu responsabilitatea și autoritatea de a gestiona un risc.
Riscurile sunt identificate pe parcursul anului din datele de intrare ale procesului și sunt evaluate
anual în trimestre (IV – trimestre).
După caz, la schimbări majore, iniț ierea unor proiecte, implementarea de noi procese sau sisteme
informaționale, la solicitarea managementului de vîrf sau a proprietarului resursei (procesului) – se va efectua
analiza riscurilor pentru resursa (procesul) în cauză, prin completarea formularu lui de identificare/analiză a
riscurilor.
Metodologia utilizată pentru evaluare este preluată din ISO/IEC 27005:2011 – Information
Technology. Security techniques. Information security risk management.

21

Figura 1.2 – Procesul de management al riscurilor
Procesul de identificare a riscurilor urmărește constatarea vulnerabilităților și amenințărilor aferente
resurselor (proceselor) considerate.
Analiza și evaluarea riscurilor vizează cuantificarea și stabilirea priorității riscului prin prisma
criteriilor de risc acceptabil și a obiectivelor relevante.
Tratarea riscurilor constă în selectarea și implementarea măsurilor aplicabile, ce vor conduce la
reducerea riscurilor, transferul riscurilor asociate către terțe părți sau acceptarea conștientă și obiectivă a
riscurilor reziduale.
Procesul de management al riscurilor cuprinde următoarele etape:
a) Identificarea resurselor (proceselor) asociate scopului SMI. Resursele sunt clasificate în funcție de
valoarea sau importanța lor;
b) Identificarea vulnerabilităților și amenințărilor la care sunt pasibile resursele menționate anterior.
Se identifică controalele existente;
c) Analiza de risc, în cadrul căreia:
1) se cuantifică gradul de impact al amenințărilor asupra unei anumite resurse (proces) – influența
pe care o poate avea concretizarea unei amenințări;
2) se cuantifică probabilitatea unei amenințări – gradul în care o anumită amenințare sau atac se
poate produce în realitate;
3) pe baza valorilor cuantificate anterior se calculează riscul asociat fiecărei resurse (proces);
4) se identifică și se selectează măsurile (controalele) pentru minimizarea riscului la un nivel
acceptabil, conform prevederilor standardelor internaționale implementate la Întreprindere;
5) se cuantifică probabilitatea și impactul în urma aplicării controalelor selectate. Se calculează și
se aprobă de către management riscul rezidual.
d) Elaborarea planului de tratare a riscurilor și realizarea măsurilor stabilite;
Raportarea trimestrial privind re alizarea planului de tratare a riscurilor .

22
Metoda de evaluare a risc urilor de securitate a informației a fos t elaborată în baza recomandărilor din
standardul ISO/IEC 27005:2 011 (Anexa E), ținându -se cont de aspectele activității IDSI, propriile resurse
informaționale, competențe etc.
Figura 1.3 – Procesul de control asupr a riscurilor de securitate a informa ției
conform ISO/IEC 27005: 2011
Procesul de evaluare a riscu rilor include următoarele faze:
a) Identificarea amenințărilor asupra resurselor i nformaționale și a surselor din care provin .
b) Identificarea vulnerabilităților care pot fi exploatate de amenințări .
c) Stabilirea măsurii de risc – un parametru numeric care este determinat de clasa resursei, gardul de
vulnerabilitate a resursei și probabilitatea amenințării care poate exploata această vulnerabilitate .
d) Evaluarea impact ului posibilelor incidente de securitate asupra resurselor informaționale –
include stabilirea și cuantificarea co nsecințelor realizării unor incidente de securitate a
informației .

23
e) Stabilirea nivelului de risc, care este produsul din tre măsura de risc și g radul de impact al
posibilelor incidente care pot afecta resursa informațională .
Având un tablou clar al riscurilor de securita te a informației se purcede la elaborarea Planului de tratare
a riscului. Standardul ISO/IEC 27005:2011 stabilește următoarele va riante de tratare a riscurilor :
a) Diminuarea riscului – nivelul riscului urmează să fie redus prin aplicarea unor mijloace de
control astfel, ca riscul rezidual să fie la un nivel acceptabil .
b) Acceptarea riscului – acceptarea conștientă ș i obiectivă a riscului pentru a deschide o
oportunitate cu condiția, că ri scul nu este în contradicție cu politicile organizației și criteriile de
acceptare a riscului .
c) Evitarea riscului – renunțarea la activitățile sau condițiile care pot genera un risc .
d) Transmiterea riscului – riscul se transmite un ei terțe părți, care dispune de competențe mai înalte
pentru controlul riscului .
La elaborarea planului de tratare a riscurilor trebuie să fie selectate și utilizate obiectivele de control și
măsurile de securi tate con form ISO/IEC 27001:2013 (Anexa A) pentru a acoperi cerințele de securitat e a
informației, inclusiv cele legale, de reglementare și contractuale .
După tratarea riscului urmează să fi e adoptate următoarele decizii:
a) acceptarea riscului rezidual dacă n ivelul său este sub valoarea de prag;
b) tratarea suplimentară a riscului .

24
2. Tehnici de identificare a riscurilor
2.1. Analiza GAP (decalaj)
Analiza decalajului constă în compararea stării prezente cu starea dorită. În etapele ulterioare ale
soluționării problemelor, scopul este de a analiza modalități de a elimina decalajul definit și acest lucru poate
fi adesea realizat prin secvențe logice d e acțiune sau stări intermediare de la starea dorită la starea actuală .
Defapt analiza GAP reprezintă un chestionar format din următoarele întrebări:
– Ce trebuie să înlocuim la moment pentru a descrie starea dorită ?
– Ce există în prezent?
– Ce trebu ie făcut p entru a ajunge la starea dorită ?
Analiza decalajului, nu este practică pentru toate situațiile problematice , deoarece obiectivele pot
evolua și apărea în cursul soluționării problemelor. „Ce trebuie să fie ?” poate fi o țintă extrem de variabilă.
De asemene a, unele probleme au multe alternative de soluționare, caz în care strategiile de căutare înlănțuite
înapoi vor avea o mică utilizare practică.
Un proces de analiză a decalajului, alături de cerințele legale și de reglementare, permite unei
organizații să stabilească o serie de probleme importante. De obicei, încep procesul prin stabilirea ce standard
va fi folosit de organizație sau care este cel mai potrivit. Oricare dintre standardele enumerat e în tabelul de
mai jos va duce la o analiză conformă a proble melor apărute .
Tabelul 2.1 – Exemple de standarde internaționale
Sandard internațional Titlul
CobiT Control Objectives for Information and related
Technology
ISO 27002 Code of Practice for Information Security
Management
ITIL Information Technology Infrastructure Library
NIST 800 -53 Recommended Security Controls for Federal
Information Systems

25
Înainte de a stabili dacă organizația respectă sau nu standardul selectat, se vor analiza alte probleme
legale și de reglementare. Pentru a începe procesul, va fi necesar să se stabilească ce legi și regulamente se
aplică.
Pentru desfășurarea analizei este nevoie de a obține ansamblul tuturor reglementărilor cu care
organizația trebuie să se conforme. Va fi necesar să se asambleze toate politicele, procedurile, standardele,
instrucțiunile și controalele deja existente în organizație. După selectarea unui standard potrivit se va executa
campararea stării organizației cu starea actuală de conformitate conform cerințelor stabilite, se va selecta o
structură care poate fi utilizată pentru asamblarea materialelor organizației.
Ca în orice proiect, va fi necesară definirea sferei de analiză. Există câteva modalități de abordare a
acestei cerin țe. Pentru unele organizații, o simplă revizuire a documentelor locale este realizată pentru a
determina dacă există o potrivire pentru fiecare cerință stabilită de standard . Acest proces va oferi
organizației o privire de ansamblu rapid ă asupra a ceea ce este stabilit conform planului pentru modificare,
actualizare și a ceea ce lipsește.
Primul proces care necesită de făcut este o listă cu tot ce ar trebui de executat petru a ajunge la starea
dorită. Se crează un document de standarde și proceduri speciale. În acest document se stabilesc standarde le
și proceduri le pentru a aborda fiecare element. Acesta reprezintă un tip de analiză a golurilor care s -a
concentrat pe o simplă conformitate și nu pe calitatea acțiuni lor.
După stabilirea domeniului de aplicare, va fi necesar să se colect eze toate documentele relevante care
descriu practicile actuale. Aceasta va include politica de confidențialitate, procedurile de securitate, scrisorile
controlorului, scrisorile președ intelui, standardele, practicile, ghidurile și documentația hardwa re și software.
Acest proces necesită să fie cît se poate de detaliat. După asamblarea tuturor documentelor relevante, este
necesar organizarea acestora într-o ord ine logică.
Înainte de a în cepe procesul de analiză, se va efectua o serie de interviuri pentru a afla ce politici și
proceduri cunosc efectiv angajații. Deși poate exista un set formal de documente pe care organizația a
cheltuit bani pentru a le c rea, este posibil că aceste documen te sunt prea complicate, iar angajații au creat un
set de proceduri utilizabile.
Odată ce totu l este în vigoare, se compar ă practicile și instrumentele actuale cu standardele și
procedur ile preconizate. Acest lucru va permite să fie identificate unde pot a părea zone de neconformitate.
Nu toate problemele au același nivel de ric , de aceea va fi important să acordăm prio ritate lacunelor care au
fost găsit e și să se identifi ce remedii le.

26
Procesul de analiză oferă o imagine a nivelului actual al organizației de conformitate cu standardele industriei
și cerințele legale și de reglementare. O analiză a diferențelor bine executată poate oferi organizației o foaie
de parcurs pentru conformitate [9].
2.2. Brainstorming
Brainstorming -ul este o tehnică clasică pentru extragerea informațiilor. Deși este posibil să nu fie cel
mai eficient i nstrument sau cea mai reușită tehnică, dar simplitatea și acceptarea sa largă o face să fie
instrumentul de alegere pen tru mulți analiști de risc. D eși poate fi privit ca un instrument generic, faptul că
majoritatea participanților sunt conștienți de proces și de nuanțele ins trumentului, este de dorit o varietate de
setări de gestionare a riscurilor. Întrucât riscul este un fenomen al viitor ului și toată lumea are capacitatea de
a intui acest aspect , brainstorming -ul ca instrument reprezintă o aplicație logică.
Brainstorming -ul poate fi utilizat într -o varietate de practici de gestionare a riscurilor, inclusiv eforturi
pentru identificarea riscurilor, stabilirea schemelor de calificare, clarificarea ipotezelor de cuantificare și
generarea de răspunsuri potențiale la risc urile apărute și potențiale . Acesta se poate baza pe membrii echipei
de proiect, conducerea, clienții și furnizorii. Practic, orice parte interes ată poate contribui.
Brainstorming -ul este mai mult decât un element de bază în detectarea de informații. Este mai
degrabă expresia ideilor care apoi alimentează alte idei și concepte într -o cascadă de date. Îi încurajează pe
membrii echipei să se bazeze p e conceptele și percepțiile celuilalt. Eludează convențiile prin încurajarea
fluxului liber de informații.
Tehnica dată este o partaja re facilitată a informațiilor, fără critici, pe un subiect la alegere pentru
studiu . Edită informații de la particip anți f ără evaluare, extrăgând cî t mai multe răspunsuri și documentându –
le. Nu există limite la fluxul sau direcția informațională. Brainstorming -ul este conceput pentru a încuraja
gândirea în afara granițelor convenționale, astfel încât să genereze perspective ș i posibilități noi. Tehnica
necesită abilități limitate de facilitare și familiarizare cu orice tematică prezentată grupului de analiză, în
scopuri de clarificare .
Această tehnică este aplicabilă în aproape toate etapele procesului de gestionare a ri scuril or. Utilitatea
sa largă o face atractiv ă într-o varietate de setări și susține următorii pași de proces:
a) Identificarea riscului, pentru a st abili o bază de riscuri sau pen tru a crea categorii de riscuri;
b) Calificarea, pentru a lucra la termeni și terminologie cu privire la ceea ce constituie ridicat, mediu și
scăzut în diferitele categorii de risc ;
c) Calificare, pentru a surprinde ipoteze de mediu și surse de date potențiale ;

27
d) Dezvoltarea răspuns ului, pentru a genera strategii de risc și pentru a exam ina implicațiile acestora
[10].
Ideea de bază a brainstorming -ului este reprezentată ptrintr -o singură idee cuprinzătoare care trebuie
prezentată grupului de participanți. Rezultatele vor depinde de premisa prezentată, dar pot include, de
asemenea, riscur i identificate, surse de risc, categorii, declanșatori, abordări de calificare, presupuneri,
răspunsuri la risc sau alte date captate în timpul analizei. Produsele trebuie documentate și catalogate pentru
aplicații viitoare.
Informațiile colectate în timpu l procedurei vor varia în funcție de niveluri de calitate. De exemplu,
unele riscuri identificate pot fi nesemnificative, iar altele pot fi excesiv de evidente. Informațiile vor fi
utilizate cel mai bine atunci când sunt evaluate pentru validarea și apoi d ocumentate și aplicate în cadrul
planului de proiect.
Brainstorming -ul surprinde frecvent cele mai evidente riscuri sau cele mai explicative abordări de
calificare. Pe de altă parte, această tehnică va genera, de asemenea, informații care altfel ar putea f i ratate în
întregime. Astfel, un rol esențial pentru facilitator este să se asigure că informațiile sunt captate bine și
aplicate în mod corespunzător.
Cerințele de organizare a unui brainstorming includ e un facilitator, un grup de participanți și
facilit ățile fizice pentru a le asambla și documenta rezultatele. Cei mai buni participanți vor fi cei care sunt
dispuși să lase deoparte orice părtinire pe care o pot avea către o anumită perspectivă și care sunt dispuși să
contribuie liber la premisa prezentată . De asemenea, ar trebui să fie persoane care au capacitatea de a
comunica într -o manieră care să le permită celorlalți să înțeleagă ceea ce împărtășesc, dar fără să pară critice
cu privire la contribuțiile altora.
Deși brainstorming -ul are o utilitate lim itată pentru multe dintre domenii, acesta este practic în medii
în care este necesară o analiză rapidă și sunt disponibile persoane cu disponibilitate de participare. Pentru
identificarea riscurilor, discuțiile privind schemele de calificare și dezvoltarea răspunsului la risc,
brainstorming -ul poate produce volume de informații valoroase din care pot fi obținute cele mai bune
răspunsur i disponibile. Brainstorming -ul oferă perspective noi, care sunt esențiale pentru succesul oricărui
efort de gestionare a ri scurilor, deoarece managementul riscului este o incursiune în necunoscut [10].
Brainstorming -ul reprezintă o discuție liberă și sinceră despre problemele și risc. Cu toate acestea, ele
se adaugă și la cunoștințele despre un proiect sau o zonă de risc dată. Încurajează noi perspective și o nouă
înțelegere a riscului. De asemenea, pot duce la noi abordări în calificarea, cuantificarea și dezvoltarea

28
răspunsului. În toate aceste privințe, tehnica de brainstorming servește ca instrument de bază pentru
gestionar ea riscurilor.
2.3. Analiza SWOT
Punctele forte, punctele slabe, o portunitățile și amenințările, toate aceste puncte reprezintă analiza
SWOT, care în esență este o analiză de risc direcționată, concepută pentru a identifica riscurile și
oportunitățile în c ontextul organizațional . Principala diferență între aceasta și alte tehnici de analiză este că
SWOT consolidează nevoia de a revizui riscurile și oportunitățile din perspectiva organizației în ansamblu,
mai degrabă analizează o problemă în parte și amănunț it.
Tehnica constă din patru scurte sesiuni de generare de idei, pentru dezvoltarea documentației de
analiză avînd la bază cîteva întrebări:
a) Care sunt punctel e forte ale organizației ?
b) Care sunt punctele slabe ale organizației?
c) Ce oportunități prezintă acest proiect în contextul?
d) Ce amenințări prezintă acest proiect în contextul?
Folosind răspunsurile la aceste patru întrebări, managerul de risc poate discerne orice problemă
culturală, organizatorică sau de mediu specifică care poate activa sau descrie proiectul de analiză.
Această tehnică este recomandată la începutul proiectului ca analiză de ansamblu sau pentru a stabili
mediul general de risc și oportunitate. Întrucî t o analiză SWOT este văzută ca un instrument cu imagini mari,
nu este concepută pentr u a atrage riscurile detaliate ale proiectului. Astfel, cea mai mare utilitate a acestuia
este aproape de începutul proiectului.

Tabelul 2 .2 – Grila de analiză SWOT
Puncte forte Puncte slabe
Oportunități Amenințări

29
Analiza SWOT are patru tipuri cheie d e intrări. Introducerea cuprinde întrebările citate mai sus.
Facilitatorul SWOT pune aceste întrebări fie persoanelor împaret, fie grupului, eliberînd cî t mai multe
răspunsuri concise și incisive. Aceste răspunsuri sunt apoi prezentate într -o grilă de patr u pătrați, concepută
pentru a permite analiza și referința încrucișată. Grila este prevăzută în următorul format , conform tabelului
de mai sus.
Analizele SWOT sunt utilizate în mod normal pentru a prezenta managementului informații d espre
proiect. Ideea unei analize SWOT este de a nu construi un caz puternic pentru sau împotriva proiectului (deși
acest lucru apare frecvent), mai degrabă de a preze nta avantajele și contra unui proiect. Analiza SWOT este
uneori folosită pentru a încuraja managementul să modif ice unii factori de mediu din secțiunile punctelor
forte și punctelor slabe care vor influența dire ct proiectul. În unele cazuri, de asemenea, ca pe o măsură de
autoprotecție pentru a se asigura că, dacă aceste influențe de mediu dăunează proiectului, atunci
managementul le -a fost alertat din timp și în mod proactiv [10].
O analiză SWOT, la fel ca în majoritatea instr umentelor calitative, necesită persoane cu doar
cunoștințe modeste despre proiect și organizația în car e va fi realizat. Evident, cu cî t este mai mare
profunzimea de organizare, cu atî t mai mare este profunzimea analizei. Principala abilitate a facilitatorului
este de a pune întrebările și de a documenta cu atenție răspunsurile.
Analizele de acest tip sunt ext rem de subiective și pot fi în unele situații nesigure. Cu toate acestea,
deoarece sunt utilizate pe scară largă și sunt în general acceptate ca practici de succes , își asumă frecvent un
nivel de acceptabilitate pe care poate nu o merită. Cu cî t participanții la analiză sunt mai fiabili și mai atenți,
cu atât devine mai valoroasă și mai fiabilă analiza.
Aplicarea cheie a analizei SWOT se află la începutul proiectului pentru a atrage atenția asupra
influențelor organizaționale sau de mediu asupra proiectului. În multe felu ri, analiza SWOT este la fel un
instrument de prezentare ca un instrument de analiză. Datorită capacității analizei SWOT de a atrage atenția
asupra problemelor și preocupărilor organizației care pot afecta proiectul, instrumentul este mai valoros decât
o analiză a risculu i. Întrucât instrumentul prezintă aceste informații simultan, acesta oferă managerului de
proiect posibilitatea de a prezenta riscul într -un context mai mare.
Rezultatele analizei SWOT sunt în mod normal afișe sau afișaje grafice care prezintă grila cu pat ru
cadrane . Produsele sunt în mod normal calitative și reflectă prejudecățile sau preocupările facilitatorului și
ale celor care au furnizat contribuțiile.

30
Datorită naturii sale la nivel înalt, analiza SWOT are o utilitate limitată. Dar, datorită acceptări i sale generale
în comunitatea de afaceri, analiza SWOT poate fi eficientă în atragerea conducerii și a directorilor în discuții
despre riscuri, în care altfel nu ar fi interesate. Dacă managementul are o tendință de analiză a informațiilor la
nivel macro, analiza SWOT poate fi un instrument la alegere. În caz contrar, datele evaluate într -o analiză
SWOT pot fi deseori extrase și prezentate folosind alte instrumente.
2.4. Metoda Crawford Slip (CSM)
Adunarea datelor este una dintre cele mai mari provocări în gestionarea riscurilor, deoarece există o
tendință pentru identificarea riscurilor și colectarea informațiilor despre riscuri pentru a deveni o influență
negativă asupra membrilor echipei și a atitudinilor lor cu priv ire la proiect. Metoda Crawford Slip (CSM)
este un instrument clasic pentru colectarea informațiilor fără negativismul inerent în multe discuții despre
riscuri.
CSM are o varietate de avantaje față de alte tehnici de colectare a informațiilor. Acestea incl ud
capacitatea sa de a agrega volume mari de informații într -un timp foarte scurt și evitarea completă a gândirii
de grup, în cazul în care membrii echipei se împletesc într -o anumită tangență și nu se pot extrage.
Cu o facilitate adecvată, CSM este o tehn ică ușoară de aplicat. Abordarea de bază presupune
stabilirea unei premise clare sau a unei întrebări, iar apoi pe toți participanții la documentul procesului pe o
foaie de hârtie răspunsul lor la această premisă. Folosind aceeași premisă, pr ocesul se repe tă de 10 ori (după
ideea lui Crawford) pentru a extrage toate informațiile disponibile. Deși poate exista o mare asemănare între
răspunsurile inițiale, cele generate ulterior tind să identifice problemele și riscurile care altfel nu ar fi apărut
niciodată. Aplicațiile pentru managementul riscului reduc adesea numărul de cicluri la 5, deoarece membrii
echipei nu au adesea forța de a formula 10 răspunsuri la fiecare premisă [10].
Această tehnică este recomandată atunci când membrii echipei sunt disponibili pe ntru a furniza
contribuții, deoarece există limite la dorința lor de a împărtăși informații într -un set de grup. CSM este
adecvat și atunci când este nevoie să genereze un volum mare de informații într -un interval scurt de timp.
Introducerea cheie pentru C SM este o premisă clară. Dacă premisa sau întrebarea adresată grupului
nu sunt detaliate, clare și bine lucrate, atunci metoda va genera rezultate slabe sau greșite. Premisa trebuie să
indice în mod clar informațiile căutate și mediul sau ipotezele care în conjoară informațiile. Acest context ar
trebui să fie documentat pentru facilitator, astfel încât aceștia să poată face referire la el în timp ce lucrează
prin iterațiile procesului. Premisa ar trebui să includă, de asemenea, formatul în care răspunsurile ar trebui să
fie generate pentru a se asigura că toate informațiile cerute sunt colectate.

31
Produsele din proces vor fi un număr semnificativ de hârtii de la participanți, de preferință aranjate în
funcție de premisele prezentate. Participanții pot aranja s au organiza pachetele în timpul sesiunii de lucru, sau
facilitatorul le poate aranja la un moment dat. Calitatea rezultatelor se va corela direct cu precizia cu care a
fost declarată premisa și dir ecția oferită participanților.
Tehnica se bazează foarte mu lt pe abilitatea facilitatorului și pe capacitatea facilitatorului de a urmări
procesul. Acest proces necesită facilitatorul să direcționeze grupului o întrebare nespecifică sau care nu este
amenințată și să permită răspunsuri individuale, pe rând, pe hârt ie de la fiecare participant. Acest proces
asigură niveluri consistente de intrări de la fiecare participant și creează, de asemenea, cel mai mare volum de
informații posibil.
Utilizările rezultatelor CSM sunt în general aplicate la stabilirea unui grup in ițial de evenimente de
risc asociate cu proiectul sau opțiunile disponibile pentru a răspunde riscurilor din proiect. Uneori, informația
va fi suficientă pentru a elabora rapoarte preliminare de risc (pr ezentări generale ale r iscurilor pentru un
proiect) . Atunci când este utilizat pentru a dezvolta răspunsuri la risc, CSM poate servi la generarea unui
volum de opțiuni care pot fi revizuite ulterior folosind instrumente precum matricea ră spunsului la risc .
Odată înțeles, CSM este poate cea mai simplă dintre tehnicile de colectare a informațiilor cu volum
mare. Dacă facilitatorul cunoaște premisa sesiunii și are capacitatea de a comunica cu exactitate tipurile de
rezultate pe care participanții trebuie să le producă, atunci sesiunile tind să fie extraordinar d e productive.
Adesea, cheia nu se află în facilitatorul CSM, ci mai degrabă în participanții selectați pentru a participa la
proces. Nivelul lor de conștientizare va determina calitatea informațiilor produse. Dacă au conștientizare a
proiectului, plus o în țelegere de bază a riscurilor cu car e se poate confrunta proiectul sau cum să le rezolve ,
atunci pot fi în măsură să contribuie semnificativ prin intermediul CSM [10].
CSM poate fi utilizat într -o serie de situații diferite, dar nu are utilitatea în bandă largă a tehnicilor
mai generale, cum ar fi interviurile cu experți. Aplicabilitatea CSM este evaluată pe o scară de înaltă, medie
și mică.
Cu toate acestea, CSM servește două aplicații primare. Este utilizat pentru identificarea riscului, atât
singur, cât și împreună cu alte instrumente de gestionare a proiectelor . În acest mediu, practic este inegalabil
în capacitatea sa de a genera volume mari de declarații de risc î ntr-un mod necontenit . În plus, este
impresionant prin capacitatea sa de a surprinde o var ietate de strategii și răspuns uri de gestionare a riscurilor.
Cheile succesului metodei Crawford Slip sunt claritatea premiselor prezentate, fundalul
participanților și distilarea rezultatelor. Cu toate acestea, din cauza eficienței procesului, ocazional, există o

32
tentație de a -l extrage pentru o perioadă mai lungă de timp decât este necesar. Cu toate acestea, puterea
metodei este eficiența acesteia. Cu întrebări sau premise corect stabilite, CSM creează un volum substanțial
de date valoroase într -un timp foarte scurt.

33
3. Prezentarea modelului de gestionare a ri scurilor informaționale
3.1. Identificarea resurselor (proceselor / activelor)
Etapa inițială în gestionarea riscurilor este identificarea resurselor organizației. R esursele identificate
sunt aplicate în cadrul Sistemului de Management Integrat și se înregistrează în „Nomenclatorul resurselor”.
Nomenclatorul resurselor conține șase factori de grupare, aceștia sunt următorii :
1) informații – orice informație în format electronic și pe suport de hârtie: ins trucțiuni de lucru,
regulamente, contracte, acorduri, documente financiar e, rapoaret de serviciu, fișele personal ului etc.;
2) hardware – orice echipamente fizice, ca de exemplu: servere, echipamente de rețe a, stații de lucru,
imprimante, camera video, sensor i, etc. ;
3) software – orice sistem din cadrul organizației, așa ca: subsisteme, aplicații, baze de date , servicii ,
portaluri și servicii web , etc. ;
4) personal – toate persoanele, colaboratorii care fac parte din componența organizației ;
5) locație și facilități – orice infrastructură și încăperi le organizației , imo bilizări, servicii ;
6) organizaționale – procese le principale ale oraganizației care au ca rezultat produsele și serviciile
acesteia.
Se clasifică resursele din punct de vedere al inf ormațiilor gestionate în cadrul acestora , acestea se
împart în trei categorii :
– Public;
– Restricționat ;
– Confidențial.
După identificarea resurselor s e stabilește proprietarul resursei pentru fiecare categorie . Acesta poate
fi proprietarul organizației sau o persoană desemnată de acesta (șef de subdiviziune, manager sau
coordonator).
Împreună cu proprietarii resurselor se identifică o valoarea a impactul ui asupra fiecărei resurse
identificate, valoarea se stabilește în dependență de cît de critic va fi stopar ea sai ieșirea din funcțiune a
activului analizat :
– 1 – valoarea este mica și pierderea confidențialității, integrității sau disponibilității nu are efect asupra
funcționării proceselor și continuității afacerii.

34
– 2 – valoarea mică și pierderea confidențiali tății, integrității sau disponibilității are efect redus asupra
funcționarii proceselor și continuității afacerii, neputând cauza pierderi întreprinderii.
– 3 – valoarea medie și pierderea confidențialității, integrității sau disponibilității are ca efect bl ocarea
pe timp limitat a unor procese suport sau întreruperi pentru scurt timp (3 ore) în continuitatea afacerii,
cauzâ nd pierderi financiare limitate .
– 4 – valoarea mare sau pierderea confidențialității, integrității sau disponibilității are ca efect bloca rea
pe timp limitat a unor procese critice (din lanțul de furnizare) sau întreruperi semnificative (8 ore) în
continuitatea afacerii, cauzând pierderi financiar e semnificative .
– 5 – valoare a foarte mare sau pierderea confidențialității, integrității sau dis ponibilității are ca efect
blocarea pe timp nelimitat a unor procese critice (din lanțul de furnizare) sau întreruperi mari (24 ore
și mai mult) în continuitatea afacerii, cauzând p ierderi financiare dezastruoase sau având consecințe
legale grave [2].

3.2. Identificarea amenințărilor și vulnerabilităților
A doua etapă în procesul de gestiune a riscurilor este identificarea amenințărilor și vulnerabilităților
pentru fiecare tip de resur să, la etapa aceasta se completează și controalele existente deja, conform
standardului organizației și se înregistrează toate aceste valori în „Nomenclatorul amenințărilor și
vulnerabilităților”.
Amenințările și vulnerabilitățile sunt identificate pentru fi ecare resursă și se clasifică conform celor
șase categorii din pasul pre cedent . Lista de amenințări și vulnerabilități necesită revizuirea anual ă sau în
urma unor incidente de securitate , în caz că apar noi probleme .
Pentru identificarea riscurilor, este deajuns de cunoscut cîțiva termeni :
1) riscul este o incertitudine și nu cev a sigur – riscul este o problemă care poate să apară, dar care nu
a apărut încă;
2) nu ignorați prob lemele dificile identificate – problemele dificile pot deveni riscuri în situații
repetitive în cadrul aceleiași entități sau pentru alte entități în care astfel de riscuri nu s -au
materializat;
3) nu constituie riscuri problemele care nu pot apăre a – în limbajul de specialitate al teoriei
riscurilor, acestea sunt denumite ficțiuni. Riscurile sunt probleme care pot apărea și nu probleme a
căror apariție este im posibilă;

35
4) nu identificați ca riscuri probleme care vor apărea cu siguranță. Acestea nu sunt riscuri, ci
certitudini – Răspunsul la certitudini nu est e un plan de răspunsuri la risc, ci un plan construit
avînd ca punct de referință certitudinea;
5) riscurile nu trebuie definite prin impactul lor asupra obiectelor – Impactul nu este un risc, ci
consecința materializării riscurilor asupra realizării unuia sau mai multor obiective;
6) riscurile au o cauză și un efect asupra obiectivelor;
7) se face deosebirea între ri scul inerent și riscul residual;
8) identificarea riscurilor nu este întotdeauna o operațiune strict obiectivă ci, în primul rînd, o
problemă de percepție – Se poate afirma că nu se operează în sine cu riscuri, ci cu percepții asupra
riscurilor [3].

3.3. Analiza de risc
La etapa a treia în procesul de gestionare a riscurilor s e înregistrează în „Nomenclatorul riscurilor”,
pentru fiecare tip de resursă , se indică următoarele:
– Categoria, denumirea și pr oprietarul resursei;
– Vulnerabilitățile și amenințăr ile aferente resurselor vulnerabile ;
– Probabilitatea și impactul asociate fiecărei amenințări și vulnerabilități;
– Calcularea nivelului de risc ;
– Măsurile de minimizare a riscului ;
– Responsabilii și termenul de realizare a măsurii selectate;
– Probabilitatea și impactul în u rma aplicării măsurilor selectate, cu calcularea riscului rezidual.
Pentru stabilirea probabilității și impactului amenințărilor se cuantifică impactul și probabilitatea
asociate fiecărei amenințări și vulnerabilități.
Se stabilește valoarea probabilității :
a) 1 – nu au fost înregistrate incidente în ultimii 3 ani;
b) 2– nu au fost înregistrate incidente în ultimul an;
c) 3 – nu au fost înregistrate incidente în ultimele 6 luni;
d) 4 – nu au fost înregistrate incidente în ultima lună;
e) 5 – unul sau mai multe incidente î nregistrate în ultima lună

36
Valoarea impactului se stabilește în baza acelorași considerente ca în cazul stabilirii valorii resursei ,
după stabilirea acestor valori se identifică niv elul de risc pentru a allege resursele cele mai vulnerabile și de a
stabili măsuri de securitate noi pentru a menține totul în stare de activitate.
Nivelul de risc se calculează după formula: Nivelul de risc = Probabilitate x Impact.
Ierarhizarea riscurilor va fi folosită pentru identificarea opțiunilor de tratare a riscurilor:
Tabelul 3.1 – Ierarhizarea riscurilor
1-8: Minor: Menținerea controalelor existente
9-16: Semnificativ: Acțiuni corective planificate
20-25: Major: Acțiuni corective prioritare
Nivelul de risc se încadrează în matricea de expunere următoare:
Tabelul 3.2 – Stabilirea nivelului de risc
Nivelul riscului
Probabilitate Consecințe/Impact
Nesemnificativ 1 Minor 2 Moderat 3 Major 4 Catastrofic 5
Improbabil 1 1 2 3 4 5
Puțin probabil 2 2 4 6 8 10
Moderat 3 3 6 9 12 15
Probabil 4 4 8 12 16 20
Iminent 5 5 10 15 20 25

Pentru riscurile încadrate în categoriile Major și Semnificativ, sunt identificate și selectate controale
în conformitate cu prevederile standardelor internaționale implementate , ca măsuri de securitate de bază,
dacă la aceste categorii nu a fost aprobat nici regulă de securitate .

37
Se estimează noile valori ale probabilității și impactului în urma apl icării măsurilor selectate și se
calculează riscul rezidual. Acesta va fi a probat de proprietarul de risc , după o analiză profundă și după
imple mentarea cerințelor de securitate de bază .
3.4. Tratarea riscurilor
Etapa finală în gestionarea riscurilor reprezintă procesele de tratare sau de atenuare a riscurilor care
constă în procesul de a lua măsuri de implementare a instrumente lor de control intern, regulamentelor,
politicelor sau a unor acțiuni pentru a menține riscurile în limite acceptabile și pentru ameliorarea impactului
asupra acestora . Ca raport general după aceste activități va fi completat un „Planul de tratare a riscurilor” ,
care ș i este sco pul în procesul de gestionare a riscurilor .
Măsurile de control vor fi stabilite în așa mod ca să piermită asigurarea unui nivel de risc acceptabil
sau în general, prin măsurile stabilite să fie închise amenințările și vulnerabilitățile persistente asupra
resurselor. Toate măsurile de control vor fi stabilite împreună cu persoanele competente și proprietarii de
resurse.
După aplicarea măsurilor de contr ol asupra resurselor vulnerabile cu risc inerent depășind pragul
inadmisibil, riscul rezidual trebuie să fie mai scăzut încadrînduse în toleranță la risc , adică ajungînd la o
valoare acceptabilă a riscului .
Implementarea măsurilor de control privind gestionarea riscurilor vor f i implementate și se vor urmări
pînă se va vizualiza o schimbare în valorile rezidu ale de risc, sau în caz contrar vor fi schimbate măsurile de
control cu altele mai eficiente, pentru a se realiza obiectivele specific e.

38
Concluzii
Elaborînd această teză de master și avînd ca scop elaborarea unui model practice de gestiune a
riscurilor informaționale, a fost studiat domeniul securității informaționale și anume ramura
managementul riscurilor, dar și securitatea organizației și a tutur or activelor. Analiza riscurilor fiind o
ramură foarte importantă în activitatea unei organizații și nu numai. Riscurile la rîndul lor conduc la
decizii de securitate, de aceea este essential de a detecta care sunt acestea, pentru a evita costuri
adăugătoa re și situații neconforme cep oat adduce mari breșe în activitatea, dar și bugetul organizației.
Identificarea metodei de gestionare a riscurilor este foarte importantă, aceasta avînd un rol important în
analiza și raportarea rezultatelor conforme, precum și gestionarea bugetului și a activelor implicate în
procesul de analiză.
În acest sens a fost elaborate următoarea metodă de gestionarea a riscurilor, fiind conformă
standardelor internaționale din categoria ISO 27000. Metodologia data este practică și uș or de asimilat,
dat fiind faptul că ac easta deja este implementată într -o instituție I.P. „Centrul de Tehnologii
Informaționale în Finanțe”.
Întreaga metodologie este împărțită în patreu etape. La prima etapă este identificarea și
clasificarea resurselor o rganizației, de asemenea identificarea unui grad de impact asupra activelor.
Apoi urmează etapa de identificare a amenințărilor și vulnerabilităților sistemului informațional, acestea
fiind cla sificate c onfor standardului ISO 27001:2013. După efectuarea an alizei amenințărilor
identificate și clasificate, s-a prezentat și implementat soluții care minimizează riscurile, asigurînd
astfel, confidențialitatea, integritatea și disponibilitatea datelor. La următoarea etapă se completează
„Nomenclatorul riscuri lor”, la acestă etapă sunt identificate procesele și activele cele mai vulnerabile
care necesită stabilirea unor norme mai adecvate de securitate. Și ca etapă finală se documentează
„Planul de tartare a riscurilor”, acesta conține reguli și indici pentru r idicarea nivelului de securitate a
proceselor, sau a activelor.
Această teză de master a fost elaborată conform cerințelor, au fost abordate principalele probleme
întîlnite în procesul de gestionare a riscurilor și modelul propus este unul practic , acoperind necesitățile
principale pentru un proces de identificare și analiză a riscurilor.

39
Bibliografie

1. Standardul ISO/IEC 27001:2013 Information security management. [Resursă electronică]. –
Regim de access: http://www.pqm -online.com/assets/files/pubs/translations/std/iso -mek-27001 –
2013(rus).pdf [25.11.2019].
2. ISO/IEC 27002:2013, Information technology — Secur ity Techniques — Code of practice for
information security controls [Resursă electronică]. – Regim de access: http://www.pqm –
online.com/assets/files/pubs/t ranslations/std/iso -mek-27002 -2013.pdf [25.11.2019].
3. ISO/IEC 27005, Information technology — Security techniques — Information security risk
management [Resursă electronică]. – Regim de access:
http://mahdi.hashemitabar.com/cms/images/Download/ISO/iso -iec-27005 -2011 -english.pdf
[25.11.2019].
4. ISO 31000:2009, Risk management — Principles and guidelines [Resursă electronică]. – Regim
de access: http://www.amu.kz/fotos -news/vstrecha_rectora_so_stud_31_oct/ISO%2031000 –
2009.pdf [28.11.2019].
5. „Fundamentals of Risk Management: Understanding Evaluating and Implementing Ef fective Risk
Management” – Paul Hopkin.
6. „Security Risk Management: Building an Information Security Risk Management Program from
the Ground Up” – Evan Wheeler.
7. ISACA, CobiT 3rd edition – Control Objectives.
8. „Enterprise risk management a common framework f or the entire organization” – Philip E. J.
Green (Copyright © 2016 Elsevier Inc. All rights reserved) .
9. „Information security risk analysis” third edition – Thomas R. Peltier ( © 2010 by Taylor and
Francis Group, LLC ).
10. „Risk management concepts and guidance” fifth edition – Carl L. Pritchard ( © 2015 by Taylor &
Francis Group, LLC ).