Cerinţe ale ISO 27001:2013 comentate. Metodologii de analiză a riscurilor de securitate a informaţiei. Evaluarea ameninţărilor, a activelor şi a vulnerabilităţilor organizaţionale critice: Metoda "Operationally Critical Threat, Asset and Vulnerability"

Management & Calitate

de Mihai Gheorghe

Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) a fost elaborată de specialişti americani şi se bazează pe faptul că personalul organizaţiei îşi asumă responsabilităţi pentru alegerea strategiei de analiză şi de tratare a riscurilor de securitate. Există o versiune OCTAVE-S, variantă aplicabilă companiilor cu până la 100 de angajaţi.

Cerințele metodologiei OCTAVE oferă o modalitate de a măsura dacă o activitate a fost de succes. Abordarea OCTAVE presupune obținerea unui set de informații prin analiză, observare și experiență.

Cerinţele urmărite la implementarea metodologiei sunt:

  • îmbunătățirea ușurinței de utilizare;
  • reducerea cerințelor de formare și de cunoștințe;
  • reducerea consumului de resurse;
  • producerea de rezultate consistente și comparabile în întreaga organizație;
  • facilitarea dezvoltării unui nucleu intern de competență pentru evaluarea riscurilor.

Pentru a fi eficiente, activitățile de evaluare a riscurilor trebuie să facă parte dintr-un proces continuu de management al riscului. Realizată corect, evaluarea riscurilor servește drept componentă de diagnostic al procesului de gestionare a riscurilor.

Organizația folosește evaluarea riscurilor pentru a determina și a gestiona măsurile de tratare a riscurilor de securitate a informațiilor. Evaluarea impactului riscurilor asupra proceselor critice se face prin prisma următoarelor caracte ristici ale informației: confidențialitate, integritate și disponibilitate.

Metodologia urmărește eficientizarea și optimizarea procesului de evaluare a securității informației pentru obținerea de rezultate suficiente, cu o investiție minimă de timp, oameni și alte resurse.

În cadrul metodologiei se au în vedere: persoanele, tehnologia, facilitățile organizației etc., în contextul relațiilor informaționale și al proceselor de afaceri sprijinite.

Abordarea permite o evaluare largă a riscului operațional al unei organizații, cu scopul de a produce rezultate, fără a fi nevoie de cunoștințe aprofundate de evaluare a riscurilor. Această abordare se concentrează, în principal, pe bunuri informaț ionale, în contextul în care acestea sunt utilizate, și pe modul în care sunt expuse la amenințări și vulnerabilități.

Metodologia OCTAVE trebuie să fie accesibilă cât mai multor utilizatori din cadrul organiza- ției, necesită un nivel relativ scăzut de efort și de investiții, în scopul de a produce rezultate semnificative în mod constant.

Metodologia se desfăşoară în mai multe etape:

ETAPA 1. Culegerea informaţiilor privindpotenţiale ameninţări pentru procesele critice.

Această etapă cuprinde activitățile:

  • colectarea informațiilor privind amenințările de la toate părțile interne și externe interesate;
  • evaluarea și prioritizarea amenințărilor.

Se are în vedere evaluarea efectelor unui risc asupra obiectivelor organizației. Se va stabili un set de criterii de măsurare a riscurilor. Criteriile de măsurare a riscurilor sunt un set de măsuri calitative, față de care efectele de un risc identificat pot fi evaluate și formează fundamentul unei evaluări a riscurilor. Folosind criterii de măsurare a riscurilor coerente, care să reflecte cu acuratețe efectele riscurilor, se asigură că deciziile cu privire la modul de tratare a riscurilor vor fi eficace. În plus față de evaluarea gradului de impact într-o anumită zonă, o organizație trebuie să identifice zonele de impact cele mai semnificative pentru realizarea obiectivelor.

ETAPA 2. Identificarea profilului acti ve lor informaţionale.

Metodologia OCTAVE Allegro se concentrează asupra activelor informaț ionale ale organizației. În etapa a doua se începe procesul de creare a unui profil pentru active. Un profil al unui activ este o reprezentare a unui activ din punct de vedere informațional, profilul se descrie prin caracteristici unice, calități, caracteristici și valoare. Prin acest profil se asigură că un activ este în mod clar și în mod constant descris, că există o definire clară a activului, iar cerințele de securitate pentru activ sunt definite în mod adecvat. Profilul pentru fiecare activ poate fi descris pe un formular care realizează baza pentru identificarea amenințărilor, vulnerabilităților și riscurilor în etapele ulterioare.

ETAPA 3 - Identificarea suporturilor pe care activele informaționale sunt depozitate,transportate, prelucrate, stocate.

Activele informaționale pot fi păstrate sub controlul organizației, însă există și situații în care acestea nu se află sub controlul direct al organizației. Organizația poate apela la servicii externalizate (exemplu: găzduirea de servere). Toți furnizorii organizației trebuie să fie conștienți de cerințele organizației privind securitatea informației și controalele care trebuie implementate pentru a asigura confidențialitatea, integritatea și disponibilitatea informațiilor conținute de active. Aceastăproblemă poate deveni chiar mai complicată în situații în care furnizorul apelează, la rândul lui, la servicii externalizate (cum ar fi acela de stocare a datelor). Astfel, pentru a obține un profil adecvat al unui activ, o organizație trebuie să identifice toate locațiile în care activele sale informaționale sunt stocate, transportate, prelucrate, indiferent dacă acestea sunt sau nu în controlul direct al organizaț iei. Locurile unde activele informaționale sunt stocate, transportate, prelucrate pot deveni puncte de vulnerabilitate și amenințări care supun activul informațional la riscuri.

În această etapă a metodologiei, toate activele informaționale utilizate pentru depozitare, transportare și prelucrare, interne sau externe, trebuie să fie identificate de echipa de analiză.

Acest model de analiză a riscurilor de securitate a informației este bazat pe cele mai bune practici din ISO 15048 și RFC 2196.

Un suport de informație - este un activ informațional, în care activele informaționale sunt depozitate, transportate, prelucrate, stocate etc. Suporturile includ, în general, hardware, software, sisteme de aplicații, servere, rețele, dar pot include, de asemenea, elemente, cum ar fi dosare (în cazul în care informațiile sunt stocate sub formă scrisă) sau persoane (care pot deține informații, cum ar fi cunoștințe, proprietate intelectuală). Ele pot fi atât interne, cât și externe unei organizații.

Suporturile în care activele informaționale sunt stocate, transportate, prelucrate pot deveni puncte de vulnerabilitate și de amenințări care supun activele la riscuri. Suporturile, de asemenea, pot deveni elemente unde pot fi puse în aplicare controale pentru a se asigura că activele informaționale sunt protejate de amenințări, astfel încât să poată fi utilizate conform destinației. Suporturile sunt, cel mai adesea, identificate ca active hardware, software sau sistem, dar nu pot fi, de asemenea, un obiect fizic, cum ar fi o bucată de hârtie sau o persoană care este importantă pentru organizație.

Persoanele sunt deosebit de importante în ceea ce privește proprietatea intelectuală sau informații care sunt, în general, sensibile sau confidențiale.

O persoană care obține aceste informații devine, în esență, un „suport” și trebuie să fie luată în considerare atunci când se analizează riscurile. În unele cazuri, în care o persoană deține informații cheie, lipsa de disponibilitate a acestei persoane perturbă procesele aferente. Riscurile legate de acest lucru trebuie să fie identificate și diminuate. Există trei puncte foarte importante cu privire la securitate în legătură cu aceste suporturi:

  • modul în care activele informaționale sunt protejate prin controale implementate. De exemplu, pentru a proteja bazele de date de pe un server, sunt implementate măsuri de control a accesului, care să permită numai personalului autorizat accesul la bazele de date respective;
  • gradul în care activele informaționale sunt protejate, se bazează pe cât de eficient iau în considerare controalele implementate cerințele de securitatea ale activelor informaționale;
  • orice vulnerabilități sau amenințări la adresa suporturilor informaționale definite mai sus.

O organizație are nevoi de securitate diferite, în funcție de sistemul de valori propriu. Însă metoda OCTAVE nu exclude expertiza externă, pentru că aceasta poate compensa lipsurile personalului intern. Experții externi pot fi eficienți, mai ales în faza a doua a metodei, atunci când este necesară evaluarea vulnerabilității infrastructurii.

ETAPA 4. Identificarea zonelor de interes.

Zona de interes - O declarație descriptivă care detaliază o stare sau o situație care ar putea afecta un activ informațional al organizației. În această etapă se începe procesul de dezvoltare a profilurilor de risc a activelor informaționale. Scopul acestei etape este de a realiza o listă completă a tuturor amenințărilor și vulnerabilităților pentru activele informaționale. Etapa începe să abordeze componenta amenințare a ecuaț iei de risc prin activități de brainstorming cu privire la condițiile posibile sau la situații care pot amenința bunul informațional. Aceste scenarii sunt menționate ca zone de interes și pot reprezenta amenințări. Domeniile de interes sunt identificate și utilizate pentru dezvoltarea profilurilor de risc din etapa următoare. Vom continua prezentarea metodologiei în edițiile viitoare ale revistei.


English summary

The standard under discussion presents issues related to the analysis and assessment of security risks against information belonging to an organization (regardless of type or size). The methodology allows the organization to identify security risks and manage the mitigation measures. Minimum investments (time, human resources) are considered for assessment of the organizational information assets. The methodology application stages are presented.



Accept cookie

www.ttonline.ro utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru.

Te informăm că ne-am actualizat politicile pentru a integra în acestea și în activitatea curentă a www.ttonline.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru, te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politicii de Cookie.

Prin continuarea navigării pe Website-ul nostru confirmi acceptarea utilizării fişierelor de tip cookie conform Politicii de Cookie. Îți mulțumim pentru acest accept și nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookie.


Da, sunt de acord