INTRODUCERE 3 CLASIFICAREA RISCURILOR 4 MANAGEMENTUL RISCULUI 7 1. Caracterizarea sistemului 7 2. Identificarea amenintarilor 8 3. Identificarea vulnerabilitatilor 9 4. Analiza controalelor 9 5. Determinarea probabilitatii de realizare a amenintarilor 10 6. Analiza impactului 10 7. Determinarea riscului 11 8. Recomandari asupra unor controale adecvate 11 CONCLUZII 14 BIBLIOGRAFIE 16
INTRODUCERE Societatea imbratiseaza din ce in ce mai mult tehnologia informatiei. Informatia care pana nu de mult avea la baza hartia, imbraca acum forma electronica. Informatia pe suport de hartie mai este inca rezervata documentelor oficiale, acolo unde este necesara o semnatura sau o stampila. Adoptarea semnaturii electronice deschide insa perspective digitizarii complete a documentelor, cel putin din punct de vedere functional. Acest nou mod de lucru, in care calculatorul a devenit un instrument indispensabil si un mijloc de comunicare prin tehnologii precum posta electronica sau Internetul, atrage dupa sine riscuri specifice. O gestiune corespunzatoare a documentelor in format electronic face necesara implementarea unor masuri specifice. Masurile ar trebui sa asigure protectia informatiilor impotriva pierderii, distrugerii sau divulgarii neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informatiei gestionata de sistemele informatice in noul context tehnologic. Astfel, managementul securitatii sistemelor infromatice se refera la acea parte a managementului unei companii care are ca scop crearea mecanismelor necesare pentru a asigura gestionarea, evaluarea si eliminarea riscurilor potentiale in relatie cu disponibilitatea, integritatea si confidentialitatea informatiilor. Riscurile utilizarii inadecvate a sistemelor informatice sunt privite din doua puncte de vedere: - utilizarea inadecvata a sistemelor informatice ca o consecinta a unor riscuri manifestate; - utilizarea inadecvata a sistemelor informatice ca o cauza generatoare de riscuri. Scopul asigurarii securitatii sistemelor informatice este reprezentat de interesele celor care depind de sistemele informatice si de daunele care pot rezulta din esecul asigurarii confidentialitatii si integritatii informatiilor. CLASIFICAREA RISCURILOR Clasificarea riscurilor utilizarii inadecvate a sistemelor informatice: 1. Riscurile de securitate: amenintari interne sau externe rezultate in urma accesului neautorizat si fraudulos la informatii. Acestea includ scurgeri de date, frauda, virusi dar si atacuri directionate asupra anumitor tipuri de aplicatii, utilizatori sau informatii. 2. Riscurile de accesibilitate: informatia devine inaccesibila de catre persoanele cu drept de utilizare, datorita unor intreruperi neplanificate ale sistemului. Trebuie avut in vedere de catre fiecare organizatie riscul de pierdere sau de corupere a datelor si sa asigure toate mijloacele necesare evitarii acestor riscuri cat si recuperarii datelor in timp util in cazul unui dezastru. 3. Riscurile legate de performanta: informatia devine inaccesibila datorita limitarilor de performanta si scalabilitate ale sistemului. Trebuie luate in considerare toate necesitatile tehnice cantitative si de performanta pentru a putea face fata in situatiile de maxim, dar analizand atent cerintele de resurse pentru a evita cheltuielile inutile si pentru a minimiza costul de intretinere al sistemului informatic. 4. Riscurile de conformitate: incalcarea regulamentelor si/sau a politicilor interne ale companiei. 5. Managementul riscurilor este procesul de implementare si mentinere a mijloacelor de reducere a efectelor riscurilor la un nivel considerat acceptabil si nepericulos de catre managementul companiei. Acest proces impune urmatoarele: - Analiza de risc; - Politicile de securitate; - Schema de securitate ; - Audit tehnic si financiar; - Testarea vulnerabilitatilor si accesului neautorizat; - Monitorizarea - detectarea accesului neautorizat prin dispozitive de identificare; - Instalarea si administrarea serviciilor de incredere. Analiza de risc este componenta cea mai importanta din cadrul managementului riscurilor. Aceasta este un proces de evaluare a vulnerabilitatilor sistemului informatic si a amenintarilor la care acesta este sau poate fi expus. In urma acestui proces se identifica consecintele probabile ale riscurilor analizate si ale vulnerabilitatilor asociate si se pun bazele intocmirii unui plan de securitate care sa fie in conformitate cu un raport corespunzator eficienta-cost. Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activitati (in general, din exteriorul sistemului auditat) care pot sa afecteze vulnerabilitatile existente in orice sistem cauzand astfel impactul, apreciat a fi o pierdere sau o consecinta pe termen scurt, mediu sau lung suportata de organizatie. Riscul la nivelul unei organizatii nu poate fi eliminat, el va exista intotdeauna, managementul societatii fiind responsabil de reducerea lui la un nivel acceptabil. In acest sens, figura de mai jos pune in corespondenta diferite elemente ce necesita a fi luate in calcul pentru reducerea riscului.
[1]. Iancu, S., (2001), Unele probleme sociale, economice, juridice si etice ale utilizarii tehnologiei informatiei si comunicatiilor, Bucuresti; [2]. OECD, (2002), Guidelines for the Security of Information Systems and Networks, [3]. http://www.oecd.org/dataoecd/16/22/15582260.pdf; [4]. Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti; [5]. Ana Maria Suduc, (2009), Riscuri asociate utilizarii inadecvate a tehnologiilor societatii informationale, Bucuresti ; [6]. Iosif, G., Marhan, A.M., (2005), Analiza si managementul erorilor in interactiunea om-calculator, Ergonomie cognitiva si interactiune om-calculator, Ed. Matrix Rom, Bucuresti; Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ; [7]. Proiect OpenSSL: http:// www. openssl. org/ ; [8]. http://www.securekit.com/.
Plătește în siguranță cu cardul și beneficiezi de garanția 200% din partea Proiecte.ro.
Simplu și rapid în doar 2 pași: completezi datele tale și plătești.
