-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici
Ca element de caracterizare a calitatii unui sistem,
SECURITATEA este capacitatea sistemului de a-i conserva
caracteristicile constructiv-funcionale sub aciunea unor
factori
distructivi, care ar putea sa-l transforme in pericol pentru
mediul
nconjurator i viaa oamenilor aflai in zona de risc, ori sa
provoace pagube materiale, informaionale sau morale.
ro Asuma-ti riscuri calculate. Asta inseamna sa nu te grabesti
George S. Patton
-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
SECURITATEA este singurul concept care poate
raspunde dezideratelor de siguran i stabilitate necesare
bunei
funcionari a sistemelor/organizaiilor in ziua de azi,
caracterizat de o multiplicare fr precedent a riscurilor.
23 octombrie 2014 2 Evaluator de risc la securitatea fizic
SECURITATEA
PROCESUL
SIGURAN
STABILITATE
-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
O alt perspectiva a SECURITAII: capacitatea de a te putea
proteja mpotriva pericolelor sau a pagubelor, prin diminuarea
consecinelor adverse asociate aciunilor intenionate i improprii ale
altora.
Odat cu ameninarile tot mai complexe, securitatea tinde s includ
reziliena, sustenabilitatea i asigurarea serviciilor critice.
Reziliena este abilitatea unei organizaii/individ/comunitate de
a minimiza cosecinele negative ale unor evenimente
adverse/potrivnice i de a le utiliza ca declanator pentru aciuni de
ntarire i dezvoltare.
Reziliena se bazeaz pe starea de spirit, cultur, atitudine i
valorile organizaiei. Este centrat mai mult pe securizarea viziunii
i obiectivelor organizaiei decat pe prevenirea pierderilor.
Cultura de securitate se obine printr-un program reuit de
contientizare a aspectelor de securitate. Insuite, oamenii acioneaz
pentru aprarea lor.
Cultura de securitate este bazat pe informaie: cei ce conduc,
opereaz i aplica sistemul de securitate, au cunotine la zi despre
resursele umane, tehnice i organizaionale i despre factorii externi
care determin eficiena sistemului , caun ntreg.
23 octombrie 2014 3 Evaluator de risc la securitatea fizic
-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
Ca proces in continua desfaurare, SECURITATEA are
ca obiectiv stabilitatea sistemului. Ea are o legislatie
specific, se
bazeaz pe un sistem de strategii, norme, metodologii,
procedee,
aciuni i instituii specializate/dedicate. Acestea, mpreuna
cu
suportul tehnic tot mai avansat, sunt capabile sa ofere servicii
de
siguran, protecie, supraveghere, precum i condiii pentru
viabilitatea sistemelor i a utilizatorilor acestora.
Fara securitate, ca parametru principal de calitate, a
tuturor proceselor si sistemelor, eficiena nu este posibil.
23 octombrie 2014 4 Evaluator de risc la securitatea fizic
-
VI - MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
Securitate = ,, absena pericolului,, (sistem protejat)
iar
Insecuritate = ,, prezena pericolului,, (sistem insuficient
protejat)
Concluzia: unei securitai ridicate i corespunde un risc sczut,
iar
unei securitai sczute, i corespunde un risc ridicat.
8 octombrie 2014 5 Evaluator de risc la securitatea fizic
Secu
rita
te
Securitate Absena pericolului
Insecuritate Existena pericolului
Risc 0
-
Preocuparile pentru asigurarea securitaii pornesc de la
individ, continu la nivelul organuzaiilor de orice tip, la
nivelul
comunitaii i al structurilor administrative, la nivelul
statului, si
constituie de multe ori obiectul al unor inelegeri, proiecte
sau
structuri internaionale
MANAGEMENTUL SECURITATII
Componentele securitaii
23 octombrie 2014 6 Evaluator de risc la securitatea fizic
Homeland security
Protecia societaii
Securitatea privata
Protectie bunuri,etc.
Securitatea
nationala
-
MANAGEMENTUL SECURITATII
Modele. Securitatea ntreprinderii. Modelul GRC.
Au fost elaborate diferite modele de gestionare a
securitaii:
-mangementul securitatii informaiei;
-protecia infrastructurii critice;
-protectia lanului de aprovizionare (supply chain
management);
-modele ce funcioneaza la scara mare(organizaii de afaceri,
mediu
universitar, societate civil)
Implementarea unui model la nivelul unei organizaii presupune
un
proces de management al riscurilor, controlul reducerii acestora
pe
domenii distincte(securitate fizic, informatica, etc).
Binomul autoritai publice-mediu privat: diferena dintre
obiectivele i
misiunile celor dou pari ndeplinirea atribuiilor stabilite prin
lege i
finaate de la buget, respectiv maximizarea profitului, joaca un
rol
important in managementul securitii.
23 octombrie 2014 7 Evaluator de risc la securitatea fizic
-
MANAGEMENTUL SECURITATII
Securitatea ntreprinderii. Modelul GRC.
Odat cu apariia Legii Sarbanes Oxley si a cerintelor SUA privind
societile listate la bursa, integrarea celor trei componente ale
managementului securitii guvernare, analiza riscului,
conformitate(GRC) - a devenit tot mai important. O reala integrare
s-a obinut prin mbuntirea procesului lurii deciziilor i a
planificrii strategice.
Guvernarea asigur conducerii executive datele i informaiile
strategice, apte sa asigure luarea deciziilor i s implementeze
mecanismele de control a conformitii.
Managementul riscului reprezinta un complex de procese prin care
riscurile sunt identificate, analizate i, cnd se impune se iau
msuri concrete, funcie de gravitatea perceput, implicnd eliminarea,
acceptarea sau transferul acestora ctre teri. Riscurile legate de
conformitatea cu cerinele legale i de rglementare reprezint
aspectul cheie al modelului GRC.
Conformitatea reprezinta respectarea cerinelor stabilite.
23 octombrie 2014 8 Evaluator de risc la securitatea fizic
-
MANAGEMENTUL SECURITATII
Securitatea ntreprinderii. Modelul GRC. (cont)
23 octombrie 2014 9 Evaluator de risc la securitatea fizic
La nivelul unei organizaii, consecinele adverse pot fi:
- afectarea parial sau compromiterea obiectivelor afacerii
- nerespectarea cerinelor legale care are/poate avea ca urmare
afectarea din culp a persoanelor, comunitaii, mediului.
Cele do categorii nu se exclud ntre ele.
Este evident faptul ca este nevoie de un sistem de management al
securitii care s gestioneze unitar, integrat cu afacerea n sine, la
nivelul ntregii organizaii toate aspectele de securitate, dar mai
ales pe cele relevante.
Un astfel de sistem trebuie s asigure guvernarea, managementul
riscurilor de securitate, si conformitatea, integrndu-se totodat n
managementul general al organizaiei.
-
MANAGEMENTUL SECURITATII
Cerine de securitate.Cerine de conformitate legal
23 octombrie 2014 10 Evaluator de risc la securitatea fizic
Complexitatea aspectelor de securitate i percepia tot mai acut a
ameninrilor i vulnerabilitilor au condus la necesitatea formularii
unor cerine de securitate n legi, hotrri de guvern ordine ale
minitrilor, pentru reglementarea unitar a unor domenii de
activitate, etc.
-Legea nr. 333 din 8 iulie 2003 privind paza obiectivelor,
bunurilor, valorilor si protectia persoanelor i modificrile aduse
prin Legea 9/2007, Legea 40/ 2010;
-HG 301/2012 pentru aprobarea Normelor metodologice de aplicarea
Legii 333/2003;
-Legea 16/2011 pentru aprobarea Ordonanei de urgena a Guvernului
nr. 98/2010 privind identificarea, desemnarea i protecia
infrastructurilor critice;
-Legea nr. 535/2004 privind prevenirea i combaterea
terorismului;
-Legislaia naional i ordinele directorului ORNISS cu privire la
informaiile clasificate(Legea 182/2002 privind protecia
informaiilor clasificate; HG 585/2002 pentru aprobarea standardelor
naionale de protecie a informaiilor clasificate n Romnia; HG
781/2002 privind protecia informaiilor secret de serviciu);
-Legea 677/2001 privind protecia persoanelor cu privire la
prelucrarea datelor cu caracter personal i circulaia acestor
date;
-Legislaia privind prevenirea i stingerea incendiilor i situaii
de urgen (Legea nr. 307/2006 privind aprarea mpotriva incendiilor;
Legea 481/2004 privind protecia civil .a.m.d.);
-Legi sectoriale privind sectoarele electric, petrol i gaze,
bancar, bursier, etc. *Legea58/1999 privind activitatea bancar.
-
MANAGEMENTUL SECURITATII
Cerine de securitate.Cerine de conformitate legal
23 octombrie 2014 11 Evaluator de risc la securitatea fizic
Fiecare categorie de acte legislative prezentat, reprezint o
anume problematic la nivelul statului i are asociat o anume
autoritate numita de regula autoritate de relementare, sau mai
multe autoriti.
Astfel paza obiectivelor, bunurilor, valorilor i protecia
persoanelor se afl sub autoritatea Insp. Gen. De Poliie-Dir. Ordine
Public.
Protecia infrastructurilor critice este coordonat de un ansamblu
de autoriti, cuprinznd un consilier de stat, un grup
interinstituional, un centru de coordonare i mai multe autoriti
responsabile.
Protecia informaiilor clasificate este sun autoritatea ORNISS i
a autoritilor desemnate.
SRI este autoritatea n domeniul prevenirii i combaterii
terorismului , dar i n domeniul inteligenei cibernetice.
De prevenirea i stingerea incendiilor, precum i de gestionarea
situaiilor de urgena se ocupa IGSU.
Respectarea unui set de cerine de securitate, dintr-o anume
lege/HG, nu nseamn asigurarea securitii n ansamblu. O organizaie
trebuie s fie conform tuturor cerinelor de securitate ce-i
reglementeaza activitatea, reglementri de rgul disparate, sub
coordonarea mai multor autoriti, dup cum s-a putut vedea.
-
MANAGEMENTUL SECURITATII
Cerine de securitate. Modele i standarde
23 octombrie 2014 12 Evaluator de risc la securitatea fizic
Pentru creterea eficacitii n tratarea problemanticii de
securitate, au fost dezvoltate mai multe modele, au fost elaborate
standarde internaionale, care cuprind linii directoare, liste de
bune practici i chiar cerine pentru certificare de catre teri.
Relevante pentru securitate sunt:
-SR ISO/EC 9001:2008 privind sistemul de management al
calitaii;
-Familia de standarde ISO/EC 27035 Managementul incidentelor
privind securitatea informaiilor; SR ISO/EC 24762 Tehnologia
informaiei Tehnici de securitate. Linii directoare pentru servicii
de recuperare dup dezastre a trehnologiei informaiei i
telecomunicaiilor;
-Standardul ISO/EC 28001 Securitatea canalului de
aprovizionare;
- ISO/EC 22301 Managementul continuitii activitii
Dei nu sunt obligatorii, aplicarea cerinelor standardelor asigur
utilizarea unor mecanisme de management care asigur performana i
arat partenerilor capabilitiloe organizaiei n acest sens.
-n cazul unor standarde se practic autorizarea cde ctre
autoritatea ter, urmare a auditrii, confirmnd aplicarea sistemului
de management respectiv.
Autoritile de certificare sprijin doritorii in procesul
implementrii adaptate a cerinelor standardului la condiiile
concrete ale unei organizaii.
Alte standarde cuprind linii directoare sau aa numitele bune
practici, ce trebuiesc adoptate n vederea obinerii anumitor
performane.
O a treia categorie de standarde cuprind cerine minimale pentru
bunuri i/sau servicii, fiind foarte utile n derularea
achiziiilor.
-
MANAGEMENTUL SECURITATII
Paza obiectivelor, bunurilor, valorilor i protecia
persoanelor
23 octombrie 2014 13 Evaluator de risc la securitatea fizic
Acest domeniu reglementat de IGPR Direcia Ordine Public este
unul din cele mai cunoscute, privind securitatea n ara noastr. Aici
ntlnim prestatori de servicii de paza i protecie, proiectare,
instalare i ntreinere sisteme de alarm la efracie i, n curnd,
consultan de securitate i analiza de risc la securitatea fizic.
Domeniul este rglementat de Legea 3333/203 i HG 301/2012. care
stabilesc cine i n ce condiii trebuie s asigure paza.
-Paza se organizea i efectueaz potrivit planului de paza ntocmit
de unitate i avizat de poliie.
-Sistemele tehnice de protecie i alarmare mpotriva efraciei sunt
complementare pazei , realiznd securitatea mecanic i electronic a
obiectivului protejat.
-Securitatea fizic reprezint domeniul aplicativ al securitii
cuprinznd msuri pentru prevenirea i mpiedicarea atacatorilor s aib
acces la obiective, resurse sau informaii, precum i recomandri
privind proiectarea infrastructurii pentru a opune rezizten la
actele ostile.
-
MANAGEMENTUL SECURITATII
Paza obiectivelor, bunurilor, valorilor i protecia
persoanelor(cont1)
23 octombrie 2014 14 Evaluator de risc la securitatea fizic
Modalitatea prin care autoritatea se asigur ca unitile desemnate
aplic msurile de securitate necesare este stabilirea unui set de
cerine minimale obligatorii, iar proiectul sistemului tehnic de
protecie i alarm la efracie s fie supus avizrii de specialitate a
poliiei.
Unitile care trebuie s aplice aceste cerine minime, obligatorii
sunt;
-uniti de interes strategic i obiective ale infrastructurii
critice;
-uniti sau instituii de interes public;
-Instituii de creditare, uniti potale, puncte de schimb valutar,
case de amanet, uniti profilate pe bijuterii din metale sau pietre
preioase;
-Magazine de arme i muniii;
-Staii de comercializare a carburanilor/combustibililor;
-Sli de exploatare a jocurilor de noroc;
-Centre de procesare;
-Casierii furnizori de servicii de utiliti;
-Obiective industriale;
-Depozite;
-Instalaii tehnologice.
-
MANAGEMENTUL SECURITATII
Paza obiectivelor, bunurilor, valorilor i protecia
persoanelor(cont2)
23 octombrie 2014 15 Evaluator de risc la securitatea fizic
HG 301/2012 vine cu completri la prevederile Legii 333/203, cum
ar fi:
-introducerea in lista a infrastructurii critice;
-utilizarea analizei de risc ca fundament pentru adoptarea
msurilor de securitate, n completare cu cerinele minimale de
securitate, pe zone funcionale i categorii de uniti.
Analiza de risc este efectuat de unitate prin structuri de
specialitate sau experi abilitai care dein competene profesionale
dobndite pentru ocupaia de evaluator de risc la securitatea fizic.
Aceasta poresupune parcurgerea urmatoarelor etape:
-Definirea parametrilor interni i externi care genereaz i/sau
modific riscurile la securitatea fizic a unitii;
-Stabilirea metodei i a instrumentelor de lucru;
-Identificarea tuturor riscurilor la securitatea fizic, a
zonelor de impact, a evenimentelor i cauzelor riscului, precum i a
potenialelor consecine;
-Analizarea riscurilor la securitatea fizic;
-Estimarea riscurilor unitii beneficiare;
-ntocmirea Raportului de evaluare i propuneri de tratarea
riscurilor la securitatea fizic.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate. Clasificare
23 octombrie 2014 16 Evaluator de risc la securitatea fizic
Principalul domeniu de aplicare a soluiilor de securitate din
cauza avntului IT.
1.Informaii clasificate:
- secrete de stat:
- secrete;
- strict secrete;
-strict secrete de importan deosebita;
- secret de seviciu.
2.Informaii neclasificate
3.Informaii de interes public(Legea 544/2001 privind accesul la
informaii publice).
Protecia informaiilor clasificate: ORNISS(Oficiul Registrului
Naional al Informaiilor Secrete de Stat). SRI, MApN, MI, SIE, SPP,
STS.
La nivelul organizaiei, responsabilitatea pstrrii secretului de
stat/serviciu, revine conductorului instituiei, care trebuie s
desemneze o structur de securitate sau, cel puin, un funcionar de
securitate.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate.Componente
23 octombrie 2014 17 Evaluator de risc la securitatea fizic
Componentele proteciei informaiilor clasificate, statuate de
standardele naionale de protecie a informaiilor clasificate
sunt:
-protecia juridic;
-protecia prin msuri procedurale;
-protecia fizic;
-accesul la informaii naionale clasificate;
-Protecia personalului;
-Protecia surselor generatoare de informaii-INFOSEC.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate. Sistem de securitate
23 octombrie 2014 18 Evaluator de risc la securitatea fizic
n ceea ce privete informaiile clasificate, sistemul de
securitate cuprinde totalitatea echipamentelor i personalul
destinat aplicrii masurilor de securitate fizic ntr-o
incint/comunitate/organizaie. Acesta are rolul; -S previn
ptrunderea persoanelor neautorizate;
-S descopere persoanele neloiale, s descopere i s previn
aciunile ostile ale acestora;
-s permit accesul la informaiile clasificate doar pesoanelor
autorizate;
-S descopere i s combat orice nclvare a msurilor pe linia
informaiilor clasificate.
Sistemul de securitate trebuie s se conduc dupa urmtoarele
principii:
-ealonarea n adncime a msurilor de protecie;
-Corelarea masurilor de protecie fizic cu timpul de intervenie
al forelor destinate;
-Eficacitate;
-Disponibilitate tehnic;
-Planificarea contingenei msurilor de protecie.
Acesta trebuie dimensionat funcie de:
-nivelul informaiilor clasificate;
-volumul i suporul fizic de prezentare al acestora;
-nivelul de acces conferit de certificatul de securitate/nevoia
de a ti;
-situaia din zona de dispunere.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate.Cerine minimale
23 octombrie 2014 19 Evaluator de risc la securitatea fizic
Trebuie reinut c la protecia informaiilor clasificate sunt avute
n vedere i alte ameninri dect cele aplicabile proteciei persoanei i
valorilor. Reglementrile prevd msuri minimale, dar nu exclude
analiza de risc, mai ales n cazul informaiilor pe suport
electronic. Cele mai importante:
-Contolul accesului persoanelor;
-Controlul vizitatorilor;
-Controlul bagajelor(planificat i inopinat):
-la intrare (aparatur de copiere, stocare, transmitere
date);
-La ieire(supori informaii, etc.)
-ncperi de securitate:
-Perei,podele, plafoane, ui,ncuietori;
-Protecie chei,coduri;
-Ferestre parter sau ultimul etaj gratii sau protecie
antiefracie;
-Sistem de aerisire protecie mpotriva introducerii de materiale
incendiare;
-Containere pentru pastrare dar i evacuare:
-Metalice, autorizate;
-Clasa A, B.
-ncuietori:
-clase A,B,C, mobilier;
-chei,coduri.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate.Cerine minimale(cont)
23 octombrie 2014 20 Evaluator de risc la securitatea fizic
Trebuie reinut c la protecia informaiilor clasificate sunt avute
n vedere i alte ameninri dect cele aplicabile proteciei persoanei i
valorilor. Reglementrile prevd msuri minimale, dar nu exclude
analiza de risc, mai ales n cazul informaiilor pe suport
electronic. Cele mai importante:
-Contolul activitii la copiatoare, faxuri
-Protecia mpotriva ascultrii neautorizate:
-pasive-izolarea fonic a ncperilor;
- active miocrofoane, instalaii, echipamente de comunicaii;
-protecia fizic a ncperilor , inclusiv n perioada n care nbu
sunt utilizate;
- evidena dotrilor ncperilor, a cureniei, reparaiilor.
-Protecia mpotriva distrugerii:
- la incendiu;
- la inundaie;
- la atac terorist;
-Controlul distrugerii documentelor(clasificate,
declasificate)
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. Standarde
23 octombrie 2014 21 Evaluator de risc la securitatea fizic
Conceptul aplicativ cel mai evoluat de gestionare a securitii la
nivelul unei organizaii.Acesta face obiectul familiei de standarde
ISO 27000, care trateaza de la inventarierea valorilor care trebuie
protejate, analiza i tratarea riscurilor, alegerea mijloacelor de
diminuare a riscurilor, pna la recomandri de aplicare a msurilor de
securitate, n general, sau specifice unor tipuri de organizaii. Cel
mai important este standardul SR/ISO 27001 care este o specificaie
de certificare.
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27001
23 octombrie 2014 22 Evaluator de risc la securitatea fizic
Cel mai important este standardul SR/ISO 27001 care este o
specificaie de certificare.
PDCA
Plan
Do
Check
Act
Proiectare SMSI (evaluarea riscurilor, tratarea riscurilor,
stabilirea mijloacelor de control...)
Proiectare i utilizarea SMSI (implementarea i testarea
mijloacelor, de control, politicilor, procedurilor,
proceselor...)
Monitorizare i revizuire SMSI (incidente, schimbrui, reevaluare
riscuri, audituri..)
Actualizare i mbuntire SMSI (mbuntire sau implementare de Noi
mijloace de control, politici, proceduri..)
Procesul de management al securitii informaiei
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27001
23 octombrie 2014 23 Evaluator de risc la securitatea fizic
Funcionarea SMSI este reglementat de un set de documente,
folosite pentru analiza, control i mbuntire.
DOCUMENTAIE
Domeniul de aplicare i politica SMSI
Raportul de evaluare a riscurilor
Planul de tratatre a riscurilor
Declaraia de aplicabilitatea
Proceduri SMSI
Manuale SMSI
Manuale de audit
NREGISTRRI
nregistrri privind incidentele
nregistrri de personal
nregistrri privind instruirile
nregistrri privind contractele,
livrrile, achiziiile
nregistrri financiare
Rezultatele testrilor
Dovezi de audit
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27002
23 octombrie 2014 24 Evaluator de risc la securitatea fizic
Standardul SR/ISO 27002 Tehnologia informaiei Tehnici de
securitate Cod de bune practici pentru managementul securitii
informaiei, prezint recomandri pentru reducerea riscurilor la
securitatea informaiei IT la elaborarea i implementarea:
-Politicii de securitate;
-Organizarea securitii informaiei;
-Managementul resurselor;
-Securitatea resurselor umane;
-Securitatea fizic i a mediului de lucru;
-Managementul comunicaiilor i operiunilor;
-Controlul accesului;
-Achiziionarea, dezvoltarea i mentenana sistemelor
informatice;
-Mnagementul incidentelor de securitate a informaiei;
-Managementul continuitii afacerii:
-Conformitatea
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27002(cont)
23 octombrie 2014 25 Evaluator de risc la securitatea fizic
Fiecare domeniu al masurilor de securitate amintite, cuprinde :
-un obiectiv al msurilor de securitate, care stabilete ce trebuie
atins;
-una sau mai multe msuri de securitate care pot ajuta la
tingerea
obiectivului.
Pentru msura de securitate sunt date enunul, detalii de
implementare i
alte consideraii.
Alegerea msurii/lor de securitate se face urmare a procesului
de
management al riscurilor informaionale, iar acestea sunt reinute
n aa
numita ,,declaraie de aplicabilitatea,, , acesta din urm fiind
utilizat de
auditor n vederea certificrii conformitii cu standardul SR/ISO
27001.
Dezvoltarea SMSI Identificare, evaluare risc Decizia de a
trata
riscurile Adoptarea msurii de securitate. Control
Auditare SMSI
-
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice. Concept
23 octombrie 2014 26 Evaluator de risc la securitatea fizic
Conform UE: Acele obiective, reele, servicii, active fizice i
mijloace informatice care, dac sunt ntrerupte sau distruse , vor
avea un impact serios asupra sntii, siguranei, securitii sau a
bunstrii economice a cetenilor sau asupra funcionrii efective a
actului de guvernare;
-sisteme de producere, transport sau distribuie a energiei
electrice;
-sisteme de extracie, prelucrare i transport petrol, gaze i alte
resurse primare de energie;
-obiective i instalaii nucleare;
-sisteme informatice i de telecomunicaii(rele calculatoare,
telefonie, etc
-deeuri rezultate din prelucrarea substanelor radioactive,
toxice;
-sisteme aprovizionare cu ap;
-infrastructura i mijloacele de transport, de toate
tipurile;
-sistemele financiare, bancare i de asigurri;
-serviciile de sntate i de intervenie n cazurile de urgen;
-valorile i utilitile publice de interes strategic;
-autoriti publice (preedinie, parlament, guvern, structurile
informative.
-
Consilier de Stat
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice. Cadru naional
23 octombrie 2014 27 Evaluator de risc la securitatea fizic
Protecia infrastructurii critice devine tot mai mult un model
regional/continental de securitate, care poate fi pus n practic n
baza parteneriatului public-privat.
Directiva 114/2008, Ordonaa de Urgen nr. 98/2009 i Legea
nr.18/2010 asigura cadrul legal de aciune.
Prim ministru
Ministerul Administraiei i Internelor Grup de lucru
interinstituional
Centru de coordonare a proteciei infrastructurii critice
(CCPIC)
Punct de contact naional Mnagement reea CIWIN
Autoriti publice responsabile
Compartiment specializat n domeniul ICN/ICE
Proprietari/operatori/administratori de ICN/ICE
Ofier de legtur pentru securitatea ICE/ICN
Planul de securitate al operatorului
Centru ssituaii de urgen/Guvern
-
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice.
23 octombrie 2014 28 Evaluator de risc la securitatea fizic
n accepiunea UE, infrastructura critic trebuie s afecteze cel
puin 2 state.
Grupul de lucru interinstituional i CCPIC-ul au contacte la
nivel UE.
Autoritile publice responsabile (APR) i Operatorii de
infrastructuri
critice rspund de punerea n practic a msurilor i de
coordonarea
eforturilor la nivel sectorial.
Din aceast perspectiv, deintor sau operator este acea
persoan/instituie care au responsabiliti cu investiiile n
/operarea
curent a unui obiectiv/sistem sau parte a sa, identificat i
desemnat ca
infrastructur critic.
Linkul ataat ne conduce la tabelul cu toate autoritile desemnate
ca
responsabile pentru infrastructura critic.
..\Anexa 1.pdf
-
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice. Mecanism de aciune
23 octombrie 2014 29 Evaluator de risc la securitatea fizic
Mecanismul de aciune, cu alocarea rolului i a responsabilitilor
ntre participani este prezentat schematic mai jos.
Guvern, ministere, administraie local
Furnizori, Asociaii profesionale Mediu academic, ONG-uri
Companii publice sau Private careD/A/O IC
Identificare active critice
Evaluarea vulnerabilitilor
Analiza riscurilor
Managementul riscurilor
Planificarea rspunsului de Urgen i al recuperrii
Abordarea procesual
Diseminare informaii, instruire
Coordonare
Interdependene
Cercetare-dezvoltare
Prevederi legale
-
MANAGEMENTUL SECURITATII
Infrastructuri critice de informaii
23 octombrie 2014 30 Evaluator de risc la securitatea fizic
Protecia infrastructurii critice, excede n unele privine,
aspectele securitii. De exemplu,
managementul riscurilor operaionale sau, analiza i managementul
intedependenelor, n care
predomin aspectul tehnic sau operaional specific .
n al doile rnd, interdependena infrastructur critic i
infrastructur critic de informaii.
Infrastructurile critice de informaii se refer la sistemele
informatice i de telecomunicaii, vitale
pentru operarea/funcionarea infrastructurii critice naionale sau
internaionale:
-reele de telecomunicaii, managementul acestora, servicii de
localizare utilizate n apelurile de urgen;
-Controlul traficului aerian, controlul i rutarea trenurilor,
managementul traficului rutier, fluvial;
-Sistemul plilor electronice cu card, tranzacii electronice,
burse electronice;
-Sisteme de tip SCADA care gestioneaz producerea i distribuia
energiei, a celei chimice.
-Conform OECD , ICI sunt definite ca ,, acele reele i sisteme de
informaii interconectatea care, dac
sunt ntrerupte sau distruse, pot avea un impact major asupra
sntii, siguranei, securitii sau a
bunstrii economice a cetenilor sau asupra funcionrii efective a
actului de guvernare i a
economiei.,,
-Acestea pot fi:
- componente informatice care susin infrastructurile
critice;
-Infrastructuri de informaii care susin componentele majore ale
guvernrii;
-Infrastructuri de informaii care sunt eseniale pentru economia
naional.
Atenie la rolul nefast pe care poate s-l aib atacul cibernetic
asupra securitii infrastructurii critice de
informaii.
Internetul, magazinele virtuale, diagnostic/consultaii
on-line.
-
MANAGEMENTUL SECURITATII
Infrastructura critic. Managementul rezilienei organizaiei.
23 octombrie 2014 31 Evaluator de risc la securitatea fizic
Pornind de la adevrul c nu toate activele pot fi protejate (sau
c este prea scump)
ASIS Internaional a dezvoltat un nou concept ,, reziliena
organizaional,,, n care a integrat
managementul securitii cu pregtirea pentru i susinerea
rspunsului de urgen i de
cpntinuitate.
Cum nu toate riscurile pot fi eliminate, conceptul de rezilien
pune accentul pe
rvenirea ct mai urgent la starea de normalitate. Elementele
rezilienei:
-robusteea elementului/sistemului care trebuiwe protejat;
-existena unor proceduri i active adecvate de rezerv;
-capacitatea de a rspunde i de a declana aciunile de recuperare
necesare;
-viteza cu care aciunile de reactivare sunt declanate;
-capabilitatea organizaiei de a gestiona situaia de criz.
Astfel au aprut standardele ASIS SPC 1-2009 Organizational
Resilience: Security,
Preparadness, and Continuity Management Systems Requirements for
Use, ANSI/ASIS SPC 4
2012 Organisational Resilience Maturity Model Phase
Implementation, sau documentul de bune
practici elaborat de specialistii italieni UNI/PdR 6- 2014
Critical Infrastructure . Resilience
management system Requirments.
Aceste documente ofer , pentru orice tip de organizaie,
elemntele necesare realizrii
unui control proactiv al riscurilor i a performanei n
gestionarea rezilienei n raport cu dotrile
fizice, serviciile, activitile, produsele, canalele de
aprovizionare i furnizare sau continuitatea
operaional.
-
MANAGEMENTUL SECURITATII
Infrastructura critic. Activiti de rspuns dup incident.
23 octombrie 2014 32 Evaluator de risc la securitatea fizic
Incident
Obiectivul: Revenirea la starea de normalitate
Timp
Rspuns la incident
Continuitatea activitii
Recuperare/Restabilire starea normal
Salvarea oamenilor Limitarea pagubelor Utilizarea planului de
continuitate
Recuperarea proceselor critice Refacerea muncii pierdute
Repararea daunelor Revenirea la normal Recuperarea daunelor de
la asiguratori
Minute - ore
Minute - zile
Sptmni - luni
-
MANAGEMENTUL SECURITATII
Mangementul riscului la securitatea fizic.
23 octombrie 2014 33 Evaluator de risc la securitatea fizic
Riscul este definit ca incertitudinea unui rezultat, mbrcnd
forma unei oportuniti de
natur pozitiv sau ameniri la adresa unor aciuni, procese sau
evenimente. Riscul trebuie
evaluat din perspectiva unei combinaii ntre probabilitatea ca
ceva s se ntmple i impactul pe
care materializarea respectivei posibiliti l va avea.
Managementul riscurilor include identificarea i evaluarea
riscurilor i modul de
reacie la apariia acestora. n cele mai multe cazuri, riscurile
nu pot fi evitate, de aceea se va urmri
un rspuns optim la risc, plecnd de la prioritile stabilite de
analiza riscului.
Fiecare organizaie trebuie s iamsurile ce necesare controlrii
riscului pna la nivelurile
confirmate ca fiind tolerabile.
Rspunsul la risc - ,,control intern,, pote consta n:
-Tolerare;
-Tratarea ntr-un mod adecvat, pn la reducerea acestuia la un
nivel acceptabil, sau transformarea
acestuia n oportuniti;
-Transferare;
-ncetarea activitii care l-a generat.
-Nivelul de risc care persist i dup tratarea acestuia expunerea
la respectivul risc, trebuie s fie
acceptabil i justificabil(n limitele apetitului la risc).
-Unb proces eficace de gestionare a riscurilor presupune o
analiz riguroas a contextului n care
organizaia funcioneaz i de prioritizarea riscurilor
partenerilor.
-
MANAGEMENTUL SECURITATII
Ierarhia riscului.
23 octombrie 2014 34 Evaluator de risc la securitatea fizic
Proiect i operaional
Program
Strategic Decizii strategice
Decizii care traduc Strategia n aciuni
Decizii necesare implementrii
Mnagementul riscului la orice nivel strategic, de program i
operaional Trebuie integrat, astfel ca nivelurile s se susin
reciproc. Aceast strategie face din managementul riscului o operaie
de rutin, plecat din vrf, pna La nivelurile de jos. Personalul
trebuie s contientizeze importana controlului riscului pentru
atingerea obiectivelor , urmare a instruirii n acest sens.
-
MANAGEMENTUL SECURITATII
Standardele SR/ISO/IEC 31000 i 31010.
23 octombrie 2014 35 Evaluator de risc la securitatea fizic
Abordarea generic din aceste standarde furnizeaz principiile i
liniile directoare pentru abordarea oricrei probleme de risc ntr-o
form sistematic, transparent i continu, pentru orice domeniu i
orice context.
Fiecare sector sau aplicaie de management al riscului presupune
nevoi, public, percepii i criterii proprii. Aceasta a fcut ca
standardele enunate s includ n managementul riscului, chiar de la
nceput, stabilirea contextului .
Acest proces preliminar ne ajut s nelegem obiectivele
organizaiei, mediul n care organizaia acioneaz, prile interesate i
complexitatea activitii, inclusiv diversitatea riscurilor
inerente.
Pentru evaluarea riscului, n faza stabilirii contextului, se va
urmri identificarea contextului extern dar i a celui intern:
a) extern familiarizarea cu mediul n care organizaia
opereaz:
- factori culturali, sociali, politici, juridici, de
reglementare, financiari, economici i de mediu concurenial, fie ei
locali, regionali, naionali sau internaionali;
- factori cheie i tendine cu impact asupra organizaiei;
- percepii i valori ale prilor externe interesate.
b) Intern, implic nelegerea:
- capacitilor organizaiei n ceea ce privete cunotinele i
resursele;
- fluxurilor de informaii i a proceselor decizionale;
- prilor interne interesate;
-Obiectivelor i a strategiilor pentryu atingerea acestora;
- percepiilor, valorilor, implicaiilor socio-culturale;
- poiliticilor i proceselor;
-Standardelor i modelelor de referin adoptate de organizaie;
-Structurilor (organigrame, roluri, atribuii)
-
MANAGEMENTUL SECURITATII
Standardele SR/ISO/IEC 31000 i 31010.
23 octombrie 2014 36 Evaluator de risc la securitatea fizic
c) Stabilirea contextului procesului de managemnt al riscurilor
implic:
- definirea atribuiilor i responsabilitilor;
- definirea amplorii activitilor de managemnt al riscurilor ce
vor
fi desfurate, inclusiv ce se include/exclude;
- definirea relaiei dintre un proiect/eveniment anume i alte
proiecte/evenimente ale organizaiei;
- definirea metodologiei de evaluare a riscurilor;
- definirea criteriilor de risc;
- definirea modului de evaluare a performanei managementului
riscului;
- identificarea i precizarea deciziilor i aciunilor ce
trebuie
ntreprinse;
- identificarea studiilor necesare pentru domeniul de aplicare
sau
ncadrare, mrimea, obiectivele, i resursele necesare pentru
aceste
studii;
-
MANAGEMENTUL SECURITATII
Standardele SR/ISO/IEC 31000 i 31010.
23 octombrie 2014 37 Evaluator de risc la securitatea fizic
d) Definirea criteriilor de risc implic stabilirea:
- naturii i tipului de consecine ce trebuie incluse i modul n
care
acestea vor fi msurate;
- modalitii n care se vor exprima probabilitile;
- modalitii de stabilire a unui nivel de risc;
- criteriile conform crora se va decide cnd un risc trebuie
tratat;
- criteriile care stabilesc cnd un risc este
acceptabil/tolerabil;
- dac i cum vor fi luate n considerare combinaiile de
riscuri.
Criteriile se pot baza pe surse precum:
- obiective convenite ale proceselor;
- criterii identificate n specificaii;
- criterii general acceptate n domeniu, ex. Niveluri de
integritate a
securitii;
- apetitul pentru risc organizaional;
- cerine juridice sau de alt natur, pentru echipamente sau
procese.
-
MANAGEMENTUL SECURITATII
EVALUAREA RISCULUI .
23 octombrie 2014 38 Evaluator de risc la securitatea fizic
EVALUAREA RISCULUI reprezint procesul global care cuprinde
identificarea, analiza
i estimarea riscului.
IDENTIFICAREA RISCULUI reprezint procesul de descoperire,
recunoatere i descriere a
riscului i implic:
- identificarea surselor de risc, a evenimentelor, a cauzelor i
a potenialelor cerine ale acestora;
- date istorice, analize teoretice, opinii informate i ale
experilor, precum i nevoile prilor
interesate;
- descrierea riscului reprezint prezentarea structurat a
riscului care conine, de regul, patru
elemente: surse, evenimente, cauze i consecine;
sursa riscului reprezint elementul care, singur sau n combinaie
cu altele, are potenialul intrinsec de a
produce un risc;
evenimentul reprezint apariia sau modificarea unui anumit set de
mprejurri:
- poate fi unic, se poate produce de mai multe ori sau poate
avea mai multe cauze;
- poate consta din ceva ce nu se ntmpl;
- poate fi un incident sau un accident;
pericolul reprezint sursa de posibile pagube; poate fi o surs de
risc;
proprietarul riscului reprezint o persoan sau o entitate cu
responsabilitatea i autoritatea de a gestiona
un risc.
-
MANAGEMENTUL SECURITATII
ANALIZA RISCULUI .
23 octombrie 2014 39 Evaluator de risc la securitatea fizic
ANALIZA RISCULUI reprezint procesul de nelegere a naturii
riscului i de determinare a nivelului de risc; ea constituie baza
estimrii riscului i a deciziilor referitoare la
tratarea riscului:
- plauzibilitatea reprezint posibilitatea ca un anumit fapt s se
ntmple; ea mai este considerat posibilitate,
probabilitate sau frecven;
- expunerea la risc reprezint msura n care o organizaie i/sau o
parte interesat sunt/ este supuse (supus) unui
eveniment;
- consecina reprezint efectul unui eveniment care afecteaz
obiectivele:
- un eveniment poate genera o serie de consecine;
- o consecin poate fi cert sau incert i poate avea efecte
pozitive saunegative asupra obiectivelor;
- consecinele pot fi exprimate calitativ sau cantitativ;
- consecinele iniiale pot declana reacii n lan;
- probabilitatea este msura posibilitii de apariie exprimat ca
un numr ntre 0 i 1, unde 0 reprezint
imposibilitatea i 1 - evenimentul sigur;
- frecvena reprezint numrul de evenimente sau efecte ntr-o
unitate de timp definit: ea poate fi aplicat
evenimentelor trecute (plauzibilitate) sau evenimentelor
viitoare (probabilitate);
- vulnerabilitatea reprezint caracteristica unei entiti care are
ca urmare susceptibilitatea fa de o surs de risc i
poate conduce la un eveniment cu consecine;
- matricea de risc reprezint instrumentul pentru clasificarea i
afiarea riscurilor, prin definirea categoriilor de
consecine i de plauzibiliti;
- nivelul de risc reprezint mrimea unui risc sau a unei
combinaii de riscuri exprimat prin combinaia
consecinelor i plauzibilitii acestora.
-
MANAGEMENTUL SECURITATII
MONITORIZAREA RISCULUI .
23 octombrie 2014 40 Evaluator de risc la securitatea fizic
MONITORIZAREA reprezint verificarea continu,
supravegherea, observarea critic sau determinarea strii n
scopul
de a identifica schimbrile fa denivelul de performan n
raport
denivelul solicitat sau ateptat:
- poate fi aplicat unui cadru organizaional de management al
riscului, unui proces de management al riscului, unui risc sau
unui
mijloc de control.
-
MANAGEMENTUL SECURITATII
REVIZUIREA RISCULUI .
23 octombrie 2014 41 Evaluator de risc la securitatea fizic
REVIZUIREA reprezint activitatea desfurat pentru a determina
oportunitatea,
adecvarea i eficiena subiectului legate de atingerea
obiectivelor stabilite:
- poate fi aplicat unui cadru organizaional de management al
riscului, unui proces de management
al riscului, unui risc sau unui mijloc de control;
- raportararea riscului reprezint forma de comunicare destinat
informrii anumitor pri interesate
interne sau externe, furnizndu-le informaii referitoare la
starea curent a riscului i la
managementul acesteia;
- registrul de risc reprezint instrumentul de nregistrare a
informaiilor despre riscurile identificate:
- mai este denumit i jurnal de risc;
- profilul de risc reprezint descrierea unui ansamblu de
riscuri:
- ansamblul de riscuri poate conine elemente care se refer la
ntreaga organizaie sau la o parte a
acesteia;
- auditul managementului riscului reprezint procesul sistematic,
independent i documentat pentru
obinerea i evaluarea dovezilor n mod obiectiv, n scopul de a
determina msura n care cadrul
organizaional de management al riscului sau orice parte selectat
a acestuia, este adecvat sau
adecvat i eficient.
-
MANAGEMENTUL SECURITATII
TEHNICI DE ANALIZ A RISCULUI.
23 octombrie 2014 42 Evaluator de risc la securitatea fizic
Riscul n activitatea unei firme se refer la probabilitatea de a
nu se respecta obiectivele
stabilite n termeni de performanta (nerealizarea standardelor de
calitate), program (nerespectarea
termenului de execuie) si cost (depirea bugetului).
Element de risc este orice element care are o probabilitate
msurabil de a devia de la plan.
O activitate,notat (a), poate fi considerat element de risc dac
sunt ndeplinite simultan
urmtoarele dou condiii:
0 < P(a) < 1 (1) n faza de identificare a riscului
L(a) = 0 (2) se identific tote elementele care
stisfac condiiile (1) i (2)
unde: P(a) = probabilitatea ca un eveniment (a) s se produc
E(a) = efectul evenimentului (a) asupra obiectivelor
L(a) = evaluarea monetar a lui E(a)
Managementul riscului este un proces ciclic, cu mai multe faze
distincte: identificarea riscului,
analiza riscului i reacia la risc.
Totodat, se elimin riscurile neconcordante, adic acele elemente
de risc cu probabiliti reduse de
apariie sau cu un efect nesemnificativ.
Atenie : riscuri interne i riscuri externe
-
MANAGEMENTUL SECURITATII
Metode de identificare a riscului.
23 octombrie 2014 43 Evaluator de risc la securitatea fizic
Ci i metode de identificarea riscului:
ntocmirea unor liste de control care cuprind surse poteniale de
risc, cum ar fi: condiii de mediu, rezultatele ateptate,
personalul, modificri ale obiectivelor, erorile i omisiunile de
proiectare i execuie, estimrile costurilor i a termenelor de
execuie etc.;
analiza documentelor disponibile n arhiva firmei, pentru
identificarea problemelor care au aprut n situaii similare celor
curente;
utilizarea experienei personalului direct productiv (efi de
secii i de echipe) prin invitarea acestora la o edin formala de
identificare a riscurilor. De multe ori oamenii de pe teren
sunt
contieni de riscuri i probleme pe care cei din birourinu le
sesizeaz. O comunicare
eficient teren - birouri este una dintre cele mai bune surse de
identificare i diminuare a
riscurilor;
identificarea riscurilor impuse din exterior (prin legislaie,
schimbri n economie, tehnologie, relaii cu sindicatele) prin
desemnarea unei persoane care s participe la ntrunirile
asociaiilor profesionale, la conferine i care s parcurg
publicaiile de specialitate.
Analiza riscului realizeaz o cuantificare ct mai precis a
riscurilor identificate. Exist o
multitudine de metode matematice de cuantificare a riscului, de
la calculul probabilistic, pna
la metoda Monte Carlo.
Cea mai simpl metod de cuantificare a riscurilor este aceea a
valorii ateptate (VA), care se calculeaz ca produs ntre
probabilitile de apariie ale anumitor evenimente i efectele
acestora:
VA(a) = P(a) x E(a) (3)
-
MANAGEMENTUL SECURITATII
Riscurile securitii fizice. (cont)
23 octombrie 2014 44 Evaluator de risc la securitatea fizic
Securitate fizic este definita ca fiind starea de fapt n care
riscul determinat de
factorii de ameninare i vulnerabilitile care pot pune n pericol
viaa, integritatea corporal sau
libertatea persoanei ori pot aduce prejudicii valorilor deinute
de uniti, se situeaz la unnivel
acceptabil.
Riscurile care ar putea interveni sunt:
g) mecanisme de securitate soluii care cuprind mai multe msuri
de securitate, carefuncioneaz
conform unor scenarii predefinite, pentru securizarea unuia sau
mai multor obiective, atunci cnd
sunt amplasate n acelai perimetru;
h) sisteme de securitate - soluii lanivel de sistem pentru uniti
cu multiple obiective de securitate
distribuite geografic n locaii diferite;
i) parametri interni i externi care genereaz i/sau modific
riscurile la securitatea fizic a unitii
contextul care poate cuprinde, dar nu se limiteaz la:
1. mediul cultural, social, politic, de reglementare, financiar,
tehnologic, economic,natural i
concurenial, lanivel internaional,naional, regional sau
local;
2. factorii cheie i tendinele cu impact asupra obiectivelor
organizaiei;
3. relaiile cu prile interesate, percepiile i valorile
acestora.
-
RISCUL LA SECURITATEA FIZIC
Conceptul de risc.
23 octombrie 2014 45 Evaluator de risc la securitatea fizic
Riscul nseamn posibilitatea de producere a unui eveniment
nedorit,
Fapt ce ar duce la consecine negative.
Numim risc nesigurana asociat oricrui rezultat.
Nesigurana se poate referi la probabilitatea de apariie a unui
eveniment sau
La influena, la efectul unui eveniment n cazul n care acesta se
produce.
Riscul apare atunci cnd:
un eveniment se produce sigur, dar rezultatul acestuia e
nesigur;
efectul unui eveniment este cunoscut, dar apariia evenimentului
este
nesigur;
att evenimentul ct i efectul acestuia sunt incerte.
-
RISCUL LA SECURITATEA FIZIC
Caracteristicile riscurilor.
23 octombrie 2014 46 Evaluator de risc la securitatea fizic
Un eveniment concret ce se poate produce n viitor
Probabilitatea de apariie
Consecina producerii (impact + sau -)
Riscul este aproape ntotdeauna asociat unei ameninri; cu toate
acestea,
exist riscuri pozitive, care pot fi vzute ca o oportuniti
Riscul nu este o problemo problem este un risc care sa
materializat
-
RISCUL LA SECURITATEA FIZIC
Presupunere Vs Risc.
23 octombrie 2014 47 Evaluator de risc la securitatea fizic
Presupunere (Assumption) Pot exista circumstante sau
evenimente externe care trebuie sa aiba loc pentru ca proiectul
sa
se poata incheia cu succes. Daca probabilitatea de aparitie a
unui
astfel de eveniment este mare, el trebuie considerat
presupunere
(in contrast cu definitia riscului). Daca un eveniment se afla
sub
controlul echipei de proiect, cum este de exemplu terminarea
testarii pina la o anumita data, acesta nu este o presupunere
(face
parte din abordarea proiectului). Daca un eveniment are
sanse
100% sa se intimple, nu este o presupunere, deoarece nu sunt
implicate o probabilitate sau un risc (este doar o realitate,
un
fapt). Exemple de presupuneri pot fi Bugetul si resursele vor
fi
disponibile atunci cind va fi nevoie sau Noua versiune de
software va fi disponibila pentru utilizare pina la inceperea
Fazei
de Constructie.
-
RISCUL LA SECURITATEA FIZIC
Formalizri ale riscului de securitate.
23 octombrie 2014 48 Evaluator de risc la securitatea fizic
Au fost dezvoltatea modele de formalizare i reprezentarea
nivelelor de risc.
Modelul EASI(Estimate of Adversary Sequence Interruption)
propune evaluarea probabilitii
ntreruperii unui atac pe baza pe baza performanelor unui sistem
de protecie fizic din
prespectiva funciilor de baz ale scestuia: detecie, ntrziere,
rspunsul i comunicaiile.
Astfel, pentru ntreruperea unei tentative de furt, de exemplu,
timpul de rspuns
necesa forelor de intervenie s intervin i s ntrerup atacul,
trebuie s fie mai mic sau egal
cu suma timpilor necesari pentru: transmiterea alarmei,
evaluarea alarmei, alertarea forelor de
intervenie, pregtirea rspunsului, parcurgerea distanei,
intervenia/oprirea atacului.
Transmiterea alarmei
Evaluarea alarmei
Alertarea forelor de intervenie
Pregtirea rspunsului
Parcurgerea distanei
Intervenia Timp pentru:
-
RISCUL LA SECURITATEA FIZIC
Factori ai riscului de securitate.
23 octombrie 2014 49 Evaluator de risc la securitatea fizic
Pentru desemnarea cauzelor poteniale care pot pune n pericol
viaa, integritatea corporal sau libertatea persoanei ori pot aduce
prejudicii valorilor deinute de uniti, este utilizat tot mai
frecvent, n analizele de specialitate, termenul de factor de risc.
Orientarea specialitilor ctre studierea aprofundat a factorilor de
risc este
perfect justificat de posibilitatea oferit astfel pentru
stabilirea msurilor de prevenire
pornind de la riscurile poteniale.
Factori de risc la adresa securitii fizice pot fi clasificai n
factori interni i externi.
La rndul lor, factorii externi de risc se pot diviza n:
- factori de risc determinai de mediu (obiectivi);
- factori de risc de natur uman (subiectivi).
Factorii de risc nu sunt independeni, iar pierderile nregistrate
n situaiile manifestrii riscului sunt deseori consecine ale
interdependenei dintre ei.
-
RISCUL LA SECURITATEA FIZIC
Factori ai riscului de securitate.
23 octombrie 2014 50 Evaluator de risc la securitatea fizic
Factorii interni de risc sunt asociai activitilor i operaiunilor
desfurate n
interiorul entitii i exprim, n principal, deficienele cu care
subsistemele entitii sunt
proiectate, realizate i exploatate de ctre utilizatori (cum ar
fi calitatea i motivarea
personalului, fluctuaia personalului, calitatea sistemelor de
control i creterea rapid a
volumului de munc). Acetia pot conduce, n unele cazuri, la
obinerea unor
performane sczute ale sistemului (entitii) n ansamblu.
Factorii externi de risc pot fi reprezentani de mediul
legislativ existent i posibilitatea schimbrilor n legislaie,
dezvoltrile tehnologice, capacitatea instituiilor
de a ndeplini activitile ce le sunt delegate i mediul general de
risc n care se opereaz,
situaii de for major.
Eroarea uman - numrul erorilor produse este determinat de
fiabilitatea factorului uman, care depinde chiar pentru acelai
individ i aceeai operaie, de un
numr ridicat de factori care nu ntotdeauna pot fi modelai
veridic. Rata greelilor
umane crete semnificativ proporional cu creterea complexitii
tehnice a sistemului din care face parte, ct i a complexitii
sarcinii pe care acesta o are de ndeplinit.
.
-
RISCUL LA SECURITATEA FIZIC
Corelaia Securitate - Risc.
23 octombrie 2014 51 Evaluator de risc la securitatea fizic
n terminologia de specialitate, securitatea este definit ca
faptul de a fi la adpost de
orice pericol, iar riscul - posibilitatea de a ajunge ntr-o
primejdie, pericol potenial.
Securitatea guverneaz managementul riscului.
Gestionarea eficienta a riscurilor depinde de cuantificarea
exacta a acestora. Este extrem
de dificil a proiecta o strategie durabila si de succes in
gestionarea riscurilor fara ca mai intai sa
identifici, sa masori, sa analizezi si sa intelegi riscurile
existente si emergente care au impact asupra
unei companii.
Proces cu nalt nivel de operaionalizare, securitatea este
caracterizat, dpdv al performanelor, de
riscul asumat, care reprezint att indicator de performan al
sistemului ct i element de referin
al comportamentului reactiv al acestuia.
La nivelurile de risc (dezastru, major, mediu, minor,
neglijabil) se raporteaz direct strategiile de
securitate (limitele de siguran i stabilitate minimale,
suficiente, acoperitoare i sigure), i se
evalueaz de regul, i costurile necesar a fi suportate.
Dat fiind faptul c nivelul de risc (R) este o variabil analitic,
avnd drept factori ameninrile (A
= A1 A2) i vulnerabilitile (V) , iar ca element de concretizare
corespondena cu producerea
evenimentelor nedorite, (de securitate), pe care le
caracterizeaz din punct de vedere al
probabilitii sau posibilitii, precum i al consecinelor de
producere, rezult c evaluarea
riscului este un proces complex, cu un nivel ridicat de
subiectivism; de aceea pentru evaluare se
impun procedee ct mai precise i mai laborioase.
A1 = ameninri de mediu, A2= ameninri ce provin din exacerbarea
unor vulnerabiliti
-
RISCUL LA SECURITATEA FIZIC
Repartizarea riscului.
23 octombrie 2014 52 Evaluator de risc la securitatea fizic
Repartizarea riscurilor este de asemenea un instrument
performant de management al riscului. Aceasta se refera la partile
care vor accepta o parte sau intreaga
responsabilitate pentru consecintele riscului. Repartizarea
riscului trebuie sa se faca
tinandu-se seama de comportamentul fata de risc al diferitelor
organizatii implicate. In
acest sens regula generala de alocare a riscului este sa se
aloce riscul partii care poate sa
il suporte si sa il controleze cel mai bine.
Strategia de contractare constituie un mecanism esential in
repartizarea
riscului. Riscurile pe care si le asuma firma sunt in mod
obisnuit formalizate princontracte cu
beneficiarii. Riscurile legate de resursele umane sunt
acoperite, cel putin partial, prin
incheierea contractelor colective si individuale de munca. In
majoritatea cazurilor, riscurile legate
de materiale si echipamente pot fi transferate furnizorilor
acestora, prin garantiile pe care acestia le
ofera. Unele riscuri pot fi indepartate prin incheierea unor
contracte de asigurare. Compania de
asigurari isi asuma o parte din riscuri in schimbul unui pret
(prima de asigurare). Daca riscul se
produce in conditiile specificate prin contractul de asigurare,
asiguratorul va rambursa partea
asigurata sau toate pierderile suferite datorita riscului.
Performanta in procesul de management al riscului este data de
calitatea managerilor si a
personalului implicat, si anume de cea mai slaba veriga din
cadrul sau. Managerii firmei trebuie sa
se asigure ca echipa care realizeaza managementul riscului este
competenta si a gasit o cale de
mijloc intre tehnicizarea excesiva a procesului si actiunea pe
baza de intuitie.
-
RISCUL LA SECURITATEA FIZIC
Definirea riscului la securitatea fizic.
23 octombrie 2014 53 Evaluator de risc la securitatea fizic
Ameninare = un pericol potenial, ce trebuie evideniat funcie de
natura procesului
care trebuie protejat i de caracteristicile mediului din care
acesta face parte i care, dac se
concretizeaz, poate produce consecine dezastruoase.
Vulnerabilitatea reprezint fie o zon a aciunii invocate avnd un
grad de ameninare
vizibil sau ridicat, fie un mediu favorabil neglijenei sau, n
general, criminalitii, care, dac este
exploatat de un potenial duman, poate conduce, de asemenea, la
consecine dezastruoase.
Prin risc se nelege, aadar, probabilitatea de a se produce i
capabilitatea de a nfrunta
un pericol, o situaie neprevzut sau de a suporta o pagub, un eec
n aciunea ntreprins. Sau,
altfel spus, riscul poate fi considerat o estimare a
probabilitii ca o ameninare s foloseasc cu
succes o vulnerabilitate i s produc o consecin dezastruoas.
Atribuirea unei valori de risc pentru o aciune, un eveniment
este condiionat de doi
factori importani: probabilitatea de apariie a pericolului i
consecinele apariiei acestuia,
transpus formal n relaia:
R = P x C
sau, in termeni ai teoriei multimilor :
RISC = PROBABILITATE CONSECINE
Din aceast relaie rezult c riscul poate fi ridicat atunci cnd,
fie probabilitatea de
producere a pericolului este mare, fie cnd, n cazul producerii
unui pericol, consecinele sunt
pronunat negative, dar este sigur ridicat cnd ambii factori sunt
mari.
-
RISCUL LA SECURITATEA FIZIC
Niveluri de risc
23 octombrie 2014 54 Evaluator de risc la securitatea fizic
Corelaia risc, probabilitatea de producere a pericolului i
consecinele producerii
Asociind valori discrete celor dou mulimi ce se intersecteaz,
rezult nivelurile de risc astfel:
-
RISCUL LA SECURITATEA FIZIC
Scala de reprezentare a nivelurilor de risc
23 octombrie 2014 55 Evaluator de risc la securitatea fizic
CALITATIV CANTITATIV
DEZASTRU F. MARE RIDICAT 100 % 1 5
MAJOR MARE 80 % 0,81 4 0,66
MEDIU MODERAT MEDIU 60 % 0,6 3
MINOR SCZUT 40 % 0,4 2 33
NEGLIJABIL REDUS F. SCZUT 20 % 0,2 1
n aplicaiile de determinare a riscurilor obiectivelor de
securitate , i nu numai, se utilizeaz o scal cu cinci niveluri i cu
valori de la 0 la 5, la care este asociat caracterizarea calitativ
De la NEGLIJABIL la DEZASTRU
-
RISCUL LA SECURITATEA FIZIC
Niveluri de risc vs Atitudinea fa de risc
23 octombrie 2014 56 Evaluator de risc la securitatea fizic
Fig. 2. Atitudinea fa de risc
-
RISCUL LA SECURITATEA FIZIC
Atitudinea fa de risc
23 octombrie 2014 57 Evaluator de risc la securitatea fizic
La fundamentarea analizei de risc se va avea n vedere realizarea
unei
corespondene ntre valorile de risc obinute i gradul de
acceptabilitate al
acestuia, coresponden de care depinde politica de securitate ce
va fi adoptat
de factorii de decizie
Analiznd corespondena din figur se poate trage concluzia c pot
fi
adoptate 3 categorii de atitudini fa de risc:
acceptarea (tolerarea): se poate adopta fa de riscurile
neglijabile i de o mic
parte a celor minore, care, dac s-ar produce, ar determina
pagube suportabile
reducerea selectiv: se poate adopta fa de riscurile minore,
medii i o mic
parte a celor majore i ar consta n adoptarea unor msuri
preventive care s
reduc posibilitatea producerii evenimentelor nedorite i
utilizarea unor tehnici
i proceduri adecvate de reducere a consecinelor acestora
asigurarea: se adopt obligatoriu fa de riscurile dezastruoase i
o parte a
celor majore, pentru care msurile desecuritate proprii ar fi
prea costisitoare sau
prea complexe i din aceste cauze aceste riscuri sunt
inacceptabile.
-
RISCUL LA SECURITATEA FIZIC
Componentele riscului la securitatea fizic
23 octombrie 2014 58 Evaluator de risc la securitatea fizic
Un obiectiv cu nevoi de securitate este o entitate fizic,
valoric, ori
un mediu de existen ori de afaceri. Unui obiectiv de securitate
i corespunde o
strategie, un mediu i un mecanism de securitate, realizate
urmare a unor
evaluri unitare, realizate n baza unor proceduri i standarde ce
guverneaz
domeniul securitii.
O analiz complet a riscurilor pe care le implic o
entitate/facere/activitate,
este un proces laborios care trebuie s in seama att de cele dou
dimensiuni
ct i de cele patru componente ale securitii.
Securitate
Fizic
Stabilitate
De personal
Siguran
Procesual
Informaional
Categorii Dimensiuni
-
RISCUL LA SECURITATEA FIZIC
Componentele securitii unui obiectiv
23 octombrie 2014 59 Evaluator de risc la securitatea fizic
Pentru evidenierea dimensiunilor i componentelor riscului de
securitate facem
apel la metoda Fishbone(Ishikawa):
Securitate obiectiv
Procesual
Fizic
Informaional
De personal
Juridic
Funcional
Procedural
Detecie
Analiz
Tratare
Disponibilitate
Confidenialitate
Integritate
Protecie personal
Protecie mpotriva personalului
G
u
v
e
r
n
a
r
e
E v
enim
ent
ned
orit
I
n
f
o
r
m
a
i
i
Personal propriu
Personal din mediu
-
RISCUL LA SECURITATEA FIZIC
Riscul unui obiectiv de securitate
23 octombrie 2014 60 Evaluator de risc la securitatea fizic
Diagrama Fishbone(Ishikawa) a riscului unui obiectiv de
securitate:
Informaional procesual
De personal Fizic
Disponibilitate
Confidenialitate
Integritate
Autenticitate
Proceduralitate
Funcionalitate
Jurisdicie
Protecie personal
Protecie mpotriva personalului
Detecie
Analiz
Tratare
Riscul de securitate
-
RISCUL LA SECURITATEA FIZIC
Determinarea componentelor riscului.
23 octombrie 2014 61 Evaluator de risc la securitatea fizic
Cele 4 componente de securitate constituie cauze primare ale
efectului.
Fiecare cauz primar are cte dou trei cauze secundare. Ex.,
informaionl are,
disponibilitatea, integritatea, confidenialitatea,
autenticitatea. Acestea din urm
determin greeli de operare, abateri procedurale, erori
procesuale sau infraciuni.
riscul de securitae este suma ponderat a riscurilor celor dou
dimensiuni (stabilitate i siguran):
Rs = p1 * Rst + p2 * Rsg unde p1 +p2 = 1
p1 = ponderea cauzelor primare care determina stabilitatea
efectului
p2 = ponderea cauzelor primare care determin sigurana
evenimentului
riscul fiecrei dimensiuni reprezint suma ponderat a riscurilor
cauzelor primare care le compun:
Rst = Pp * Rp + Pi * Ri ; Pp +Pi =1; Rp risc comp.
procesualitate; Ri risc comp.
Informaional
Rsg = Pf * Rf + Pps * Rps
riscul fiecrei componente reprezint suma ponderat a cauzelor
sercundare care le produc:
Rp = Pj*Rj + Pfc*Rfc + Ppr*Rpr; Pj+Pfc+Ppr=1; Rj, Rfc, Rpr
reprezint riscurile cauzelor
secundare care produc componenta procesualitii a riscului de
securitate (jurisdicie,
procesualitate i proceduralitate). La fel se determin i
componentele informaional, de personal
i fizic
-
RISCUL LA SECURITATEA FIZIC
Determinarea riscului.
23 octombrie 2014 62 Evaluator de risc la securitatea fizic
riscurile cauzelor secundare se determin izomorfic, conform
formalizrilor probabilitate , consecine , oricu alt metod de
determinare a riscului.
Determinarea riscului cu metoda fishbone se face aadar dup
urmtorul algoritm:
Evaluarea ponderilor i impactului elementelor cauzelor
secundare
Stabilirea riscului cauzelor secundare
Evaluarea/stabilireaponderilor cauzelor secundare
Determinarea riscurilor cauzelor primare
Determinarea poderilor cauzelor primare
Determinarea riscului dimensiunilor
Determinarea ponderilor dimensiunilor
Determinarea riscului global(de securitate)
Acceptarea risculuui
Risc acceptabil NU
DA
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda cartografierii riscurilor
23 octombrie 2014 63 Evaluator de risc la securitatea fizic
Exemplu: riscul pierderii locului de munc.
Revizuirea riscului
de nesiguran la
locul de munc
Rapoarte de control al
riscului de nesiguran
la locul de munc
Buget
Timp manager
Proceduri de siguran
Standarde naionale
Evaluator
Reprezentant Camera
de Munc
PROCES
Principala intrare a procesului de evaluare a riscului de
nesiguran la locul de munc l reprezint revizuirea riscului la locul
de munc. n evaluarea riscului de nesiguran se ine cont de o serie
de restricii (proceduri de siguran, standarde naionale, buget i
resurse de timp ale conducerii), dar i de o gam larg de resurse ce
ajut n obinerea unui rezultat (ieiri) rapoarte de control al
riscului de nesiguran. Evaluatorul/reprezentantul Camerei de Munc
reprezint resursele acestui proces, i nu intrrile acestui proces,
ntruct nu se consum pe parcursul desfurrii procesului.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda clasificrii riscurilor
23 octombrie 2014 64 Evaluator de risc la securitatea fizic
Cunoscut drept proces de evaluare a prioritii riscurilor, metoda
se concentreaz pe ordonarea unui numr variat de riscuri innd cont
de importana lor, respectiv de probabilitatea ca un incident s
cauzeze consecine de o anumit gravitate (Baldwin, 2002).
Metoda se aplic pentru evaluarea riscurilor acute din
organizaiile mici i mijlocii. Tehnica presupune un proces n ase
pai:
1. identificarea evenimentului;
2. probabilitatea de producere a evenimentului;
3. modul n care evenimentul afecteaz persoanele;
4. numrul de persoane afectate;
5. evaluarea riscurilor;
6. clasificarea, planificarea i revizuirea soluiilor.
Metoda are la baz un sistem de scoruri bazat pe gradul de
seriozitate a
accidentelor de la locul de munc. ntregul algoritm se bazeaz pe
incidente din trecut
pentru a previziona pierderi viitoare, innd cont de statistici
naionale. Potrivit
procesului de evaluare a prioritii riscurilor, cu ct este mai
mare scorul riscului, cu att problema este mai serioas i de aici se
impune o decizie mai structurat pentru reducerea acestuia.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Cardul de notare a riscului
23 octombrie 2014 65 Evaluator de risc la securitatea fizic
Cardul de notare a riscului este o metod strategic, cu o gam mai
larg de aplicaii pentru identificarea riscurilor. Abordarea de
notare pentru mbuntirea performanelor unei organizaii se bazeaz pe
raionamentul urmtor: mbuntirea performanei poate fi realizat prin
cuantificarea indicatorilor-cheie de performan.
Principalii indicatori de performan luai n considerare sunt cei
din domeniul clienilor, operaiilor interne i al managementului
financiar.
Una dintre variantele metodei este cardul de notare a riscurilor
FIRM (financiar,
infrastructur, reputaie, mediu). Metoda se concentreaz asupra
evoluiei riscurilor n timp, a
impactului riscurilor asupra organizaiei i a corelrii dintre
expunerea la risc i capacitatea de risc
a organizaiei. Astfel, metoda (cardul de notare) ilustreaz
natura complex i interdependena
riscurilor din cadrul activitii i efectul asupra ntregii
organizaii. Potrivit acestei metode, riscuri
le sunt interne (infrastructur i financiar) i externe (reputaie
i mediu).
Riscurile financiare sunt riscuri cu impact asupra resurselor
financiare.
Riscurile de infrastructur sunt cele denumite riscuri stabilite,
adic acele riscuri acoperite prin
asigurri i mecanisme similare.
Riscurile de reputaie sunt legate de imaginea organizaiei fa de
clieni, furnizori, acionari i societate, n general. Aceste riscuri
sunt variate, dificil de neles i cuantificat. Exemple de astfel de
riscuri ar fi managementul firmei, aspecte de etic, aspecte legale.
Rezultatul poate fi o imagine negativ i nedorit care afecteaz
imaginea i reputaia companiei.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Cardul de notare a riscului
23 octombrie 2014 66 Evaluator de risc la securitatea fizic
Riscurile de mediu sunt acele riscuri legate de poziionarea
organizaiei pe pia riscurile comerciale care afecteaz clienii i
cheltuiala acestora, abilitatea de a menine contractele
cu partenerii, profilul de pia i performana organizaiei.
innd cont de aceste patru tipuri de riscuri, se poate determina
capacitatea de risc a unei
organizaii. Astfel, aceasta se bazeaz pe acceptarea
controalelor, tolerana la hazarduri i apetitul
pentru oportuniti.
Capacitate de risc = Acceptare control + Toleran hazarduri +
Apetit pentru
oportuniti
Infrastructur
Reputaie Mediu
Financiar
Acceptare
control
Hazard
Oportunitate
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Profilul riscurilor
23 octombrie 2014 67 Evaluator de risc la securitatea fizic
Metoda profilul riscurilor ofer un cadru pentru realizarea unor
raportri publice anuale privind controale de managementul riscului,
permind evaluarea i monitorizarea strategic, sistematic i
structurat a riscurilor existente (Dickson, 2003). De asemenea,
metoda ofer sigurana suplimentar mpotriva pierderilor dezastruoase,
un control efectiv al riscurilor pe perioade de schimbri i cretere,
un management continuu, fr devieri, n timpul fuzionrilor i al
achiziiilor. Potrivit unei organizaii de inovaii din Marea
Britanie, care ofer soluii de management al riscului, aceast metod
este format din cinci etape (AEA Technology, 2003).
1. definirea unitilor de risc;
2. stabilirea unor grade i a unei scheme de prioriti;
3. identificarea i evaluarea ameninrilor;
4. clasificarea riscurilor i identificarea controalelor;
5. monitorizarea i planurile de aciune pentru controlul
riscului.
Un instrument de gradare a riscurilor propus de AEA, pct. 2,
este matricea de gradare, care ine
cont de severitatea i frecvena evenimentelor.
Impact Niciuna Minor Moderat Semnificativ Impresionant
Frecven
Ocazional Mediu Mediu Ridicat Ridicat Ridicat
Redus Redus Mediu Mediu Ridicat Ridicat
Improbabil Redus Redus Mediu Mediu Ridicat
De necrezut Redus Redus Redus Mediu Mediu
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Concluzii
23 octombrie 2014 68 Evaluator de risc la securitatea fizic
Astfel, pentru o frecven ocazional cu un impact semnificativ,
riscul va fi clasat drept ridicat. n schimbul celor trei valori
ridicat, mediu i redus AEA folosete sistemul culorilor
rou, galben i verde.
Metoda de stabilire a profilului riscurilor ofer o abordare
complex, interdisciplinar i strategic. Sistemul ofer o evaluare
transparent, comparabil i consistent a riscurilor din ntreaga
organizaie. Imaginea de ansamblu a riscurilor adreseaz prioritile
de risc diferite i concurente cu care se confrunt majoritatea
companiilor. Procesul este creat pentru necesitile fiecrei or
Procesul de prioritizare permite concentrarea resurselor
limitate pentru riscurile-cheie
care pot afecta obiectivele i scopul unei organizaii. Un alt
avantaj este preocuparea continu pentru identificarea i integrarea
riscurilor noi n sistem.ganizaii ntruct diferenele existente
determin profiluri distincte.
Concluzii
Dei exist un numr semnificativ de metode de identificare, exist
o serie de
caracteristici comune pentru toate acestea. De obicei, nu este
suficient o singur metod de
identificare pentru relevarea tuturor problemelor de risc cu
care o organizaie are de-a face. Nu este
de dorit aplicarea numai a uneia sau a dou tehnici de
identificare a riscurilor, ntruct excluderea
celorlalte ar duce la restrngerea numrului de riscuri pe care
managerul de risc va putea s le
releve.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Etapele de evaluare a riscurilor
23 octombrie 2014 69 Evaluator de risc la securitatea fizic
Etapele metodologiei de analiz a riscurilor
Caracterizarea obiectivului
Identificarea evenimentelor nedorite
i a activelor critice
Determinarea consecinelor
Determinarea consecinelor
Definirea ameninrilor
Analiza eficienei sistemului
de securitate fizic
Estimarea riscurilor
Estimarea riscurilor Nu
Da
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Analiza riscurilor
23 octombrie 2014 70 Evaluator de risc la securitatea fizic
Analiza riscului este un proces iterativ, cuprinznd urmtoarele
etape:
-Definirea parametrilor externi i interni, care pot contribui la
generarea/modificarea
riscurilor organizaiei;
- stabilirea mwetodei i a instrumentelor de lucru;
- identificarea tuturor riscurilor, zonelor de impact,
evenimentelor, cauzelor riscului,
precum i a potenialelor consecine, dac acestea s-ar
materializa;
- analizarea riscurilor identificate;
- estimarea riscurilor identificate;
- ntocmirea Raportului de evaluare i tratare a riscurilor.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Analiza riscurilor
23 octombrie 2014 71 Evaluator de risc la securitatea fizic
Definirea parametrilor (factorilor, contextului)
Externi (Ameninri)
Interni (vulnerabiliti)
Stabilirea:
- Metodei de evaluare a riscului
- Instrumentelor de lucru
Identificarea riscurilor:
- Zonelor de manifestare
-Evenimentelor
- Cosecinelor
Analiza riscurilor
Estimarea riscurilor
Raportul de evaluare i tratare a riscurilor
(1)
(2)
(3)
(4)
(5)
(6)
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Analiza riscurilor
23 octombrie 2014 72 Evaluator de risc la securitatea fizic
Analiza de risc poate fi :
calitativ, cnd nu se aloc valori financiare resurselor, iar
finalitatea const n
ncadrarea pe o
scal de aprecieri, sau
cantitativ, cnd predomin factorul cost ( valoarea resursei
pentru organizaie,
impactul financiar imediat i costul asociat ).
n practica analizei riscului, literatura de specialitate
menioneaz o list lung de
metode i tehnici, din care specialitii le aleg pe cele care se
adapteaz cel mai bine
obiectivelor i proceselor care trebuie protejate.
Dintre cele mai frecvent utilizate amintesc :
a. metoda matricilor de risc;
b. metoda OCTAVE;
c. metoda MEHARI .
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda matricilor de risc
23 octombrie 2014 73 Evaluator de risc la securitatea fizic
Metoda mparte obiectivul de protejat n patru componente de baz
:
componenta fizic;
componenta funcional (procesual);
componenta informaional;
componenta de personal.
Avnd ca punct de plecare modelul relaionalitii dintre ameninri i
vulnerabiliti, se face
evaluarea riscului global prin aplicarea relaiilor de calcul
specifice la determinarea riscurilor
pentru fiecare component i nsumarea ponderat a rezultatelor
pariale.
Matricea de risc este construit din liste de ameninri, liste de
vulnerabiliti specifice, aferente
i liste de riscuri, rezultate din conjuncia celor doi
factori.
Caracteristicile fizice se refer la perimetrul obiectivului,
zona exterioar imediat, zona interioar
imediat, zona spaiilor funcionale, zona spaiilor interioare
destinate pstrrii valorilor critice,
alte elemente specifice construciilor. Procesul funcional,
predominant n organizaie, este definit
prin resurse materiale i umane, mod de organizare, grad existent
de asigurare a continuitii
derulrii sale. Componenta informaional este analizat prin prisma
rolului pe care l are n
obiectiv, aspectele sale structurale ( elemente hardware i
software), precum i tinnd seama de
ameninrile determinate de transmiterea informaiilor spre i din
exterior. O atenie deosebit este
acordat proteciei personalului, plecnd de la tipizarea
potenialilor infractori i pn la etapele de
recrutare, angajare, instruire i fidelizare a personalului
propriu.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda matricilor de risc (cont)
23 octombrie 2014 74 Evaluator de risc la securitatea fizic
Calculul riscului global, Rg , se obine prin nsumarea ponderat a
riscurilor pe componente, dup o formalizare de tipul :
Rg = p1 x Rp + p2 x Rf + p3 x Ri + p4 x Rps ,
unde :
Rp , este riscul asupra componentei procesuale
Rf , este riscul asupra componentei fizice
Ri , este riscul asupra componentei informaionale
Rps , este riscul asupra componentei de personal ,
iar : p1 , p2 , p3 , p4 sunt ponderile specifice organizaiei
(obiectivului).
Evident pi=1 .
La rndul su, fiecare valoare de risc se calculeaz ca o sum
ponderat a valorilor
riscurilor pe elementele constitutive ale componentei; de
exemplu:
Rf = pk x Rfk , cu :
pk , ponderea alocat elementului k
Rck , riscul aferent elementului k al componentei fizice
Metoda este adaptabil i se poate transforma ntr-un instrument de
evaluare.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda OCTAVE
23 octombrie 2014 75 Evaluator de risc la securitatea fizic
Metoda OCTAVE (Operationally Critical Threat, Asset and
Vulnerability Evaluation SM ), elaborat de specialiti americani,
definete evaluarea strategic,
bazat pe risc i planificarea tehnic, n scopul realizrii
securitii obiectivului de
protejat. Exist o versiune adaptat organizaiilor mici, avnd pn
la 100 de persoane i
care se numete OCTAVE -S. Pentru implementarea metodei este
necesar s lucreze o
echip de 3-5 specialiti, care se vor ocupa cu culegerea de date,
analiza informaiilor
obinute, elaborarea strategiei de protecie i a planurilor de
reducere a riscurilor identificate .
Activitatea este organizat n cadrul a 3 faze .
Faza 1 este consacrat construirii profilului ameninrii pe baza
valorilor existente n organizaie
(obiectiv) i se compune din dou procese :
1. identificarea informaiilor organizaiei;
2. stabilirea profilurilor ameninrilor.
Faza a 2-a, de identificare a vulnerabilitilor infrastructurii,
este dedicat analizei detaliate a
reelelor de calculatoare, din punctul de vedere al valorilor
critice.
n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese
:
1. identificarea i analiza riscurilor;
2. dezvoltarea strategiei de protecie i a planurilor de reducere
a riscurilor.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda OCTAVE (cont)
23 octombrie 2014 76 Evaluator de risc la securitatea fizic
Faza a 2-a, de identificare a vulnerabilitilor infrastructurii,
este dedicat analizei detaliate a reelelor de calculatoare, din
punctul de vedere al valorilor critice.
n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese
:
1. identificarea i analiza riscurilor;
2. dezvoltarea strategiei de protecie i a planurilor de reducere
a riscurilor.
Activitile pe durata primului proces, de identificare i analiz a
riscurilor, sunt alocate evalurii impactului ameninrilor,
determinrii probabilitii pentru criteriile de evaluare i estimrii
probabilitilor ameninrilor.
n continuare, pe parcursul celui de-al doilea proces, de
elaborare a strategiei de protecie i a planurilor concrete de
reducerea riscurilor, se efectueaz urmtoarele activiti :
schiarea strategiei curente de protecie;
alegerea concepiilor de reducere a riscurilor;
dezvoltarea planurilor de reducere a riscurilor;
identificarea schimbrilor n strategia de protecie .
Din aceast scurt prezentare se evideniaz cteva caracteristici
ale metodei, care ncepe cu selectarea i tratarea difereniat a
valorilor critice ale organizaiei, continu cu analiza dedicat
componentei informaionale i nu se ncheie cu elaborarea strategiei
de securitate, ci cu redactarea planurilor concrete de reducere a
riscurilor identificate, activiti care sunt concepute a se derula
ciclic i sistemic .
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI
23 octombrie 2014 77 Evaluator de risc la securitatea fizic
Una din metodele utilizate pe plan european este metoda MEHARI,
elaborat de o echip de specialiti francezi, care abordeaz att
analiza, ct i managementul riscului, evalund,
cantitativ i calitativ, factorii de risc. n setul de instrumente
al metodei exist o baz de cunotine
referitoare la situaiile de risc, susinut de o aplicaie
software, ce permite calcule, simulri i
optimizri.
Schema global a analizei de risc conine paii urmtori :
1. evaluarea expunerii naturale, care se face pe baza unei grile
combinate, ce conine nivelurile
expunerii ( expunere foarte slab, slab, medie, ridicat ) i n
funcie de care se face evaluarea a
patru capitole de ameninri:
accidente (foc, inundaii, cderi ale energiei electrice,
deranjamente de echipamente IT sau telefonice, pierderi accidentale
de date i fiiere, pierderi de personal important s.a.)
actiuni ruvoitoare (vandalism, terorism, alterare intenionat de
date i fiiere, furturi de date
i componente IT , configurare greit intenionat a software-ului
de reea, spionaj industrial sau
de stat, etc.)
actiuni intenionate, dar fr intenie ruvoitoare (absen sau greva
personalului IT , plecarea
sau demisia unor funcionari cheie, utilizare ilegal de software
liceniat )
erori ( degradarea performanelor ca urmare a neaplicrii
mentenanei periodice, tergere neintenionat de programe, ca urmare a
unor erori umane, bug-uri n programe aplicative, erori la
introducerea datelor de intrare, etc. )
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI (cont)
23 octombrie 2014 78 Evaluator de risc la securitatea fizic
2. evaluarea factorilor de descurajare i prevenire (elemente de
construcie, echipamente tehnice,
proceduri, personal de specialitate )
3. evaluarea potenialitii (n funcie de evenimentul care conduce
la scenariu, se folosete unul
din trei tabele standard STATUS -EXPO , STATUS -DISS , STA - TUS
-PREV - i se evalueaz
potenialitatea sub numele STATUS-P)
4. evaluarea impactului direct ; are ca punct de plecare o gril
ale crei capitole trateaz :
bunuri (valori);
date i informaii;
infrastructura (telecomunicaii i sisteme);
infrastructura general;
disponibilitatea personalului;
conformitatea cu reglementrile i procedurile n materie.
(referitor la capitolul informaional, n cadrul acestei anexe se
evideniaz atributele specifice, ce
pot fi afectate : Disponibilitatea informaiilor, Integritatea
sau Confidenialitatea acestora)
5. evaluarea factorilor de protectie, compensare i recuperare ;
exista un set de 5 categorii de
msuri de reducere a riscului :
o descurajare;
o prevenire;
o protecie;
o compensare;
o recuperare.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI (cont)
23 octombrie 2014 79 Evaluator de risc la securitatea fizic
5. evaluarea factorilor de protectie, compensare i recuperare ;
exista un set de 5 categorii de
msuri de reducere a riscului :
descurajare;
prevenire;
protecie;
compensare;
recuperare.
6. evaluarea reducerii impactului ( n cadrul etapei de audit de
securitate se face analiza factorilor
de reducere a riscurilor i evaluarea nivelurilor acestora;
factorii de reducere sunt disuasiunea i
prevenia, pentru potenialitate, protecie i paliativ i
recuperarea, pentru impact ).
7. evaluarea global a riscului ( pe baza evalurii STATUS -P, la
pasul 3 i a grilei STATUS -RI , la
pasul 6, se evalueaz STATUS -GLOBAL , respectnd raionamentele
specifice metodei i tabelele
standard de evaluare).
Estimarea factorilor ce concur la definirea i calcularea
riscului se realizeaz utiliznd un set de
grile standard (grile STATUS-P, axate pe scenarii de tip
accident, eroare, actiune voluntara i
grile STATUS-RI, axate pe scenarii de tip Disponibilitate,
Integritate, Confidentialitate ), care fac
parte din baza de cunotinte MEHARI .
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI (cont)
23 octombrie 2014 80 Evaluator de risc la securitatea fizic
Faza iniial de inspecie n obiectiv (site-survey) este susinut de
un set de chestionare care servesc la relevarea caracteristicilor
amanunite ale componentelor obiectivului :
organizaia; locaia;
incintele; funcionarea extins a reelei;
funcionarea reelei locale; operaii n reea;
securitatea arhitecturii de sistem; operaionalitatea resurselor
IT ;
aplicaiile principale; securitatea aplicaiilor i a dezvoltrii de
proiecte;
mediul de lucru; reglementrile n funciune, interne i
naionale.
Din prezentarea succint a metodei se relev unele trsturi
specifice :
utilizarea unor instrumente de ghidare (chestionare de audit,
scenarii de evenimente );
tratarea complet a securitii (fizic, funcional, informaional, de
personal );
aplicarea acestei metode nu se limiteaz la obiective deja
consacrate n domeniu (militare, guvernamentale, comerciale, .a. ),
ci se aplic i la alte categorii, care au de protejat diverse tipuri
de valori, n accepiunea general a noiunii de securitate;
este o metod laborioas, care necesit un numr mare de persoane
calificate.
Metoda impresioneaz prin pachetul de chestionare care servesc la
efectuarea auditului i lista
amnunit de scenarii, lucru util la evaluarea ct mai precis a
impactulu