Telefoane: 0314 20 53 48 (RDS)
0727 867 246 (Vodafone)
0311 02 24 08 (UPC)
Fax: 0314 20 53 48 (RDS)
Email: info@intermanagement.eu
Cerinte ISO 27001:2013 comentate. Metodologii de analiza a riscurilor de securitatea informatiei. Metoda „Operationally Critical Threat, Asset and Vulnerability Evaluation”– OCTAVE – Evaluarea amenintarilor, activelor si vulnerabilitatilor organi
Adaugat la data de 27.06.2015

Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) a fost elaborata de specialisti americani si se bazeaza pe faptul ca personalul organizatiei isi asuma responsabilitati pentru alegerea strategiei de analiza si tratare a riscurilor de securitate. Exista o versiune Octave-S, varianta aplicabila companiilor pâna in 100 de angajati.

 

Cerintele metodologiei OCTAVE ofera o modalitate de a masura daca o activitate a fost de succes. Abordarea OCTAVE presupune obtinerea unui set de informarii prin analiza,  observare si experienta. Cerintele urmarite la implementarea metodologiei sunt:
-  imbunatatirea usurintei de utilizare;

-  reducerea cerintelor de formare si de cunostinte;

-  reducerea consumului de resurse;

-  producerea de rezultate consistente si comparabile in intreaga organizatie;

-  facilitarea dezvoltarii unui nucleu intern de competenta pentru evaluarea riscurilor.

 

Pentru a fi eficiente, activitatile de evaluare a riscurilor trebuie sa faca parte dintr-un proces continuu de management al riscului. Realizata corect, evaluarea riscurilor serveste drept componenta de diagnostic a procesului de gestionare a riscurilor. Organizatia foloseste evaluarea riscurilor pentru a determina si gestiona masurile de tratare a riscurilor de securitatea informatiilor. Evaluarea impactului riscurilor asupra proceselor critice se face prin prisma urmatoarelor caracteristici ale informatiei: confidentialitate, integritate, si disponibilitatea.

Metodologia urmareste eficientizarea si optimizarea procesului de evaluare a securitatii informatiei pentru obtinerea de rezultate suficiente, cu o investitie minima de timp, oamenii si alte resurse. In cadrul metodologiei se au in vedere: persoanele, tehnologia, facilitatile organizatiei etc., in contextul relatiilor informationale si procesele de afaceri sprijinite. Abordarea permite o evaluarea larga a riscului operational al unei organizatii cu scopul de a produce rezultate, fara a fi nevoie de cunostinte aprofundate de evaluare a riscurilor. Aceasta abordare se concentreaza in principal pe bunuri informationale in contextul in care acestea sunt utilizate si modul in care sunt expuse la amenintari si vulnerabilitati.  Metodologia OCTAVE trebuie sa fie accesibila cât mai multor utilizatori din cadrul organizatiei, necesita un nivel relativ scazut de efort si de investitii, in scopul de a produce rezultate semnificative in mod constant.

 

Metodologia se desfasoara in mai multe etape: 

 

Etapa 1. Culegerea informatiilor privind potentiale amenintari pentru procesele critice. Aceasta etapa cuprinde activitatile:

- colectarea informatiilor privind amenintarile de la toate partile interne si externe interesate;

- evaluarea si prioritizarea amenintarilor.

Se are in vedere evaluarea efectelor unui risc asupra obiectivelor organizatiei. Se va stabili un set de criterii de masurare a riscurilor. Criteriile de masurare a riscurilor sunt un set de masuri calitative fata de care efectele de un risc identificat pot fi evaluate si formeaza fundamentul unei evaluari a riscurilor. Folosind criterii de masurare a riscurilor coerente care sa reflecte cu acuratete efectele riscurilor se asigura ca deciziile cu privire la modul de a tratarea a  riscurilor vor fi eficace. In plus, fata de evaluarea gradului de impact intr-o anumita zona, o organizatie trebuie sa identifice zonele de impact cele mai semnificative pentru realizarea obiectivelor.

 

Etapa 2. Identificarea profilului activelor informationale.

Metodologia OCTAVE Allegro se concentreaza asupra activelor informationale ale organizatiei. In etapa a doua se incepe procesul de creare a unui profil pentru active. Un profil al unui activ este o reprezentare a unui activ din punct de vedere informational, profilul se descrie prin caracteristici unice, calitati, caracteristici si valoare. Prin acest profil se asigura ca un activ este in mod clar si in mod constant descris, ca exista o definire clara a activului, iar cerintele de securitate pentru activ sunt definite in mod adecvat. Profilul pentru fiecare activ poate si descris pe un formular care formeaza baza pentru identificarea amenintarilor, vulnerabilitatilor si riscurilor in etapele ulterioare.

 

Etapa 3 - Identificarea suporturilor pe care activele informationale sunt depozitate, transportate, prelucrate, stocate.

Activele informationale pot fi pastrate sub controlul organizatiei insa exista si situatii in care acestea nu se afla sub controlul direct al organizatiei. Organizatia poate apela la servicii externalizate (ex.: gazduire servere). Toti furnizorii organizatiei trebui sa fie constienti de cerintele organizatiei privind securitatea informatiei si controalele, care trebuie implementate pentru a asigura confidentialitatea, integritatea si disponibilitatea informatiilor continute de active. Aceasta problema poate deveni chiar mai complicata in situatii in care furnizorul apeleaza la rândul lui la servicii externalizate (cum ar fi de stocarea datelor). Astfel, pentru a obtine un profil adecvat al unui activ, o organizatie trebuie sa identifice toate locatiile in care activele sale informationale sunt stocate, transportate, prelucrate sau, indiferent daca acestea sunt sau nu in controlul direct al organizatiei. Locurile unde activele de informatii sunt stocate, transportate, prelucrate pot deveni puncte de vulnerabilitate si amenintari care supune activul informatii la riscuri.

In aceasta etapa a metodologiei, toate activele informationale utilizate pentru depozitare, transportare si prelucrare, interne sau externe, trebuie sa fie identificate de echipa de analiza.
Acest model de analiza a riscurilor de securitatea informatiei este bazat pe cele mai bune practici din ISO 15048 si RFC 2196.

Un suport de informatie  - este un activ de informatii in care activele informationale sunt depozitate, transportate, prelucrate, stocate etc. Suporturile includ in general hardware, software, sisteme de aplicatii, servere, retele, dar pot include, de asemenea elemente, cum ar fi dosare (in cazul in care informatiile sunt stocate in forma scrisa) sau persoane (care pot detine informatii, cum ar fi cunostinte, proprietate intelectuala). Ele pot fi, atât interne, cât si externe unei organizatii.

Suporturile in care activele de informatii sunt stocate, transportate, prelucrate pot deveni puncte de vulnerabilitate si amenintari care supun activele la riscuri. Suporturile de asemenea, pot deveni elemente unde pot fi puse in aplicare controale pentru a se asigura ca activele informationale sunt protejate de amenintari astfel incât sa poata fi utilizate conform destinatiei. Suporturile sunt cel mai adesea identificate ca activele hardware, software, sau sistem dar nu pot fi, de asemenea, un obiect fizic, cum ar fi bucata de hârtie sau o persoana care este importanta pentru organizatie.

Persoanele sunt deosebit de importante in ceea ce priveste proprietate intelectuala sau informatii care sunt, in general, sensibile sau confidentiale. O persoana care obtine aceste informatii devine in esenta un "suport" si trebuie sa fie luata in considerare atunci când se analizeaza riscurile. In unele cazuri, in care o persoana detine informatii cheie, lipsa de disponibilitate a acestei persoane perturba procesele aferente. Riscuri legate de acest lucru trebuie sa fie identificate si diminuate. Exista trei puncte foarte importante cu privire la securitate in legatura cu aceste suporturi:

- modul in care activele informationale sunt protejate prin controale implementate. De exemplu, pentru a proteja bazele de date de pe un server, sunt implementate masuri de control acces, care sa permita numai personalului autorizat accesul la bazele de date respective;

- gradul in care activele informationale sunt protejate, se bazeaza pe cât de bine controale implementate iau in considerare cerintele de securitatea ale activele informationale;

- orice vulnerabilitati sau amenintari la adresa suporturilor informationale definite mai sus.

O organizatie are nevoi de securitate diferita, in functie de sistemul de valori propriu. Insa metoda OCTAVE nu exclude expertiza externa pentru ca aceasta poate compensa lipsurile personalului intern. Expertii externi pot fi eficienti mai ales in faza a doua a metodei atunci când este necesara evaluarea vulnerabilitatii infrastructurii.

 

Etapa 4. Identificare zonelor de interes.

Zona de interes - O declaratie descriptiva care detaliaza o stare sau situatie care ar putea afecta un activ informational al organizatiei.

In aceasta etapa se incepe procesul de dezvoltare a profilurilor de risc a activelor informationale. Scopul acestei etape este de a realiza o lista completa a tuturor amenintarilor  si vulnerabilitatilor pentru activele informationale. Etapa incepe sa abordeze componenta amenintare a ecuatiei de risc prin activitati de brainstorming cu privire la conditiile posibile sau situatii care pot ameninta bunul informational. Acestea scenarii sunt mentionate ca zone de interes si pot reprezenta amenintari. Domeniile de interes sunt identificate si utilizate pentru dezvoltarea profiluri de risc din etapa urmatoare.

Vom continua prezentarea metodologiei intr-un material viitor.

 

 

ALTE STIRI
Produse
Legaturi Sponsorizate
Legaturi Utile

 

Asociatia Americana pentru Calitate (ASQ), www.asq.org

Organizatia Internationala pentru Standardizare (ISO), www.iso.org

European Foundation for Quality Management, www.efqm.org

Asociatia de Acreditare din Romania, www.renar.ro

Ministerul Cercetarii si Inovarii, www.research.ro

European Accreditation, www.european-accreditation.org

Legislatie Europeana www.eur-lex.europa.eu

Asociatia de Standardizare din Romania, www.asro.ro

 

 

Parteneri