Impossible d'afficher l'image lie. Le chier a peut-tre t dplac, renomm ou supprim.

Vriez que la liaison pointe vers le chier et l'emplacement corrects.

MEHARI2010
Analiza mizelor de securitate si ghidul de clasificare

Noiembrie2010

Impossible d'afficher l'image lie. Le chier a peut-tre t dplac, renomm ou supprim. Vriez que la liaison pointe vers le chier et l'emplacement corrects.

Comisia Metodelor

CLUB DE LA SECURITE DE LINFORMATION FRANAIS

11, rue de Mogador, 75009 PARIS (France) Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr Web: http://www.clusif.asso.fr MehariestemarcnregistrataCLUSIF

 MULUMIRI Clusif ar dori s mulumeasc n special lui JeanPhilippe Jouas pentru contributia sa, lui JeanLouisRoulepentrutraducerectimembrilorcomisieiMetodelorcareauparticipat larealizareaacestuidocument. Traducerea n limba romn a fost realizat de Lazareanu ElenaLuiza studenta a FacultiideEconomieiAdministrareaAfacerilordincadrulUniversitiiAlexandruIoan CuzadinIai. Proiectulafostcoordonatdedr.ValentinPetruMzreanu,cercettorpostdocicadru didacticasociatninstituiamaisusmenionat. Contact: www.managementulriscurilor.ro

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

CLUSIF2010

CUPRINS
1.Introducere................................................................................................................................................4 2.Scaradevaloriadefectiunilor ..................................................................................................................5 2.1.Identificareaprincipaleloractivitatisiobiectivelelor .......................................................................6 2.1.1Rezultateleprevazute ..................................................................................................................6 2.1.2Abordare .....................................................................................................................................6 2.2.Identificareapotentialelordefectiuni................................................................................................6 2.2.1.Rezultateleprevazute .................................................................................................................6 2.2.1.1.Potentialedefectiuniidentificatelanivelfunctional...........................................................7 2.2.1.2.Potentialedefectiuniidentificatelaniveltehnic .................................................................8 2.2.2Abordare......................................................................................................................................9 2.3Analizamizelordesecuritate:evaluareagravitiidefeciuniloridentificate ....................................9 2.3.1Scaragravitii .............................................................................................................................9 2.3.2Criteriiledefeciuniiipraguridecriticalitate:rezultateelementare .......................................10 2.3.3Abordare....................................................................................................................................11 2.4Scaradevaloriadefeciunilor ..........................................................................................................11 3.Clasificareainformaieiiabunurilorajuttoare ...................................................................................12 3.1Identificareaelementelorcarevorficlasificate ...............................................................................12 3.1.1Identificareaelementelorlegatedeproceseledeafaceri .........................................................13 3.1.2.Identificareaelementelorlegatedepoliticadesecuritateacompaniei ..................................15 3.2Criteriiledeclasificare ......................................................................................................................15 3.3.Procesuldeclasificare .....................................................................................................................15 3.3.1Clasificareabunurilorcaresprijinproceseledeafaceri ...........................................................15 3.3.2.Clasificareabunurilorlanivelcorporativ ..................................................................................16 4.Construireatabeluluiimpactuluiintrinsec .............................................................................................17 5.Sfaturipractice .......................................................................................................................................17 5.1Puncteimportantecaretrebuiescluatenconsiderarencreareascriidevalori ..........................17 5.1.1Concentraivasupraaspectelorcelormaicritice ...................................................................17 5.1.2Excludereacontroalelorexistente .............................................................................................17 5.1.3Consistenadefeciunilordediferitetipuri ...............................................................................18 5.1.4Aspectestrategiceideluareadeciziiloralescriidevalori ....................................................18 5.2Puncteimportantentimpulclasificrii............................................................................................18 5.3Limitepentruclasificare ...................................................................................................................18 5.4Planurideaciune.............................................................................................................................19 Anexa1:Exemplualuneiscridevalori(ntreprindereindustrial) ..................................................20 Anexa2:TabelulImpactuluiIntrinsec ........................................................................................................28

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

CLUSIF2010

 1.Introducere
Analiza mizelor este un pas esential pentru orice proces de gestionare a riscurilor. Scopul acestui document este de a completa ghidul de procesare pentru analiza si gestionare riscurilor si ghidul de analiza si gestionare riscurilor, pentru a oferi asistenta pe durata cursului procesului si pentru a justifica rezultatele. Analiza mizelor trebuie sa ofere 2 seturi principale de rezultate: Scara de valori a defectiunilor Evaluarea sau clasificarea bunurilor legate de informatie

Din aceste doua seturi de rezultate, este posibila deducerea tabelului impactului intrinsec, folosit pentru evaluarea scenariilor de risc oferite de MEHARI. Procedura pentru analiza mizelor este descrisa mai jos. Abordarea MEHARI consta in analizarea activitatilor intreprinderii sau organizatiei, si a proceselor sale de afaceri care au legatura cu informatia, pentru a deduce ce defectiuni ar putea avea loc, si pentru a evalua cat de grave ar putea fi aceste defectiuni.Apoi este posibil sa se evalueze bunurile legate de informatie.

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

CLUSIF2010

Deciziadeancepeo analizamizelor Analizaactivitiloriscopurilorlor

Identificareadefeciunilor

Analizagravitiifiecreidefeciuni: praguricritice Scaradevaloriadefeciunilor Scaradevaloria defeciunilor Identificareabunurilorpentruclasificare

Clasificareabunurilor

Clasificareabunurilor Tabelulimpactului intrinsec

2.Scaradevaloriadefectiunilor
Acest proces este conceput pentru a oferi o scara de valori pentru defectiunile care ar putea afecta semnificativ activitatile unei entitati. Analiza cuprinde 4 etape: Analiza activitatilor principale si obiectivele lor

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

CLUSIF2010

Identificarea posibilelor defectiuni pentru fiecare activitate, care poate fi realizata la urmatoarele nivele: - Tehnic - Functional O evaluare a nivelului gravitatii defectiunilor, activitate cu activitate Determinarea unei scari globale a valorilor pentru entitate.

2.1.Identificareaprincipaleloractivitatisiobiectivelelor
Un punct de plecare bun este identificarea activitatilor principale ale domeniului care este analizat, descrierea pe scurt a lor, si identificarea scopurilor sau cel putin a rezultatelor prevazute.
2.1.1Rezultateleprevazute

Activitatile vor fi descrise in termeni functionali. Pe langa o descriere functionala, merita sa se defineasca rezultatele prevazute sau scopurile activitatii. Aceste rezultate dorite ar trebi definite din punctul de vedere al entitatii, si din acela al entitatilor client. Iat un exemplu:
Funcie Scopuriirezultateprevzute Creeazimeninoperspectivconsolidatatrezoreriei Permite departamentului de contabilitate s suplimenteze ianecesitilorei. contabilitateadupnecesiti(iseviteplilenesusinute).

2.1.2Abordare

O identificare riguroasa si exhaustiva a activitatilor poate fi facuta printr-o analiza a procesului in care actioneaza acestea.Acest lucru presupune identificarea tutror proceselor din domeniul examinat, chiar sub-divizandu-le in atatea sub-procese cat este nevoie pentru a scoate la suprafata variatele dependinte si rezultate intermediare. Experienta arata ca o abordare globala si mai intuitiva, daca are un nivel destul de inalt desponsorizare a managementului, poate identifica rapid principalele functii si scopurile lor. Acest lucru este destul de suficient pentru nevoile aceste abordari. Abordarea este astfel bazata pe interviuri individuale (intre 60 si 90 de minute) cu manageri responsabili pentru activitati diferite in intreprindere sau organizatie.

2.2.Identificareapotentialelordefectiuni
Odata ce activitatile sunt identificate, defectiunile potentiale sau suspectate asociate cu ele ar trebui scoase la lumina.
2.2.1.Rezultateleprevazute

Descrierea defectiunilor ar trebui sa fie de asa natura incat gravitatea sa poata fi evaluata.Totusi, ar trebui mentionat ca o defectiune poate fi descrisa in mai multe moduri:
MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

CLUSIF2010

La nivelul elementului care deranjeasa sau este deranjat in procesul care este examinat.Acest lucru poate fi, de exemplu, indisponibilitatea sistemului de management al trezoreriei sau baza de dateasociata; deci, la un nivel tehnic. La nivelul procesului insusi (la nivel functional). De exemplu, incapacitatea de a oferi o privire consolidata asupra necesitatilor trezoreriei.

Aceleasi defectiuni pot fi astfel descrise fie in ceea ce priveste indisponibilitatea a datelor necesare pentru a produce un rezultat specificat, fie in ceea ce priveste incapacitatea de a executa sarcina care ar produce rezultatul. Prima dintre acestea este cunoscuta in MEHARI ca analiza la nivel tehnic a mizelor de securitate, iar cea din urma este cunoscuta ca analiza functionala a mizelor de securitate.
2.2.1.1.Potentialedefectiuniidentificatelanivelfunctional

La nivelul functional, scopul este de a identifica potentialele defectiuni care au un impact significant in activitatile intreprinderii. Acestea vor fi de obicei defectiuni ale proceselor. Urmatoarele criterii generice de profil ale defectiunii procesului vor fi valabile de obicei: Sincronizare incorecta: sarcinile sau activitatile care sunt planificate nu sunt terminate la timp; Lipsa concordantei: sarcinile sau activitatile care sunt planuite nu sunt terminate in conformitate cu specificatiile; Lipsa completitudinii: sarcinile sau activitatile care sunt planificate sunt doar partial terminate ( desi partile terminate sunt conform cu specificatiile); Lipsa corectitudinii: sunt indeplinite sarcini sau activitati aditionale car enu erau planificate sau specificate; Lipsa discretiei: informatia este dezvaluita necorespunzatorin timp ce sarcinile sau activitatile sunt indeplinite; Lipsa controlului: sarcinile sau activitatile sunt indeplinite si terminate dupa cum era planificat dar fara control sau vizibilitate asupra executiei lor.

Este posibil, astfel, descrierea unel defectiuni in ceea ce priveste sarcina sau activitatea implicata de catre tipul de defectiune. Deasemnea este deseori utile sa se descrie consecintele potentiale, pentru a intelege mai bine gravitatea lor. Deci, folosind exemplul ipotetic al dezvaluirii necorespunzatoare a salariilor angajatilor, merita sa se identifice consecintele potentiale: actiunea de greva, obligatia de a da numeroase mariri de salariu pentru anumite categorii de personal, de-motivarea personalului, si asa mai departe. Deasemenea, daca defectiunea inchipuita priveste schimbarile de plata, merita identificarea faptului daca consecintele potentiale implica sau nu frauda si pierdea de bani, sau actiunea de
MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

CLUSIF2010

greva din partea personalului (sau de-motivarea acestora), sau nevoia de a face corectii numeroase si complicate. Fiecare defectiune, la nivel functional, ar trebui descris ca o schimbare a procesului afacerii. Astfel ar trebui descrisa in ceea ce priveste procesul sau activitatea in cauza, precum si tipul de defectiune si tipu de consecinte. Folosind exemplul managementului de trezorerie, mentionat mai sus: Funcie ntrziereapliinconturiletrezoreriei Scopurileirezultateleateptate Incapacitateadeapltifurnizorii,implicndontreruperea livrriloriastfelaproduciei.

2.2.1.2.Potentialedefectiuniidentificatelaniveltehnic

La nivel tehnic, scopul este identificarea defectiunilor significante n asigurarea bunurilor necesare pentru ntreprindere sau organizaie. Bunurile care sunt asigurate ar putea fi: Bunuri fizice: o Bunuri obinuite pentru orice ntreprindere (spaiu pentru birouri, echipament pentru birouri, telefoane i faxuri, alt echipament mai specific, etc.); o Bunuri IT (servere, staii de lucru, reele de date, etc.); o Bunuri documentare n general, i cele specifice pentru sarcin sau activitate; o Bunuri pentru comunicare (pota, reele de telefonie, etc.). Bunuri soft: o Date (fiiere, baze de date, elemente de referin specifice cerinelor activitii); o Programe (software de baz, aplicaii, etc.) Resurse umane i bunuri: o Personalul necesar (competen, delegare i decizii, etc.). Tipurile clasice de defeciuni sunt pierderea disponibilitii, sau a integritii sau a confidenialitii. La fel ca pentru defeciunile la nivel funcional, i din aceleai motive, este deseori util s se descrie consecinele poteniale, pentru a nelege mai bine gravitatea acestora. Defeciunile tehnice identificate astfel vor fi descrise n ceea ce privete degradarea care ar putea avea loc la nivelul bunurilor folosite de ctre proces, i al consecinelor unei astfel de degradri. Folosindexemplulanterioraltrezoreriei,obinem: Defeciune Bazadedateatrezorerieiindisponibil Managementulbazeidedateatrezoreriei indisponibil
MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

Consecine ntrzieri ale plilor n conturi, care implic o incapacitatedeapltifurnizorii,carelarnduleiducela ntreruperealivrriloriaproduciei.

CLUSIF2010

Not: Exemplul folosit accentueaz multiplicarea rezultatelor. O defeciune dat poate, efectiv, s fie exprimat fie la nivel funcional sau la nivel tehnic. Totui, descrierile la nivel tehnic pot avea mai multe consecine, i vor fi mai puin durabile deoarece depind de tehnologiile care sunt folosite. Este de aceea preferabil s se dea prioritate descrierilor la nivel funcional.
2.2.2Abordare

Aici ar putea folosit din nou o abordare foarte sistematic, pe baza unei analize a procesului i a imaginrii tuturor .deviaiilor. posibile din proces i sub-procese: rezultate incoerente, ntrzieri n (sau absena) rezultate, indiscreie, etc. Experiena arat c un nivel corespunztor al responsabilitii n organizaie va identifica rapid principalele defeciuni printr-o abordare mai global, care se reduce la a-i ntreba pe manageri de ce se tem cel mai mult sau care este cea mai mare grij a lor. La nivel funcional, ei cunosc procesul critic foarte bine. La nivel tehnic, chiar dac nu pot face o list exhaustiv cu aplicaiile i bazele de date folosite, pot cu siguran s le descrie global folosind termeni generici care vor fi de ajuns (.plat., pentru acele programe i aplicaii implicate, de exemplu). Descrierea defeciunilor, fie la nivel funcional sau tehnic, poate fi constituit astfel prin interviuri individuale, dup cum s-a menionat anterior, cu managerii diferitelor activiti din ntreprindere sau organizaie.

2.3 Analiza mizelor de securitate: evaluarea gravitii defeciunilor identificate

A treia faz n determinarea scrii de valori a defeciunilor vrea s evalueze gravitatea defeciunilor identificate anterior. Pentru a face asta, o scar standard a gravitii ar trebui folosit ca referin.
2.3.1Scaragravitii

MEHARI identific 4 nivele de gravitate. Acestea sunt notate de la 1 la 4. Definiiile lor generale sunt descrise mai jos: Nivelul 4: Vital La acest nivel, riscul potenial este foarte grav, i chiar i existena i supravieuirea entitii (sau cel puin una din principalele sale activiti) este n pericol. Dac o astfel de defeciune ar avea loc, ar privi ntreaga for de munc, i ar putea crede c slujbele lor sunt n pericol. Pentru organizaii, precum serviciile publice, ale cror funcie nu poate fi pus la ndoial, acest nivel al gravitii ar putea conduce la un transfer la alt departament guvernamental, sau la sectorul privat. Pentru companiile comerciale, i n termeni financiari, merit luat n considerare faptul c o astfel de defeciune ar genera pierderi de aa nivel nct acionarii s-ar retrage (i ar rezulta n scderi drastice n preul aciunilor). n medicina uman, acest lucru ar fi echivalent cu un accident sau o boal extrem de grav, sau unde doctorii s-ar abine s se pronune.
MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

CLUSIF2010

Dac organizaia supravieuiete unei astfel de defeciuni, ar exista consecine grave i durabile. Nivelul 3: Foarte grav Aceste defeciuni sunt considerate foarte grave la nivelul entitii, dei viitorul su nu ar fi supus riscului. La acest nivel al gravitii, ntreg personalul (sau, cel puin, o mare parte) este preocupat de condiiile de lucru i relaiile sociale, dar slujbele lor nu sunt supuse riscului. n termeni financiari, acest lucru ar avea un impact foarte negativ asupra profiturilor pentru acea perioad, dei nu s-ar nregistra o retragere masiv a acionarilor. n ceea ce privete imaginea public, acest nivel de defeciune duneaz deseori imaginii organizaiei n aa msur nct ar dura mai multe luni pentru a o reface, chiar dac impactul financiar nu poate fi evaluat precis. Accidentele care duc la luni ntregi de dezordine organizaional pentru o ntreprindere ar fi i ele evaluate la acest nivel. Nivelul 2: Grav Defeciunile de la acest nivel ar avea un impact clar asupra operaiunilor entitii, a rezultatelor ei sau a imaginii, dar sunt controlabile global. Doar o parte limitat din personal ar fi implicat n relaiile cu consecinele defeciunii, cu un impact semnificativ asupra condiiilor lor de munc. Nivelul 1: Nesemnificativ La acest nivel, orice daun care ar rezulta nu ar avea un impact semnificativ asupra rezultatelor sau imaginii entitii, chiar dac unii membri ai personalului sunt foarte implicai n restabilirea statului iniial.
2.3.2Criteriiledefeciuniiipraguridecriticalitate:rezultateelementare

Defeciunile identificate nu au neaprat o singur i unic gravitate. Dimpotriv, n multe cazuri defeciunile trebuiesc caracterizate de unul sau mai muli parametri care sunt eseniali pentru nivelul de gravitate. De exemplu, o ntrziere n terminarea unui proces este o defeciune a crei graviti ar depinde de obicei de ntrzierea cantitativ i de numrul de oameni asupra crora ntrzierea a avut un impact. Pentru fiecare defeciune, ar trebui definii parametrii semnificativi, cu valorile pragului care mut defeciunea de un nivel al gravitii la altul. Criteriile criticalitii i pragurile lor corespondente vor permite astfel evaluarea gravitii fiecrei defeciuni, de la defeciunea care are un impact minimal, la una care este vital pentru entitatea n discuie. Ca un exemplu, i folosind studiul de caz de mai devreme, defeciunea ar produce urmtorul tabel:

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

10

CLUSIF2010

Defeciune

Nivelul1

Nivelul2

Nivelul3

Grav Foartegrav Nesemnificati Incapacitatea de a menine Durata: mai puin Durata: ntre 4 Durata: mai mult conturile din banc de4ore orei2zile de2zile v aprovizionate corespunztor, deoarece bazele de date ale trezorerieinusuntdisponibile.
2.3.3Abordare

Nivelul 4Vital

Identificarea criteriilor defeciunilor i evaluarea pragurilor criticalitii vor fi realizate n timpul interviurilor cu managerii operaionali din ntreprindere. n timpul aceluiai interviu (avnd durata ntre 60 i 90 de minute) va fi definit i activitatea, precum i identificarea potenialelor defeciuni, i determinarea criticalitii ca funcie a parametrilor semnificativi. Rezultatele elementare ale fiecrui interviu vor consta deci ntr-o descriere a acestor activiti, o descriere a potenialelor defeciuni, i o evaluare a nivelului lor de gravitate.

2.4Scaradevaloriadefeciunilor
Va fi realizat apoi o compilaie a diferitelor rezultate pentru fiecare activitate. Un exemplu parial este artat mai jos, pentru o activitate HR.
Defeciune Nivelul 1 Nivelul 2 Nivelul 3 Nivelul 4 Nesemnificativ Pierderea<0.1M Falsificarea datelor de plat,conducndlafraud Grav Foartegrav Vital Pierdereantre Pierderea Pierderea > 0.1M&1M ntre 1 i 10 10M M Dezvluirea informaiilor Dezvluirea salariului Dezvluirea Dezvluirea personale tuturor salariilor repetat a unuiangajat angajailor salariilor tuturor angajailor Platatrzieasalariilor ntrziere<2zile ntrzierentre2 ntrziere >15zile i15zile Distrugerea datelor de tergerea datelor tergerea tergerea bazfolositepentruplata recente (din ultima datelor din tuturor salariilor (calcule & lun) anulanterior datelor, i a parametri) urmelor istorice

Dup ce s-a examinat astfel fiecare activitate, compilarea rezultatelor va oferi scri de valori a defeciunilor pentru fiecare activitate, i la nivel global, corporativ al organizaiei sau companiei. Scara de valori rezultant reprezint doar o compilare documentar a tuturor tipurilor de defeciuni i pragurile lor critice, i poate fi vzut ca un pas de formalizare. Experiena a demonstrat c compilarea tuturor tipurilor de defeciuni, i pragurile lor critice, pot scoate la iveal discrepane care nu ar fi vzute la nivelul activitilor individuale. Un pas de consolidare este deci necesar.
MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

11

CLUSIF2010

n orice caz, orice concluzii sau obiecte de aciune care pot fi deduse din scara de valori, sau o folosesc, vor fi luate n serios doar dac scara de valori reflect un adevrat consens al opiniei managerilor entitii. Este de aceea foarte recomandat s existe o discuie adevrat, i s se caute un consens al opiniilor privind scara de valori, cu acordul managementului asupra ei. Rezultatul final va fi o scar de valori a defeciunilor validat. Un exemplu complet este dat n Anexa 1.

3.Clasificareainformaieiiabunurilorajuttoare
Scara de valori a defeciunilor este rezultatul principal al analizei mizelor de securitate. Ea este direct legat de activitile i procesele fundamentale ale ntreprinderii sau organizaiei. Acestea fiind spuse, mecanismele de analiz a riscului, i anumite abordri mai sistematice folosite pentru alegerea soluiilor sau construirea planurilor de aciune, necesit ca defeciunile (exprimate iniial n termeni dependeni de activitate) s fie reformulate n termeni tehnici legai de sistemul informaional, n cel mai larg sens al cuvntului. Exemple sunt: pierderea confidenialitii a anumitor baze de date, indisponibilitatea unui server dat, etc. Aceast reformulare const n definirea scrii de valori sub forma unei clasificri. Aceast formulare complementar const n: Identificarea bunurilor care trebuiesc clasificate (informaii, componentele sistemului informaional, aparate, etc.). Calificarea fiecrui bun ca o funcie a: - Modului n care ar putea produce o defeciune identificat - Gravitii care rezult. Clasificarea sau estimarea informaiei i a bunurilor ajuttoare intete s produc etichete care pot fi puse pe fiecare bun astfel nct persoanele care folosesc bunul s fie informate de importana acestuia n securitate.

3.1Identificareaelementelorcarevorficlasificate
Toate bunurile ar putea fi clasificate individual, fie c sunt informaionale sau elemente ajuttoare (precum site, elemente de procesare, sau reea i comunicare). n practic, este mai eficient s se grupeze informaiile, obiectele, sau bunurile care au roluri asemntoare, i care necesit acelai tip i nivel de protecie. Deci, o aplicaie i uneltele sale asociate, un set de tabele cu baze de date, etc., vor fi deseori grupate mpreun din motive de clasificare. Nu toate obiectele care pot fi identificate ntr-o entitate ar trebui clasificate individual. Acestea ar trebui grupate. Aceste grupuri de informaii i bunuri sunt cele care vor fi clasificate. Oricum, este practic i eficient s se fac distincia ntre: Elementele i bunurile care sunt legate n mod deosebit de procese sau domenii de activitate date, pe de o parte; Elemente de infrastructur i servicii comune, folosite de diferite domenii de activitate, pe de alt parte.

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

12

CLUSIF2010

3.1.1Identificareaelementelorlegatedeproceseledeafaceri

Pentru acele elemente i bunuri care sunt legate de procesele de afaceri sau domenii de activitate, este recomandat s se nceap cu o list a proceselor sau activitilor (sau aplicaiilor IT).Acestea ar trebui unite n grupuri omogene, dup cum s-a explicat mai sus. Pentru fiecare proces, aplicaie sau domeniu de activitate, ar trebui identificate bunurile care trebuiesc clasificate. Asa cum este formulat in MEHARI: Concepte fundamentale si specificatii functionale, bunurile identifcate trebuie sa corespunde cu cerintele organizatiei si apartin unor 3 categorii: Serviciile ( fie generale sau in legatura cu ITC); Datele necesare pentru ca serviciile sa functioneze; Procesele transversale fie in conformitate cu o reglementare sau pentru managementul securitatii insusi. Aceste bunuri sunt denumite bunuri primare iar o tipologie este listata mai jos: Bunuri din categoria Servicii Servicii de retea Servicii de aplicatii Obisnuite/Servicii partajate de birou Servicii de sistem obisnuite: emailing, arhivare, printare, editare etc Servicii pentru interfata cu utilizatorul siperiferice ( pc, imprimante locale, interfate specifice etc) Servicii de telecomunicatii( voce, fax, video-conferinte etc) Servicii obisnuite pentru atmosfera de lucru a personalului ( birouri, alimentarea cu energie, aer conditionat etc) Servicii clasice de mail Bunuri din categoria Data Fisiere de date sau baze de date asociate aplicatiilor Schimb de date, ecrane, date individuale sensibile Fisiere legate de birou Informatii scrise sau printate disponibile utilizatorilor si arhive personale Mail (clasic sau electronic) si faxuri Arhive Bunuri din categoria procese de management Procese legate de legi, regularizari si cerinte contractuale Procese pentru managementul securitatii informatiilor Bunurile primare corespund cerintelor organizatiei si la acest nivel va trebui evaluata importanta acestor cerinte, acest nivel va fi folosit pentru evaluarea nivelului de risc. Aceste bunuri trebuie clasificate. Cunostinte de baza MEHARI 2010 furnizeaza 3 tabele, numite T1 pana la T3, si un exemplu pentru completarea lor este propus mai jos:

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

13

CLUSIF2010

Tabel 1 Clasificarea valorilor tip data

Tabel 2 Clasificarea valorilor tip servicii

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

14

CLUSIF2010

Tabel 3 Clasificarea proceselor de management

3.1.2.Identificareaelementelorlegatedepoliticadesecuritateacompaniei

Este posibil intotdeauna ca anumite servicii obisnuite sa nu fie identificate ca si elemtene critice in timpul analizei proceselor afacerilor.Totusi, ar putea fi critice (intr-o mai mica sau mai mare masura) pentru intreprindere sau organizatie ca un tot. Acesta ar cazul in care, de exemplu, ele ar putea influeta planificarea sau dezvoltarea strategiei IT, sau cand ele ar putea avea impact asupra imaginii profesionale a organizatiei sau suportului ei de servicii, fie intern fie extern. Aceste servicii comune ar trebui identificate si clasificate, doar pentru procesele afacerii mentionate mai sus, permitand o privire corporativa asupra cerintelor de securitate.

3.2Criteriiledeclasificare
Pierderea disponibilitii, integritii, sau a confidenialitii unui bun poate avea Conse cine operaionale i de afaceri care trebuiesc evaluate. Tabelele de mai sus trebuiesc completate cu o valoare (de la 1 la 4) pentru fiecare tip de bun i criteriu. Pentru printuri, de obicei doar confidenialitatea este luat n discuie. Totui, pentru documentele scrise i arhive, disponibilitatea poate fi adugat la confidenialitate . Pentru servicii, principala preocupare o reprezint pierderea disponibilitii sau a integritii .Totui, confidenialitatea poate reprezenta i ea o preocupare pentru anumite aplicaii care ofer avantaj competitiv pentru entitate. Pentru respectarea legilor,reglementari sau cerinte contractuale, criteria de clasificare E (eficienta) se aplica, asa cum este exemplificat in tabelul T3.

3.3.Procesuldeclasificare
3.3.1Clasificareabunurilorcaresprijinproceseledeafaceri

Pentru fiecare grup de bunuri care sprijin procesele de afaceri sau un domeniu de activitate, va fi realizat o analiz pentru a determina dac o pierdere a confidenialitii ar putea conduce la una sau mai multe posibile defeciuni, i, dac acesta este cazul, la ce nivel al defeciunii. Dac din pierderea confidenialitii pentru un bun ar putea rezulta mai multe defeciuni poteniale, este reinut cel mai nalt nivel al acestora (pe o scar de la 1 la 4) pentru criteriul de confidenialitate. Acelai lucru este valabil pentru alte criterii (disponibilitatea i integritatea) care rezult, pentru fiecare grup de bunuri identificat, ntr-o valoare a clasificrii pentru fiecare criteriu (Disponibilitate, Integritate Confidenialitate). Scopul clasificrii este astfel de a defini, pentru grupurile de bunuri identificate, etichete care vor arta nivelurile consecinelor unei pierderi a disponibilitii, integritii sau confidenialitii pentru fiecare clas de bunuri.

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

15

CLUSIF2010

3.3.2.Clasificareabunurilorlanivelcorporativ

Deasemenea, pentru o viziune a corporatiei, este necesara asumarea consecintelor unei degradari a bunurilor independent de fiecare domeniu de afaceri individual.

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

16

CLUSIF2010

4.Construireatabeluluiimpactuluiintrinsec
n timpul procesului MEHARI de analiz a riscului, este introdus noiunea de impact intrinsec al unui scenariu. Aceasta reprezint evaluarea consecinelor producerii unui scenariu de risc independent de orice msuri de securitate. Mai exact, baza de cunotine MEHARI se refer la un tabel al impactului intrinsec, care poate fi completat cu informaii din tabelele de clasificare discutate mai devreme. Procesul pentru completarea automata a tabelului impactului intrinsec beneficiaza de tabelele clasificarii bunurilor (T1 pana la T3) care au fost definite si descrise in sectiunea precedenta.

5.Sfaturipractice
5.1Puncteimportantecaretrebuiescluatenconsiderarencreareascriide valori
5.1.1Concentraivasupraaspectelorcelormaicritice

Este important s v concentrai asupra principalelor defeciuni i nu s ncercai s luai n considerare fiecare scenariu de risc posibil. Primul scop al securitii, indiferent de abordarea folosit, este cel de a evita producerea problemelor grave sau foarte grave. Acestea reprezint riscuri care trebuie, de aceea, s fie identificate i examinate. Acesta este motivul pentru care este foarte recomandat ca managementul de top i cei responsabili pentru o activitate dat s fie implicai direct n procesul de evaluare. Nu ar trebui delegat niciodat unui delegat. n practic, pentru fiecare activitate, cel mai bine este s se concentreze un numr mic de defeciuni critice (de obicei ntre 3 i 8).
5.1.2Excludereacontroalelorexistente

n al doilea rnd, dar la fel de important, defeciunile care par imposibile la prima vedere nu ar trebui ignorate. Este ntlnit prea des cazul n care managementul alung din minte producerea potenial a unui accident care ar putea pierde toate datele importante, prin pretextul c datele sunt computerizate i deci arhivate de ctre sistemul IT. Defeciunile, i gravitatea lor, ar trebui identificate i evaluate fr a lua n considerare controalele de securitate existente, chiar dac acele msuri sunt implementate solid. Altfel, acest lucru ar putea conduce la concluzia c nimic nu este supus riscului, i c controalele de securitate nu sunt necesare, i deci pot fi scoase din calcul. De asemenea, natura mai mult sau mai puin probabil a unui eveniment care conduce la defeciune nu ar trebui luat n considerare n timpul acestei faze a abordrii.

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

17

CLUSIF2010

5.1.3Consistenadefeciunilordediferitetipuri

Un alt punct important n determinarea criteriilor i a pragurilor critice este de a menine o consisten ntre diferite tipuri de defeciuni care au nivele de gravitate echivalente. Cu acest scop n minte, este recomandat s se defineasc axe strategice care pot fi folosite ca referin pentru a asigura consistena nivelelor de gravitate pentru diferite defeciuni. Una din axele de evaluare poate fi financiar. Astfel, echivalentele financiare ar fi cutate pentru fiecare tip de defeciune. De asemenea, o ax de serviciu pentru public ar reprezenta referina pentru compararea impactului individual, mrimea populaiei etc.
5.1.4Aspectestrategiceideluareadeciziiloralescriidevalori

Deseori, gravitatea unor defeciuni nu poate fi evaluat. Acest lucru ar putea fi din cauz c consecinele indirecte sunt greu de identificat, sau din cauz c este prea greu s evaluez serios eficiena aciunilor care ar putea fi realizate n situaia dat. n unele situaii, gravitatea defeciunii poate fi rezultatul unei simple decizii. Nu exist o evaluare formal ci o decizie strategic pentru ntreprindere sau organizaie care spune c o defeciune dat ar trebui considerat ca fiind grav, foarte grav, sau vital.

5.2Puncteimportantentimpulclasificrii
Mai nti, este important s se grupeze corespunztor bunurile cu scopurile similare pentru a nu trebui s se analizeze cantiti mari de obiecte. Un bun punct de plecare este gruparea aplicaiilor n domenii. n al doilea rnd, este recomandat s se planifice un pas de consolidare i validare la nivelul fiecrei entiti, precum i pentru scara de valori.

5.3Limitepentruclasificare
n mod clar, procesul care a fost descris, fie el creaia scrii de valori sau clasificarea, se pliaz unei entiti cu independen decizional i propriile sale scopuri. Aceasta ar putea fi afiliat (naional sau regional) unui grup de corporaii, sau unei uniti de afaceri, sau unui serviciu operaional sau funcional cu o responsabilitate bine definit. Scara de valori a defeciunilor i clasificarea informaiilor i a bunurilor care sunt definite pentru o entitate sunt evident valabile pentru acea entitate. Totui, care este valoarea lor n afara acelei entiti? Prin definiie, clasificarea definit pentru o entitate reprezint mijlocul de a mpri i comunica sensibilitatea unui bun care aparine acelei entiti. Aceast clasificare este valabil n ntreprindere. De fapt, aceasta este o regul a schimbului de elemente (mai ales informaii) ntre entiti. Dac o entitate A (o agenie mic, de exemplu) consider c confidenialitatea informaiei este vital, i o clasific ca atare, nu este posibil ca entitatea B (sediul central de exemplu) s regndeasc clasificarea i s decid c informaia nu este sensibil. Dac s-ar permite ca lucrul din urm s aib loc, atunci entitatea A ar trebui s decid s nu transmit informaii entitii B. Aceast noiune de limite ale valabilitii pentru clasificare este deosebit de important n managementul securitii pe baza unei reguli stabilite numite Cadrul de referin n securitate.
MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

18

CLUSIF2010

n exemplul de mai sus, precauiile sau controalele de securitate care vor fi aplicate ca funcie a clasificrii sunt cunoscute. Ar fi stupid ca o entitate s protejeze informaiile aliniate la un nivel al clasificrii i ca alte entiti s aplice alte reguli de protejare pentru aceeai informaie. n mod deosebit, ar fi periculos pentru o alt entitate s decid de una singur c informaia nu trebuie protejat la nivelul hotrt de o alt entitate.

5.4Planurideaciune
Aici, vom acoperi construirea planurilor de securitate direct din analiza mizelor. Totui, merit observat faptul c interviurile individuale care contribuie la crearea scrii de valori, mpreun cu o edin a managementului, n care sunt discutate cele mai grave defeciuni, ar trebui s dea natere la planuri de aciune urgente. Orice manager ar fi frustrat s petreac timp cu o analiz i identificare a vulnerabilitilor, doar ca s afle c nu reiese nimic de aici. Ar trebui, deci s fie ntocmit un plan de aciune pentru aciunile cele mai urgente. Acest lucru ar trebui poate discutat i aprobat ntr-o edin a managementului, imediat dup ce analiza mizelor este terminat.

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

19

CLUSIF2010

 Anexa1:Exemplualuneiscridevalori(ntreprindereindustrial)
1.Managementulfinanelorialbugetului

Defeciune Pierderefinanciar Fraudsaudelapidare

Nivelul 1 Nesemnificativ Pierdere<1M

Nivelul2 Grav Pierdere ntre 1 Mi10M

Nivelul 3 Foartegrav

Nivelul 4Vital >

Pierderentre10 i Pierdere 100M 100M

Fraudsaudelapidarenachiziionareai plata corespondent sau n managementullivrrii. Incapacitatea de a factura Incapacitatea global Incapacitatea bunurilelivrate deafacturapentruo globaldeafactura perioaddemaipuin pentru o perioad deosptmn cuprins ntre o sptmniolun. Pierderea informaiilor privind livrrile efectuate ntrozi. Defeciunea procesului de Indisponibilitatea Indisponibilitate mementoalclienilor temporar a apetermenlung sistemului de a sistemului de memento. memento.

Incapacitatea globaldeafactura pentru o perioad maimaredeolun. Pierdea complet a dovezii livrrii pentru o ntreag sptmn.

2.StrategieIndicaiigeneraleManagementiurmrire

Defeciune Dezvluirea datelor sau a informaiilor privind planurile pe termenlungsaucelestrategice.

Nivelul 1 Nesemnificativ

Nivelul 2Grav Dezvluirea planurilor pe termen lung ale unuiafiliat. Dezvluirea bugetului Dezvluirea rapoartelor lunare

Nivelul 3 Foartegrav Dezvluirea informaiilorprivind evoluiastrategic Dezvluirea planurilor pe termen lung consolidate ale ntreprinderii

Nivelul 4Vital

Indisponibilitatea analizei Indisponibilitatea rezultatelor sau a sistemului procesului de internderaportare raportarelunar

Incapacitatea de a face rapoarte sau analiza rezultatelor pentrumaimultde 2luni

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

20

CLUSIF2010

Coruperea datelor de raportare i Coruperea datelor elementare sau arapoartelorlunare informaii mrite pe baza unor date elementare.

3.Dezvoltareaafaceriimanagementulclientului

Defeciune Dezvluireainformaiilorprivind operaiunile de dezvoltare a afacerii Dezvluireacondiiilorfinanciare

Nivelul 1 Nesemnificativ

Nivelul 2Grav

Nivelul 3 Foartegrav

Nivelul 4Vital

Dezvluirea notelor i sumarelor directorilorprivinddezvoltareaafacerii Dezvluirea condiiilor Dezvluirea financiare specifice documentelor unuianumitclient strategiei de fixareapreului

Dezvluirea condiiilor financiare pentru toiclienii.

Dezvluirea informaiilor despre Dezvluirea unor Dezvluirea client elementealebazeide informaiilor informaiiaclienilor despre toi clienii

4.Cercetareidezvoltare

Defeciune

Nivelul 1 Nesemnificativ Dezvluirea modelelor simulare

Nivelul 2Grav Dezvluirea buletinelortehnice curente Dezvluirea informaiilor despre specificaiile sau procedurile interne i despre evoluiacurent

Nivelul 3 Foartegrav Dezvluirea buletinelortehnicen cazuriexcepionale Dezvluirea informaiilor asupra impactului evoluiei tehnice, rezultnd n nchidereaunitilor.

Nivelul 4Vital

Dezvluireainformaiilortehnice

de

nclcarea acordurilor confidenialitate

de

nclcarea nclcareaacordurilor acordurilor de de confidenialitate confidenialitate cu cu furnizorii cheie de partenerii tehnologie

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

21

CLUSIF2010

Pierdereaexpertizei

Pierdereaarhivelora memorandumurilor i a buletinelor tehnice privind dezvoltareatehnic.

5.ManagementulprocesuluiindustrialProiectepentruevoluientreinere

Defeciune Pierderea arhivelor de documente a proiectului de evoluie Pierderea documentaiei tehnice pentru echipamentul existent

Nivelul 1 Nesemnificativ

Nivelul 2Grav

Nivelul 3 Foartegrav

Nivelul 4Vital

Defeciune care conduce la folosirea planurilor de instalare incorecte n timpul evoluiei i actualizrilor

Dezvluireainformaiilortehnice

Pierderea arhivelor Pierderea total a proiectului pe durata arhivelorpetermen deviaaproiectului. lung privind Pierderea copiilor n echipamentul i original a planurilor modificrile fcute echipamentului care laacesta. au fost aprobate de ctre autoritile competente. Erori n, sau schimbri la planurile de instalare existente, sau defeciunea managementului deschimbare. Dezvluirea temelor Dezvluirea tuturor de munc i a dosarelor pre programului de proiectului (inclusiv cercetare a pre poziionarea proiectului strategic a proiectului) Indisponibilitatea uneltelor interne de planificare Indisponibilitatea uneltelor de management al ordinii pentru mai puin de o sptmn Indisponibilitatea uneltelor de management al ordinii pentru proiect pentru mai mult de o sptmn

Indisponibilitatea uneltelor de managementalproiectului

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

22

CLUSIF2010

Defeciune n managementul de Pierderea bazei de ntreinere date a aciunii de ntreinere planificate

Indisponibilitatea Indisponibilitatea uneltelor de uneltelor de management al management al ntreinerii pentru ntreinerii pentru maipuindeolun maimultdeolun Pierderea datelor Schimbri ale tehnice i istorice parametrilor necesare pentru uneltelor de planificarea management al ntreinerii ntreinerii

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

23

CLUSIF2010

6.ProducieilivrareLogistic

Defeciune

Nivelul1 Nesemnificativ

Nivelul2 Grav

Nivelul3 Foartegrav

Nivelul4 Vital

Producia oprit (nici un sistem nu Nici un fel de Nici un fel de Nici un fel de Producia oprit este disponibil, pierderea unui producie pentru producie pentru o producientre1i3 pentrumaimultde3 elementcritic) mai mult de o perioad ntre 1 luni. luni. sptmn sptmni1lun. Pierderea unui Pierderea unui Pierderea unui element critic, element critic, element critic, conducnd la conducnd la conducnd la pierderea produciei pierderea produciei pierderea produciei pentrumaipuinde pentru o perioad pentrumaimultde 1lun. ntre1i3luni 3luni. Uneltele de management al Uneltele de Uneltele de Uneltele de producieiindisponibile management al management al management al produciei produciei produciei indisponibile pentru indisponibile pentru indisponibile pentru mai puin de o o perioad cuprins maimultdeolun sptmn ntre o sptmn i olun Coruperea uneltelor de management al produciei sau falsificarea parametrilordemanagement Modificarea Modificarea managementului de managementului de producieconducnd producie conducnd la neconformitatea la accidente sau la produselor deteriorareauneltelor deproducie

Incapacitatea de a asigura logistica Incapacitatea de a Incapacitatea de a pentrulivrareaproduselor asigura livrrile asigura livrrile critice pentru mai critice pentru mai puin de o mult de o sptmn sptmn

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

24

CLUSIF2010

 7.Relaiilecupriletere(alteledectcomerciale)

Defeciune Dezvluirea informaiilor asuprarezultatelorcorporaiei

Nivelul 1 Nesemnificativ

Nivelul2 Grav Publicarea prematur rezultatelor afiliat

Nivelul 3 Foartegrav Publicarea a prematur unui conturilor consolidate a

Nivelul 4Vital

Defeciune n procesul pentru consolidarea conturiloranuale

ntrziere n publicarea conturilor de mai puin de 2 sptmni

ntrziere n Pierderea total a publicarea tuturorelementelor conturilor de mai financiare necesare mult de 2 pentru producerea sptmni conturiloranuale

Dezvluirea notelor sau a memoriilor privind riscurile, operaiunile sau mecanismele fiscale

Dezvluirea notelor sau a memoriilor privind riscurile, operaiunilesaumecanismelefiscalenfunciedeconinutul noteisaualmemoriului

Pierderea elementelor istorice Pierdereaelementeloristoricecarejustificooperaiunefiscal care justific o operaiune fiscal Plata trzie a taxelor i Indisponibilitatea impozitelor uneltelordecalcul apliitaxelor Pierderea documentelor oficiale sauaarhivelor Pierderea autorizaiilor oficiale pentru aopera

Pierderea documentelor oficiale sau a arhivelor care sunt cerute din punct de vedere legal de ctre procedurile administrative (taxe,export)

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

25

CLUSIF2010

 8.Managementulreclamaiiloraspectelegaleipenale

Defeciune Dezvluirea probelor sau argumentelor legate de o reclamaie. Dezvluirea a pri dintro expunere penal privind personalul

Nivelul 1 Nivelul Nivelul 3 Nesemnificati 2Grav Foartegrav v Dezvluirea Dezvluirea informaiilor privind informaiilor privind oreclamaieexcepional. oreclamaiencurs.

Nivelul 4Vital

Dezvluirea a pri Dezvluireaapri dintro expunere dintro expunere penalcurent penal n circumstane excepionale

Pierderea sau dispariia originalelorunordocumente

Pierderea sau Pierderea sau dispariia contractelor dispariia originale originalelor unor acorduri specifice, declaraii de intenie,etc.

9.ManagementulHR

Defeciune Dezvluireainformaiilorpersonale

Nivelul 1 Nesemnificati v Dezvluirea salariului unui angajat ntrziere<2zile

Nivelul 2Grav Dezvluirea salariilor ntreg personalului

Nivelul 3 Foartegrav Dezvluirea repetatasalariilor ntregpersonalului

Nivelul 4Vital

ntrzierilaplatasalariilor

ntrzieri ntre 2 i ntrzieri>15zile 15zile

Distrugerea datelor de baz tergerea datelor tergerea datelor tergereatuturor privind plata salariilor (calcule i recente(numaivechi pentruntregulan datelor,inclusiva parametri) deolun) dateloristorice

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

26

CLUSIF2010

 10.Sistemulinformaional

Defeciune Indisponibilitatea reelei i a serverelor (date comune i personale)

Nivelul 1 Nesemnificativ

Nivelul2 Grav

Nivelul 3 Foartegrav

Nivelul 4Vital

Indisponibilitatea Indisponibilitatea pentrumaipuindeo pentru mai mult de lun olun

Indisponibilitatea sistemului de e Indisponibilitatea mail sistemuluideemail Indisponibilitatea telefonie Pierdereaarhivelor reelei de Indisponibilitatea reeleidetelefonie

Pierderea serverelor de date, sau a arhivelor de email

Crearea ilicit a drepturilor de administrareasuprasistemului

Coruperea tabelului drepturilor de acces i crearea drepturilor de administrare Dezvluirea rapoartelor directorilor sau a informaiilor detaliate privind securitatea sistemului i slbiciuni necorectate.

Dezvluirea informaiilor despresistemsauarhitectur

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

27

CLUSIF2010

Anexa2:TabelulImpactuluiIntrinsec

TabelulImpactuluiIntrinsec
Nivelulclasificriidatelor,informaiilorialcomponentelordeinfrastructurAIC Dateiinformaii D01 Fiierededatesaubazededateaccesatedeaplicaii D02 Fiiereleidateleofficecomune D03 Fiiereofficepersonale(pePC,echipamenteetc.) D04 Informaii i date scrise sau printate pstrate de utilizatoriiarhivepersonale D05 Listrisaudocumenteprintate
D06 D07 D08

A 3 3 3 3

I 2 3 3 3 3

C 4

Mesajetrimise,screenviewuri,dateindividualesensibile

Potaelectronica Scrisorisimesajefax(postal) D09 Documentesauarhivepatrimonialefolositecadovezi D10 ArhiveIT D11 Dateiinformaiipublicatepesiteuripublicesauinterne Valoriservicii ServiciiGenerale G01 Spatiuldelucrualutilizatoruluisimediuldelucru G02 Serviciidetelecomunicatii(voce,fax,audio&videoconferintaetc.) ServiciiITsideretea R01 Serviciidereteaextinse R02 ServiciiLAN

S01 Serviciifurnizatedeaplicatii 3 Servicii comune de birou (servere,management documente, imprimante comune 3 S02 etc.)

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

28

CLUSIF2010

 S03 Echipamenteladispozitiautilizatorilor(statiidelucru,imprimatelocale,periferice, 3 interfetespecificeetc.) NOTA:seaplicaincazulpierderilormasive,nudoarlacativautilizatori S04 Serviciicomune,mediuldelucru:mesagerie,imprimare,arhivare,editareetc. S05 Serviciideeditareweb(internesaupublice) Valoridetipprocesedemanagement Procesedemanagementpentruconformarealegalireglementar
C01 C02

3 3 E

2 2

Conformarealalegiireglementriprivindproteciavieiiprivate Conformarealalegiireglementriprivindcomunicareafinanciara C03 Conformarealalegiireglementriprivindcontrolulfinanciardigital C04 Conformarealalegiireglementriprivinddrepturiledeproprietateintelectual C05 Conformarealalegiireglementriprivindproteciasistemuluiinformaional

C06

Conformarea la legi i reglementri privind punerea n pericol a personalului i a siguraneipubliceiamediului

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

29

CLUSIF2010

Inspirituldiseminarii

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS

11, rue de Mogador 75009 Paris France 01 53 25 08 80 clusif@clusif.asso.fr

www.clusif.asso.fr

MEHARI2010 Analizamizelordesecuritatesighiduldeclasificare

30

CLUSIF2010