COSTUL PIERDERILOR

sursa:Dumitru Oprea –Protecția și securitatea informațiilor, Polirom, Iași

Evaluarea pierdrilor• Amenințările sunt orientate împotriva echipamentelor, a

programelor și a sistemului de operare, a materialelor de p.a.d., informațiilor memorate pe diverse suporturi, hârtiilor de valoare aflate în sistem sau serviciilor prestate de componentele sistemului.

• Există 60 de amenințări:- 5 valori patrimoniale (echipamente, soft, materiale, date și servicii);- 4 feluri de amenințări: pierdere, respingere (nerecunoaștere), compromitere și corupție;- 3 categorii de agenți-cauză a pierderilor: angajați, străini, accidente (hazard).

Principalele amenințări ale securității

• Pierderea echipamentelor și altor componente fizice;

• Respingerea serviciilor;• Folosirea neautorizată a echipamentelor;• Accesarea informațiilor secrete;• Modificarea neautorizată a informațiilor;• Pierderea informațiilor;• Folosirea neautorizată a informațiilor;

Principalele amenințări ale securității(continuare)

• Aflarea neautorizată a secretelor privind softul;

• Modificarea neautorizată a programelor;• Pierderea softului;• Folosirea neautorizată a softului;• Pierderea furniturilor;• Crearea neautorizată a hârtiilor de valoare;• Pierderea hârtiilor de valoare

Formule de calcul C (costul pierderilor)

C=H*W*A*P*Vsau

C=H*W*A*P*U

Unde: H-hazard; W-valoare; A-atracție (tentație); P-probabilitate; V-vulnerabilitate; U-funcția ce ia în calcul vulnerabilitatea (V) și riscul (R)

Definirea elementelor de calcul

• Hazard (H) este o variabilă binară (0 sau 1), iar când se stabilește a fi 0, elimină o cauză potențială de pierdere din anumite considerente;

• Valoare (W) este valoarea totală a valorilor patrimoniale aflate în pericol, exprimată în unități monetare;

• Atracția (A) este un număr cuprins între 0 și 1. El exprimă tentația, adică gradul în care valoarea unui element patrimonial poate constitui subiect de atac;

Definirea elementelor de calcul(continuare)

• Vulnerabilitatea (V) este o măsură a extensiei probabile a unui atac, încununate cu succes, asupra unor valori patrimoniale.

• Probabilitatea (P), uneori numită și expunere, poate fi privită ca fiind un număr ce reprezintă atacurile posibile într-un an asupra unei valori patrimoniale, adică frecvența posibilă de apariție. Poate lua valori între 0 și 1.

Explicații suplimentare privind Atracția

• Presupunem că atracția patrimonială este un fișier de un milion de înregistrări, conținând informații speciale despre personal. Dacă valoarea fiecărei înregistrări în sensul pierderii înregistrării prin dezvăluirea ei, ar fi de 1.000 lei, valoarea fișierului este de un miliard. Totuși, dacă numai 100 dintre înregistrări au o importanță deosebită pentru a fi căutate de atacatori, atracția va fi =100/1.000.000=0,0001 iar costul actual va fi de numai 100.000 lei.

Explicații suplimentare privind Atracția(continuare)

• Atracția poate primi anumite valoriTabelul 4.1 Valorile și semnificațiile atracției

Nivel Semnificație Factor de multiplicare

0 Toate elementele 1

1 Multe elemente 0,1

2 Puține elemente 0,001

3 Foarte puține elemente 0,0001

4 Câteva elemente 0,00001

Explicații suplimentare privind Vulnerabilitatea

• De exemplu, dacă un incendiu are probabilitatea de a distruge numai o zecime din valoarea sistemului, vulnerabilitatea va fi 0,1.

• Estimarea vulnerabilității se efectuează de specialiști prin plasarea ei în una din categoriile următoare (vezi tabelul T4.2.)

Tabelul 4.2. Estimarea vulnerabilitățiiNivel Categoria Semnificatia Vulnerabilitatea

0 Fără pierderi - 0

1 Neglijabilă 1/10 din 1% 0,001

2 Minoră 1% 0,01

3 Serioasă 10% 0,1

4 Gravă 50% 0,5

5 Catastrofală 90% 0,9

Determinarea vulnerabilității• Pentru determinarea vulnerabilității se iau în calcul 10 factori de risc:

- apa;- poziția pe verticală;- poziția pe orizontală;- protecția împotriva incendiilor;- materiale de construcție folosite;- amplasamentul;- moralitatea personalului;- condițiile din zonă;- atitudinea conducerii;- competența angajaților.

Tabelul 4.3. Factorul de risc la apă

Punctaj Explicație0 Fără pericol de expunere

1 Primul etaj, fără cazuri de inundații consemnate anterior

2 Primul etaj, au fost cazuri de inundații consemnate anterior

3 Subsol, fără cazuri de inundații consemnate anterior

4 Subsol, au fost cazuri de inundații consemnate anterior

Tabelul 4.4. Factorul de risc la amplasarea pe verticală

Punctaj Explicație

0 Fără pericol

1 Primul etaj, al unei clădiri cu mai multe niveluri

2 Ultimul etaj, al unei clădiri cu mai multe niveluri

3 Clădire cu un singur nivel

4 Subsol și locurile superioare ale clădirilor de tip turn

Tabelul 4.5. Factorul de risc la amplasarea pe orizontală

Punctaj Explicație

0 Fără pericol

1 Expunere printr-un singur perete

2 Expunere prin doi pereți

3 Expunere prin trei pereți

4 Expunere pe toate părțile

Tabelul 4.5. Factorul de risc la incendiiPunctaj Explicație

0 Există protecție asigurată împotriva incendiilor

1 Hidranții sunt amplasați la peste 150 m, iar rezervoarele cu apă sunt la o distanță mai mică de 2 km

2 Hidranții sunt amplasați la peste 600 m, iar rezervoarele cu apă sunt la o distanță mai mică de 2 km

3 Lipsa hidranților, iar rezervoarele cu apă sunt la o distanță mai mică de 2 km

4 Lipsa hidranților, iar rezervoarele cu apă sunt la o distanță mai mică de 5 km

Tabelul 4.6. Factorul de risc al utilizării unor materiale de construcții

Punctaj Explicație

0 Oțel și beton

1 Blocuri BCA

2 Cărămidă sau piatră

3 Cărămizi sau pietre (ornament)

4 Tâmplărie din lemn

Tabelul 4.7. Factorul de risc la amplasarea firmei

Punctaj Explicație

0 În interiorul unei curți împrejmuite, la cel puțin 60 m de gard

1 În interiorul unei curți împrejmuite, la mai puțin 60 m de gard

2 Nu mai există o altă firmă în clădirile învecinate

3 Nu mai există o altă firmă pe etajele învecinate

4 Nu mai există o altă firmă la nivelul etajului respectiv

Tabelul 4.8. Factorul de risc generat de moralitatea personalului

Punctaj Explicație

0 Moralitate ridicată

1 Există doar câțiva angajați recalcitranți

2 Există organizații sindicale cu care s-au stabilit relații de colaborare

3 Există organizații sindicale protestatare

4 Sunt mari nemulțumiri privind contractele de muncă

Tabelul 4.9. Factorul de risc generat de zona de amplasare

Punctaj Explicație

0 Amplasat în mediul rural

1 Amplasare într-o zonă industrială

2 Amplasare într-o zonă comercială centrală

3 Amplasare într-o zonă dubioasă

4 Amplasare într-o zonă cu procent mare al criminalității

Tabelul 4.10. Factorul de risc generat de atitudinea conducerii

Punctaj Explicație

0 Atitudine favorabilă luării măsurilor de securitate

1 Necunoașterea problemelor privind securitatea

2 Alocarea de sume necorespunzătoare securității

3 Nepăsarea conducerii în fața problemelor securității

4 Conducerea este preocupată doar de producție, în detrimentul securității

Tabelul 4.11. Factorul de risc generat de competența personalului

Punctaj Explicație

0 Exercitarea fără probleme a sarcinilor de serviciu

1 Angajații nu-și exercită corect sarcinile decât dacă se simt supravegheați

2 Sub motivația griji față de producție, sunt neglijate aspectele controlului

3 Activități prestate cu neglijență

4 Dominația haosului

Explicații suplimentare privind Probabilitatea

• Pentru determinarea probabilității se poate apela la cazuistica existentă în unitate sau la experiența unor specialiști (vezi Tabelul 3. 12. Expunerea la atacuri posibile)

Tabelul 4. 12. Expunerea la atacuri posibile

Nivel Categorie Semnificație Probabilitatea

0 Niciodată O dată la fiecare 3.000 ani 1/3000=0,000333

1 Rareori O dată la fiecare 300 ani 1/300=0,00333

2 Uneori O dată la fiecare 30 ani 1/30=0,0333

3 O dată la trei ani 1/3=0,333

4 O dată la patru luni 365/112=3,3

5 O dată la două săptămâni

365/11=33,3

6 Zilnic 365/1,1=333

7 De câteva ori pe zi De zece ori pe zi 365*9,12=3330

Explicații suplimentare privind Funcția U=f(V,R)

• Combină factorul de vulnerabilitate cu cel de risc• Nivelului de vulnerabilitate i se atribuie un

coeficient de importanță (vezi tabelul T3.13)• Media riscurilor este dată de totalitatea factorilor

de risc corespunzători unei amenințări• Sumele coeficienților de importanță a

vulnerabilității și a mediilor factorilor de risc sunt abordate printr-o funcție algoritmică (vezi tabelul T3.14)

Tabelul 4.13. Coeficientul de importanță al nivelului vulnerabilității

Nivel vulnerabilitate Coeficient de importanță

0 0

1 1

2 2

3 6

4 8

5 10

Tabelul 4.14. Funcția logaritmică a vulnerabilității și factorilor de risc

Coeficient de immportanță (V+R) Factor de multiplicare0 0

1 0,00

2 0,01

3 0,03

4 0,05

5 0,07

6 0,1

7 0,3

8 0,5

Tabelul 4.14.(continuare)

Coeficient de immportanță (V+R) Factor de multiplicare

9 0,7

10 0,9

11 0,95

12 0,97

13 0,99

14 1

Tipuri de pierderi• Pierderi de echipamente și alte componente fizice• Întreruperea prestării serviciilor• Folosirea neautorizată a echipamentelor• Dezvăluirea secretului informațiilor• Modificarea neautorizată a informațiilor• Pierderea de informații• Folosirea neautorizată a informațiilor• Divulgarea neautorizată a softului• Modificarea neautorizată a softului• Pierderea softului• Folosirea neautorizată a softului• Pierderi de valori materiale• Crearea neautorizată de hârtii de valoare• Pierderea hârtiilor de valoare

Pierderi de echipamente și alte componente fizice

• În categoria echipamentelor intră: calculatorul central, echipamentele periferice, elemente de legătură, echipamente specializate în comunicații, echipamente de introducere a datelor, echipamente de ieșire, aparate speciale;

• În categoria altor componente intră: instalațiile de aer condiționat, de manipularea echipamentelor, generatoare de curent, linii de comunicație;

• Echipamentele pot fi proprii sau închiriate.

T4.15. Întreruperea prestării serviciilor

Nivel0

Perioada tolerată de întrerupere

Cerințe de realizat Costul anual (dolari)

7 fără Duplicarea completă a sistemului;Funcționarea paralelă simultană

Zeci milioane

6 3 minute sau mai puțin

Duplicarea completă a celorlalte componente prin sisteme de comutare automată

milioane

5 1/2 oră Duplicarea celor mai importante componente hard și soft

Sute de mii

4 1/2 zi Duplicarea unor locuri de muncă Zeci de mii

3 2 zile Crearea unor servicii specializate pentru prevenirea întreruperilor

mii

2 1 lună Planuri obișnuite de lucru sute

1 6 luni zeci

0 nelimitat 0

T4.16. Folosirea neautorizată a echipamentelor

Nivel Timpul de folosire abizivă Semnificația Costul anual al pierderii

0 Zero Nu poate fi folosit abuziv

0

1 O anumită perioadă dintr-un schimb

20 minute Sute

2 Un schimb 8 0re Mii

3 O săptămână 40 de ore Zeci de mii

4 Trei luni 60 de zile Sute de mii

5 Un an 250 zile milioane

Dezvăluirea secretului informațiilor

• În evaluarea pierderilor sunt luate în calcul:1. aspectul legal (cerințele legale privind protecția anumitor categorii de informații);2. aspectul financiar (avantajele obținute de alții sau pierderile suportate de entitate);3. problema confidențialității (există persoane interesate în aflarea unor informații secrete)

1. Costurile accesării neautorizate sub aspect legal

• Din punct de vedere financiar, costul fișierului supus atacului se va determina prin înmulțirea factorului de multiplicare din (T4.17) cu numărul de înregistrări aflate în pericol

T4.17. Costurile accesării neautorizate sub aspect legal

Nivel Semnificație Factor de multiplicare

0 Nesemnificativ 0

1 Publicitate proastă 10

2 Pierderi mai mici de 10.000 dolari 100

3 Pierderile depășesc 10.000 dolari 1000

2. Costurile accesării neautorizate din punct de vedere financiar

• Valoarea totală a pierderilor se determină prin înmulțirea numărului de înregistrări posibile de accesat neautorizat ridicat la pătrat cu multiplicatorul categoriei respective (T4.18)

T4.18. Costurile accesării neautorizate din punct de vedere financiar

Nivel Semnificație Factor de multiplicare

0 Nesemnificativ 0

1 Pierdere pentru firmă sau câștig pentru competitor mai mică de 1% din profitul anual net

100

2 Pierderi mai mari de 1% dar mai mici de 10% din profit 1.000

3 Pierderile depășesc 10% din profitul anual net 10.000

3. Costurile accesării neautorizate din punct de vedere al confidențialității informațiilor

• Valoarea totală a pierderilor pentru un anumit fișier se determină se determină prin înmulțirea numărului de înregistrări posibile de accesat neautorizat ridicate la pătrat, cu multiplicatorul categoriei respective (T4.19)

T4.19. Costurile accesării neautorizate din punct de vedere al confidențialității informațiilor

Nivel Semnificație Factor de multiplicare

0 Fără efect 0

1 Dezvăluirea informațiilor confidențiale poate să aibă efectul invers celui dorit de persoana în cauză

10

2 Dezvăluirea informațiilor confidențiale poate provoca mari necazuri subiectului respectiv

100

3 Dezvăluirea informațiilor confidențiale poate provoca distrugerea totală și nejustificată a carierei persoanei

1.000

4 Dezvăluirea informațiilor confidențiale poate să ducă la punerea în pericol chiar a vieții persoanei

10.000

Modificarea neautorizată a informațiilor

• Presupune modificarea în mod intenționat sau accidental a înregistrărilor unui fișier

• Costul estimat = evaluării muncii necesare în condiții manuale de refacere a înregistrărilor apelându-se la documentele sursă

• Vulnerabilitatea poate fi diminuată de competența angajaților și moralitatea lor

Pierderea de informații

• Costul =estimarea cheltuielilor materiale, cu manopera, de regie, precum și timpul calculator necesar refacerii datelor de pe documentele sursă

• Vulnerabilitatea este generată de moralitatea angajaților, inundații, expunere pe verticală, incendii, materiale de construcții, atitudinea conducerii, competența angajaților

Folosirea neautorizată a informațiilor

• Costul pierderilor = cheltuielile necesare constituirii fișierelor respective

• Puncte forte moralitatea personalului și atitudinea fermă a conducerii

Divulgarea neautorizată a softului

• Costul = evaluarea tuturor cheltuielilor necesare realizării softului (număr mediu instrucțiuni x număr mediu ore x tarif oră )

• Puncte forte moralitatea personalului și atitudinea fermă a conducerii

Modificarea neautorizată a softului

• Costul = cheltuieli materiale, umane, regie și timpul calculator necesar punerii în funcțiune a copiilor de siguranță

• Puncte slabe: moralitatea îndoielnică a angajaților, nepriceperea lor și slaba preocupare a conducerii

Pierderea softului

• Costul = cheltuieli materiale, umane, regie și timpul calculator necesar punerii în funcțiune a copiilor de bază

• Puncte slabe: moralitatea îndoielnică a angajaților, nepriceperea lor, slaba preocupare a conducerii, incendii, apă, expunerea pe verticală, materiale de construcție, etc.

Folosirea neautorizată a softului

• Costul = estimarea cheltuielilor pentru închirierea softului la prețul zilei

Pierderi de valori materiale

• Costul = prețul curent de achiziție sau cheltuielile recreerii lor

Crearea neautorizată de hârtii de valoare

• Costul = valoarea totală a hârtiilor create

Distrugerea hârtiilor de valoare

• Costul = valoarea totală a hârtiilor pierdute