Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)

7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)

1/40

Exemplu de metodologie privind evaluarea intern a riscuriloroperaionalegenerate de sistemele informatice

Managementul riscurilor

Conceptul de management al riscului

Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor inconcorda cu politica organizaional de management a riscurilor. Managementul riscului

este integrat n activitile zilnice prin roluri i responsabiliti definite n toate domeniile deactivitate.Managementul riscului ajut la includerea aspectelor de tratare a riscului n practicile demanagement i la luarea deciziilor pe parcursul ntregului ciclu de via al activitilor.Managementul riscului poate s contribuie la maximizarea rezultatelor globale, dac estedesfurat ntr-o manier integrat, n domenii precum:

achizitia, testarea, operarea, mentenana i casarea sistemelor informatice, mpreun

cu interfeele acestora; controlarea consecinelor riscurilor operaionale generate de sistemele informatice; managementul, costurile i planificarea activitilor referitoare la sistemeleinformatice.

Acest proces adaug valoare datelor produse, meninute i raportate n mod regulat, iar pentrua asigura documentarea acestui proces, n evaluarea intern a riscurilor se constituie un

i l i il i l d ili i l i f i d


2/40

R i l i il i l d ili i l i f i d

tehnologiilor de procesare a informaiei, la modificri majore ale sistemului, n urmaapariiilor unor incidente, n urma aplicrii unor controale de risc etc.

Implementarea managementului riscului

Managementul riscului necesit implicarea tuturor factorilor att a celor cu responsabilitidecizionale, ct i a celor cu atribuii executive din cadrul organizatiei i stabilirea de liniiclare de responsabilitate la nivelul tuturor structurilor organizatorice i decizionale.Managementul riscului este un proces continuu, iterativ care constituie o parte integrant aactivitii curente din cadrul organizaiei.

Fiecare linie de business din cadrul unei organizaii i va evalua toate categoriile de riscrelevante, nregistrndu-le n registrul riscurilor. Se vor identifica toate potenialele problemeoperaionale n patru categorii: oameni, procese, sisteme/tehnologii i mediul extern,incluznd externalizrile i furnizorii externi de produse i servicii informatice i decomunicaii.

Registrul riscurilor operationale este structurat pe patru categorii:

1.

Oameni2. Procese3. Sisteme/tehnologie4. Extern

Riscuri aferente oamenilorpot fi, fr a se limita la:

l d il i i il d l


3/40

sau de model, erori de evaluare, disponibilitatea rezervelor pentru acoperireapierderilor, complexitatea modelelor, control inadecvat al proceselor, softwareneadecvate obiectivelor de activitate, insuficiena guvernanei corporative n acestdomeniu;

b)

Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementulinadecvat al datelor i informaiilor, erori de matching, compensare, colateral,complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri deconfidenialitate, fraude;

c) Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i atribuiilor,depirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuride nregistrri contabile neadecvate, control inadecvat al activitilor externalizate,ntreruperea furnizrii serviciilor, neidentificarea operaiunilor n spe n funcie deindicatorii de risc i variabile analitice prestabilite.

Riscuri aferente sistemelor/tehnologieipot fi, fr a se limita la:- sistem inadecvat de management al tehnologiei i securitii;

-

lipsa metodologiilor de dezvoltare si testare;- capacitate insuficient de procesare;- ntreruperi n funcionarea sistemelor (hardware, software, stocare, telecomunicaii);- cderi de reea;- ntreruperii n furnizarea serviciilor prestate de furnizorii externi;- sisteme inadecvate;- protecie inadecvat mpotriva malware;

i i d ibili


4/40

Structura organizaiei, sistemele informatice ale organizaiei i gestionareariscurilor operaionale generate de acestea

Domeniul prezentei analize de impact este reprezentat de urmatoarele:

Structura organizatoricEntitatea care face obiectul prezentului exemplu de metodologie de evaluare a riscuriloroperaionale are urmtoarele caracteristici:

Structura organizatoric

Structura organizatoric a entitii este format din urmtoarele compartimente (structuriorganizatorice funcionale):

1. ORGANUL SUPERIOR DE CONDUCERE: n funcie de tipul entitii acesta poates fie consiliul de administraie sau consiliu de supraveghere;

2. CONDUCEREA EXECUTIV: acesta poate s fie constituit din comitet director,directori executivi, director general sau alt form prin care se asigur conducerea

activitilor curente ale entitii i care duce la ndeplinire hotrrile organului superiorde conducere;3. Compartiment RELAIA CU CLIENII (front office, vnzri, investitori, asigurai,

participani, membri etc): desfoar activitile legate de relaia cu persoanele externeale entitii n vederea ndeplinirii obiectului principal de activitate (prestareaserviciilor financiare autorizate, reglementate i supravegheate de ASF);

4. Compartiment OPERAIUNI: desfoar toate activitile curente care in de

i i d b i ii A i i f iil


5/40

descrierea infrastructurii IT din cadrul organizaiei; descrierea sistemului de disaster recovery implementat; descrierea personalului disponibil n cadrul organizaiei; analiza de riscuri i impactul acestora; definirea liniilor directoare pentru incheierea Service Level Agreements (SLA), n

vederea asigurarii QoS (Quality of Service) att cu furnizorii de echipamente, ct i cufurnizorii de sisteme de comunicaii;

descrierea modului de monitorizare a sistemului de disaster recovery n operareacurent;

definirea evenimentelor critice de tip dezastru; definirea activitilor, a pailor i a procedurilor ce compun planul BCP (Business

Continuity Plan).

- existena unei locatii alternative de procesare a datelor

- efectuarea back-up-urilor conform unor proceduri existente

- existena unei politici de securitate informatic cu urmtoarele obiective:

Managementul securitii informaiei: Msurile managementului securitii

informaiei vor fi implementate i puse n aplicare n concordan cu obiectivelesecuritii informaiei, declaraiile, politicile, standardele i procedurile stabilite de

conducerea organizaiei.

Clasificarea informaiei, sistemelor i resurselor: Informaiile, sistemele i resursele

vor fi clasificate corespunztor nivelului i tipului de protecie cerut.

Id tifi i t tifi i f iil i i l i i i


6/40

Controlul accesului fizic i logic: Toate informaiile i sistemele vor fi asigurate

corespunztor i riguros cu controale de acces fizic i logic.

Evaluarea riscului: Evaluarea ameninrilor, impactului i vulnerabilitilor

informaiilor a utilitilor de procesare a informaiilor i a probabilitii produceriiacestora.

Managementul riscului: Procesul de identificare, revizuire i reducere sau eliminare

a riscurilor de securitate, care pot afecta sistemele informatice la un cost acceptabil.

Instruirea i contientizarea privind securitatea informaiei: Toi angajaii vor fi

supui unor programe de instruire i contientizare privind securitatea informaiei. Rolurile i responsabilitile: Rolurile, responsabilitile i competenele decizionale

pentru toate prile care au acces la resursele informatice sunt clar definite i

comunicate.

Conformitatea: Personalul precum i ali utilizatori trebuie s fie familiarizai i s se

conformeze cu procedurile i politicile bncii privind securitatea informaiei. Monitorizarea securitii informaiei i raportarea: Monitorizarea i raportarea

msurilor de securitate a informaiei vor fi stabilite s detecteze i s raporteze breele

actuale i suspecte i vor asigura aciuni de remediere ale acestora.

Prezentarea schematic a arhitecturii sistemelor informatice se regsete n figura de mai

j


7/40

Analiza i Tratarea Riscurilor. Impactul Acestora

Organizatia a definit o abordare sistematica a evaluarii riscului in procedura intern pentruEvaluarea riscului. Metoda utilizata tine cont de cerinele legale, reglementri i de

securitatea informaiilor activitii organizaiei, precum i cele mai bune practici n domeniu.S-au determinat riscurile (pe toate cele patru categorii), criteriile de acceptare a riscurilor si s-au identificat nivelurile de risc acceptabile (apetitul i tolerana la risc).

Pentru abordarea sistematic a evalurii riscurilor sunt ndeplinite urmtoarele:

S-au identificat operaiunile i activitile organizaiei; S-au identificat sistemele informatice pe care se bazeaz operaiunile i activitileidentificate anterior; S-au identificat riscurile operaionale generate de sistemele informatice; S-au identificat factorii de risc (ameninrile) la care care faciliteaz expunerea lariscurile operaionale. S-au identificat vulnerabilitatile care ar putea fi exploatate de aceste ameninri. S-a stabilit impactul i daunele asupra organizaiein cazul pierderii confidentialitii,integritii i disponibilitii sistemelor informatice.

S-a evaluat probabilitatea real ca aceste evenimente s se produc.Au fost evaluate nivelurile riscului inerent si s-a determinat dac riscul este acceptabil saunecesit tratare.n schema de mai jos find prezentat relaionarea dintre elementele utilizate laevaluarea intern a riscurilor operaionale.

Amenintarile Vulnerabilitatile

Cresc Afecteza

Exploateza

ProtejeazaCresc


8/40

Documente tiprite (manuale de utilizare, manual i suport pentru instruiri,ghiduri, licene, contracte furnizori / clieni, comunicri, facturi, rezultatefinanciare, nregistrri referitoare la personalul angajat adrese, atestari etc.); Software(sistemul de operare, aplicatii, utilitare etc) Bunuri fizice(calculatoare, servere, echipamente de comunicare i securitate,suport media magnetic, etc); Persoane(angajai, clieni, furnizori etc.); Servicii (disponibilitate servicii de retea, telecomunicatii, nclzire, iluminat,alimentare cu ap, alarmare, servicii de stingerea incendiilor, etc.); Imagine i reputatie (mijloacele de livrare a produselor sau prestare aserviciilor, certificari existente, paginile de internet ale organizaiei etc.).

Stabilirea valorii resurselor i a operaiunilor

Pentru stabilirea valorii resurselor i a operaiunilor, s-au luat in considerare, numai resurseleinformatice i operaiunilecare presupun interaciunea cu aceste resurse. S-a definit valoarearesurselor/operaiunilor utilizand urmtoarea scar de valori n funcie de impactul asupraorganizaiei:

1puin important;2necesar;3vital;

Pentru stabilirea valorilor se analizeaz importana, gradul de dependen fa deresurs/operaiune i pericolul pe care l reprezint pentru procesele organizaiei, asupraorganizaiei in general i asupra clienilor acesteia, atunci cand informaia sau resursa i

pierde integritatea, confidenialitatea i disponibilitatea.


9/40

Criteriile pentru evaluarea vulnerabilitatiisunt:

Grad 1 2 3

Criterii Neglijabil Medie MareDescriere Exist protecii sigure,

testate i verificate,condiiile existente conducla concluzia c, practic, nu

poate fi exploatat aceastavulnerabilitate.

Vulnerabilitatea poate fi

exploatat, existprotecii implementate,dar acestea nu au fosttestate i verificate pentrutoate cazurile.

Usor de exploatat,

protecia este foarteslab, ineficace nmulte situaii sautehnic uzat moral.

Pentru evaluarea riscurilor i a nivelurilor asociate pentru fiecare eveniment nedorit care poate

avea impact asupra activitilor desfurate de organizaie, sistemelor informatice sau ainformaiilor se realizeazmatricea nivelului de risc.

Nivelul riscului este o funcie de probabilitatea de producere a unui eveniment nedorit i denivelul vulnerabilitii asupra activitilor, informaiilor sau sistemelor informatice aleorganziaiei.

Pentru exemplificare, a fost realizat o matrice 3x3 corespunztoare urmtoarelor niveluri derisc:

1. Risc mic;2. Risc mediu;3. Risc mare.


10/40

n cazul n care organizaia utilizeaz o alt matrice de risc prin folosirea mai multor niveluride vulnerabiliti i probabiliti (4x4 sau 5x5) i a mai multor niveluri derisc (4 sau 5), se vamenine practica curent.

Activiti necesare identificrii i evalurii riscurilor i a msurilor de securitate

Conductorii structurilor organizatorice i ntreg personalul ce le compun au obligaia de aidentifica, evalua i raporta riscurile operaionale generate de sistemele informatice. Aplicareacadrului pentru gestionarea riscurilor generate de sistemele informatice ntr-o organizaie

presupune parcurgerea urmtoarelor etape:

1. analiza preliminar a riscului;

2.

identificarea i evaluarea riscurilor;3. revizuirea i raportarea situaiei riscurilor;4. stabilirea limitelor de toleran;5. implementarea i monitorizarea msurilor de control al riscurilor.

Analiza preliminar

Persoana care identific un risc analizeaz preliminar riscul identificat, procednd, pentrudocumentarea procesului de evaluare, la completarea unui formular de Alert la risc -stabilit de fiecare organizaie i prezentat ca exemplu la finalul acestei seciuni curespectarea urmtoarelor etape:

1 descrierea nartativ a riscului, cu respectarea urmtoarelor reguli:

risculeste o situaie, eveniment, carepoates apar. Riscul este o incertitudine


11/40

e) evaluarea preliminar a valorii riscului se realizeaz prin adunarea valoriiresursei, cu valoarea probabilitii i cu cea a vulnerabilitii. Valoareamaxim a riscului este 9 (3+3+3 = 9 resursa este vital, probabilitatea estemare i vulnerabilitatea este mare).

Not: Explicaiile asociate denumirii fiecrei trepte a scalelor de msurare a valoriiresurselor, a probabilitii de apariie i a vulnerabilitii pentru evaluarea riscului inerent

au fost prezentate mai sus.

5 formularea unei opinii cu privire la msurile de tratare (controalele de risc) ce ar trebuientreprinse pentru a gestiona riscul n mod adecvat, astfel nct s se ncadreze nlimitele de toleran;

6

formularul Alert la risc completat corespunztor este trimis coordonatorului stucturiiorganizatorice.

Formular alert la risc

ORGANIZAIA ------------------------------Structura organizatoric: ------------------------------DETALII PRIVIND RISCULDescrierea riscului Categorie resurs IT: ------------------------------------------------

Denumire resurs IT: ------------------------------------------------Ameninri (factori de risc):1.---------------2. --------------3. --------------4. --------------5. --------------


12/40

Identificarea i evaluarea riscurilor

Coordonatorul structurii organizatorice analizeaz fiecare formular Alertla risc,primit dela persoanele care au efectuat analiza preliminar a riscurilor, propunnd:

1

clasarea formularului Alert la risc, dac riscul este nerelevant;2 nregistrarea riscului ca aparinnd activitii sau operaiuni care se bazeaz pe

sistemul informatic utilizat/administrat de structura organizatoric, caz n careconfirm existena riscului la nivelul structurii organizatorice, stabilete/confirmnivelul riscului i propune cel puin o msur de tratare a acestuia.

Dup finalizarea aciunii de analiz preliminar a riscurilor, conductorul structurii

organizatorice, centralizeaz rezultatele analizei datelor/informaiilor cuprinse n formulareleAlert la risc, la care anexeaz documentaia privind riscurile nou-identificate.

n cadrul analizei alertelor la risc conductorul structurii organizatorice desfoarurmtoarele aciuni:

1 delibereaz asupra tuturor riscurilor si stabileste riscurile pentru care s fie luatdecizia de reinere pentru gestionare n cadrul structurii organizatorice;

2

propunerea de clasarepentru riscurile considerate nerelevante;3 delibereaz asupra riscurilor propuse spre includere n Registrul Riscurilor i face

propuneri de completare a Registrului Riscurilor, cel puin n urmtoarele situaii:a) msurile prin care se realizeaz un control satisfctor al riscurilor exced

competenelor decizionale ale structurii organizatorice;b) resursele structurii organizatorice sunt insuficiente;c) se identific riscuri externe structurii organizatorice, dar al cror impact


13/40

grupeaz n variante alternative, se alege varianta cea mai avantajoas dinperspectiva raportului cost/beneficiu.

7 Stabilete ordinea de prioriti n tratarea riscurilor reinute pentru gestionare, astfelnct expunerea la riscurile reziduale s se situeze n limitele de toleran aprobate;

8 stabilete msurile de control ce trebuie luate n vederea reducerii nivelelui riscurilor(reducerea probabilitii sau a impactului), termenele-limit pn la care acesteatrebuie implementate, precum i persoanele responsabile cu implementarea lor prinelaborarea unui planul pentru implementarea msurilor de control.

Conducerea organizaiei i persoana (comitetul) desemnat de aceasta cu responsabilitipentru gestionarea riscurilor, dac exist, desfoar urmtoarele aciuni:

1 primete formularele de Alert la risc i documentaia aferent pentru riscurilesemnalate ctre fiecare structur organizatoric;

2 transmite persoanelor responsabile cu implementarea msurilor de control,modificarea msurilor sau a termenelor pentru riscurile aflate deja n faza deimplementare a msurilor de control intern;

3

iniial intocmete i ulterior completeaz, ori actualizeaz, dup caz, RegistrulRiscurilor, respectivei organizaii cu datele/informaiile despre riscurile care sunt saucare urmeaz a fi gestionate la nivelul tuturor structurilor organizatorice.

Revizuirea i raportarea situaiei riscurilor


14/40

4 meniuni cu privire la ntocmirea/actualizarea Registrului riscurilor;

5 alte aspecte/probleme considerate relevante, n legtur cu modul n care au fostgestionate riscurile la nivelul structurii organizatorice.

Raportul privind gestionarea i revizuirea riscurilor cuprinde, distinct, dou seciunireferitoare la:

riscurile cu un nivel al expunerii ridicat i foarte ridicat, care ar puteaafecta ndeplinirea obiectivelor specifice ale structurilor organizatorice;

stadiul implementrii planului, la data raportrii.

Conductorul structurii organizatorice transmite conducerii organizaiei i persoana

(comitetul) desemnat de aceasta cu responsabiliti pentru gestionarea riscurilor, dac exist,un exemplar al raportului, n vederea:

1 ntocmirii i actualizrii Registrului Riscurilor la nivelul ntregii organizaii, prinagregarea datelor/informaiilor cuprinse n Registrul riscurilor de la nivelul fiecreistructuri organizatorice;

2 ntocmirii i actualizrii profilului de risc al organizaiei, prin regruparea riscurilor

identificate, evaluate i ierarhizate n raport cu mrimea deviaiei expunerii fiecruirisc de la tolerana la risc;

3 ntocmirii raportului privind evaluarea intern a riscurilor operaionale generate desistemele informatice pentru transmiterea lui ctre ASF, n conformitate cu prevederileart.14 alin.(1) lit. a) din Norma ASF nr. 6/2015. n cadrul raportului se cuprinde,distinct, o seciune referitoare la riscurile cu un nivel al expunerii ridicat i foarte


15/40

Implementarea i monitorizarea msurilor de control al riscurilor

Anual, pn la finele lunii februarie, conductorul fiecrei structuri organizatorice, ntocmete

Planul pentru implementarea msurilor de control ale riscurilor, pentru anul n curs, inndcont i de:

deciziile conducerii organizaiei;

recomandrile cu privire la msurile de control,cuprinse n rapoartele de audit(auditul intern, auditul IT Extern, auditul IT cu resurse interne certificate,evalurile funciei de management al riscurilor).

Dup aprobare, conductorul structurii organizatorice transmite persoanelor responsabile cu

implementarea msurilor de control ale riscurilor, cte un exemplar al acestuia, pentruaplicare, precum i conducerii organizaiei pentru includerea lor n raportul privind evaluareaintern a riscurilor operaionale generate de sistemele informatice.

Responsabilii cu implementarea msurilor de control informeaz semestrial i ori de cte orieste cazul, pe conductorul structurii organizatorice, cu privire la stadiul implementriimsurilor de control ale riscurilor, pentru analiz i decizie.

Concluzii analiza riscuri

In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:

1. Defini rea evenimentelor criti ce

Solutia si serviciile de protectie pentru gestionarea corespunztoare a riscurilor operaionale


16/40


17/40

2. I denti fi carea sistemelor in formatice importante din cadrul organizatiein aceast seciune vor fi evideniate sistemele informatice importante, inclusiv principalelecaracteristici i versiunea n lucru la momentul evalurii.

3.

Disponibi l itatea sistemuluiSistemul i serviciile de protectie pentru situatii de dezastru trebuie sa asigure reducereariscurilor de indisponibilitate a sistemelor de productie cu o recuperare completa afunctionalitatii sistemelor informatice intr-un interval orar de ordinul orelor.

4. Toleranta la dezastru

Toleranta la dezastru este asigurata prin tehnologia si serviciile cu grad inalt de disponibilitate

care determina continuarea operarii aplicatiilor critice in cazul unui dezastru in cadrulsistemelor organizatiei aceasta toleranta trebuie sa fie mare pentru garantarea continuitatiioperationale.

5. Restaurarea servici i lor(RTO -Recovery Time Objective)Timpul de restaurare a serviciilor reprezinta timpul scurs intre producerea incidentului criticcare a determinat inoperabilitatea site-ului principal si reluarea functionalitatii sistemului decatre site-ul de recuperare.In cadrul proiectului timpul estimat este de x ore in cazul comutarii totale datoratconstrangerilor impuse de tehnologii, identificarea riscului si a masurilor necesare,convocarea personelor responsabile si asigurarea intregii functionalitati la nivelul centrului derecuperare.In cazul comutarii manuale in care este necesara si identificarea incidentului timpul estimat de

i t


18/40

18

Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice (registrul riscurilor operaionaleIT)

CategorieResurs/Activitate

Denumire sistem informaticValoareresursa /activitate

Risc (descriere / amenintare) Vulnerabilitate (factori de risc)Valoare

probabili-tate

Valoarevulnerabi

li-tate

Valoarerisc

Masuri decontrol alriscului

[1] [2] [3] [4] [5] [6] [7] [3]+[6]+[7] [8]

Categoria 1 - riscuri operaionale OAMENI

Conducerea executiv

Conducereasocietatii

Staie de lucru / baz de date /sisteme informatice

importante3

nerespectarea proceselor,procedurilor sau a instruciunilor

de lucru

Lipsa unor instrumente de control pentru situatiain care conducerea executiva nu r especta

procesele si procedurile de lucru1 3 7 Anexa 1



importante3 Automulumire

Implementarea unor controale insuficiente sauineficiente.

1 3 7 Anexa 1



importante3

operaiuni suspecte de splareabanilor i finanarea actelor de

terorism

Lipsa filtrelor eficiente pentru tranzactiilesuspecte.

1 3 7 Anexa 1

Conducerea

societatii


importante

3nerespectarea regimului de

sanciuni internaionale

Lipsa filtrelor eficiente pentru tranzactiilesuspecte. Neaducerea la zi a noutatilor cu privire

la sanctiunile internationale

1 3 7 Anexa 1



importante3 Frauda interna

Lipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al

drepturilor de acces in aplicatie.1 3 7 Anexa 1

Relatia cu clientii

Personal siactivitati

front-office

Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte

sisteme informaticeimportante

3Vanzarea de produse

necorespunzatoare clientilorrespectivi

Functionarea defectuoasa a sistemelor de frontoffice. Incadrarea defectuoasa in categoriile de

risc pentru clientii noi.1 3 7 Anexa 1


front-office



3erori de introducere manual sau

de utilizare neadecvat a

sistemelor informatice

cunostinte si pregtire insuficiente apersonalului financiar contabil

1 3 7 Anexa 1


front-office



3Stergerea accidentala a

informatiilor stocate in bazele dedate

cunostinte si pregtire insuficiente apersonalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie

1 3 7 Anexa 1


19/40

19

Operatiuni


operatiuni

Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte


3 Frauda internaLipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al



operatiuni



3nerespectarea proceselor,

procedurilor sau a instruciunilorde lucru

Lipsa unor instrumente de control pentru situatiain care conducerea executiva nu respecta

procesele si procedurile de lucru1 3 7 Anexa 1


operatiuni



3 AutomulumireImplementarea unor controale insuficiente sau

ineficiente.1 3 7 Anexa 1


operatiuni



3operaiuni suspecte de splareabanilor i finanarea actelor de

terorism

Lipsa filtrelor eficiente pentru tranzactiilesuspecte.

1 3 7 Anexa 1


operatiuni



3nerespectarea regimului de

sanciuni internaionale

Lipsa filtrelor eficiente pentru tranzactiilesuspecte. Neaducerea la zi a noutatilor cu privire

la sanctiunile internationale1 3 7 Anexa 1


operatiuni






operatiuni

Sistem operatiuni / Staie delucru / baz de date/ sistemeinformatice importante / Alte

sisteme informatice

importante






operatiuni



3modificarea informaiilor sau a

datelor din rapoarte, frdocumentarea adecvat

Raportarea eronata catre autoritatile desupraveghere

1 3 7 Anexa 1


20/40

20


operatiuni




de utilizare neadecvat asistemelor informatice


1 3 7 Anexa 1

Personal si

activitatioperatiuni

Sistem operatiuni / Staie delucru / baz de date / sisteme

informatice importante / Altesisteme informaticeimportante

3

Stergerea accidentala a


cunostinte si pregtire insuficiente a

personalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie 1 3 7 Anexa 1


operatiuni



3 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1


operatiuni



3 Erori de procesare Procesarea eronata a documentelor justificative 1 3 7 Anexa 1

Personal siactivitatioperatiuni

Sistem operatiuni / Staie de

lucru / baz de date / sistemeinformatice importante / Altesisteme informatice

importante

3 Erori de plata Plata eronata a unor sume de bani 1 3 7 Anexa 1


operatiuni





Procesarea eronata a unor operatiuni 1 3 7 Anexa 1


operatiuni






operatiuni



3 dependena de angajai cheieInexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.

1 3 7 Anexa 1


operatiuni


3 Personal insuficient 1 3 7 Anexa 1


21/40

21



operatiuni



3

lipsa unei delimitri clare ntrerolurile persoanelor care

acceseaz/administreaz/dezvoltsistemele informatice

Proceduri de lucru neclare sau nepuse in aplicare 1 3 7 Anexa 1


operatiuni



3

conflict de interese ntrepersonalul care dezvolt i celcare administreaz sistemele

informatice ori ntre utilizatoriiacestora

Inexistenta unor proceduri privind gestiuneaconflictelor de interesa sau nepunerea in aplicare

a acesteia1 3 7 Anexa 1


operatiuni



3

cunostine, experien ipregtire insuficient a

personalului care utilizeaz saudeservete sistemele informatice

Buget de training insuficient. Lipsa implicariimanagementului in acest aspect.

1 3 7 Anexa 1


operatiuni


sisteme informatice

importante

3 alterarea datelorAlterarea datelor din sistemele informatice, fara

posibilitatea identificarii autorului si ainformatiilor initiale

1 3 7 Anexa 1


operatiuni



3nerespectarea proceselor,

procedurilor sau a instruciunilorde lucru

Procese organizatorice, proceduri si instructiunide lucru neimplementate sau inexistente

2 3 8 Anexa 1


operatiuni



3Lips de comunicare i cooperare

ntre angajaiNecomunicarea la timp a unor informatii critice

de la un departament catre altul1 3 7 Anexa 1


operatiuni



3 Personal insuficientProceduri de recrutare ineficiente. Buget de

resurse umane insuficient. Evaluarea eronata e

necesarului de personal

1 3 7 Anexa 1

Financiar - contabilitate

Personalul siactivitatifinanciarcontabile

Sistem financiar contabil /Staie de lucru / baz de date /

sisteme informaticeimportante / Alte sisteme

2modificarea informaiilor sau a

datelor din rapoarte, frdocumentarea adecvat

Raportarea eronata catre autoritatile desupraveghere

1 3 6 Anexa 1


22/40

22

informatice importante


Sistem financiar contabil /Staie de lucru /baz de date /

sisteme informaticeimportante / Alte sistemeinformatice importante




1 3 6 Anexa 1


Sistem financiar contabil /

Staie de lucru / baz de date /sisteme informaticeimportante / Alte sistemeinformatice importante

2 Stergerea accidentala ainformatiilor stocate in bazele dedate


1 3 6 Anexa 1




2 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1




2 Erori de procesare Procesarea eronata a documentelor justificative 1 3 6 Anexa 1


Sistem financiar contabil /Staie de lucru / baz de date /sisteme informatice

importante / Alte sistemeinformatice importante

2 Erori de plata Plata eronata a unor sume de bani 1 3 6 Anexa 1






Procesarea eronata a unor operatiuni 1 3 6 Anexa 1







Functii cheie ale entitatii

Functii cheiesi activitati

aferente

Sistem cheie / Staie de lucru /baz de date / sisteme

informatice importante / Altesisteme informatice

importante

3 dependena de angajai cheieInexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.

1 3 7 Anexa 1


23/40

23


aferente



importante

3 Personal insuficient 1 3 7 Anexa 1

Tehnologia informatiei

Personal sisisteme IT

Staie de lucru / baz de date /sisteme informaticeimportante

2

lipsa unei delimitri clare ntrerolurile persoanelor care

acceseaz/administreaz/dezvoltsistemele informatice

Proceduri de lucru neclare sau nepuse in aplicare 1 3 6 Anexa 1



importante2

conflict de interese ntrepersonalul care dezvolt i cel

care administreaz sistemeleinformatice ori ntre utilizatorii

acestora

Inexistenta unor proceduri privind gestiuneaconflictelor de interesa sau nepunerea in aplicare

a acesteia1 3 6 Anexa 1



importante2

cunostine, experien ipregtire insuficient a

personalului care utilizeaz saudeservete sistemele informatice

Buget de training insuficient. Lipsa implicariimanagementului in acest aspect.

1 3 6 Anexa 1

Personal si

sisteme IT


importante

2 alterarea datelorAlterarea datelor din sistemele informatice, fara

posibilitatea identificarii autorului si a

informatiilor initiale

1 3 6 Anexa 1



importante2

nerespectarea proceselor,procedurilor sau a instruciunilor

de lucru

Procese organizatorice, proceduri si instructiunide lucru neimplementate sau inexistente

2 3 7 Anexa 1



importante2

Lips decomunicare i cooperarentre angajai

Necomunicarea la timp a unor informatii criticede la un departament catre altul

1 3 6 Anexa 1

Suport

Functii suportsi activitati

aferenteStaie de lucru / baz de date 1 Personal insuficient

Proceduri de recrutare ineficiente. Buget deresurse umane insuficient. Evaluarea eronata e

necesarului de personal1 3 5 Anexa 1

Categoria 2 - riscuri operaionale PROCESE

Conducerea executiv


Staie de lucru / baz de date 3 lipsa proceselor organizatoriceProcese organizatorice neimplementate sau

inexistente2 3 8 Anexa 1

Conducereasocietatii Staie de lucru / baz de date

3 control inadecvat al proceselorControlul efectuat de personal necorespunzator.Neefectuarea controalelor conform cerintelor

interne1 3 7 Anexa 1


Staie de lucru / baz de date 3insuficiena guvernanei

corporativeInexistenta strategiei privind guvernantacorporativa. Mecanisme de guvernanta

1 3 7 Anexa 1


24/40

24

corporativa necorespunzatoare

Relatia cu clientii


front-officeSistem front-office 3

Vanzarea de produsenecorespunzatoare clientilor

respectivi



Personal siactivitatifront-office

Sistem front-office / Staie de


importante

3 erori de introducere manual saude utilizare neadecvat asistemelor informatice


1 3 7 Anexa 1


front-office






1 3 7 Anexa 1

Operatiuni


operatiuni


sisteme informatice

importante

3lipsa separrii drepturilor i

atribuiilor

Tranzactionarea efectuata de catre personalnecalificat sau fara atributii in domeniul

respectiv1 3 7 Anexa 1


operatiuni



3 depirea limitelorTranzactionarea eronata a unor instrumente

financiare1 3 7 Anexa 1


operatiuni



3 riscuri de volumTranzactionarea eronata a unor instrumente

financiare1 3 7 Anexa 1


operatiuni



3 riscuri de securitateAlterarea datelor din sistemele informatice, fara

posibilitatea identificarii autorului si a

informatiilor initiale

1 3 7 Anexa 1


operatiuni



3 riscuri de raportareRaportarea eronata catre autoritatile de

supraveghere1 3 7 Anexa 1


25/40

25


operatiuni



3 riscuri de nregistrri contabileneadecvate

Procesarea eronata a tranzactiilor cu instrumentefinanciare

1 3 7 Anexa 1

Personal si




3control inadecvat al activitilor

externalizate

Lipsa unor controale interne cu privire la

activitati critice 1 3 7 Anexa 1


operatiuni



3 ntreruperea furnizrii serviciilorUn sistem informatic critic nu poate fi accesat

pentru o lunga perioada de timp1 3 7 Anexa 1


operatiuni



3

neidentificarea operaiunilor nspe n funcie de indicatorii de

risc i variabile analiticeprestabilite

Neidentificarea indicatorilor de risc.Parametrizarea necorespunzatoare a variabilelor

analitice prestabilite.1 3 7 Anexa 1




importante

3 lipsa proceselor organizatorice Procese organizatorice neimplementate sauinexistente

2 3 8 Anexa 1


operatiuni



3 control inadecvat al proceselorControlul efectuat de personal necorespunzator.Neefectuarea controalelor conform cerintelor

interne1 3 7 Anexa 1


operatiuni



3insuficiena guvernanei

corporative

Inexistenta strategiei privind guvernantacorporativa. Mecanisme de guvernanta

corporativa necorespunzatoare1 3 7 Anexa 1


operatiuni








operatiuni


3 erori de execuie Executarea eronata a unor operatiuni contabile 1 3 7 Anexa 1


26/40

26



operatiuni



3 erori de nregistrareInregistrarea eronata a unor operatiuni

economice1 3 7 Anexa 1


operatiuni



3managementul inadecvat al

datelor i informaiilorNeasigurarea caracteristicilor informatiilor

(consistenta, durabilitate)1 3 7 Anexa 1


operatiuni



3erori de matching, compensare i

colateral

Matching eronat datorat sistemelor informaticeutilizate. Erori in cadrul procesului de

compensare. Erori in cadrul procesului deadecvare a colateralului clientilor

1 3 7 Anexa 1


operatiuni


sisteme informatice

importante

3 complexitatea produselorErori cauzate de neintelegerea naturii economice

de la baza unor produse financiare complexe1 3 7 Anexa 1


operatiuni



3 riscuri de capacitate

Capacitate insuficienta a bazelor de date de aprelua informatiile. Capacitate insuficienta depersonal de a gestiona volumul operatiunilor

financiare

1 3 7 Anexa 1


operatiuni



3 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1


operatiuni



3 riscuri de confidenialitateDivulgarea de informatii sensibile catre mediul

exterior. Furt de date cu caracter personal1 3 7 Anexa 1


operatiuni



3 fraudeFraude cauzate de personal financiar contabil cuacces la multiple sisteme si niveluri informatice.

1 3 7 Anexa 1


27/40

27


operatiuni



3erori de metodologie sau de

modelDefinirea gresita a modelelor econometrice 1 3 7 Anexa 1

Personal si




3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1


operatiuni



3disponibilitatea rezervelor pentru

acoperirea pierderilor

Rezerve insuficiente pentru acoperireapierderilor operationale. Lichiditate insuficienta

a activelor din rezerve1 3 7 Anexa 1


operatiuni



3 complexitatea modelelorErori cauzate de neintelegerea naturii economice





importante

3 software neadecvate obiectivelorde activitate

Sofware fara functiile critice necesare. Software

cu o viteza redusa de procesare, sau cu ocapacitate insuficienta de procesare a

informatiilor.

1 3 7 Anexa 1


operatiuni



3 Personal insuficientProceduri de recrutare ineficiente. Buget de

resurse umane insuficient. Evaluarea eronata enecesarului de personal

1 3 7 Anexa 1






2 erori de execuie Executarea eronata a unor operatiuni contabile 1 3 6 Anexa 1




2 erori de nregistrareInregistrarea eronata a unor operatiuni

economice1 3 6 Anexa 1


28/40

28




2managementul inadecvat al

datelor i informaiilorNeasigurarea caracteristicilor informatiilor

(consistenta, durabilitate)1 3 6 Anexa 1

Personalul siactivitati

financiarcontabile



2

erori de matching, compensare i

colateral

Matching eronat datorat sistemelor informaticeutilizate. Erori in cadrul procesului de

compensare. Erori in cadrul procesului deadecvare a colateralului clientilor

1 3 6 Anexa 1




2 complexitatea produselorErori cauzate de neintelegerea naturii economice





2 riscuri de capacitate


financiare

1 3 6 Anexa 1

Personalul si

activitatifinanciarcontabile


Staie de lucru / baz de date /sisteme informaticeimportante / Alte sistemeinformatice importante

2 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1


Sistem financiar contabil /Staie de lucru / baz dedate /


2 riscuri de confidenialitateDivulgarea de informatii sensibile catre mediul

exterior. Furt de date cu caracter personal1 3 6 Anexa 1




2 fraudeFraude cauzate de personal financiar contabil cuacces la multiple sisteme si niveluri informatice.

1 3 6 Anexa 1



aferente



importante

3erori de metodologie sau de

modelDefinirea gresita a modelelor econometrice 1 3 7 Anexa 1


29/40

29


aferente



importante

3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1

Functii cheie

si activitatiaferente



3

disponibilitatea rezervelor pentru

acoperirea pierderilor

Rezerve insuficiente pentru acoperirea

pierderilor operationale. Lichiditate insuficientaa activelor din rezerve 1 3 7 Anexa 1


aferente



importante

3 complexitatea modelelorErori cauzate de neintelegerea naturii economice





importante2

software neadecvate obiectivelorde activitate

Sofware fara functiile critice necesare. Softwarecu o viteza redusa de procesare, sau cu o

capacitate insuficienta de procesare ainformatiilor.

1 3 6 Anexa 1

Suport


aferenteStaie de lucru / baz de da te 1 Personal insuficient

Proceduri de recrutare ineficiente. Buget deresurse umane insuficient. Evaluarea eronata e

necesarului de personal1 3 5 Anexa 1

Categoria 3 - riscuri operaionale SISTEME

Conducerea executiv


Staie de lucru / baz de date 2sistem inadecvat de management

al tehnologiei i securitii

Sisteme care nu asigura functiile criticenecesare. Inexistenta procedurilor de backup.

Operabilitate redusa a sistemelor.1 3 6 Anexa 1

Relatia cu clientii


front-officeSistem front-office 2 sisteme inadecvate

Sisteme care nu asigura functiile criticenecesare. Operabilitate redusa a sistemelor.

1 3 6 Anexa 1


front-office






1 3 6 Anexa 1


Sistem front-office / Staie delucru / baz de date / sisteme


informatiilor stocate in bazele decunostinte si pregtire insuficiente a

personalului financiar contabil. Management1 3 6 Anexa 1


30/40

30

front-office informatice importante / Altesisteme informatice

importante

date impropriu al drepturilor de acces in aplicatie

Operatiuni


operatiuni



3sistem inadecvat de management

al tehnologiei i securitii

Sisteme care nu asigura functiile criticenecesare. Inexistenta procedurilor de backup.

Operabilitate redusa a sistemelor.

1 3 7 Anexa 1


operatiuni



3 sisteme inadecvateSisteme care nu asigura functiile critice

necesare. Operabilitate redusa a sistemelor.1 3 7 Anexa 1


operatiuni



3 coruperea datelorPrezenta datelor invalide, sau a datelor ce nu pot

fi accesate de ctre utilizatori1 3 7 Anexa 1

Personal si




importante

3 capacitate insuficient deprocesare

Capacitate insuficienta a bazelor de date de a

prelua informatiile. Capacitate insuficienta depersonal de a gestiona volumul operatiunilorfinanciare

1 3 7 Anexa 1


operatiuni



3ntreruperi n funcionarea

sistemelor (hardware, software,stocare, telecomunicaii)

Lipsa sistemelor de back-up pentru energieelectrica sau a liniilor secundare de

telecomunicatii1 3 7 Anexa 1


operatiuni



3 cderi de reeaInexistenta sistemelor de backup

corespunzatoare1 3 7 Anexa 1




importante

3 ntreruperii n furnizareaserviciilor prestate de furnizoriiexterni

Neraportarea incidentului ctre furnizor in timputil.

1 3 7 Anexa 1


operatiuni


3protecie inadecvat mpotriva

malwareSisteme critice importante afectate de malware 1 3 7 Anexa 1


31/40

31



operatiuni



3 riscuri de compatibilitateIncapacitatea de a utiliza informatii sau fisiere

necompatibile cu noile versiuni ale programelorsoftware

1 3 7 Anexa 1


operatiuni



3riscuri generate defurnizori/vnztori




operatiuni



3 erori de programareBuguri, posibile brese de securitate, procesare

inceata a datelor, baze de date instabile.1 3 7 Anexa 1


operatiuni



3riscuri de recuperare dup

dezastrePlan BCP necorespunzator sau necunoscut decatre angajati. Locatie secundara improprie.

1 3 7 Anexa 1


operatiuni



3testare necorespunztoare a

recuperrii n caz de dezastruLocatie secundara improprie. Testarea

neefectuata la timp, sau efectuata partial1 3 7 Anexa 1


operatiuni



3sistem inadecvat de actualizare

tehnologicPierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice

1 3 7 Anexa 1


operatiuni



3 sisteme nvechitePierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice

1 3 7 Anexa 1


operatiuni



3lipsa metodologiilor de

dezvoltare si testare

Dezvoltare improprie a sistemelor informatice.Testare ce nu tine cont de specificatiile de

business1 3 7 Anexa 1


32/40

32


operatiuni



3 servicii necorespunztoare desuport pentru sisteme

Neconformitatea cu reglementarile legalerespective (resurse umane, PSI, autorizari /

avizari autoritati locale)1 3 7 Anexa 1





importante / Alte sistemeinformatice importante

2 coruperea datelorPrezenta datelor invalide, sau a datelor ce nu pot

fi accesate de ctre utilizatori1 3 6 Anexa 1



aferente



importante

2capacitate insuficient de

procesare


financiare

1 3 6 Anexa 1




importante

3ntreruperi n funcionarea

sistemelor (hardware, software,

stocare, telecomunica ii)


telecomunicatii

1 3 7 Anexa 1



importante3 cderi de reea

Inexistenta sistemelor de backupcorespunzatoare

1 3 7 Anexa 1



importante3

ntreruperii n furnizareaserviciilor prestate de furnizorii

externi

Neraportarea incidentului ctre furnizor in timputil.

1 3 7 Anexa 1



importante3

protecie inadecvat mpotrivamalware

Sisteme critice importante afectate de malware 1 3 7 Anexa 1



importante3 riscuri de compatibilitate

Incapacitatea de a utiliza informatii sau fisierenecompatibile cu noile versiuni ale programelor

software1 3 7 Anexa 1


Staie de lucru / baz de date /

sisteme informaticeimportante 3riscuri generate defurnizori/vnztori

Lipsa sistemelor de back-up pentru energie

electrica sau a liniilor secundare detelecomunicatii 1 3 7 Anexa 1


Staie delucru / baz de date /sisteme informatice

importante3 erori de programare

Buguri, posibile brese de securitate, procesareinceata a datelor, baze de date instabile.

1 3 7 Anexa 1



3 riscuri de recuperare dupdezastre

Plan BCP necorespunzator sau necunoscut decatre angajati. Locatie secundara improprie.

1 3 7 Anexa 1


33/40

33

importante



importante3

testare necorespunztoare arecuperrii n caz de dezastru

Locatie secundara improprie. Testareaneefectuata la timp, sau efectuata partial

1 3 7 Anexa 1



importante3

sistem inadecvat de actualizaretehnologic

Pierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice

1 3 7 Anexa 1


Staie de lucru / baz de date /sisteme informaticeimportante

3 sisteme nvechite Pierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice

1 3 7 Anexa 1



importante3

lipsa metodologiilor dedezvoltare si testare

Dezvoltare improprie a sistemelor informatice.Testare ce nu tine cont de specificatiile de

business1 3 7 Anexa 1


Router(Model , Serie)

3

Administrare defectuasaIncendiuCutremurInundatie

Lipsa sistem automat de detectie si stingere aincediilor

Lipsa sistem supraveghere videoDefectiune hardware

2 3 8 Anexa 1


IPS / IDS (Model , Serie) 3




2 3 8 Anexa 1


Switch 1,2 (Model, Serie) 3Administrare defectuasaIncendiu

CutremurInundatie

Lipsa sistem automat de detectie si stingere aincediilorLipsa sistem supraveghere video

Defectiune hardware

2 3 8 Anexa 1


Server Mail (Model, Serie) 3




2 3 8 Anexa 1


Server Backup(Model, Serie)

3




2 3 8 Anexa 1


Server Web(Model, Serie)

3




2 3 8 Anexa 1


Server BD(Model, Serie)

3




2 3 8 Anexa 1


Server Aplicatie OnlineClienti

3Administrare defectuasa

IncendiuLipsa sistem automat de detectie si stingere a

incediilor2 3 8 Anexa 1


34/40

34

(Model, Serie) CutremurInundatie



Sever Aplicatii Intranet(Model, Serie)

3




2 3 8 Anexa 1

Personal si

sisteme IT

Echipament1 locatie DR

(Model, Serie) 3

N/A

Echipament hostat intr-o locatiealternativaDataCenter Defectiune hardware 1 1 5 N/A


Echipament2 locatie DR(Model, Serie)

3N/A

Echipament hostat intr-o locatiealternativaDataCenter

Defectiune hardware 1 1 5 N/A


Imprimante, scanere 3IncendiuCutremurInundatie



1 3 7 Anexa 1


Echipament desktop 3IncendiuCutremurInundatie



1 3 7 Anexa 1


Aplicatie online clienti 3

Vulnerabilitati software

Erori de programareAcces neautorizatModificri neautorizate alesoftware-ului sau datelor

Erori de programare

Lipsa testari periodiceNeaplicarea la timp a update-urilor necesarePregtire de specialitate necorespunz-toare a

personalului.

2 3 8 Anexa 1


Aplicatie contabilitate 3

Vulnerabilitati softwareErori de programareAcces neautorizat

Modificri neautorizate alesoftware-ului sau datelor

Erori de operare

Lipsa testari periodiceNeaplicarea la timp a update-urilor necesare

2 3 8 Anexa 1


Aplicatie Intranet 3

Vulnerabilitati softwareErori de programareAcces neautorizat

Modificri neautorizate alesoftware-ului sau datelor

Erori de programare


Pregtire de specialitate necorespunz-toare apersonalului.

2 2 7 Anexa 1


Solutie securitate IT(antivirus, firewall, etc)

3Vulnerabilitati software

Erori de programareAcces neautorizat


3 3 9 Anexa 1


Licente Sistem Operare 1 3Vulnerabilitati software. Acces

neautorizatNeaplicarea la timp a update-urilor necesare

2 3 8 Anexa 1


35/40

35

Configurarea necorespunztoare a funciilor desecuritate ale sistemelor de operare


Contracte 3Acces neautorizat

Dezvaluire informatiiLipsa filtru software

Continut trafic utilizatori2 3 8 Anexa 1


Corespondenta 3Acces neautorizat



Personal si

sisteme IT

Arhiva date 3Acces neautorizat

Dezvaluire informatii

Lipsa filtru software

Continut trafic utilizatori

2 3 8 Anexa 1


Declaratii 3Acces neautorizat




Dosare personal 3Acces neautorizat




Decizii 3Acces neautorizat



Suport


aferenteStaie de lucru / baz de date 1

servicii necorespunztoare desuport pentru sisteme



Categoria 4 - riscuri operaionale EXTERNE

Conducerea executiv


Staie de lucru / baz de date 3 Pierderea persoanelor cheie Inexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.

1 3 7 Anexa 1







1 3 7 Anexa 1







1 3 7 Anexa 1

Relatia cu clientii


front-office








front-office





1 3 7 Anexa 1


36/40

36



front-office






1 3 7 Anexa 1

Operatiuni


operatiuni



3ntreruperi n furnizarea

serviciilor prestate de furnizoriexterni




operatiuni



3 Pierderea persoanelor cheieInexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.

1 3 7 Anexa 1


operatiuni




necorespunzatoare clientilor

respectivi


risc pentru clientii noi.

1 3 7 Anexa 1


operatiuni



3fraude i activiti criminale

externe




operatiuni



3

pierderi datorate evenimentelorcatastrofice/dezastrelor naturale

sau generate de oameni orifactori din afara organizaiei



2 3 8 Anexa 1

Personal si




3atacuri teroriste clasice sau

informaticeLipsa sistemelor de siguranta si de back-up a

sistemelor informatice critice 1 3 7 Anexa 1


operatiuni


sisteme informatice

3criminalitate economic i/sau

informaticLipsa sistemelor de siguranta si de back-up a

sistemelor informatice critice1 3 7 Anexa 1


37/40

37

importante


operatiuni



3cderi ale alimentarii cu

electricitate






importante

3 expuneri externe ale securitiisistemelor

Lipsa sistem automat de detectie si stingere a

incediilorLipsa sistem supraveghere video

Defectiune hardware

1 3 7 Anexa 1


operatiuni



3servicii necorespunztoare de

suport pentru sisteme








2 fraude i activiti criminaleexterne





aferente



importante

3

pierderi datorate evenimentelorcatastrofice/dezastrelor naturale

sau generate de oameni orifactori din afara organizaiei



2 3 8 Anexa 1


aferente



importante

3atacuri teroriste clasice sau

informaticeLipsa sistemelor de siguranta si de back-up a

sistemelor informatice critice1 3 7 Anexa 1

Functii cheie

si activitatiaferente



importante

3 criminalitate economic i/sauinformatic Lipsa sistemelor de siguranta si de back-up asistemelor informatice critice 1 3 7 Anexa 1


aferente



3cderi ale alimentarii cu

electricitate




38/40

38

importante




importante2

expuneri externe ale securitiisistemelor



1 3 6 Anexa 1

Suport


aferenteStaie de lucru / baz de date 1

servicii necorespunztoare desuport pentru sisteme




39/40

39

Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)

ANEXA 1 la registrul riscurilor

Nr.Crt

Evenimentnedorit

AmeninareVulnerabilitate

asociat

Prob.prod.

even.

NivelImpact

Nivelrisc

Msuri de control al riscului

1. Producereanui incendiu

Incendiu Absena unui sistem automat dedetectie si stingere a incendiului.

Mica Mare Mediu Implementate-Verificarea si intreinerea instalaiilor.-Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up,persoanele autorizate i verificarea periodic.-Exista BCP, locatie alternativa de procesare a datelor.- Instruirea personalului autorizat al sistemului privind modul de aciune la incendiu.

Masuri viitoare-Existena unor mijloace automate de detectie si stingere a incendiului-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel deevenimente-Existenta unui spatiu alternativ de reluare a activitatii pentru personal.

2. Producereaunui

cutremur

Cutremur Lipsa planurilor de continuare aactivitatii sau a procedurilor derecuperare /refacere a informatiilorin caz de cutremur

Mica Mare Mediu Implementate-Structura de rezisten a cldirii este solid.-Pereii exteriori i despritori ai camerelor n care sunt instalate echipamentele sistemului sunt d inmateriale solide.-Existenta procedurilor de creare a fiierelor de backup care vizeza frecvena, tipul de back-up, persoaneleautorizate i verificarea periodic.-Exista BCP, locatie alternativa de procesare a datelor.

Masuri viitoare-Instruirea personalului autorizat al sistemului privind modul de aciune in caz de cutremur.-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel deevenimente.

3. Alimentarenecorespunzto

are cuenergie

electrica

Cderi aletensiunii dealimentare

Lipsa surselor nentreruptibile dealimentare cu energie electrica.

Mica Mare Mediu Implementate-Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%-Toate serverele sunt prevazute cu UPS

Masuri viitoare- implementare replicare sincrona intre sediul central si datacenter-achizitionare generator electric


40/40

40

Nr.Crt

Evenimentnedorit

AmeninareVulnerabilitate

asociat

Prob.prod.even.

NivelImpact

Nivelrisc

Msuri de control al riscului

4. Copiereaneautorizat

de date /software

Dezvaluireinformatii

Acces neautorizat - Copiereaneautorizat de date / software

Mica Mare Mediu Implementate-Existenta IDS, antivirus, Firewall.-Instruirea continua a personalului.-Backup periodic al datelor in data center conform procedurilo r operationale existente

Masuri viitoare-Utilizatorii cu drepturi de acces limitate ai sistemului trebuie s aib o pregtire corespunztoare privindutilizarea resurselor i serviciilor sistemului.-De asemenea trebuie resprectata politica de securitate existenta.-In zona serverelor si nu numai accesul se va face pe baza de cartela magnetica.

5.

Utilizarea

ecorespunztoare a

resurselor iserviciilorsistemului(erori deutilizare)

Erori deoperare ale

personalului

Configurarea necorespunztoare afunciilor de securitate alesistemelor de operare.

Mica Mare Mediu Implementate- Exista elaborata o politica de securitate care s in cont de rolul i misiunea sistemului, grupele deutilizatori autorizai ai sistemului i de aplicarea principiului necesitii de a cunoate.-Exista elaborarta o procedura de creare a fiierelor de backup care s vizeze frecvena, tipul de back-up,persoanele autorizate i verificarea periodic a fiierelor de back-up.-S-a creat o locatie alternativa de backup in DataCenter-ul X- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediulde productie

Masuri viitoare-Cursuri de specialitate

Lipsa fiierelor de back-up. Mica Mare Mediu

Pregtire de specialitate

necorespunztoare a personalului.

Mica Mediu Mic

Erori deprogramare

Configurarea necorespunztoare afunciilor de securitate alesistemelor de operare.

Mica Mare Mediu

Lipsa fiierelor de back-up. Mica Mare MediuPregtire de specialitatenecorespunztoare a personalului.

Mica Mare Mediu

Modificrineautorizateale software-

ului

Lipsa fiierelor de back-up. Mica Mare Mediu

Pregtire de specialitatenecorespunztoare a personalului.

Mica Mare Mediu

Date post:	01-Mar-2018
Category:	Documents
Upload:	detoate
View:	242 times
Download:	1 times

Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)

Documents