IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS

Átírás

1 30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS

2 Tartalom 1. A tervezés lépései 2. Alapvetések 3. Modell 4. Módszerek 5. Kvalitatív módszerek 6. Példák 7. Szabvány 8. Szoftveres támogatás

3 A tervezés lépései Az IT biztonság megvalósításának lépései 1. Helyzetfeltárás (környezet) 6. Konkrét védelmi intézkedések 2. Veszélyforrás analízis (a relevánsak) 5. Döntés a kezelendő kockázatokról 3. Javaslat azonnali intézkedésekre 4. Kockázatelemzés 3

4 Alapvetések Mit jelent a kockázat? Konkrét érték vagy kategória Kezelési lehetőségek Annak esélye, hogy egy esemény vagy intézkedés előre nem látható módon befolyásolja egy szervezet lehetőségeit céljainak és stratégiáinak megvalósítása során. (Nem feltétlenül negatív: pl. egy árfolyamváltozás pozitív is lehet, de tipikusan a negatívumokra fókuszálunk.) Bár a projektekhez is rendelhető kockázat, alapvetően szervezeti szintű probléma. Az IT biztonság területén is nagy jelentőséggel bír T (Terminate) Megszüntetés R (Reduce) Csökkentés A (Accept) Elfogadás P (Pass) - Átadás, áthárítás biztosítás 4

5 Alapvetések Kockázatelemezés: Számos kockázat létezik, de melyek a meghatározóak? Cél Az informatikai biztonságot fenyegető veszélyforrások kockázatának meghatározása Módszer A veszélyforrások bekövetkezési valószínűségének meghatározása A várható kárkövetkezmények meghatározása A kockázatok meghatározása A kockázatok szűrése Eredmény A kezelendő veszélyforrások listája 5

6 Modell A kockázatfelmérés során a bekövetkezési valószínűség és az okozott kár kerül rögzítésre A veszélyforrások bekövetkezési valószínűsége A veszélyforrások realizálódása esetén bekövetkező kár KOCKÁ- ZAT Egy adott veszélyforrás kockázata a bekövetkezési valószínűségétől és realizálódása esetén fellépő kárkövetkezménytől függ! Egyes módszertanokban megjelenik egy harmadik dimenzió is: észlelhetőség 6

7 Modell A kockázatelemzés során becslések szükségesek Egzakt input adatok nem feltétlenül léteznek A valószínűség statisztikai módszerrel történő kiszámításához egy hosszabb idősor adataira van szükség, amely a biztonsági események tekintetében gyakran nem áll rendelkezésre. Ezért a bekövetkezési valószínűség meghatározása tipikusan közvetett módon történik. A bekövetkezési valószínűséget egzakt módszerekkel meghatározni igen nehéz, kénytelenek vagyunk becsléseket végezni. A becsléshez segítség: Relatív gyakoriság (pl. 100 évente egyszer 1%). Hasonló felhasználása (hasonló cég, hasonló épület, másik város, másik ország stb.). Egyebek: pl. szolgáltatók szerződései. 7

8 Kvantitatív és kvalitatív kockázatelemzési módszerek léteznek (1) Módszerek Kvantitatív kockázatelemzés Számszerűen meghatározott értékekből indul ki Az eredmény számszerű, tipikusan pénzügyi értékekként jelenik meg Erőforrás igényes Az egyes számszerű értékeket jellemző megbízhatósági értékek is megjelennek Igen sok bemenő adattal dolgozik Az alkalmazott modellek és függvények általában nem publikusak Eredményes végrehajtására általában a nagy nemzetközi tanácsadó cégek képesek, amelyek hosszú idő alatt sok szervezet tanulmányozásával építették fel azt az adatbázist, amely a szervezeten kívüli input adatokat szolgáltatja. Mindezek miatt a kvantitatív kockázatelemzési módszerek végrehajtása általában meglehetősen költséges. 8

9 Kvantitatív és kvalitatív kockázatelemzési módszerek léteznek (2) Módszerek Kvalitatív kockázatelemezés Szakértői becslésen alapuló eljárások Szinteket, skálákat használnak, nem számszerű adatokat Eredményeik megbízhatóságára vonatkozóan nem adnak támpontot Ezen eljárásokban az egyes veszélyforrásokhoz tartozó bekövetkezési valószínűséget és az érvényre jutásuk esetén bekövetkező kár nagyságát szakértői becslések alapján szintekbe sorolják Általánosan használt eljárás a hatásrácsot (kockázati mátrix) alkalmazó módszer. (A módszernek számos változata ismert, de az összes változat gyakorlatilag azonos alapelveken alapul.) 9

10 A kvalitatív kockázatelemzés összetevői Kvalitatív módszerek Szakértői konzultáció ill. becslés alapján kerül meghatározásra a helyzetfeltárási jelentés és a veszélyforrás elemzés alapján (DELPHI módszer) Veszélyforrások bekövetkezési valószínűsége R I Szakértői konzultáció ill. becslés alapján kerül meghatározásra a helyzetfeltárási jelentés és a veszélyforrás elemzés alapján (DELPHI módszer) Veszélyforrások bekövetkezése esetén fellépő kár mértéke S K 10

11 Kvalitatív kockázatelemzés összetevőinek lehetséges értékei Kvalitatív módszerek Összetevők Lehetséges értékek (Very Small, Small, Medium, Large, Extra Large) A bekövetkezési valószínűség (Probability) PVS PS PM PL PVL Az okozott kár VS S M L VL A kockázat (Risk) RVS RS RM RL RVL 11

12 Kvalitatív módszerek Beköv. valószínűség (P) Kvalitatív kockázatelemzés során a kockázat a kockázati mátrixból olvasható ki A kockázat a bekövetkezési valószínűség és az okozott kár szorzata (összevetése). Az összevetést a kockázati mátrix teszi lehetővé. A negatív hatás, kár értéke VS S M L VL PVS RVS RVS RS RM RL PS RVS RS RM RM RL PM RVS RS RM RL RL PL RS RM RL RL RVL PVL RS RM RL RVL RVL Eredmény: Az egyes veszélyforrásokhoz rendelt kvalitatív kockázatértékeket tartalmazó dokumentum (táblázat). 12

13 Példák kvalitatív kockázatelemzési eredményekre (1) Példák VF-08 A szerver szobába illetéktelenek is be tudnak jutni Szakmai magyarázat Miért léphet fel Mit fenyeget Valószínűség Hatás, kár Kockázat A hierarchikus beléptető rendszer alkalmazásának lényege, hogy adott zárt térrészre csak olyanok tudjanak belépni, akiknek a munkája ezt szükségessé teszi. Ezért fontos olyan mértékű területi szeparálást biztosítani, amely ezt az elvet támogatja. Ha illetéktelenek tudnak a védett berendezésekhez férni, megnő a veszélye annak, hogy az információ biztonsági kritériumok sérülnek. Az XXXX szervereit tartalmazó térrészbe a szerverek üzemeltetéséhez szükségesnél több személy tud belépni. Ennek oka elsősorban az, hogy a térrészben nemcsak az XXXX szerverei lettek elhelyezve, hanem más szervezetek berendezései is. C, I, A PS (Kicsi) M (Közepes) RM (Közepes) 13

14 Példák kvalitatív kockázatelemzési eredményekre (2) Példák VF-12 Nincsenek automatikus tűzérzékelők telepítve a szervereket tartalmazó szobákban Szakmai magyarázat Miért léphet fel Mit fenyeget Valószínűség Hatás, kár Kockázat A szerver berendezések folyamatosan üzemelnek. Személyzet a berendezéseket tartalmazó szobákban csak ritkán van jelen. Az esetleg előforduló tűz a kezdeti szakaszában felismerhető megfelelő elektronikus érzékelők használatával. A riasztó jelzés lehetővé teszi, hogy időben védekezzünk, még a komolyabb károkozást megelőzően. Az XXXX YYYY-i telephelyén a szerver szobákban nincs telepítve automatikus tűzérzékelő (pl. ionizációs füstérzékelő), így nincs megelőző tűzriasztás. I, A PM (Közepes) L (Nagy) RL (Nagy) 14

15 Példák kvalitatív kockázatelemzési eredményekre (3) Példák VSZ-11 Az üzemeltetői munkakörök meghatározásakor nem veszik figyelembe az egymást kizáró munkakörök (segregation of duties) feltételeit Szakmai magyarázat Miért léphet fel Mit fenyeget Valószínűség Hatás, kár Kockázat A nem kellőképpen szétválasztott munkakörök azt eredményezhetik, hogy egy személy saját magát ellenőrzi, ill. képes a saját hibáira, esetleg visszaéléseire utaló bizonyítékokat eltüntetni. Az üzemeltetési feladatokat kis számú munkaerő látja el, munkaköri leírásaik alapján feladataik gyakorlatilag azonosak. Az ügyeleti rendszer miatt az ügyeletes üzemeltetőnek mindent el kell tudnia érni. C, I, A PS (Kicsi) M (Közepes) RM (Közepes) 15

16 A kockázatelemzés szabvánnyal is támogatott Szabvány 16

17 Példa szoftveres támogatásra Szoftveres támogatás 17

18 ACTIVITY - Esettanulmány feldolgozás (1) Adott egy kerületi rádió, amely az interneten keresztül szolgáltat műsort elsősorban a kerület lakói számára, naponta 6-22 óráig. Költségeit önkormányzati támogatásból és reklámbevételekből fedezi. Fő erőforrásai: stúdió, média szerver, internet kapcsolat, technikai személyzet és műsorvezetők és az önkormányzat alkalmazásában álló rendszergazda. Az erőforrások csak a szükséges mennyiségben állnak rendelkezésre, tartalékok nincsenek, a média szerverről éjszakánként szalagos mentés készül. A mentéseket az önkormányzat egy tűzbiztos páncélszekrényében tárolják. A műsorok jellemzően a médiaszerveren tárolt felvételek és élő közvetítések a stúdióból. Külső helyszíni közvetítések csak kivételesen fordulnak elő. A rádióstúdió a kerületi művelődési központ épületében található, a helyszíni szünetmentes tápláláson túlmenően helyszíni villamos energia nem áll rendelkezésre. Az internet kapcsolat redundancia nélküli, vezetékes kapcsolat. A rádió műsora egy hétre előre az önkormányzat web szerverén elérhető. Feladatok: 1. Készítsünk kockázatelemezést a rádió folyamatos működésére vonatkozóan! 2. Készítsünk akciótervet egy tetszőlegesen választott veszélyforrás bekövetkezésére! (pl. médiaszerver kiesése) 18

19 ACTIVITY - Esettanulmány feldolgozás (2) 19

20 ACTIVITY - Esettanulmány feldolgozás (3) 20

21 ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Milyen lépésekből áll a kvalitatív kockázatelemzés? 2. Vesse össze a kvantitatív és a kvalitatív kockázatelemzési eljárásokat! 3. Hány fokozatú skálát használunk a kvatitatív kockázatelmezés során? 4. Mit jelent a Delphi módszer? 5. Mi az értelme az észlehetőség számbavételének, ha a kockázat meghatározásban közvetlenül nem is szerepel? 6. Hogyan bizonyítható a kvantitatív kockázatelelemzés megbízhatósága?

22 ACTIVITY Ellenőrző kérdések és teszt feladatok Igazak vagy hamisak a következő állítások? a. Az informatikai biztonság szintjét döntően meghatározza a leggyengébb láncszem.. b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.. c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a felsővezetést. d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység. e. A kockázatelemzés minden esetben számszerű adatokat szolgáltat. f. Azt, hogy mely kockázatok igényelnek kezelést és melyeket vállalunk fel, az informatikusoknak kell eldöntenie. g. A kockázat annak a mérőszáma, hogy egy-egy veszélyforrás milyen gyakorisággal realizálódik h. A szervezetet valamennyi kockázatát kezelni kell. i. A kockázatok kezelésére többnyire többféle lehetőségünk is van. j. A kvalitatív kockázatelemzés nem ad számszerű eredményeket. k. A kvantitatív kockázatelemzés kockázatelemzés végrehajtása rendkívül erőforrás igényes

23 Köszönöm a figyelmet!