IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS

Hasonló dokumentumok
Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

30 MB INFORMATIKAI PROJEKTELLENŐR IT RENDSZEREK ÜZEMELTETÉSE ÉS BIZTONSÁGA DR. BEINSCHRÓTH JÓZSEF

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE V.: AZ IT BIZTONSÁGI AUDIT

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

Üzleti és projekt kockázatelemzés: a Szigma Integrisk integrált kockázatmenezdsment módszertan és szoftver

XXVII. Magyar Minőség Hét Konferencia

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

Kockázatmenedzsment. dióhéjban Puskás László. Minőségügyi szakmérnök Magyar Minőség Társaság

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Hidak építése a minőségügy és az egészségügy között

Kockázatkezelés és biztosítás 1. konzultáció 2. rész

A minőség és a kockázat alapú gondolkodás kapcsolata

A kockázat fogalma. A kockázat fogalma. Fejezetek a környezeti kockázatok menedzsmentjéből 2 Bezegh András

13. Kockázatos Körkapcsolás

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Alkalmazási eredmények és piaci igények áttekintése

A kockázat alapú felügyelés módszertana Mérő Katalin ügyvezető igazgató PSZÁF november 13

Polgár Város Önkormányzata és Intézményei évi belső ellenőrzési tervét megalapozó kockázatelemzése

Fókuszban az információbiztonság

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

Polgár Város Önkormányzata és Intézményei évi belső ellenőrzési tervét megalapozó kockázatelemzése

Előterjesztés Bicske Város Önkormányzata 2017.évi belső ellenőrzési tervéről

Az informatikai katasztrófa elhárítás menete

A Szolvencia II harmadik mennyiségi hatástanulmányának (QIS3) eredményei. Gaálné Kodila Diána március 20.

(EGT-vonatkozású szöveg)

ISO A bevezetés néhány gyakorlati lépése

Minőség a számvitelben

1 A SIKERES PROJEKT KOCKÁZATMENEDZ SMENT FŐ ELEMEI ÉS KULCSTÉNYEZŐI

Versenyképesség és az innovatív vagyonvédelem

1. VDA és Ford ajánlások a hibaláncolatok pontozásához konstrukciós FMEA esetén

A veszélyes. tervezése. grehajtása. Kozma SándorS tű. alezredes, osztályvezető. BM OKF Tematikus módszertani vezetői értekezlet

Geotechnikai projektmenedzsment az Eurocode 7 szerint. Szepesházi Róbert

EBBEN A VIZSGARÉSZBEN A VIZSGAFELADAT ARÁNYA

ÚTMUTATÓ. az eadat rendszer fejezeti nettó finanszírozás témakörének szabályairól és használatáról

A 9001:2015 a kockázatközpontú megközelítést követi

Üzletmenet folytonosság menedzsment [BCM]

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Autóipari beágyazott rendszerek. Kockázatelemzés

Az informatikai biztonsági kockázatok elemzése

Előterjesztés Bicske Város Önkormányzata évi belső ellenőrzési tervének jóváhagyásáról

Építési projektek kockázatmenedzsmentje

Software project management Áttekintés

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

A DOKUMENTÁCIÓS RENDSZER

Ellenőrző lista: Útmutató képzési stratégia kiválasztásához kis- és közepes vállalkozások számára

Új felállás a MAVIR diagnosztika területén. VII. Szigetelésdiagnosztikai Konferencia 2007 Siófok

INFORMATIKAI PROJEKTELLENŐR

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Tisztelt Képviselő-testület!

PÜSKI KÖZSÉG ÖNKORMÁNYZAT ÉVI BELSŐ ELLENŐRZÉSI MUNKATERVE

AZ ÖNKORMÁNYZATI FELADATELLÁTÁST TÁMOGATÓ INFORMATIKAI INFRASTRUKTÚRA FELÜLVIZSGÁLATA

DOAS Mentés Másolása Helyi Terminálra

30 MB INFORMATIKAI PROJEKTELLENŐR

A szokásos piaci árelv megfelelı alkalmazása

Az infrastruktúra minősége: kinek a felelőssége?

Békés Város Képviselő-testülete október 20-i ülésére

VINÇOTTE HUNGARY. ISO Üzleti kockázatok kezelése és csökkentése Péter Lajos, vezető auditor,

Kockázatkezelés az egészségügyben

AZ INFORMATIKAI RENDSZEREK BIZTONSÁGA, A KOCKÁZAT MEGHATÁROZÁSA A BIZTONSÁG ÉS A KOCKÁZAT KAPCSOLATA SCHUTZBACH MÁRTONNÉ DR.

Elemszám becslés. Kaszaki József Ph.D. SZTE ÁOK Sebészeti Műtéttani Intézet

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

A kockázatelemzés alapjai

HALÁSZI KÖZSÉG ÖNKORMÁNYZAT ÉVI BELSŐ ELLENŐRZÉSI MUNKATERVE

NKE Katasztrófavédelmi Intézet Iparbiztonsági Tanszék

Sérülékeny vízbázisok és a vízminőség védelme a parti szűrésen alapuló Rainey-kutakkal történő víztermelés figyelembe vételével

Elektronikus közhiteles nyilvántartások Megvalósítási tanulmány

Közepes vízfolyások vízgyűjtőjén végzett VKI szempontú terhelhetőség vizsgálatok tapasztalatai

Aktualitások a minőségirányításban

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

Teljesítménymenedzsment modul

HÓDMEZŐVÁSÁRHELY SZENNYVÍZTISZTÍTÁSA ÉS KISHOMOK VÁROSRÉSZÉNEK SZENNYVÍZCSATORNÁZÁSA KEOP LEHETSÉGES KOCKÁZATOK FELMÉRÉSE

Jogalkotási előzmények

A BIZTONSÁGINTEGRITÁS ÉS A BIZTONSÁGORIENTÁLT ALKALMAZÁSI FELTÉTELEK TELJESÍTÉSE A VASÚTI BIZTOSÍTÓBERENDEZÉSEK TERVEZÉSE ÉS LÉTREHOZÁSA SORÁN

Ellenőrzési és könyvvizsgálati esettanulmányok

Tolna Megyei Önkormányzat Közgyűlésének december 2-i ülése 8. számú napirendi pontja

Informatikai Biztonsági szabályzata

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

A túszul ejtett szervezet

ÁLLAPOTFÜGGŐ KARBANTARTÁST SEGÍTŐ INTEGRÁLT DIAGNOSZTIKAI RENDSZER. Dr. Nagy István, Kungl István. OKAMBIK Pécs, április

Statisztikai csalások és paradoxonok. Matematikai statisztika Gazdaságinformatikus MSc november 26. 1/31

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE

Tárgyszavak: minőségbiztosítás; hibalehetőség; hibamódelemzés; egészségügy.

A (nem megfelelően tervezett) nagyjavítás hatásai

Muha Lajos. Az információbiztonsági törvény értelmezése

A TESZTELÉS ALAPJAI MIÉRT SZÜKSÉGES A TESZTELÉS? MI A TESZTELÉS? ÁLTALÁNOS TESZTELÉSI ALAPELVEK

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

MEE 56_DÉMÁSZ_BG_ szeptember 10. Oldal: 1.

Hálózati szolgáltatások biztosításának felügyeleti elemei

Legjobb gyakorlati alkalmazások

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

A Fővárosi Vízművek Zrt. Vízbiztonsági tervének, a jogszabályi változások által szükségessé vált átdolgozásának módszere

Dr. Péterfi Éva UNION VIG Biztosító Zrt

Számítógép kezelői - használói SZABÁLYZAT

Megbízhatóság az informatikai rendszerekben

Termék- és tevékenység ellenőrzés tervezése

Átírás:

30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS 2018. 09. 30.

Tartalom 1. A tervezés lépései 2. Alapvetések 3. Modell 4. Módszerek 5. Kvalitatív módszerek 6. Példák 7. Szabvány 8. Szoftveres támogatás 2018. 09. 30. 2

A tervezés lépései Az IT biztonság megvalósításának lépései 1. Helyzetfeltárás (környezet) 6. Konkrét védelmi intézkedések 2. Veszélyforrás analízis (a relevánsak) 5. Döntés a kezelendő kockázatokról 3. Javaslat azonnali intézkedésekre 4. Kockázatelemzés 3

Alapvetések Mit jelent a kockázat? Konkrét érték vagy kategória Kezelési lehetőségek Annak esélye, hogy egy esemény vagy intézkedés előre nem látható módon befolyásolja egy szervezet lehetőségeit céljainak és stratégiáinak megvalósítása során. (Nem feltétlenül negatív: pl. egy árfolyamváltozás pozitív is lehet, de tipikusan a negatívumokra fókuszálunk.) Bár a projektekhez is rendelhető kockázat, alapvetően szervezeti szintű probléma. Az IT biztonság területén is nagy jelentőséggel bír T (Terminate) Megszüntetés R (Reduce) Csökkentés A (Accept) Elfogadás P (Pass) - Átadás, áthárítás biztosítás 4

Alapvetések Kockázatelemezés: Számos kockázat létezik, de melyek a meghatározóak? Cél Az informatikai biztonságot fenyegető veszélyforrások kockázatának meghatározása Módszer A veszélyforrások bekövetkezési valószínűségének meghatározása A várható kárkövetkezmények meghatározása A kockázatok meghatározása A kockázatok szűrése Eredmény A kezelendő veszélyforrások listája 5

Modell A kockázatfelmérés során a bekövetkezési valószínűség és az okozott kár kerül rögzítésre A veszélyforrások bekövetkezési valószínűsége A veszélyforrások realizálódása esetén bekövetkező kár KOCKÁ- ZAT Egy adott veszélyforrás kockázata a bekövetkezési valószínűségétől és realizálódása esetén fellépő kárkövetkezménytől függ! Egyes módszertanokban megjelenik egy harmadik dimenzió is: észlelhetőség 6

Modell A kockázatelemzés során becslések szükségesek Egzakt input adatok nem feltétlenül léteznek A valószínűség statisztikai módszerrel történő kiszámításához egy hosszabb idősor adataira van szükség, amely a biztonsági események tekintetében gyakran nem áll rendelkezésre. Ezért a bekövetkezési valószínűség meghatározása tipikusan közvetett módon történik. A bekövetkezési valószínűséget egzakt módszerekkel meghatározni igen nehéz, kénytelenek vagyunk becsléseket végezni. A becsléshez segítség: Relatív gyakoriság (pl. 100 évente egyszer 1%). Hasonló felhasználása (hasonló cég, hasonló épület, másik város, másik ország stb.). Egyebek: pl. szolgáltatók szerződései. 7

Kvantitatív és kvalitatív kockázatelemzési módszerek léteznek (1) Módszerek Kvantitatív kockázatelemzés Számszerűen meghatározott értékekből indul ki Az eredmény számszerű, tipikusan pénzügyi értékekként jelenik meg Erőforrás igényes Az egyes számszerű értékeket jellemző megbízhatósági értékek is megjelennek Igen sok bemenő adattal dolgozik Az alkalmazott modellek és függvények általában nem publikusak Eredményes végrehajtására általában a nagy nemzetközi tanácsadó cégek képesek, amelyek hosszú idő alatt sok szervezet tanulmányozásával építették fel azt az adatbázist, amely a szervezeten kívüli input adatokat szolgáltatja. Mindezek miatt a kvantitatív kockázatelemzési módszerek végrehajtása általában meglehetősen költséges. 8

Kvantitatív és kvalitatív kockázatelemzési módszerek léteznek (2) Módszerek Kvalitatív kockázatelemezés Szakértői becslésen alapuló eljárások Szinteket, skálákat használnak, nem számszerű adatokat Eredményeik megbízhatóságára vonatkozóan nem adnak támpontot Ezen eljárásokban az egyes veszélyforrásokhoz tartozó bekövetkezési valószínűséget és az érvényre jutásuk esetén bekövetkező kár nagyságát szakértői becslések alapján szintekbe sorolják Általánosan használt eljárás a hatásrácsot (kockázati mátrix) alkalmazó módszer. (A módszernek számos változata ismert, de az összes változat gyakorlatilag azonos alapelveken alapul.) 9

A kvalitatív kockázatelemzés összetevői Kvalitatív módszerek Szakértői konzultáció ill. becslés alapján kerül meghatározásra a helyzetfeltárási jelentés és a veszélyforrás elemzés alapján (DELPHI módszer) Veszélyforrások bekövetkezési valószínűsége R I Szakértői konzultáció ill. becslés alapján kerül meghatározásra a helyzetfeltárási jelentés és a veszélyforrás elemzés alapján (DELPHI módszer) Veszélyforrások bekövetkezése esetén fellépő kár mértéke S K 10

Kvalitatív kockázatelemzés összetevőinek lehetséges értékei Kvalitatív módszerek Összetevők Lehetséges értékek (Very Small, Small, Medium, Large, Extra Large) A bekövetkezési valószínűség (Probability) PVS PS PM PL PVL Az okozott kár VS S M L VL A kockázat (Risk) RVS RS RM RL RVL 11

Kvalitatív módszerek Beköv. valószínűség (P) Kvalitatív kockázatelemzés során a kockázat a kockázati mátrixból olvasható ki A kockázat a bekövetkezési valószínűség és az okozott kár szorzata (összevetése). Az összevetést a kockázati mátrix teszi lehetővé. A negatív hatás, kár értéke VS S M L VL PVS RVS RVS RS RM RL PS RVS RS RM RM RL PM RVS RS RM RL RL PL RS RM RL RL RVL PVL RS RM RL RVL RVL Eredmény: Az egyes veszélyforrásokhoz rendelt kvalitatív kockázatértékeket tartalmazó dokumentum (táblázat). 12

Példák kvalitatív kockázatelemzési eredményekre (1) Példák VF-08 A szerver szobába illetéktelenek is be tudnak jutni Szakmai magyarázat Miért léphet fel Mit fenyeget Valószínűség Hatás, kár Kockázat A hierarchikus beléptető rendszer alkalmazásának lényege, hogy adott zárt térrészre csak olyanok tudjanak belépni, akiknek a munkája ezt szükségessé teszi. Ezért fontos olyan mértékű területi szeparálást biztosítani, amely ezt az elvet támogatja. Ha illetéktelenek tudnak a védett berendezésekhez férni, megnő a veszélye annak, hogy az információ biztonsági kritériumok sérülnek. Az XXXX szervereit tartalmazó térrészbe a szerverek üzemeltetéséhez szükségesnél több személy tud belépni. Ennek oka elsősorban az, hogy a térrészben nemcsak az XXXX szerverei lettek elhelyezve, hanem más szervezetek berendezései is. C, I, A PS (Kicsi) M (Közepes) RM (Közepes) 13

Példák kvalitatív kockázatelemzési eredményekre (2) Példák VF-12 Nincsenek automatikus tűzérzékelők telepítve a szervereket tartalmazó szobákban Szakmai magyarázat Miért léphet fel Mit fenyeget Valószínűség Hatás, kár Kockázat A szerver berendezések folyamatosan üzemelnek. Személyzet a berendezéseket tartalmazó szobákban csak ritkán van jelen. Az esetleg előforduló tűz a kezdeti szakaszában felismerhető megfelelő elektronikus érzékelők használatával. A riasztó jelzés lehetővé teszi, hogy időben védekezzünk, még a komolyabb károkozást megelőzően. Az XXXX YYYY-i telephelyén a szerver szobákban nincs telepítve automatikus tűzérzékelő (pl. ionizációs füstérzékelő), így nincs megelőző tűzriasztás. I, A PM (Közepes) L (Nagy) RL (Nagy) 14

Példák kvalitatív kockázatelemzési eredményekre (3) Példák VSZ-11 Az üzemeltetői munkakörök meghatározásakor nem veszik figyelembe az egymást kizáró munkakörök (segregation of duties) feltételeit Szakmai magyarázat Miért léphet fel Mit fenyeget Valószínűség Hatás, kár Kockázat A nem kellőképpen szétválasztott munkakörök azt eredményezhetik, hogy egy személy saját magát ellenőrzi, ill. képes a saját hibáira, esetleg visszaéléseire utaló bizonyítékokat eltüntetni. Az üzemeltetési feladatokat kis számú munkaerő látja el, munkaköri leírásaik alapján feladataik gyakorlatilag azonosak. Az ügyeleti rendszer miatt az ügyeletes üzemeltetőnek mindent el kell tudnia érni. C, I, A PS (Kicsi) M (Közepes) RM (Közepes) 15

A kockázatelemzés szabvánnyal is támogatott Szabvány 16

Példa szoftveres támogatásra Szoftveres támogatás http://adapto.hu/ 17

ACTIVITY - Esettanulmány feldolgozás (1) Adott egy kerületi rádió, amely az interneten keresztül szolgáltat műsort elsősorban a kerület lakói számára, naponta 6-22 óráig. Költségeit önkormányzati támogatásból és reklámbevételekből fedezi. Fő erőforrásai: stúdió, média szerver, internet kapcsolat, technikai személyzet és műsorvezetők és az önkormányzat alkalmazásában álló rendszergazda. Az erőforrások csak a szükséges mennyiségben állnak rendelkezésre, tartalékok nincsenek, a média szerverről éjszakánként szalagos mentés készül. A mentéseket az önkormányzat egy tűzbiztos páncélszekrényében tárolják. A műsorok jellemzően a médiaszerveren tárolt felvételek és élő közvetítések a stúdióból. Külső helyszíni közvetítések csak kivételesen fordulnak elő. A rádióstúdió a kerületi művelődési központ épületében található, a helyszíni szünetmentes tápláláson túlmenően helyszíni villamos energia nem áll rendelkezésre. Az internet kapcsolat redundancia nélküli, vezetékes kapcsolat. A rádió műsora egy hétre előre az önkormányzat web szerverén elérhető. Feladatok: 1. Készítsünk kockázatelemezést a rádió folyamatos működésére vonatkozóan! 2. Készítsünk akciótervet egy tetszőlegesen választott veszélyforrás bekövetkezésére! (pl. médiaszerver kiesése) 18

ACTIVITY - Esettanulmány feldolgozás (2) 19

ACTIVITY - Esettanulmány feldolgozás (3) 20

ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Milyen lépésekből áll a kvalitatív kockázatelemzés? 2. Vesse össze a kvantitatív és a kvalitatív kockázatelemzési eljárásokat! 3. Hány fokozatú skálát használunk a kvatitatív kockázatelmezés során? 4. Mit jelent a Delphi módszer? 5. Mi az értelme az észlehetőség számbavételének, ha a kockázat meghatározásban közvetlenül nem is szerepel? 6. Hogyan bizonyítható a kvantitatív kockázatelelemzés megbízhatósága? 2018. 09. 30. 21

ACTIVITY Ellenőrző kérdések és teszt feladatok Igazak vagy hamisak a következő állítások? a. Az informatikai biztonság szintjét döntően meghatározza a leggyengébb láncszem.. b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.. c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a felsővezetést. d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység. e. A kockázatelemzés minden esetben számszerű adatokat szolgáltat. f. Azt, hogy mely kockázatok igényelnek kezelést és melyeket vállalunk fel, az informatikusoknak kell eldöntenie. g. A kockázat annak a mérőszáma, hogy egy-egy veszélyforrás milyen gyakorisággal realizálódik h. A szervezetet valamennyi kockázatát kezelni kell. i. A kockázatok kezelésére többnyire többféle lehetőségünk is van. j. A kvalitatív kockázatelemzés nem ad számszerű eredményeket. k. A kvantitatív kockázatelemzés kockázatelemzés végrehajtása rendkívül erőforrás igényes. 2018. 09. 30. 22

Köszönöm a figyelmet! 2018. 09. 30. 23

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés