Az informatikai biztonsági kockázatok elemzése

Hasonló dokumentumok

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

ROBOTHADVISELÉS S 2010

Az információbiztonság egy lehetséges taxonómiája

A BANKBIZTONSÁG VIZSGÁLATA KOCKÁZATELEMZÉSSEL

A CRAMM módszer alkalmazásának kiterjesztése

Muha Lajos. Az információbiztonsági törvény értelmezése

Elemzési módszerek. Egyes módszerek ágazat-specifikusak, mások teljesen általánosan használatosak. A leggyakoribb veszélyelemző módszerek:

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

Az ISO es tanúsításunk tapasztalatai

Kockázatkezelés az egészségügyben

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

BIZTONSÁGI AUDIT. 13. óra

Szabványok, ajánlások

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Berényi Vilmos vegyész, analitikai kémiai szakmérnök, akkreditált EOQ-minőségügyi rendszermenedzser, regisztrált vezető felülvizsgáló

A KOCKÁZATKEZELÉSI MÓDSZEREK A NATO-BAN

Tantárgyi kommunikációs dosszié

A vállalkozás működési környezete és a kockázatok dilemmái

Tantárgyi kommunikációs dosszié

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

Fókuszban az információbiztonság

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

XXVII. Magyar Minőség Hét Konferencia

A kockázatelemzés menete

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Bevezetés az Informatikai biztonsághoz

Az informatikai biztonság irányításának követelményrendszere (IBIK)

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

ISO/DIS MILYEN VÁLTOZÁSOKRA SZÁMÍTHATUNK?

AZ INFORMATIKAI RENDSZEREK BIZTONSÁGÁNAK EGY SAJÁTOS RÉSZTERÜLETE

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

SZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

A kockázat fogalma. A kockázat fogalma. Fejezetek a környezeti kockázatok menedzsmentjéből 2 Bezegh András

ISO A bevezetés néhány gyakorlati lépése

Kockázatkezelés és biztosítás 1. konzultáció 2. rész

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

A 9001:2015 a kockázatközpontú megközelítést követi

AZ INFORMATIKAI RENDSZEREK BIZTONSÁGA, A KOCKÁZAT MEGHATÁROZÁSA A BIZTONSÁG ÉS A KOCKÁZAT KAPCSOLATA SCHUTZBACH MÁRTONNÉ DR.

Termék- és tevékenység ellenőrzés tervezése

TUDUNK-E KOCKÁZATOT KEZELNI, SŐT CSÖKKENTENI?

Mi köze a minőséghez?

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

AZ INFORMATIKAI BIZTONSÁG

Megbízhatóság az informatikai rendszerekben

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELEM SZABÁLYOZÁSI KÉRDÉSEI A KÖZELMÚLTBAN 1

Technológia az adatszivárgás ellen

Dr. BALOGH ALBERT: MEGBÍZHATÓSÁGI ÉS KOCKÁZATKEZELÉSI SZAKKIFEJEZÉSEK FELÜLVIZSGÁLATÁNAK HELYZETE

Mi az adat? Az adat elemi ismeret. Az adatokból információkat

MŰSZAKI MEGBÍZHATÓSÁGÁNAK VIZSGÁLATI MÓDSZEREI EXAMINATION METHODS FOR EVALUATING RELIABILITY IN COMPLEX MILITARY RECONNAISSANCE SYSTEMS.

IT KOCKÁZATOK, ELEMZÉSÜK, KEZELÉSÜK

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

IT biztonság és szerepe az információbiztonság területén

A bemeneti feszültség 10 V és 20 V között van. 1. ábra A fuzzy tagsági függvény

Az Informatikai Biztonsági Irányítási Rendszer

Nemzetközi jogszabályi háttér I.

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

FMEA tréning OKTATÁSI SEGÉDLET

Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében

S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN. Structured Systems Analysis and Design Method

Miskolci Egyetem Kémiai Intézet. Kockázatbecslés TANTÁRGYI KOMMUNIKÁCIÓS DOSSZIÉ

1. tétel. Valószínűségszámítás vizsga Frissült: január 19. Valószínűségi mező, véletlen tömegjelenség.

Informatikai biztonsági ellenőrzés

Muha Lajos A MAGYAR KÖZTÁRSASÁG KRITIKUS INFORMÁCIÓS INFRASTRUKTÚRÁINAK VÉDELME

KÖLTSÉG-HASZON ELEMZÉS A PROGRAMOZÁSI IDŐSZAKBAN

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

A felhő, ha két lábbal a Földön állva nézzük Pávlicz György

Modellezés és szimuláció a tervezésben

TANULMÁNY. Az informatikai biztonság helyzete, biztonsági stratégia kialakítása és megvalósítása. Témakör: Információs Társadalom BUDAPEST 2002.

A kockázatelemzés alapjai

KOCKÁZATFELMÉRÉSI ÉS -KEZELÉSI SZABÁLYZAT

Működésbiztonsági veszélyelemzés (Hazard and Operability Studies, HAZOP) MSZ

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Biztonságtudomány Dr. Csutorás, Gábor

A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése

A felhőszolgáltatások biztonságáról: követelményekről, megoldási eszközökről

Polgár Város Önkormányzata és Intézményei évi belső ellenőrzési tervét megalapozó kockázatelemzése

Alkalmazási eredmények és piaci igények áttekintése

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

Kockázatmenedzsment

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Példa a report dokumentumosztály használatára

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Polgár Város Önkormányzata és Intézményei évi belső ellenőrzési tervét megalapozó kockázatelemzése

A CIVIL KOCKÁZAT-ELEMZÉSI MÓDSZEREK LEHETŐSÉGEI A KATONAI MŰVELETEK KÖRNYEZETI HATÁSÉRTÉKELÉSE SORÁN

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

A betegbiztonság növelése humán diagnosztikai laboratóriumban

AZ INFORMATIKAI BIZTONSÁG EGY LEHETSÉGES RENDSZERTANA 1. Bevezetés MUHA LAJOS

A BIZTONSÁGINTEGRITÁS ÉS A BIZTONSÁGORIENTÁLT ALKALMAZÁSI FELTÉTELEK TELJESÍTÉSE A VASÚTI BIZTOSÍTÓBERENDEZÉSEK TERVEZÉSE ÉS LÉTREHOZÁSA SORÁN

NKE Katasztrófavédelmi Intézet Iparbiztonsági Tanszék

KÖRNYEZETI KOCKÁZAT ELEMZŐ MÓDSZEREK ALKALMAZÁSA

INFORMATIKAI BIZTONSÁG ALAPJAI

Dr. Muha Lajos. Az L. törvény és következményei

menedzsment Kovács Norbert SZE, Gazdálkodástudományi Tanszék

Orvosi eszközök gyártmányfejlesztése Kockázatirányítás

Átírás:

ROBOTHADVISELÉS S 2009 Az informatikai biztonsági kockázatok elemzése Muha Lajos PhD, CISM főiskolai tanár, mb. tanszékvezet kvezető ZMNE BJKMK IHI Informatikai Tanszék 1

Az informatikai biztonság Az informatikai rendszer olyan az érintett számára kielégítő mértékű állapota, amelyben annak védelme az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.

A kockázattal arányos védelemv Egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezzel a kockázat a védő számára még elviselhető, vagy annál kisebb.

Kockázat? Negatív hatású esemény bekövetkezésének valószínűsége Az esemény által kiváltott kár nagysága 4

Kockázat Általános közgazdaságtani megfogalmazásban a kockázat mérhető valószínűsége az értékvesztésnek, vagy elmaradt haszonnak. Egy másik megfogalmazás szerint veszteség, vagy kár valószínűsége különösképpen pénzeszköz, ill. vagyon vonatkozásában. CARISMA 5

Valósz színűségszámítás A kockázat (rizikó, riszk mint reszkíroz) matematikai értelmezése a következő: ahol R = W K, W a bekövetkezés valószínűsége, K pedig a következmény súlyossága. Marx György 6

r MeH ITB 12. p d t t t T Ahol r: a rendszer biztonsági kockázata [pl.: Ft/év], T:a releváns fenyegetések halmaza, p t : egy adott fenyegetés bekövetkezésének valószínűsége (gyakorisága) [pl.: 1/év], d t : egy adott fenyegetés bekövetkezéséből származó kár [pl.: Ft]. 7

A kockázatelemz zatelemzés s fajtái Minőségi csak a kockázat nagyságrendjét mutatja (elviselhető-nem elviselhető, alacsony-közepes-magas, 0..10) Mennyiségi konkrét érték 8

A minőségi KE előnyei Lehetővé teszi a kockázatok prioritás szerinti rendezését; Egyszerű(bb) és olcsó(bb) kockázatelemzés. 9

A minőségi KE hátrh trányai Hiányzik a következmények számszerű meghatározása; Az eredmények elnagyoltak. 10

A mennyiségi KE előnyei Lehetővé teszi a következmények számszerű meghatározását és ezzel költség-haszonelemzést; A kockázat pontos értékét adja. 11

A mennyiségi KE hátrh trányai Az eredmények pontatlanok, sőt tévesek is lehetnek; Drága, nagy tudást, tapasztalatot és eszközöket igényel. 12

Minőségi kockázatelemz zatelemzés Preliminary Rik/Hazard Analysis (PRA/PHA): minőségi kockázat/veszély elemzés; Hazard and Operability Studies (HAZOP): Brit ipari módszer a lehetséges veszélyek és működési problémák felderítésére. 13

Minőségi kockázatelemz zatelemzés Failure Mode and Effects Analysis (FMEA), Failure Mode and Effects Criticality Analysis (FMECA): USA katonai módszer egy rendszer fő hibaforrásainak azonosítására, így a fegyverzet megbízhatóságának meghatározására. Ma is használatos pl. az űrkutatásban és az autógyártásban. E használható. 14

Fastruktúra ra Fault Tree Analysis (FTA): Bináris logikán alapuló deduktívmódszer. A hibás állapothoz vezető hibakomponensek logikai összefüggései. 15

FTA Illegálisan pénzt emeltek le a hitelkártyáról Megszerezték a PIN kódot Megszerezték a hitelkártyát 16

Fastruktúra ra Event-tree Analysis (ETA): Bináris logikán alapuló induktív módszer, melyben egy esemény vagy megtörténik, vagy nem. Egy nem kívánt esemény következményeinek felmérésnél használható. 17

A bekövetkez vetkezés s gyakorisága ga Egy egyszeri véletlen eseménnyel kapcsolatban a tudomány nem tehet többet, mint hogy megállapítja annak véletlen jellegét. Rényi Alfréd: Valószínűségszámítás 18

Módszerek COBRA = Consultative, Objective & Bifunctional Risk Analysis CORA = Cost-of-Risk Analysis RiskPAC ASSSET = Automated Security Self- Evaluation Tool 19

Módszerek CRAMM = CCTA Risk Analysis and Management Methodology (CCTA = Central Computer and Telecommunications Agency, ma OGC Office of Government Commerce) Minőségi kockázatelemzési módszertan (MeH ITB 8. => KIB 25. 1-3. IBIV) 20

CRAMM 21

CRAMM Express Expert NATO (The NATO version of CRAMM is only available by special arrangement with the NATO Office of Security!) Siemens (http://www.cramm.com/) 22

Módszerek NIST = National Institute of Standards and Technology) NIST Special Publication 800-30, Risk Management Guide. 2001 Minőségi kockázatbecslési módszertan (KIB 25. 1-3. IBIV) 23

Köszönöm a figyelmet! Muha Lajos PhD, CISM főiskolai tanár, mb. tanszékvezet kvezető ZMNE BJKMK IHI Informatikai Tanszék muha.lajos@zmne.hu 24