AZ INFORMATIKAI RENDSZEREK BIZTONSÁGA, A KOCKÁZAT MEGHATÁROZÁSA A BIZTONSÁG ÉS A KOCKÁZAT KAPCSOLATA SCHUTZBACH MÁRTONNÉ DR.



Hasonló dokumentumok
A minőség és a kockázat alapú gondolkodás kapcsolata

Hidak építése a minőségügy és az egészségügy között

Mérési hibák

Intelligens irányítások

Diverzifikáció Markowitz-modell MAD modell CAPM modell 2017/ Szegedi Tudományegyetem Informatikai Intézet

KOVÁCS BÉLA, MATEMATIKA I.

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

I. BESZÁLLÍTÓI TELJESÍTMÉNYEK ÉRTÉKELÉSE

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

VALÓSZÍNŰSÉG, STATISZTIKA TANÍTÁSA

Számítógépes döntéstámogatás. Genetikus algoritmusok

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Matematika III. 2. Eseményalgebra Prof. Dr. Závoti, József

1. tétel. Valószínűségszámítás vizsga Frissült: január 19. Valószínűségi mező, véletlen tömegjelenség.

Példa a report dokumentumosztály használatára

1. előadás. Lineáris algebra numerikus módszerei. Hibaszámítás Számábrázolás Kerekítés, levágás Klasszikus hibaanalízis Abszolút hiba Relatív hiba

ÉMI-TÜV SÜD Kft. Kockázatok és dilemmák az új ISO EN 9001:2015 szabvány szellemében

Gépi tanulás és Mintafelismerés

Algoritmusok Tervezése. 6. Előadás Algoritmusok 101 Dr. Bécsi Tamás

Az informatikai biztonsági kockázatok elemzése

7. gyakorlat. Lineáris algebrai egyenletrendszerek megoldhatósága

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

Matematikai alapok és valószínőségszámítás. Valószínőségszámítási alapok

Autóipari beágyazott rendszerek. Kockázatelemzés

Függvények növekedési korlátainak jellemzése

Döntéselmélet KOCKÁZAT ÉS BIZONYTALANSÁG

Matematikai alapok és valószínőségszámítás. Valószínőségi eloszlások Binomiális eloszlás

Mintavétel fogalmai STATISZTIKA, BIOMETRIA. Mintavételi hiba. Statisztikai adatgyűjtés. Nem véletlenen alapuló kiválasztás

JAVÍTÁSI-ÉRTÉKELÉSI ÚTMUTATÓ

1.1. Definíció. Azt mondjuk, hogy a oszója b-nek, vagy más szóval, b osztható a-val, ha létezik olyan x Z, hogy b = ax. Ennek jelölése a b.

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

A maximum likelihood becslésről

Geotechnikai projektmenedzsment az Eurocode 7 szerint. Szepesházi Róbert

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

Mérés és modellezés 1

Szá molá si feládáttí pusok á Ko zgázdásá gtán I. (BMEGT30A003) tá rgy zá rthelyi dolgozátá hoz

A PAKSI ATOMERŐMŰ TELEPHELYE FELETT ELHELYEZKEDŐ TILTOTT LÉGTÉR MÉRETÉNEK FELÜLVIZSGÁLATA

A Föld középpontja felé szabadon eső test sebessége növekszik, azaz, a

Keresztmetszet másodrendű nyomatékainak meghatározása

Függvények december 6. Határozza meg a következő határértékeket! 1. Feladat: x 0 7x 15 x ) = lim. Megoldás: lim. 2. Feladat: lim.

Matematika III. 4. A valószínűségi változó és jellemzői Prof. Dr. Závoti, József

Kockázatmenedzsment. dióhéjban Puskás László. Minőségügyi szakmérnök Magyar Minőség Társaság

Mérés és modellezés Méréstechnika VM, GM, MM 1

A pedagógiai kutatás metodológiai alapjai. Dr. Nyéki Lajos 2015

Statisztika I. 8. előadás. Előadó: Dr. Ertsey Imre

1. tétel. 1. Egy derékszögű háromszög egyik szöge 50, a szög melletti befogója 7 cm. Mekkora a háromszög átfogója? (4 pont)

Infobionika ROBOTIKA. X. Előadás. Robot manipulátorok II. Direkt és inverz kinematika. Készült a HEFOP P /1.0 projekt keretében

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

1. szemináriumi. feladatok. Ricardói modell Bevezetés

Mi az adat? Az adat elemi ismeret. Az adatokból információkat

A minőség gazdasági hatásai

Méréselmélet MI BSc 1

Brósch Zoltán (Debreceni Egyetem Kossuth Lajos Gyakorló Gimnáziuma) Logaritmus

FMEA tréning OKTATÁSI SEGÉDLET

Szimuláció RICHARD M. KARP és AVI WIGDERSON. (Készítette: Domoszlai László)

Függvények július 13. Határozza meg a következ határértékeket! 1. Feladat: x 0 7x 15 x ) = lim. x 7 x 15 x ) = (2 + 0) = lim.

Láthatósági kérdések

A Markowitz modell: kvadratikus programozás

Feladatok a logaritmus témaköréhez 11. osztály, középszint

Least Squares becslés

Gyakorló feladatok a 2. zh-ra MM hallgatók számára

Bevezetés az informatikába

Lineáris algebra numerikus módszerei

6. gyakorlat. Gelle Kitti. Csendes Tibor Somogyi Viktor. London András. jegyzetei alapján

KERESZTMETSZETI JELLEMZŐK

Matematikai alapok és valószínőségszámítás. Statisztikai becslés Statisztikák eloszlása

Eseményalgebra. Esemény: minden amirl a kísérlet elvégzése során eldönthet egyértelmen hogy a kísérlet során bekövetkezett-e vagy sem.

Szá molá si feládáttí pusok á Ko zgázdásá gtán I. (BMEGT30A003) tá rgy zá rthelyi dolgozátá hoz á 3. oktátá si he t tánányágá hoz kápcsolo do án

Osztályozóvizsga követelményei

Kvantitatív módszerek

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS

ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM. Schutzbach Mártonné. Az informatikai rendszerek biztonságának kockázatelemzése a védelmi szférában

6 Ionszelektív elektródok. elektródokat kiterjedten alkalmazzák a klinikai gyakorlatban: az automata analizátorokban

Matematikai geodéziai számítások 5.

7. gyakorlat. Lineáris algebrai egyenletrendszerek megoldhatósága

1 A SIKERES PROJEKT KOCKÁZATMENEDZ SMENT FŐ ELEMEI ÉS KULCSTÉNYEZŐI

BAGME11NNF Munkavédelmi mérnökasszisztens Galla Jánosné, 2011.

MÉRÉSI EREDMÉNYEK PONTOSSÁGA, A HIBASZÁMÍTÁS ELEMEI

Logaritmikus erősítő tanulmányozása

A Hisztogram használata a digitális képszerkesztésben

MIKROÖKONÓMIA II. B. Készítette: K hegyi Gergely. Szakmai felel s: K hegyi Gergely február

KUTATÁSMÓDSZERTAN 4. ELŐADÁS. A minta és mintavétel

Biomatematika 2 Orvosi biometria

A Markowitz modell: kvadratikus programozás

10.1. ANALÓG JELEK ILLESZTÉSE DIGITÁLIS ESZKÖZÖKHÖZ

6. Függvények. Legyen függvény és nem üreshalmaz. A függvényt az f K-ra való kiterjesztésének

Konvexitás, elaszticitás

Numerikus módszerek 1.

Matematikai modellezés

Területi statisztikai elemzések

I. HUMÁN TELJESÍTMÉNYEK ÉRTÉKELÉSE

Függvények Megoldások

Minőségmenedzsment (módszerek) BEDZSULA BÁLINT

Egész számok. pozitív egész számok: 1; 2; 3; 4;... negatív egész számok: 1; 2; 3; 4;...

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

Közgazdaságtan alapjai. Dr. Karajz Sándor Gazdaságelméleti Intézet

1. ábra: Magyarországi cégek megoszlása és kockázatossága 10-es Rating kategóriák szerint. Cégek megoszlása. Fizetésképtelenné válás valószínűsége

1. ábra. 24B-19 feladat

A kockázat fogalma. A kockázat fogalma. Fejezetek a környezeti kockázatok menedzsmentjéből 2 Bezegh András

Átírás:

SCHUTZBACH MÁRTONNÉ DR. JOHAN ERZSÉBET AZ INFORMATIKAI RENDSZEREK BIZTONSÁGA, A KOCKÁZAT MEGHATÁROZÁSA Zérus kockázat nem létezik. Kemény János 1 Technikai rendszerekben nem létezik tökéletes biztonság, a 100%-os álomhatár csak nagy ráfordítással közelíthető meg. 2 Így előtérbe kerül a kockázatelemzés, amelynek alapvető célja olyan objektív információk szolgáltatása, amelyek segítségével lehetőség van a kockázatok elfogadására vagy csökkentésére, a rendkívüli vagy katasztrofális események elkerülésére. Az ellenőrzések során feltárt hiányosságok képezik azon védelmi intézkedések alapját, amelyek biztosítják, hogy minimális legyen a védelmi képességek kívánt és valós szintje közötti különbség. A kockázatok meghatározása elősegíti az egyenszilárdságú védelem kialakítását is. A cikkben az informatikai rendszerek biztonságával, a biztonság és a kockázat kapcsolatával, a kockázat matematikai és gyakorlati megközelítésével, a kockázat kiszámításának különböző lehetőségeivel foglalkozom. A BIZTONSÁG ÉS A KOCKÁZAT KAPCSOLATA A biztonság fogalma pozitív oldalról közelíti meg az informatikai rendszer kívánt állapotát, a kockázat a rendszert fenyegető tényezőkről ad információt. Célszerű, ha az informatikai biztonságot a kockázat függvényében definiáljuk. (1. sz. ábra) Eszerint egy rendszer biztonságos, ha minden esemény vagy fenyegető tényező kockázata kisebb egy előre meghatározott határ-kockázatnál. A határkockázat a legnagyobb, még megengedhető kockázat, átlépve ezt a határt a már nem biztonságos területre érünk. 1 Kemény János (1926 1992) matematikus, a BASIC programozási nyelv kifejlesztője. 2 1987-ben Charles Perrow (Professor of Sociology Emeritus at the University of Yale) gyakorlati események elemzésével és elméleti úton is kimutatta, hogy a magasan fejlett technológiai rendszerekben nem létezik abszolút biztonság. 140

VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY 1. sz. ábra. Informatikai biztonság a kockázat függvényében A kockázatelemzés során meg kell határozni a rendszer határ-kockázatát (K h ), valamint a fenyegető tényezők kockázatát (K i ) K i K h (i =1,2,,n) (1) Amennyiben a kockázatot a fenyegető tényezők bekövetkezési valószínűségének (P i ) és a kár nagyságának S i szorzataként számítjuk ki, akkor felírható a következő összefüggés: P i S i P h S h (i =1,2,,n) (2) Az informatikai biztonsági kockázatelemzés során a kockázat kvantitatív vagy kvalitatív módon határozható meg. A kvantitatív kockázatelemzés a lehetséges informatikai kockázatok számszerűsítése. Az előre megadott kockázati skálán való értelmezés és ábrázolás szemléletesebbé teszi az informatikai rendszerben történő változtatások, javítások szükségességét. A kvalitatív kockázatelemzés során nem valószínűségeket, biztonsági mérőszámokat állapítanak meg, hanem súlyossági és kockázati szinteknek egy fogalmi meghatározását adják. A KOCKÁZAT MÉRTÉKÉNEK MATEMATIKAI DEFINÍCIÓJA A kockázat kiszámításához a független fenyegető tényezők közel teljes körű feltárásával lehet eljutni. A közel teljes körű feltárás azt jelenti, hogy a fenye- 141

gető tényezők halmaza általában nem fedi le a teljes eseményteret, de arra kell törekedni, hogy ezeket a tényezőket mind teljesebben írjuk le. A teljes valószínűség tételét alkalmazva kapjuk a kockázat becslését: P =P(A 1 )P(K A 1 )+P(A 2 )P(K A 2 )+ +P(A n )P(K A n ) = n i= 1 P( A ) P( K A ) i i (3) ahol: P(A i ) 0 ; i N + ; P a kockázat valószínűsége; P(A i ) az i. fenyegető tényező bekövetkezésének a valószínűsége; P(K A i ) az i. fenyegető tényező bekövetkezésekor keletkező kár feltételes valószínűsége. A kockázat ilyen módon való meghatározásának nagy előnye a szilárd elméleti alap és a jól definiált fogalmak, de a gyakorlatban több probléma is felmerülhet: a teljes eseményrendszer megadásának a nehézsége; a képletben szereplő valószínűségek meghatározásához nem áll rendelkezésre elég statisztikai, tapasztalati érték; sok valószínűséget kell meghatározni és megadni; valamilyen változás esetén az értékeket újra meg kell határozni; a keletkezett károk becslése is problémát jelenthet. Egy informatikai rendszerben elsődleges, másodlagos 3 stb. kárról is beszélnünk kell. Tehát fel kell tárni az áttételes hatásokat, meg kell becsülni az elsődleges, másodlagos, n-edleges károk nagyságát. GYAKORLATI MEGVALÓSÍTÁS A matematikai definíció után meg kell vizsgálni a megvalósítási lehetőségeket. Az egyes esetek pozitívumait és negatívumait vizsgálva megtalálható az adott helyzetben alkalmazható megoldás. 1. A kockázatot meghatározhatjuk a kárérték, pl. forintban kifejezett és a kár előfordulási valószínűségének, pl. 1/év formában meghatározott értékének a szorzataként. A kár- és a valószínűség-értékekre a gyakorlatban többnyire még nagyságrendi becslést is nehezen lehet adni, mert kevés a rendelkezésre álló statisztikai adat, másrészt a kárértéket sokszor nagyon nehéz vagy esetleg lehetetlen pénzben mérni. 3 Elsődleges kár lehet pl. a winchester meghibásodása, másodlagos kár a tárolón lévő adatok elvesztése, harmadlagos kár esetleg a jó hírnévben vagy üzletmenetben esett kár. 142

VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY 2. Amennyiben a konkrét forint összeg és az évenkénti gyakoriság nehezen határozható meg, akkor a kár nagyságrendjét vagy a gyakoriságát sorrendivagy intervallumskálán is becsülhetjük. Így a kockázat a kár és a gyakorisági nagyságrend szorzata. Ennél a módszernél a nagyságrendek durva szubjektív becslése okozhat problémát, amelyet esetleg kis számú megfigyelés alapján, néhány személy szempontjait figyelembe véve teszünk. 3. A kockázat kiszámításánál nem a szorzás az egyetlen alkalmazható művelet. Előfordulhat, hogy a kockázatot a két alaptényezőnek a kár és a gyakoriság nagyságrendje nem a szorzataként, hanem más művelettel vagy műveletekkel számítjuk ki. A károkhoz és a gyakoriságokhoz skálaértékeket rendelünk, ezért a kárérték és a gyakoriság skálaértékének az összege fejezi ki a kockázatot. Ezt az elképzelést a kockázati mátrix elkészítésének szabálya támasztja alá, a mátrix celláiba kerülő értékek meghatározott szabálybázis alapján tölthetők ki. Ez a szabálybázis sugallja, hogy a kockázatot a megfelelő skálaértékek összege adja. Az informatikai rendszerek biztonságának kockázatelemzésénél is használható a projekt sikerének előzetes kockázatelemzésénél alkalmazott kockázat kiszámítási módszer, amely szerint: kockázat = a gyakoriság skálaértéke + a kárérték skálaértékének kétszerese. 4. A német nyelvű szakirodalomban 4 olvasható a következő számítási mód: K = (C 1 + C 2 + C 3 + C 4 + C 5 ) W P (4) Ahol: K: kockázat; C 1 : az eredeti állapot helyreállításának költsége; C 2 : a rendelkezésre-állás költsége; C 3 : a követelmények összehangolásának költsége; C 4 : az információ kiáramlás költsége; C 5 : a büntetetések vagy biztosítások költsége; W: súlyosság, nem anyagi érték, pl. a jó hír elvesztése; P: a kár bekövetkezésének valószínűsége. 5. A veszélynek való kitettség időtartamának figyelembevétele a kockázat számításánál. Az informatikai rendszerekben a kockázat meghatározásához más területek kockázatszámítási módszerei is felhasználhatók, vagy hasznos tapasztalatok szerezhetők a már meglevő egyéb területek kockázatszámítási módszereinek tanulmányozásával. Az egészségügyben például a káros hatások kockázatának számításánál elengedhetetlen, hogy a hatásnak való kitettséget is figyelembe vegyék. Az 4 http://agn-www.informatik.uni-hamburg.de/papers/doc/diparb_michaelsen.pdf. 143

informatikai rendszerek kockázatelemzésénél kevésbé gondolunk erre a tényezőre, pedig pl. az internethez való csatlakozás időtartama növeli a számítógépes rendszerek biztonsági kockázatát. Ezen tényező figyelembe vételével a kockázatot a kár súlyosságának, bekövetkezési valószínűségének és a veszélynek való kitettség időtartamának szorzataként határozhatjuk meg. Itt kell megemlíteni a honeypot megfigyelő eszközt, amit magyarul mézesbödönnek fordíthatnánk. A mézesbödön egy speciális, látszólag védtelen szerver és adatbázis, amely valójában a behatolásokat rögzíti és analizálja. A honeypot számítógépeket felkínálják a betörésre, s naplózzák a történteket. A honeypot segítségével a támadás korán felismerhető, hatástalanítható, ismeretek szerezhetők a betörő tevékenységéről, a hálózatot ért támadások gyakoriságáról. Így ez segítséget ad abban, hogy az egyes részterületek kockázatszámításánál a támadások gyakoriságát jobb megközelítéssel adjuk meg. 6. Biztosítási kockázat. Az informatikai biztonság következő megközelítése elsődlegesen pénzügyi szemléletet tükröz. Descartes-féle koordinátarendszerben ábrázoljuk a biztonsági szintet a ráfordítás függvényében (2. sz. ábra). Nagyobb biztonság egyre nagyobb ráfordítással érhető el. 2. sz. ábra. A biztonsági szint a ráfordítás függvényében Az értékelendő biztonsági szintekhez meg kell határozni, hogy az adott helyzetben a biztonsági hiányosságok miatt mekkora a kockázatnak kitett érték. Ha az előbbi, azaz egy koordinátarendszerben ábrázoljuk ezeket az értékeket, akkor meghatározható az a biztonsági szint, ahol optimális a kockázati érték és a biztonsági kiadás. A vízszintes tengelyen a ráfordítás és a kockázati érték forintban kifejezett értékét, a függőleges tengelyen a biztonsági szintet %-ban ábrázoljuk 144

VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY (3. sz. ábra). Keressük azt a biztonsági szintet, ahol a kockázat és a biztonsági kiadások összege minimális (A pont). 3. sz. ábra. Optimális kockázati érték és biztonsági kiadás a görbék metszéspontjában A minimális kockázati érték és a biztonsági kiadás nem feltétlen a görbék metszéspontjában van, hanem ott, ahol meredekségük ellentétes, azaz a ráfordítás egységnyi növekedése megegyezik a kockázati érték egységnyi csökkenésével (4. sz. ábra). A B pont az a biztonsági szint, ahol a kockázat és a biztonsági kiadások összege minimális. 4. sz. ábra. Optimális kockázati érték és biztonsági kiadás a görbék meredekségéből következtetve 145

A módszer gyenge pontja a kockázati érték meghatározása, de nagyon jól használható, ha a kockázati érték könnyen összegezhető. 7. Fuzzy logika alkalmazása a kockázatok meghatározásánál A gyakorlati életben használatos kockázatelemzési módszerek, módszertanok nehezen alkalmazhatók a homályosan megfogalmazott, nem strukturált problémák elemzésére. Ha a problématerület nem körvonalazott eléggé pontosan, nehéz azonosítani, felismerni és formálisan megfogalmazni, ott segédeszközként alkalmazható a Fuzzy logika. Egy fuzzy algoritmus felépítése: Számszerű bemenő értékek Ha akkor Ha akkor Ha akkor Fuzzyfikálás Számszerű kimenő értékek Fuzzy input Fuzzy szabályok Fuzzy output defuzzyfikálás Fuzzyfikálás: a bemeneti értéket fuzzy értékre alakítja át, tehát meghatározzuk a bemenő paraméterek tagsági fokát. Következtetés: A szabályrendszer feladata, hogy alkalmazza a szabálybázisban leírt szabályokat és létrehozza a kimeneti fuzzy típusú értékeket. Összeépítés: Az egyes kimenetek esetében egy halmazba öszsze kell fogni az összes szabályt, mely hat rá. Defuzzyfikálás: A kapott matematikai eredményt vissza kell a- lakítani számértékké. A fuzzy logikával támogatott kockázatelemzésnél első lépésként a szabálybázist és a hozzá kapcsolódó fogalmakat és kategóriákat kell definiálni, ez a kockázati mátrix, valamint a súlyossági és valószínűségi fogalmak meghatározását jelenti. 5. sz. ábra. Fuzzy algoritmus 146

VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY A szabálybázis meghatározása a kockázati mátrix felírásával: Előfordulási valószínűségek A kár súlyossága gyakori valószínű eseti ritka nem valószínű katasztrofális nagyon magas nagyon magas magas magas közepes kritikus nagyon magas magas magas közepes alacsony csekély magas közepes közepes alacsony alacsony elhanyagolható közepes alacsony alacsony alacsony alacsony A kár súlyossági kategóriáinak tagsági függvényei: µ(x) 1 Jelölések: elhanyagolható: csekély: 1 2 3 4 5 6 7 8 9 10 x kritikus: katasztrofális: 6. sz. ábra. A súlyossági kategóriák tagsági függvényei (A kár súlyosságát [0;10] skálán vettem fel) Az előfordulási valószínűség kategóriák tagsági függvényei: µ(x) Jelölések: nem valószínű: 0 0,0001 0,001 0,01 0,1 0,2 1 x ritka: eseti: valószínű: gyakori: 7. sz. ábra. A valószínűségi kategóriák tagsági függvényei (A valószínűség kategóriái a [0;1] skálán) 147

µ(x) 1 0,001 0,005 0,007 x 8. sz. ábra. A valószínűségi kategóriák tagsági függvényei, a 7. sz. ábra egy részének nagyítása Kockázati kategóriák: µ(x) 1 Jelölések: alacsony: közepes: magas: nagyon magas: 1 2 3 4 5 6 7 8 9 10 x 9. ábra. A kockázati kategóriák tagsági függvényei (A kockázat kategóriáit [0;10] skálán vettem fel) A konkrét megoldásnál a kockázati kategóriák tagsági függvényei ábrába berajzolható az összeépítés eredménye. 148 10. sz. ábra. Az összeépítés eredménye

VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY Defuzzyfikálás: Többféle defuzzyfikáló eljárás használatos, amelyek numerikus értéket rendelnek a végeredmény fuzzy halmazához. A különböző eljárások másmás eredményt hozhatnak ki, de a tagsági függvények formájának megváltoztatása kompenzálni tudja a defuzzyfikáció eltéréseit. A fuzzy elmélet alkalmazásának előnyei a kockázatelemzésnél: lehetőség van a számszerű eredmények további felhasználására; a rendszer egyszerű felépítésű, a szabálybázis felépítése könnyen érthető; precíz és pontatlanul definiált adatokat egyaránt tud kezelni; szemléletmódja közel áll az ember napi valóság-szemléletéhez. Hátránya, hogy elméletileg nem eléggé megalapozott. 8. Egyedi jelenségek kockázata: A valószínűség fogalmát a következőképpen adjuk meg: Ha n kísérletből az A esemény pontosan k-szor következik be, akkor a hányadost az A esemény relatív gyakoriságának nevezzük. Vannak olyan véletlen események, amelyeknél a relatív gyakoriság stabilitást mutat. Azt a számot, amely körül egy esemény relatív gyakorisága ingadozik, az illető esemény valószínűségének nevezzük. A valószínűségnek a relatív gyakoriságot felhasználó definíciójából következik, hogy a kis valószínűséggel várható, de igen súlyos következményű esetek kockázatának meghatározásával külön kell foglalkoznunk, mivel a szokásos számítási módszernél (kockázat = kár gyakoriság) az e- gyik tényező a 0-hoz tart, a másik tényező pedig nagyon nagy is lehet. Az egyedi jelenségek kockázatának meghatározásánál más problémák is felvetődnek: általában a ritka események gyakorisága, nehezen becsülhető. Például a nukleáris balesetek bekövetkezésének valószínűsége 10-3 -10-6. Tehát 10 3-10 6 üzemév alatt várható egy baleset bekövetkezése. A megtörtént több száz eset azonban nem ezt a számítást igazolja; a kár nagyságát is nehéz számszerűsíteni, mivel vagy nem rendelkezünk elég adattal vagy az adatok nem elég megbízhatók. A kár nagyságával kapcsolatos elemi események nem függetlenek, nem rendszeresen jelentkeznek, az események egyidejű bekövetkezése azok hatását jelentősen megnövelheti; esetleg be kell vezetni az érzékelt kockázat fogalmát is, ami azt jelenti, hogy a társadalom mekkora kockázatot, veszélyt érez egy-egy esemény mögött. Az érzékelt kockázat nagymértékben eltérhet a számított kockázattól, a kockázat szubjektív érzete nem csökken a gyakorisággal arányosan. A nukleáris baleset példájánál maradva egy atomerőműi balesetet nem érzünk századannyira kevésbé veszélyes- 149

nek attól, hogy valamilyen biztonsági szigorítás által a baleset százszor ritkább lett; 5 a problémák kiküszöbölésére alkalmazzák a valószínűségi biztonságelemzést 6, ahol a rendszerek tervezésének alapja egy teljes negatív esemény valószínűségének becslése, figyelembe véve a betervezett valamennyi védelem egyidejű megsérülésének lehetőségét is. ÖSSZEFOGLALÁS Egy cikk keretén belül nem lehet kimerítően tárgyalni a kockázat meghatározásának témakörét. Célom annak az illusztrálása volt, hogy az informatikai rendszerek biztonságának kockázatelemzése során a kockázat meghatározásának többféle lehetősége van, más szakterületek kockázatszámítási módja is alkalmazható, figyelembe véve az informatikai rendszer sajátosságait. A munkámat azzal a nagyon gyakran megfogalmazott gondolattal szeretném zárni, ami az egész cikket is végig kíséri, hogy nincs teljes biztonság, csak tudatos kockázatvállalás. FELHASZNÁLT IRODALOM http://agn-www.informatik.uni-hamburg.de/papers/doc/diparb_michaelsen.pdf. POKORÁDI LÁSZLÓ: Döntés előkészítési módszerek a repülőgépek üzemeltetésében. Habilitációs tézisek, 2002. http://infosrv.tech.klte.hu/~pokoradi/tezis_fuzet.pdf. RÉNYI ALFRÉD: Valószínűségszámítás. Tankönyvkiadó, Budapest, 1968. Reaktorta. Nukleáris erőművek és környezetünk. http://www.energiaklub.hu/doc/kiadvanyok/14.pdf. SCHUTZBACH MÁRTONNÉ: Az informatikai rendszerek biztonságának kockázatelemzése a védelmi szférában. PhD értekezés, 2004. 5 Fechner-Weber-féle pszichofizikai törvény: az inger által kiváltott szubjektív érzet mértéke az inger fizikai mértékének logaritmusával arányos. 6 Probabilistic Safety Assessment PSA. 150

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés