IT biztonság 214/215 tanév A kockázatelemzés alapjai 1 A kockázatelemzés alapjai Botos Zsolt vezető tanácsadó, CGEIT, CRISC Security.hu Kft. zsolt.botos@security.hu www.security.hu 2 1
Bemutatkozás Információbiztonsági megoldások már 12 éve Szolgáltatások, megoldások Tanácsadói szolgáltatások Üzleti folyamat alapú megoldások Technológiai védelmi megoldások PKI megoldások Támogatás Oktatás Botos Zsolt ügyvezető, vezető tanácsadó, CGEIT, CRISC zsolt.botos@security.hu www.securitiy.hu Auditok, vizsgálatok Üzleti folyamat alapú vizsgálatok Technológiai vizsgálatok Auditok 3 A kockázatelemzés célja Fő kérdések: Mi is az az információrendszer kockázatelemzés? Miért is szükséges kockázatelemzést végezni? 4 2
A kockázatelemzés célja A szervezetek működése az adatvagyonuktól, elsődlegesen ennek rendelkezésre állásától, másodlagosan bizalmasságától és sértetlenségétől függ. Az adatvagyont összetett, elosztott (diverzifikált) informatikai rendszereken kezelik és tárolják. Alapvetően e vagyonelemek felelnek a rendelkezésre állásért. Az üzletmenet, a működés és a bevétel teljes körűen függ ezektől a vagyonelemektől Rendszer 1 Rendszer 2 Rendszer 256, Ft, $ A B C A szervezetnek tudnia kell; melyik vagyonelem fontos, melyik kevésbé fontos és melyik létfontosságú! KOCKÁZATELEMZÉS 5 Koncepcionális megközelítés Folyamatok Vagyonelemek BP1 BP2 VE1 VE2 VE3 VE4 VE5 VEn Vagyonelemek kockázati értékei BP3 X X X BP4 X X BPn X Öröklődő kumulált kockázati értékek Folyamat vagyonelem függések 6 3
Koncepcionális megközelítés Folyamatok Vagyonelemek BP1 BP2 VE1 VE2 VE3 VE4 VE5 VEn BP3 X X X BP4 X X BPn Folyamat kárértékek X Folyamatokból származtatott kárértékek Folyamat vagyonelem függések 7 Koncepcionális megközelítés Folyamatok Folyamat vagyonelem függések Vagyonelemek VE1 VE2 VE3 VE4 VE5 VEn BP1 BP2 BP3 X X X BP4 X X BPn X Kumulált vagyonelem kárértékek Kumulált vagyonelem kockázati tömeg értékek 8 4
típusok Kvalitatív jellegű kockázatelemzés, üzleti hatáselemzés (BIA) főbb ismérvei Számszerűen nem mérhető minőségi ismérveken alapszik (ezért kvalitatív). Az informatikai rendszer üzletmenetre gyakorolt hatását csak minőségi jellemzők alapján veszi figyelembe. A szervezeti működést modelláló képessége erősen korlátozott. A kimenetei összetettebb szervezet és rendszer esetén kevéssé megbízhatók. Gyorsan, relatíve kevés erőforrás felhasználásával elvégezhető. 9 típusok Kvantitatív (QN) kockázatelemzés főbb ismérvei Számszerű mérhető minőségi ismérveken alapszik (ezért kvantitatív). Az informatikai rendszer üzletmenetre gyakorolt hatását elsődlegesen mennyiségi jellemzők alapján veszi figyelembe. A szubjektív jellemzők méréséhez elsődlegesen a szubjektív skálák módszerét alkalmazza. A szervezeti működést modelláló képessége kifejezetten erős. A kimenetei nagyobb összetett szervezet és rendszer esetén is megbízhatóak. Viszonylag sok erőforrást igényel. 1 5
Amiről most beszélünk Kvantitatív (QN) kockázatelemzés 11 Kvatitatív kockázatelemzés folyamata (Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 12 6
(Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése Folyamatfelmérés 13 Az elemzéshez Folyamatfelmérés mindenképp szükségesek Folyamattérkép A konkrét folyamatok grafikus modellben való ábrázolása Folyamatábrák Az egyes folyamatok grafikus folyamatábráinak felvétele Folyamatleírások Az egyes folyamatok narratív szöveges leírásai Folyamatmodell Elvi modell a folyamatok egymáshoz való viszonyának ábrázolásához Folyamatok azonosítása A szervezet konkrét üzleti-, működési folyamatainak azonosítása 14 7
Üzleti/működési folyamat vagyonelem osztályai Adatvagyon Az információ, strukturált adatvagyon formájában a folyamatok és egyben a teljes szervezet legfontosabb és legalapvetőbb erőforrásai. Az üzleti folyamatok egyik legfontosabb ki és bemeneti értékét adják. Informatikai rendszerek Eszközök, berendezések, szoftverek, hardverek és egyéb kiszolgáló berendezések működő, integrált rendszerei, amelyek az üzleti folyamatok technológiai hátterét biztosítják, azok működését támogatják. Ennek megfelelően az üzleti folyamatok függenek e háttér rendszereiktől, azok zavartalan működési képességétől. A szervezet fizikai elhelyezésre szolgáló telephelyek, épületekkel, az azokat kiszolgáló infrastrukturális elemeikkel és környezetükkel. Infrastruktúra Emberi erőforrások (HR) Üzleti/működési folyamat A munkatársak, akik telephelyeken az informatikai rendszerek segítségével az üzleti folyamatokat működtetik. 15 Elvi folyamatstruktúra Folyamat Alfolyamat Azonosító Folyamat név Azonosító Alfolyamat név BP 1 Főfolyamat 1 Azonosító BP 1-1 Alfolyamat 1-1 BP 1-2 Alfolyamat 1-2 BP 1-3 Alfolyamat 1-3 BP 1-4 Alfolyamat 1-4 BP 2 Főfolyamat 2 BP 2-1 Alfolyamat 2-1 BP 2-2 Alfolyamat 2-2 BP 2-3 Alfolyamat 2-3 BP 2-4 Alfolyamat 2-4 16 8
(Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése Vagyonelem azonosítás 17 Vagyonelemek azonosítása Alapvető vagyonelem osztályok Adat (D) Rendszer (IT) Munkaerő (HR) Infrastruktúra (I) 18 9
(Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamat-vagyonelem függőségek felmérése Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 19 Folyamat-vagyonelem függőségek modellezése Cél: annak felmérése, hogy az egyes folyamatok mely vagyonelemektől és milyen mértékben függenek. Vagyonelem folyamat függőség modellezésére a vagyonelem hatásindex-et hoztuk létre [%] Elsősorban a vagyonelem rendelkezésre állást modellezzük. Az egyes vagyonelemek teljes körű kiesésének hatása az általuk kiszolgált folyamatokra eltérő. Pl. az VE1 vagyonelem teljes körű kiesése esetén a folyamat zavartalanul, vagy minimális funkciókieséssel tovább működik, míg a VE2 vagyonelem teljes körű kiesése esetén súlyos, hosszú ideig tartó funkciózavart, pl. teljes leállást szenved el. Ezt a hatást a konvencionális vagyonelem-hatásindex-szel modellezzük. Értéke % és 1% közé eső számérték lehet a konvenció helyzet- és környezetfüggő értelmezése szerint. 2 1
Folyamat-vagyonelem függőségek feltérképezése Folyamat-vagyonelem relevancia mátrix VE1 VE2 VE3 VE4 VE5 VEn BP1 45% 75% BP2 BP3 5% 1% 25% 2% BP4 25% 1% 1% 25% BPn 15% 1% 21 Folyamat-vagyonelem mátrix példa (részlet) Folyamatok és vagyonelemek egymástól való függőségeinek felmérése 22 11
23 Fenyegetéskatalógus (Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) összeállítása Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése ELTE IT Biztonság 24Speci 24 12
Fenyegetéskatalógus Fenyegetés alapkatalógus elkészítése Fenyegetés alapkatalógus elkészítése a különféle fenyegetés osztályokban: Természeti eredetű fenyegetések N[x] Infrastrukturális eredetű fenyegetések I[x] Akaratlan humán eredetű hibák AHH[x] Akaratlan humán eredetű információsértések AHI[x] Informatikai eredetű hibák IH[x] Akaratlagos informatikai támadások AIT[x] Akaratlagos információsértések AIS[x] Akaratlagos egyéb támadások AET[x] Dokumentációk hiánya, nem megfelelősége D[x] Kompetenciák hiánya, nem megfelelősége K[x] Életciklus kezelés hiánya, nem megfelelősége E[x] Szolgáltatás kiszervezés, kihelyezés fenyegetései KI[x] 25 Védelmi intézkedés katalógus (Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Védelmi intézkedés katalógus összeállítása Kockázatkezelési terv készítése 26 13
Védelmi intézkedés katalógus A védelmi intézkedés katalógus az adott fenyegetésre vonatkozóan: alkalmazható védelmi intézkedések katalógusa, fenyegetésosztályonként tagolva, fenyegetésenkénti relevanciákkal, általános értelmezésben 27 Védelmi intézkedés katalógus Védelmi intézkedés katalógus példa (részlet) Egyedi Érettség Védelmi intézkedés megnevezése Védelmi intézkedés azonosító érettségi (-5) SF1 Tűzvédelmi rendszer 5 szintje (pl. COBIT alapján) SF19.. 4 SF2 Redundáns tápellátás 5 SF21 Átmeneti szünetmentes tápellátás (UPS, generátor) 5 SF22 Redundáns belső hálózat a megfelelő helyeken 4 SF23 Külső szállító rendelkezésre állása (SLA) 4 SF24 Túláram és impulzusok elleni védelem a megfelelő helyeken 5 SF25 Redundáns szolgáltató rendelkezésre tartása (BCP) 4 SF26 Átterhelési terv mobil kommunikációra (BCP) 3 SF27 Redundáns tartalék szolgáltató rendelkezésre tartása 4 SF28 DRP megléte és megfelelősége 4 SF29 Tartalék infrastruktúra rendelkezésre tartása 5 SF3 Infrastruktúra pótlása 5 SF31 Készenléti szolgáltatás rendelkezésre tartása (SLA) 5 SF32 Négyszem elv 4 SF33 Jogosultságok szükséges minimális szinten tartása 3 SF34 Szükséges, minimális kikényszerített eljárások alkalmazása 4 SF35 Rendszeres és ellenőrzött mentések 5 SF36 Szerepkörök szétválasztása 4 SF37 Naplógyűjtési és elemzési rendszer megléte és megfelelősége 3 SF45 Határvédelem megléte és megfelelő kialakítása 4 SF98 4 SF99 Hibavisszacsatolási folyamatok tartalmi elemei megfelelőségének rendszeres ellenőrzése 4 28 14
Fenyegetéskatalógus Konvencionális értékmátrixok (Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Konvencionális Kockázatkezelési terv készítése értékmátrixok létrehozása 29 Fenyegetéskatalógus Konvencionális értékmátrixok Konvencionális értékmátrixok: Bekövetkezési valószínűség (BV) Károkozási képesség (KK) Vagyonelem hatásindex Vagyonelem maradványkockázati tömeg szerinti besorolás Vagyonelemek üzleti érték szerinti kockázati besorolás Védelmi intézkedés hatékonyság Vagyonelem abszolút kockázati besorolása stb 3 15
Fenyegetéskatalógus Konvencionális értékmátrixok Bekövetkezési valószínűség és károkozási képesség konvenciómátrix példák Bekövetkezési valószínűség érték - BV Bekövetkezési valószínűség P P értelmezés Frekvencia értelmezés Nem valószínű Lehetetlen esemény bekövetkezés 1 évente egyszer bekövetkező esemény Kismértékben valószínű 1 kisebb mint,5 1 évente egyszer bekövetkező esemény Valószínű 2 nagyobb, mint,7 Évente legalább egyszer bekövetkező esemény Erősen valószínű 3 1 Biztos esemény bekövetkezés Évente 1-nél többször bekövetkező esemény Károkozási képesség (KK) konvenció mátrix B S R A vagyonelem teljes funkcionalitással, tartalommal bizalmassága vagyonelem Nincs károkozási képesség A vagyonelem nem szenved kárt A nem sérül rendelkezésre áll A vagyonelem kevesebb, mint 2%-a kerül felfedésre A vagyonelem és/vagy adat kevesebb, mint 2-a sérül, Enyhe károkozási képesség 1 és/vagy alacsony bizalmassági adatok felfedésre elvész, vagy megsemmisül kerülnek A vagyonelem funkcionalitásának 2%-nál kisebb része nem áll rendelkezésre Közepes károkozási képesség 2 A vagyonelem több, mint 21-5%-a felfedésre kerül és/vagy közepes bizalmassági szintű adatok tömegesen felfedésre kerülnek A vagyonelem és/vagy adat kevesebb, mint 21-5%-a sérül, elvész, vagy megsemmisül A vagyonelem funkcionalitásának 21-5%-a nem áll rendelkezésre A vagyonelem 51-8%-ban felfedésre kerül és/vagy A vagyonelem és/vagy adat 51-8%-a sérül, elvész, vagy A vagyonelem funkcionalitásának több, mint 8%-a nem áll Súlyos károkozási képesség 3 legmagasabb bizalmassági szintű adatok részlegesen megsemmisül rendelkezésre felfedésre kerülnek A vagyonelem 8-1%-os mértékben felfedésre kerül Végzetes károkozási képesség 4 és/vagy legmagasabb bizalmassági szintű adatok tömegesen, vagy teljes mértékben felfedésre kerülnek A vagyonelem 8-1%-ban megsemmisül A vagyonelem funkcionalitásának 8-1%-a nem áll rendelkezésre 31 Fenyegetéskatalógus Konvencionális értékmátrixok Egyéb konvenció mátrix példa -1 VIH%- VÜÉ% -,5 Kockázatarányos védelem megvalósulása A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekbizonyosan elégtelenek. Bizonyosan elégtelen -,5< VIH%- VÜÉ% -,25 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekvalószínűlegelégtelenek. Valószínűleg elégtelen -,25< VIH%- VÜÉ%,25 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekvélhetően megfelelőek. Megfelelő,25< VIH%- VÜÉ%,5 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekvalószínűlegtúlzottak. Valószínűleg túlzó,5< VIH%- VÜÉ% 1 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedéseknagy valószínűséggelerősentúlzottak. Bizonyosan túlzó 32 16
Fenyegetéskatalógus Konvencionális értékmátrixok Védelmi intézkedés hatékonyság konvenciómátrix példa VIH% Érték Hatékonyság 11 Megfelelő 12 Valószínűleg elégtelen 13 Nagy valószínűséggel elégtelen 14 Nagy valószínűséggel elégtelen 21 Megfelelő 22 Megfelelő 23 Valószínűleg elégtelen 24 Nagy valószínűséggel elégtelen 31 Valószínűleg túlzó 32 Megfelelő 33 Megfelelő 34 Valószínűleg elégtelen 41 Nagy valószínűséggel túlzó 42 Valószínűleg túlzó 43 Megfelelő 44 Megfelelő % 25% 5% 75% 1% VÜÉ% -25 25-5 5-75 75-1 1 2 3 4 9-1 4 41 42 43 44 8-9 3 31 32 33 34 6-8 2 21 22 23 24-25 1 11 12 13 14 33 (Information Asset Inventory) Kockázati mátrix prototípusok Folyamatfelmérés Vagyonelem létrehozása azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 34 17
Kockázati mátrix prototípusok elkészítése Kockázati mátrix prototípusok készítése az összes vagyonelem osztályra: Rendszer prototípus(ok) Adat prototípus(ok) Munkaerő prototípus(ok) Infrastruktúra prototípus(ok) Stb 35 (Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Vagyonelem kockázati Fenyegetés mátrixok katalógus Védelmi intézkedés katalógus feltöltése Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 36 18
Vagyonelem kockázati mátrixok feltöltése Bekövetkezési valószínűség - BV Bekövetkez ési valószínűség érték - BV Nem valószínű Kismértékben 1 valószínű Valószínű 2 Erősen valószínű 3 Bekövetkezési valószínűség P Károkozási képesség- KK kisebb mint,5 nagyobb, mint,7 1 Károkozási képesség (KK) konvenció mátrix Frekvencia értelmezés 1 évente egyszer bekövetkező esemény 1 évente egyszer bekövetkező esemény Évente legalább egyszer bekövetkező esemény Évente 1-nél többször bekövetkező esemény B S R Nincs károkozási képesség A vagyonelem bizalmassága nem szenved kárt A vagyonelem nem sérül A vagyonelem teljes funkcionalitással, tartalommal rendelkezésre áll Enyhe károkozási képesség 1 A vagyonelem kevesebb, mint 2%-a kerül felfedésre és/vagy alacsony bizalmassági adatok felfedésre kerülnek A vagyonelem és/vagy adat kevesebb, mint 2-a sérül, elvész, vagy megsemmisül A vagyonelem funkcionalitásának 2%-nál kisebb része nem áll rendelkezésre A vagyonelem több, mint 21-5%-a felfedésre kerül és/vagy A vagyonelem és/vagy adat kevesebb, mint 21-5%-a sérül, Közepes károkozási képesség 2 közepes bizalmassági szintű adatok tömegesen felfedésre elvész, vagy megsemmisül kerülnek A vagyonelem funkcionalitásának 21-5%-a nem áll rendelkezésre Súlyos károkozási képesség 3 A vagyonelem 51-8%-ban felfedésre kerül és/vagy legmagasabb bizalmassági szintű adatok részlegesen felfedésre kerülnek A vagyonelem és/vagy adat 51-8%-a sérül, elvész, vagy megsemmisül A vagyonelem funkcionalitásának több, mint 8%-a nem áll rendelkezésre Végzetes károkozási képesség 4 A vagyonelem 8-1%-os mértékben felfedésre kerül és/vagy legmagasabb bizalmassági szintű adatok tömegesen, vagy teljes mértékben felfedésre kerülnek A vagyonelem 8-1%-ban megsemmisül A vagyonelem funkcionalitásának 8-1%-a nem áll rendelkezésre 37 Vagyonelem kockázati mátrixok feltöltése Vagyonelem kockázati mátrixok feltöltése Alap kockázati értékek meghatározása AK=BVA(B,S,R)*KKA(B,S,R) Károkozási képesség (KK) Bekövetkezési valószínűség (BV) 1 2 3 1 1 2 3 2 2 4 6 3 3 6 9 4 4 8 12 38 19
Vagyonelem kockázati mátrixok feltöltése Vagyonelem kockázati mátrixok feltöltése: Védelmi intézkedés (safeguard) relevanciák meghatározása Maradványkockázati értékek (MK) meghatározása védelmi intézkedés érettségi szintek megadásával 39 Vagyonelem kockázati mátrixok feltöltése Vagyonelem kockázati mátrixok feltöltés példa (részlet) Maradványkockázati értékek Védelmi intézkedés érettségi szint (pl. COBIT) 4 2
(Information Asset Inventory) Folyamatfelmérés üzleti értékeinek számítása Vagyonelem azonosítás Folyamatok és vagyonelemek Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 41 Folyamatok üzleti értékeinek számítása Pézügyi kár (PK): A folyamat által éves szinten termelt bevétel, a szolgáltatás kieséséből adódó elmaradt haszon. A folyamat pótlásának és újraindításának költségei. Közvetett kár (PK): A folyamat kieséséből származó harmadik felek számára fizetendő károk értéke. A jó hírnév elvesztéséből, csorbulásából származó reputációs károk és ebből eredő jövőbeli elmaradó haszon. A személyes adatok, banktitkok, stb. napvilágra kerüléséből, jogok és törvényi előírások megsértéséből származó járulékos károk. Teljes kár, vagy üzleti érték (TK): a pénzügyi károkokból (PK) és a közvetett károkból (KK) áll össze, vagyis TK = PK + KK 42 21
Folyamatok üzleti értékeinek számítása Teljes kárérték Pénzügyi kár Közvetett kár 43 Vagyonelemek üzleti értékeinek számítása Folyamat üzleti értéke Vagyonelem üzleti értéke 44 22
Folyamatok és vagyonelemek kockázati értékszámítása (Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Folyamatok és Fenyegetés vagyonelemek katalógus Védelmi intézkedés katalógus kockázati értékszámítása Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 45 Folyamatok és vagyonelemek kockázati értékszámítása Folyamat üzleti értéke Védelmi intézkedés hatékonysága Vagyonelem alap- és maradványkockázati tömege Vagyonelem üzleti értéke 46 23
Elemzés, kockázati (Information Asset Inventory) Folyamatfelmérés besorolások készítése Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 47 Folyamatok és vagyonelemek üzleti értékeinek elemzése Üzleti érték folyamat-vagyonelem koordináta rendszerben 7 Ft 6 Ft 5 Ft 4 Ft 3 Ft 2 Ft 1 Ft Ft 48 24
5 5 5 Folyamatok és vagyonelemek kockázati értékeinek elemzése Maradványkockázati tömeg folyamat-vagyonelem koordináta rendszerben 9 8 7 6 5 4 3 2 1 49 Vagyonelemek kockázatelemzése Vagyonelemek maradványkockázati össztömeg értéke 14 12 1 11 544 MKT MAGAS (3) KÖZEPES (1) 8 6 4 2 3 12 2 77 2 386 2 141 1 861 1 841 1 666 1 417 1 417 1 293 1 24 961 838 761 759 759 734 723 78 78 699 649 62 62 62 67 568 557 548 41 45 45 45 387 387 367 362 362 362 354 354 354 354 315 34 3 294 213 212 212 21 29 2 19 175 155 139 125 95 83 8 79 53 52 52 52 51 4 4 3 25 2 2 2 15 1 1 1 1 1 1 1 5 25
Vagyonelemek kockázati besorolása Vagyonelem maradványkockázati tömeg érték szerinti kockázati besorolása Besorolás MKT érték Kockázati érték MAGAS > 3 3 KÖZEPES <= 3 2 ALACSONY < 1 1 51 Vagyonelemek üzleti érték szerinti elemzése 6 593 488 537 6 47 168 21 6 47 168 21 6 46 868 21 6 46 868 21 6 46 868 21 6 46 868 21 6 46 868 21 6 46 71 868 6 46 534 868 Vagyonelem üzleti értékek 12 Ft 1 644 481 918 1 385 798 659 1 251 626 651 1 182 128 712 1 178 222 382 1 127 954 266 1 53 212 448 1 52 912 448 VÜÉ MAGAS (9) KÖZEPES (2) 1 Ft 8 Ft 8 84 372 49 8 747 671 54 8 619 27 713 8 618 227 713 8 618 227 713 7 841 52 937 7 841 52 937 7 841 52 937 7 841 52 937 7 774 261 643 6 Ft 4 Ft 2 Ft 1 563 718 156 1 446 586 851 1 434 984 735 1 434 184 735 1 434 184 735 1 367 393 442 1 281 36 974 1 1 6 898 861 822 771 861 822 771 666 458 97 463 885 343 395 453 926 348 277 516 344 33 85 311 717 36 249 52 296 246 119 657 2 95 233 168 549 997 138 618 674 128 363 823 128 363 823 12 387 827 12 387 827 119 157 37 18 893 87 12 946 455 62 882 248 39 952 748 26 54 418 13 566 1 13 36 868 4 946 667 4 891 45 4 78 4 724 379 4 557 712 4 557 712 2 76 667 2 473 333 1 489 462 1 176 633 333 5 5 466 667 333 333 166 667 166 667 166 667 166 667 166 667 166 667 166 667 166 667 166 667 88 88 83 333 16 667 16 667 Ft 52 26
Vagyonelemek üzleti érték szerinti besorolása Vagyonelem üzleti érték szerinti kockázati besorolása Besorolás VÜÉ érték Kockázati érték MAGAS > 9 Ft 3 KÖZEPES <= 9 Ft 2 ALACSONY < 2 Ft 1 53 Vagyonelemek abszolút kockázati besorolása Vagyonelemek abszolút kockázati besorolása Vagyonelem üzleti érték szerinti besorolása Vagyonelem kockázati tömeg szerinti besorolása 3 2 1 3 MAGAS (9) MAGAS (6) KÖZEPES (3) 2 MAGAS (6) KÖZEPES (3) ALACSONY (2) 1 KÖZEPES (3) ALACSONY (2) ALACSONY (1) 54 27
Vagyonelemek kockázati besorolása 55 (Information Asset Inventory) Folyamatfelmérés Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése (Threat Inventory) Kockázatkezelési terv és Védelmi intézkedés katalógus jelentés készítése Konvencionális értékmátrixok létrehozása (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése 56 28
Védelmi intézkedés hatékonyságelemzés Védelmi intézkedés hatékonyság elemzése VÜÉ% VIH% -25 26-5 51-75 76-1 1 2 3 4 91-1 4 41 42 43 44 81-9 3 31 32 33 34 26-8 2 21 22 23 24-25 1 11 12 13 14 57 Védelmi intézkedés hatékonyság elemzése Alkalmazott védelmi intézkedések hatékonysága -1 VIH%- VÜÉ% -,5 Kockázatarányos védelem megvalósulása A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekbizonyosan elégtelenek. Bizonyosan elégtelen -,5< VIH%- VÜÉ% -,25 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekvalószínűlegelégtelenek. Valószínűleg elégtelen -,25< VIH%- VÜÉ%,25 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekvélhetően megfelelőek. Megfelelő,25< VIH%- VÜÉ%,5 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedésekvalószínűlegtúlzottak. Valószínűleg túlzó,5< VIH%- VÜÉ% 1 A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedéseknagy valószínűséggelerősentúlzottak. Bizonyosan túlzó 58 29
Védelmi intézkedés hatékonyság elemzése VIH% Érték Hatékonyság 11 Megfelelő 12 Valószínűleg elégtelen 13 Nagy valószínűséggel elégtelen 14 Nagy valószínűséggel elégtelen 21 Megfelelő 22 Megfelelő 23 Valószínűleg elégtelen 24 Nagy valószínűséggel elégtelen 31 Valószínűleg túlzó 32 Megfelelő 33 Megfelelő 34 Valószínűleg elégtelen 41 Nagy valószínűséggel túlzó 42 Valószínűleg túlzó 43 Megfelelő 44 Megfelelő % 25% 5% 75% 1% VÜÉ% -25 25-5 5-75 75-1 1 2 3 4 9-1 4 41 42 43 44 8-9 3 31 32 33 34 6-8 2 21 22 23 24-25 1 11 12 13 14 59 Védelmi intézkedés hatékonyság besorolás Érték Hatékonyság 11 Megfelelő 12 Valószínűleg elégtelen 13 Nagy valószínűséggel elégtelen 14 Nagy valószínűséggel elégtelen 21 Megfelelő 22 Megfelelő 23 Valószínűleg elégtelen 24 Nagy valószínűséggel elégtelen 31 Valószínűleg túlzó 32 Megfelelő 33 Megfelelő 34 Valószínűleg elégtelen 41 Nagy valószínűséggel túlzó 42 Valószínűleg túlzó 43 Megfelelő 44 Megfelelő 6 3
Védelmi intézkedés hatékonyság besorolás 61 Kockázatkezelés Kockázatkezelési terv javaslat készítése Üzletfolytonossági rendszer (BCM) bemenetek számítása Naplómenedzsment rendszer kockázatokkal arányos megvalósítása Stb 62 31
Kockázatkezelés Kockázati helyzetjavító hatás maximalizálása A fejlesztendő vagyonelemek és/vagy védelmi intézkedések kiválasztásának alapelvei: ÉRTÉK: a legértékesebb folyamatokat és/vagy vagyonelemeket érintő fenyegetések KOCKÁZAT: a szervezet kockázati helyzetet, összképet leginkább javító fenyegetések HATÓKÖR: a szervezetben és/vagy a rendszerben legszerteágazóbb hatókörrel bíró vagyonelemek fenyegetései SZÁMOSSÁG: a legtöbb vagyonelemet és/vagy folyamatot érintő fenyegetések 63 Kérdések Köszönöm a figyelmet. 64 32