Upload
duongbao
View
228
Download
1
Embed Size (px)
Citation preview
2015.12.08.
1
IT biztonság2015/2016 tanév
A kockázatelemzés alapjai
1ELTE IT Biztonság Speci2015.12.08.
A kockázatelemzés alapjai
Botos Zsolt vezet ő tanácsadó, CGEIT, CRISC Security.hu Kft.
www.security.hu
2ELTE IT Biztonság Speci2015.12.08.
2015.12.08.
2
Bemutatkozás
3ELTE IT Biztonság Speci2015.12.08.
Információbiztonsági megoldások már 12 éve
Szolgáltatások, megoldások
– Tanácsadói szolgáltatások– Üzleti folyamat alapú megoldások– Technológiai védelmi megoldások– PKI megoldások– Támogatás– Oktatás
Auditok, vizsgálatok
– Üzleti folyamat alapú vizsgálatok– Technológiai vizsgálatok– Auditok
Botos Zsolt ügyvezető, vezető tanácsadó,CGEIT, [email protected]
A kockázatelemzés célja
Fő kérdések :
• Mi is az az információrendszer kockázatelemzés?
• Miért is kell kockázatelemzést végezni?
4ELTE IT Biztonság Speci2015.12.08.
2015.12.08.
3
A kockázatelemzés célja
5ELTE IT Biztonság Speci2015.12.08.
A szervezetek működése az adatvagyonuktól, elsődlegesen ennekrendelkezésre állásától, másodlagosan bizalmasságától éssértetlenségétől függ.
Az adatvagyont összetett, elosztott (diverzifikált)informatikai rendszereken kezelik és tárolják. Alapvetőene vagyonelemek felelnek a rendelkezésre állásért.
Az üzletmenet, a működés és a bevétel teljeskörűen függ ezektől a vagyonelemektől
KOCKÁZATELEMZÉS
€, Ft, $Rendszer 1 A
Rendszer 2 B
… …
Rendszer 256 C
A szervezetnek tudnia kell; melyik vagyonelem fontos, melyik kevésbé
fontos és melyik létfontosságú!
6ELTE IT Biztonság Speci2015.12.08.
VE1 VE2 VE3 VE4 VE5 … VEn
BP1
BP2
BP3 X X X
BP4 X X
…
…
BPn X
Koncepcionális megközelítés
FolyamatokVagyonelemek
Folyamat vagyonelem függések
Öröklődő kumulált kockázati értékek
Vagyonelemek kockázati értékei
2015.12.08.
4
7ELTE IT Biztonság Speci2015.12.08.
VE1 VE2 VE3 VE4 VE5 … VEn
BP1
BP2
BP3 X X X
BP4 X X
…
…
BPn X
Koncepcionális megközelítés
FolyamatokVagyonelemek
Folyamatokból származtatott kárértékek
Folyamat vagyonelem függések
Folyam
at kárértékek
8ELTE IT Biztonság Speci2015.12.08.
VE1 VE2 VE3 VE4 VE5 … VEn
BP1
BP2
BP3 X X X
BP4 X X
…
…
BPn X
Koncepcionális megközelítés
FolyamatokVagyonelemek
Folyamat vagyonelem függések
Kumulált vagyonelem kárértékek
Kumulált vagyonelem kockázati tömeg értékek
2015.12.08.
5
Kockázatelemzés típusok
9ELTE IT Biztonság Speci2015.12.08.
Kvalitatív jelleg ű kockázatelemzés, üzleti hatáselemzés (BIA) főbb ismérvei
� Minőségi (kvalitatív), számszerűen nem mérhető ismérveken alapszik.
� Az informatikai rendszer üzletmenetre gyakorolt hatását csak minőségi jellemzők alapján veszi figyelembe.
� A szervezeti működést modelláló képessége erősen korlátozott.
� A kimenetei összetettebb szervezet és rendszer esetén kevéssé megbízhatók.
� Gyorsan, relatíve kevés erőforrás felhasználásával elvégezhető.
Kockázatelemzés típusok
10ELTE IT Biztonság Speci2015.12.08.
Kvantitatív (QN) kockázatelemzés f őbb ismérvei
� Számszerű (kvantitatív) mérhető minőségi ismérveken alapszik.
� Az informatikai rendszer üzletmenetre gyakorolt hatását elsődlegesen mennyiségi jellemzők alapján veszi figyelembe.
� A nehezen számszerűsíthető jellemzők méréséhez szubjektív skálák módszerét alkalmazza.
� A szervezeti működést modelláló képessége kifejezetten erős.
� A kimenetei nagyobb összetett szervezet és rendszer esetén is megbízhatóak.
� Viszonylag sok erőforrást igényel.
2015.12.08.
6
Amir ől most beszélünk
11ELTE IT Biztonság Speci2015.12.08.
Kvantitatív (QN) kockázatelemzés
Alapfogalmak
12ELTE IT Biztonság Speci2015.12.08.
Vagyonelem 1
Vagyonelem 2
Vagyonelem 3
Vagyonelem …
Vagyonelem n
Fenyegetés 1
Fenyegetés 2
Fenyegetés 3
Fenyegetés 4
Fenyegetés ….
Fenyegetés …
Fenyegetés …
Fenyegetés …
Fenyegetés n
Fenyegetések hatásvektorai
2015.12.08.
7
Alapfogalmak
13ELTE IT Biztonság Speci2015.12.08.
Vagyonelem
Fenyegetés 1
Fenyegetés 2
Fenyegetés n
Sebezhetőségek
Alapkockázatok
Kontrollok
Maradványkockázatok
Kvatitatív kockázatelemzés folyamata
14ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
2015.12.08.
8
Információs vagyonleltár
15ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítéseFolyamatfelmérés
Információs vagyonleltárFolyamatfelmérés
16ELTE IT Biztonság Speci2015.12.08.
Folyamattérkép� A konkrét folyamatok grafikus modellben való ábrázolása
Folyamatábrák� Az egyes folyamatok grafikus folyamatábráinak felvétele
Folyamatleírások� Az egyes folyamatok narratív szöveges leírásai
Folyamatmodell� Elvi modell a folyamatok egymáshoz való viszonyának ábrázolásához
Folyamatok azonosítása� A szervezet konkrét üzleti-, működési folyamatainak azonosítása
Az elemzéshezmindenképp szükségesek
2015.12.08.
9
Információs vagyonleltár Üzleti/m űködési folyamat vagyonelem osztályai
17ELTE IT Biztonság Speci2015.12.08.
Adatvagyon
Informatikairendszerek
Emberi erőforrások(HR)
Infrastruktúra
Az információ, strukturált adatvagyon formájában a folyamatok és egyben a teljes szervezet legfontosabb és legalapvetőbb erőforrásai. Az üzleti folyamatok egyik legfontosabb ki és bemeneti értékét adják.
Eszközök, berendezések, szoftverek, hardverek és egyéb kiszolgáló berendezések működő, integrált rendszerei, amelyek az üzleti folyamatok technológiai hátterét biztosítják, azok működését támogatják. Ennek megfelelően az üzleti folyamatok függenek e háttér rendszereiktől, azok zavartalan működési képességétől.
A szervezet fizikai elhelyezésre szolgáló telephelyek, épületekkel, az azokat kiszolgáló infrastrukturális elemeikkel és környezetükkel.
A munkatársak, akik telephelyeken az informatikai rendszerek segítségével az üzleti folyamatokat működtetik.
Üzleti/működési folyamat
Információs vagyonleltár Elvi folyamatstruktúra
18ELTE IT Biztonság Speci2015.12.08.
Folyamat Alfolyamat
Azonosító Folyamat név Azonosító Alfolyamat név
BP 01 Főfolyamat 1 Azonosító
BP 01-01 Alfolyamat 1-1
BP 01-02 Alfolyamat 1-2
BP 01-03 Alfolyamat 1-3
BP 01-04 Alfolyamat 1-4
BP 02 Főfolyamat 2
BP 02-01 Alfolyamat 2-1
BP 02-02 Alfolyamat 2-2
BP 02-03 Alfolyamat 2-3
BP 02-04 Alfolyamat 2-4
2015.12.08.
10
Információs vagyonleltár
19ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Vagyonelem azonosítás
Információs vagyonleltárVagyonelemek azonosítása
20ELTE IT Biztonság Speci2015.12.08.
Alapvet ő vagyonelem osztályok
Adat (D) Rendszer (IT)
Munkaerő (HR) Infrastruktúra (I)
2015.12.08.
11
Információs vagyonleltár
21ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Folyamat-vagyonelem függőségek felmérése
Információs vagyonleltárFolyamat-vagyonelem függ őségek modellezése
22ELTE IT Biztonság Speci2015.12.08.
� Cél: annak felmérése, hogy az egyes folyamatok mely vagyonelemektől és milyen mértékben függenek.
� Vagyonelem folyamat függőség modellezésére a vagyonelem hatásindex-et hoztuk létre [%]
� Elsősorban a vagyonelem rendelkezésre állást modellezzük. � Az egyes vagyonelemek teljes körű kiesésének hatása az általuk kiszolgált
folyamatokra eltérő. Pl. az VE1 vagyonelem teljes körű kiesése esetén a folyamat zavartalanul, vagy minimális funkciókieséssel tovább működik, míg
a VE2 vagyonelem teljes körű kiesése esetén súlyos, hosszú ideig tartó funkciózavart, pl. teljes leállást szenved el.
� Ezt a hatást a konvencionális vagyonelem-hatásindex-szel modellezzük. Értéke 0% és 100% közé eső számérték lehet a konvenció helyzet- és
környezetfüggő értelmezése szerint.
2015.12.08.
12
23ELTE IT Biztonság Speci2015.12.08.
Folyamat-vagyonelem relevancia mátrix
VE1 VE2 VE3 VE4 VE5 … VEn
BP1 45% 75%
BP2
BP3 50% 100% 25% 20%
BP4 25% 100% 100%
… 25%
…
BPn 15% 100%
Információs vagyonleltárFolyamat-vagyonelem függ őségek
feltérképezése
24ELTE IT Biztonság Speci2015.12.08.
Folyamatok és vagyonelemek egymástól való függőségeinek felmérése
Információs vagyonleltárFolyamat-vagyonelem mátrix példa (részlet)
2015.12.08.
13
25ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltárFolyamat-vagyonelem függ őségek
Fenyegetéskatalógus
26ELTE IT Biztonság Speci2015.12.08. 26
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítéseFenyegetés katalógus összeállítása
2015.12.08.
14
FenyegetéskatalógusFenyegetés alapkatalógus elkészítése
27ELTE IT Biztonság Speci2015.12.08.
Fenyegetés alapkatalógus elkészítése a különféle f enyegetés osztályokban:
• Természeti eredetű fenyegetések N[x]• Infrastrukturális eredetű fenyegetések I[x]
• Akaratlan humán eredetű hibák AHH[x]• Akaratlan humán eredetű információsértések AHI[x]
• Informatikai eredetű hibák IH[x]• Akaratlagos informatikai támadások AIT[x]
• Akaratlagos információsértések AIS[x]• Akaratlagos egyéb támadások AET[x]
• Dokumentációk hiánya, nem megfelelősége D[x]• Kompetenciák hiánya, nem megfelelősége K[x]
• Életciklus kezelés hiánya, nem megfelelősége E[x]• Szolgáltatás kiszervezés, kihelyezés fenyegetései KI[x]
Védelmi intézkedés katalógus
28ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítéseVédelmi intézkedés katalógus összeállítása
2015.12.08.
15
Védelmi intézkedés katalógus
29ELTE IT Biztonság Speci2015.12.08.
A védelmi intézkedés katalógus az adott fenyegetésre vonatkozóan:
• alkalmazható védelmi intézkedések katalógusa,
• fenyegetésosztályonként tagolva,
• fenyegetésenkénti relevanciákkal,
• általános értelmezésben
30ELTE IT Biztonság Speci2015.12.08.
Egyediazonosító
Védelmi intézkedés megnevezéseÉrettség
(0-5)
SF1 Tűzvédelmi rendszer 5
SF19 ………………….. 4
SF20 Redundáns tápellátás 5
SF21 Átmeneti szünetmentes tápellátás (UPS, generátor) 5
SF22 Redundáns belső hálózat a megfelelő helyeken 4
SF23 Külső szállító rendelkezésre állása (SLA) 4
SF24 Túláram és impulzusok elleni védelem a megfelelő helyeken 5
SF25 Redundáns szolgáltató rendelkezésre tartása (BCP) 4
SF26 Átterhelési terv mobil kommunikációra (BCP) 3
SF27 Redundáns tartalék szolgáltató rendelkezésre tartása 4
SF28 DRP megléte és megfelelősége 4
SF29 Tartalék infrastruktúra rendelkezésre tartása 5
SF30 Infrastruktúra pótlása 5
SF31 Készenléti szolgáltatás rendelkezésre tartása (SLA) 5
SF32 Négyszem elv 4
SF33 Jogosultságok szükséges minimális szinten tartása 3
SF34 Szükséges, minimális kikényszerített eljárások alkalmazása 4
SF35 Rendszeres és ellenőrzött mentések 5
SF36 Szerepkörök szétválasztása 4
SF37 Naplógyűjtési és elemzési rendszer megléte és megfelelősége 3
SF45 Határvédelem megléte és megfelelő kialakítása 4
SF98 ………………………………………… 4
SF99 Hibavisszacsatolási folyamatok tartalmi elemei megfelelőségének rendszeres ellenőrzése 4
Védelmi intézkedés katalógus példa (részlet)
Védelmi intézkedés katalógus
Védelmi intézkedés érettségi szintje (pl. COBIT alapján)
2015.12.08.
16
Fenyegetéskatalógus Konvencionális értékmátrixok
31ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítéseKonvencionális
értékmátrixok létrehozása
32ELTE IT Biztonság Speci2015.12.08.
Fenyegetéskatalógus Konvencionális értékmátrixok
Konvencionális értékmátrixok:
• Bekövetkezési valószínűség (BV)• Károkozási képesség (KK)
• Vagyonelem hatásindex• Vagyonelem maradványkockázati tömeg szerinti besorolás
• Vagyonelemek üzleti érték szerinti kockázati besorolás• Védelmi intézkedés hatékonyság
• Vagyonelem abszolút kockázati besorolása• stb…
2015.12.08.
17
33ELTE IT Biztonság Speci2015.12.08.
Fenyegetéskatalógus Konvencionális értékmátrixok
Bekövetkezési valószín űség és károkozási képesség konvenciómátrix példák
Bekövetkezési valószín űség érték - BV
Bekövetkezési valószín űség
PP értelmezés Frekvencia értelmezés
Nem valószín ű 0 0 Lehetetlen esemény bekövetkezés 100 évente egyszer bekövetkező esemény
Kismértékben valószín ű 1 kisebb mint 0,5 10 évente egyszer bekövetkező esemény
Valószín ű 2 nagyobb, mint 0,7 Évente legalább egyszer bekövetkező esemény
Erősen valószín ű 3 1 Biztos esemény bekövetkezés Évente 1-nél többször bekövetkező esemény
Károkozási képesség (KK) konvenció mátrix
B S R
Nincs károkozási képesség 0 A vagyonelem bizalmassága nem szenved kárt A vagyonelem nem sérülA vagyonelem teljes funkcionalitással, tartalommal
rendelkezésre áll
Enyhe károkozási képesség 1A vagyonelem kevesebb, mint 20%-a kerül felfedésre
és/vagy alacsony bizalmassági adatok felfedésre kerülnek
A vagyonelem és/vagy adat kevesebb, mint 20-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának 20%-nál kisebb része nem áll rendelkezésre
Közepes károkozási képesség 2A vagyonelem több, mint 21-50%-a felfedésre kerül
és/vagy közepes bizalmassági szintű adatok tömegesen felfedésre kerülnek
A vagyonelem és/vagy adat kevesebb, mint 21-50%-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának 21-50%-a nem áll rendelkezésre
Súlyos károkozási képesség 3A vagyonelem 51-80%-ban felfedésre kerül és/vagy
legmagasabb bizalmassági szintű adatok részlegesen felfedésre kerülnek
A vagyonelem és/vagy adat 51-80%-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának több, mint 80%-a nem áll rendelkezésre
Végzetes károkozási képesség 4A vagyonelem 80-100%-os mértékben felfedésre kerül
és/vagy legmagasabb bizalmassági szintű adatok tömegesen, vagy teljes mértékben felfedésre kerülnek
A vagyonelem 80-100%-ban megsemmisül A vagyonelem funkcionalitásának 80-100%-a nem áll rendelkezésre
34ELTE IT Biztonság Speci2015.12.08.
Fenyegetéskatalógus Konvencionális értékmátrixok
Egyéb konvenció mátrix példa
Kockázatarányos védelem megvalósulása
-1≤ VIH%-∑VÜÉ% ≤-0,5
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések bizonyosan elégtelenek.
Bizonyosan elégtelen
-0,5< VIH%-∑VÜÉ% ≤-0,25
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések valószínűleg elégtelenek.
Valószínűleg elégtelen
-0,25< VIH%-∑VÜÉ% ≤0,25
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések vélhetően megfelelőek.
Megfelelő
0,25< VIH%-∑VÜÉ% ≤0,5
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések valószínűleg túlzottak.
Valószínűleg túlzó
0,5< VIH%-∑VÜÉ% ≤1
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések nagy valószínűséggel erősen túlzottak.
Bizonyosan túlzó
2015.12.08.
18
35ELTE IT Biztonság Speci2015.12.08.
Fenyegetéskatalógus Konvencionális értékmátrixok
Védelmi intézkedés hatékonyság konvenciómátrix péld a0% 25% 50% 75% 100%
VÜÉ%
0-25 25-50 50-75 75-100
1 2 3 4
VIH%
90-100 4 41 42 43 44
80-90 3 31 32 33 34
60-80 2 21 22 23 24
0-25 1 11 12 13 14Érték Hatékonyság
11 Megfelelő
12 Valószínűleg elégtelen
13 Nagy valószínűséggel elégtelen
14 Nagy valószínűséggel elégtelen
21 Megfelelő
22 Megfelelő
23 Valószínűleg elégtelen
24 Nagy valószínűséggel elégtelen
31 Valószínűleg túlzó
32 Megfelelő
33 Megfelelő
34 Valószínűleg elégtelen41 Nagy valószínűséggel túlzó
42 Valószínűleg túlzó
43 Megfelelő
44 Megfelelő
Kockázatelemzés
36ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Kockázati mátrix prototípusok létrehozása
2015.12.08.
19
KockázatelemzésKockázati mátrix prototípusok elkészítése
37ELTE IT Biztonság Speci2015.12.08.
Kockázati mátrix prototípusok készítése az összes vagyonelem osztályra:
• Rendszer prototípus(ok) • Adat prototípus(ok)
• Munkaerő prototípus(ok)• Infrastruktúra prototípus(ok)
• Stb…
Kockázatelemzés
38ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Vagyonelem kockázati mátrixok feltöltése
2015.12.08.
20
KockázatelemzésVagyonelem kockázati mátrixok feltöltése
39ELTE IT Biztonság Speci2015.12.08.
Bekövetkezési valószínűség - BVBekövetkez
ési valószín űség
érték - BV
Bekövetkezési valószín űség P
Frekvencia értelmezés
Nem valószín ű 00
100 évente egyszer bekövetkező esemény
Kismértékben valószín ű
1kisebb mint 0,5
10 évente egyszer bekövetkező esemény
Valószín ű 2nagyobb, mint 0,7
Évente legalább egyszer bekövetkező esemény
Erősen valószín ű 31
Évente 1-nél többször bekövetkező esemény
Károkozási képesség- KKKárokozási képesség (KK) konvenció mátrix
B S R
Nincs károkozási képesség 0 A vagyonelem bizalmassága nem szenved kárt A vagyonelem nem sérül A vagyonelem teljes funkcionalitással, tartalommal rendelkezésre áll
Enyhe károkozási képesség 1A vagyonelem kevesebb, mint 20%-a kerül felfedésre
és/vagy alacsony bizalmassági adatok felfedésre kerülnekA vagyonelem és/vagy adat kevesebb, mint 20-a sérül,
elvész, vagy megsemmisülA vagyonelem funkcionalitásának 20%-nál kisebb része nem áll
rendelkezésre
Közepes károkozási képesség 2A vagyonelem több, mint 21-50%-a felfedésre kerül és/vagy közepes bizalmassági szintű adatok tömegesen felfedésre
kerülnek
A vagyonelem és/vagy adat kevesebb, mint 21-50%-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának 21-50%-a nem áll rendelkezésre
Súlyos károkozási képesség 3A vagyonelem 51-80%-ban felfedésre kerül és/vagy
legmagasabb bizalmassági szintű adatok részlegesen felfedésre kerülnek
A vagyonelem és/vagy adat 51-80%-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának több, mint 80%-a nem áll rendelkezésre
Végzetes károkozási képesség 4A vagyonelem 80-100%-os mértékben felfedésre kerül
és/vagy legmagasabb bizalmassági szintű adatok tömegesen, vagy teljes mértékben felfedésre kerülnek
A vagyonelem 80-100%-ban megsemmisülA vagyonelem funkcionalitásának 80-100%-a nem áll
rendelkezésre
KockázatelemzésVagyonelem kockázati mátrixok feltöltése
40ELTE IT Biztonság Speci2015.12.08.
Vagyonelem kockázati mátrixok feltöltése• Alap kockázati értékek meghatározása
AK=BVA(B,S,R)*KKA(B,S,R)
Bekövetkezési valószínűség (BV)
0 1 2 3
Károkozási képesség (KK)
0 0 0 0 0
1 0 1 2 3
2 0 2 4 6
3 0 3 6 9
4 0 4 8 12
2015.12.08.
21
41ELTE IT Biztonság Speci2015.12.08.
Vagyonelem kockázati mátrixok feltöltése:
• Védelmi intézkedés (safeguard, countermeasure) relevanciák meghatározása
• Maradványkockázati értékek (MK) meghatározása védelmi intézkedés érettségi szintek megadásával
KockázatelemzésVagyonelem kockázati mátrixok feltöltése
42ELTE IT Biztonság Speci2015.12.08.
Vagyonelem kockázati mátrixok feltöltés példa (részle t)
Védelmi intézkedés érettségi szint (pl. COBIT)
Maradványkockázati értékek
KockázatelemzésVagyonelem kockázati mátrixok feltöltése
2015.12.08.
22
Kockázatelemzés
43ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Folyamatok és vagyonelemek üzleti értékeinek számítása
KockázatelemzésFolyamatok üzleti értékeinek számítása
44ELTE IT Biztonság Speci2015.12.08.
Pézügyi kár (PK):
• A folyamat által éves szinten termelt bevétel, a szolgáltatás kieséséből adódó elmaradt haszon.
• A folyamat pótlásának és újraindításának költségei.
Közvetett kár (PK):
• A folyamat kieséséből származó harmadik felek számára fizetendő károk értéke.
• A jó hírnév elvesztéséből, csorbulásából származó reputációs károk és ebből eredő jövőbeli elmaradó haszon.
• A személyes adatok, banktitkok, stb. napvilágra kerüléséből, jogok és törvényi előírások megsértéséből származó járulékos károk.
Teljes kár, vagy üzleti érték (TK):
a pénzügyi károkokból (PK) és a közvetett károkból (KK) áll össze, vagyis
TK = PK + KK
2015.12.08.
23
45ELTE IT Biztonság Speci2015.12.08.
KockázatelemzésFolyamatok üzleti értékeinek számítása
Pénzügyi kár Közvetett kár
Teljes kárérték
46ELTE IT Biztonság Speci2015.12.08.
Vagyonelem üzleti értéke
Folyamat üzleti értéke
KockázatelemzésVagyonelemek üzleti értékeinek számítása
2015.12.08.
24
47ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Folyamatok és vagyonelemek kockázati értékszámítása
KockázatelemzésFolyamatok és vagyonelemek kockázati értékszámítása
48ELTE IT Biztonság Speci2015.12.08.
Vagyonelem alap- és maradványkockázati tömege
Folyamat üzleti értéke
Védelmi intézkedés hatékonysága
Vagyonelem üzleti értéke
KockázatelemzésFolyamatok és vagyonelemek kockázati értékszámítása
2015.12.08.
25
Kockázatelemzés
49ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Elemzés, kockázati besorolások készítése
KockázatelemzésFolyamatok és vagyonelemek üzleti értékeinek elemzé se
50ELTE IT Biztonság Speci2015.12.08.
0 Ft
1 000 000 000 Ft
2 000 000 000 Ft
3 000 000 000 Ft
4 000 000 000 Ft
5 000 000 000 Ft
6 000 000 000 Ft
7 000 000 000 Ft
Üzleti értékfolyamat-vagyonelem koordináta rendszerben
2015.12.08.
26
51ELTE IT Biztonság Speci2015.12.08.
KockázatelemzésFolyamatok és vagyonelemek kockázati értékeinek ele mzése
0
100
200
300
400
500
600
700
800
900
Maradványkockázati tömegfolyamat-vagyonelem koordináta rendszerben
52ELTE IT Biztonság Speci2015.12.08.
11
54
43
01
22
70
72
38
62
14
11
86
11
84
11
66
61
41
71
41
71
29
31
02
49
61
83
87
61
75
97
59
73
47
23
70
87
08
69
96
49
62
06
20
62
06
07
56
85
57
54
84
10
40
54
05
40
53
87
38
73
67
36
23
62
36
23
54
35
43
54
35
43
15
30
43
00
29
42
13
21
22
12
21
02
09
20
01
90
17
51
55
13
91
25
95
83
80
79
53
52
52
52
51
40
40
30
25
20
20
20
15
10
10
10
10
10
10
10
5 5 5 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
Vagyonelemek maradványkockázati össztömeg értéke
∑MKT
MAGAS (3000)
KÖZEPES (1000)
KockázatelemzésVagyonelemek kockázatelemzése
20
15
.12
.08
.
27
Kockázatelem
zésV
agyonelemek kockázati besorolása
53ELTE IT B
izton
ság Speci
2015.12.08.
Vagyonelem
maradványkockázati töm
eg érték szerinti kockázati
besorolása
Besorolás
∑M
KT
értékK
ockázati érték
MA
GA
S>
3 0003
KÖ
ZE
PE
S<
=3 000
2
ALA
CS
ON
Y<
1 0001
Kockázatelem
zésV
agyonelemek üzleti érték szerinti elem
zése
54ELTE IT B
izton
ság Speci
2015.12.08.
10 644 481 91810 385 798 659
10 251 626 65110 182 128 71210 178 222 382
10 127 954 26610 053 212 44810 052 912 448
8 804 372 0498 747 671 540
8 619 027 7138 618 227 7138 618 227 713
7 841 052 9377 841 052 9377 841 052 9377 841 052 937
7 774 261 6436 593 488 537
6 407 168 2016 407 168 2016 406 868 2016 406 868 2016 406 868 2016 406 868 2016 406 868 2016 406 710 8686 406 534 868
1 563 718 1561 446 586 8511 434 984 7351 434 184 7351 434 184 735
1 367 393 4421 281 306 974
1 010 600 898861 822 771861 822 771
666 458 970463 885 343
395 453 926348 277 516344 330 850311 717 360
249 502 296246 119 657
200 950 233168 549 997138 618 674128 363 823128 363 823120 387 827120 387 827119 157 307108 893 087102 946 45562 882 24839 952 74826 054 41813 566 01013 036 8684 946 6674 891 0454 780 0004 724 3794 557 7124 557 7122 706 6672 473 3331 489 4621 176 000633 333500 000500 000466 667333 333166 667166 667166 667166 667166 667166 667166 667166 667166 66788 00088 00083 33316 66716 66700000000000
0 Ft
2 0
00 00
0 000
Ft
4 0
00 00
0 000
Ft
6 0
00 00
0 000
Ft
8 0
00 00
0 000
Ft
10 00
0 0
00 00
0 Ft
12 00
0 0
00 00
0 Ft
Vagyo
nelem
üzleti értékek
∑V
ÜÉ
MA
GA
S (9000
000
000)
KÖ
ZEPES (2
0000
000
00)
2015.12.08.
28
KockázatelemzésVagyonelemek üzleti érték szerinti besorolása
55ELTE IT Biztonság Speci2015.12.08.
Vagyonelem üzleti érték szerinti kockázati besorolá sa
Besorolás ∑VÜÉ érték Kockázati érték
MAGAS > 9 000 000 000 Ft 3
KÖZEPES <= 9 000 000 000 Ft 2
ALACSONY < 2 000 000 000 Ft 1
KockázatelemzésVagyonelemek abszolút kockázati besorolása
56ELTE IT Biztonság Speci2015.12.08.
Vagyonelemek abszolút kockázati besorolása
Vagyonelem üzleti érték szerinti besorolása
Vagyonelem kockázati tömeg szerinti besorolása
3 2 1
3 MAGAS (9) MAGAS (6) KÖZEPES (3)
2 MAGAS (6) KÖZEPES (3) ALACSONY (2)
1 KÖZEPES (3) ALACSONY (2) ALACSONY (1)
2015.12.08.
29
KockázatelemzésVagyonelemek kockázati besorolása
57ELTE IT Biztonság Speci2015.12.08.
Kockázatelemzés
58ELTE IT Biztonság Speci2015.12.08.
Információs vagyonleltár
(Information Asset Inventory)
Folyamatfelmérés
Vagyonelem azonosítás
Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus
(Threat Inventory)
Fenyegetés katalógus
Védelmi intézkedés katalógus
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys)
Kockázati mátrix prototípusok
Vagyonelem kockázati mátrixok
Folyamatok és vagyonelemek üzleti értékeinek számítása
Folyamatok és vagyonelemek kockázati értékszámítása
Kockázati besorolások készítése
Kockázatkezelési terv készítése
Kockázatkezelési terv és jelentés készítése
2015.12.08.
30
KockázatelemzésVédelmi intézkedés hatékonyságelemzés
59ELTE IT Biztonság Speci2015.12.08.
VÜÉ%
0-25 26-50 51-75 76-100
1 2 3 4
VIH%
91-100 4 41 42 43 44
81-90 3 31 32 33 34
26-80 2 21 22 23 24
0-25 1 11 12 13 14
Védelmi intézkedés hatékonyság elemzése
KockázatelemzésVédelmi intézkedés hatékonyság elemzése
60ELTE IT Biztonság Speci2015.12.08.
Alkalmazott védelmi intézkedések hatékonysága
Kockázatarányos védelem megvalósulása
-1≤ VIH%-∑VÜÉ% ≤-0,5
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések bizonyosan elégtelenek.
Bizonyosan elégtelen
-0,5< VIH%-∑VÜÉ% ≤-0,25
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések valószínűleg elégtelenek.
Valószínűleg elégtelen
-0,25< VIH%-∑VÜÉ% ≤0,25
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések vélhetően megfelelőek.
Megfelelő
0,25< VIH%-∑VÜÉ% ≤0,5
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések valószínűleg túlzottak.
Valószínűleg túlzó
0,5< VIH%-∑VÜÉ% ≤1
A vagyonelem üzleti értékéhez képest az alkalmazott védelmiintézkedések nagy valószínűséggel erősen túlzottak.
Bizonyosan túlzó
2015.12.08.
31
KockázatelemzésVédelmi intézkedés hatékonyság elemzése
61ELTE IT Biztonság Speci2015.12.08.
0% 25% 50% 75% 100%
VÜÉ%
0-25 25-50 50-75 75-100
1 2 3 4
VIH%
90-100 4 41 42 43 44
80-90 3 31 32 33 34
60-80 2 21 22 23 24
0-25 1 11 12 13 14Érték Hatékonyság
11 Megfelelő
12 Valószínűleg elégtelen
13 Nagy valószínűséggel elégtelen
14 Nagy valószínűséggel elégtelen
21 Megfelelő22 Megfelelő
23 Valószínűleg elégtelen
24 Nagy valószínűséggel elégtelen
31 Valószínűleg túlzó
32 Megfelelő
33 Megfelelő
34 Valószínűleg elégtelen
41 Nagy valószínűséggel túlzó
42 Valószínűleg túlzó43 Megfelelő
44 Megfelelő
KockázatelemzésVédelmi intézkedés hatékonyság besorolás
62ELTE IT Biztonság Speci2015.12.08.
Érték Hatékonyság11 Megfelelő12 Valószínűleg elégtelen
13 Nagy valószínűséggel elégtelen
14 Nagy valószínűséggel elégtelen21 Megfelelő22 Megfelelő23 Valószínűleg elégtelen
24 Nagy valószínűséggel elégtelen31 Valószínűleg túlzó32 Megfelelő33 Megfelelő34 Valószínűleg elégtelen41 Nagy valószínűséggel túlzó42 Valószínűleg túlzó43 Megfelelő44 Megfelelő
2015.12.08.
32
63ELTE IT Biztonság Speci2015.12.08.
KockázatelemzésVédelmi intézkedés hatékonyság besorolás
KockázatelemzésKockázatkezelés
64ELTE IT Biztonság Speci2015.12.08.
• Kockázatkezelési terv javaslat készítése• Üzletfolytonossági rendszer (BCM) bemenetek
számítása• Naplómenedzsment rendszer kockázatokkal
arányos megvalósítása• Stb…
2015.12.08.
33
KockázatkezelésKockázati helyzetjavító hatás maximalizálása
65ELTE IT Biztonság Speci2015.12.08.
A fejlesztend ő vagyonelemek és/vagy védelmi intézkedések kiválasztásának alapelvei:
• ÉRTÉK: a legértékesebb folyamatokat és/vagy vagyonelemeket érintő fenyegetések
• KOCKÁZAT: a szervezet kockázati helyzetet, összképet leginkább javító fenyegetések• HATÓKÖR: a szervezetben és/vagy a
rendszerben legszerteágazóbb hatókörrel bíró vagyonelemek fenyegetései
• SZÁMOSSÁG: a legtöbb vagyonelemet és/vagy folyamatot érintő fenyegetések
Kérdések
66ELTE IT Biztonság Speci2015.12.08.
Köszönöm a figyelmet.