2014.12.01.
IT biztonság 2014/2015 tanév
A kockázatelemzés alapjai
2014.12.01.
ELTE IT Biztonság Speci
1
A kockázatelemzés alapjai Botos Zsolt vezető tanácsadó, CGEIT, CRISC Security.hu Kft.
[email protected] www.security.hu
2014.12.01.
ELTE IT Biztonság Speci
2
1
2014.12.01.
Bemutatkozás Információbiztonsági megoldások már 12 éve Szolgáltatások, megoldások – – – – – –
Botos Zsolt
Tanácsadói szolgáltatások Üzleti folyamat alapú megoldások Technológiai védelmi megoldások PKI megoldások Támogatás Oktatás
ügyvezető, vezető tanácsadó, CGEIT, CRISC
[email protected] www.securitiy.hu
Auditok, vizsgálatok – – –
2014.12.01.
Üzleti folyamat alapú vizsgálatok Technológiai vizsgálatok Auditok
ELTE IT Biztonság Speci
3
A kockázatelemzés célja Fő kérdések:
• Mi is az az információrendszer kockázatelemzés?
• Miért is szükséges kockázatelemzést végezni?
2014.12.01.
ELTE IT Biztonság Speci
4
2
2014.12.01.
A kockázatelemzés célja A szervezetek működése az adatvagyonuktól, elsődlegesen ennek rendelkezésre állásától, másodlagosan bizalmasságától és sértetlenségétől függ. Az adatvagyont összetett, elosztott (diverzifikált) informatikai rendszereken kezelik és tárolják. Alapvetően e vagyonelemek felelnek a rendelkezésre állásért. Az üzletmenet, a működés és a bevétel teljes körűen függ ezektől a vagyonelemektől
€, Ft, $ Rendszer 1
A
Rendszer 2
B
…
…
Rendszer 256
C
2014.12.01.
A szervezetnek tudnia kell; melyik vagyonelem fontos, melyik kevésbé fontos és melyik létfontosságú!
KOCKÁZATELEMZÉS
ELTE IT Biztonság Speci
5
Koncepcionális megközelítés Folyamatok Vagyonelemek VE1
VE2
VE3
VE4
VE5
…
VEn
Vagyonelemek kockázati értékei
BP1 BP2 BP3 BP4
X
X
X
X
X
… … BPn
X Öröklődő kumulált kockázati értékek
2014.12.01.
Folyamat vagyonelem függések
ELTE IT Biztonság Speci
6
3
2014.12.01.
Koncepcionális megközelítés Folyamatok Vagyonelemek VE1
VE2
VE3
VE4
VE5
…
VEn
BP1 BP3 BP4 …
Folyamat kárértékek
BP2
X
X
X
X
X
… BPn
X Folyamat vagyonelem függések
Folyamatokból származtatott kárértékek
2014.12.01.
ELTE IT Biztonság Speci
7
Koncepcionális megközelítés Folyamat vagyonelem függések
Folyamatok
Vagyonelemek VE1
VE2
VE3
VE4
VE5
…
VEn
BP1 BP2 BP3 BP4
X
X
X
X
X
… … BPn
X Kumulált vagyonelem kárértékek Kumulált vagyonelem kockázati tömeg értékek
2014.12.01.
ELTE IT Biztonság Speci
8
4
2014.12.01.
Kockázatelemzés típusok Kvalitatív jellegű kockázatelemzés, üzleti hatáselemzés (BIA) főbb ismérvei Számszerűen nem mérhető minőségi ismérveken alapszik (ezért kvalitatív). Az informatikai rendszer üzletmenetre gyakorolt hatását csak minőségi jellemzők alapján veszi figyelembe. A szervezeti működést modelláló képessége erősen korlátozott. A kimenetei összetettebb szervezet és rendszer esetén kevéssé megbízhatók. Gyorsan, relatíve kevés erőforrás felhasználásával elvégezhető. 2014.12.01.
ELTE IT Biztonság Speci
9
Kockázatelemzés típusok Kvantitatív (QN) kockázatelemzés főbb ismérvei Számszerű mérhető minőségi ismérveken alapszik (ezért kvantitatív). Az informatikai rendszer üzletmenetre gyakorolt hatását elsődlegesen mennyiségi jellemzők alapján veszi figyelembe. A szubjektív jellemzők méréséhez elsődlegesen a szubjektív skálák módszerét alkalmazza. A szervezeti működést modelláló képessége kifejezetten erős. A kimenetei nagyobb összetett szervezet és rendszer esetén is megbízhatóak. Viszonylag sok erőforrást igényel.
2014.12.01.
ELTE IT Biztonság Speci
10
5
2014.12.01.
Amiről most beszélünk
Kvantitatív (QN) kockázatelemzés
2014.12.01.
ELTE IT Biztonság Speci
11
Kvatitatív kockázatelemzés folyamata Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
12
6
2014.12.01.
Információs vagyonleltár Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése
Folyamatfelmérés
Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
13
Információs vagyonleltár Folyamatfelmérés Az elemzéshez mindenképp szükségesek
Folyamattérkép
A konkrét folyamatok grafikus modellben való ábrázolása
Folyamatábrák Az egyes folyamatok grafikus folyamatábráinak felvétele
Folyamatleírások Az egyes folyamatok narratív szöveges leírásai
Folyamatmodell Elvi modell a folyamatok egymáshoz való viszonyának ábrázolásához
Folyamatok azonosítása A szervezet konkrét üzleti-, működési folyamatainak azonosítása 2014.12.01.
ELTE IT Biztonság Speci
14
7
2014.12.01.
Információs vagyonleltár Üzleti/működési folyamat vagyonelem osztályai A szervezet fizikai elhelyezésre szolgáló telephelyek, épületekkel, az azokat kiszolgáló infrastrukturális elemeikkel és környezetükkel.
Adatvagyon Informatikai rendszerek Az információ, strukturált adatvagyon formájában a folyamatok és egyben a teljes szervezet legfontosabb és legalapvetőbb erőforrásai. Az üzleti folyamatok egyik legfontosabb ki és bemeneti értékét adják.
Eszközök, berendezések, szoftverek, hardverek és egyéb kiszolgáló berendezések működő, integrált rendszerei, amelyek az üzleti folyamatok technológiai hátterét biztosítják, azok működését támogatják. Ennek megfelelően az üzleti folyamatok függenek e háttér rendszereiktől, azok zavartalan működési képességétől.
2014.12.01.
A munkatársak, akik telephelyeken az informatikai rendszerek segítségével az üzleti folyamatokat működtetik.
Infrastruktúra
Emberi erőforrások (HR)
Üzleti/működési folyamat
ELTE IT Biztonság Speci
15
Információs vagyonleltár Elvi folyamatstruktúra Folyamat Azonosító BP 01
BP 02
2014.12.01.
Folyamat név Főfolyamat 1
Alfolyamat Azonosító
Alfolyamat név
Azonosító BP 01-01
Alfolyamat 1-1
BP 01-02
Alfolyamat 1-2
BP 01-03
Alfolyamat 1-3
BP 01-04
Alfolyamat 1-4
BP 02-01
Alfolyamat 2-1
BP 02-02
Alfolyamat 2-2
BP 02-03
Alfolyamat 2-3
BP 02-04
Alfolyamat 2-4
Főfolyamat 2
ELTE IT Biztonság Speci
16
8
2014.12.01.
Információs vagyonleltár Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása
Vagyonelem azonosítás
Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
17
Információs vagyonleltár Vagyonelemek azonosítása Alapvető vagyonelem osztályok
2014.12.01.
Adat (D)
Rendszer (IT)
Munkaerő (HR)
Infrastruktúra (I)
ELTE IT Biztonság Speci
18
9
2014.12.01.
Információs vagyonleltár Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása
Folyamat-vagyonelem Folyamatfüggőségek felmérése
Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
19
Információs vagyonleltár Folyamat-vagyonelem függőségek modellezése Cél: annak felmérése, hogy az egyes folyamatok mely vagyonelemektől és milyen mértékben függenek. Vagyonelem folyamat függőség modellezésére a vagyonelem hatásindex-et hoztuk létre [%] Elsősorban a vagyonelem rendelkezésre állást modellezzük. Az egyes vagyonelemek teljes körű kiesésének hatása az általuk kiszolgált folyamatokra eltérő. Pl. az VE1 vagyonelem teljes körű kiesése esetén a folyamat zavartalanul, vagy minimális funkciókieséssel tovább működik, míg a VE2 vagyonelem teljes körű kiesése esetén súlyos, hosszú ideig tartó funkciózavart, pl. teljes leállást szenved el. Ezt a hatást a konvencionális vagyonelem-hatásindex-szel modellezzük. Értéke 0% és 100% közé eső számérték lehet a konvenció helyzet- és környezetfüggő értelmezése szerint.
2014.12.01.
ELTE IT Biztonság Speci
20
10
2014.12.01.
Információs vagyonleltár Folyamat-vagyonelem függőségek feltérképezése Folyamat-vagyonelem relevancia mátrix VE1 BP1
VE2
VE3
VE4
45%
VE5
…
VEn
75%
BP2 BP3 BP4
50% 25%
100% 100%
…
25%
20%
100% 25%
… BPn
2014.12.01.
15%
100%
ELTE IT Biztonság Speci
21
Információs vagyonleltár Folyamat-vagyonelem mátrix példa (részlet) Folyamatok és vagyonelemek egymástól való függőségeinek felmérése
2014.12.01.
ELTE IT Biztonság Speci
22
11
2014.12.01.
2014.12.01.
ELTE IT Biztonság Speci
23
Fenyegetéskatalógus Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése Fenyegetés katalógus összeállítása
2014.12.01.
24Speci ELTE IT Biztonság
24
12
2014.12.01.
Fenyegetéskatalógus Fenyegetés alapkatalógus elkészítése Fenyegetés alapkatalógus elkészítése a különféle fenyegetés osztályokban:
• Természeti eredetű fenyegetések N[x] • Infrastrukturális eredetű fenyegetések I[x] • Akaratlan humán eredetű hibák AHH[x] • Akaratlan humán eredetű információsértések AHI[x] • Informatikai eredetű hibák IH[x] • Akaratlagos informatikai támadások AIT[x] • Akaratlagos információsértések AIS[x] • Akaratlagos egyéb támadások AET[x] • Dokumentációk hiánya, nem megfelelősége D[x] • Kompetenciák hiánya, nem megfelelősége K[x] • Életciklus kezelés hiánya, nem megfelelősége E[x] • Szolgáltatás kiszervezés, kihelyezés fenyegetései KI[x] 2014.12.01.
ELTE IT Biztonság Speci
25
Védelmi intézkedés katalógus Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése
Védelmi intézkedés katalógus összeállítása
Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
26
13
2014.12.01.
Védelmi intézkedés katalógus A védelmi intézkedés katalógus az adott fenyegetésre vonatkozóan: • alkalmazható védelmi intézkedések katalógusa, • fenyegetésosztályonként tagolva, • fenyegetésenkénti relevanciákkal, • általános értelmezésben
2014.12.01.
ELTE IT Biztonság Speci
27
Védelmi intézkedés katalógus Védelmi intézkedés katalógus példa (részlet) Egyedi
azonosító Védelmi intézkedés érettségi SF1 Tűzvédelmi rendszer szintje (pl.SF19COBIT ………………….. alapján) SF20 SF21 SF22 SF23 SF24 SF25 SF26 SF27 SF28 SF29 SF30 SF31 SF32 SF33 SF34 SF35 SF36 SF37 SF45 SF98 SF99
2014.12.01.
Védelmi intézkedés megnevezése
Redundáns tápellátás Átmeneti szünetmentes tápellátás (UPS, generátor) Redundáns belső hálózat a megfelelő helyeken Külső szállító rendelkezésre állása (SLA) Túláram és impulzusok elleni védelem a megfelelő helyeken Redundáns szolgáltató rendelkezésre tartása (BCP) Átterhelési terv mobil kommunikációra (BCP) Redundáns tartalék szolgáltató rendelkezésre tartása DRP megléte és megfelelősége Tartalék infrastruktúra rendelkezésre tartása Infrastruktúra pótlása Készenléti szolgáltatás rendelkezésre tartása (SLA) Négyszem elv Jogosultságok szükséges minimális szinten tartása Szükséges, minimális kikényszerített eljárások alkalmazása Rendszeres és ellenőrzött mentések Szerepkörök szétválasztása Naplógyűjtési és elemzési rendszer megléte és megfelelősége Határvédelem megléte és megfelelő kialakítása ………………………………………… Hibavisszacsatolási folyamatok tartalmi elemei megfelelőségének rendszeres ellenőrzése
ELTE IT Biztonság Speci
Érettség (0-5) 5 4 5 5 4 4 5 4 3 4 4 5 5 5 4 3 4 5 4 3 4 4 4
28
14
2014.12.01.
Fenyegetéskatalógus Konvencionális értékmátrixok Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása
Konvencionális értékmátrixok létrehozása
Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
29
Fenyegetéskatalógus Konvencionális értékmátrixok Konvencionális értékmátrixok:
• Bekövetkezési valószínűség (BV) • Károkozási képesség (KK) • Vagyonelem hatásindex • Vagyonelem maradványkockázati tömeg szerinti besorolás • Vagyonelemek üzleti érték szerinti kockázati besorolás • Védelmi intézkedés hatékonyság • Vagyonelem abszolút kockázati besorolása • stb…
2014.12.01.
ELTE IT Biztonság Speci
30
15
2014.12.01.
Fenyegetéskatalógus Konvencionális értékmátrixok Bekövetkezési valószínűség és károkozási képesség konvenciómátrix példák Bekövetkezési valószínűség érték - BV
Bekövetkezési valószínűség P
Nem valószínű
0
0
Kismértékben valószínű
1
kisebb mint 0,5
Valószínű
2
nagyobb, mint 0,7
Erősen valószínű
3
1
P értelmezés
Lehetetlen esemény bekövetkezés
Frekvencia értelmezés
100 évente egyszer bekövetkező esemény 10 évente egyszer bekövetkező esemény Évente legalább egyszer bekövetkező esemény
Biztos esemény bekövetkezés
Évente 1-nél többször bekövetkező esemény
Károkozási képesség (KK) konvenció mátrix B
S
R
0
A vagyonelem bizalmassága nem szenved kárt
A vagyonelem nem sérül
A vagyonelem teljes funkcionalitással, tartalommal rendelkezésre áll
Enyhe károkozási képesség
1
A vagyonelem kevesebb, mint 20%-a kerül felfedésre és/vagy alacsony bizalmassági adatok felfedésre kerülnek
A vagyonelem és/vagy adat kevesebb, mint 20-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának 20%-nál kisebb része nem áll rendelkezésre
Közepes károkozási képesség
2
A vagyonelem több, mint 21-50%-a felfedésre kerül és/vagy közepes bizalmassági szintű adatok tömegesen felfedésre kerülnek
A vagyonelem és/vagy adat kevesebb, mint 21-50%-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának 21-50%-a nem áll rendelkezésre
Nincs károkozási képesség
Súlyos károkozási képesség
3
A vagyonelem 51-80%-ban felfedésre kerül és/vagy A vagyonelem és/vagy adat 51-80%-a sérül, elvész, vagy A vagyonelem funkcionalitásának több, mint 80%-a nem áll legmagasabb bizalmassági szintű adatok részlegesen megsemmisül rendelkezésre felfedésre kerülnek
Végzetes károkozási képesség
4
A vagyonelem 80-100%-os mértékben felfedésre kerül és/vagy legmagasabb bizalmassági szintű adatok tömegesen, vagy teljes mértékben felfedésre kerülnek
2014.12.01.
A vagyonelem 80-100%-ban megsemmisül
A vagyonelem funkcionalitásának 80-100%-a nem áll rendelkezésre
ELTE IT Biztonság Speci
31
Fenyegetéskatalógus Konvencionális értékmátrixok Egyéb konvenció mátrix példa
2014.12.01.
-1≤
VIH%-∑VÜÉ%
≤-0,5
-0,5<
VIH%-∑VÜÉ%
≤-0,25
-0,25<
VIH%-∑VÜÉ%
≤0,25
0,25<
VIH%-∑VÜÉ%
≤0,5
0,5<
VIH%-∑VÜÉ%
≤1
Kockázatarányos védelem megvalósulása A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések bizonyosan elégtelenek.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések valószínűleg elégtelenek.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések vélhetően megfelelőek.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések valószínűleg túlzottak.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések nagy valószínűséggel erősen túlzottak.
ELTE IT Biztonság Speci
Bizonyosan elégtelen
Valószínűleg elégtelen
Megfelelő
Valószínűleg túlzó
Bizonyosan túlzó
32
16
2014.12.01.
Fenyegetéskatalógus Konvencionális értékmátrixok Védelmi intézkedés hatékonyság konvenciómátrix példa 0%
Érték 11 12 13 14 21 22 23 24 31 32 33 34 41 42 43 44
VIH% Hatékonyság Megfelelő Valószínűleg elégtelen Nagy valószínűséggel elégtelen Nagy valószínűséggel elégtelen Megfelelő Megfelelő Valószínűleg elégtelen Nagy valószínűséggel elégtelen Valószínűleg túlzó Megfelelő Megfelelő Valószínűleg elégtelen Nagy valószínűséggel túlzó Valószínűleg túlzó Megfelelő Megfelelő
2014.12.01.
90-100 80-90 60-80 0-25
4 3 2 1
25% 0-25 1 41 31 21 11
50% VÜÉ% 25-50 2 42 32 22 12
75% 50-75 3 43 33 23 13
100% 75-100 4 44 34 24 14
ELTE IT Biztonság Speci
33
Kockázatelemzés Információs vagyonleltár
Fenyegetés katalógus (Threat Inventory)
(Information Asset Inventory) Kockázati mátrix prototípusok Folyamatfelmérés létrehozása Vagyonelem azonosítás Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
34
17
2014.12.01.
Kockázatelemzés Kockázati mátrix prototípusok elkészítése Kockázati mátrix prototípusok készítése az összes vagyonelem osztályra:
• Rendszer prototípus(ok) • Adat prototípus(ok) • Munkaerő prototípus(ok) • Infrastruktúra prototípus(ok) • Stb…
2014.12.01.
ELTE IT Biztonság Speci
35
Kockázatelemzés Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Fenyegetésmátrixok katalógus Vagyonelem kockázati Védelmi intézkedés katalógus feltöltése Folyamat-vagyonelem függőségek felmérése Konvencionális értékmátrixok létrehozása Folyamatfelmérés
Vagyonelem azonosítás
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
36
18
2014.12.01.
Kockázatelemzés Vagyonelem kockázati mátrixok feltöltése Bekövetkezési valószínűség - BV Bekövetkez ési valószínűség érték - BV Nem valószínű
Bekövetkezési valószínűség P
Frekvencia értelmezés
0
100 évente egyszer bekövetkező esemény 10 évente egyszer bekövetkező esemény Évente legalább egyszer bekövetkező esemény Évente 1-nél többször bekövetkező esemény
0 Kismértékben valószínű Valószínű
1 kisebb mint 0,5 2 nagyobb, mint 0,7
Erősen valószínű
3 1
Károkozási képesség- KK Károkozási képesség (KK) konvenció mátrix
Nincs károkozási képesség
0
Enyhe károkozási képesség
1
Közepes károkozási képesség
2
B
S
R
A vagyonelem bizalmassága nem szenved kárt
A vagyonelem nem sérül
A vagyonelem teljes funkcionalitással, tartalommal rendelkezésre áll
A vagyonelem kevesebb, mint 20%-a kerül felfedésre és/vagy alacsony bizalmassági adatok felfedésre kerülnek
A vagyonelem és/vagy adat kevesebb, mint 20-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának 20%-nál kisebb része nem áll rendelkezésre
A vagyonelem több, mint 21-50%-a felfedésre kerül és/vagy A vagyonelem és/vagy adat kevesebb, mint 21-50%-a sérül, közepes bizalmassági szintű adatok tömegesen felfedésre elvész, vagy megsemmisül kerülnek
Súlyos károkozási képesség
3
A vagyonelem 51-80%-ban felfedésre kerül és/vagy legmagasabb bizalmassági szintű adatok részlegesen felfedésre kerülnek
Végzetes károkozási képesség
4
A vagyonelem 80-100%-os mértékben felfedésre kerül és/vagy legmagasabb bizalmassági szintű adatok tömegesen, vagy teljes mértékben felfedésre kerülnek
2014.12.01.
A vagyonelem funkcionalitásának 21-50%-a nem áll rendelkezésre
A vagyonelem és/vagy adat 51-80%-a sérül, elvész, vagy megsemmisül
A vagyonelem funkcionalitásának több, mint 80%-a nem áll rendelkezésre
A vagyonelem 80-100%-ban megsemmisül
A vagyonelem funkcionalitásának 80-100%-a nem áll rendelkezésre
ELTE IT Biztonság Speci
37
Kockázatelemzés Vagyonelem kockázati mátrixok feltöltése Vagyonelem kockázati mátrixok feltöltése • Alap kockázati értékek meghatározása AK=BVA(B,S,R)*KKA(B,S,R) Bekövetkezési valószínűség (BV)
Károkozási képesség (KK)
2014.12.01.
0
1
2
3
0
0
0
0
0
1
0
1
2
3
2
0
2
4
6
3
0
3
6
9
4
0
4
8
12
ELTE IT Biztonság Speci
38
19
2014.12.01.
Kockázatelemzés Vagyonelem kockázati mátrixok feltöltése Vagyonelem kockázati mátrixok feltöltése:
• Védelmi intézkedés (safeguard) relevanciák •
meghatározása Maradványkockázati értékek (MK) meghatározása védelmi intézkedés érettségi szintek megadásával
2014.12.01.
ELTE IT Biztonság Speci
39
Kockázatelemzés Vagyonelem kockázati mátrixok feltöltése Vagyonelem kockázati mátrixok feltöltés példa (részlet) Maradványkockázati értékek
Védelmi intézkedés érettségi szint (pl. COBIT) 2014.12.01.
ELTE IT Biztonság Speci
40
20
2014.12.01.
Kockázatelemzés Információs vagyonleltár
Fenyegetés katalógus (Threat Inventory)
(Information Asset Folyamatok ésInventory) vagyonelemek Folyamatfelmérés üzletiVagyonelem értékeinek számítása azonosítás Folyamat-vagyonelem függőségek felmérése
Fenyegetés katalógus Védelmi intézkedés katalógus Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
41
Kockázatelemzés Folyamatok üzleti értékeinek számítása Pézügyi kár (PK): • A folyamat által éves szinten termelt bevétel, a szolgáltatás kieséséből adódó elmaradt haszon. • A folyamat pótlásának és újraindításának költségei. Közvetett kár (PK): • A folyamat kieséséből származó harmadik felek számára fizetendő károk értéke. • A jó hírnév elvesztéséből, csorbulásából származó reputációs károk és ebből eredő jövőbeli elmaradó haszon. • A személyes adatok, banktitkok, stb. napvilágra kerüléséből, jogok és törvényi előírások megsértéséből származó járulékos károk. Teljes kár, vagy üzleti érték (TK): a pénzügyi károkokból (PK) és a közvetett károkból (KK) áll össze, vagyis
TK = PK + KK 2014.12.01.
ELTE IT Biztonság Speci
42
21
2014.12.01.
Kockázatelemzés Folyamatok üzleti értékeinek számítása
Teljes kárérték
Pénzügyi kár 2014.12.01.
ELTE IT Biztonság Speci
Közvetett kár 43
Kockázatelemzés Vagyonelemek üzleti értékeinek számítása
Folyamat üzleti értéke
Vagyonelem üzleti értéke 2014.12.01.
ELTE IT Biztonság Speci
44
22
2014.12.01.
Kockázatelemzés Folyamatok és vagyonelemek kockázati értékszámítása Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
katalógus Folyamatok és Fenyegetés vagyonelemek Védelmi intézkedés katalógus kockázatiKonvencionális értékszámítása Folyamat-vagyonelem függőségek felmérése értékmátrixok létrehozása Folyamatfelmérés
Vagyonelem azonosítás
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
45
Kockázatelemzés Folyamatok és vagyonelemek kockázati értékszámítása Folyamat üzleti értéke
Védelmi intézkedés hatékonysága
Vagyonelem alapalap- és maradványkockázati tömege
2014.12.01.
ELTE IT Biztonság Speci
Vagyonelem üzleti értéke
46
23
2014.12.01.
Kockázatelemzés Információs vagyonleltár Elemzés, kockázati (Information Asset Inventory) besorolások készítése
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
47
Kockázatelemzés Folyamatok és vagyonelemek üzleti értékeinek elemzése Üzleti érték folyamat-vagyonelem koordináta rendszerben
7 000 000 000 Ft 6 000 000 000 Ft 5 000 000 000 Ft 4 000 000 000 Ft 3 000 000 000 Ft 2 000 000 000 Ft 1 000 000 000 Ft 0 Ft
2014.12.01.
ELTE IT Biztonság Speci
48
24
2014.12.01.
Kockázatelemzés Folyamatok és vagyonelemek kockázati értékeinek elemzése Maradványkockázati tömeg folyamat-vagyonelem koordináta rendszerben 900 800 700 600 500 400 300 200 100 0
2014.12.01.
ELTE IT Biztonság Speci
49
Kockázatelemzés Vagyonelemek kockázatelemzése Vagyonelemek maradványkockázati össztömeg értéke
12 000
11 544
14 000
∑MKT MAGAS (3000) KÖZEPES (1000)
10 000
8 000
6 000
2 000
3 012 2 707 2 386 2 141 1 861 1 841 1 666 1 417 1 417 1 293 1 024 961 838 761 759 759 734 723 708 708 699 649 620 620 620 607 568 557 548 410 405 405 405 387 387 367 362 362 362 354 354 354 354 315 304 300 294 213 212 212 210 209 200 190 175 155 139 125 95 83 80 79 53 52 52 52 51 40 40 30 25 20 20 20 15 10 10 10 10 10 10 10 5 5 5 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
4 000
0
2014.12.01.
ELTE IT Biztonság Speci
50
25
2014.12.01.
8 000 000 000 Ft
2 000 000 000 Ft
2014.12.01.
1 563 718 156 1 446 586 851 1 434 984 735 1 434 184 735 1 434 184 735 1 367 393 442 1 281 306 974 1 010 600 898 861 822 771 861 822 771 666 458 970 463 885 343 395 453 926 348 277 516 344 330 850 311 717 360 249 502 296 246 119 657 200 950 233 168 549 997 138 618 674 128 363 823 128 363 823 120 387 827 120 387 827 119 157 307 108 893 087 102 946 455 62 882 248 39 952 748 26 054 418 13 566 010 13 036 868 4 946 667 4 891 045 4 780 000 4 724 379 4 557 712 4 557 712 2 706 667 2 473 333 1 489 462 1 176 000 633 333 500 000 500 000 466 667 333 333 166 667 166 667 166 667 166 667 166 667 166 667 166 667 166 667 166 667 88 000 88 000 83 333 16 667 16 667 0 0 0 0 0 0 0 0 0 0 0
6 593 488 537 6 407 168 201 6 407 168 201 6 406 868 201 6 406 868 201 6 406 868 201 6 406 868 201 6 406 868 201 6 406 710 868 6 406 534 868
10 000 000 000 Ft
8 804 372 049 8 747 671 540 8 619 027 713 8 618 227 713 8 618 227 713 7 841 052 937 7 841 052 937 7 841 052 937 7 841 052 937 7 774 261 643
10 644 481 918 10 385 798 659 10 251 626 651 10 182 128 712 10 178 222 382 10 127 954 266 10 053 212 448 10 052 912 448
2014.12.01.
Kockázatelemzés
Vagyonelemek kockázati besorolása
Vagyonelem maradványkockázati tömeg érték szerinti kockázati besorolása
Besorolás ∑MKT érték
ELTE IT Biztonság Speci
Kockázati érték
MAGAS > 3 000 3
KÖZEPES <= 3 000 2
ALACSONY < 1 000 1
ELTE IT Biztonság Speci 51
Kockázatelemzés
Vagyonelemek üzleti érték szerinti elemzése
12 000 000 000 Ft
Vagyonelem üzleti értékek
∑VÜÉ
MAGAS (9000000000)
KÖZEPES (2000000000)
6 000 000 000 Ft
4 000 000 000 Ft
0 Ft
52
26
2014.12.01.
Kockázatelemzés Vagyonelemek üzleti érték szerinti besorolása
Vagyonelem üzleti érték szerinti kockázati besorolása
∑VÜÉ érték
Besorolás
Kockázati érték
MAGAS
>
9 000 000 000 Ft
3
KÖZEPES
<=
9 000 000 000 Ft
2
ALACSONY
<
2 000 000 000 Ft
1
2014.12.01.
ELTE IT Biztonság Speci
53
Kockázatelemzés Vagyonelemek abszolút kockázati besorolása
Vagyonelemek abszolút kockázati besorolása Vagyonelem üzleti érték szerinti besorolása Vagyonelem kockázati tömeg szerinti besorolása
3
2
1
3
MAGAS (9)
MAGAS (6)
KÖZEPES (3)
2
MAGAS (6)
KÖZEPES (3)
ALACSONY (2)
1
KÖZEPES (3)
ALACSONY (2)
ALACSONY (1)
2014.12.01.
ELTE IT Biztonság Speci
54
27
2014.12.01.
Kockázatelemzés Vagyonelemek kockázati besorolása
2014.12.01.
ELTE IT Biztonság Speci
55
Kockázatelemzés Információs vagyonleltár (Information Asset Inventory)
Fenyegetés katalógus (Threat Inventory)
Folyamatfelmérés
Kockázatkezelési terv és jelentés készítése Fenyegetés katalógus
Vagyonelem azonosítás
Védelmi intézkedés katalógus
Folyamat-vagyonelem függőségek felmérése
Konvencionális értékmátrixok létrehozása
Kockázatelemzés (Risk Analisys) Kockázati mátrix prototípusok Vagyonelem kockázati mátrixok Folyamatok és vagyonelemek üzleti értékeinek számítása Folyamatok és vagyonelemek kockázati értékszámítása Kockázati besorolások készítése Kockázatkezelési terv készítése
2014.12.01.
ELTE IT Biztonság Speci
56
28
2014.12.01.
Kockázatelemzés Védelmi intézkedés hatékonyságelemzés Védelmi intézkedés hatékonyság elemzése VÜÉ%
VIH%
0-25
26-50
51-75
76-100
1
2
3
4
91-100
4
41
42
43
44
81-90
3
31
32
33
34
26-80
2
21
22
23
24
0-25
1
11
12
13
14
2014.12.01.
ELTE IT Biztonság Speci
57
Kockázatelemzés Védelmi intézkedés hatékonyság elemzése Alkalmazott védelmi intézkedések hatékonysága
-1≤
VIH%-∑VÜÉ%
≤-0,5
-0,5<
VIH%-∑VÜÉ%
≤-0,25
-0,25<
VIH%-∑VÜÉ%
≤0,25
0,25<
VIH%-∑VÜÉ%
≤0,5
0,5<
VIH%-∑VÜÉ%
≤1
2014.12.01.
Kockázatarányos védelem megvalósulása A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések bizonyosan elégtelenek.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések valószínűleg elégtelenek.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések vélhetően megfelelőek.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések valószínűleg túlzottak.
A vagyonelem üzleti értékéhez képest az alkalmazott védelmi intézkedések nagy valószínűséggel erősen túlzottak.
ELTE IT Biztonság Speci
Bizonyosan elégtelen
Valószínűleg elégtelen
Megfelelő
Valószínűleg túlzó
Bizonyosan túlzó
58
29
2014.12.01.
Kockázatelemzés Védelmi intézkedés hatékonyság elemzése 0%
Érték 11 12 13 14 21 22 23 24 31 32 33 34 41 42 43 44
VIH% Hatékonyság Megfelelő Valószínűleg elégtelen Nagy valószínűséggel elégtelen Nagy valószínűséggel elégtelen Megfelelő Megfelelő Valószínűleg elégtelen Nagy valószínűséggel elégtelen Valószínűleg túlzó Megfelelő Megfelelő Valószínűleg elégtelen Nagy valószínűséggel túlzó Valószínűleg túlzó Megfelelő Megfelelő
2014.12.01.
90-100 80-90 60-80 0-25
25% 0-25 1 41 31 21 11
4 3 2 1
50% VÜÉ% 25-50 2 42 32 22 12
ELTE IT Biztonság Speci
75% 50-75 3 43 33 23 13
100% 75-100 4 44 34 24 14
59
Kockázatelemzés Védelmi intézkedés hatékonyság besorolás Érték 11 12 13 14 21 22 23 24 31 32 33 34 41 42 43 44
2014.12.01.
Hatékonyság Megfelelő Valószínűleg elégtelen Nagy valószínűséggel elégtelen Nagy valószínűséggel elégtelen Megfelelő Megfelelő Valószínűleg elégtelen Nagy valószínűséggel elégtelen Valószínűleg túlzó Megfelelő Megfelelő Valószínűleg elégtelen Nagy valószínűséggel túlzó Valószínűleg túlzó Megfelelő Megfelelő
ELTE IT Biztonság Speci
60
30
2014.12.01.
Kockázatelemzés Védelmi intézkedés hatékonyság besorolás
2014.12.01.
ELTE IT Biztonság Speci
61
Kockázatelemzés Kockázatkezelés
• Kockázatkezelési terv javaslat készítése • Üzletfolytonossági rendszer (BCM) bemenetek •
2014.12.01.
számítása Naplómenedzsment rendszer kockázatokkal arányos megvalósítása • Stb…
ELTE IT Biztonság Speci
62
31
2014.12.01.
Kockázatkezelés Kockázati helyzetjavító hatás maximalizálása A fejlesztendő vagyonelemek és/vagy védelmi intézkedések kiválasztásának alapelvei:
• ÉRTÉK: a legértékesebb folyamatokat és/vagy
• 2014.12.01.
vagyonelemeket érintő fenyegetések • KOCKÁZAT: a szervezet kockázati helyzetet, összképet leginkább javító fenyegetések • HATÓKÖR: a szervezetben és/vagy a rendszerben legszerteágazóbb hatókörrel bíró vagyonelemek fenyegetései SZÁMOSSÁG: a legtöbb vagyonelemet és/vagy folyamatot érintő fenyegetések ELTE IT Biztonság Speci
63
Kérdések
Köszönöm a figyelmet.
2014.12.01.
ELTE IT Biztonság Speci
64
32