Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor
Tartalom Rövid személyes bemutatkozás Bevezető gondolatok Kockázatértékelés és BS 7799-2:2002 A kockázatértékelés áttekintő algoritmusa A szervezeti „erőtér” Típusos algoritmusok Közkórház Csomagküldő Bank Járműipari beszállító Összefoglaló következtetések
Tarján Gábor 4 év információbiztonság ( www.bs7799.hu ) Szervező-vegyészmérnök (VE 1986) Mérnök-közgazdász (BKE 1992) MBA (BME 2000) CMC – „hites vezetési tanácsadó” 16 év vezetési tanácsadásban 12 év tréneri, oktatói tapasztalat 5 év cégvezetés (SZENZOR GM Kft.) 4 év információbiztonság ( www.bs7799.hu ) 2005. február 01. óta FLAG Informatikai Rt. – információbiztonsági üzletág igazgató Hétpecsét Információbiztonsági Egyesület alelnök
Bevezető gondolatok Az ISMS „magja” a kockázatértékelés A BS 7799-2:2002 kevés támpontot ad a végrehajtáshoz Létezik-e egy uniformizált kockázatértékelési módszertan? Gondolatkísérlet négy szervezettípusra: közkórház, csomagküldő szolgálat, bank, járműipari beszállító
A kockázatértékelés és a BS 7799-2:2002 A BS 7799-2:2002 szabvány [2] a kockázatértékelésről a következőket mondja a 4.2.1 fejezetben: „a szervezet… c, határozzon meg egy szisztematikus kockázatértékelési megközelítést (módszertant), d, azonosítsa a kockázatokat, e, értékelje a kockázatokat, f, határozzon meg és értékeljen a kockázatok kezelésére vonatkozó lehetőségeket, g, válasszon ki szabályozási célokat és szabályozásokat a kockázatok kezelésére.”
A kockázatértékelés áttekintő algoritmusa 1. A szervezeti „erőtér” vizsgálata 2. Az alkalmazási terület és a politika meghatározása 3. A védendő értékek számbavétele és értékelése 4. A fenyegetettségek elemzése – kockázatelemzés 5. Kockázatkezelés
A szervezeti „erőtér” A szervezet működési környezete, mint „erőtér”: Az állam (társadalom) szabályozó ereje A vevők (ügyfelek) igénye a bizalom iránt A kezelt információk teljessége az információs életciklus szempontjából A verseny erőssége és kiterjedése az adott iparágon (szolgáltatói ágon) belül Ez a négy elem minden gazdálkodó szervezet erőterében jelen van, csak a mértéke és aránya különböző!
A közkórház Az erőtér hangsúlyos elemei Az állam szabályozó ereje nagy A költségvetési korlát igen erős! Az információbiztonsági politika kulcsszavai: Betegadatok bizalmas kezelése Költség-hatékony megoldások keresése Az alkalmazási terület: „betegadatok”
A közkórház
A csomagküldő szolgálat Az erőtér hangsúlyos eleme: A legfőbb érték az ügyfél adatbázis! Az információbiztonsági politika kulcsszavai: Az ügyféladatbázis kiemelt védelme Az adat-életciklus menedzsment Az alkalmazási terület: „ügyféladatok a keletkezésük pillanatától megsemmisítésükig”
A csomagküldő szolgálat
A bank Az erőtér hangsúlyos eleme Az ügyfelek bizalmának megnyerése és megtartása! Az információbiztonsági politika kulcsszavai: Bizalmasság Sértetlenség 24 órás rendelkezésre állás Az alkalmazási terület: „ügyfelek adatainak és tranzakcióinak teljes körű logikai, fizikai és személyi védelme”
A bank
A bank
A járműipari beszállító Az erőtér hangsúlyos elemei Erősen (darab)költségvezérelt gazdálkodás Az információbiztonsági politika kulcsszavai: Az elvárt védelmi szint rendszeres egyeztetése a megrendelővel Az üzleti folyamat védelme Költség-hatékony megoldások választása Az alkalmazási terület: „X vevő Y termékéhez kötődő információk védelme a teljes termelési ciklus során (a terméktervezéstől a kiszállítás utáni szolgáltatásokkal bezárólag)”
A járműipari beszállító
Összefoglaló következtetések Nincs egységes recept a kockázatértékelés végrehajtásához A kockázatértékelés a szervezet „erőterének” vizsgálatával kezdődik Testre szabás nélkül nem megy Az ISMS működtetésének részeként a kockázatértékelés-karbantartása is igényel folyamatosan erőforrásokat
Tarján Gábor (06-30-982-2251) tarjan.gabor@flag.hu Köszönöm a figyelmet! Tarján Gábor (06-30-982-2251) tarjan.gabor@flag.hu