Kockázatértékelés a fizikai védelem területén (egy lehetséges módszer/megoldás) MVM BSZK Biztonsági Szolgáltató Központ Zrt. Dr. Horváth Tamás fizikai védelmi és humánbiztonsági igazgató

Miről lesz szó? Miért is kell erről beszélni Tervezési stratégiák Kockázatértékelés, vagy ötlet Biztonsági besorolás (klasszifikáció) Létesítményi mátrix Veszélyfelhő Eredmény Fizikai védelmi alapkövetelmények

Tervezési meggondolások 1. Elrettentés Technológiai szintjében erőt és sérthetetlenséget sugároz Meghiúsítás Részletes válasz: motiváció, szándék, képesség Tervezési alapfenyegetettség

Tervezési meggondolások 2. (meghiúsítás) Jelzés valószínűsége: PD = 1 - (1 - PD1)·(1 - PD2)· … ·(1 - PDn) Garcia, M.L.: Vulnerability and assessment of physical protection systems

Konklúzió a tervezésről Ismerni kell az adott létesítmény biztonsági kockázatait Megrendelői igények Objektum/létesítmény orientált tervezés Gazdasági szempontoknak is megfelel Teljes körű indokrendszert képez Nem lehet, hogy pusztán gazdasági kérdéssé váljon a biztonság

Vagyonvédelem vs fizikai védelem Személy- és vagyonvédelem Fizikai védelem „Insider”… Koncepcionális különbségek (elrettentés/meghiúsítás)

Vagyonvédelmi és fizikai védelmi rendszerek alapelemei Behatolásjelző rendszerek Beléptető rendszerek Videó megfigyelő rendszerek Egyedi védelmi megoldások (speciális védelmi igényű területek) Megjegyzés: tűzvédelmi rendszerek jelen esetben nincsenek a téma fókuszában… Létesítmények klasszifikációja nem megkerülhető!

Kockázatértékelés vagy ötletek „A veszély elmúltával Isten neve is eltűnik.” Mahatma Gandhi 𝑘 𝑒 = 𝑃 𝑒 𝑥 𝐻 𝑒 ahol ke= elemi esemény kockázati együtthatója Pe= az elemi esemény bekövetkezésének valószínűsége He= az elemi esemény következményének hatása a létesítményre Sok szabadságfokú függvény Társadalmi beágyazódottság Alkalmazott technológia Adatvagyon szenzitivitása (Mi lesz, ha nyilvánosságra kerül?) Általában a fizikai védelmi rendszer vonatkozásban károkról nincs historikus adat! Az emberi tevékenység matematikai függvényekben nehezen értékelhető – szakértői csoport kell, nehezített pálya. Kognitív torzítások - tesztek

Klasszifikáció Önkényesen, de célszerűen 4 biztonsági kockázati szint bevezetése Alacsony-Közepes-Magas-Fokozott biztonsági kockázatú létesítmény Kockázati mátrix használata Adott létesítmény besorolása Adott létesítmény biztonsági kockázati auditja Veszélyfelhő megalkotása (működésből-műszaki problémákból-bűnügyi fertőzöttségből-emberi munkavégzésből adódó veszélyek) - Értékelés – Meglelő/Nem megfelelő Különböző biztonsági kockázatú létesítményekben telepítendő biztonságtechnikai rendszerek alapkövetelményei meghatározása

Kockázatértékelés logikai folyamata

Létesítményi mátrix

Létesítményi mátrix eredménye

Létesítményi kockázat / Veszélyfelhő (Ishikawa diagram)

Veszélyfelhő minta 1. (4 csoport)

Veszélyfelhő minta 2.

Kárhatás értékelő mátrix (csoport átlagok)

Kárhatás táblázat - becslés Feltételezve: gazdasági társaság éves árbevételének 5-10 % -t képes eredményként létrehozni

Példák, minta számítások Ami érdekes: látható a Létesítményi Együttható (kockázati érték); ami ez alatt van az nem éri el a kockázati szintet, azaz átlagban rendben van, de amely kockázati értéke nagyobb, azzal foglalkozni kell…

Fizikai védelmi alapkövetelmények (előerős, mechanikai, elektronikai védelem) ABKL (Alacsony Biztonsági Kockázatú Létesítmény) KBKL (Közepes…) MBKL (Magas…) FBKL (Fokozott…) Speciális védelmi igényű területek (zónák) Pénztár Személyi nyilvántartó Minősített adatok kezelése (90/2010 (III.26) Korm. Rendelet; papír alapú és/vagy elektronikus adat) Szerver szobák, termek (2013. évi L. törvény: nem mindenhol érvényes, de irányadó… ) Stb.

Alapkövetelmény példa „olvasóknak” (ABKL) Élőerős védelem A kategóriában nem szükséges. Mechanikai védelem Kerítés Létesítmény jogi határán minimálisan fonott, 1,5 m magas drótkerítés telepítése szükséges; a személy-, és gépkocsi bejárók számára a kerítés anyagával azonos mechanikai szilárdságú, nyitható/zárható kapuk felszerelése elengedhetetlen; a záró/nyitó szerkezetek kialakításánál a hosszú távú, nagy igénybevételű terhelésekre kell felkészülni; mind a személy-, mind a teherkapuknál kaputelefon beépítése szükséges; a kapuk távoli nyitására lehetőséget kell biztosítani. Falak, falazatok épületfalazatok kialakításánál különleges biztonsági követelmények nincsenek. Zárszerkezetek, zárbetétek a létesítményben nem megerősített zárszerkezetek, zárbetétek is használhatók; a zárbetétek felszerelésénél a kisebb, mint 4 mm-es „túllógás” lehetséges a nem védett oldalon. Nyílászárók a létesítményben telepítendő nyílászárók nem szükséges, hogy több ponton záródjanak.

Alapkövetelmény példa „olvasóknak” (ABKL) Elektronikus védelem Videó megfigyelő rendszer valamennyi kültéri bejárónál, illetve az épületekbe történő belépési pontoknál kamera elhelyezése szükséges; a kamerák egy része által biztosított képeknek alkalmasnak kell lenniük a belépni szándékozók, illetve a belépett személyek azonosítására; a kamerák másik része továbbítson jól értékelhető képet a belépési pontok, illetve az azok közvetlen környezetében történő eseményekről; a videofelvételeket jogszabályok/belső szabályozás szerinti időtartamra archiválni kell. a vezénylő épületben legalább egy videó megfigyelő munkaállomást, 2 monitorral (munka és spot monitorok) kell elhelyezni, ahonnan az előképek, és az archivált anyagok is megtekinthetők. Behatolásjelző rendszer (csapdaszerű védelem) behatolásjelző rendszert kell kiépíteni a zónába tartozó épületekben; a telepítendő behatolásjelző rendszert az épületek földszintjén, I. emeletén csapda-szerűen kell kialakítani, azaz a bejáratokat nyitásérzékelőkkel, illetve az épületfolyosókat teljes körű térvédelemmel kell ellátni; a rendszer állapotát olyan távfelügyeleti szolgálat részére kell átjelezni, ahol kivonuló szolgálat is van. Beléptető rendszer a létesítményben kialakított kártyás beléptető rendszerrel kompatibilis beléptető rendszert kell telepíteni, amely az Egységes Beléptető Rendszer része; (MVM Csoport kritérium) kétirányú belépési pontokat kell telepíteni az épületek bejáratainál; a beléptető rendszer kezelését legalább egy munkaállomással biztosítani szükséges.  

Összefoglalás Nem kerülhető meg az egyes létesítmények klasszifikációja „Objektumorientált”, testreszabott rendszerek Nincs archív adat, nem számítható a valószínűség, szakértői csoport kell Fizikai védelmi alapkövetelmények alkalmazása… Egyedi védelmi igények Részterületek kockázatai külön-külön is értékelhetőek Személyes adatok védelmi igénye (adatkezelő-adatfeldolgozó) integrálható a veszélyfelhőbe… Egységes védelmi filozófia, koherens, értékarányos védelem

mobil: +36 20 3264620; e-mail: thorvath@mvm-bszk.hu Köszönöm a figyelmet! Dr. Horváth Tamás mobil: +36 20 3264620; e-mail: thorvath@mvm-bszk.hu Felhasznált irodalom Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, IAEA Nuclear Security Series No.13 (INFCIRC/225/Rev.5) http://www-pub.iaea.org/MTCD/publications/PDF/Pub1481_web.pdf Az IEC/ISO 31010:2009 Risk management. Risk assessment techniques magyar nyelvű változata, MSZ EN 31010 (2010), Kockázatkezelés. Kockázat felmérési eljárások. ISO/IEC Guide 73:2009 – Kockázat menedzsment (elérhetőség: https://www.iso.org /standard/44651.html) TATAY T., PATAKI L.: Kockázatelemzés, Kockázatértékelés, cselekvési tervek; 2008. december, Raabe Kiadó www.spek.hu/letoltes.php?fajl=anyagok/Tatay-Pataki-kockazatelemzes.pdf WHITH, J. M.: Security Risk Assessment, Managing Physical and Operational Security, GARCIA, M. L. (Sandia National Laboratories): Vulnerability and assessment of physical protection systems, ISBN13 978-0-7506-7788-2 (2001)