Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban és gyakorlati tapasztalatok

ISMS fórum Témakörök Követelmények, ajánlások ISO/IEC 27001, ITB 8, ISO Tervezett új szabványok család, BS Vagyonleltár Kockázatfelmérés, kiértékelés Gyakorlati kérdések, tapasztalatok

ISMS fórum Védelmi rendszerek MIT védünk MIÉRT, MITŐL védjük követelmények sérülékenység, fenyegetés kockázatfelmérés (risk assessment) HOGYAN védjük kockázat kezelés (risk treatment) kockázat menedzsment (risk management)

ISMS fórum ISO/IEC 27001: előírásai –Módszeres megközelítés meghatározása a kockázatfelmérésre –Vagyontárgyak és kockázatok azonosítása A.7.1 Vagyonleltár információ, információ feldolgozási eszköz A Osztályozási útmutatók (információk) –Kockázatok elemzése és értékelése –Kockázatkezelési lehetőségek azonosítása és értékelése A Információ jelölése és kezelése –Kockázatkezelési szabályozási célok és intézkedések kiválasztása –Maradék kockázat vezetőségi jóváhagyása

ISMS fórum ITB 8 ajánlás, IBIV I. Védelmi igény feltárása IT alkalmazások és adatok feltérképezése, értékelésük II. Fenyegetettség elemzés fenyegetett rendszerelemek feltérképezése alapfenyegetettség meghatározás fenyegető tényezők meghatározása III. Kockázatelemzés fenyegetett rendszerelemek értékelése gyakoriság meghatározás kockázat meghatározás, leírás IV. Kockázat menedzselés intézkedések kiválasztása, értékelése k öltség/haszon elemzés maradvány kockázat értékelés

ISMS fórum ISO/IEC TR Részletes kockázatfelmérés lépései peremfeltételek meghatározása vagyontárgyak azonosítása vagyontárgyak értékelése és köztük függőségek megállapítása fenyegetettség felmérés sebezhetőség felmérés meglevő/tervezett ellenintézkedések azonosítása kockázatok felmérése Megközelítések Alapvető megközelítés Informális megközelítés Részletes kockázatfelmérés Kombinált megközelítés –magas szintű felmérés –kiemeltekre részletes –egyébre alapvető

ISMS fórum ISO/IEC szabványcsalád – ISMS követelmények – Gyakorlati útmutató az IS menedzsmentre ( áprilisától) ISMS bevezetési útmutató – ISM mérések (2. work draft) – ISMS kockázat menedzsment (alapja és 4. része) – ISMS alapok és szótár

ISMS fórum BS :2006?? Kockázat felmérés Kockázat kezelés Menedzsment döntések Kockázat újrafelmérés Kockázat profil figyelemmel kísérése és átvizsgálása IS kockázat kapcsolata a cég irányítással Megfelelés más szabványoknak és szabályozóknak Követelmények értelmezése, politika, célok Intézkedések kiválasztása, bevezetése, működtetése Teljesítmény és eredményesség figyelemmel kísérése és átvizsgálása Kockázat mérésen alapuló folyamatos fejlesztés

ISMS fórum Vagyonleltár Elemei: információk információ feldolgozási eszközök Gyakorlati kérdések: mélysége mennyisége osztályozás szempontok, csoportok „gazda” kockázatértékelés előtt vagy után

ISMS fórum Értékek típusai (ITB 8): Logikai –Szoftver –Adatok –Kommunikáció Fizikai –Környezet, infrastruktúra –Hardver –Adathordozó –Dokumentumok, iratok Személyi –Személyzet –Felhasználók –Ellenőrök Vagyonleltár

ISMS fórum Vagyontárgyakra példák (ISO/IEC 17799:2005) Információk Adatbázisok, adatállományok, szerződések és megállapodások, rendszer dokumentáció, kutatási információ, felhasználói, kezelői kézikönyvek, oktatási anyagok, működési, üzemeltetési és támogató eljárások, folytonossági tervek, tartalék egyezségek, auditon feltárt információk, archivált információ Szoftverek Alkalmazási- és rendszerszoftverek, fejlesztési eszközök és utility-k

ISMS fórum Vagyontárgyakra példák (ISO/IEC 17799:2005) (folytatás) Fizikai vagyontárgyak Számítógépek, távközlési berendezések, faxok, üzenetrögzítők, adathordozók, táp, klíma, bútor, stb. berendezések Szolgáltatások Számítástechnikai-, távközlési- és köz- (fűtés, világítás, energia, légkondicionálás) szolgáltatások Emberi erőforrások Emberek és képzettségük, képességeik, gyakorlatuk Eszmei Szervezet jó hírneve, imázsa

ISMS fórum Kockázat fogalma, értékelési szempontok Kockázat fogalma (ISO/IEC Guide 73): egy („nem kedvező”) esemény valószínűségének és következményének kombinációja Értékelési szempontok: valószínűség/gyakoriság következmény súlyossága (+ észlelhetőség/feltárhatóság)

ISMS fórum Kockázatok számbavétele Számbavételi szempontok lehetnek: Eredmény, követelmény oldalról  Üzleti eredmény kockázatokból kiindulva  Külső követelmény sérülés kockázatai szerint Folyamat oldalról  Üzleti folyamat kockázatai szerint  Információkezelési folyamat, információ életciklus szerint Szolgáltatás (eszköz) oldalról  Információs rendszerenként, azon belül erőforrásonként  Eszközök, vagyonelemek mentén

ISMS fórum Kockázatok számbavétele Gyakorlati kérdések: paranoia mértéke cég vagy ISMS kockázat ok-okozat láncok mely pontja mit lehet „egy sorban” kezelni, milyen mélység kapcsolatok vagyonelemek között szöveges leírás vagy csak számok felmérés – intézkedés kapcsolata

ISMS fórum Kockázatok értékelése Gyakorlati kérdések: mutatónként hány csoport csoportleírás szöveggel vagy számmal csoportelemek specifikálása több ok, következmény kezelése a kiértékelés során kockázati csoportok képzése a mutató csoportokból (táblázattal, művelettel, súlyokkal) meglévő intézkedéseket milyen mértékben veszik figyelembe

ISMS fórum További gyakorlati szempontok iterációk érintettekkel, helyszínen élőkkel tényleges eseményekre legyen reagálás vezetők számára –érthető –értéket adó –döntéshez használható tudatosításra felhasználás PDCA

ISMS fórum Köszönöm a figyelmet További információk, elérhetőség Információ- és adatvédelmi tanfolyamok