Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével
Tarján Gábor
2
Tartalom Rövid személyes bemutatkozás Bevezető gondolatok
Kockázatértékelés és BS :2002 A kockázatértékelés áttekintő algoritmusa A szervezeti „erőtér” Típusos algoritmusok Közkórház Csomagküldő Bank Járműipari beszállító Összefoglaló következtetések
3
Tarján Gábor 4 év információbiztonság ( www.bs7799.hu )
Szervező-vegyészmérnök (VE 1986) Mérnök-közgazdász (BKE 1992) MBA (BME 2000) CMC – „hites vezetési tanácsadó” 16 év vezetési tanácsadásban 12 év tréneri, oktatói tapasztalat 5 év cégvezetés (SZENZOR GM Kft.) 4 év információbiztonság ( ) 2005. február 01. óta FLAG Informatikai Rt. – információbiztonsági üzletág igazgató Hétpecsét Információbiztonsági Egyesület alelnök
4
Bevezető gondolatok Az ISMS „magja” a kockázatértékelés
A BS :2002 kevés támpontot ad a végrehajtáshoz Létezik-e egy uniformizált kockázatértékelési módszertan? Gondolatkísérlet négy szervezettípusra: közkórház, csomagküldő szolgálat, bank, járműipari beszállító
5
A kockázatértékelés és a BS 7799-2:2002
A BS :2002 szabvány [2] a kockázatértékelésről a következőket mondja a fejezetben: „a szervezet… c, határozzon meg egy szisztematikus kockázatértékelési megközelítést (módszertant), d, azonosítsa a kockázatokat, e, értékelje a kockázatokat, f, határozzon meg és értékeljen a kockázatok kezelésére vonatkozó lehetőségeket, g, válasszon ki szabályozási célokat és szabályozásokat a kockázatok kezelésére.”
6
A kockázatértékelés áttekintő algoritmusa
1. A szervezeti „erőtér” vizsgálata 2. Az alkalmazási terület és a politika meghatározása 3. A védendő értékek számbavétele és értékelése 4. A fenyegetettségek elemzése – kockázatelemzés 5. Kockázatkezelés
7
A szervezeti „erőtér” A szervezet működési környezete, mint „erőtér”:
Az állam (társadalom) szabályozó ereje A vevők (ügyfelek) igénye a bizalom iránt A kezelt információk teljessége az információs életciklus szempontjából A verseny erőssége és kiterjedése az adott iparágon (szolgáltatói ágon) belül Ez a négy elem minden gazdálkodó szervezet erőterében jelen van, csak a mértéke és aránya különböző!
8
A közkórház Az erőtér hangsúlyos elemei
Az állam szabályozó ereje nagy A költségvetési korlát igen erős! Az információbiztonsági politika kulcsszavai: Betegadatok bizalmas kezelése Költség-hatékony megoldások keresése Az alkalmazási terület: „betegadatok”
9
A közkórház
10
A csomagküldő szolgálat
Az erőtér hangsúlyos eleme: A legfőbb érték az ügyfél adatbázis! Az információbiztonsági politika kulcsszavai: Az ügyféladatbázis kiemelt védelme Az adat-életciklus menedzsment Az alkalmazási terület: „ügyféladatok a keletkezésük pillanatától megsemmisítésükig”
11
A csomagküldő szolgálat
12
A bank Az erőtér hangsúlyos eleme
Az ügyfelek bizalmának megnyerése és megtartása! Az információbiztonsági politika kulcsszavai: Bizalmasság Sértetlenség 24 órás rendelkezésre állás Az alkalmazási terület: „ügyfelek adatainak és tranzakcióinak teljes körű logikai, fizikai és személyi védelme”
13
A bank
14
A bank
15
A járműipari beszállító
Az erőtér hangsúlyos elemei Erősen (darab)költségvezérelt gazdálkodás Az információbiztonsági politika kulcsszavai: Az elvárt védelmi szint rendszeres egyeztetése a megrendelővel Az üzleti folyamat védelme Költség-hatékony megoldások választása Az alkalmazási terület: „X vevő Y termékéhez kötődő információk védelme a teljes termelési ciklus során (a terméktervezéstől a kiszállítás utáni szolgáltatásokkal bezárólag)”
16
A járműipari beszállító
17
Összefoglaló következtetések
Nincs egységes recept a kockázatértékelés végrehajtásához A kockázatértékelés a szervezet „erőterének” vizsgálatával kezdődik Testre szabás nélkül nem megy Az ISMS működtetésének részeként a kockázatértékelés-karbantartása is igényel folyamatosan erőforrásokat
18
Tarján Gábor (06-30-982-2251) tarjan.gabor@flag.hu
Köszönöm a figyelmet! Tarján Gábor ( )
Hasonló előadás
