Oldalunk a zavartalan működéshez cookiekat (sütiket) használ, ment le az Ön gépére. Ezek használatát engedélyeznie kell böngészőjében.

Kockázatmenedzsment

A biztonsági követelményeket a biztonsági kockázatok módszeres felmérésével szokás megállapítani. Az egyes óvintézkedésekre kiadott költségekkel lehet ellensúlyozni a biztonsági hibákból eredő valószínű üzleti veszteségeket.

A kockázatbecslő eljárásokat alkalmazhatjuk akár az egész szervezetre, akár annak egyes részeire, akár csak egyes egyedi informatikai rendszereire, esetleg olyan sajátos rendszerösszetevőkre vagy szolgáltatásokra, amelyekre az megvalósítható, reális és hasznos.

A kockázatelemzés annak rendszeres megfontolása, hogy:

  • mi az a kár, amely valószínűleg valamely ügyviteli hiba eredménye, figyelembe véve az információ és más vagyon titkosságának, sértetlenségének és rendelkezésre állásának elvesz(t)ése lehetséges következményeit;
  • milyen a hiba előfordulásának valós valószínűsége az uralkodó fenyegetések és sérülékenységek, valamint a megvalósított óvintézkedések fényében.

Ennek a felmérésnek az eredménye segíteni fog az alkalmas vezetői tevékenységeknek és azoknak a prioritásoknak a meghatározásában, amelyek az informatikai biztonsági kockázatkezeléshez, valamint azoknak az óvintézkedéseknek a megvalósításához szükségesek, amelyeket éppen ezen kockázatok elleni védekezésre választottak ki. Esetleg többször is ajánlatos lehet megismételnünk a kockázatbecslő és az óvintézkedéseket kiválasztó eljárásokat ahhoz, hogy az adott szervezet különböző részegységeit, vagy egyedi informatikai rendszereit is mind áttekintsük.

Azért fontos, hogy a biztonsági kockázatokat és a megvalósított óvintézkedéseket időről időre felülvizsgáljuk, hogy:

  • figyelembe vegyük a szervezeti követelmények és prioritások változásait,
  • megfontoljuk az új fenyegetéseket és sérülékenységeket,
  • visszaigazoljuk, hogy az óvintézkedések hatékonyak és megfelelőek maradtak.

A felülvizsgálatot különböző mélységben ajánlatos elvégezni, attól a szinttől függően, amely szintet a vezetőség a kockázatok változó szintjeként még el tud fogadni. A kockázatbecslő eljárásokat gyakran előbb a felső szinten hajtják végre, mintegy a felsőbb szintű erőforrásokat elsőbbséggel kezelve, majd csak azután térnek át a részletesebb felmérési szintre, az egyes különleges kockázatokra.

ISO 27001 szerinti IT biztonsági kockázatelemzés

Az informatikai rendszer biztonsági kockázatának elemzési módja:

Az informatikai rendszer biztonságát a kockázatelemzés módszerével vizsgáljuk. A meglevő folyamatok, eszközök és szabályzatok megfelelőségét ISO 27001 sztenderdhez viszonyítjuk.

Kockázati szintek meghatározása:

A kockázati szinteket 1-5-ig terjedő skálával határozzuk meg, ahol az 1 a legalacsonyabb, az 5 a legmagasabb szintet jelenti.

A kockázati szint határokat az informatikai vagyonhoz és az adatállomány értékéhez viszonyítva határozzuk meg. Az összegyűjtött információkat szakembereink elemzik, értékelik, a kapott eredmények alapján készül el a kockázatelemzés.

A kockázatfelmérés keretében eszköztípusonkénti sérülékenység vizsgálatot is lefolytatunk. A vizsgálat során mintavételezéssel ellenőrizzük a munkaállomásokon, és szervereken alkalmazott operációs rendszer és alkalmazások biztonsági frissítéseinek telepítését is. A vizsgálatot automatizált célszoftverrel végezzük. A vizsgálat egy későbbi időben ismét lefolytatásra kerül. A vizsgálatba bevont szerverek és munkaállomások száma: 100 db.

Kockázatkezelő intézkedések elkészítése

Ha a kockázatelemzés során a biztonsági követelményeket és kockázatokat már meghatároztuk, ajánlatos lesz megválasztani és megvalósítani azokat az óvintézkedéseket (kockázat kezelő intézkedések), amelyekkel a kockázatot elfogadható szintre akarjuk lecsökkenteni. Az óvintézkedéseket a megvalósítási költségekre tekintettel ajánlatos megválasztani, figyelembe véve azt a kockázatot, amelyet alkalmazásával csökkenteni akarunk, illetve azt a lehetséges veszteséget, amelyet a biztonság megsértése fellépésével okoz. Ugyancsak ajánlatos figyelembe venni a pénzben ki sem fejezhető tényezőket, mint például a jó hírnév elvesztését.

A kockázatkezelő intézkedések dokumentum tartalmazza a rendszer felmérése alapján alkotott képet, megállapításainkat, javaslatainkat a hibák elhárítására, a veszélyek csökkentésére illetve kiküszöbölésére.

Az intézkedési terv kidolgozásakor figyelembe vesszük az ISO 27001 által támasztott követelményeket is.