Az információvédelmi irányítási rendszerek általános szabványának tekinthetõ BS/7799 szabvány 2005 októberében ISO/IEC 27001 szabvány névvel nemzetközi szintre emelkedett. A szabvány hangsúlyosan foglalkozik az informatikai kockázatelemzés elvégzésének szükségességével.
Emellett a hazai jogszabályi környezet a pénzügyi szektor számára 2006. január 1-jétõl kezdõdõen már kötelezõ jelleggel írja elõ az informatikai rendszer védelmét, és ezen belül a kockázatelemzés rendszeres elvégzését!
Honlapkészítés online marketing tanácsadó segítéségvel? A hatékony honlapkészítés titka az online marketing tanácsadás alapján készülõ honlap!
ISO/IEC 27 001:2005 - az új információbiztonsági rendszerszabvány II. rész
ISO 27 001 szabvány
Az ISO 27 001 szabvány, ill. a pénzügyi szervezetekre vonatkozó törvény alkalmazásánál a legtöbb kérdés az informatikai rendszer kockázatelemzésével kapcsolatban vetõdik fel. Mind a szabvány, mind a törvény megengedi a szervezethez illeszkedõen a kockázatelemzési módszertan szabad megválasztását, bár a szabványban szerepel erre vonatkozóan némi megszorítás. Az informatikai rendszerek biztonsága ellen ható veszélyek mára már annyira összetettekké váltak, hogy a kockázatelemzés formálismódszerének az informatikai kockázatok elemzésére történõ általános alkalmazása több komoly nehézségbe is ütközik. Az informatikai kockázatok elemzése – a vonatkozó törvényi elõírásnak és a szabványnak is eleget téve – azonban elvégezhetõ a közvetlenül az informatikai védelmi intézkedésekre fókuszáló direkt módszerrel is, melynek segítségével, jóval kisebb ráfordítással, könnyebben értelmezhetõ eredményt lehet elérni.
A kockázatelemzés célja, célrendszere
Az informatikai kockázatelemzés elvégzése az informatikai rendszerek biztonságának kialakításában nyújt segítséget. Az informatikai kockázatelemzés nem védelmi intézkedés, elvégzése önmagában természetesen nem erõsíti a védelmet, de segítség ahhoz, hogy létrejöhessen egy biztonságos informatikai rendszer.
Az informatikai kockázatelemzés szerepe kettõs. Feladata egyrészt, hogy feltárja azokat az informatikai sebezhetõségeket – gyenge pontokat –amelyeken keresztül bizonyos esetekben sérülés érheti a teljes informatikai rendszert, s ezáltal a teljes szervezet – sérülhet az adatok bizalmassága, integritása és rendelkezésre állása – és amely következtében üzleti kár érheti a szervezetet. Feladata továbbá meghatározni a feltárt kockázatok csökkentéséhez szükséges védelmi intézkedéseket, amelyet pedig szervezet-specifikusan, tömören és világosan kell meghatározni.
A menedzsment rendszerek, s így az ISO 9001:2000 számú szabványon alapuló minõségirányítási rendszerek létrehozása azon a felismerésen alapult, hogy a termelõ és szolgáltató rendszer biztonsága elõfeltétele a termékek és szolgáltatások egyenletes minõségének, megbízhatóságának.
Az informatika gyors behatolásának következtében nõtt az üzleti tevékenység függõsége az informatikai rendszerektõl, melyek egyre bonyolultabbakká váltak. Ez azt az igényt hozta magával, hogy e rendszerek minõsége is megfeleljen a velük szemben támasztott – köztük a biztonsági – követelményeknek. Az e téren folyó munka világviszonylatban óriási lépésekkel halad, hiszen az informatikai biztonság, a felmerülõ kockázatok minimalizálása a gazdaság fejlõdésének egyik kulcskérdésévé és egyúttal a termelõrendszer minõségének egyik fontos minõségtényezõjévé vált.
A kockázatelemzés formális módszerei
A szervezet mûködését biztosító vagyonelemek fenyegetéseknek vannak kitéve, amelyek az egyes fenyegetésekre jellemzõ valószínûséggel különféle káreseményeket okozhatnak. A lehetséges káresemények egyfajta fenyegetettséget jelentenek a vagyonelemekre nézve, ahol a fenyegetettség mértéke nem csak a fenyegetés bekövetkezési valószínûségétõl függ, hanem függ a vagyonelem sebezhetõségétõl,azaz az adott eseménnyel szembeni védtelenségétõl is. Az adott esemény bekövetkezése negatív hatást vált ki, amelynek nagysága függ az üzleti kár értékétõl, valamint a kárenyhítés mértékétõl. A valós kockázat mértékét a fenyegetettség és a negatív hatás szorzata adja meg.: Kockázat = fenyegetettség x negatív hatás.
A kockázatelemzés formális módszere szerint meg kell határozni az egyes vagyonelemekre ható kockázati értékeket, majd döntést kell hozni a még elviselhetõ kockázatok szintjérõl. Az e szint feletti kockázatok esetében védelmi intézkedéseket kell bevezetni a kockázatok csökkentésére. A védelmi intézkedés figyelembevételével újból meg kell határozni a kockázat értékét, ez lesz a védelmi intézkedés bevezetését követõen megmaradó ún. maradék kockázat.
A formális kockázatelemzés kritikája
A fenyegetésekbõl kiinduló formális módszer elve könnyen megérthetõ, de alkalmazása az informatikai kockázatok elemzésére több szempontból is problematikus. Az kisebbik probléma, hogy a módszer a kockázati tényezõk mérhetõségén alapul, ami azonban a gyakorlatban nem áll fenn. Sem az informatikai fenyegetések valószínûségére, sem az informatikai rendszerek által okozott üzleti károk mértékére nem állnak rendelkezésre statisztikai adatok, így azokra csak nagyon megközelítõ, kvalitatív elemzéseket lehet elvégezni.
A sebezhetõség és a kárenyhítés mértéke is szubjektív értékelések eredményei, azokat a kvalitatív eredményekkel összevonva a kapott adatok megbízhatósága már igen csekély, az azokból származtatott kockázati érték megbízhatósága pedig még ezeknél is kisebb lesz. Az eljárás elvégzése során mégsem ez okozza a legnagyobb nehézséget, mivel magának a kockázati értéknek viszonylag csekély a jelentõsége – ez az intézkedési tervek prioritásértékeiben fog megjelenni csupán –, és így a kockázati érték meghatározása a kockázatelemzésnek csak másodlagos feladata. Az elsõdleges feladat, az elsõdleges cél az– ahogy azt korábban már láttuk, hogy az informatikai rendszer valamennyi gyenge pontját feltárjuk, és a hiányzó védelmi intézkedéseket hiánytalanul meghatározzuk.
Káresemény
Az eljárás igazi problematikája a káresetek számosságában rejlik. Az informatikai fenyegetések szinte végtelen számú különbözõ káreseményt idézhetnek elõ, és ezeket szisztematikusan minden vagyonelemre vetítve meg kell vizsgálni. Továbbá, több fenyegetés is okozhatja ugyanazt a káreseményt, valamint ugyanaz a fenyegetés ugyanazt az eseményt különbözõ módokon is elõidézheti, és ezeket mind külön káreseményként kellene tekintenünk ahhoz, hogy az egyes események negatív hatását értékelni lehessen. Sajnos az a viszonylag triviális egyszerûsítés sem használható, hogy az egyes vagyonelemeket csak a reájuk jellemzõ fenyegetések szempontjából vizsgáljuk, mert a vizsgálat ezen pontján ez egy önkényes elõszelektálás lenne.
Az események összevonása sem lehetséges, mert ekkor a káresemény meghatározása nem lesz egyértelmû, és emiatt sem a kárérték, sem a negatív hatás nem lesz meghatározható. A formális kockázatelemzést elvégzését áttekinthetõbbé teheti, ha abban követjük az informatikai rendszerek felépítésének hierarchiáját, de a vizsgálandó esetek számát a gyakorlatban ez sem csökkenti jelentõsen. A formális kockázatelemzés elvégzését követõen, a kockázatkezelési terv elkészítése során szintén a számosság problematikájába ütközünk.
Informatikai védelmi intézkedések
Az informatikai védelmi intézkedések túlnyomó többsége ugyanis egyidejûleg több káresemény kockázatát csökkentheti. Ezenfelül a kockázatok csökkentésére általában több, alternatív védelmi intézkedés is létezik (pl. megelõzõ, kárenyhítõ, esetleg áthárító jellegûek), amelyek használhatóságát csak valamennyi fennálló kockázat értékelését követõen lehet eldönteni, iterációs módszerrel, ugyanis a kockázati események is függenek egymástól.
A rendelkezésre állás biztosítására például megfelelõ védelmi intézkedés lehet tartalék modulok tartása a helyszínen vagy külsõ helyszínen, de ha a géptermi tûz bekövetkezésére magas kockázatot állapít meg a vizsgálat, akkor a tartalék modulok helyszínen való tartása már nem lesz megfelelõ védelmi intézkedés.
Viszont mégis megfelelõ lehet, ha üzembe helyezünk egy automata tûzérzékelõ és –oltó rendszert, ami elviselhetõvé teszi a tûzesetek bekövetkezésének a kockázatát. Nem megoldott az ún. általános informatikai védelmi intézkedések kezelése sem. Ilyen pl. az adatbiztonsági politika megfogalmazása, a munkaköri leírások elkészítése, a dolgozói elkötelezettség biztosítása, az adatbiztonsági oktatások szükségessége stb.
A formális módszertan logikája szerint a káresemények döntõ többsége mellé ezeket is fel kellene venni védelmi intézkedésként, mivel ezek szükségességét is a fenyegetésekbõl, illetve a kockázatokból kell a módszertan szerint levezetni. A formális kockázatelemzési módszertan általános informatikai alkalmazásának korlátai jól látszanak a vizsgálati jelentésben is.
A vizsgálat eredményeképp – még egyszerû informatikai rendszer esetén is – létrejöhet egy több száz oldalas jelentés, amely szükségképpen megismétli az informatikai biztonsággal foglalkozó tankönyvekben ismertetett általános fenyegetéselemzési fejezeteket.
Emellett a jelentés túlnyomó többségében olyan sebezhetõségekkel és kockázatokkal fog foglalkozni, amelyek a már érvényben lévõ védelmi intézkedések miatt elhanyagolhatóak, valamint olyanokkal, amelyek még a menedzsment számára is nyilvánvalóan szóba sem jöhetnek az adott szervezetnél – pl. kimutatja, hogy nem szükséges egy hitelintézet esetében a géptermet elektromágneses árnyékolással ellátni. Mindezek a menedzserek szemében is kérdésessé teszik a vizsgálat módszerének megfelelõségét és a kockázatfelmérést.
(cikkünket az informatikai kockázatok elemzésének direkt módszerével folytatjuk)
Honlapkészítés online marketing tanácsadó segítéségvel? A hatékony honlapkészítés titka az online marketing tanácsadás alapján készülõ honlap!
Forrás:
