notification icon
Ne maradj le semmiről! Iratkozz fel értesítéseinkre!
Máté Balázs online marketing asztali

ISO/IEC 27 001:2005 - az új információbiztonsági rendszerszabvány III. rész

ISO/IEC 27 001:2005 - az új információbiztonsági rendszerszabvány III. rész

hirdetes

Iratkozz fel Te is Youtube csatornánkra, kattints az alábbi YOUTUBE ikonra! 

 

 

 

Az informatikai kockázatok elemzésének direkt módszere

A formális módszernél lényegesen hatékonyabban végezhetõ el az informatikai kockázatok elemzése a direkt módszer alkalmazásával.

Honlapkészítés online marketing tanácsadó segítéségvel? A hatékony honlapkészítés titka az online marketing tanácsadás alapján készülõ honlap!

Kérje ajánlatunkat itt!

 

ISO/IEC 27 001:2005 - az új információbiztonsági rendszerszabvány III. rész

A direkt módszer a fenyegetések helyett közvetlenül a védelmi intézkedések halmazából indul ki, és a vizsgálat közvetlenül arra irányul, azt tárja fel, hogy ezek közül melyek azok, amelyek a szervezetnél hiányoznak, de szükségesek lennének. Mivel a védelmi intézkedések száma véges – ráadásul a többségükben egyszerre több káresemény ellen is hatásosak –, ezért ezen az úton jóval kevesebb vizsgálatot kell elvégezni, azaz jóval egyszerûbb a végeredményhez eljutni.

A módszer kétfajta védelmi intézkedést különböztet meg: vannak olyanok, amelyek alkalmazása jogszabályi kötelezettség, vagy a kialakult legjobb gyakorlatok” és a kialakult nemzetközi szakmai vélemény szerint ma már szinte kötelezõek – ilyen pl. egy vírusvédelmi rendszer használata egy internetre kapcsolódó hálózat esetén –,és vannak olyanok, amelyek alkalmazása a szervezet üzleti követelményei alapján mérlegelhetõ – ilyen lehet pl. a tartalék üzemeltetési helyszínen való tartalék rendszer létrehozása.

Védelmi intézkedés

Az eljárás alkalmazása a védelmi intézkedések ellenõrzésén alapul. A „kötelezõ” védelmi intézkedések keretében ellenõrzik azok meglétét és megfelelõ mûködését, és amennyiben az intézkedés hiányzik, vagy nem az elvárt szinten mûködik, szakértõi javaslat készül a védelmi intézkedés bevezetésére.

A szervezetre releváns, mérlegelhetõ védelmi intézkedések között a felkészítõ tanácsadó irányításával hoznak szakmai döntést arról, hogy a védelmi intézkedés hiánya jelent-e sebezhetõséget, továbbá döntenek arról is, hogy a sebezhetõség jelent-e üzleti kockázatot a szervezetre nézve? A döntést a „legjobb gyakorlatok” ismeretében hozzák meg.

A feltárt sebezhetõségekre és csak azokra célszerû (ill. tanúsítás esetén a szabványelõírások miatt kötelezõ is) elvégezni a formális kockázatelemzést, melynek eredményei segítséget nyújtanak a kockázatkezelési terv kialakítása során meghozandó döntésekhez. A védelmi intézkedések fontossága – prioritása – többnyire megegyezik a sebezhetõség kockázati értékével, de amennyiben a sebezhetõséghez kapcsolódóan több védelmi intézkedés bevezetése is javasolt, elegendõ, ha csak az egyik védelmi intézkedés fontossága egyezik meg a kockázati értékkel. A többi védelmi intézkedés fontossági értékét a kialakult nemzetközi szakmai megítélés alapján kell meghatározni.

hirdetes

Az informatikai kockázatok elemzését általában olyan auditorok végzik, akik informatikai védelmi intézkedéseket, valamint ezek alkalmazásának a „legjobb gyakorlatát” szakértõi szinten ismerik. Amennyiben azonban szükséges, a direkt módszer alkalmazásához felhasználhatók kidolgozott módszertanok.

Számos nemzetközi ajánlás tartalmaz védelmi intézkedés-katalógusokat, amelyek szintén felhasználhatóak a vizsgálat elvégzése során. Ilyen pl. a német BSI a magyar MSZ/ISO 17799 ajánlás, de ide érthetõk az ISACA Control Objectives és Audit Guidelines kiadványai is. A BSI-ajánlás védelmi intézkedések katalógusában pl. az egyes informatikai alaprendszerek technikai kontrolljai is szerepelnek.

A direkt módszer alkalmazása

Az átvilágítás a védelmi intézkedések oldaláról történõ megközelítés legnagyobb érdeme, hogy közvetlenül a hiányzó védelmi intézkedések, a védelmi intézkedések hiánya által jelentett sebezhetõségekre – gyenge pontokra – koncentrál. A gyenge pontok feltárása, az átvilágítás elvégzése a kockázatelemzés elsõ fázisának a feladata. Ahhoz, hogy a feltárás teljes körû legyen, minden tevékenységre kiterjedõen alaposan, részleteiben kell átvilágítani a szervezet üzleti tevékenységét. Legegyszerûbb ezt üzleti folyamatokra bontva elvégezni, az egyes üzleti folyamatokat és a kiszolgáló informatikai rendszereket, valamint adatkapcsolataikat külön-külön vizsgálni.

Az átvilágítás akkor lesz megfelelõ, a védendõ vagyonelemek – az informatikai rendszerek, a rendszerelemek és a kiegészítõ vagyonelemek – feltárása akkor lesz teljes körû, a vizsgálat akkor fogja valamennyi sérülékenységet kimutatni, ha a munka ebben a szakaszában informatikai, adatbiztonsági, valamint a szervezet üzleti folyamatait naprakészen ismerõ helyi szaktudás együtt vesz részt a munkában.

Így kerülhetnek csak napvilágra olyan, nehezen feltárható, de kritikus gyenge pontok, mint pl., ha két informatikai rendszer között az operátor floppyn visz át üzletileg szigorúan bizalmas osztályba sorolt adatokat, vagy ha pl. egy üzletileg kritikus alkalmazás önálló felhasználói hitelesítést valósít meg, de a jelszavakat nyíltan tárolja. Ha ezeket nem tárja föl a vizsgálat, akkor használata többet árt, mint használ, ugyanis hamis biztonság tudatát keltheti a menedzsmentben (a menedzsment azt hiszi, hogy a kockázatelemzés az informatikai rendszer valamennyi gyenge pontját felderítette).

Hatáselemzés

Az átvilágítás során a sebezhetõségek késõbbi értékeléséhez szükséges, hogy elvégezzük az üzleti hatáselemzést, melynek során az üzleti folyamatokból kiindulva meghatározzuk az elsõdleges vagyonelemek, az informatikai rendszerek – szerverrendszerek, munkaállomások, hálózati rendszerek – védelmi követelményeit a bizalmasság, az integritás és a rendelkezésre állás vonatkozásában.

hirdetes

A védelmi követelmények meghatározásához a „legjobb gyakorlatok” szerint elegendõ egy 3-as fokozatú kvalitatív skála használata (alapszintû, fokozott, kiemelt). Az átvilágítás elvégzését követõen az üzleti folyamatokat, a környezetet, az informatikai mûködést és az alkalmazott védelmi intézkedéseket (a kontrollkörnyezetet), valamint az üzleti folyamatok és az elsõdleges vagyonelemek védelmi követelményeit dokumentálni kell.

A dokumentum alapján ellenõrzi a menedzsment, hogy a szervezetre vonatkozó vizsgálati megállapítások helyesek-e, ez a dokumentum bizonyítja – a felügyeleti szervek elõtt is – a vizsgálat alaposságát és teljes körûségét. A kockázatelemzési jelentés A kockázatelemzés második fázisában készül el a kockázatelemzési jelentés. Feladata, hogy a menedzsment számára bemutassa a feltárt gyenge pontokat, és megindokolja a javasolt védelmi intézkedések bevezetésének fontosságát.

Kockázatelemzési jelentés

A kockázatelemzési jelentés – a jobb áttekinthetõség érdekében – csoportosítva sorolja fel a feltárt észrevételeket – a sebezhetõségeket. A sebezhetõségek érzékeltetése a legjellemzõbb lehetséges káresemények bemutatásával történik, az üzleti kockázatot pedig a lehetséges negatív üzleti hatások – a szervezetet érõ legjellemzõbb üzleti károk – bemutatásával érzékeltetik.

Az üzleti kockázatokat kockázati érték megadásával hasonlítják össze, melyre elegendõ egy 5-ös skálát használni. A jelentés minden feltárt sebezhetõséghez megadja a bevezetésre javasolt védelmi intézkedést, illetve intézkedéseket. Ez utóbbi akkor fordul elõ, ha az adott sebezhetõség kockázatának csökkentésére több védelmi intézkedés bevezetése is szükséges, vagy ha alternatív védelmi intézkedések léteznek (pl. a helyszínen tartalék modulok vagy melegtartalék szerver). A bevezetendõ védelmi intézkedés fontosságának jellemzésére a fontossági érték szolgál, egy 5 fokozatú skála szerinti fontossági érték megadása elegendõ.

Következõ cikkünk a kockázatkezelési tervet taglalja.

Honlapkészítés online marketing tanácsadó segítéségvel? A hatékony honlapkészítés titka az online marketing tanácsadás alapján készülõ honlap!

Kérje ajánlatunkat itt!

Forrás:

hirdetes

Ha tetszett ez a cikk, oszd meg ismerőseiddel, kattints ide:

MEGOSZTÁS MEGOSZTÁS MEGOSZTÁS MEGOSZTÁS

Ezek is érdekelhetnek

hirdetes
hirdetes

Hasznos volt számodra ez a cikk?

Mondd el mennyire!

Szavazatok száma: 229

Átlagos értékelés: 4.9

Szótár

Környezeti hatás

környezeti hatás A környezetben végbemenő mindennemű változás, akár káros, akár hasznos,... Tovább

jellemzõ

megkülönböztetõ tulajdonság 1. MEGJEGYZÉS: Egy jellemzõ lehet... Tovább

Tovább a lexikonra