Kockázatelemzés, kockázatmenedzsment és módszerei. Flashcards
Miért hasznos a kockázatelemzés?
- Segítséget nyújt a rendszer leggyengébb pontjainak, a legnagyobb kockázatot jelentő fenyegető tényezők azonosítában, melynek ismeretében költséghatékony, kockázatarányos védekezést lehet kialakítani.
- Megfelelően megalapozott kockázatelemzés hiányában nem biztosított, hogy a biztonság fokozására fordított kiadások a leghatékonyabban kerülnek felhasználásra.
Kockázatmenedzsment
• A bonyolult IT és üzleti folyamatok összefonódása miatt valódi számokban
(pénzösszegekben) kifejezett kockázatokról, károkról nem beszélhetünk. A kockázatbecslés problémáit ezért az ún. kockázatmenedzsment módszerével szokás kezelni a gyakorlatban, mely a kockázatok értékeit nem határozza meg konkrét értékek formájában, hanem olyan összehasonlításra lehetőséget adó elemzést alkalmaz, ami alapján a legcélszerűbb védelmi intézkedések meghatározhatóak. Az egyes kockázati tényezőket egymáshoz hasonlítva határozzuk meg a gyenge láncszemeket, ahol a legcélszerűbb védekezni.
• Az informatikai rendszereket fenyegető veszélyforrások által jelentett kockázatokat nehéz becsülni, „forintosítani”, de legalább elvi síkon célszerű tisztában lenni a veszélyforrások, illetve károk hatásmechanizmusával.
Problémák
- a folyamatosan változó világban a veszélyforrások bekövetkezésének gyakoriságára nincsenek jó statisztikák,
- a ténylegesen okozott károk pénzben kifejezett mértéke sem határozható meg, sokszor még nagyságrendileg sem.
A kockázat matematikai definíciója
A kár várható értéke egy adott időszakban.
• R : a kockázat (risk),
• T : a veszélyforrások halmaza (threat),
• pt : egy adott veszélyforrás bekövetkezési valószínűsége (probability), dt : a keletkező kár (damage) mértéke.
• A kockázat= Σpt*dt Problémák:
• A képlet egyetlen paraméterét sem tudjuk jól megbecsülni.
• A veszélyforrások listája sem lehet teljes;
• Sok esetben a bekövetkezési valószínűség becsléséhez nem áll rendelkezésre korábbi statisztikai, tapasztalati érték;
• A keletkezett kár komplex, áttételes hatásmechanizmusának feltérképezése, és a kár pénzben kifejezett meghatározása sem magától értetődő.
A károk csoportosítása
A hatás továbbterjedésének megfelelően szokás ún. elsődleges, másodlagos, harmadlagos stb.
kárról beszélni. Rendkívül fontos minden veszélyforrás esetén egyenként elbírálni, hogy az esetlegesen bekövetkező hatás meddig terjedhet ki, mert a másodlagos, harmadlagos károk nagyságrendekkel nagyobbak az elsődleges károknál.
Elsődleges kár
Egy egyszerű merevlemez meghibásodása (a merevlemez megjavításának/cseréjének költsége).
Másodlagos kár
Nagy mennyiségű adat visszaállíthatatlanul megsemmisül (az elveszett adatok pótlásának költségei).
Harmadlagos kár
A visszaállítás ideje alatt fennakadt üzleti folyamatok és még rosszabb esetben az ennek hatására elmaradt üzleti haszon.
Pénzügyi kockázatok megbecslése
Számos eltérő módszertan létezik, de egyetlen komoly módszertan sem vállalkozik arra, hogy informatikai rendszerek esetén a kockázat pénzügyi nagyságát közvetlenül megbecsülje, forintosítsa, tekintettel a veszélyek, károk, ill. kockázati csülje, tényezők hatásmechanizmusának összetettségére.
A kockázatelemzés lépései
- lépés: Kategóriák felállítása
• Bekövetkezési valószínűség kategóriái
• Kár kategóriák
• Kockázati kategóriák
• Kockázati szorzótábla meghatározása - lépés: Veszélyforrások listájának összeállítása
- lépés: Bekövetkezési valószínűségek nagyságrendi meghatározása
- lépés: Kárértékek nagyságrendi meghatározása
- lépés: Kockázati tényezők származtatása
- lépés: Elviselhetetlen kockázatok kezelése
- lépés: Lehetséges védelmi intézkedések számbavétele és a megfelelő alternatívák kiválasztása
Bekövetkezési valószínűség kategóriái
kép3
Kár kategóriák
kép4
Kockázati kategóriák
kép5
Kockázati szorzótábla felállítása
kép6
Veszélyforrások listájának összeállítása - Veszélyforrások
A rendszer helyes működését fenyegető események.
• A kockázatelemzési tábla sorait alkotják.
• A veszélyforrások feltárása: tapasztalatok felhasználásával ill. a rendszer elemzéséből felderített hiányosságok számbavételével történhet.
• A lista soha nem lehet teljes, de kellően részletessé tehető.