A vállalatok életében a kockázatoknak nagy szerepük van. Az üzleti döntések meghozatala előtt számolni kell a lehetséges hasznokkal, de figyelembe kell venni a lehetséges kockázatokat is.

Sajnos a tapasztalat azt mutatja, hogy az informatikai kockázatokat gyakran hagyják figyelmen kívül vagy felületesen végzik el azok kezelését, ami később egy biztonsági incidens bekövetkezésekor is problémákat okozhat. Az informatikai kockázatelemzés célja, hogy feltárja azokat a sebezehetőségeket, hiányosságokat, amelyeken keresztül támadás érheti az informatikai rendszereket, ezáltal sértve meg:

• az adatok bizalmasságát, vagyis nyilvánosságra kerülhetnek a szervezet számára fontos adatok, információk.
• az adatok integritását, azaz illetéktelenek módosítják, megváltoztatják az adatokat.
• az adatok rendelkezésre állását, bizonyos ideig elérhetetlenné válnak, esetleg megsemmisülnek az adatok.

Valamint célja, hogy a feltárt kockázatok csökkentésére határozzon meg védelmi intézkedéseket.

Milyen informatikai kockázatok lehetnek?

Kockázatot jelenthet például, ha egy üzemeltetett rendszer nincs megfelelően dokumentálva, implementálva, patchelve, karbantartva, nincs BCP (üzletmenet folytonossági terv), vagy nincs DRP (katasztrófa elhárítási terv). A kockázatértékelés alapján kell(ene) eldönteni, hogy egy rendszer elindítható-e vagy sem.

A kockázatelemzésben két módszert különböztetünk meg

A formális kockázatelemzési módszer

A formális módszernél az informatikai vagyonelemekre határozunk meg kockázati értékeket, és döntünk azok elviselhető kockázataikról. Az e feletti értékekre ún. védelmi intézkedést kell létrehozni, majd ennek figyelembe vételével a kockázatelemzést újból el kell végezni. Természetesen a védelmi intézkedések bevezetése után is (mindig) lesz kockázat ezt hívják maradék kockázatnak. Arra kell törekedni, hogy ezt elviselhető szintre vigyük le.
Ezzel az elemzési módszerrel az a probléma, hogy az informatikai fenyegetettségek valószínűségének kockázata nehezen mérhető. Példának vegyünk egy pár fős informatikai céget. Mennyi lehet a valószínűsége annak, hogy támadás éri a cég honlapját és milyen támadás (DDoS, SQLi; XSS, stb.)? Ez milyen kockázatokkal járna (bevétel kiesés, rossz hírnév keltése, stb.)? Mivel számtalan támadási lehetőség van, mindenre nem tudunk felkészülni.
Az informatikai védelmi intézkedések egyidejűleg több káresemény kockázatát is csökkentheti, illetve a kockázatok csökkentésére több hasonló védelmi intézkedés is létezhet. Amit egy másik példán keresztül mutatnék be.

A rendelkezésre állás biztosítás érdekében HA-ban (High Availability) implementálhatjuk a szervereket és/vagy egy tartalék eszközparkot tarthatunk fenn, amelyet szükség esetén üzembe lehet állítani. Abban az esetben, ha a gépteremben, ahol a szerver üzemel tűz ütne ki vagy teljesen megsemmisülne és HA szerver párja vagy a tartalék eszközök ugyanazon a telephelyen vannak (nem geo-redundáns), akkor sérülni fog a rendelkezésre állás így a magas kockázatú besorolásba fog tartozni.

Az általános jellegű informatikai védelmi intézkedések kezelése sem megoldott. Ide tartozik például az információbiztonsági policy meghatározása vagy a felhasználók biztonságtudatossági oktatása. Számtalan káresemény következik be a felhasználók „tudatlansága” miatt (pl. phising email megnyitása).
A formális kockázatelemzési módszer szerint ezeket fel kellene venni védelmi intézkedésként, mivel a fenyegetettségekből és a kockázatokból kell levezetni ezt a módszertant.

Ezekre a kérdésekre csak megközelítő elemzéseket lehet végezni, felkészülve egy lehetséges üzleti kárra vagy azok csökkentésére.

A direkt módszer

Ennél a módszernél a lehetséges fenyegetettségek helyett, a védelmi intézkedésekből kell kiindulni és rámutatni arra, hogy mik a hiányosságok és mi az, amin javítani lehetne, kell.

Két fajta védelmi intézkedést különböztet meg:

• amelyek alkalmazása jogszabályi kötelezettség vagy kialakult legjobb gyakorlatok (best practise) szerint szinte már kötelezőek.
• amelyek alkalmazása a vállalat üzleti követelményei szerint eldönthető, pl.: kell-e tartalék eszközpark?

Ennek az eljárásnak az alkalmazása a védelmi intézkedések ellenőrzésein alapul. Az auditorok rendszeres időközönkét ellenőrzik a védelmi intézkedések meglétét és annak megfelelő működését, amennyiben problémát vagy eltérést tapasztalnak, javaslatot tesznek annak kijavítására.

A kockázatelemzés megvalósításának lépései:

1. Információgyűjtés
Üzleti folyamatokra bontva át kell nézni a vállalatot, hogy a sebezhetőségeket és a gyenge pontokat feltárjuk és ehhez védelmi szinteket kell rendelni.

2. Értékelés, kockázatok feltárása és elemzése
Az információgyűjtést követően következik informatikai kockázatelemzés a fenyegetettséget, hiányosságok feltátárása és a kockázatok értékelése.

3. Kockázatelemzési jelentés
Jelentés készül a vezetőség számára, amelyben a 2. lépésben leírt kockázatokat, gyenge pontokat és hiányosságaikat összefoglalja és javaslatot tesznek a szükséges védelmi intézkedések bevezetésére vagy hiánypótlásra.

4. Kockázatkezelési terv
A kockázatelemzési terv része a védelmi intézkedések megvalósítására készített intézkedési terv. Amelyben prioritás szerint vannak feltűntetve a védelmi intézkedések és a ráfordítandó szükséges erőforrások.

5. Rendszeres időközönként felülvizsgálat
A jogszabályban előírtak megfelelően legalább két évente felül kell vizsgálni (tanúsított információvédelmi irányítási rendszerrel rendelkezők esetében, évente) a vállalat informatikai kockázat elemzését. Ez oly módon történik, hogy a már meglévő kockázatelemzést elő kell venni és meg kell nézni, hogy történt-e változás a korábbi vizsgálat során. Ha eltérés van dokumentálni kell és a korábban leírtaknak megfelelően a lépéseket újra el kell végezni.