A szakasz-leírások felépítése:
A védelmi igény megállapítása két lépésben történik:
Elsô lépés: az informatika-alkalmazások és a feldolgozandó adatok feltérképezése;
Második lépés: az informatika-alkalmazások és a feldolgozandó adatok értékelése.
Ez a munkafázis, részben vagy egészben, a biztonsági projektek kijelölésével együtt az informatikai stratégiai tervezés fázisában elvégezhetô, a stratégiai tervezési folyamat kereteitôl függô részletességgel.
A második lépés megvalósítása során a felosztás elvileg még finomítható, nevezetesen a különbözô értékû területek egymástól elválaszthatók és elkülönítve szerepeltethetôk. A kockázatelemzés befejezése, lezárása után egy további, még finomabb megkülönböztetés válhat szükségessé.
Az informatika-alkalmazások értékét egy ötrészes skálán ábrázolhatjuk, mérhetjük fel, amelyek értéktartományát a felhasználónak kell megállapítania. Ezek segítségével lehet azután a károkat durván osztályozni. Az informatika-alkalmazások és adatok értékeléséhez nincs valamiféle egyszerû, általánosan érvényes koncepció. Az értékeket csak maga az alkalmazó állapíthatja meg. Az értékelés során mindenekelôtt saját biztonsági adottságait és követelményeit kell figyelembe vennie. Az ehhez szükséges átgondolást megkönnyítik a 2.3. alfejezetben említett segédletek.
Ha az informatika-alkalmazások és adatok értéke - a második lépésben - kimagaslóan nagy bizonytalansági tényezôkkel terhelt, meg kell ismételni az értékelést.
A feladat megoldásához szükséges döntéseket a szervezet felsô-, illetve informatikai vezetése szintjén kell meghozni. A döntések elôkészítésében, a szükséges elemzések elvégzésében biztonsági szakértôi támogatás válhat szükségessé. Az együttmûködés során az informatikai biztonsági szakértôktôl származó ismeretek az alapértékek és értelmezésük, az adatok és a feldolgozási folyamatok leírásának módja, míg az informatikai szakemberektôl származó ismeretek a védendô adatok és szolgáltatások, valamint azokhoz értékek rendelése.
Az értékelés során meghatározható, sôt meghatározandó, milyen célból és milyen mértékben ésszerû és szükséges egy fenyegetettség- és kockázatelemzés. Ez a CRAMM módszertana szerint szûkített elemzést jelent. Akkor van ennek jelentôsége, ha az informatika-alkalmazások csekély értéket képviselnek a szervezet egyéb mûködéséhez viszonyítva. A nagy értékû informatika-alkalmazások és adatok pontos, mindent feltáró módon keresztülvitt fenyegetettség- és kockázatanalízist követelnek. Az elsô lépések eredményeitôl függôen határozhatók meg a további lépések végrehajtásának ráfordításai.
Az elsô szakasz lezárása során a szakasz eredményeit a résztvevôk és felelôsök körében be kell mutatni, ellenôrizni kell és ítéletet kell alkotni róluk.
A különbözô informatika-alkalmazások eredményeinek összehasonlíthatósága érdekében szükséges az összmûködésért felelôsök (vezetô munkatársak, a cégvezetés, az igazgatási szerv vezetése, hatósági vezetés, intézményigazgatók, döntôbizottság, projektvezetés) bevonása.
Csak akkor szabad elkezdeni a II. szakaszt, amennyiben a fenti eredményeket már elfogadták projektvezetési szinten.
Megjegyzés: Az elsô szakasz gyakorlatilag az informatikai stratégiai tervezés "hol vagyunk" kérdésére ad választ. Célszerû összehangolni, illetve közösen végrehajtani ezt a szakaszt az informatikai stratégiai tervezés projektjének alárendelve.
Az 1. lépés megvalósítása a következô feladatokra bontható:
1. feladat: Az informatika-alkalmazások feltérképezése;
2. feladat: Igény esetén a különleges szolgáltatások feltérképezése;
3. feladat: Az informatikai rendszerben feldolgozásra kerülô valamennyi adat feltérképezése.
A végrehajtás során felhasználásra kerül a szervezet informatikai stratégiája, jelenlegi, illetve tervezett informatikai rendszerének leírása, rendszerterve.
Az 1. lépés eredménye a teljes eljárás alapját képezi,. közvetlenül pedig a 2. és a 3. lépés során nyer felhasználást.
Az informatika-alkalmazásokra vonatkozó példák listája a 3.1. alfejezetben található meg. Az informatikát eszköznek kell tekinteni, amely szolgáltatásokat nyújt felhasználója számára. Ez azt jelenti, hogy ne az adatszerûségek tartalmából induljon ki, hanem a feldolgozandó adatokat a használó szempontjából állítsa össze. A szolgáltatásokat az adott szakrészlegek szempontjait figyelembe véve tárja fel, amelyek azután az informatikai rendszert (vagy rendszereket) saját céljaikra fogják használni.
Az adatfeldolgozás rendeltetésszerû bevezetése esetén ezek az adatok már a tervezés során rendelkezésre állnak, miután azokat feltárták. Például a minisztériumoknál és országos hatáskörû szerveknél az állapotfelvételnek már az informatikai keretkoncepció összeállítása során meg kell történnie. Amennyiben ezek az adatok nem állnak rendelkezésre, azokat pótlólagosan kell felvenni, illetve beszerezni.
A kizárólag az adatbizalmasság terén érvényes adatminôsítés (államtitok, stb) szintén itt (a további kárértékbecsléshez képest kiemelt módon) történhet, valamint ide tartozik a bizalmasság, és a speciális hitelesség, azaz a le nem tagadhatóság által képviselt értékek megôrzése.
A lépés arra a kérdésre ad választ, hogy hogyan értékelhetô a kár, ha belépnek az alapfenyegetô tényezôk. A 2. lépés megvalósítása a következô feladatokra bontható:
1. feladat: A felhasználó védelmi céljainak leírása;
2. feladat: Az ötrészes értékskála rögzítése;
3. feladat: Az értékek hozzárendelése az informatika-alkalmazásokhoz és az adatokhoz.
ha az értékelés során különbözô értékek jelennek meg, vissza kell térni az 1. lépéshez.
1. feladat: A felhasználó védelmi céljainak leírása
Le kell írni, hogy a felhasználók milyen védelmi célokat jelölnek meg az öt alapfenyegetettségen belül, azoknak az informatika-alkalmazásaikra való hatását és a feldolgozandó adatokat illetôen.
Például megkövetelhetô, hogy egy alkalmazás ne essen ki egy napnál hosszabb idôre. Az is megkövetelhetô, hogy bizonyos adatok csak az adott szervezet keretein belül válhassanak ismertté, vagy hogy valamely informatikai rendszer felhasználói névtelenek maradjanak. Ezen követelmények okait a harmadik feladat elôkészítése érdekében kell leírni. A harmadik feladatnál ugyanis azon eset következményeirôl kell majd beszélni, amikor az elôre megadott védelmi célok nem érhetôk el vagy azokat még nem érték el.
A védelmi célok leírásához tartozik a következôk rögzítése is
- ki, mikor, hogyan és mely adatokhoz juthat hozzá,
- mi nem történhet meg az adatokkal és
- ki, milyen körülmények között változtathatja meg a rögzített hozzáférési jogokat.
2. feladat: Az ötrészes értékskála rögzítése
A következô feladat egy értékskála kialakítása, amely alapján a meglévô, illetve megvalósítandó informatikai rendszer jelentôsége, értéke meghatározható.
A károknak a jelentéktelentôl a katasztrofálisig terjedô nagysága általában öt érték-kategóriában fejezhetô ki. A különbözô kártípusok esetén az értékskála kialakításához a 3.2. alfejezet példái nyújtanak segítséget.
Az 5-részes - szükség esetén a 4+ külön értéket tartalmazó - skála általános beosztása a következô:
"4+": katasztrofális,
"4": kiemelkedô,
"3": nagy,
"2": közepes,
"1": csekély,
"0": jelentéktelen.
A "0" alsó érték jelentése általában: jelentéktelen, elhanyagolható kár.
A "4" felsô érték jelentése általában: egzisztenciálisan veszélyes kiemelkedô kár.
A "4+" különérték olyan katasztrofális káresetekre vonatkoztatható, amelyek akár a legcsekélyebb bekövetkezési gyakoriság esetén is elviselhetetlenek és minden körülmények között meg kell, hogy akadályozzuk azokat. Az egyes skálaértékek a károk nagyságrendje szerint tagoltak. Ugyanezt a skálát használjuk a hatodik lépésben is .
A becsült értékekhez viszonyított - több mint öt részbôl álló - skála olyan pontosságot eredményezne, amely a legtöbb esetben nem tükrözné az értékek becsült voltát. A becsült értékek, pl. a különbözô tervszámok, általában nem lehetnek olyan pontosak, mint a mért értékek. Különbözô felhasználóknál például az azonos forint összegek különbözô jelentôséggel rendelkeznek. Éppen ezért az öt skálaérték konkrét jelentését minden egyes felhasználónak a saját alkalmazói területére magának kell meghatároznia.
A "0" és "4" szélsôértékek, valamint a "4+" különleges érték jelentését úgy kell megállapítani, hogy az alkalmazói területre vonatkozó általános jelentésüket legalábbis példaszerûen konkretizálja. Ehhez segítséget jelenthetnek, a 3.1. alfejezetben szereplô kérdések. A pontosított szélsô értékekbôl kiindulva kell azután konkrét jelentéssel felruházni az 1, 2 és 3 közbensô értékeket úgy, hogy azonos mértékû eltérés legyen a 0-4-ig terjedô számok jelentése között. Az értékek jelentését nemcsak az olyan károk esetére kell rögzíteni, amelyek meghatározott pénzösszeggel számszerûsíthetôk, hanem minden egyes aspektusra vonatkozóan meg kell határozni azokat is, amelyek esetében pénzzel ki nem fejezhetô károk is bekövetkezhetnek (3.2. alfejezet).
3. feladat: Az értékek hozzárendelése az informatika-alkalmazásokhoz és az adatokhoz
A következô feladat végrehajtása során mindegyik alkalmazáshoz és adathoz egy kárértéket kell rendelni az alapfenyegetettségek, azaz
Valamennyi olyan szempontot meg kell vizsgálni, amelyekbôl kiderül, hogy az informatika-alkalmazásoknak milyen értéke van, és amely értéket valamely fenyegetô esemény bekövetkezése csökkenthet, vagy teljesen megsemmisíthet. Ehhez figyelembe kell venni a károk minden fajtáját, amelyek valamely személy, csoport, szervezet vagy annak bármely egysége számára jelentôs (3.1. és 3.2. alfejezetek).
Az értékelô eljárásnak az informatika-alkalmazásnak és a feldolgozandó adatoknak a szervezet érdekei szempontjából mérlegelt jelentôségébôl kell kiindulnia. Például általában valamennyi informatika-alkalmazás kritikus, amelyektôl teljes mértékben függ az adott szervezet mûködése, ha nem áll fenn valamilyen alternatív megoldás lehetôsége. Figyelni kell arra, hogy milyen függôségek állnak fenn a szervezet különbözô feladatai között. Egy önmagában nézve kevésbé jelentôs alkalmazás lényegesen felértékelôdhet, ha valamely fontos másik alkalmazás ennek eredményeire rá van utalva. Vizsgálni kell a szervezet általános biztonsági irányelveibôl adódó következtetéseket is. Végül figyelembe kell venni ebben az összefüggésben a szerzôdéses kötelezettségeket is.
Az adatbázis-rendszerek esetében fordul elô tipikus módon annak a lehetôsége, hogy a hozzáférhetô adatok ügyes kombinálásával (aggregálás, profilképzés) olyan információra bukkanjanak, amely bizalmas természetû. Ez a személyekre vonatkozó adatok esetében az anonimitás veszélyeztetéséhez vezethet, ami ellentétben áll az adatvédelmi törvény elôírásaival.
Az összkár a közvetlen kárból, a következményes kárból és a kár késôbbi korlátozásának vagy elhárításának ráfordításaiból tevôdik össze. Maga az a lehetôség, hogy egy kárt felfedezhetünk és az az idô, amely a kár bekövetkeztétôl a felfedezéséig eltelik, a kár nagyságát befolyásolhatja. Ez a probléma különösen az adatok sértetlenségének, bizalmasságának elvesztése esetén jelentôs, miután ez a veszteség általában nem, vagy csak közvetett módon, hosszú idô elteltével derül ki.
Értékelni kell tehát minden kárt, és ezen értékelés eredményeként mindegyikükhöz hozzá kell rendelni egyet a skála 0-4 közötti értékeibôl, vagy a 4+ különleges értéket. Ennek során nincs jelentôsége, hogy milyen pénzbeli vagy egyéb kárfajtáról van szó, s annak sem tulajdonítunk jelentôséget, hogy ezek mely alapfenyegetettségre vonatkoztathatók. Az ugyanolyan értékelésû károknak hasonló jelentôségûeknek kell lenniük. Az eggyel nagyobb skála-értékû károknak a szervezet számára legalább egy nagyságrenddel jelentôsebbeknek kell lenniük. Egy olyan kárt tehát, amely bizonyosan legalább 1 millió Ft összegû, eggyel magasabb számmal kell jelölnie, mint azt, amely "csak" 100 ezer Ft nagyságrendû.
Azt a különleges esetet, amikor is egy informatika-alkalmazást vagy az információk valamely fajtáját egy alapfenyegetettség vonatkozásában már nem veszünk figyelembe a továbbiakban, jóllehet egy másik alapfenyegetettséghez besorolva jól definiált skálaértéke van, a listában külön meg kell jelölni. Például az adat valamely formájának egy adott pillanatban (például tôzsdei kurzusok) a sértetlenség szempontjából szignifikáns értéke lehet, a késôbbiekben viszont szükségtelennek bizonyulhat, hogy a megbízhatóság aspektusát is vizsgáljuk.
A fegyegetettség-elemzés során fel kell tárni valamennyi elképzelhetô fenyegetô tényezôt, amelyek kárt okozhatnak az informatikai rendszerben, s ezzel az informatika-alkalmazásban vagy az adatokban. Különösen ügyelni kell arra, hogy egyetlen fontosabb fenyegetô tényezôt se hagyjunk ki, miután a kockázatelemzés ennek eredményeire épül, és a teljeskörûség hiánya a biztonsági koncepció súlyos hiányához vezethet.
A fenyegetettség-elemzés a következô három lépésbôl áll:
Harmadik lépés: A fenyegetett rendszerelemek feltérképezése;
Negyedik lépés: Az alapfenyegetettségek meghatározása;
Ötödik lépés: A fenyegetô tényezôk meghatározása.
A rendszerelemek és fenyegetô tényezôk listáját (3.3. alfejezet) - igény szerint - rövidíthetjük vagy bôvíthetjük, illetve finomíthatjuk.
Figyelnünk kell rá, hogy a rendszerelemek és a fenyegetô tényezôk listája szinkronban legyen, azaz a rendszerelemeket és a fenyegetô tényezôket azonos részletezettséggel kell vizsgálnunk. Ésszerû egyes rendszerelemeket részeire felosztani, ha a fenyegetô tényezôk csak ezekre a pontosan meghatározható részekre hatnak. Ezért a szakasz három lépését (a harmadik, negyedik és ötödik lépést) általában többször kell elvégezni, hogy a kívánatos összhang elérhetô legyen a rendszerelemek és a fenyegetô tényezôk részletezettségében.
A második szakasz lezárása során ezen rész eredményeit a résztvevôknek és a felelôsöknek együttesen kell felülvizsgálni és megítélni. A kockázat-elemzés (a harmadik szakasz) csakis akkor kezdhetô el, ha a második szakasz eredményeit már minden érdekelt elfogadta.
A 3. lépés megvalósítása során a következô feladatokat kell végrehajtani:
1. feladat: A rendszerelemek feltérképezése,
2. feladat: A rendszerelemek kölcsönös függôségeinek leírása.
1. feladat: A rendszerelemek feltérképezése
Az elsô lépés eredményeibôl kiindulva fel kell térképezni az informatikai rendszer minden elemét, majd azokat be kell sorolni a következô csoportokba:
dokumentumok (kézikönyvek, dokumentációk stb.),
hardver,
szoftver,
adathordozók,
kommunikáció és
egyéb, az informatika-alkalmazás megvalósítását szolgáló elemek. Az informatikai rendszer mûszaki behatárolása során fontos az izolált és a hálózatba kötött rendszerek megkülönböztetése. Hálózatba kötött rendszerek esetében
A rendszerelemeket elôször nem részletezve, de teljeskörûen kell feltérképezni, mert a teljeskörûség késôbb már nem biztosítható, csak a rendszerelemek listája finomítható az 5., 6., 7. vagy 9. lépést követôen. A releváns állapot csak a kockázatelemzés után rögzíthetô.
A rendszerelemeket (a 3.3. alfejezet segítségével) kiválasztva a 2. sz minta szerinti nyomtatványon kell rögzíteni (3.8. alfejezet). Egy rendszerelem a listán csak egyszer szerepelhet.
2. feladat: A rendszerelemek kölcsönös függôségeinek leírása
Le kell írni szöveges formában az informatika-alkalmazások, szolgáltatások, illetve adatok és a rendszerelemek közötti függôségeket.
Példa: A bér- és kereseti adatok feldolgozása 5 db xx típusú munkaállomáson folyik, amelyeket az yy cég gyártott a zz verziójú ww üzemi rendszerrel, a qq verziójú tt szoftvercsomaggal, amelyet a kk szoftverház állított elô ... és így tovább.
A 4. lépés megvalósítása a következô feladatokra bontható:
1. feladat: A fenyegetô tényezôk és a rendszerelemek összerendelése;
2. feladat: Az összerendelések dokumentálása.
Például az egész hardver nem áll rendelkezésre, ha az áramellátás megszûnik. Ha ez konkrét környezetben merül fel és káros következményekkel jár, akkor ezt az "áramellátás" rendelkezésre állás oszlopában kell feltüntetni.
Fel kell térképezni a fenyegetô tényezôk, és az alapfenyegetettségek közötti összefüggéseket. Például a rendelkezésre állás elvesztése valamely tároló eszköznél a tárolt adatok konzisztenciáját, sértetlenségét is fenyegetheti.
Az olyan rendszerelemek esetében, amelyek a védelmi intézkedések részét képezik, a rendelkezésre állás vagy a sértetlenség elvesztése általában a védelmi funkciók teljes kieséséhez vezet. Ez azt jelenti, hogy valamennyi ilyen rendszerelemet mindkét alapfenyegetettségre vonatkozóan jelölni kell.
Az 5. lépés megvalósítása során a következô feladatokat kell végrehajtani:
1. feladat: Az informatikai rendszer gyenge pontjainak feltérképezése;
2. feladat: A fenyegetô tényezôk meghatározása.
1. feladat: Az informatikai rendszer gyenge pontjainak feltérképezése
A 3.3. alfejezetben rendszerelem-csoportonként bemutatjuk a gyenge pontokat, s ez segítséget jelenthet a feladat megoldásában.
2. feladat: A fenyegetô tényezôk meghatározása
Ki kell választani a 3.3. alfejezet segítségével azokat a fenyegetô tényezôket, amelyek a feltérképezett rendszerelemeket veszélyeztethetik. Ennek során figyelembe kell venni a gyenge pontokat.
A szükséges védelmi intézkedések figyelembevétele nem itt, hanem a 9. lépésben, a védelmi intézkedések kiválasztása során történik. Ez lehetôséget biztosít arra, hogy a védelmi igény és a fennálló kockázatok függvényében a meglévô védelmi intézkedések létjogosultságát és hatásosságát kiértékeljük.
Meg kell határozni minden egyes konkrét fenyegetô tényezôt, amely az informatikai rendszer környezetében felléphet és nemkívánatos módon hathat a feltérképezett rendszerelemekre. Azután hozzá kell rendelni ezeket a rendszerelemekhez és az alapfenyegetettségekhez, amelyeket érintenek, illetve amelyeket maguk okoznak. Egy-egy fenyegetô tényezô több rendszerelemre is vonatkozhat, ennek ellenére az átfedések elkerülése érdekében csak egyszer célszerû felvezetni.
Annak eldöntéséhez, hogy valamely fenyegetô tényezô releváns-e, egyfelôl a rendszerelemek gyenge pontjait, másfelôl pedig a már adott védelmi intézkedéseket kell figyelembe venni.
Azon fenyegetô tényezôk vizsgálata során, amelyek potenciális tettesektôl indulnak ki, célszerû a támadó nézôpontját átvenni, hogy behatolásának valamennyi lehetôségét fel lehessen térképezni.
A következô kérdésfeltevéssel ellenôrizhetô, hogy teljességében feltárultak-e a releváns fenyegetô tényezôk:
Gondoltunk-e
A kockázatelemzés a következô három lépésbôl áll:
Hatodik lépés: A fenyegetett rendszerelemek értékelése;
Hetedik lépés: A károk gyakoriságának meghatározása;
Nyolcadik lépés: A fennálló kockázatok meghatározása és leírása.
A fenyegetett rendszerelemek értékét ötrészes skálán rögzítik, amely a második lépésben szerepel. A gyakoriságok értékeit egy másik ötrészes skálához rendelik hozzá, amelynek jelentôséget azonban csak a felhasználó, az alkalmazó adhat és kell hogy adjon.
Ha valamely kockázati rész - hatodik és hetedik lépésben szereplô - becslése kimagaslóan nagy bizonytalansági tényezôvel terhelt, azt jelölni kell. Általában a ritka események gyakorisága, mint például az informatika rendszer külsô tényezôk általi megtámadásáé, nehezen becsülhetô.
A harmadik szakasz lezárása során a szakasz eredményeit, kiemelten a kárnagyság, a kárgyakoriság értékeit és a kockázatok leírását a résztvevôk, a felelôsök és a vezetôk körében be kell mutatni, felül kell velük vizsgáltatni és ítéletet kell mondatni velük ezekrôl.
Csak amennyiben már elfogatottnak tekinthetôk az eredmények, lehet rátérni a munka következô szakaszára, a biztonsági koncepció elkészítésére.
Az eljárás a rendszerelemek egymástól való függése alapján terjeszti ki az értékeket az elsôdlegesen védendô rendszerelemekrôl.
Ezután történik meg az értékeknek az alapfenyegettség-rendszerelem párosokhoz való hozzárendelése, majd az alapfenyegettségek okozta károk értékeinek meghatározása és az értékek valamint a fenyegetô tényezôk összerendelése az alapfenyegettség-rendszerelem párosokhoz való tartozás alapján.
A 6. lépés megvalósítása a következô feladatokra bontható:
1. feladat: Az értékek átvitele a rendszerelemekre;
2. feladat: A károk áttekintô ábrázolása.
1. feladat: Az értékek átvitele a rendszerelemekre
A feladat végrehajtása során megtörténik az alkalmazások és az adatok 2. lépésben feltárt értékeinek az átvezetése azokra a feltérképezett objektumokra, amelyektôl függnek.
A feltérképezett rendszerelemek értékét az alkalmazásoknak és az adatoknak az értékelésébôl kell levezetni. Ehhez az alkalmazások rendszerelemektôl való függésének a harmadik lépésben leírt eredményeit kell használni. Elvileg az alkalmazásoknak, szolgáltatásoknak és adatoknak a második lépésben adott értékeit kell átvinni a rendszerelemekre, mégpedig mindazokra, amelyektôl az alkalmazások függnek. Ezek az értékek a 0-4 közötti számok, valamint a 4+ szélsôérték, amelyek a második lépésben bevezetett skálát képezik. Ez érvényes valamennyi alapfenyegetettségre, amennyiben azokat a rendszerelemeknél a negyedik lépésben jelölte.
Például az adatok értéke a bizalmasságot illetôen áttevôdik azokra az adathordozókra és file-okra is, amelyek az adatokat tartalmazzák. Itt figyelembe kell venni az alapfenyegetettségek közötti - a negyedik lépésben feltárt - átfedéseket, átlapolási hatásokat.
Az értékek átvitelét befolyásolják az ötödik lépésben feltérképezett gyenge pontok és védelmi intézkedések is. Ezek hathatnak csökkentô módon, amennyiben a kárt csökkentik vagy korlátozzák. Azokat a tényezôket és megfontolásokat, amelyek egy érték megváltoztatásához vezettek, feltétlenül dokumentálni kell.
Amennyiben egy rendszerelemtôl több informatikai alkalmazás vagy információ függ, akkor az adott rendszerelemnek a legmagasabb elôforduló értéket adja. Például, ha egy lemezes tároló különbözô adatokat tárol, akkor a legfontosabb információnak az értékét adjuk neki.
Azok a rendszerelemek, amelyek más rendszerelemek védelmére szolgálnak - azaz valamely védelmi intézkedés részei - azon rendszerelemek értékét kapják meg, amelyeket védeniük kell.
Végül a rendelkezésre állás vagy a sértetlenség elvesztésének eseteinél figyelembe kell venni a rendszerelem újbóli beszerzésének vagy pótlásának ráfordításait is. A skálaértéket azonban csak akkor növelje, ha a ráfordítás az újrabeszerzés vonatkozásában magasabb, mint a 12. lépésben levezetett érték. Általában ez az eset nem fordul elô, mert az informatika-alkalmazás haszna rendszerint magasabb, mint kiépítésének ráfordításai.
2. feladat: A károk áttekintô ábrázolása
Áttekintést célszerû készíteni arról, hogy a fenyegetô tényezôk bekövetkeztével milyen kár keletkezhet a rendszerelemekben. Ehhez a feltárt értékeket be kell írni a 3. sz. minta szerinti nyomtatvány kárérték oszlopába (3.8. alfejezet).
Az áttekintésnek egyértelmûen kell tükröznie, a várható kár alapján, a fenyegetô tényezôk jelentôségeit. Azt a fenyegetô tényezôt, amelyik több rendszerelemet érint és több alapfenyegetettséget válthat ki, a legmagasabb elôforduló kárértékkel kell megjelölni.
A 7. lépés végrehajtása a következô feladatokra bontható:
1. feladat: Az ötrészes gyakorisági skála rögzítése;
2. feladat: A gyakorisági értékek hozzárendelése a fenyegetô tényezôkhöz.
1. feladat: Az ötrészes gyakorisági skála rögzítése
Az informatikai rendszert fenyegetô veszélyek gyakorisága 0, 1, 2, 3, 4 értékekkel és - szükség esetén - a 0- szélsôértékkel rendelkezô skála segítségével határozható meg. A skála szakaszainak általános értéke a következô:
"4": nagyon gyakori,
"3": gyakori,
"2": közepes,
"1": ritka,
"0": nagyon ritka,
"0-": emberi számítás szerint kizárva.
A "0" érték általános jelentése "nagyon ritka, valószínûtlen, elhanyagolható gyakoriságú". A "4" felsô érték általános jelentése: "nagyon gyakori, bármikor elôfordulhat, beláthatatlan gyakoriságú". A "0-" különértéknek kell állnia az olyan esetekben, amelyekre azt állítjuk, hogy "az esemény emberi számítások szerint egyáltalán nem következik be".
Meg kell határozni a 0-4 értékek és a 0- különérték jelentését, melynek során általános jelentésüket konkretizálják az alkalmazói területre. Általában valamely szám/idôegység viszonyt adnak meg. Az értékeket úgy kell rögzíteni, hogy a 0-4 számok jelentése azonos léptékû növekedést jelentsen. A 3.2. alfejezetben bemutatott példa hivatott megmutatni, hogyan lehetséges az értékek jelentését rögzíteni.
Különbözô alkalmazói területekre nézve elôfordulhat, hogy különbözô kiterjesztéseket kell adni az értékskálának, például az idôegységeket másképp kell definiálni, hogy a skálaértékek összehasonlíthatósága az alkalmazó különbözô követelményei esetében is garantálható legyen.
A gyakoriságok területe általában a "nagyon ritkától" a "nagyon gyakoriig" terjedô öt értékkel lefedhetô. Mindezeken túlmenôen egy több mint öt értéket tartalmazó skála a becsült valószínûségek olyan pontosságát tételezné fel, amelyet a becslési eljárás pontatlansága nem indokol.
A különbözô alkalmazóknál ugyanaz a gyakoriság egészen más jelentôséget kaphat. Éppen ezért az öt skálaérték jelentését minden egyes felhasználónak a saját területére saját magának kell rögzítenie.
2. feladat: A gyakorisági értékek hozzárendelése a fenyegetô tényezôkhöz
A fenyegetô tényezôkhöz minden egyes általuk érintett rendszerelemre és mind az öt alapfenyegetettségre nézve hozzá kell rendelni a gyakorisági skála valamely értékét.
A befolyásolhatatlan külsô tényezôk (vis maior) által fellépô, valamint a bûncselekmény eredetû események vonatkozásában kiinduló értékeket adhatnak a biztosítási és bûnügyi statisztikák csakúgy, mint a gyakorlati szakemberek és a biztonsági szakértôk tapasztalatai. A statisztikák esetében azonban mindenképpen figyelembe kell venni, hogy milyen peremfeltételek mellett keletkeztek. A statisztikákat nem lehet minden további nélkül a felhasználó speciális viszonyaira átvinni, szolgai módon alkalmazni. Mindezeken túlmenôen a statisztikai eredmények elvileg is bizonytalanságokkal terheltek.
Különösen nehéz a külsô támadók vagy belsô tettesek általi támadások megbecsülése ezen cselekmények csekély száma és természete miatt, miután egy vagy több ember cselekedeteitôl, viselkedésétôl függnek. Az ilyen becslések kiindulópontjaként azon személyek száma szolgálhat, akiknek bejutási lehetôségük van az informatikai rendszerbe és akik kielégítô ismeretekkel és képességekkel rendelkeznek egy támadáshoz. Általában az okok elemzése is kiindulópontokat adhat a gyakoriság becsléséhez.
A becslést befolyásoló tényezôk az ötödik lépésben feltérképezett gyenge pontok, amelyek tulajdonképpen a rendszerelemeket a fenyegetô tényezôkkel szemben fogékonnyá teszik. Ugyancsak igaz, hogy az ötödik lépésben feltárt védelmi intézkedések a fenyegetô események gyakoriságát csökkenthetik. Azokat a tényezôket, amelyek a megváltozott értékeléshez vezettek, dokumentálni kell.
Az olyan fenyegetô tényezôknél, amelyek személyek szándékos támadásaival függnek össze, a gyakorisági értéket egy vagy akár két nagyságrenddel is növelni kell, ugyanis egy támadás annál valószínûbb, minél nagyobb a kár, amelyet valamely tettes okozhat, vagy saját elônyére változtathat át. Az ilyen befolyásoló tényezôket is dokumentálni kell.
Becsülje meg a bekövetkezési gyakoriságokat minden egyes fenyegetô tényezô esetében, és eredményként rendelje hozzájuk a 0-4 közötti skálaértékekbôl valamelyiket, vagy a 0- különleges értéket. A hozzárendelt skálaértékek alapján ugyanazon számokkal jelölt gyakoriságoknak összehasonlíthatóknak kell lenniük. Az egy számmal magasabban jelölt gyakoriság a szervezet számára legalább egy nagyságrenddel fontosabb kell, hogy legyen.
A gyakoriság becslése nélkül a kockázat, amelyet valamely fenyegetô tényezô okoz, nem becsülhetô. Csak ha ezek a számok már adottak, csökkenthetô az a bizonytalanság, amely elvileg benne rejlik a becslés folyamatában. A csökkentést folyamatos és periodikus átvizsgálással és korrigálással érhetjük el. Az ismételt vizsgálatoktól jelentôs tapasztalatszerzés várható.
A 8. lépés megvalósítása a következô feladatokra bontható:
1. feladat: Valamennyi kárérték összeállítása egy áttekintésben;
2. feladat: Az elviselhetô és az elviselhetetlen kockázatok rögzítése;
3. feladat: Az elviselhetô és az elviselhetetlen kockázatok megjelölése az áttekintésben.
A 8. lépés eredménye az alapja mind a 9., mind a 10. lépés sikeres végrehajtásának.
Az 1. feladat: Valamennyi kárérték összeállítása egy áttekintésben
Össze kell állítani közös áttekintésben valamennyi kockázatot, hogy a hozzájuk rendelt értékpárok a 6. lépés kárértékeibôl és a 7. lépés gyakorisági értékeibôl álljanak. (Értékpár: kárérték-gyakorisági érték)
Minden egyes feltárt fenyegetô tényezôhöz minden érintett rendszerelem és valamennyi vonatkoztatható alapfenyegetettség vonatkozásában egy értékpárt kell hozzárendelni, amely a kárértékbôl (elsô szám) és a gyakorisági értékbôl (második szám) áll. Ez az értékpár jelöli a kockázatot. A kockázat nagysága a két értékbôl együttesen adódik. A kockázatokat úgy kell ábrázolni, hogy a nagyobb kockázatok könnyen azonosíthatók legyenek és felismerhetô legyen, hogyan alakultak ki ezek a kockázatok.
2. feladat: Az elviselhetô és az elviselhetetlen kockázatok rögzítése
Meg kell állapítani a döntési tábla alapján, mely kárnagyságból és gyakoriságból összetevôdô értékpárok jelentenek elviselhetô kockázatot és melyek nem.
A 3.2. alfejezetben szereplô kockázati mátrixban valamennyi értékkombinációt meg kell jelölni egy "E" betûvel, hogyha elviselhetô kockázatokat jelentenek, és egy "N" betûvel, ha nem elviselhetô kockázatokat jelentenek. Hogy melyik helyen, mely jelölést kell alkalmazni egy értékpár esetében, azt szintén a 3.2. alfejezetben találhatja.
Mindehhez elsôként a táblázatban meg kell vonni a határt az elviselhetetlen és az elviselhetô kockázatok között. Mindazok az értékpárok, amelyek ezen határtól felfelé és jobbra helyezkednek el, az N jelölést kapják. Mindazok az értékpárok, amelyek ettôl a határtól lejjebb és balra helyezkednek el, a E jelölést kapják. Azokat az okokat, amelyek ezen határ rögzítéséhez vezettek, dokumentálni kell.
Az elviselhetô kockázat felsô határát úgy lehet rögzíteni, hogy - megfelelôen kiválasztott példák és esetek összehasonlításával - a fennálló kockázatokat az általános biztonsági politika követelményeivel összehasonlítva kell eldönteni, hogy ezek a kockázatok elviselhetôk-e. Amennyiben az általános biztonságra vonatkozó irányelvek hiányoznak, úgy az értékelô csoportnak a projekt vezetôséggel egyeztetett véleménye alapján kell meghatározni a felsô határt.
Az egyezô értékpárral leírt két kockázat bizonyos szempontból hasonlít egymásra. A nagyobb értékpárú kockázat jelentôsebb a szervezeteknek, ezért lehet, hogy korrigálni kell a 2. és 7. lépések eredményeit. Különleges jelentôsége van a felhasználási területek összehasonlíthatóságának. Ebben a lépésben csak a kockázati szemlélet alapján lehet eldönteni, hogy az egyik kockázat elviselhetô (E), a másik nem elviselhetô (N). A késôbbi lépésekben, amelyek során az elviselhetetlen kockázatok megszüntetésére törekszünk, érvényesülhetnek a gazdaságosság szempontjai is.
Az elviselhetô és elviselhetetlen kockázatok közti határ rögzítésérôl semmilyen körülmények között nem mondhatunk le!
A 4+ és 0- szélsôértékeket tartalmazó kombinációkat elkülönítve kell figyelembe venni. Függetlenül a gyakorisági értéktôl valamennyi olyan kombinációnak E jelölést adjon, amelyben a kárérték a "-" jelölést kapta.
Itt jegyzendô meg, hogy állam- vagy szolgálati titoknak minôsített adatok megjelenése az informatikai feldolgozásban a 4, 4+ skálaértéket indukálja, de ezen túlmenôen informatikai biztonsági szakértô bevonását teszi szükségessé.
3. feladat: A kockázatok megjelölése az áttekintésben
Döntési tábla segítségével ki kell tölteni a 4. sz. minta szerinti nyomtatvány (3.8. alfejezet) "kockázatjelölés" rovatát N- vagy E-vel!
Kockázati mátrix a kockázatok jelölésére:
| K | 4+ | ||||||
| Á | 4 | ||||||
| R | 3 | ||||||
| É | 2 | ||||||
| R | 1 | ||||||
| T | 0 | ||||||
| É | - | ||||||
| K | 0- | 0 | 1 | 2 | 3 | 4 | |
| GYA | KO | RI | SÁ | GI | ÉR | TÉK |
Ebben a fejezetben az informatikai biztonsági vizsgálatának és biztosításának céljait szolgáló eljárás negyedik szakaszát írjuk le. Az egész eljárás áttekintése a 2.2. alfejezetben található. Javasoljuk az olvasónak, hogy vessen egy visszapillantást erre a részre.
Az informatikai biztonsági koncepciót a következô négy lépésben lehet elkészíteni:
Kilencedik lépés: Az intézkedések kiválasztása;
Tizedik lépés: Az intézkedések értékelése;
Tizenegyedik lépés: A költség-haszon arány elemzése;
Tizenkettedik lépés: A maradványkockázat elemzése.
A tizedik lépésben az intézkedések hatékonyságát értékeljük. Ennek során - akárcsak a második és hetedik lépésekben - nem adott egy egyszerû általános eljárási módszer. Ez a lépés a kiválasztott intézkedések területén szerzett tudást és tapasztalatot feltételezi. Különösen vonatkozik ez annak megítélésére, hogyan hatnak egymásra az intézkedések, milyenek kölcsönhatásaik.
A negyedik szakasz lezárása során az informatikai biztonsági koncepciót a kidolgozásában résztvevôk, felelôsök körében be kell mutatni, felül kell vizsgálni, arról határozni kell és a következô pontokkal ki kell egészíteni:
A 9. lépés megvalósítása a következô feladatokra bontható:
1. feladat: Az elviselhetetlen kockázatok összeállítása;
2. feladat: Az intézkedések kiválasztása.
szervezet,
személyzet,
hardver, szoftver, adatok, dokumentációk (információtechnológia),
kommunikáció,
elektromágneses sugárzásvédelem.
A 9. lépés a továbbiakban alapját képezi a következô, 10. lépésnek.
Az intézkedések révén általában új rendszerelemek keletkeznek, amelyeket a fenyegetô tényezôkkel szemben ugyancsak védeni kell, különben az intézkedések esetleg hatástalanok lehetnek. Éppen ezért ismételt fenyegetettség- és kockázatelemzést kell végrehajtani. Ez visszacsatolást igényel a 3.-tól a 8.-ig terjedô lépésekhez.
Amennyiben a példák nyomán megállapítjuk, hogy az egységes értékelés a skálákon nem teljesen sikerült, az egész értékelést felül kell vizsgálni. Ez feltételezi a visszacsatolást a 2.-tól a 7.-ig terjedô lépésekhez.
1. feladat: Az elviselhetetlen kockázatok összeállítása
Az elviselhetetlen kockázatok sorát olyan kivonatban kell összeállítani, mint a 8. lépésben elôállított áttekintés.
Ehhez ki kell választani azokat a kockázatokat, amelyek értékpárját a döntési táblában N-nel jelöltük. Ezek a kockázatok olyan fenyegetô tényezôkbôl indulnak ki, amelyek ellen még semmit, vagy túl keveset tettek. Ha itt elviselhetetlen kockázatok adódnak, olyan védelmi igény áll fenn, amely azt jelenti, valamit tenni kell az informatikai rendszer védelmének erôsítése érdekében.
Alkalmazható olyan megközelítés is, amely a kockázatok felmérésekor a már megtett intézkedéseket és azok kockázatcsökkentô hatását nem veszi figyelembe. Ebben az esetben az ilyen fenyegetô tényezôk által kiváltott kockázat értéke a mátrixban magasabbra adódik. Az ilyen típusú kockázatok csökkenését a késôbbi lépésekben a tényleges és tervezett intézkedések hatásának együttes figyelembevételével lehet megbecsülni.
2. feladat: Az intézkedések kiválasztása
Intézkedéseket kell hozni azon fenyegetô tényezôk ellen, amelyek az elviselhetetlen kockázatot okozzák.
A biztonsági követelmények arra irányulnak, hogy az elviselhetetlen kockázatokat okozó fenyegetô tényezôk elleni intézkedések révén elérjék a kockázatok elviselhetô mértékre csökkentését. A 3.6. alfejezetbôl ki kell választani azokat az intézkedéseket, amelyek az elsô feladat során kiválasztott fenyegetô tényezôk ellen hatnak. Általában úgy lehet megtalálni a fenyegetô tényezôk elleni megfelelô intézkedéseket, hogy az elôbbiek okait kell megvizsgálni. Ha még nincs kellô tapasztalat az intézkedések kiválasztásában, támogatást nyújthat a kiválasztás során az intézkedéseknek a fenyegetô tényezôkhöz való durva hozzárendelése, amelyet ugyancsak a 3.6. alfejezet tartalmaz.
Végezetül meg kell vizsgálni, hogy a kiválasztott intézkedések valamennyi fenyegetô tényezôt lefedik-e, amelyekbôl a feltárt kockázatok kiindulnak.
A fenyegetô tényezôk és az intézkedés-csoportok egymáshoz rendelése eléggé nagyvonalú, tehát egy-egy csoportnak nem minden intézkedése hat az adott csoport valamennyi fenyegetô tényezôje ellen, és fordítva, nem minden fenyegetô tényezôt fed le az intézkedések mindegyike.
A katasztrófa-megelôzés intézkedéseit ebben a hozzárendelési formában nem szerepeltetjük.
Célszerûtlen lenne az egymáshoz rendelést az egyes fenyegetô tényezôk és az egyes intézkedések szintjén megvalósítani, miután az áttekinthetetlen lenne. Mindezeken kívül egy ilyen egymáshoz rendelés azt a benyomást kelthetné, hogy (mint például egy megrendelési katalógusban) egyenként minden egyes fenyegetô tényezôhöz egy megfelelô ellenintézkedést választhatunk. A valóságban azonban igen gyakran az intézkedések egymástól függnek és csak egymással összhangban hatnak.
A 10.lépés megvalósítása a következô feladatokra bontható:
1. feladat: Az intézkedésekkel leküzdött valamennyi fenyegetô tényezô feltérképezése;
2. feladat: Az intézkedések kölcsönhatásának leírása;
3. feladat: Az üzemmenetre való kihatások vizsgálata;
4. feladat: Vizsgálat az elôírásokkal való egyezésre vonatkozóan;
5. feladat: Az intézkedések hatékonyságának értékelése.
szervezet,
személyzet,
hardver, szoftver, adatok, dokumentáció (információtechnológia),
kommunikáció,
elektromágneses sugárzásvédelem,
1. feladat: Az intézkedésekkel leküzdött valamennyi fenyegetô tényezô feltérképezése
Számba kell venni minden olyan fenyegetô tényezôt, amelyek ellen a kiválasztott intézkedések hatnak.
Elsôként fel kell térképezni, mely fenyegetô tényezôket fedtek le a pótlólagos intézkedések, figyelembe véve, hogy egy intézkedés több fenyegetô tényezô ellen hatásos lehet.
2. feladat: Az intézkedések kölcsönhatásainak leírása
Meg kell ítélni, hogyan hatnak kölcsönösen egymásra a pótlólagos - a kilencedik lépésben kiválasztott - és a már korábban is adott - az ötödik lépésben feltérképezett - védelmi intézkedések. Ez a vizsgálat általában megerôsíti azt a feltevést, hogy hatásaik átfedik egymást. Azonban az intézkedések egymásra olyan hatással is lehetnek, hogy kölcsönösen gátolják egymást hatásaik kifejtésében.
Példa:
Az "adatbiztosítás" intézkedése növeli a veszélyt, hogy az információ a biztonsági másolatok révén jogosulatlanok számára hozzáférhetôvé válik. Ez az intézkedés tehát akár növelheti is a kockázatot!
Különös figyelemmel kell feltárni az intézkedések közötti kölcsönös függôségeket.
Példa:
A "naplózás" elnevezésû informatikai intézkedésnek csak akkor van értelme, ha már bevezettek azonosítási és hitelesítési eljárást a rendszerbe való bejelentkezéskor.
3. feladat: Az üzemmenetre való kihatások vizsgálata
Felül kell vizsgálni, hogy az intézkedések vezetnek-e és milyen kiterjedésû akadályokhoz az informatikai rendszer üzemelésében.
Célszerû megvizsgálni, hogy az intézkedések összeegyeztethetôk-e az informatikai rendszerrel szemben támasztott funkcionális követelményekkel és integrálhatók-e a rendszer folyamataiba. Általában a biztonsági intézkedések korlátozásokhoz vezetnek az akadálytalan üzemvitelben. Meg kell állapítani, hogy milyen mértékben fogadhatók el ezek az akadályozások (halasztódások, teljesítményvesztések). Különösen fontos azon intézkedések megvizsgálása, amelyek a felhasználót közvetlenül érintik.
Példák:
Valamennyi pótlólagos vizsgálat a rendszerben a számítógép-teljesítmény növelését igényelheti.
A négy szem elv az adatbevitel során nagyobb munkaráfordítást követel, mint ha a bevitel csak egy személy által történik.
4. feladat: Vizsgálat az elôírásokkal való egyezésre vonatkozóan
Az intézkedéseket meg kell vizsgálni abból a szempontból, hogy összeegyeztethetôk-e az elôírásokkal, irányelvekkel és törvényekkel. E körbe tartozik különösen
Példa:
A felhasználói aktivitásoknak az informatikai rendszerben való naplózásához szükség lehet az intézmény-szervezet testületi egyetértésére, miután abból a munkatársak teljesítmény-profiljait össze lehet állítani.
5. feladat: Az intézkedések hatékonyságának értékelése
Értékelni kell, hogy az intézkedések milyen mértékben csökkentik a kockázatot.
Tisztázni kell, hogy átfogóan hogyan változtatják meg a pótlólagos intézkedések a kockázatokat, azaz általában hogyan csökkentik azokat. Ehhez meg kell vizsgálni, hogyan hat ki egy intézkedés a kárnagyságra vagy a kárgyakoriságra, és olyan értékpárt kell hozzárendelni ehhez az intézkedéshez, amely hatékonyságát jelzi.
A személyi és szervezési intézkedések körében a valóságban jelentôs szerepet játszik a hatékonyság megítélésében az érintettek várható magatartása.
Megjegyzés a hardver- és szoftver védelmében hozandó biztonsági intézkedésekhez:
Az informatikai rendszerek és informatikai komponensek (ügyviteli rendszerek, adatbázisok, alkalmazói programok, hálózatok) bevezetése során tanácsos olyanokat választani, amelyek összhangban vannak az ITSEC ajánlások biztonsági kritériumaival. A megfelelô kiválasztás érdekében tanácsos szakértôkhöz fordulni. Számítógépes hálózatok vonatkozásában az ITSEC mellett és fôleg a nyílt rendszer elv érvényrejuttatása miatt jelen esetben a biztonsági architektúra modellre készült ISO OSI 7498-2 szabvány, illetve ajánlás emelendô ki, amit a CCITT X.800 néven vett át. A Magyar Szabványügyi Hivatal 1994 I. negyedévében jelentette meg a szabvány magyar nyelvû adaptációját. (A két forrásanyagban megtalálható osztályozásokat abban az esetben is célszerû alkalmazni, ha az alkalmazásra szánt hardver- és szoftver védelmi elem nem kapta meg az ITSEC minôsítési tanúsítványát.) Részletesebb ismertetô található a 2. sz mellékletben.
A 11. lépés megvalósítása a következô feladatokra bontható:
1. feladat: Az intézkedések költségeinek megállapítása;
2. feladat: Az elfogadhatóság vizsgálata.
1. feladat: Az intézkedések költségeinek megállapítása
Határozzuk meg az egyes intézkedések költségeit és az intézkedések összköltségeit foglaljuk össze egy áttekintésben.
Egyenként meg kell állapítani a hozott biztonsági intézkedések költségeit. Ehhez hozzátartozik a teljes ráfordítás, amely az adott intézkedés bevezetésével és megvalósításával keletkezik, tehát például
2. feladat: Az elfogadhatóság vizsgálata
Meg kell vizsgálni, hogy az egyes intézkedések költségei és haszna elfogadható viszonyban állnak-e egymással.
Minden egyes intézkedés költségeit össze kell mérni azok hatásosságával. Amennyiben a költségek és a hatások pénzösszegekben megadhatók, akkor a megtakarításokból, azaz a csekélyebb kár elvárhatóságából adódó haszon nagyobb kell hogy legyen, mint a ráfordított költség. Ha ezt a mérlegelést a kárskála segítségével sikerül elvégezni, akkor a tizedik lépésben rögzített hatékonysági értéknek magasabbnak kell lennie, mint a kárskála megfelelô költségértékének. Az elfogadhatóságot írásban kell megalapozni.
Példa:
Valamely intézkedés (például az adatok rendszeres biztosítása), amely a kárnagyságot 5-rôl 3-ra csökkenti (például 10 mFt-ról 100 eFt-ra) és költségeket okoz, amelyek a 4-es értéknél jelzetthez hasonlóak vagy kisebbek (például 1 mFt), akkor az adott intézkedés elfogadható.
Itt két egyszerû gyakorlati szabály érvényesül:
A 12. lépés megvalósítása a következô feladatokra bontható:
1. feladat: A hatékonysági értékek bedolgozása a kockázat-áttekintésbe;
2. feladat: A maradványkockázat elemzése.
Amennyiben még egy vagy több kockázat a 9. lépésben felállított tábla szerint elviselhetetlen, szükség van a 9. lépéshez való visszacsatolásra. hogy hatékonyabb intézkedéseket vagy több intézkedést válasszunk ki. Olyan maradványkockázat, amely elviselhetetlen, e lépés lezárását követôen nem maradhat. Az is elképzelhetô viszont, hogy az elôirányzott védelem túlzott, azaz a kockázatot jóval az elviselhetôségi határ alatt tartja. Ilyenkor meg kell fontolnunk, hogy egyszerûbb vagy kevesebb intézkedéssel elérhetô-e egy elfogadható maradványkockázat. Ennek során figyelembe kell vennünk az intézkedések közötti függôségeket.
1. feladat: A hatékonysági értékek bedolgozása a kockázat-áttekintésbe
Ki kell egészíteni a kockázat-áttekintést a kiválasztott intézkedések hatékonyságának értékeivel.
Az elôirányzott intézkedéseknek a tizedik lépésben feltárt értékpárjait a nyolcadik lépésben szereplô kockázat-áttekintésbe kell bedolgozni. Ehhez az ellenintézkedés értékét minden kockázat esetében, amelyeket az adott intézkedés lefed, az eddigi értékpárból számjegyenként le kell vonni. Ezenkívül a kockázat nagyság mutatóját mindenhol megfelelô mértékben növelni kell, ahol az intézkedés kockázatnövelô kihatású. Ezzel elôáll az a kockázat, amely az intézkedések ellenére megmarad, azaz más néven a maradványkockázat.
Példa:
Valamely fenyegetô tényezôbôl olyan kockázat indult ki, amely a (4,1) értékpárral volt leírható. Valamely ezen fenyegetô tényezô ellen tett intézkedés hatékonysága (1,0). Ez esetben a megmaradó, maradványkockázat a (3,1) értékpárral írható le.
2. feladat: A maradványkockázat elemzése
Felül kell vizsgálni, hogy valamennyi fennmaradó kockázat elviselhetô, azaz az újonnan adódott értékpárok a 8. lépésnek megfelelôen összeállított döntési táblának megfelelô elviselhetô kockázatokat tartalmaznak-e.
Meg kell vizsgálni, hogy az átdolgozott áttekintésben minden egyes kockázat egy megfelelô értékpárral van-e megjelenítve. Elfogadhatók azok az értékpárok, amelyeket a nyolcadik lépésben szereplô döntési táblán (E)-vel jelöltünk. Csak ez esetben elviselhetôk a maradványkockázatok. Azokat a kifejtéseket, amelyek a maradványkockázat elviselhetôségével kapcsolatos döntés alapjául szolgáltak, célszerû dokumentálni.
Különösen ki kell emelni, ha valamely releváns fenyegetô tényezô nincs intézkedésekkel lefedve.
Ha a maradványkockázatot elfogadható ráfordításokkal nem lehet elviselhetô mértékre csökkenteni, akkor "végsô" intézkedésként mérlegelni kell az informatikai rendszer bevezetésérôl történô lemondást is a kritikus alkalmazói területeken.