ISO 27005 kockázatelemzési módszertan - Gyakorlati példa
Az ISO 27005 az egyik legelterjedtebb információbiztonsági kockázatelemzési módszertan, amely jól illeszkedik a NIS2 követelményeihez. Bemutatom egy gyakorlati példán keresztül, hogyan alkalmazható egy pénzügyi szolgáltató esetében.
Példa: "BankSecure" pénzügyi szolgáltató kockázatelemzése
1. Kontextus meghatározása
- Szervezet: BankSecure, közepes méretű pénzügyi szolgáltató
- Hatókör: Online banki rendszer és a kapcsolódó ügyfélszolgálati folyamatok
- Kritérium: Rendelkezésre állás (99.9%), adatvédelem, pénzügyi tranzakciók integritása
2. Kockázatazonosítás
Eszközök azonosítása:
- Adatbázisszerver (ügyfél- és tranzakciós adatok)
- Webes alkalmazásszerver
- Hálózati infrastruktúra
- Adatmentési rendszerek
- Alkalmazotti hozzáférési rendszerek
Fenyegetések azonosítása:
- Kibertámadások (pl. DDoS, SQL injection)
- Illetéktelen hozzáférés (külső és belső)
- Rendszerleállás (hardverhiba vagy szoftverhiba miatt)
- Adatvesztés
- Emberi tévedés
Sérülékenységek azonosítása:
- Hiányzó biztonsági frissítések
- Gyenge jelszókezelési gyakorlat
- Hiányos hozzáférés-felügyelet
- Nem megfelelő adatmentési eljárások
3. Kockázatelemzés
Kockázati szintek meghatározása:
Fenyegetés |
Valószínűség |
Hatás |
Kockázati szint |
SQL injection támadás |
Közepes (3) |
Kritikus (5) |
Magas (15) |
Adatbázisszerver leállása |
Alacsony (2) |
Magas (4) |
Közepes (8) |
Privilegizált felhasználó visszaélése |
Alacsony (2) |
Kritikus (5) |
Magas (10) |
Sikeres adathalász támadás |
Magas (4) |
Közepes (3) |
Magas (12) |
Hiányos mentés miatti adatvesztés |
Alacsony (2) |
Magas (4) |
Közepes (8) |
4. Kockázatértékelés
Kockázati értékek összehasonlítása a kritériumokkal:
- A "Magas" kockázati szintű fenyegetések azonnali beavatkozást igényelnek
- A "Közepes" kockázati szintű fenyegetések kezelési tervet igényelnek
- Az "Alacsony" kockázati szintű fenyegetéseket nyomon kell követni
5. Kockázatkezelés
SQL injection támadás (Magas kockázat):
- Elkerülés: Input validáció és paraméteres lekérdezések bevezetése
- Csökkentés: Web Application Firewall telepítése
- Megosztás: Biztonsági audit külső szolgáltatóval
Adatbázisszerver leállása (Közepes kockázat):
- Csökkentés: Redundáns szerver konfiguráció kialakítása
- Elfogadás: Elfogadható kockázatként kezelve, ha a helyreállítási idő célértéke (RTO) teljesül
Privilegizált felhasználó visszaélése (Magas kockázat):
- Csökkentés: Többfaktoros hitelesítés bevezetése
- Csökkentés: Privilegizált hozzáférés-kezelési rendszer bevezetése
- Áthárítás: Kiberbiztotsági biztosítás kötése
6. Kockázatkommunikáció és konzultáció
- Kockázati jelentés készítése a vezetőség számára
- Részletes biztonsági követelmények kommunikálása a fejlesztőcsapat felé
- Tudatossági képzések szervezése az alkalmazottak számára
7. Nyomon követés és felülvizsgálat
- Negyedéves kockázatértékelési felülvizsgálat
- Kontrollok hatékonyságának rendszeres tesztelése
- Incidensek elemzése és a tanulságok visszacsatolása
Ez a példa szemlélteti, hogyan alkalmazható az ISO 27005 módszertan egy valós környezetben, és hogyan támogatja a NIS2 követelményeinek való megfelelést a szisztematikus és dokumentált kockázatelemzési folyamaton keresztül.