ISO 27005 kockázatelemzési módszertan - Gyakorlati példa

ISO 27005 kockázatelemzési módszertan - Gyakorlati példa

Az ISO 27005 az egyik legelterjedtebb információbiztonsági kockázatelemzési módszertan, amely jól illeszkedik a NIS2 követelményeihez. Bemutatom egy gyakorlati példán keresztül, hogyan alkalmazható egy pénzügyi szolgáltató esetében.

Példa: "BankSecure" pénzügyi szolgáltató kockázatelemzése

1. Kontextus meghatározása

  • Szervezet: BankSecure, közepes méretű pénzügyi szolgáltató
  • Hatókör: Online banki rendszer és a kapcsolódó ügyfélszolgálati folyamatok
  • Kritérium: Rendelkezésre állás (99.9%), adatvédelem, pénzügyi tranzakciók integritása

2. Kockázatazonosítás

Eszközök azonosítása:

  • Adatbázisszerver (ügyfél- és tranzakciós adatok)
  • Webes alkalmazásszerver
  • Hálózati infrastruktúra
  • Adatmentési rendszerek
  • Alkalmazotti hozzáférési rendszerek

Fenyegetések azonosítása:

  • Kibertámadások (pl. DDoS, SQL injection)
  • Illetéktelen hozzáférés (külső és belső)
  • Rendszerleállás (hardverhiba vagy szoftverhiba miatt)
  • Adatvesztés
  • Emberi tévedés

Sérülékenységek azonosítása:

  • Hiányzó biztonsági frissítések
  • Gyenge jelszókezelési gyakorlat
  • Hiányos hozzáférés-felügyelet
  • Nem megfelelő adatmentési eljárások

3. Kockázatelemzés

Kockázati szintek meghatározása:

Fenyegetés Valószínűség Hatás Kockázati szint
SQL injection támadás Közepes (3) Kritikus (5) Magas (15)
Adatbázisszerver leállása Alacsony (2) Magas (4) Közepes (8)
Privilegizált felhasználó visszaélése Alacsony (2) Kritikus (5) Magas (10)
Sikeres adathalász támadás Magas (4) Közepes (3) Magas (12)
Hiányos mentés miatti adatvesztés Alacsony (2) Magas (4) Közepes (8)

4. Kockázatértékelés

Kockázati értékek összehasonlítása a kritériumokkal:

  • A "Magas" kockázati szintű fenyegetések azonnali beavatkozást igényelnek
  • A "Közepes" kockázati szintű fenyegetések kezelési tervet igényelnek
  • Az "Alacsony" kockázati szintű fenyegetéseket nyomon kell követni

5. Kockázatkezelés

SQL injection támadás (Magas kockázat):

  • Elkerülés: Input validáció és paraméteres lekérdezések bevezetése
  • Csökkentés: Web Application Firewall telepítése
  • Megosztás: Biztonsági audit külső szolgáltatóval

Adatbázisszerver leállása (Közepes kockázat):

  • Csökkentés: Redundáns szerver konfiguráció kialakítása
  • Elfogadás: Elfogadható kockázatként kezelve, ha a helyreállítási idő célértéke (RTO) teljesül

Privilegizált felhasználó visszaélése (Magas kockázat):

  • Csökkentés: Többfaktoros hitelesítés bevezetése
  • Csökkentés: Privilegizált hozzáférés-kezelési rendszer bevezetése
  • Áthárítás: Kiberbiztotsági biztosítás kötése

6. Kockázatkommunikáció és konzultáció

  • Kockázati jelentés készítése a vezetőség számára
  • Részletes biztonsági követelmények kommunikálása a fejlesztőcsapat felé
  • Tudatossági képzések szervezése az alkalmazottak számára

7. Nyomon követés és felülvizsgálat

  • Negyedéves kockázatértékelési felülvizsgálat
  • Kontrollok hatékonyságának rendszeres tesztelése
  • Incidensek elemzése és a tanulságok visszacsatolása

Ez a példa szemlélteti, hogyan alkalmazható az ISO 27005 módszertan egy valós környezetben, és hogyan támogatja a NIS2 követelményeinek való megfelelést a szisztematikus és dokumentált kockázatelemzési folyamaton keresztül.