MeRSZ online
okoskönyvtár
Több száz tankönyv egy helyen.
Online. Bárhol. Bármikor.
Bizonytalanság és biztonság
Fejezetek a mérnöki kockázatmenedzsmentből
1. Információ-, informatikai és kiberbiztonság
Az állami, önkormányzati, üzleti és nonprofit szervezeteknek már a múlt században is komoly feladatot jelentett az információs vagyonuk (partnerek adatai, technológiák és konstrukciók leírásai, beruházási tervek, személyes adatok stb.) védelme. A titkos ügykezelési, valamint szervezeti és működési szabályzatok információvédelmi szempontból is szabályozták az ügyviteli folyamatokat. Az információtechnológia nagymérvű alkalmazása és nélkülözhetetlensége újabb, eddig ismeretlen kockázatokat eredményezett. Szükséges tehát az információ- és adatkezelés minden részletre (emberi erőforrás, információtechnológia, kommunikáció, szervezet, folyamat) kitérő „holisztikus” szabályozása. Ezzel együtt a társadalom tagjai megkövetelik személyes adataik védelmét, az ezekkel történő visszaélések vagy nem megfelelő gyakorlatok visszaszorítását. A mesterséges intelligencia alkalmazása is terjed, de ezen alkalmazások eredményeinek validálás és kellő ellenőrzés nélküli felhasználása is igazából információbiztonsági problémát jelent.
Az egyre inkább tudásalapúvá váló társadalomban és gazdaságban az információ a gazdálkodó szervezet számára olyan érték, amely a vezetői döntések, ill. az üzleti sikeresség alapja és az alkalmazott információs technológia „erőforrása”, ezáltal a működés hatékonyságának meghatározó eleme. Vonatkozhat többek között termékre, szolgáltatásra, technológiai ismeretekre és a rendelkezésre álló erőforrásokra, valamint az üzleti partnerekre is. Ha hiányoznak, pontatlanok, vagy nem időszerűek, esetleg illetéktelenek kezébe kerülnek, akkor ez a vállalat számára károkat okozhat. Az információt tehát védeni kell.
Ez ma az információk (ISO/IEC 27001):
-
bizalmasságát (az információ csak az arra felhatalmazottak számára legyen elérhető),
-
sértetlenségét (az információk teljességének és pontosságának megőrzése),
-
és rendelkezésre állását jelenti (a felhatalmazott felhasználók akkor férjenek hozzá az információhoz, amikor az szükséges).
Az információbiztonság lényegesen összetettebb problémakör, mint az informatikai (információtechnológiai) biztonság. Ma már nem elég vírusirtókban, tűzfalakban, megbízhatóan működő hardverben és egyértelmű azonosító rendszerekben gondolkodni. A technológiai háttér tudatos kialakítása nem elégséges. Az információ sértetlenségét, a rendelkezésre állását és a bizalmas kezelését azonban elsősorban a belső munkatársak (vállalatirányítási információs rendszerek és az intranet révén) és a vállalati adatbázisokhoz interneten, extraneten és elektronikus adatcsere révén hozzáférő stratégiai partnerek (beszállítók, viszonteladók, kooperációs partnerek és pénzügyi szolgáltatók) gondatlan, esetleg szándékos károkozása is veszélyezteti.
Az információbiztonsághoz további jellemzők is kapcsolhatók, mint a hitelesség, számonkérhetőség, letagadhatatlanság és a megbízhatóság.
Az információvagyon védelme érdekében az információ- és az információhordozók kezelését is szabályozzuk. Ez független attól, hogy milyen az információ megjelenési formája. A védelem akkor működik helyesen, ha meghatározzuk a védendő információkat, a külső és belső fenyegetéseket, ill. azok kockázatát, valamint a védelemhez szükséges szabályozást és eszközrendszert (ISO/IEC 27002).
Az adatvédelem mások adatainak törvényi elvárásoknak megfelelő kezeléséről szól, ami elsősorban a jogászok szakértelmét és közreműködését igényli.
Az információvédelem szorosan kapcsolódik a szervezet működtetéséhez szükséges és elégséges erőforrások biztosításához. Az erőforrások között kiemelt szerepet kap a külső és belső információ. Ez véleményem szerint az (információ)biztonsági szakemberek területe. A többi erőforrás (alapanyag, energia, munkaerő) a hozzájuk kapcsolható információk nélkül ráadásul nem is hasznosíthatók a szervezetek számára.
A szervezeti működést kiszolgáló, támogató és modellező információs rendszerek működési biztonsága adja az informatikusok által felügyelt informatikai biztonságot.
A három terület természetesen összekapcsolódik. Feladataik sok esetben közösek, de más-más megközelítést igényelnek. Az információbiztonsági tevékenységek szabályozását formába öntő ISO 27000-es szabványcsomag közelmúltban továbbfejlesztett elemeinek címeiben nem véletlenül tűnik fel a hármas elnevezés; információbiztonság, kiberbiztonság és (személyes) adatvédelem. Az sem véletlen, hogy itt aktív védelmi tevékenységről van szó, tehát a dokumentumok, szakmai ajánlások a magyar „biztonság” angol megfelelőjeként a „security” szót használják a passzívabb „safety” helyett.
Azoknál a vállalatoknál, szervezeteknél fontos az információvédelem és az ehhez köthető megalapozott kockázatmenedzsment, amelyek
-
működését alapjában véve az adatok és információk, valamint azok kezelése határozza meg (például felhő- és tartalomszolgáltatók),
-
infokommunikációs csatornákat intenzíven alkalmaznak partnerkapcsolataikban (például korszerű ellátási láncok tagjai, e-kereskedelemben érintett cégek),
-
más szervezetek, személyek adatainak fogadásával, feldolgozásával, tárolásával, továbbításával foglalkoznak (például biztosítók, pénzintézetek),
-
információs rendszerek fejlesztését, üzembe helyezését és telepítését végzik (IT-szolgáltatók),
-
olyan kutatás-fejlesztési tevékenységet végeznek, ahol az eredmény információ formájában jelenik meg (kutatóintézetek),
-
bizalmas, személyes információt birtokló, keletkeztető, ezekkel tevékenykedő szervezetek (például egészségügyi intézmények).
Tartalomjegyzék
- Bizonytalanság és biztonság
- Impresszum
- Bevezetés
- I. A kockázatmenedzsment alapjai
- 1. A kockázatelemzés alapjai
- 1.1. Személyes motivációm
- 1.2. Nemzetközi kitekintés – kulturális különbségek
- 1.3. A biztonság fejlődése a kockázatelemzés bevezetése óta
- 1.4. A dodó madár példája – a veszély felismerésének fontossága
- 1.5. Katasztrófák
- 1.6. Tervezett élettartam és kockázat
- 1.7. Összegzés – fő tanulságok és következtetések a fejezetből
- 1.1. Személyes motivációm
- 2. Vonatkozó szabványok és a kockázatkezelés folyamata
- 3. A kockázatkezelés szemlélete, modellek és alapfogalmak
- 3.1. Rendszerszemléletű megközelítés – a kockázatkezelés integrálása a szervezeti folyamatokba és döntéshozatalba (proaktív, folyamatos tevékenység)
- 3.2. Veszély, hiba, kockázat – alapfogalmak és definíciók tisztázása (a veszélyek, hibalehetőségek és kockázatok közötti különbségek)
- 3.3. Baleseti ok-okozati modellek – a dominóelv és a svájcisajt-modell bemutatása (hogyan vezetnek a rejtett hibák és védelmi hiányosságok balesetekhez)
- 3.4. A kockázatkezelés gazdasági aspektusai és az ALARP-elv – a biztonsági intézkedések költség-haszon elemzése, az észszerűen elérhető minimális kockázat elve
- 3.5. Megbízhatóság, hibatűrés és redundancia – a rendszerek megbízhatóságának növelése (megengedhető hibák, redundáns rendszerek típusai, korlátai és alkalmazásai)
- 3.6. „Murphy törvénye” és biztonsági tartalékok – a Murphy-elv jelentősége a kockázatkezelésben és a megfelelő biztonsági tartalékok tervezése
- 3.7. A kockázatkezelés hierarchiája
- 3.1. Rendszerszemléletű megközelítés – a kockázatkezelés integrálása a szervezeti folyamatokba és döntéshozatalba (proaktív, folyamatos tevékenység)
- 4. A kockázatfelméréshez használt eszközök és eljárások ismertetése
- Irodalomjegyzék
- 1. A kockázatelemzés alapjai
- II. Integrált vállalati kockázatmenedzsment
- 1. A holisztikus kockázatkezelés igénye
- 2. Kockázatok csoportosítási lehetőségei
- 3. A kockázatmenedzsment heterogén szakmai háttere
- 4. Kockázatmenedzsment megjelenése a funkcionális (vállalat)biztonságban
- 5. Üzleti és technológiai folyamatok kockázatkezelése
- 6. Bizonytalanság és kockázat
- 7. Kockázatkezelő keretrendszerek
- Irodalomjegyzék
- 1. A holisztikus kockázatkezelés igénye
- III. Az információvédelem sajátos kockázatmenedzsmentje
- 1. Információ-, informatikai és kiberbiztonság
- 2. Az információbiztonsági kockázatelemzés és -kezelés
- 2.1. A védendő vagyonelemek
- 2.2. Fenyegetések, veszélyek, sebezhetőségek
- 2.3. A vagyonelemekkel kapcsolatosan hozott védelmi intézkedések
- 2.4. A veszélyhelyzetek, kockázati események bekövetkezési valószínűségének meghatározása, becslése
- 2.5. Az információbiztonsági kárérték előrejelzése
- 2.6. Kockázatok, kockázati szintek meghatározása
- 2.7. Intézkedések a nem elviselhető kockázatok kockázati szintjének csökkentésére vagy kezelésére
- 2.8. Az információbiztonsági kockázatmenedzsment lépései (összegzés)
- 2.1. A védendő vagyonelemek
- 3. Információbiztonsági kockázatmenedzsment-irányítási rendszer keretében
- 3.1. Az ISO/IEC 27000-es szabványcsomag
- 3.2. TISAX (Trusted Information Security Assessment eXChange – autóipari beszállítókkal szemben támasztott információbiztonsági követelményrendszer)
- 3.3. CObIT (Control Objectives for Information and Related Technology – ajánlás információtechnológia irányításához, kontrolljához és ellenőrzéséhez)
- 3.4. Információs rendszerek üzemeltetése (az ITIL)
- 3.5. CRAMM-modell információbiztonsági kockázatok kezelésére (CCTA Risk and Management Method, CCTA = Central Computers and Telecommunications Agency, GB)
- 3.6. NIST SP 800-as sorozat
- 3.7. A mesterségesintelligencia-alkalmazások kockázatmenedzsmentje
- 3.1. Az ISO/IEC 27000-es szabványcsomag
- Irodalomjegyzék
- 1. Információ-, informatikai és kiberbiztonság
- IV. Kockázatelemzés, -értékelés és -kezelés a minőségbiztosításban
- V. Kockázatbecslés érzékenységi és bizonytalansági elemzése
- Bevezetés
- 1. Kockázatbecslés lineáris érzékenységelemzése (A módszertan ismertetése)
- 2. Hibafaelemzés lineáris érzékenységvizsgálata
- 3. Hibamód- és hatáselemzés (FMEA) lineáris érzékenységvizsgálata
- 4. Kockázatbecslés Monte Carlo-szimulációs megbízhatóságelemzése (a módszertan ismertetése)
- 5. Hibafaelemzés korrelációs vizsgálata
- 6. Javítható rendszer üzemeltetési folyamatának elemzése
- Irodalomjegyzék
- Bevezetés
- VI. A kémiai kockázatértékelés munkavédelmi dimenziói
- Bevezetés
- 2. Kémiai anyagok és veszélyek a munkahelyeken
- 3. Esettanulmány
- 3.1. Bevezetés
- 3.2. A nátrium-azid technológia szerepének ismertetése
- 3.3. A nátrium-azid mint veszélyes anyag tulajdonsága
- 3.4. Iparbiztonsági szabályozás szerinti besorolás
- 3.5. Technológiai elemek
- 3.6. Veszélyes anyagok tárolása, kármentés
- 3.7. A nátrium-azid munkavédelmi veszélyei a gyártás során
- 3.8. Balesetek
- 3.9. A nátrium-azid kockázatértékelési folyamatának további összetevői
- 3.10. Védőeszközökkel való ellátás
- 3.11. Biztonsági ismeretek átadása
- 3.12. Egyéb munkavédelmi célú ismeretközlő módszerek
- 3.1. Bevezetés
- 4. A kémiai kockázatbecslés elemei
- 5. Munkavédelmi intézkedések diverzifikációja
- 6. A kémiai kockázatértékelés szabályozási keretei
- 7. Kémiai kockázatok integrált megközelítésben
- 8. Jövőbeli kihívások
- Irodalomjegyzék
- VII. Létesítmények tűzvédelmi üzemeltetési kockázatai
- Bevezetés
- 1. A tűzvédelmi kockázati osztályba sorolásról röviden
- 2. Kockázatalapú tervezés, a létesítmények tűzvédelmi koncepciója
- 3. A tűzvédelmi műszaki megoldások üzemeltetési kockázatai
- 4. Speciális kockázatok a felújítások, átalakítások alatt
- 5. A tűzvédelmi műszaki irányelvek szerepe, jelentősége
- Irodalomjegyzék
- Bevezetés
- VIII. Projektkockázatok és kezelésük
Kiadó: Akadémiai Kiadó
Online megjelenés éve: 2026
ISBN: 978 963 664 195 5
A Bizonytalanság és biztonság című tanulmánykötet 6 mérnökvégzettségű, Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Karán dolgozó oktató közös munkája. Karunk gépész-, mechatronikai- és biztonságtechnikai képzésre járó hallgatói képzésük során megismerkednek a kockázatmenedzsment alapjaival, módszertani hátterével, és elsajátítják a kockázatértékeléshez és -kezeléshez szükséges elméleti hátteret. A könyv nem egyetemi tankönyvnek készült, de ott is használható. Fontos célunk volt a 8 tanulmányt tartalmazó kötet közreadásával, hogy a különböző szakterületek képviselői lássák a műszaki beruházási és fejlesztési projektek, az információbiztonság, a minőségbiztosítás, a karbantartás, a munka- és tűzvédelem kockázatmenedzsmentjének néha eltérő, de integrálható sajátosságait. A gazdálkodó szervezetek életében szükség van egységesen alkalmazott kockázatmenedzsment szabályokra, hiszen a kockázati eseménynek több, eltérő eredetű kiváltó oka és több következménye is lehet. Eltérő skálákon történő értékelésük zavart okozhat kockázatok felismerésében és kezelésében is. A mérnöki kockázatok mellett a szervezeteknél többek között megjelennek stratégiai, piaci és pénzügyi vagy akár biztosítási kockázatok is. A könyv terjedelme nem teszi lehetővé, hogy ezekkel is foglalkozzunk, de fontos felhívni a figyelmet, hogy a kockázatmenedzsment nemcsak a mérnöki feladat…
Hivatkozás: https://mersz.hu/michelberger-bizonytalansag-es-biztonsag//
BibTeXEndNoteMendeleyZotero
gomb segítségével választhatsz, hogy fejezetről fejezetre lapozva vagy inkább folyamatosan görgetve olvasnád-e a könyvet.
