2.5. Az információbiztonsági kárérték előrejelzése

A kárérték a vagyonelem biztonságának csökkenése vagy teljes elvesztése esetén a vállalatnál keletkező vagyoni és erkölcsi kár nagysága. Ezek vagyonelemekhez rendeltek. Információbiztonsági káresemény esetén a bizalmasság, sértetlenség és a rendelkezésre állás sérülését jelentik.

A különböző veszélyek és fenyegetések esetén ugyanarra a vagyonelemre más-más káresemény következhet be. Ezért a vagyonelem-fenyegetés párokat külön-külön is értékelni szükséges. Ugyanaz a kockázati káresemény ráadásul más-más fenyegetés vagy veszély (kiváltó ok) hatására is bekövetkezhet. Ezért ajánlják az ISO/IEC 31010-es szabványban az úgynevezett „bow tie” (csokornyakkendő) módszer (ábra) alkalmazását is.

Egy példa; az értékesítendő áruhoz szervesen kapcsolódó szigorú számadású szállítólevél elkészítésének csúszása (itt a rendelkezésre állás sérül) több okra is visszavezethető (például adathiány, belső informatikai hálózat üzemszünete, megjelenítő eszközök, perifériák meghibásodása). Természetesen ez több következményt eredményezhet (például a vevő kötbért fizettet, megrendül az üzleti bizalom, a logisztikai szolgáltató megtagadja a szállítást, és az árbevétel elmaradása likviditási gondot jelent).

 

Harvard

(): . : . : /hivatkozas/m1393beb_646/#m1393beb_646 ()

Chicago

. . . : . (: /hivatkozas/m1393beb_646/#m1393beb_646)

APA

(). . . (: /hivatkozas/m1393beb_646/#m1393beb_646)

BibTeXEndNoteMendeleyZotero

search

III.1. ábra. Kockázati esemény okai és nem kívánt következményei (a „bow tie” diagram az ISO/IEC 31010-es szabvány alapján)

 

A kárértéket szeretik a kockázatmenedzsmentet végző cégek pénzben kifejezni, hiszen ez lehet a kvantitatív kockázatelemzés alapja. Az erkölcsi és nem anyagi jellegű károk esetében azonban marad a kvalitatív elemzés és az osztályba sorolás. A következő felsorolás kárjellegre jellemző példákat (pénzértékben kifejezett kárintervallumok; információhordozók bizalmassága; erkölcsi kár; személyek egészségi állapotának változása; személyes adatok védelmének hiányosságai) köt a kvalitatív osztályokhoz. Az ISO/IEC 27005-ös szabvány melléklete itt is öt osztályt javasol:

1. mérsékelt (például < 100 000 Ft; nyilvános dokumentum nem helyes adatokat tartalmaz; a káreseményről a szervezeti egység munkavállalói értesülnek csak; nincs sérülés; személyes, magánjellegű adatokat fednek fel további következmények nélkül),
2. jelentős (például < 1 000 000 Ft; belső használatra szánt dokumentum nyilvánosságra kerül; a szervezeten belül más munkavállalók is tudomást szereznek a káreseményről; egy személy könnyebb sérülése; illetéktelen hozzáférés magánszemély pénzügyi információihoz),
3. súlyos (például < 10 000 000 Ft; bizalmas és titkos irat kerül illetéktelenekhez, helyi sajtónyilvánosságot kap a káresemény; egy személy komoly sérülése; személyes egészségügyi adatok nyilvánosságra kerülése),
4. kritikus (például < 100 000 000 Ft; szolgálati vagy hivatali titok kerül versenytárshoz; széles körű rosszindulatú országos sajtóvisszhang; egy személy halála vagy több ember komoly sérülése; peres eljáráshoz vezető adatvédelmi incidens),
5. katasztrofális (például < 1 000 000 000 Ft; államtitok nyilvánosságra jutása; nemzetközi negatív sajtóvisszhang; több ember halála; titkos és bizalmas adatokat tartalmazó adatbázisok nyilvánosságra vagy illetéktelen kezekbe kerülése).

 

Tartalomjegyzék

• Bizonytalanság és biztonság
• Impresszum
• Bevezetés
• chevron_rightI. A kockázatmenedzsment alapjai
  • chevron_right1. A kockázatelemzés alapjai
    • 1.1. Személyes motivációm
    • 1.2. Nemzetközi kitekintés – kulturális különbségek
    • 1.3. A biztonság fejlődése a kockázatelemzés bevezetése óta
    • 1.4. A dodó madár példája – a veszély felismerésének fontossága
    • 1.5. Katasztrófák
    • 1.6. Tervezett élettartam és kockázat
    • 1.7. Összegzés – fő tanulságok és következtetések a fejezetből
  • chevron_right2. Vonatkozó szabványok és a kockázatkezelés folyamata
    • 2.1. A kockázatkezelés nemzetközi szabványai (MSZ ISO 31000:2018 és MSZ EN 31010:2019) – alapelvek és útmutatók
    • 2.2. Kockázatazonosítás
    • 2.3. Kockázatelemzés
    • 2.4. Kockázatértékelés
    • 2.5. Kockázatkezelési intézkedések
    • 2.6. Monitorozás és felülvizsgálat
    • 2.7. Összegzés
  • chevron_right3. A kockázatkezelés szemlélete, modellek és alapfogalmak
    • 3.1. Rendszerszemléletű megközelítés – a kockázatkezelés integrálása a szervezeti folyamatokba és döntéshozatalba (proaktív, folyamatos tevékenység)
    • 3.2. Veszély, hiba, kockázat – alapfogalmak és definíciók tisztázása (a veszélyek, hibalehetőségek és kockázatok közötti különbségek)
    • 3.3. Baleseti ok-okozati modellek – a dominóelv és a svájcisajt-modell bemutatása (hogyan vezetnek a rejtett hibák és védelmi hiányosságok balesetekhez)
    • 3.4. A kockázatkezelés gazdasági aspektusai és az ALARP-elv – a biztonsági intézkedések költség-haszon elemzése, az észszerűen elérhető minimális kockázat elve
    • 3.5. Megbízhatóság, hibatűrés és redundancia – a rendszerek megbízhatóságának növelése (megengedhető hibák, redundáns rendszerek típusai, korlátai és alkalmazásai)
    • 3.6. „Murphy törvénye” és biztonsági tartalékok – a Murphy-elv jelentősége a kockázatkezelésben és a megfelelő biztonsági tartalékok tervezése
    • 3.7. A kockázatkezelés hierarchiája
  • chevron_right4. A kockázatfelméréshez használt eszközök és eljárások ismertetése
    • chevron_right4.1. Root Cause Analysis (RCA) és kapcsolódó módszerei
      • 5 Miért
      • Halszálkadiagram (Ishikawa-diagram)
      • Pareto-elemzés
      • Kapcsolatgráf
      • Összegzés
    • 4.2. Brainstorming
    • 4.3. A mátrix módszer
    • 4.4. Hibafa
    • 4.5. Sikerfa
    • 4.6. Eseményfa
    • 4.7. Csokornyakkendő-elemzés (Bow-tie Analysis)
    • 4.8. Checklist
    • 4.9. Hibamód- és hatáselemzés (FMEA)
    • 4.10. SWOT-elemzés
    • chevron_right4.11. Egyéb módszerek
      • Markov-elemzés
      • Bayes-háló
      • FN-görbék
      • Monte Carlo-szimuláció
      • Delphi
      • SWIFT
  • Irodalomjegyzék
• chevron_rightII. Integrált vállalati kockázatmenedzsment
  • 1. A holisztikus kockázatkezelés igénye
  • 2. Kockázatok csoportosítási lehetőségei
  • 3. A kockázatmenedzsment heterogén szakmai háttere
  • 4. Kockázatmenedzsment megjelenése a funkcionális (vállalat)biztonságban
  • 5. Üzleti és technológiai folyamatok kockázatkezelése
  • 6. Bizonytalanság és kockázat
  • chevron_right7. Kockázatkezelő keretrendszerek
    • 7.1. A „COSO”
    • 7.2. A „M_o_R”
    • 7.3. Üzletmenet-folytonosság (ISO 22301)
    • 7.4. Ellátási lánc működésének optimalizálása (a SCOR- és CPFR-modellek)
    • 7.5. VUCA-környezet
    • Következtetések
  • Irodalomjegyzék
• chevron_rightIII. Az információvédelem sajátos kockázatmenedzsmentje
  • 1. Információ-, informatikai és kiberbiztonság
  • chevron_right2. Az információbiztonsági kockázatelemzés és -kezelés
    • 2.1. A védendő vagyonelemek
    • 2.2. Fenyegetések, veszélyek, sebezhetőségek
    • 2.3. A vagyonelemekkel kapcsolatosan hozott védelmi intézkedések
    • 2.4. A veszélyhelyzetek, kockázati események bekövetkezési valószínűségének meghatározása, becslése
    • 2.5. Az információbiztonsági kárérték előrejelzése
    • 2.6. Kockázatok, kockázati szintek meghatározása
    • 2.7. Intézkedések a nem elviselhető kockázatok kockázati szintjének csökkentésére vagy kezelésére
    • 2.8. Az információbiztonsági kockázatmenedzsment lépései (összegzés)
  • chevron_right3. Információbiztonsági kockázatmenedzsment-irányítási rendszer keretében
    • 3.1. Az ISO/IEC 27000-es szabványcsomag
    • 3.2. TISAX (Trusted Information Security Assessment eXChange – autóipari beszállítókkal szemben támasztott információbiztonsági követelményrendszer)
    • 3.3. CObIT (Control Objectives for Information and Related Technology – ajánlás információtechnológia irányításához, kontrolljához és ellenőrzéséhez)
    • 3.4. Információs rendszerek üzemeltetése (az ITIL)
    • 3.5. CRAMM-modell információbiztonsági kockázatok kezelésére (CCTA Risk and Management Method, CCTA = Central Computers and Telecommunications Agency, GB)
    • 3.6. NIST SP 800-as sorozat
    • 3.7. A mesterségesintelligencia-alkalmazások kockázatmenedzsmentje
  • Irodalomjegyzék
• chevron_rightIV. Kockázatelemzés, -értékelés és -kezelés a minőségbiztosításban
  • chevron_right1. A kockázatalapú gondolkodás a minőségbiztosításban
    • 1.1. Az ISO 9000 szabványsorozat áttekintése
    • 1.2. A kockázatalapú gondolkodás a minőségirányítási rendszer követelményeiben
  • 2. A kockázatalapú gondolkodás egyes menedzsmentrendszerekben
  • chevron_right3. Kockázatfelmérésre alkalmazott eszközök a minőségirányításban
    • 3.1. HACCP-eljárás
    • 3.2. A HAZOP-módszer
  • Irodalomjegyzék
• chevron_rightV. Kockázatbecslés érzékenységi és bizonytalansági elemzése
  • Bevezetés
  • chevron_right1. Kockázatbecslés lineáris érzékenységelemzése (A módszertan ismertetése)
    • Logritmikus linearizálás
    • Teljes deriválás
    • Taylor sorfejtés módszere
  • 2. Hibafaelemzés lineáris érzékenységvizsgálata
  • 3. Hibamód- és hatáselemzés (FMEA) lineáris érzékenységvizsgálata
  • 4. Kockázatbecslés Monte Carlo-szimulációs megbízhatóságelemzése (a módszertan ismertetése)
  • 5. Hibafaelemzés korrelációs vizsgálata
  • 6. Javítható rendszer üzemeltetési folyamatának elemzése
  • Irodalomjegyzék
• chevron_rightVI. A kémiai kockázatértékelés munkavédelmi dimenziói
  • chevron_rightBevezetés
    • 1.1. A kémiai kockázatértékelés jelentősége a munkavédelemben
    • 1.2. A munkavédelmi kockázatértékelés célja és fontossága
    • 1.3. Feladatok és hatáskörök
  • chevron_right2. Kémiai anyagok és veszélyek a munkahelyeken
    • 2.1. Kemizáció és veszélyforrások a munkahelyeken
    • 2.2. Az expozíciós utak szerepe a kockázatok oldaláról
    • 2.3. A vegyi anyagok szabálytalan kezelésének kihatásai
  • chevron_right3. Esettanulmány
    • 3.1. Bevezetés
    • 3.2. A nátrium-azid technológia szerepének ismertetése
    • 3.3. A nátrium-azid mint veszélyes anyag tulajdonsága
    • 3.4. Iparbiztonsági szabályozás szerinti besorolás
    • 3.5. Technológiai elemek
    • 3.6. Veszélyes anyagok tárolása, kármentés
    • 3.7. A nátrium-azid munkavédelmi veszélyei a gyártás során
    • 3.8. Balesetek
    • 3.9. A nátrium-azid kockázatértékelési folyamatának további összetevői
    • 3.10. Védőeszközökkel való ellátás
    • 3.11. Biztonsági ismeretek átadása
    • 3.12. Egyéb munkavédelmi célú ismeretközlő módszerek
  • chevron_right4. A kémiai kockázatbecslés elemei
    • 4.1. Veszélyazonosítás
    • chevron_right4.2. Expozíció mérése és becslése
      • Az expozíciós vizsgálatok fázisainak sajátosságai
      • Biológiai határértékek
      • Egyéb mintavételi módszerek
    • chevron_right4.3. Kockázatok értékelése
      • A kockázatok minőségi értékelése
  • chevron_right5. Munkavédelmi intézkedések diverzifikációja
    • chevron_right5.1. A védelmi intézkedések főbb tartalmi elemei
      • Helyettesítés
      • Műszaki védelmi intézkedések
      • Szervezési intézkedések
      • Egyéni védőeszközök
    • 5.2. Kontroll és kockázatok integritása
  • chevron_right6. A kémiai kockázatértékelés szabályozási keretei
    • 6.1. Jogszabályok szerepe a kémiai kockázatkezelésben
    • 6.2. Munkahelyi szervezetszabályozó eszközök közrehatása
    • 6.3. Munkáltatói és munkavállalói kötelezettségek a kockázatértékelés viszonylatában
  • chevron_right7. Kémiai kockázatok integrált megközelítésben
    • 7.1. A kémiai kockázatértékelés és a vállalati kockázatmenedzsment
    • 7.2. A munkahelyi biztonsági kultúra szerepe a kémiai kockázatkezelésben
    • 7.3. Partnerség a kémiai biztonság elősegítésében
  • 8. Jövőbeli kihívások
  • Irodalomjegyzék
• chevron_rightVII. Létesítmények tűzvédelmi üzemeltetési kockázatai
  • Bevezetés
  • chevron_right1. A tűzvédelmi kockázati osztályba sorolásról röviden
    • 1.1. Tűzvédelmi kockázati osztályok
    • 1.2. Az épület vertikális kiterjedése
    • 1.3. A bent tartózkodó emberek létszáma és menekülési képessége
    • 1.4. Az anyagok tűzveszélyessége
    • 1.5. A mértékadó tűzvédelmi kockázati osztály
  • chevron_right2. Kockázatalapú tervezés, a létesítmények tűzvédelmi koncepciója
    • 2.1. Passzív tűzvédelmi műszaki megoldások
    • chevron_right2.2. Aktív tűzvédelmi műszaki megoldások
      • Beépített tűzjelző berendezések
      • Beépített tűzoltó berendezések
      • Hő- és füstelvezető rendszerek
    • 2.3. Kiürítés
  • 3. A tűzvédelmi műszaki megoldások üzemeltetési kockázatai
  • 4. Speciális kockázatok a felújítások, átalakítások alatt
  • 5. A tűzvédelmi műszaki irányelvek szerepe, jelentősége
  • Irodalomjegyzék
• chevron_rightVIII. Projektkockázatok és kezelésük
  • chevron_right1. Projektmenedzsment-alapok
    • 1.1. A projekt „háromszög”
    • 1.2. A projektek csoportosítása
    • 1.3. A projekt életciklusa
    • 1.4. A projektek megvalósíthatósága
  • chevron_right2. A projekt kockázatkezelési lehetőségei és eszközei
    • 2.1. Hálótervezés
    • 2.2. Agilis projektmenedzsment
  • chevron_right3. Projektkockázatok elemzése és értékelése
    • 3.1. Opciókban történő gondolkodás
    • 3.2. Projektkrízisek
    • 3.3. Projektprogramok
    • 3.4. A projekt kockázatmenedzsment folyamatalapú megközelítése (PMBOK alapján)
  • chevron_right4. A „projekttermék” megtérülése
    • 4.1. Hagyományos megtérülési megfontolások
    • 4.2. Tulajdonlás teljes költsége – TCO
  • Irodalomjegyzék

Kiadó: Akadémiai Kiadó

Online megjelenés éve: 2026

ISBN: 978 963 664 195 5

A Bizonytalanság és biztonság című tanulmánykötet 6 mérnökvégzettségű, Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Karán dolgozó oktató közös munkája. Karunk gépész-, mechatronikai- és biztonságtechnikai képzésre járó hallgatói képzésük során megismerkednek a kockázatmenedzsment alapjaival, módszertani hátterével, és elsajátítják a kockázatértékeléshez és -kezeléshez szükséges elméleti hátteret. A könyv nem egyetemi tankönyvnek készült, de ott is használható. Fontos célunk volt a 8 tanulmányt tartalmazó kötet közreadásával, hogy a különböző szakterületek képviselői lássák a műszaki beruházási és fejlesztési projektek, az információbiztonság, a minőségbiztosítás, a karbantartás, a munka- és tűzvédelem kockázatmenedzsmentjének néha eltérő, de integrálható sajátosságait.

A gazdálkodó szervezetek életében szükség van egységesen alkalmazott kockázatmenedzsment szabályokra, hiszen a kockázati eseménynek több, eltérő eredetű kiváltó oka és több következménye is lehet. Eltérő skálákon történő értékelésük zavart okozhat kockázatok felismerésében és kezelésében is. A mérnöki kockázatok mellett a szervezeteknél többek között megjelennek stratégiai, piaci és pénzügyi vagy akár biztosítási kockázatok is. A könyv terjedelme nem teszi lehetővé, hogy ezekkel is foglalkozzunk, de fontos felhívni a figyelmet, hogy a kockázatmenedzsment nemcsak a mérnöki feladat…

Hivatkozás: https://mersz.hu/michelberger-bizonytalansag-es-biztonsag//