Kvantitatív kiberkockázat-értékelés NIS2- és DORA-környezetben
Az igazgatósági ülés, ahol a „magas kockázat” már nem volt elég
Kedd reggel 08:15 van. Egy gyorsan növekvő fintech információbiztonsági vezetője az igazgatósági tárgyaló előtt áll ugyanannak a kiberkockázati történetnek három változatával.
Az első változat ismerős: a zsarolóvírus-kockázat „Magas”, a felhőszolgáltatás kiesése „Magas”, a beszállító kompromittálódása „Közepes”, az emelt jogosultságú hozzáféréssel való visszaélés „Magas”. Védhető, összhangban van az aktuális kockázati nyilvántartással, és szinte használhatatlan ahhoz a döntéshez, amelyet az igazgatóságnak meg kell hoznia.
A második változat technikai ütemterv: módosíthatatlan biztonsági mentések bevezetése, identitáskontrollok fejlesztése, rezilienciatesztelés finanszírozása, beszállítói felügyelet erősítése és a naplózási lefedettség bővítése. Ésszerű, de a pénzügyi vezető felteszi azt a kérdést, amely megváltoztatja az ülést: „Ezek közül melyik csökkenti a legtöbb üzleti kockázatot egy euróra vetítve?”
A harmadik változat megváltoztatja a beszélgetést.
A fizetésorkesztrációs platform 12 órás kiesésének bruttó működési, szerződéses és árbevételi hatása becslés szerint 620 000 €. A jelenlegi évesített kitettség becslése 186 000 €. Egy 74 000 € értékű rezilienciacsomag a várható éves veszteséget hozzávetőleg 62 000 €-ra csökkentheti. A fennmaradó kitettség továbbra is meghaladja a tűréshatárt, mert a szolgáltatás kritikus vagy fontos funkciót támogat, az ügyfélértesítési kitettség továbbra is lényeges, és magas a harmadik felektől való függőség.
Az igazgatóság ekkor már nem színekről vitatkozik. Pénzügyi kitettségről, kockázattűrésről, szabályozói elszámoltathatóságról és beruházási prioritásokról beszél.
Ez a kvantitatív kiberkockázat-értékelés 2026-ban. Nem matematikai színház. Nem annak színlelése, hogy a kiberesemények tökéletes pontossággal előre jelezhetők. Fegyelmezett fordítás: a „ez piros” állításból az lesz, hogy „ez a valószínűsíthető pénzügyi kitettség, ez a bizonyossági szint, ez a szabályozói következmény, ez a kezelési döntés, és ez a bizonyítékok auditnyoma”.
Az információbiztonsági vezetők, megfelelőségi vezetők, auditorok és üzleti tulajdonosok számára ez az elmozdulás a gyakorlatban kötelezővé válik. Az ISO/IEC 27001:2022 dokumentált, következetes és összehasonlítható kockázatértékelési és kockázatkezelési folyamatot követel meg. A NIS2 a kiberbiztonsági kockázatot az irányító testület jóváhagyási, felügyeleti, képzési és felelősségi körébe emeli. A DORA a pénzügyi szervezeteknél központi kérdéssé teszi az IKT-kockázatok irányítását, a rezilienciatesztelést, az incidensbesorolást, a harmadik féllel kapcsolatos IKT-kockázatot és a vezetői elszámoltathatóságot. A NIST CSF 2.0 irányítási nyelvet ad a vezetésnek a kockázatvállalási hajlandósághoz, a priorizáláshoz és a felügyelethez. A GDPR pedig elszámoltathatósági követelményeket ad hozzá, ha személyes adatok érintettek.
A hiányosság nem az, hogy a szervezeteknek ne lennének kockázati nyilvántartásaik. A hiányosság az, hogy sok kockázati nyilvántartás nem tudja megmagyarázni a pénzt, a prioritásokat, az igazgatósági elszámoltathatóságot vagy az auditbizonyítékot.
A Clarysec megközelítése ezt a hiányt zárja be azzal, hogy a Zenith Blueprint: Auditorok 30 lépéses ütemterve Zenith Blueprint, a Clarysec szabályzatai és a Zenith Controls: Keresztmegfelelési útmutató Zenith Controls elemeit gyakorlati bizonyítékmodellben egyesíti: számszerűsíteni kell, ami számít, kontrollokhoz kell rendelni, meg kell mutatni, ki fogadta el, és bizonyítani kell, hogy a kezelés működött.
Miért nem elegendők már a kvalitatív kockázati nyilvántartások
A kvalitatív kockázatértékelés továbbra is fontos. Egy egyértelmű valószínűség–hatás mátrix segíti a csapatokat a priorizálásban, amikor az adatok hiányosak, különösen széles IBIR alkalmazási terület esetén. A probléma ott kezdődik, amikor a szervezet itt megáll.
Az igazgatóság megérti, hogy egy kockázat „Magas”, de nehezen tud összehasonlítani három „Magas” kockázatot, amelyek ugyanazért a költségkeretért versenyeznek. A legfontosabb prioritás a zsarolóvírus-forgatókönyv, a felhőszolgáltatás kiesése, a beszállítói koncentrációs kockázat vagy az emelt jogosultságú hozzáférés gyengesége? A válasz a pénzügyi kitettségtől, a szabályozói súlyosságtól, az ügyfélhatástól, a szerződéses kötelezettségektől, a szolgáltatás kritikusságától és a kezelés utáni maradványkockázattól függ.
Ezért működik a kvantitatív kiberkockázat-értékelés legjobban hibrid modellként. Nem kell minden kisebb problémát számszerűsíteni. A teljes nyilvántartásban használjon kvalitatív pontozást, majd adjon hozzá pénzügyi elemzést azokhoz a kockázatokhoz, amelyek vezetői döntést, beruházási jóváhagyást, szerződéses intézkedést, kockázatátruházást vagy igazgatósági felügyeletet igényelnek.
A Clarysec vállalati Kockázatkezelési szabályzata Kockázatkezelési szabályzat ezt kifejezetten támogatja. „A szabályzat végrehajtásának követelményei” című szakasz 6.2.3 pontja kimondja:
„A kockázati kategóriától és az információk rendelkezésre állásától függően kvalitatív és kvantitatív módszerek egyaránt alkalmazhatók.”
Ez a pont azért fontos, mert megelőz egy gyakori hibát: a hamis pontosságot. Az érett szervezetek nem erőltetik rá a pénzügyi modellezést minden kisebb kockázatra. Ott alkalmazzák, ahol a döntéshez szükség van rá.
KKV-k esetében az alap egyszerű maradhat. A Clarysec KKV-k számára készült Kockázatkezelési szabályzata Kockázatkezelési szabályzat – KKV, az „Irányítási követelmények” szakasz 5.1.2 pontja kimondja:
„Minden kockázati bejegyzésnek tartalmaznia kell: leírás, valószínűség, hatás, pontszám, tulajdonos és kezelési terv.”
A fejlődés nem ennek a struktúrának a lecserélése. A fejlődés az, hogy a legfontosabb bejegyzéseket pénzügyi becslésekkel kell kiegészíteni, különösen ott, ahol kiesési idő, szabályozott szolgáltatások, személyes adatok, felhőfüggőség, IKT-kiszervezés vagy kritikus ügyfélvállalások érintettek.
Az irányítási fordulat: a kiberkockázat igazgatósági bizonyítékká válik
A kiberkockázat számszerűsítése nem pusztán pénzügyi gyakorlat. Irányítási bizonyíték.
Az ISO/IEC 27001:2022 szerint a szervezetnek meg kell határoznia a kontextust, az érdekelt feleket, a jogi és szerződéses követelményeket, az alkalmazási területet, az interfészeket és a függőségeket. Olyan információbiztonsági kockázatértékelési folyamatot kell meghatároznia, amely következetes, érvényes és összehasonlítható eredményeket ad. Azonosítania kell a bizalmasságot, a sértetlenséget és a rendelkezésre állást érintő kockázatokat, a kockázattulajdonosokat, értékelnie kell a következményeket és a valószínűséget, meg kell határoznia a kockázati szinteket, és priorizálnia kell a kockázatokat. Ezt követően ki kell választania a kezelési opciókat, meg kell határoznia a kontrollokat, össze kell vetnie azokat az A melléklet követelményeivel, el kell készítenie az alkalmazhatósági nyilatkozatot, be kell szereznie a kockázattulajdonos jóváhagyását, és meg kell őriznie a dokumentált információkat.
Ez azt jelenti, hogy a kockázati nyilvántartás nem a biztonsági csapat magántáblázata. Olyan IBIR-bejegyzés, amely összekapcsolja a vezetést, a kontrollkiválasztást, a kezelési elszámoltathatóságot és a vezetőségi átvizsgálást.
A NIS2 tovább emeli az elvárást. Az alapvető és fontos szervezetek irányító testületeinek jóvá kell hagyniuk a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelniük kell azok végrehajtását, és képzésben kell részesülniük, hogy megértsék a kockázatokat és értékelni tudják a kiberbiztonsági gyakorlatokat. A NIS2 Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket ír elő, figyelembe véve a technika állását, a megvalósítás költségét, a kockázati kitettséget, a szervezet méretét, a valószínűséget, a súlyosságot, valamint a társadalmi és gazdasági hatást.
A „társadalmi és gazdasági hatás” kifejezés az a pont, ahol a pénzügyi kiberkockázat-számszerűsítés különösen erőssé válik. Egy felhőt, adatközpontot, DNS-t, bizalmi szolgáltatásokat, menedzselt szolgáltatásokat, menedzselt biztonsági szolgáltatásokat, digitális infrastruktúrát, online piactereket vagy más érintett ágazatokat támogató szolgáltatónak nemcsak azt kell tudnia bemutatni, hogy léteznek kontrollok, hanem azt is, hogy azok miért arányosak a kitettséggel.
Pénzügyi szervezetek esetében a DORA 2025. január 17-től alkalmazandó, és ágazatspecifikus digitális operatív reziliencia-szabályozási keretrendszerré válik. Lefedi az IKT-kockázatkezelést, a jelentős IKT-vonatkozású incidensek jelentését, a digitális operatív reziliencia tesztelését, a kiberfenyegetettségi információk megosztását, az IKT-szolgáltatókhoz kapcsolódó harmadik fél kockázatot és a kritikus IKT-szolgáltató harmadik felek felügyeletét. Azon pénzügyi szervezetek esetében, amelyeket a NIS2 nemzeti átültetése is azonosít, a DORA a releváns IKT-kockázatkezelési és incidensjelentési ügyekben ágazatspecifikus uniós jogi aktusként működik.
Gyakorlati szempontból egy fintechnek nincs szüksége öt egymástól elszakított kockázati keretrendszerre. Egy integrált kockázati modellre van szüksége, amely megmutatja, melyik szabályozási rezsim alkalmazandó, milyen függőségek állnak fenn, milyen pénzügyi kitettség valószínűsíthető, és a vezetés hogyan hagyta jóvá és követte nyomon a kezelést.
A GDPR egy további réteget ad hozzá. Ha személyes adatok érintettek, egy kiberesemény személyesadat-sértéssé válhat, nem csupán operatív incidenssé. A kockázati modellnek azonosítania kell az adatkezelési kontextust, az adatkezelői vagy adatfeldolgozói szerepet, az adatkategóriákat, adott esetben a különleges kategóriájú adatokat, a biztonsági intézkedéseket, az incidensértékelési logikát és az értesítési következményeket.
A hőtérképtől az euróig: a gyakorlati hibrid modell
A helyes kérdés nem az, hogy „Le kell-e cserélnünk a kvalitatív kockázatértékelést?” A helyes kérdés az, hogy „Mely kockázatok érdemelnek pénzügyi számszerűsítést?”
A Zenith Blueprint Kockázatkezelés fázisának 12. lépése, „Kockázatértékelési módszerek: kvalitatív és kvantitatív”, pragmatikus választ ad:
„A kvantitatív kockázatértékelés számszerű fogalmakkal próbálja megbecsülni a kockázatot (például várható éves veszteség pénznemben). Ez gyakran magában foglalja:
✓ Történeti incidensadatok gyűjtését (például milyen gyakran következik be adatsértés, mekkora az átlagos költség). ✓ Olyan modellek használatát, mint az évesített várható veszteség (ALE = egyszeri veszteséghatás × éves előfordulási ráta), vagy összetettebb elemzéshez olyan keretrendszerekét, mint a FAIR (Factor Analysis of Information Risk).”
Ugyanez a lépés figyelmeztet arra, hogy a tisztán kvantitatív elemzés nehéz lehet KKV-k számára, mert a történeti adatok korlátozottak lehetnek, és a folyamat erőforrás-igényes. A gyakorlati válasz a „könnyített kvantitatív” elemzés a legfontosabb kockázatokra.
| Elem | Gyakorlati jelentés | Példa |
|---|---|---|
| Egyszeri veszteséghatás | Becsült hatás, ha a forgatókönyv egyszer bekövetkezik | 620 000 € egy 12 órás fizetési platformkiesés esetén |
| Éves előfordulási ráta | Becsült éves gyakoriság | 0,3, azaz nagyjából 3,3 évente egyszer |
| Évesített várható veszteség | Az egyszeri veszteséghatás és az éves előfordulási ráta szorzata | 186 000 € várható éves kitettség |
| Kezelési költség | A kontrollcsomag költsége | 74 000 € átkapcsolásra, felügyeletre és tesztelésre |
| Maradvány évesített veszteség | Becsült éves kitettség a kezelés után | 62 000 € |
| Döntés | Kezelés, átruházás, elkerülés vagy elfogadás | Kezelés és a maradványkockázat felülvizsgálata vezetőségi átvizsgáláson |
A számoknak nem kell tökéletesnek lenniük. Megmagyarázhatónak kell lenniük. A hatásfeltételezések tartalmazhatnak árbevétel-kiesést, SLA-jóváírásokat, ügyfélkompenzációt, incidensreagálást, jogi tanácsadást, forenzikus támogatást, túlórát, ügyféltámogatást, szabályozói értesítési ráfordítást, lemorzsolódást és reputációs hatást. A gyakorisági feltételezések származhatnak belső incidensekből, beszállítói kiesési jelentésekből, fenyegetettségi információkból, ágazati tapasztalatokból, sérülékenységi kitettségből, auditmegállapításokból és kontrollérettségből.
A Zenith Blueprint Kockázatkezelés fázisának 10. lépése, „Kockázati kritériumok és hatásmátrix kialakítása”, elmagyarázza, miért kell a modellt kalibrálni:
„A hatás meghatározásakor célszerű a szinteket a saját üzleti léptékhez kötni. Például: „Jelentős pénzügyi hatás = veszteség > 100 000 $” (igazítsa a saját kontextusához). Vegye figyelembe a szabályozói hatást is: például a személyes adatokat érintő adatsértés automatikusan lehet „Jelentős” vagy „Súlyos” a GDPR bírságai és értesítési követelményei miatt, még akkor is, ha a közvetlen pénzügyi veszteség nem egyértelmű.”
Ez a híd a kvalitatív és a kvantitatív kockázat között. A „Jelentős” csak akkor válik értelmessé, ha a szervezet meghatározza, mit jelent a jelentős pénzügyi, működési, jogi és ügyféloldali szempontból.
Kidolgozott példa: beszállítói felhőkiesési kockázat számszerűsítése
Képzeljünk el egy pénzügyi szektorbeli ügyfeleket kiszolgáló SaaS-szolgáltatót. Függ egy felhőalapú tárhelyszolgáltatótól, egy menedzselt adatbázis-platformtól, egy fizetési átjárótól és egy ügyfélértesítési szolgáltatástól. A csapat kiválaszt egy forgatókönyvet kvantitatív elemzésre:
„A menedzselt adatbázis-platform elhúzódó kiesése ügyféloldali szolgáltatáskimaradást és késleltetett tranzakciófeldolgozást okoz.”
1. lépés: a kockázati forgatókönyv és a tulajdonos meghatározása
A KKV Kockázatkezelési szabályzat leírást, valószínűséget, hatást, pontszámot, tulajdonost és kezelési tervet ír elő. A vállalati Kockázatkezelési szabályzat „Irányítási követelmények” szakaszának 5.2.2 pontja hozzáteszi, hogy a nyilvántartás:
„Tartalmazza a kockázattulajdonosokat, a hatás- és valószínűségi pontszámokat, a kezelési terveket, a határidőket és a kontrollhivatkozásokat”
A tulajdonos nem az „IT”. Az elszámoltatható tulajdonos a szolgáltatásgazda, akit az információbiztonsági vezető, a CTO, a megfelelőségi vezető, a beszállítókezelő és a pénzügy támogat.
2. lépés: a pénzügyi kitettség becslése
A csapat becslése:
- 35 000 € óránként elvesztett tranzakciós árbevételben és SLA-jóváírásokban
- 8 000 € óránként támogatási, eszkalációs és incidenskezelési költségben
- 60 000 € ügyfél-helyreállítási és kommunikációs költségben
- 120 000 € potenciális lemorzsolódási vagy kereskedelmi hatásban
- 10 óra mint valószínűsíthető súlyos kiesés a beszállítói előzmények és az architektúra-felülvizsgálat alapján
Az egyszeri veszteséghatás:
10 × (35 000 € + 8 000 €) + 60 000 € + 120 000 € = 610 000 €
A jelenlegi valószínűség becslése évi 0,25. Az évesített várható veszteség:
610 000 € × 0,25 = 152 500 €
A javasolt kezelési csomag több régiós átkapcsolási tervet, tesztelt biztonsági mentésből történő helyreállítást, beszállítói SLA-felülvizsgálatot, szintetikus megfigyelést, asztali gyakorlatot és az exit-terv frissítését tartalmazza. Az első éves költség 82 000 €, az ismétlődő költség pedig 34 000 €.
A kezelés után a maradvány valószínűség becslése évi 0,10, a maradvány egyszeri veszteséghatás pedig 350 000 €, a gyorsabb helyreállítás miatt. A maradvány ALE:
350 000 € × 0,10 = 35 000 €
A várható éves kitettség első évi csökkenése hozzávetőleg 117 500 €, még a szabályozói reziliencia, az ügyfélbizalom és a szerződéses előnyök figyelembevétele előtt.
3. lépés: a kezelés kiválasztása és az indokolás dokumentálása
A kockázatkezelés nem mindig tisztán kockázatcsökkentés. A Clarysec KKV Kockázatkezelési szabályzatának „A szabályzat végrehajtásának követelményei” szakasza, 6.1.3 pontja kimondja:
„Átruházás: szerződések, szolgáltatási szint megállapodások vagy biztosítás alkalmazása a kockázat külső félre történő átruházására.”
Ebben a forgatókönyvben a szervezet vegyes kezelést választ: technikai reziliencia révén csökkenti, SLA és szerződéses jogorvoslatok révén részben átruházza, a maradványkockázatot pedig vezetői jóváhagyással elfogadja.
4. lépés: a kezelés leképezése az alkalmazhatósági nyilatkozathoz
A vállalati Kockázatkezelési szabályzat „Alkalmazhatósági nyilatkozat (SoA) szerinti összhang” szakaszának 6.5.1 pontja kimondja:
„A kockázatkezelési folyamatból eredő kontrolldöntéseket tükröztetni kell a SoA-ban.”
Itt válik a pénzügyi modell auditálható bizonyítékká. A beszállítói kiesési forgatókönyv kapcsolódik az ISO/IEC 27001:2022 A mellékletének beszállítói, felhő-, folytonossági, incidens- és üzemzavar-kezelési kontrolljaihoz. Kapcsolódik továbbá a NIS2 ellátási lánc biztonságához és üzletmenet-folytonosságához, a DORA harmadik féllel kapcsolatos IKT-kockázatához és rezilienciateszteléséhez, a GDPR szerinti biztonsághoz és incidensértékeléshez, ha személyes adatok érintettek, valamint a NIST CSF irányítási, ellátási lánc, reagálási és helyreállítási eredményeihez.
A Zenith Blueprint Kockázatkezelés fázisának 13. lépése, „Kockázatkezelési tervezés és alkalmazhatósági nyilatkozat”, így magyarázza a visszakövethetőséget:
„A SoA lényegében összekötő dokumentum: összekapcsolja a kockázatértékelést és -kezelést a ténylegesen meglévő kontrollokkal. Kitöltésével azt is ellenőrzi, hogy kimaradt-e bármely kontroll.”
Egy erős SoA-indokolás például így szólhat: „Alkalmazandó, mert a menedzselt adatbázis kiesése érinti a kritikus ügyfélszolgáltatást, az IKT harmadik fél függőséget, az ügyfelekkel szembeni szerződéses kötelezettségeket, a folytonossági vállalásokat és a személyes adatok rendelkezésre állásának potenciális érintettségét. A kontrollok kiválasztásának célja a számszerűsített 152 500 € évesített kitettség csökkentése és a vezetés által jóváhagyott maradványkockázat támogatása.”
5. lépés: eszkaláció küszöbértékek alapján
A vállalati Kockázatkezelési szabályzat „Irányítási követelmények” szakaszának 5.6 pontja előírja:
„A kockázati döntési mátrixnak egyértelműen meg kell határoznia a felső vezetés vagy az igazgatóság felé történő eszkaláció küszöbértékeit.”
A 152 500 € évesített kitettség meghaladhatja a helyi vezetői tűréshatárt. Egy alacsonyabb értékű kockázat is eszkalációt igényelhet, ha kritikus vagy fontos funkciót érint, DORA-elvárásokat vált ki, személyes adatokat érint, veszélyezteti az ügyfélvállalásokat, vagy NIS2 szerinti irányító testületi elszámoltathatóságot hoz létre.
Keresztmegfelelési leképezés: egy számszerűsített kockázat, több kötelezettség
A számszerűsített kiberkockázatot nem szabad öt külön megfelelési táblázatba másolni. Egyetlen kockázati objektummá kell válnia, több megfelelési nézettel.
| Megfelelési nézőpont | Mit kell bemutatnia a számszerűsített kockázatnak | Bizonyítékelem |
|---|---|---|
| ISO/IEC 27001:2022 | Kockázati kritériumok, tulajdonos, valószínűség, következmény, kezelés, maradványkockázat-elfogadás, SoA-leképezés és működési bizonyíték | Kockázati nyilvántartás, kezelési terv, SoA, vezetőségi átvizsgálás, auditnapló-bejegyzések |
| NIS2 | Megfelelő és arányos intézkedések, irányító testületi jóváhagyás és felügyelet, incidens- és folytonossági szempontok, ellátási láncra vonatkozó intézkedések | Igazgatósági jegyzőkönyvek, képzési nyilvántartások, kockázatkezelési jóváhagyások, incidenskezelési munkafolyamat |
| DORA | IKT-kockázatirányítás, kritikus vagy fontos funkciók, harmadik féllel kapcsolatos IKT-függőségek, tesztelés, incidensbesorolás és rezilienciastratégia | IKT-kockázati keretrendszer, információs nyilvántartás, teszteredmények, incidensbesorolás, exit-terv |
| GDPR | Személyes adatok hatálya, biztonsági intézkedések, adatsértési következmények, adatkezelői vagy adatfeldolgozói elszámoltathatóság, jogszerű adatkezelési kontextus | RoPA-kapcsolat, adott esetben DPIA, incidensértékelés, biztonsági bizonyítékok |
| NIST CSF 2.0 | Kockázatvállalási hajlandóság, egységesített priorizálás, irányítás, beszállítói kockázat, észlelési, reagálási és helyreállítási eredmények | Aktuális és célprofilok, cselekvési terv, POA&M, beszállítói kockázati nyilvántartások |
| COBIT 2019 | Irányítási célkitűzések, teljesítmény nyomon követése, kockázatoptimalizálás, erőforrás-döntések és bizonyosság | Irányítási jelentések, kontrollteljesítmény-mutatók, bizonyossági jelentések |
A NIS2 Article 21 különösen releváns, mert magában foglalja a kockázatelemzést, a biztonsági szabályzatokat, az incidenskezelést, az üzletmenet-folytonosságot, a biztonsági mentést, a katasztrófa utáni helyreállítást, a válságkezelést, az ellátási lánc biztonságát, a biztonságos fejlesztést, a sérülékenységkezelést, az eredményesség értékelését, a kiberhigiéniát, a képzést, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást, az eszközkezelést és a hitelesítést.
A DORA hasonló fegyelmet teremt a pénzügyi szervezetek számára, de ágazatspecifikus fókusszal. Belső irányítási és kontrollkeretrendszert ír elő az IKT-kockázatra, amelyért végső soron a vezető testület felel. Elvárja az IKT-szabályzatok, szerepkörök, digitális operatív rezilienciastratégia, IKT-kockázattűrés, folytonossági és reagálási tervek, audittervek, költségvetések, képzés, harmadik féllel kapcsolatos IKT-szabályzatok és jelentési csatornák jóváhagyását és felügyeletét.
A DORA a kvantitatív kockázatértékeléshez közvetlen működési kiváltó mechanizmust is ad: az incidensbesorolást. A jelentős IKT-vonatkozású incidenseket olyan kritériumok alapján kell besorolni, mint az érintett ügyfelek, szerződő felek és tranzakciók, az időtartam, a kiesési idő, a földrajzi kiterjedés, a rendelkezésre állást, hitelességet, sértetlenséget vagy bizalmasságot érintő adatvesztések, az érintett szolgáltatások kritikussága és a gazdasági hatás. Ha a kockázati modell már becsli a kiesési időt, az ügyfélhatást, az adathatást és a gazdasági veszteséget, akkor valós esemény esetén támogatja az incidensbesorolást.
A kontroll-keresztmegfeleltetés, amely auditálhatóvá teszi az igazgatósági elszámoltathatóságot
A Zenith Controls keretében a Clarysec az ISO/IEC 27002:2022 5.4 kontrollt, „Vezetői felelősségek”, az információbiztonsági elszámoltathatóság irányítási horgonyaként térképezi fel. Az útmutató megelőző kontrollként kezeli, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást, összhangban áll az „Identify” kiberbiztonsági koncepcióval, az irányítást működési képességként, az irányítást és az ökoszisztémát pedig biztonsági területként kezeli.
Ez azért számít, mert a pénzügyi kiberkitettségnek a vezetői döntéshozatal részét kell képeznie. A Zenith Controls az ISO/IEC 27002:2022 5.4 kontrollt több támogató kontrollhoz kapcsolja:
| ISO/IEC 27002:2022 kontrollkapcsolat | Miért fontos a számszerűsített kockázat szempontjából |
|---|---|
| 5.2 Információbiztonsági szerepkörök és felelősségek | Meg kell határozni a kockázattulajdonosokat, a kontrollgazdákat és az eszkalációs hatásköröket |
| 5.1 Információbiztonsági szabályzatok | A számszerűsített kockázati döntéseknek összhangban kell állniuk a jóváhagyott szabályzati vállalásokkal |
| 5.35 Az információbiztonság független felülvizsgálata | A független felülvizsgálat objektív bizonyosságot ad a vezetésnek a kockázatkezelésről |
| 5.36 Megfelelés az információbiztonsági szabályzatoknak, szabályoknak és szabványoknak | A megfelelés nyomon követése megmutatja, hogy a kezelések rendeltetésszerűen működnek-e |
| 5.8 Információbiztonság a projektmenedzsmentben | Az új termékeknek és változtatásoknak már korán tartalmazniuk kell a kiberkockázatot és a pénzügyi kitettséget |
A Zenith Controls a vezetői felelősségeket az ISO/IEC 27001:2022 5.1, 5.2 és 9.3 pontjaihoz is kapcsolja, összekötve a vezetést, a szabályzatot és a vezetőségi átvizsgálást. Emellett az ISO/IEC 27014:2020 6 és 7 pontjaihoz is kapcsolja, amelyek az információbiztonság értékelésére, irányítására, megfigyelésére és kommunikálására szolgáló irányítási keretrendszerekre és folyamatokra összpontosítanak.
A bizonyítéklánc egyértelmű:
- A vezetés meghatározza a kockázatvállalási hajlandóságot, a tűréshatárokat és az eszkalációs küszöbértékeket.
- A kockázattulajdonosok számszerűsítik a legfontosabb kiberkockázatokat.
- Kiválasztják a kontrollokat, és azokat tükröztetik a SoA-ban.
- A kezelési intézkedéseket végrehajtják és nyomon követik.
- A független felülvizsgálat és a megfelelés nyomon követése teszteli az eredményességet.
- A vezetőségi átvizsgálás értékeli a teljesítményt, az incidenseket, az auditeredményeket, az erőforrásokat és a fejlesztési intézkedéseket.
- Az igazgatóság üzleti nyelven kap pénzügyi kitettséget, maradványkockázatot és elszámoltathatósági bizonyítékot.
A Clarysec KKV Kockázatkezelési szabályzatának „Szerepkörök és felelősségek” szakasza, 4.1.1 pontja megerősíti ezt az irányítási szerepet:
„Meghatározza a szervezet kockázatvállalási hajlandóságát és jóváhagyja a kockázatkezelési keretrendszert.”
Egy KKV esetében ez lehet az ügyvezető vagy a tulajdonos. Szabályozott pénzügyi szervezet esetében ez lehet a vezető testület. Az elszámoltathatósági elv ugyanaz.
Hogyan fogják az auditorok és a szabályozók tesztelni a számokat
A kvantitatív kiberkockázat-értékelést nem tökéletes aktuáriusi tudományként fogják auditálni. A módszert, a következetességet, a visszakövethetőséget, az irányítást és a bizonyítékokat fogják vizsgálni.
| Auditori vagy értékelői nézőpont | Mit fognak tesztelni | Milyen bizonyítékot várnak el |
|---|---|---|
| ISO/IEC 27001:2022 | 6.1.2 pont szerinti kockázatértékelés, 6.1.3 pont szerinti kockázatkezelés, SoA-döntések, kockázattulajdonosi jóváhagyás és 9.3 pont szerinti vezetőségi átvizsgálás | Kockázati kritériumok, nyilvántartás, kezelési terv, SoA, jóváhagyások, vezetőségi átvizsgálási jegyzőkönyvek |
| NIS2 illetékes hatóság | Irányító testületi jóváhagyás és felügyelet, Article 21 intézkedések, arányosság, incidenskezelésre való felkészültség és képzés | Igazgatósági csomagok, képzési nyilvántartások, kockázati jóváhagyások, incidenseljárások, folytonossági bizonyítékok |
| DORA felügyelet vagy belső auditor | IKT-kockázati keretrendszer, IKT-kockázattűrés, kritikus vagy fontos funkciók, tesztelés, incidensbesorolás és harmadik féllel kapcsolatos IKT-kockázat | IKT-kockázati nyilvántartás, rezilienciastratégia, információs nyilvántartás, teszteredmények, exit-tervek |
| NIST CSF 2.0 értékelő | GOVERN eredmények, ideértve a GV.RM-02 kockázatvállalási hajlandóságot és tűrést, valamint a GV.RM-06 egységesített priorizálást | Aktuális profil, célprofil, cselekvési terv, vállalati kockázati kapcsolat |
| COBIT 2019 értékelő | Vállalati IT feletti irányítás, kockázatoptimalizálás, döntési jogok, erőforrás-allokáció és bizonyosság | Irányítási jelentések, teljesítménymutatók, bizonyossági jelentések |
A Clarysec Audit- és megfelelésfelügyeleti szabályzat – KKV Audit- és megfelelésfelügyeleti szabályzat – KKV „Irányítási követelmények” szakasza, 5.4.3 pontja egyértelművé teszi az auditkört:
„Az auditmegállapításokat és az állapotfrissítéseket be kell vonni az IBIR vezetőségi átvizsgálási folyamatába.”
Ez kritikus. Ha a kockázati modell 500 000 € kitettséget becsül, de a belső audit megállapítja, hogy a helyreállítási teszt sikertelen volt, a maradványkockázatnak változnia kell. Ha a beszállítói exit-terv nincs tesztelve, a szervezet nem fogadhatja el a maradványkockázatot úgy, mintha a kontroll érett lenne. Ha a DORA-tesztelés kritikus hiányosságot azonosít, annak a megállapításnak vissza kell kerülnie a kezelésbe, a költségvetésbe és a vezetőségi átvizsgálásba.
A Zenith Blueprint Audit, felülvizsgálat és fejlesztés fázisának 28. lépése, „Vezetőségi átvizsgálás”, ezt támogatja azzal, hogy olyan vezetőségi átvizsgálási bemeneteket javasol, mint a belső és külső körülmények változásai, a szabályozási követelmények, az auditeredmények, a megfigyelés és mérés, a célkitűzések, az incidensek, a meg nem felelések, a fejlesztési lehetőségek és az erőforrásigények. Egy számszerűsített kiberkockázati programban a vezetőségi átvizsgálási csomagnak tartalmaznia kell a legfontosabb pénzügyi kitettségeket, az előző átvizsgálás óta bekövetkezett trendet, a kezelési előrehaladást, a lejárt intézkedéseket, a tűréshatár feletti maradványkockázatot és a szükséges döntéseket.
Igazgatóság számára alkalmas kiberkockázati csomag kialakítása
Az igazgatóság számára készülő kiberkockázati csomag nem áraszthatja el az igazgatókat sérülékenységszámokkal, FAIR-változókkal vagy kontrollazonosítókkal. A kiberkockázatot döntésekké kell fordítania.
Minden kiemelt számszerűsített kockázathoz tartalmazza:
- A forgatókönyv nevét és az érintett üzleti szolgáltatást
- A szolgáltatás vagy funkció kritikusságát
- A személyes adatok, szabályozott szolgáltatások és beszállítói függőségek jelölését
- Az aktuális egyszeri veszteséghatás-becslést
- Az aktuális éves előfordulási ráta becslését
- Az aktuális évesített várható veszteséget
- A feltételezéseket és a bizonyossági szintet
- A jelenlegi kontrollokat és ismert hiányosságokat
- A kezelési opciókat és költségüket
- A kezelés utáni várható maradványkitettséget
- Az ISO/IEC 27001:2022, NIS2, DORA és GDPR relevanciát
- A kockázattulajdonost és a szükséges döntést
- A SoA- és szabályzathivatkozásokat
- A határidőt és a felülvizsgálati dátumot
Egy egyszerűsített igazgatósági nézet így nézhet ki:
| Kockázati forgatókönyv | Jelenlegi ALE | Kezelési költség | Maradvány ALE | Szabályozói hajtóerő | Döntés |
|---|---|---|---|---|---|
| Tranzakciófeldolgozást érintő menedzselt adatbázis-kiesés | 152 500 € | 82 000 € | 35 000 € | DORA IKT-kockázat, ISO kockázatkezelés, beszállítói folytonosság | Kezelés jóváhagyása |
| Ügyféladat-platformot érintő zsarolóvírus | 372 000 € | 100 000 € | 95 000 € | GDPR adatsértési kockázat, NIS2 incidenskezelés, ISO incidenskontrollok | EDR és módosíthatatlan biztonsági mentések jóváhagyása |
| Emelt jogosultságú hozzáférés kompromittálódása felhőalapú adminisztrációs konzolban | 260 000 € | 58 000 € | 72 000 € | ISO hozzáférés-szabályozás, NIS2 hitelesítés, DORA adatsértetlenség | MFA és PAM fejlesztés jóváhagyása |
| Kritikus SaaS-szolgáltató koncentrációs kockázata | 190 000 € | 45 000 € | 95 000 € | DORA harmadik fél kockázat, NIS2 ellátási lánc, ISO beszállítói kontrollok | Exit-terv tesztelésének jóváhagyása |
A számok becslések, de az irányítási érték valós. Az igazgatóság össze tudja hasonlítani a prioritásokat. Az információbiztonsági vezető meg tudja indokolni a ráfordítást. A pénzügy ellenőrizni tudja a feltételezéseket. A megfelelési funkció össze tudja kapcsolni a döntéseket a kötelezettségekkel. Az auditorok követni tudják a bizonyítékok auditnyomát.
Gyakori hibák a kiberkockázat számszerűsítésekor
Az első hiba a hamis pontosság. Egy olyan modell, amely 487 239,17 € veszteséget állít világos feltételezések nélkül, kevésbé hiteles, mint egy dokumentált alapon megadott tartomány. Használjon tartományokat, ahol indokolt, és vizsgálja felül a feltételezéseket incidensek, auditok, beszállítói változások és jelentős architektúradöntések után.
A második hiba, ha csak a technikai költséget számolják. Egy jelentős kiberincidens árbevétel-kiesést, ügyfélkompenzációt, működési zavart, szabályozott jelentéstételt, jogi tanácsadást, forenzikus támogatást, kommunikációs költségeket, szerződéses szankciókat, lemorzsolódást, vezetői időráfordítást és reputációs hatást is magában foglalhat.
A harmadik hiba a szabályozói súlyosság figyelmen kívül hagyása. Egy személyesadat-sértés akkor is jelentős lehet, ha a közvetlen működési veszteség szerénynek tűnik. Egy DORA-incidens jelentős lehet a szolgáltatás kritikussága, a kiesési idő, az adatvesztés vagy az érintett ügyfelek miatt. Egy NIS2-incidens lényeges lehet, ha súlyos működési zavart, pénzügyi veszteséget vagy másoknak okozott jelentős kárt eredményez.
A negyedik hiba a SoA frissítésének elmulasztása. Ha a kezelési döntések beszállítói felügyeletet, felhőből való kilépési tervezést, incidensbizonyíték-gyűjtést, az üzletmenet-folytonossághoz kapcsolódó IKT-felkészültséget vagy üzemzavar-kezelési kontrollokat választanak ki, a SoA-nak tükröznie kell az alkalmazandó kontrollokat és a megvalósítási állapotot.
Az ötödik hiba a pénzügy kihagyása. A kvantitatív kiberkockázat-értékelés akkor a legerősebb, ha a biztonság, a pénzügy, a jog, az üzemeltetés, a termék és a megfelelési funkció egyetért a hatásfeltételezésekben. Az információbiztonsági vezetőnek nem egyedül kell kitalálnia az árbevétel-kiesési számokat.
A hatodik hiba a biztosítás teljes kockázatátruházásként való kezelése. A biztosítás csökkentheti a pénzügyi hatást, de nem szünteti meg a szabályozói elszámoltathatóságot, a szolgáltatáskimaradást, az ügyfélbizalom sérülését vagy a vezetői felelősséget.
Hol illeszkedik a Clarysec
A Clarysec segít a szervezeteknek olyan kiberkockázati programot kialakítani, amely elég gyakorlatias a KKV-k számára, és elég szigorú a szabályozott környezetekhez.
A Zenith Blueprint végigvezeti a szervezetet az alkalmazási területtől és kontextustól a kockázati kritériumokon, a kvalitatív és kvantitatív értékelésen, a kockázatkezelési tervezésen, a SoA-visszakövethetőségen, az auditon, a vezetőségi átvizsgáláson és a fejlesztésen át. A Zenith Controls segít leképezni az ISO/IEC 27001:2022 és az ISO/IEC 27002:2022 kontroll-elvárásait más keretrendszerekhez, auditokhoz és irányítási kötelezettségekhez. A Clarysec szabályzatai az auditorok által elvárt nyelvezetet biztosítják, ideértve a kockázatvállalási hajlandóságot, a hatásköri mátrixokat, a kezelési opciókat, a megfelelési nyilvántartásokat, a SoA szerinti összhangot és a vezetőségi átvizsgálásba való integrációt.
A KKV Jogi és szabályozói megfelelési szabályzat Jogi és szabályozói megfelelési szabályzat – KKV „Irányítási követelmények” szakaszának 5.1.1 pontja egyszerű kötelezettséggel kezd:
„Az ügyvezetőnek egyszerű, strukturált megfelelési nyilvántartást kell fenntartania, amely felsorolja:”
Ez az egyszerű nyilvántartás fontos. A jogi, szabályozói és szerződéses kötelezettségeknek láthatónak kell lenniük az IBIR-en belül. A kvantitatív kockázat szempontjából ez azt jelenti, hogy a NIS2, a DORA, a GDPR, az ügyfélszerződések, az SLA-k, a kiszervezési kötelezettségek, az incidensjelentési kötelezettségek és az auditvállalások alakítják a hatást, a kezelési prioritást és az eszkalációt.
A vállalati Kockázatkezelési szabályzat „Hivatkozott szabványok és keretrendszerek” szakaszának 11.9.1 pontja közvetlenül tükrözi a DORA-szerű irányítást:
„Article 5: Dokumentált IKT-kockázatkezelési keretrendszert ír elő, amelyet e szabályzat struktúrája teljes mértékben lefed, beleértve a SoA-leképezést és a KRI-ket.”
Ez a Clarysec-modell egy mondatban: dokumentált IKT-kockázatkezelés, kontrollokhoz leképezve, mutatókkal mérve, vezetés által átvizsgálva és audit céljára bizonyítékokkal alátámasztva.
Következő lépések: tegye pénzügyileg igazolhatóvá a 2026-os kiberkockázati nyilvántartását
Ha a jelenlegi kiberkockázati nyilvántartása még mindig csak „Magas” értéket tartalmaz anélkül, hogy megmagyarázná a pénzügyi kitettséget, a kezelés gazdaságtanát vagy a szabályozói hatást, kezdjen öt lépéssel ebben a negyedévben:
- Válassza ki az üzleti hatás alapján a legfontosabb 5–10 kiberkockázati forgatókönyvet.
- Határozza meg a pénzügyi hatásküszöböket a Kisebb, Mérsékelt, Jelentős és Súlyos kategóriákhoz.
- Becsülje meg az egyszeri veszteséghatást, az éves előfordulási rátát és az évesített várható veszteséget minden kiemelt forgatókönyvre.
- Képezze le az egyes kezelési döntéseket az ISO/IEC 27001:2022 kontrollokra, a SoA-ra, adott esetben a NIS2 vagy DORA kötelezettségekre, a GDPR-következményekre és a NIST CSF irányítási eredményeire.
- Mutassa be a maradványkockázatot, a kezelési költséget és az eszkalációs küszöbértékeket a vezetőségi átvizsgáláson.
A Clarysec segít ezt ismételhető bizonyítékrendszerré alakítani a Zenith Blueprint Zenith Blueprint, a Zenith Controls Zenith Controls, a vállalati Kockázatkezelési szabályzat Kockázatkezelési szabályzat, a KKV Kockázatkezelési szabályzat Kockázatkezelési szabályzat – KKV, valamint a támogató audit- és megfelelési sablonok használatával.
A cél nem az, hogy a kiberkockázat tökéletesen előre jelezhető legyen. A cél az, hogy megmagyarázható, összehasonlítható, pénzügyileg értelmezhető és auditálható legyen.
Töltse le a Clarysec kockázati és megfelelési szabályzatsablonjait, ismerje meg a Zenith Blueprint megoldást, vagy foglaljon Clarysec-értékelést, hogy a 2026-os kiberkockázati nyilvántartását igazgatóság számára alkalmas bizonyítékká alakítsa az ISO/IEC 27001:2022, a NIS2, a DORA és a GDPR követelményeihez.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
