Kockzatrtkels a fizikai vdelem terletn egy lehetsges mdszermegolds

Kockázatértékelés a fizikai védelem területén (egy lehetséges módszer/megoldás) MVM BSZK Biztonsági Szolgáltató Központ Zrt. Dr. Horváth Tamás fizikai védelmi és humánbiztonsági igazgató

Miről lesz szó? • Miért is kell erről beszélni • Tervezési stratégiák • Kockázatértékelés, vagy ötlet • Biztonsági besorolás (klasszifikáció) • Létesítményi mátrix • Veszélyfelhő • Eredmény • Fizikai védelmi alapkövetelmények 2

Tervezési meggondolások 1. • Elrettentés →Technológiai szintjében erőt és sérthetetlenséget sugároz • Meghiúsítás →Részletes válasz: motiváció, szándék, képesség →Tervezési alapfenyegetettség 3

Tervezési meggondolások 2. (meghiúsítás) Jelzés valószínűsége: PD = 1 - (1 - PD 1)·(1 - PD 2)· … ·(1 - PDn) Garcia, M. L. : Vulnerability and assessment of physical protection systems 4

Konklúzió a tervezésről • Ismerni kell az adott létesítmény biztonsági kockázatait • Megrendelői igények • Objektum/létesítmény orientált tervezés • Gazdasági szempontoknak is megfelel • Teljes körű indokrendszert képez • Nem lehet, hogy pusztán gazdasági kérdéssé váljon a biztonság 5

Vagyonvédelem vs fizikai védelem • Személy- és vagyonvédelem • Fizikai védelem • „Insider”… • Koncepcionális különbségek (elrettentés/meghiúsítás) 6

Vagyonvédelmi és fizikai védelmi rendszerek alapelemei →Behatolásjelző rendszerek →Beléptető rendszerek →Videó megfigyelő rendszerek →Egyedi védelmi megoldások (speciális védelmi igényű területek) →Megjegyzés: tűzvédelmi rendszerek jelen esetben nincsenek a téma fókuszában… Létesítmények klasszifikációja nem megkerülhető! 7

Kockázatértékelés vagy ötletek „A veszély elmúltával Isten neve is eltűnik. ” Mahatma Gandhi → Sok szabadságfokú függvény → Társadalmi beágyazódottság → Alkalmazott technológia → Adatvagyon szenzitivitása (Mi lesz, ha nyilvánosságra kerül? ) Általában a fizikai védelmi rendszer vonatkozásban károkról nincs historikus adat! Az emberi tevékenység matematikai függvényekben nehezen értékelhető – szakértői csoport kell, nehezített pálya. Kognitív torzítások - tesztek 8

Klasszifikáció • Önkényesen, de célszerűen 4 biztonsági kockázati szint bevezetése • Alacsony-Közepes-Magas-Fokozott biztonsági kockázatú létesítmény • Kockázati mátrix használata • Adott létesítmény besorolása • Adott létesítmény biztonsági kockázati auditja • Veszélyfelhő megalkotása (működésből-műszaki problémákból-bűnügyi fertőzöttségből-emberi munkavégzésből adódó veszélyek) - • Értékelés – Meglelő/Nem megfelelő • Különböző biztonsági kockázatú létesítményekben telepítendő biztonságtechnikai rendszerek alapkövetelményei meghatározása 9

Kockázatértékelés logikai folyamata 10

Létesítményi mátrix 11

Létesítményi mátrix eredménye 12

Létesítményi kockázat / Veszélyfelhő (Ishikawa diagram) 13

Veszélyfelhő minta 1. (4 csoport) 14

Veszélyfelhő minta 2. 15

Kárhatás értékelő mátrix (csoport átlagok) 16

Kárhatás táblázat - becslés Feltételezve: gazdasági társaság éves árbevételének 5 -10 % -t képes eredményként létrehozni 17

Példák, minta számítások Ami érdekes: látható a Létesítményi Együttható (kockázati érték); ami ez alatt van az nem éri el a kockázati szintet, azaz átlagban rendben van, de amely kockázati értéke nagyobb, azzal foglalkozni kell… 18

Fizikai védelmi alapkövetelmények (előerős, mechanikai, elektronikai védelem) • • ABKL KBKL MBKL FBKL (Alacsony Biztonsági Kockázatú Létesítmény) (Közepes…) (Magas…) (Fokozott…) • Speciális védelmi igényű területek (zónák) • Pénztár • Személyi nyilvántartó • Minősített adatok kezelése (90/2010 (III. 26) Korm. Rendelet; papír alapú és/vagy elektronikus adat) • Szerver szobák, termek (2013. évi L. törvény: nem mindenhol érvényes, de irányadó… ) • Stb. 19

Alapkövetelmény példa „olvasóknak” (ABKL) Élőerős védelem • A kategóriában nem szükséges. Mechanikai védelem • Kerítés • Létesítmény jogi határán minimálisan fonott, 1, 5 m magas drótkerítés telepítése szükséges; • a személy-, és gépkocsi bejárók számára a kerítés anyagával azonos mechanikai szilárdságú, nyitható/zárható kapuk felszerelése elengedhetetlen; • a záró/nyitó szerkezetek kialakításánál a hosszú távú, nagy igénybevételű terhelésekre kell felkészülni; • mind a személy-, mind a teherkapuknál kaputelefon beépítése szükséges; • a kapuk távoli nyitására lehetőséget kell biztosítani. • Falak, falazatok • épületfalazatok kialakításánál különleges biztonsági követelmények nincsenek. • Zárszerkezetek, zárbetétek • a létesítményben nem megerősített zárszerkezetek, zárbetétek is használhatók; • a zárbetétek felszerelésénél a kisebb, mint 4 mm-es „túllógás” lehetséges a nem védett oldalon. • Nyílászárók • a létesítményben telepítendő nyílászárók nem szükséges, hogy több ponton záródjanak. 20

Alapkövetelmény példa „olvasóknak” (ABKL) Elektronikus védelem • Videó megfigyelő rendszer • • • valamennyi kültéri bejárónál, illetve az épületekbe történő belépési pontoknál kamera elhelyezése szükséges; a kamerák egy része által biztosított képeknek alkalmasnak kell lenniük a belépni szándékozók, illetve a belépett személyek azonosítására; a kamerák másik része továbbítson jól értékelhető képet a belépési pontok, illetve az azok közvetlen környezetében történő eseményekről; a videofelvételeket jogszabályok/belső szabályozás szerinti időtartamra archiválni kell. a vezénylő épületben legalább egy videó megfigyelő munkaállomást, 2 monitorral (munka és spot monitorok) kell elhelyezni, ahonnan az előképek, és az archivált anyagok is megtekinthetők. • Behatolásjelző rendszer (csapdaszerű védelem) • behatolásjelző rendszert kell kiépíteni a zónába tartozó épületekben; • a telepítendő behatolásjelző rendszert az épületek földszintjén, I. emeletén csapda-szerűen kell kialakítani, azaz a bejáratokat nyitásérzékelőkkel, illetve az épületfolyosókat teljes körű térvédelemmel kell ellátni; • a rendszer állapotát olyan távfelügyeleti szolgálat részére kell átjelezni, ahol kivonuló szolgálat is van. • Beléptető rendszer • a létesítményben kialakított kártyás beléptető rendszerrel kompatibilis beléptető rendszert kell telepíteni, amely az Egységes Beléptető Rendszer része; (MVM Csoport kritérium) • kétirányú belépési pontokat kell telepíteni az épületek bejáratainál; • a beléptető rendszer kezelését legalább egy munkaállomással biztosítani szükséges. 21

Összefoglalás Nem kerülhető meg az egyes létesítmények klasszifikációja „Objektumorientált”, testreszabott rendszerek Nincs archív adat, nem számítható a valószínűség, szakértői csoport kell Fizikai védelmi alapkövetelmények alkalmazása… Egyedi védelmi igények Részterületek kockázatai külön-külön is értékelhetőek Személyes adatok védelmi igénye (adatkezelő-adatfeldolgozó) integrálható a veszélyfelhőbe… • Egységes védelmi filozófia, koherens, értékarányos védelem • • 22

Köszönöm a figyelmet! Dr. Horváth Tamás mobil: +36 20 3264620; e-mail: thorvath@mvm-bszk. hu Felhasznált irodalom • Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, IAEA Nuclear Security Series No. 13 (INFCIRC/225/Rev. 5) http: //wwwpub. iaea. org/MTCD/publications/PDF/Pub 1481_web. pdf • Az IEC/ISO 31010: 2009 Risk management. Risk assessment techniques magyar nyelvű változata, MSZ EN 31010 (2010), Kockázatkezelés. Kockázat felmérési eljárások. • ISO/IEC Guide 73: 2009 – Kockázat menedzsment (elérhetőség: https: //www. iso. org /standard/44651. html) • TATAY T. , PATAKI L. : Kockázatelemzés, Kockázatértékelés, cselekvési tervek; 2008. december, Raabe Kiadó www. spek. hu/letoltes. php? fajl=anyagok/Tatay-Pataki-kockazatelemzes. pdf • WHITH, J. M. : Security Risk Assessment, Managing Physical and Operational Security, • GARCIA, M. L. (Sandia National Laboratories): Vulnerability and assessment of physical protection systems, ISBN 13 978 -0 -7506 -7788 -2 (2001) 23