A kockázatmenedzsment modul célja

Részletes kockázatelemzési lépések mentén haladva előállíthatjuk priorizált kockázati listánkat, melyet kockázatkezelési tervvel folyamatosan menedzselhetünk, megvalósítva ezáltal a kockázat-arányos védelmet és annak fenntartását. A kockázatelemzés folyamatáról és aktuális állapotáról naprakész jelentéseket generálhatunk.

 Kockázatelemzés

A SeCube kockázatelemző modulja az ügyfél specialitásaira szabható, széles skálán paraméterezhető szoftverkomponens. A modullal szemben alapvető követelmény volt, hogy a megvalósuló kockázatelemzési módszertan és annak paraméterei testre szabhatóak legyenek. Ez lehetőséget ad arra, hogy a szoftver figyelembe vegye az ügyfél adottságait, az anyavállalati vagy jogszabályi elvárásokat. A kiválasztásnak megfelelő konfiguráció meghatározza a kockázatelemzés részletezettségét. A szoftver a nagy műveletszámú elemzéseket is képes támogatni.

A kockázatelemzés modul mögött álló módszertan a KÜRT hagyományosan nagyszámú ügyfélnél alkalmazott eljárásokon, illetve információbiztonsági ajánlásokon, szabványokon alapul. Alappillérei az erőforrások sérülékenység vizsgálata és az üzleti hatások elemzése, melyek eredményéből kockázati értékeket számítunk. A kockázatelemzés során használt fogalmak és a terminológia, a kockázatok értelmezése egyértelműen megfeleltethető az ISO27001 és ISO27005 szabványnakA kockázatelemzés összekapcsolja erőforrásaink sérülékenységeit a fenyegető veszélyekkel, és figyelembe veszi mindezek bizonyos gyakoriságú együttállásából keletkező üzleti hatásokat, illetve a bevezetett védelmi intézkedéseket. Mindez egyszerű szabályok által vezérelt ok-okozati elemző lépések mentén haladva valósul meg.

A kockázatelemzés végrehajtása a szervezet igényeinek megfelelően lehet periodikus vagy folyamatos. A kockázatelemzés hatóköre rugalmasan állítható fenyegetettségek és /vagy erőforrások tekintetében, így teljes körű vagy részleges (ad hoc) kockázatelemzés is készíthető, de külön koncentrálhatunk az egyes részterületekre: nem csupán az IT-re, hanem a fizikai biztonságra,  a humán erőforrások biztonságáraadatvédelemre.  A SeCube keretrendszer felépítése lehetővé teszi akár teljesen független kockázatelemzések futtatását is, ezáltal megteremtve a lehetőséget annak, hogy a szoftver funkcionalitását más szervezeti egységek – esetleg eltérő paraméterekkel – egymástól függetlenül is kihasználhatják.

Elemzés jellemzői

  • ISO és NIST szabványokon alapuló bővíthető alapfenyegetettség és sérülékenység nyilvántartás, tapasztalati benchmark adatokkal kiegészítve, amit a referenciánk és a kockázatelemzési tapasztalataink tesznek lehetővé
  • Az ügyfél működési környezetére szabható módszertan, paraméterek és működési logika.
  • A sérülékenység vizsgálat sérülékenységi kérdőívekkel is támogatható.
  • Valódi ok-okozati gráf modellen alapuló állapotterjedés és hatáskövetés. Nyomon követhető a fenyegetettségek belépési pontjaitól kezdve az egyes függő erőforrások állapotváltozása az üzleti károkat okozó erőforrás állapotváltozásokig.
  • Az alapvető információbiztonsági esemény hatás irányokon kívül (BSR sérülés) egyéb állapotváltozások esetén is képes a szoftver dolgozni (pl. minőség romlás, kapacitás csökkenés stb.)
  • A hatás elemzés során igények szerint különböző pénzügyi és immateriális (pl. jogi megfelelés, hírnévvesztés stb.) aspektusok mentén értékelhetünk.
  • Az elemzés eredményeképpen priorizált kockázati listát kapunk, amit különböző értékelési szempontok alapján elemezhetünk (pl. legfontosabb védelmi intézkedések, leggyakoribb sérülékenységi okok, leginkább veszélyeztetett erőforrások stb.), és részletes szöveges jelentést generálhatunk
  • Az egyes kockázatokról automatikus szöveges értékelést illetve ok-okozati gráf ábrát is ad a rendszer, melynek segítségével az egyes kockázatok paraméterei visszakövethetőek, a kockázatok könnyen felülvizsgálhatóak.

3.4

Kockázatkezelés

  • A kockázatelemzési eredmények meghatározzák, hogy milyen sorrendben célszerű intézkedéseket tenni az egyes kockázatok csökkentésére. A kockázatokról kockázat kezelési döntést hozhatunk, a döntéstől függően pedig különböző kockázatkezelési intézkedéseket definiálhatunk, majd követhetjük azok megvalósulási állapotát. Az egyes kockázatkezelési Intézkedéseket részletesen megtervezhetjük, figyelembe véve azok humán és pénzügyi költség ráfordítását. A kockázatkezelési intézkedések megvalósulása nyomon követhető időben. Ezáltal összehasonlítható riportok készülhetnek a kiinduló állapotról, a jelenlegi kockázatkezelési állapotról és a jövőbeni, elérni kívánt állapotról.

Kockázatmenedzsment eredmények

  • Priorizált Kockázati lista, elemző riportokkal
  • Grafikus kimutatások, elemzéskori, aktuális és elérni kívánt állapotokról
  • Szöveges Kockázatelemzési Jelentés dokumentum
  • A kockázatok kezelésére Kockázat kezelési terv készíthető
  • Az elemzés során egyes részeredmények és elemzési lépések is exportálhatóak