A kockázatmenedzsment modul célja

Részletes kockázatelemzési lépések mentén haladva előállíthatjuk priorizált kockázati listánkat, melyet kockázatkezelési tervvel folyamatosan menedzselhetünk, megvalósítva ezáltal a kockázat-arányos védelmet és annak fenntartását. A kockázatelemzés folyamatáról és aktuális állapotáról naprakész Jelentéseket generálhatunk.

 Kockázatelemzés

A SeCube kockázatelemző modulja az ügyfél specialitásaira szabható, széles skálán paraméterezhető szoftverkomponens. A modullal szemben alapvető követelmény volt a megvalósuló kockázatelemzési módszertan és annak paramétereinek testre szabhatósága. Ez lehetőséget ad arra, hogy a szoftver figyelembe vegye az Ügyfél adottságait, az anyavállalati vagy jogszabályi elvárásokat. A kiválasztásnak megfelelő konfiguráció meghatározza a kockázatelemzés részletezettségét. A szoftver a nagy műveletszámú elemzéseket is képes támogatni.

A kockázatelemzés modul mögött álló módszertan a KÜRT hagyományosan nagyszámú ügyfélnél elvégzett módszerén, illetve információbiztonsági ajánlásokon, szabványokon alapul. Alappillérei az erőforrások sérülékenység vizsgálata és az üzleti hatások elemzése, melyek eredményéből kockázati értékeket számítunk. A kockázatelemzés során használt fogalmak és a terminológia, a kockázatok értelmezése egyértelműen megfeleltethető az ISO27001 és ISO27005 szabványnak. A kockázatelemzés összekapcsolja erőforrásaink sérülékenységeit a fenyegető veszélyekkel, és a mindezek bizonyos gyakoriságú együttállásából keletkező üzleti hatásokat, figyelembe véve a bevezetett védelmi intézkedéseket. Mindezt egyszerű, szabályok által vezérelt ok-okozati elemző lépések mentén haladva.

A kockázatelemzés végrehajtása lehet periodikus vagy folyamatos, a szervezet igényeinek megfelelően. A kockázatelemzés hatóköre rugalmasan állítható fenyegetettségek és /vagy erőforrások tekintetében, így teljes körű vagy részleges (ad hoc) kockázatelemzés is készíthető, vagy egyes rész területekre – nem csupán IT – fizikai biztonság, humán erőforrások biztonsága, adatvédelem – külön koncentrálhatunk. A SeCube keretrendszer felépítése lehetővé teszi akár teljesen független kockázatelemzések futtatását is, ezáltal megteremtve a lehetőséget annak, hogy a szoftver funkcionalitását más szervezeti egységek egymástól függetlenül is kihasználhatják akár eltérő paraméterekkel.

Elemzés jellemzői

  • ISO és NIST szabványokon alapuló bővíthető alapfenyegetettség és sérülékenység nyilvántartás, tapasztalati benchmark adatokkal kiegészítve, melyet a referenciánk és a kockázatelemzési tapasztalataink tesznek lehetővé.
  • Az Ügyfél működési környezetére szabható módszertan, paraméterek és működési logika.
  • A sérülékenység vizsgálat sérülékenységi kérdőívekkel is támogatható.
  • Valódi ok-okozati gráf modellen alapuló állapotterjedés és hatáskövetés. Nyomon követhető a fenyegetettségek belépési pontjaitól kezdve az egyes függő erőforrások állapotváltozása az üzleti károkat okozó erőforrás állapotváltozásokig, grafikus gráf modelleken.
  • Az alapvető információbiztonsági esemény hatás irányokon kívül (BSR sérülés) egyéb állapotváltozások is képes a szoftver dolgozni (pl. minőség romlás, kapacitás csökkenés, stb.)
  • A hatás elemzés során az igények szerint kialakítható különböző pénzügyi és immateriális (pl. jogi megfelelés, hírnévvesztés stb.) értékelési aspektusok mentén értékelhetünk.
  • Az elemzés eredményeképpen priorizált kockázati listát kapunk, melyet különböző értékelési szempontok alapján elemezhetünk (pl. legfontosabb védelmi intézkedések, leggyakoribb sérülékenységi okok, leginkább veszélyeztetett erőforrások stb.), és részletes szöveges Jelentést generálhatunk.
  • Az egyes kockázatokról automatikus szöveges értékelést illetve ok-okozati gráf ábrát is ad a rendszer, melynek segítségével az egyes kockázatok paraméterei visszakövethető, a kockázatok könnyen felülvizsgálhatóak.

3.4

Kockázatkezelés

  • A kockázatelemzési eredmények meghatározzák, hogy milyen sorrendben célszerű intézkedéseket tenni az egyes kockázatok csökkentésére. A kockázatokról kockázat kezelési döntést hozhatunk, a döntéstől függően pedig különböző kockázatkezelési intézkedéseket definiálhatunk, majd követhetjük azok megvalósulási állapotát. Az egyes kockázatkezelési Intézkedéseket részletesen megtervezhetjük, figyelembe véve azok humán és pénzügyi költség ráfordítását. A kockázatkezelési intézkedések megvalósulása nyomon követhető időben. Ezáltal összehasonlítható riportok készülhetnek a kiinduló állapotról, a jelenlegi kockázatkezelési állapotról és a jövőbeni, elérni kívánt állapotról.

Kockázatmenedzsment eredmények

  • Priorizált Kockázati lista, elemző riportokkal
  • Grafikus kimutatások, elemzéskori, aktuális és elérni kívánt állapotokról
  • Szöveges Kockázatelemzési Jelentés dokumentum
  • A kockázatok kezelésére Kockázat kezelési terv készíthető
  • Az elemzés során egyes részeredmények és elemzési lépések is exportálhatóak

Compliance modul>>