Támogatott tevékenységek

A 2013. évi L. információbiztonsági törvény végrehajtási rendelete (41/2015 BM rendelet) számos elemzési és adminisztrációs feladat elé állítja az érintett államigazgatási és kormányzati szervezeteket, valamint az alapvető szolgáltatást nyújtó és létfontosságú rendszerelemnek jelölt piaci vállalatokat. A SeCube GRC mint információbiztonsági irányítási rendszer a következő jogszabály által előírt tevékenységek támogatását biztosítja:

  • Elektronikus információs rendszerek, létesítmények, erőforrások, szervezetek BSR szerinti elvárt biztonsági osztályba, illetve szintbe sorolása (Compliance)
  • 41/2015 BM rendelet szerinti OVI és SZVI megfelelés felmérés és cselekvési tervezésNKI és OKF hatósági exportokkal (Compliance)
  • Információbiztonsági, fizikai és humán kockázatelemzés (Risk)
  • Működésfolytonosság tervezés és menedzsment (BCM)

A SeCube moduláris felépítése lehetővé teszi az igények alapján történő részleges, moduláris használatot is.

IBTV megfelelés felmérés

A Compliance modul használatával a 41/2015 BM rendelet által elvárt Szintbe sorolás / Osztályba sorolás és védelmi intézkedés felmérési tevékenységek hatékonyan és időt megtakarítva végrehajthatók, teljes egészében elhagyva az OVI és SZVI Excelek kezelését (szükséges NKI és OKF hatósági export előállítható).

  • Biztonsági szint és BSR osztályozás.
  • A biztonsági osztályoktól függő követelménypontoknak való megfelelés elemzése, ezáltal az aktuálisan elért BSR biztonsági osztályok / szintek meghatározása. Az elemzést egy külön erre a célra fejlesztett hatékony felhasználói felülettel segítjük, amelyen információs rendszereinket együttesen is értékelhetjük, nagyságrendekkel gyorsítva ezáltal az adminisztrációs feladatokat.
  • Speciális KÜRT best practise csoportosítási logikákkal és külön ezen célra kialakított értékelési felületen akár számos (10-100-még több) elektronikus információs rendszer ráfordítás hatékony kiértékelése, folyamatos karbantartása.
  • Az összes EIR védelmi intézkedés felmérése és kiértékelése együtt egy felületen kezelhető.
  • Hatósági (NKI és OKF) OVI és SZVI exportok, illetve Cselekvési terv riport.
  • Átfogó cselekvés tervezés, interaktív jövő kimutatásokkal, osztályzat lépési diagramokkal. A cselekvési terv intézkedéseit különböző szempontok alapján sorba tehetjük, például milyen sorrendben érdemes végrehajtani őket az elvárt osztályzatok lépcsőzetes eléréséhez tetszőleges időtávon.
  • Folyamatos megfelelés hatékony támogatása. A cselekvési terv állapota követhető, a megvalósuló intézkedések visszavezetésre kerülnek az elemzésekbe, ezáltal interaktívvá téve a folyamatos karbantartást, az információbiztonsági törvénynek való megfelelés állandó követését. 
  • Változó hatósági formátumok, elvárások, jogszabály követése terméktámogatás keretében.
  • Az OVI és SZVI Excelek kezelése elhagyható.
  • Hatósági OVI és SZVI exportok, illetve Cselekvési terv riport.
Kockázatelemzés

A RISK modulban vezethetjük információbiztonsági kockázatelemzésünk és a feltárt kockázatok kezelésére szolgáló intézkedéseket. 

A kockázatelemzés összekapcsolja vagyonelemeink sérülékenységeit és védelmi intézkedéseit a fenyegető veszélyekkel. Lehetséges bekövetkezésük esetén ok-okozati szimulációk mentén elemezhetjük a következményeket és a fellépő üzleti károkat. Értékelhetjük kockázatainkat, valamint folyamatos kockázatmenedzsment tevékenységet valósíthatunk meg.

A szoftverben a kockázatelemzés alapvető módszertani paraméterei és kockázat számítási módszerei széles körben testre szabhatók, ami lehetőséget ad arra, hogy figyelembe vegye a szervezet adottságait, különböző anyavállalati vagy jogszabályi elvárásokat. A hatások és károk értelmezése teljes egészében a szervezethez és annak környezetéhez szabható (anyagi kár, hírnév kár, működési kár, jogi következmény, személyi sérülés stb.).

A kockázatelemzés modulban található módszertani paraméterek és szabadon bővíthető alapértelmezett listák (fenyegetések, sérülékenységek, védelmi intézkedések) információbiztonsági ajánlásokon (NIST), szabványokon (ISO) és jogszabályokon (IBTV) alapul, kiegészítve Kürt tapasztalatokkal és ügyfél visszajelzésekkel. Az alkalmazott kockázatelemzési módszertan és terminológiák megfeleltethetők az ISO/IEC 27005 szabvány által leírtakkal. Kockázatelemzési sarokkövek:

  • vagyonelem
  • fenyegetés
  • sérülékenység
  • védelmi intézkedés
  • gyakoriság
  • következmény
  • üzleti hatás
  • kockázat
  • kockázat kezelés
  • maradvány kockázat

A kockázatelemzés során feltárt priorizált kockázatokat különböző elemzési kimutatások mentén értékelhetjük és kockázatkezelési döntések hozhatók. A kockázatokhoz részletes intézkedéseket tervezhetünk. A kockázatkezelési intézkedések megvalósulását feladatmenedzsment funkciók segítik, felelősökkel, státuszokkal, email értesítőkkel, és akár időben összehasonlítható kimutatásokkal (elemzéskori állapot, mai napi aktuális állapot, jövőbeni tervezett állapotok). A kockázatkezelési funkciók és kimutatások célja a szervezet kockázatarányos védelmének folyamatos irányítása. Számos egyéb kimutatás mellett a kockázatelemzésünk aktuális eredményeiről és állapotáról és az alkalmazott módszertantól teljeskörű Kockázatelemzési Jelentés (docx) generálható.

A Risk modulban akár több és akár más jellegű kockázatfelmérés is futhat párhuzamosan (pl. üzleti, fizikai, humán, adatvédelmi, kritikus infrastruktúra stb.) melyek eredményei egységesen is kezelhetők, ezáltal megvalósítva és támogatva az integrált teljes vállalati kockázatmenedzsmentet (ERM – Enterprise risk management).

Működésfolytonosság menedzsment

A BCM modul integrált módon támogatja egy szervezet informatikai, technológia, információbiztonsági és működés-folytonossági tervezési és menedzsment tevékenységeit. A BCM modul a működés folytonosság menedzsment teljes életciklusát kívánja egységes rendszerben támogatni az ISO 22301 szabvány figyelembevétele mellett:

  • Működés modellezés
  • Kockázatelemzés és üzleti hatáselemzéssel
  • Visszaállítási időcélok meghatározása és terveinkkel való összevetés
  • BCP és DRP tervek részletes tervezése 
  • A nyugalmi időszak felkészülési feladatainak megtervezése és végrehajtásának ellenőrzése
  • Tervek karbantartása és felülvizsgálata
  • Tervek tesztelése 
  • Vészhelyzeti alkalmazás és szimulációk 

A BCM tervezés eredménytermékei az időcélok figyelembevétele mellett készült részletes BCP vagy DRP cselekvési tervek. A tervek tartalmazzák a kidolgozott vészhelyzeti cselekvéseket, szcenáriókba rendezve, továbbá a tervek működőképességéhez szükséges felkészülési cselekvéseket. A BC és DR tervek Word formátumba (docx) is exportálhatók.

A létrehozott tervekhez tesztek is készíthetők, tervezhető és menedzselhető a teszt tevékenység, generálható teszt jegyzőkönyvekkel (docx).

Információbiztonsági törvényi eredmények
  • OVI, SZV, Osztályba / szintbe sorolás és megfelelés felmérés riportok
  • Cselekvési terv, jövő kimutatásokkal
  • Hatósági (NKI és OKF) adatszolgáltatáshoz szükséges OVI SZVI export csomag
  • IBTV Megfelelés Jelentés (Word)
  • Információbiztonsági kockázatelemzés Jelentés
  • BC és DR tervek, tesztelési jegyzőkönyvek

IBTV

    top