Támogatott tevékenységek

A szoftver kockázatelemzési funkcionalitása lehetővé teszi a vállalat különböző típusú kockázatelemzéseinek egységes támogatását. Egyszerre számos terület különböző típusú, kockázatelemzése is futhat párhuzamosan, melyek eredményei egységesen is kezelhetők, ezáltal megvalósítva és támogatva az integrált teljes vállalati kockázatmenedzsmentet (ERM – Enterprise risk management).

  • Információbiztonsági (BSR)
  • Fizikai biztonsági
  • Adatbiztonsági (PIA vagy DPIA)
  • Üzleti, folyamat alapú kockázatelemzés
  • Humán
  • Létfontosságú rendszer – BM OKF
  • Ad-hoc, projekt alapú

A RISK modulban egy vagy számos külön menedzselhető kockázatelemzési szál / csomag indítható, külön felelősökkel és kiértékelőkkel. Ezek lehetnek különböző típusú kockázatelemzések, vagy külön területek szeparált kockázatelemzései.

A különböző kockázatelemzések hatóköre rugalmasan állítható fenyegetések és / vagy erőforrások tekintetében így teljes körű vagy részleges, illetve ad hoc / projekt alapú kockázatelemzés is készíthető, vagy egyes biztonsági vagy vállalati területekre (információbiztonsági, fizikai biztonság, humán, üzleti, adatvédelem) külön koncentrálhatunk. A kockázatelemzés végrehajtása lehet periodikus vagy folyamatos, a szervezet igényeinek megfelelően.

Módszertani paraméterezés

A szoftverben a kockázatelemzés alapvető módszertani paraméterei és kockázat számítási módszerei széles körben testre szabhatók, így lehetőséget ad arra, hogy figyelembe vegye a Vállalat adottságait, különböző anyavállalati vagy jogszabályi elvárásokat. A hatások és károk értelmezése teljes egészében egy vállalat és környezetéhez szabható (anyagi kár, hírnév kár, működési kár, jogi következmény, személyi sérülés stb.). Közigazgatási (Ibtv.), piaci és GDPR specifikus kárhatás tábla sablonok is elérhetők.

A kockázatelemzés modulban található módszertani paraméterek és szabadon bővíthető alapértelmezett listák (fenyegetések, sérülékenységek, védelmi intézkedések) információbiztonsági ajánlásokon (NIST), szabványokon (ISO) és jogszabályokon (IBTV) alapul, kiegészítve Kürt tapasztalatokkal és ügyfél visszajelzésekkel. Az alkalmazott kockázatelemzési módszertan és terminológiák megfeleltethetők az ISO/IEC 27005 szabvány által leírtakkal.

Üzleti hatáselemzés

A kialakított folyamat / adat / IT szolgáltatás leltárokon (Inventory) az üzleti felelősöket bevonva Rendelkezésre állás, Bizalmasság és Sértetlenség szerinti üzleti hatáselemzést hajthatnak végre az arra kijelölt felelős felhasználók. Ezen tevékenység eredményeit a kockázatelemzés során felhasználjuk, de nem előfeltétel. Értékelhetjük az üzleti tevékenységek, rendszerek vagy adatvagyon sérülése során fellépő lehetséges kárhatásokat, mindezt a vállalatra szabható anyagi és immateriális értékelési aspektusok mentén valósíthatjuk meg.

A vizsgálat alapján meghatározhatjuk összes vagyonelemünk besorolását. Osztályozhatjuk erőforrásainkat, testre szabható B-S-R biztonsági szintek alapján. Az osztályozás lehet manuális vagy a BIA eredményei alapján számolva paraméterezhető szabályok alapján.

Kockázatelemzés

A kockázatelemzés összekapcsolja vagyonelemeink sérülékenységeit és védelmi intézkedéseit a fenyegető veszélyekkel. Lehetséges bekövetkezésük esetén ok-okozati szimulációk mentén elemezhetjük a következményeket és a fellépő üzleti károkat. Értékelhetjük kockázatainkat, valamint folyamatos kockázatmenedzsment tevékenységet valósíthatunk meg.

Kockázatelemzés főbb jellemző:

  • A fenyegetések az alapvető kockázati események melyek valamilyen valószínűséggel/gyakorisággal következhetnek be, figyelembe véve az érvényben lévő védelmi intézkedéseket (kontrolok). A sérülékenységek a fenyegetések által kihasználható gyenge pontok, hiányosságok. ISO és NIST szabványokon alapuló alapfenyegetettség, sérülékenység és védelmi intézkedés listák, tapasztalati best practise adatokkal kiegészítve érhetők el a szoftverben.
  • A kockázatokhoz következmények (BSR vagy egyéb üzleti esemény irányok), a következményekhez üzleti hatások rendelhetők. Az üzleti hatások egységes értelmezését szabadon paraméterezhető Kárhatástáblával és értékékelési dimenziókkal támogatjuk (pl. anyagi, jogi, hírnév, személyi sérülés stb.). Az üzleti hatások jöhetnek a különálló üzleti hatáselemzés (BIA) felmérés folyamatából (Governance modul folyamat), de kockázati állapotváltozások üzleti hatáselemzését szabadon is elvégezhetjük a RISK modulban.
  • Inventory terjedési modell: Ok-okozati gráf modellen alapuló állapotterjedés és hatáskövetés támogatás. Nyomon követhető a fenyegetettségek belépési pontjaitól kezdve az egyes függő erőforrások állapotváltozása az üzleti károkat okozó erőforrás állapotváltozásokig, grafikus gráf modelleken.
  • A kockázatelemzés figyelembe veszi egyéb modulok sérülékenységi adatait is, mint pl. Compliance modul, audit kiértékelések findingjai, incidens nyilvántartási adatok stb.
  • A kockázatelemzés eredménye által szintezett kockázati listák és elemző kimutatások jönnek létre. 
  • A kockázatelemzés eredményeinek aktualitására (adat változások) konzisztencia és validáció vizsgálat funkciók figyelnek.
Kockázatok integrált értékelése és folyamatos kezelése

A kockázatelemzés során feltárt kockázatokat különböző elemzési kimutatások mentén értékelhetjük és kockázatkezelési döntések hozhatók. Az akár több kockázatelemzés eredményei külön, de akár integráltan is értékelhetők és kezelhetők.

A kockázatokhoz részletes intézkedéseket tervezhetünk. A kockázatkezelési intézkedések és a kockázatok kapcsolata szabadon megadhatók (n-n kapcsolatok). A kockázatkezelési intézkedések megvalósulását feladatmenedzsment funkciók segítik, felelősökkel, státuszokkal, email értesítőkkel, és akár időben összehasonlítható kimutatásokkal (elemzéskori állapot, mai napi aktuális állapot, jövőbeni tervezett állapotok). A kockázatkezelési funkciók és kimutatások célja a vállalat kockázatarányos védelmének folyamatos irányítása. Kockázati kimutatások jellemzői:

  • Kockázati sokaságok különböző aspektusaiból grafikus elemzések.
  • Kockázati hőtérkép, és eloszlás kimutatások.
  • Időbeliséget támogató kockázatkezelési kimutatások
  • Kockázatok terjedése az Inventory függőségi ábrákon.
  • A teljes kockázatelemzési és kezelési állapotról átfogó szöveges (docx) Kockázatelemzési jelentés generáltható.
Kockázatmenedzsment eredmények
  • Priorizált Kockázati lista, elemző riportokkal
  • Kockázatkezelési kimutatások, idő aspektusokkal (elemzéskori -> mainapi -> tervek)
  • Szöveges Kockázatelemzési Jelentés dokumentum
  • Kockázat kezelési terv(ek) 

RISK – ERM

    top