Információbiztonsági kockázatmenedzsment

A KÜRT információbiztonsági kockázatmenedzsment szolgáltatása az adott szervezet információbiztonsági kockázatainak kezelésére koncentrál, illetve rávilágít, hogy az egyes információbiztonsági kockázatok milyen hatással vannak a különböző üzleti folyamatokra, szervezeti adatokra.

Az IT szolgáltatások mindegyikére hatnak a fenyegető tényezők. A fenyegető tényezők az adatok bizalmasságának, vagy integritásának sérülését okozhatják, illetve az IT rendszerek rendelkezésre állását veszélyeztethetik. A szervezetek működését fenyegető tényezők közül talán az IT infrastruktúra kockázata a legnagyobb. A kockázatok szempontjából az IT infrastruktúra fogalomkörébe tartoznak a létesítmények, az IT technológia, az eljárások, az adatok, valamint a humánerőforrás is. Elvárandó, hogy a szinte végtelen számú fenyegetés miatt legyen esélye a védekezésnek, sőt mindez hatékonyan, a megfelelő helyen és a megfelelő mértékben legyen bevetve.

A kockázatmenedzsment folyamat főbb lépései:

• Módszertan kialakítása, mely biztosítja, hogy az információbiztonsági kockázatfelmérés során összehasonlítható és megismételhető eredmények álljanak elő.
• Üzleti hatáselemzés (angolul Business Impact Analysis, BIA) elvégzése, mely meghatározza az üzleti mutatók mentén mérve (pl. pénzügy, hírnév, jog, működés) az adatok kompromittálódása, integritás sérülése, illetve az informatikai rendszerek rendelkezésre állás sérülése esetén várható kárhatásokat.
• Információbiztonsági kockázatok feltérképezése a fenyegetések bekövetkezési valószínűségének és lehetséges hatásainak felkutatása.
• Az információbiztonsági kockázatok összehasonlítható és objektív értékelése, rangsorolása.
• Kezelendő információbiztonsági kockázatok kiválasztása, kockázatcsökkentő intézkedések kidolgozása.

Miért a KÜRT?

Információbiztonsági kockázatelemzési módszertanunk a hazai és nemzetközi ajánlások, szabványok, iránymutatások elvárásai alapján került kidolgozásra.

Milyen eredmények várhatók a kockázatmenedzsmenttől?

Rövidtávon várható eredmények:

• Világossá és priorizálhatóvá válnak a környezetben, az alkalmazott technológiában, az infrastruktúrában, illetve a humánerőforrásban rejlő információbiztonsági kockázatok, és azonnal megkezdhető a kockázatokat csökkentő intézkedések kidolgozása.
• Az információbiztonság irányíthatóvá, tervezhetővé, visszacsatolhatóvá válik.

Hosszútávon várható eredmények:

• Az információs rendszer működési kockázatai kockázatarányos szinten tarthatók.
• A fenyegető tényezők bekövetkezéséből fakadó veszteségek csökkennek.
• A kockázatmenedzsment hosszú távú működtetése egyes vállalatoknál elengedhetetlen feltétele a megfelelőségnek (42/2015. (III. 12.) Korm. rendelet, ISO27001, …).

Információbiztonsági kockázatelemzési módszertan kidolgozása a szervezetre szabva.

Információbiztonsági kockázatok azonosítása, értékelése a szervezetre gyakorolt üzleti hatás alapján.

Kezelendő információbiztonsági kockázatokra cselekvési terv kidolgozása.

Cél a releváns információbiztonsági kockázatok feltérképezése, kockázatarányos kezelése.

A KÜRT saját fejlesztésű SeCube GRC szoftvere támogatja a vállalatok információbiztonsági kockázatelemzési és kezelési folyamatait.