Kérjük adja meg adatait az ajánlatkéréshez! (a *-gal jelölt mezők kitöltése elengedhetetlen)
Kockázatmenedzsment
A biztonsági követelményeket a biztonsági kockázatok módszeres felmérésével szokás megállapítani. Az egyes óvintézkedésekre kiadott költségekkel lehet ellensúlyozni a biztonsági hibákból eredő valószínű üzleti veszteségeket.
A kockázatbecslő eljárásokat alkalmazhatjuk akár az egész szervezetre, akár annak egyes részeire, akár csak egyes egyedi informatikai rendszereire, esetleg olyan sajátos rendszerösszetevőkre vagy szolgáltatásokra, amelyekre az megvalósítható, reális és hasznos.
A kockázatelemzés annak rendszeres megfontolása, hogy:
- mi az a kár, amely valószínűleg valamely ügyviteli hiba eredménye, figyelembe véve az információ és más vagyon titkosságának, sértetlenségének és rendelkezésre állásának elvesz(t)ése lehetséges következményeit;
- milyen a hiba előfordulásának valós valószínűsége az uralkodó fenyegetések és sérülékenységek, valamint a megvalósított óvintézkedések fényében.
Ennek a felmérésnek az eredménye segíteni fog az alkalmas vezetői tevékenységeknek és azoknak a prioritásoknak a meghatározásában, amelyek az informatikai biztonsági kockázatkezeléshez, valamint azoknak az óvintézkedéseknek a megvalósításához szükségesek, amelyeket éppen ezen kockázatok elleni védekezésre választottak ki. Esetleg többször is ajánlatos lehet megismételnünk a kockázatbecslő és az óvintézkedéseket kiválasztó eljárásokat ahhoz, hogy az adott szervezet különböző részegységeit, vagy egyedi informatikai rendszereit is mind áttekintsük.
Azért fontos, hogy a biztonsági kockázatokat és a megvalósított óvintézkedéseket időről időre felülvizsgáljuk, hogy:
- figyelembe vegyük a szervezeti követelmények és prioritások változásait,
- megfontoljuk az új fenyegetéseket és sérülékenységeket,
- visszaigazoljuk, hogy az óvintézkedések hatékonyak és megfelelőek maradtak.
A felülvizsgálatot különböző mélységben ajánlatos elvégezni, attól a szinttől függően, amely szintet a vezetőség a kockázatok változó szintjeként még el tud fogadni. A kockázatbecslő eljárásokat gyakran előbb a felső szinten hajtják végre, mintegy a felsőbb szintű erőforrásokat elsőbbséggel kezelve, majd csak azután térnek át a részletesebb felmérési szintre, az egyes különleges kockázatokra.
ISO 27001 szerinti IT biztonsági kockázatelemzés
Az informatikai rendszer biztonsági kockázatának elemzési módja:
Az informatikai rendszer biztonságát a kockázatelemzés módszerével vizsgáljuk. A meglevő folyamatok, eszközök és szabályzatok megfelelőségét ISO 27001 sztenderdhez viszonyítjuk.
Kockázati szintek meghatározása:
A kockázati szinteket 1-5-ig terjedő skálával határozzuk meg, ahol az 1 a legalacsonyabb, az 5 a legmagasabb szintet jelenti.
A kockázati szint határokat az informatikai vagyonhoz és az adatállomány értékéhez viszonyítva határozzuk meg. Az összegyűjtött információkat szakembereink elemzik, értékelik, a kapott eredmények alapján készül el a kockázatelemzés.
A kockázatfelmérés keretében eszköztípusonkénti sérülékenység vizsgálatot is lefolytatunk. A vizsgálat során mintavételezéssel ellenőrizzük a munkaállomásokon, és szervereken alkalmazott operációs rendszer és alkalmazások biztonsági frissítéseinek telepítését is. A vizsgálatot automatizált célszoftverrel végezzük. A vizsgálat egy későbbi időben ismét lefolytatásra kerül. A vizsgálatba bevont szerverek és munkaállomások száma: 100 db.
Kockázatkezelő intézkedések elkészítése
Ha a kockázatelemzés során a biztonsági követelményeket és kockázatokat már meghatároztuk, ajánlatos lesz megválasztani és megvalósítani azokat az óvintézkedéseket (kockázat kezelő intézkedések), amelyekkel a kockázatot elfogadható szintre akarjuk lecsökkenteni. Az óvintézkedéseket a megvalósítási költségekre tekintettel ajánlatos megválasztani, figyelembe véve azt a kockázatot, amelyet alkalmazásával csökkenteni akarunk, illetve azt a lehetséges veszteséget, amelyet a biztonság megsértése fellépésével okoz. Ugyancsak ajánlatos figyelembe venni a pénzben ki sem fejezhető tényezőket, mint például a jó hírnév elvesztését.
A kockázatkezelő intézkedések dokumentum tartalmazza a rendszer felmérése alapján alkotott képet, megállapításainkat, javaslatainkat a hibák elhárítására, a veszélyek csökkentésére illetve kiküszöbölésére.
Az intézkedési terv kidolgozásakor figyelembe vesszük az ISO 27001 által támasztott követelményeket is.