seconical kockazatelemzes riport pelda · 2019-04-16 · logelemzés riport kÜrt zrt. 3/15 2. a...
TRANSCRIPT
KÜRTZrt.
Kockázatelemzésriport
Logelemzésriport
KÜRTZrt. 2/15
1. ADOKUMENTUMADATLAPJA
EzadokumentumaSeConicalrendszerSeCubemoduljábankerültgenerálásra,szerkeszthetőformátumban.
A dokumentum bizalmas információkat tartalmaz! Jelen dokumentum a KÜRT Zrt. részérekészült. A dokumentumot részben vagy egészben másolni, vagy bármi más módon másokszámáraelérhetővétennikizárólagaKÜRTZrt.hozzájárulásávalmegengedett.
Azonosítás Dokumentumadatai
Vállalatneve KÜRTZrt.Projektneve KürtISO2017
Dokumentumtípusa KockázatelemzésriportÁllományneve SeConical_kockazatelemzes_riport_pelda
Dokumentumgenerálásdátuma 2017-09-15
Logelemzésriport
KÜRTZrt. 3/15
2. AKOCKÁZATELEMZÉS
A kockázatelemzés a SeConical termék használatával került elvégzésre. A SeConical termékhasználatával a kockázatelemzés folyamata jól követhető, megismételhető és validálható. Akockázatelemzés során adottnak tekintettük az Inventory tartalmát, így annak helyessége,konzisztenciája és a beállított függőségek teljes körűsége meghatározza a kockázatelemzésvégeredményénekminőségét.
Akockázatnagyságátafenyegetőtényezőbekövetkezésivalószínűségének(gyakoriság)ésazáltalaokozottkármértékének (hatás) függvényeadja.Akockázatelemzéshezszükséges információkatafenyegetettségekéssérülékenységek felmérése,ahatásokállapoterjedésénekvizsgálatavalamintazüzletihatáselemzésalkotják.
1.ábra:Kockázatelemzés
Azelvégzettkockázatelemzésszakaszai:
1. Kockázatelemzésparamétereinekmeghatározása
2. ErőforrásésFenyegetettséghatókörmeghatározása
3. Sérülékenységekvizsgálata
4. Állapotterjedésekvizsgálata
5. Üzletikárokmeghatározása,hatáselemzés
6. Kockázatilistaelőállításaésvizsgálata
7. Kockázatkezelésmódjánakéskapcsolódóintézkedésekmeghatározása
Fenyegetettség Sérülékenység Állapotterjedés Üzletihatás Kockázat
Logelemzésriport
KÜRTZrt. 4/15
3. AKOCKÁZATELEMZÉSPARAMÉTEREZÉSE
Akockázatelemzéssoránakövetkezőalapvetőkonfigurációsparaméterekkerültekfelhasználásra.
3.1 ÁLLAPOTVÁLTOZÁSIPARAMÉTEREK
3.1.1 ÁLLAPOTVÁLTOZÁSIDŐTARTAMA
Akockázatelemzéssorán,amennyibenegyerőforrásállapotváltozásánakmegadásakoridőtartamotis definiálni kellett (pl. kiesés típusú erőforrás állapotváltozás várható időtartama), a következőidőértékeketlehetetthasználni:
• 0,5óra
• 1óra
• 2óra
• 4óra
• 8óra
• 1nap
• 3nap
• 1hét
• 1hónap
3.1.2 SZÁZALÉKSKÁLAÉRTÉKEK
Akockázatelemzéssorán,amennyibenvalamilyenállapotváltozáshatásátszázalékosarányszámmalkellett megadni (pl. teljesítmény vagy kapacitás csökkenés), a következő értékeket lehetetthasználni:
• 20%
• 40%
• 60%
• 80%
3.2 KOCKÁZATIÉRTÉKELÉSKIALAKÍTÁSA
Azegyeskockázatokértékeléseakövetkezőbeállítottparaméterekmenténtörtént.
3.2.1 GYAKORISÁGSKÁLA
Abekövetkezésivagyészleltgyakoriságaztmutatja,hogyavizsgáltrendszerelemreamegállapítottreleváns fenyegetettség milyen gyakorisággal hat. A sérülékenység vizsgálat során használtgyakorisági értékeket gyakorisági skálába soroltuk. A skála nem lineáris,mert így különíthetők elhatékonyanaminőségilegkülönbözőgyakoriságok.
Logelemzésriport
KÜRTZrt. 5/15
Gyakoriságskála
Skálakezdőérték
Skálatartomány
8. 0nap 0nap-3nap
7. 3nap 3nap-1hét
6. 1hét 1hét-1hónap
5. 1hónap 1hónap-3hónap
4. 3hónap 3hónap-1év
3. 1év 1év-3év
2. 3év 3év-10év
1. 10év 10év+
2.ábra:Gyakoriságskála
3.2.2 KÁRHATÁSTÁBLA
Akárhatásokmeghatározásáhozhasznált„Kárhatástáblázat”aMellékletbentekinthetőmeg.
Logelemzésriport
KÜRTZrt. 6/15
3.2.3 KOCKÁZATISZINTEK
Az egyes kockázatokat súlyosságuk alapján kockázati szintekhez rendeljük. A kockázati szintekmeghatározását,akockázatitényezőkhatékonypriorizálásaérdekébenegy1-től5-igterjedőskálánértelmezzük.
Kockázatiszint Skálaérték
Kritikus 5
Magas 4
Közepes 3
Alacsony 2
Minimális 1
3.ábra:Kockázatiszintekskála
3.2.4 KOCKÁZATISZINTEKSZÁMÍTÁSA
A kockázati szintek számítását alapvetően kettő módszerrel végezhetjük. Az egyik a Mátrixmódszer,melynélakockázatiszintekazegyeskockázatokgyakoriságiéskárértékekmetszeteibenhelyezkednekel.AmásikaKépletmódszer,melynélegykockázatelemzésiképlettel számolunkkikockázatiértéket,akockázatiszintpedigezenértéknagyságátólfügg.
Kockázatiszintszámításánakmódja:Mátrixmódszer
Aválasztottmódszerjellemzői:
Logelemzésriport
KÜRTZrt. 7/15
Kár
8 3 4 4 5 5 5 5 5
7 3 3 4 4 5 5 5 5
6 3 3 3 4 4 5 5 5
5 2 3 3 3 4 4 5 5
4 2 2 3 3 3 4 4 5
3 1 2 2 3 3 3 4 4
2 1 1 2 2 3 3 3 4
1 1 1 1 2 2 3 3 3
10év 3év 1év 3hónap 1hónap 1hét 3nap 0nap Gyakoriság
4.ábra:Kockázatiszintekszámítása
Logelemzésriport
KÜRTZrt. 8/15
4. KOCKÁZATELEMZÉSVÉGREHAJTÁSA
4.1 AKOCKÁZATELEMZÉSHATÓKÖRE
A kockázatelemzés során a kockázatokat erőforrás és fenyegetettség párokra állapítjuk meg. Akockázatelemzés elvégzése során használt fenyegetettség és Inventory erőforrás hatókör akövetkezőkszerintkerültmeghatározásra.
4.1.1 FENYEGETETTSÉGHATÓKÖR
Akockázatelemzéssorán3dbfenyegetettségkerültvizsgálatra.Ezenfenyegetettségeklistája:
• Környezetifenyegetettségek
o Tűz,épületenbelülitűz
• Szándékoshumánfenyegetettségek
o Adathalászat,megtévesztés
o Illetéktelenjogosultságszerzés,birtoklás,jogosulatlanhozzáférés
5.ábra:Fenyegetettséghatókör
Az egyes fenyegetettségekhez erőforrás-hatóköri szabályok (egy bizonyos fenyegetettségmilyenerőforrás típusokra lehet közvetlenül hatással), valamint alapértelmezett (előre feltételezhető,„apriori”)gyakoriságokkerültekmeghatározásra.
Alapértelmezett gyakoriság alatt azt értjük, hogy a fenyegető tényező statisztikailag vagymegbecsülve milyen gyakran tudna hatást gyakorolni a Kürt Test érintett erőforrásaira, ha azerőforrás vizsgálatakor azt látnánk, hogy a fenyegető tényezővel szemben semmilyen védelmiintézkedés nincs, hatásos védelmi kontrollok (akár szabályozási, akár technikai) nem kerültekalkalmazásra.
4.1.2 ERŐFORRÁSOKHATÓKÖR
Az alábbiakban felsorolásra kerülnek a kockázatelemzés hatókörében lévő Inventory erőforrásokcsoportjaihierarchikusnézetben.Akockázatelemzéshatókörébenlévőerőforrásokszáma:54db
AkockázatelemzéssoránhasználtInventoryverziószáma:9915verzió
Logelemzésriport
KÜRTZrt. 9/15
• Humánerőforrások
o Informatika
o Pénzügy
• Objektumerőforrások
o Budapest
§ HQ
• Hálózatirendező
• I.emelet
• II.emelet
o Serverroom
o Miskolc_délnyugat
§ Gyárépület
• Leltár
o ITleltár
§ Adattárolók
§ Épületgépészet
§ Hálózatieszközök
§ Interfaces
§ Irodatechnika
§ Szerverek
§ Szoftverek
§ Virtualserverek
• Adatvagyon
o Pénzügyiadatok
o Riportok
Logelemzésriport
KÜRTZrt. 10/15
o Ügyféladatok
• Szolgáltatások
§ NyugdMeg
§ Statisztikainyilvántartórendszer
o InnocentSystem
o ITbusiness
§ CRMSystem
§ ERPMSDinamicsAX
§ SAPsystem
§ Website
o ITCore
§ ActiveDirectory
§ LANHQ
§ MSSQLadatbázis
§ OracleDBmanagement
• Folyamatok
o Pénzügy
6.ábra:Inventoryhatókör
4.2 ÁLLAPOTTERJEDÉSVIZSGÁLAT
Egy fenyegetettség bekövetkezését az ezzel szemben sérülékeny erőforrások teszik lehetővé. Asérülékeny belépő erőforrástól kezdve az elemek közötti kapcsolatokon (tartalmazás, használat,stb.) keresztülterjednek a sérülések és okoznak állapotváltozásokat. Ezen esemény- illetvehatásláncokvégénállóInventoryelemekésbekövetkezőállapotváltozásukvesznekrésztazÜzletihatáselemzésben.
Azállapotterjedésvizsgálatánakvégeredményekéntazösszessérülékenységbőlkiindulvabejártukazösszesállapotterjedésiútvonalataz Inventory-ban(az Inventory-banelőredefiniált függőségekalapján). A terjedési útvonalak vizsgálata során minden egyes közbenső elem eseténfelülvizsgálatra, szükség esetén finomításra kerültek a lehetséges állapotváltozások. Az útvonalak
Logelemzésriport
KÜRTZrt. 11/15
tehát minden esetben egy sérülékenységből indulnak, egy vagy több erőforrás-állapotváltozáspáronmennekkeresztülésegyesútvonalakszolgáltatás,adatvagyfolyamat-állapotváltozáspárbanvégződnek.
Állapotváltozásterjedésparaméterei:
• asérülterőforrás
• asérülterőforrásállapotváltozása
• akapcsolattípusa
• akapcsolódóerőforrás
• illetveakapcsolódóerőforrásállapotváltozása
Belépőerőforrásokszáma:23db
Vizsgáltállapotterjedésekszáma:152db
HatásláncvégénállóInventoryelemekszáma:10db
7.ábra:Eseményláncpélda
Logelemzésriport
KÜRTZrt. 12/15
5. AKOCKÁZATELEMZÉSEREDMÉNYEI
5.1 KOCKÁZATELEMZÉSIMEGOSZLÁSOKÉRTÉKELÉSE
5.1.1 FELTÁRTKOCKÁZATELEMZÉSIPROFIL
A Melléklet Teljes kockázati lista című fejezetében megtalálható a Kockázatelemzéseredményeképpenelőállóteljeskockázatilista.
Akockázatelemzéssorán22dbnullánálnagyobbkockázatkerültazonosításra.
Akövetkezőtáblázatbanláthatóakockázatelemzéssoránfeltárt,0értéknélmagasabbkockázatok,kockázatiszintekszerintidarabszámésszázalékosmegoszlása
Kockázat Elnevezés Darabszám Arányszám
5 Kritikus 0 0%
4 Magas 1 5%
3 Közepes 10 45%
2 Alacsony 9 41%
1 Minimális 2 9%
Sum 22 100%
8.ábra:Kockázatiszintek–feltártállapot
Logelemzésriport
KÜRTZrt. 13/15
9.ábra:Kockázatiszintekkördiagram–feltártállapot
Azazonosított kockázatok részleteseloszlását a kockázatimátrixona következőábramutatja.Azábránláthatókockázatimátrixgyakoriságéskárértékmetszeteibenfeltüntetettérték,azodasoroltazonosítottegyedikockázatokszámátjelöli.
Kár
8
7 1
1
6
5
2
4
4 7
3
1 2
2
2
2
1
10év 3év 1év 3hónap 1hónap 1hét 3nap 0nap Gyakoriság
0%
5%
45% 41%
9%
Kockázatiszintek
Kritikus
Magas
Közepes
Alacsony
Minimális
Logelemzésriport
KÜRTZrt. 14/15
10.ábra:Kockázatokszámszerűeloszlásaakockázatimátrixon–feltártállapot
Azalábbi táblázatabeazonosított kockázatokdarabszámánakszázalékosmegosztásátábrázoljaakárhatástáblaegyesszintjeirenézve:
Kárnagysága Darabszám Arány
1 2 4 18%3 3 14%4 11 50%5 2 9%6 7 2 9%8
Összesen 22 100%
11.ábra:Kitettségtérkép–feltártállapot
Azelemzéssoránelőfordulhat,hogybizonyosfenyegetettség–erőforráspárokmárelőreelhanyagolhatónakkerültekmegjelölésre.Vagyvoltbekövetkezésigyakoriságuk,deazelemzéssoránüzletikártvégülnemokoztak(kivédettsérülékenységek).Azelhanyagolhatókockázatokalegalsókockázatiszintsokaságátnövelik.
Logelemzésriport
KÜRTZrt. 15/15
6. KOCKÁZATKEZELÉSIINTÉZKEDÉSEK
6.1 SYMANTECCENTERUPGRADE
Kockázatkezelésiintézkedések
# Intézkedésmegnevezése Felelős StátuszVéghatári
dő
1.
Symanteccenterupgrade CIO Folyamatban
2017.09.21.
Intézkedéseleírása:Symanteclicenckulcsbeszerzéseésacenterfrissítése.
Addicionáliskockázat:
Végrehajtók:ElemérPál
Kockázatkezeléstípusa:Csökkentés
Intézkedéstípusa:Megelőző
Egyszeriráfordítások: Embernap:0 Anyagi:0Ft
Folyamatosráfordítások: Embernap:0 Anyagi:0Ft
Hozzárendeltkockázatok:
Rosszindulatúkódok(vírus,trójai,féreg)-SQLDBserver(Szerver)Rosszindulatúkódok(vírus,trójai,féreg)-FujitsuOraclemanagementserver(Szerver)