Termék ismertető
CARISMA Vállalati kockázatkezelési rendszer
1.0 verzió
2005 Jelen dokumentum és az abban bemutatott megoldások, elképzelések és know-how az ABESSE Rt. tulajdona! A dokumentum sokszorosításához, az abban szereplő megoldások és know-how felhasználásához az ABESSE Rt. előzetes és írásbeli engedélye szükséges!
Termék ismertető
TARTALOMJEGYZÉK 1.
ÁLTALÁNOS ISMERTETŐ A CARISMA PROGRAMCSALÁDRÓL .............................................. 2
2.
A CARISMA FELÉPÍTÉSE ........................................................................................................................ 4 2.1. A CARISMA FUNKCIONALITÁSA............................................................................................................. 6 2.1.1. INPUT-DESK (Kérdőív generálás és adat összesítés) ........................................................................ 6 2.1.2. BP (Üzleti folyamat felmérő és nyilvántartó funkció) ......................................................................... 6 2.1.3. Inventory (Eszköznyilvántartó funkció)................................................................................................ 6 2.1.4. RBSC (Veszélyforrások és kontrollokat értékelése)............................................................................. 7 2.1.5. QUA (Veszélyforrások kockázati érték számítása) .............................................................................. 7 2.1.6. BIA (Folyamatok üzleti hatását elemző funkció) ................................................................................. 7 2.1.7. HSSP (Biztonsági térkép készítés és osztályozás)............................................................................... 8 2.1.8. BCP (Üzletmenet folytonossági terv készítés)...................................................................................... 8 2.1.9. DRP (Katasztrófaterv készítő funkció)................................................................................................ 8 2.1.10. EVENTMAN (Riportok tesztelés, végrehajtás követése, eseménykezelés) ...................................... 9 2.1.10.1. 2.1.10.2. 2.1.10.3. 2.1.10.4.
2.1.11. 3.
Tesztelés ......................................................................................................................................................... 9 Oktatás............................................................................................................................................................ 9 Változások követése a riportokban ................................................................................................................ 9 Eseménykezelés ........................................................................................................................................... 10
SYSMAN (Rendszer adatbázis, felhasználói és hálózati menedzsment funkció) ........................... 10
REFERENCIÁK.......................................................................................................................................... 11
1. Általános ismertető a CARISMA programcsaládról A CARISMA (CorporAte RISk MAnagement System) vállalati kockázatmenedzsment rendszer. A rendszer támogatja a kockázat menedzsmentet mind az informatikai rendszerek, mind az üzleti rendszerek területén, kezdve a működési kockázatok feltárásától egészen a kvalitatív és kvantitatív kockázati értékek meghatározásán át a vállalati kockázati térkép elkészítését, a kapcsolódó védelmi intézkedések, akciótervek és szabályzások elkészítését, tárolását és kezelését valamint a bekövetkező kockázati események menedzsmentjét és teljes követését. A CARISMA funkcionalitása a Security Management Methodology (SMM) eljárásaira épül, amely az informatikai folyamatok területén megfelel a Cobit3 (ISACA), a BS 7799 (ISO 17799), a TCSEC és a CC (ISO 15408) szabvány részét képező Common Evaluation Methodology ajánlásainak és szabványoknak, míg az üzleti folyamatok területén a MABISZ szabványoknak. Az SMM az elmúlt 7 év folyamatos fejlesztésének eredménye, több mint 150 hazai és nemzetközi biztonsági rendszerszervezési projektben alkalmazták sikerrel különféle biztonsági minősítési és rendszerszervezési feladatokra. A rendszer alkalmas vállalatok vagy cégcsoportok szervezeti egységeinek kockázat menedzsmentjét és ahhoz kapcsolódó szabályzási dokumentumok előállításának és kezelésének támogatását biztosítani, így az első lépés a vállalat vagy cégcsoport szervezeti és függőségi kapcsolatainak meghatározása. Majd az egyes szervezeti egységek (vállalat) kockázati területek meghatározása után a tipikus hazai veszélyforrásokat tartalmazó tudásbázis segítségével meghatározásra kerülnek vállalti kockázatok szervezeti egységenként és üzleti folyamatonként. A tudásbázis másik felhasználása a kockázatok csökkentésére kialakított vállalti védelmi intézkedések és azok hatásának minősítése az iparági átlagok alapján. A vállalati kockázatok és a védelmi intézkedések minősítése alapján határozza meg a rendszer a kvantitatív és kvalitatív kockázati értékeket. Így a teljes vállalat működési modellje leképzésre kerül egy kockázati térképen, amelyet mind kvantitatív mind kvalitatív módszerekkel ábrázolhatunk. A biztonsági térképek alapján meghatározhatók az védelmi stratégiák, az katasztrófa tervek, kockázatcsökkentő-, megelőző akciók. Így egységes védelmi rendszer alakul ki a vállalat kockázat menedzselési eljárásairól, eszközeiről és szabályzásairól. Az üzemeltetési kockázatot csökkentő üzemeltetési szabályzatok és katasztrófatervek, üzletmenet folytonossági tervek védelmi akcióiból projekteket generál a rendszer, amelyeket egy ROSI (Return on Security Investment) modell szerint prioritási sorrendbe és grafikusan megjelenítve ábrázolja a riportotokat készítő modul a döntéshozóknak.
Termék ismertető
Külső rendszerekkel összekapcsolva akár on-line módon követheti a vállalat a kockázati értékeinek változását és hozhat döntéseket azok felvállalásáról és csökkentésének következményeiről. Az összekapcsolás jelenleg a HP Openview és IBM Tivoli rendszerekkel megoldott és tesztelt. A programcsalád használata támogatást nyújt a felhasználónak abban, hogy ne csak statikus dokumentumokat készítsen, hanem egy organikus, folyamatosan frissíthető dokumentumrendszer birtokába jusson. A programcsomag funkciói lehetőséget nyújtanak arra, hogy az elkészült dokumentumokat a vállalat folyamatosan a változó szervezeti felépítéséhez, átalakuló üzleti folyamataihoz alakítsa. A CARISMA programcsalád segíti a vállalati üzleti folyamatok
• • •
Kvalitatív és kvantitatív kockázatainak meghatározását,
•
Védelmi intézkedések kidolgozására és azok hatásának folyamatos (szabályzások, katasztrófaterv, üzletmenet folytonossági terv, akciótervek),
• •
Kockázatkezelési módszerek, eszközök átfogó képének megjelenítésére
Vállalti kockázati térkép készítését, Folyamatok, erőforrások összehasonlításokra
biztonsági
minősítésére,
Bekövetkező esemény, katasztrófa menedzsmentre.
tudásbázisa
révén
iparági
követésére
Termék ismertető
2. A CARISMA felépítése A CARISMA felépítését a következő ábrán mutatjuk be. Az ábra bal oldala a vállalati kockázat menedzsment teljes folyamatát és egyes fázisait szemlélteti. A középső oszlopban a folyamat egyes lépéseit támogató CARISMA funkcionális felépítése, a jobb oldalon pedig az integrált adatkapcsolatok és a kimeneti adatformátumok találhatóak.
A CARISMA rendszer felépítése
Termék ismertető
A CARISMA funkciók és integrált adatkapcsolatok magyarázata:
• • • • • • •
INPUT-DESK – Kérdőív generáló és adat összesítő funkció; BP (Business Process) – Üzleti folyamat felmérő és nyilvántartó funkció; INVENTORY – Vállalati erőforrás nyilvántartó funkció; RBSC (Risk Base Score Card) – Veszélyforrásokat és kontrollokat felmérő és értékelő funkció; QUA (Qualitative, Quantitative) – Veszélyforrások kockázati értékeit számító funkció; BIA (Business Impact Analysis) – Üzleti hatást elemző funkció; HSSP (Homogenous Security System Planning) – Biztonsági térképet készítő és biztonsági rendszert osztályozó funkció;
•
BCP (Business Continuity Plannig) – Üzletmenet folytonossági terv készítő és karbantartó funkció;
•
DRP (Disaster Recovery Planning) – Erőforrások katasztrófatervét készítő és karbantartó funkció;
•
SYSMAN - Rendszer adatbázis, felhasználói és hálózati menedzsment funkció, naplózás, licensz kezelés;
•
TUDÁSBÁZIS – Az Insurance Technology több mint 150 magyarországi projektjének tapasztalata (nemzetközi módszertanok felhasználásával) a tudásbázis tartalmazza a tipikus magyarországi veszélyforrásokat és a hozzájuk kapcsolódó kontrollokat;
•
HP OPENVIEW – A HP rendszermenedzsment szoftvere, amely az IT infrastruktúra folyamatos monitorozását, adminisztrációját és a változások követését teszi lehetővé.
Termék ismertető
2.1. A CARISMA funkcionalitása A funkcionalitás egyes elemei között szakmai és módszertani szinten szoros kapcsolat létezik, de a felhasználói igényekhez igazodva lehetőség van az egyedi és szűkített szolgáltatási szintek biztosítására is. Így önállóan vásárolható CARISMA RISKMAN, CARISMA BCP, CARISMA DRP modulok, amely csak az ügyfél által konkrétan meghatározott funkciók biztosítását és dokumentumok készítését és követését teszi lehetővé. A szűkített szolgáltatásból indulva a funkciószintű kapcsolódás ugyanakkor lehetővé teszi, hogy egy komplex kockázat menedzsmentben gondolkodó cég hatékonyan tudja a CARISMA moduljainak szolgáltatásait kiterjeszteni a kockázat menedzsment minden részterületére.
2.1.1. INPUT-DESK (Kérdőív generálás és adat összesítés) Az INPUT-DESK web alapú kérdőív generáló és adatösszesítő funkció. A helyzetfeltárás alapvető igénye, hogy csak aktuális adatokat vigyünk fel a rendszerünkbe. Az adatok továbbá érkezhetnek interjú jegyzőkönyvekben, kitöltött kérdőívekben és külső eszközök (szoftverek) és adatbázisok állományaiként. Az INPUT-DESK mindegyik esetre ad támogatást:
•
Az interjúk alapján jegyzőkönyvet lehet készíteni, amelyet az interjúalanynak el lehet küldeni és jóváhagyás után véglegesen rögzíteni az adatbázisban,
•
Az állapot felmérésére és új adatok begyűjtésére vagy a meglévők ellenőrzésére kérdőíveket lehet összeállítani az INPUT-DESK funkcióval amelyeket a vállalat belső Intranetjén keresztül elérhetnek és kitölthetnek a felelős szakemberek,
• •
Meglévő adatbázisokból adatátvétel, HP Openview alkalmazás adatállomány erőforrások, eszközök leírását és adatait.
formájában
küldi
át
a
hálózatba
kapcsolt
A CARISMA működtetéséért felelős munkatárs megfontolhatja az adatok megfelelőségét és használhatóságát, és az ellenőrzés után tetszőlegesen beemelheti a rendszerbe. A begyűjtött információ ezzel válik valódi input adattá.
2.1.2. BP (Üzleti folyamat felmérő és nyilvántartó funkció) Az BP funkció szolgál a vállalati üzleti folyamatok felmérésére és rögzítésére. Lehetőséget nyújt a felvett folyamatok és erőforrásaik kapcsolatának meghatározására, folyamat-folyamat és folyamaterőforrás függések felvételére (az erőforrásokat az INVENTORY funkcióból rendeljük hozzá a folyamatokhoz).
2.1.3. Inventory (Eszköznyilvántartó funkció) Az INVENTORY funkció alapvetően egy eszköznyilvántartás. Az INVENTORY segítségével lehetőség nyílik a vállalatnál installált hardver, szoftver, alkalmazás stb. elemek nyilvántartására és eszközváltozások kezelésére. Az INVENTORY funkció interfészei segítségével más, már meglévő rendszerekből, adatbázisokból is képes adatokat kinyerni az INPUT-DESK funkción keresztül: Ennek eredményeképpen a CARISMA adatbázisa és a cég egyéb eszköz adatbázisai közötti konzisztencia folyamatosan megőrizhető. A CARISMA a HP Openview szoftverrel integrált adatcserélő funkcióval rendelkezik, így az INVENTORY funkció az ügyfél hálózataiban lévő eszközök változásainak akár on-line módon való követésére is alkalmas.
Termék ismertető
A CARISMA Inventory modulja
2.1.4. RBSC (Veszélyforrások és kontrollokat értékelése) A helyzetfeltárás során felvett erőforrásokhoz az RBSC (Risk Base Scorecard) funkcióval rendelünk veszélyforrásokat. Önellenőrzésképpen vagy szakértői támogatásként a tipikus veszélyforrások listája elérhető a folyamatosan aktualizált TUDÁSBÁZIS-ban. A funkció másik fő feladata az, hogy a veszélyforrások kapcsán alkalmazott kontrollokat (védelmi intézkedéseket) összevetjük a TUDÁSBÁZIS-ban található kontrollokkal úgy, hogy közben súlyozzuk és minősítjük őket. Az RBSC teljeskörű veszélyforrás és kontroll minősítést tesz lehetővé. A TUDÁSBÁZIS lehetővé teszi a felmérés eredményeinek egységes adatbázissal történő összevetését, és hasonló profilú cégekkel való, azonos kritériumok szerinti összehasonlítást (benchmarking).
2.1.5. QUA (Veszélyforrások kockázati érték számítása) A rendszer által kínált egyik kockázatelemzési mód a QUA funkció, amely az RBSC funkcióban meghatározott veszélyforrások kockázati értékeit számítja ki. A számítás alapja az RBSC funkcióval elvégzett kontrollminősítés, a várható kár nagysága és a veszélyforrások bekövetkezési valószínűsége. A QUA funkció ezekből számítja a kockázati értékeket. A programot felkészítettük mind kvalitatív, mind kvantitatív kalkulációra. Az adatokat fenyegető veszélyforrások bekövetkezési valószínűségének meghatározását a QUA a CC (ISO 15408) szabvány részét képező Common Evaluation Methodology szerint végzi.
2.1.6. BIA (Folyamatok üzleti hatását elemző funkció) A CARISMA másik kockázatelemzési mód az úgynevezett BIA fukció (Business Impact Analysis), amely az üzletmenet folytonosság tervezéshez és a katasztrófatervezéshez elvégzi az üzleti folyamatok hatáselemzését.
Termék ismertető
Az üzleti hatáselemzés az egyes folyamatokhoz rendelt attribútumok (prioritás, leírás, hatáselemek) értékelése és a folyamatok egymásra épülésének a vizsgálata. A funkció támogatja a helyzetfeltárási jelentés és a kockázat elemzés nyomtatását.
2.1.7. HSSP (Biztonsági térkép készítés és osztályozás) A HSSP funkció (Homogenous Security System Planning) a veszélyforrások kockázati értékei alapján a biztonsági rendszerszervezés egyes területein – szervezési, fizikai, logikai, hálózat, életciklus biztonság – felrajzolja a vállalat biztonsági térképét. A beállított paraméterek alapján elvégzi a területenként vett biztonsági osztályba sorolást. A javasolt biztonsági osztály meghatározza azokat a védelmi intézkedéseket, amelyek szükségesek a következő védelmi szint eléréséhez, vagyis amelyeket a vállalatnak meg kell valósítania. A HSSP által kezelt összefüggéseket mutatja a következő ábra:
Dm Ca
átlagos védelm i szint
Ck javasolt védelm i szint
Cm B -A A HSSP által kezelt összefüggések
A HSSP támogatja az olyan típusú döntések meghozatalát, hogy a kívánt biztonsági szint eléréséig a vállalatnak mely területeken kell beruházásokat eszközölnie. A beruházások sorrendjének és prioritásának meghatározását a program a beruházás/hatás viszonyszám alapján, az úgynevezett ROSI modell (Return on Security Investment) segítségével végzi.
2.1.8. BCP (Üzletmenet folytonossági terv készítés) A felvett adatok alapján (üzleti folyamatok, erőforrások, veszélyforrások, kontrollok, stb.) a BCP funkcióval végezhető el az intézkedések, akciótervek kidolgozása a kritikus üzleti folyamatokra. A funkció támogatást nyújt az üzletmenet folytonossági terv dokumentum elkészítéséhez, frissítéséhez. Automatikusan generálja a terv aktuális változatát, segít a konzisztens tervezés megvalósításában és a hatékony intézkedések kidolgozásában.
2.1.9. DRP (Katasztrófaterv készítő funkció) A BCP funkcióhoz hasonlóan a DRP funkció végzi az informatikai katasztrófaterv elkészítését, aktualizálását és folyamatos karbantartását. A DRP az informatikai támogató rendszerekre és erőforrásokra fókuszál (természetesen konzisztensen a BCP-vel és a BIA-val). Támogatja az informatikai háttérstratégiák kialakítását is. A funkcióban tetszőleges objektumok felvehetők (grafika, kép, leírás), amelyek speciális adatokkal (topográfia, hálózati kapcsolatrendszer, cluster felépítések, stb.) egészítik ki a folyamat és eszköz leírásokat. A DRP funkció teljes, aktuális, adatbázisra épülő katasztrófaterv nyomtatás funkcióval rendelkezik.
Termék ismertető
Példa egy katasztrófaterv képernyőre:
Példa katasztrófaterv képernyő
2.1.10. EVENTMAN (Riportok tesztelés, végrehajtás követése, eseménykezelés) 2.1.10.1.
Tesztelés
A szoftverben beépített sablonok és lekérdezések támogatják a tesztelés folyamatát. A teszteléskor tulajdonképpen magát az „eseményt” (katasztrófát) modellezzük. A szoftverrel különböző méretű, kiterjedésű és hatású események modellezhetőek. Az esemény paramétereinek (jellege, hatálya, súlya, stb.) beállítását követően a szoftver végigvezeti a tesztelőket a válasz-, visszaállítási- és helyreállítási fázis akcióterveinek egyes lépésein. A teszteléskor erőforrásra, felelősre, folyamatra rendezhetjük az akciótervek lépéseit. Ezáltal tesztelhető egy feladatot ellátó felelős ugyanúgy, mint egy teljes folyamat minden egyes felelőse. A teszteredmények ugyanolyan mátrix-szerűen kapcsolódnak egymáshoz, mint az erőforrás-, illetve folyamatstruktúrák. A tesztelés során a vissza- és helyreállítás időablaka folyamatosan nyomon követhető és összevethető a fenyegetett folyamatok sebezhetőségi ablakával (maximálisan elviselhető kiesési idő). Előre definiált sablonok segítségével a tesztelés teljes folyamatából tesztelési napló generálható.
2.1.10.2.
Oktatás
A teszteléshez hasonlóan az oktatás is a megfelelő (decentralizáltan tárolt) információk koncentrált és strukturált összegyűjtésével valósul meg. A felelősök, felhasználók feladatai és felelősségi körei összegyűjthetőek és oktatási anyag formájában előállíthatóak.
2.1.10.3.
Változások követése a riportokban
Amennyiben a módosítás olyan változást eredményez, amely nem kezelhető le automatikusan (például a megváltozott kockázati értékek hatására egy folyamat kritikussá válik, és akciótervet kell kidolgozni rá), a szoftver szisztematikusan végigvezeti a felhasználót a kitöltendő mezőkön és táblázatokon.
Termék ismertető
Változások követése a riportokban
2.1.10.4.
Eseménykezelés
Eseménynek tekintünk minden olyan történést, amely eltér a normál üzletmenettől. Maga az eseménykezelés hasonló a teszteléshez (hiszen a tesztelés során igyekszünk minél inkább teljes körűen modellezni az eseményt). Az akciótervek tetszőleges strukturálása segíti a kárelhárítást és a minél gyorsabb vissza-, és helyreállítást. Természetesen minél frissebb az információhalmaz a szoftverben, annál inkább csökkenthetőek a vissza- és helyreállítási időablakok, illetve maga a másodlagos kárkövetkezmény. (A másodlagos kárkövetkezmény fogalma a katasztrófa indirekt, tovagyűrűző hatásait öleli fel. E hatások az idő előrehaladtával exponenciális mértékben nőnek.) A szoftver támogatja a katasztrófa team-ek kialakítását (feladat és hatókör szerint).
2.1.11. SYSMAN (Rendszer adatbázis, felhasználói és hálózati menedzsment funkció) A CARISMA jogosultsági rendszere lehetővé teszi szabadon paraméterezhető felhasználói csoportok kialakítását, és egyéni felhasználók felvételét. Ezáltal szavatolható a bizalmas, a vállalat működésével, informatikájával kapcsolatos adatok biztonsága. Az adminisztrációs funkciók lehetővé teszik az egyes beviteli sablonok, lekérdezések, munkafolyamatok, nyomtatási kimenetek paraméterezését. A felhasználói adminisztráción túl a SYSMAN funkcióval biztosítva történik a naplózás beállítása, és itt végezhetjük el az állapotmentéseket is (a historikus visszakövethetőség érdekében).
Termék ismertető
3. Referenciák A Carisma Vállalati Kockázatmenedzsment rendszer a következő cégekhez került bevezetésre:
• • • • • • • • •
Aegon Magyarország Általános Biztosító Zrt. Pannon GSM Távközlési Zrt. Giro Bankkártya Zrt. Malév Magyar Légiközlekedési Zrt. T-Online Magyarország Internet Szolgáltató Zrt. Fővárosi Vízművek Zrt. Budapest Airport Zrt. HVB Jelzálogbank Zrt. MOL Nyrt.
