Erőforrások modul bemutatása
Az Erőforrások modul célja egy erőforrásleltár készítése, annak támogatása, hogy a szervezet nyilvántartásba vegye az erőforrásait, legyenek azok IT eszközök, alkalmazások, létesítmények, tárgyi eszközök, humán erőforrások vagy akár szolgáltatások. Az erőforrás-felméréssel feltárható, hogy mely erőforrások milyen mértékben kapcsolódnak az egyes folyamatokhoz, milyen adatokat tárolnak vagy kezelnek, valamint erőforrás típusonként különböző információkat rögzíthetünk hozzájuk. Amennyiben szervezetünk számára releváns, az erőforrásokat, vagy erőforrás csoportokat elektronikus információs rendszernek (EIR) jelölhetünk, és végrehajthatjuk rájuk a 7/2024 (VI. 24.) MK rendelet által előírt biztonsági osztályba sorolást. A folyamatfelméréshez hasonlóan egy workflow-n keresztül a teljes erőforrás-felmérés menete nyomon követhető a rendszerben.
Hogyan működik?
Ha a szervezet még nem rendelkezik erőforrásleltárral, lehetősége van a teljes erőforrás-nyilvántartás SIREN-ben való rögzítésére, felmérésére és kezelésére. Amennyiben már rendelkezésre áll más rendszerben karbantartott erőforrás-leltár, lehetőség van a SIREN működéséhez szükséges, minimális erőforrás-adatok importálására.
A folyamat felméréshez hasonlóan az erőforrás-felmérés is egy workflow-val támogatott folyamat. Az űrlapot előtöltheti az információbiztonsági munkatárs, majd felmérésre küldi az erőforrásgazdának, aki delegálhatja is ezt a feladatot. Delegálás esetén a felmérés az elkészülést követően visszakerül az erőforrásgazdához jóváhagyásra, delegálás nélkül az erőforrás-felmérést az információbiztonsági munkatárs ellenőrzi és zárja le. Az erőforrás-felméréseknek határidő állítható be, amely biztosítja azt, hogy nem maradnak el a kötelező felülvizsgálatok.
A felmérő űrlapokon erőforrás típusonként különböző információkat rögzíthetünk, mint például:
- Erőforrás leírása
- EIR meghatározása, illetve biztonsági osztályba sorolása
- Kapcsolódó erőforrások azonosítása
- Maximálisan megengedett tényleges kiesési idő (RTO)
- IT erőforrásoknál például üzemeltetési dokumentációk, mentési, archiválási, naplózási követelmények, adatvesztési tolerancia, hozzáférés menedzsment, fejlesztői, teszt és éles környezetek információi, tesztadatok előállításának követelményei, sérülékenységvizsgálatokkal és biztonsági ellenőrzésekkel kapcsolatos elvárások.
- Humán erőforrásoknál például optimális és minimális létszám, kulcsemberek, helyettesítési rend.
- Szolgáltatásoknál például kapcsolattartók, SLA információk, szerződés információbiztonsági követelményei, audit elvárások.
A modulok összekapcsoltságának köszönhetően a rendszer bizonyos adatokat más modulokból is átvesz a könnyű kezelhetőség és konzisztencia érdekében, ilyenek például a következők:
- Kiszolgált folyamatok feltüntetése
- Kezelt adatok köre
- Maximálisan megengedett, átvett kiesési idő (igazodva a kritikus folyamatokhoz)
- Bizalmasság, Sértetlenség, Rendelkezésre állás szerinti besorolás
Eredménytermékek, előnyök
- A szervezet igényeinek megfelelően egyszerűbb vagy komplexebb erőforrásleltár
- Erőforráslisták importálása és exportálása
- Testre szabható, erőforrástípusonként eltérő adatok rögzítése az űrlapokon
- EIR-ek azonosításának és biztonsági osztályba sorolásának gyors és hatékony megvalósítása
- Más modulokkal való szoros kapcsolat, átvett információk
- Compliance megfelelés támogatása