KontaktKontakt Strona głównaStrona główna

Analiza ryzyka

Jak szybko i skutecznie podjeść do tematu

Czym jest analiza ryzyka?

Analiza ryzyka to określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu i podejmowanie odpowiednich środków przeciwdziałania i minimalizacji ryzyka. Pozwala na określenie poziomu ryzyka w sposób jakościowy i ilościowy dzięki czemu mogą zostać przeprowadzane działania zapobiegawcze lub działania polegające na jego eliminacji. Szacowanie ryzyka wymaga systematycznych działań polegających na analizie:

  • Szkód w działalności firmy, które mogą wynikać z naruszenia bezpieczeństwa, integralności i dostępności informacji oraz innych aktywów,
  • Realnego prawdopodobieństwa takiego naruszenia z uwzględnieniem istniejących zagrożeń, podatności i istniejących zabezpieczeń,

Proces analizy ryzyka

Proces przeprowadzania analizy ryzyka składa się z następujących zadań:

  • Określenie listy zasobów
  • Określenie listy zagrożeń
  • Określenie wpływu zagrożeń na zasoby
  • Szacowanie ryzyka
  • Opracowanie Raportu z analizy ryzyka
  • Opracowanie Planu postępowania z ryzykiem

W wyniku prac wykonanych podczas procesu analizy ryzyka jest Raport z analizy ryzyka oraz Plan postępowania z ryzykiem, określający sposób traktowania ryzyka przez firmę.

Powrót do góry

System RAW - wspomaganie procesu szacowania ryzyka

Skuteczne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w oparciu o wymagania PN-ISO/IEC 27001:2007 uzależnione jest od doboru metodyki szacowania ryzyka i prawidłowego przeprowadzenia procesu szacowania. Właściwa identyfikacja aktywów, ich podatności, zagrożeń z nimi związanych oraz odpowiednie oszacowanie ryzyka w odniesieniu do poufności, integralności i dostępności umożliwia dobór adekwatnych zabezpieczeń.

Duża ilość aktywów i zagrożeń z nimi związanych, oraz uczestnictwo w ocenie ryzyka grupy osób powoduje, że proces szacowania ryzyka tradycyjnymi metodami staje się bardzo skomplikowany. Dlatego proponujemy wsparcie procesu szacowania ryzykiem systemem RAW.

Prezentacja systemu RAW

System RAW (Risk Analysis for Workgroups) to zaawansowane narzędzie do oceny ryzyka, wspierające projektowanie i wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji (Information Security Management System - ISMS) zgodnie z normą PN-ISO/IEC 27001:2007. System RAW definiuje podejście do szacowania ryzyka w organizacji i jest w pełni zgodny z wytycznymi normy PN-ISO/IEC 27001:2007 oraz PN-ISO/IEC 27005:2010 „Zarządzanie Ryzykiem w Bezpieczeństwie Informacji” (Information Security Risk Mangement –ISRM).

Dzięki unikalnej metodyce RAW szacowanie ryzyka odbywa się krok po kroku, a zdefiniowane role umożliwiają udział w procesie najbardziej adekwatnych osób – począwszy od przedstawicieli o charakterze biznesowym, poprzez właścicieli aktywu do specjalistów w zakresie bezpieczeństwa czy konsultantów/audytorów. Dla każdej z ról zdefiniowany jest profil funkcjonalności systemu, co umożliwia zarządzania odpowiedzialnością w procesie szacowania ryzyka. Umożliwia też zewnętrznym organizacjom (np. jednostkom certyfikującym) prześledzenie procesu szacowania ryzyka w kluczowych momentach. System RAW może być dostosowany do spełnienia wymagań organizacji. Dotyczy to zarówno kryteriów szacowania ryzyka, funkcji agregujących wyniki, doboru aktywów, zagrożeń, podatności jak i zdefiniowania własnych pojęć w odniesieniu do dostępnych w systemie funkcji i nazw (edytowalne słowniki funkcji i nazw), czy customizacji dokumentacji będących wynikiem analizy ryzyka (Raport z Analizy Ryzyka, Plan Postępowania z Ryzykiem).

Wyniki szacowania ryzyka umożliwiają wygenerowanie dokumentów Raportu z Analizy Ryzyka i Planu Postępowania z Ryzykiem stanowiących jedno z podstawowych wymagań co do dokumentacji zdefiniowanej w normie PN-ISO/IEC 27001:2007.

Cechy systemu RAW

  • Wspomaga identyfikację aktywów i grup informacji w organizacji,
  • Wspomaga identyfikację zagrożeń w odniesieniu do aktywów,
  • Umożliwia ocenę poufności, integralności i dostępności dla każdego zidentyfikowanych aktywów zgodnie z przyjętymi przez organizację kryteriami,
  • Zapewnia zgodność z normą PN-ISO/IEC 27001:2007 oraz PN-ISO/IEC 27005:2010,
  • Umożliwia przeprowadzenie analizy ryzyka krok po korku,
  • Generuje dokumentację wymaganą normą PN-ISO/IEC 27001:2007 – Raport z Analizy Ryzyka i Plan Postępowania z Ryzykiem.
  • Łatwe wdrożenie – instalacja na serwerze,
  • Autoryzacja poprzez usługi katalogowe (LDAP, NDS, AD).

Wymagania techniczne

System RAW zbudowany jest w oparciu o architekturę klient-serwer, gdzie serwerem jest usługa HTTP, a klientem jest przeglądarką internetowa na stacji roboczej. Oprócz wbudowanych w system mechanizmów autoryzacji istnieje możliwość autoryzacji poprzez usługi katalogowe (LDAP, NDS, AD).

Wymagania systemowe (serwer):

  • Usługa serwera HTTP z obsługą języka skryptowego PHP (preferowany serwer Apache 2.0.x lub 2.2.x
  • Język skryptowy PHP w wersji 5.2 lub wyższej
  • Zainstalowane moduły PHP (php_ldap, php_mbstring, php_pgsql, iconv, json)
  • Baza danych PostgreSQL 8.3 lub wyższej z obsługą języka PLpg/SQL

Wymagania sprzętowe (serwer):

  • Intel Pentium 1,2 GHz i powyżej (lub równoważne)
  • Minimum 500MB wolnego miejsca na dysku twardym
  • 2048 MB pamięci RAM.

Wymagania systemowe (klient):

  • Przeglądarka internetowa Firefox 2.x lub wyższa
  • Przeglądarka internetowa Internet Explorer 6.x lub wyższa
Powrót do góry