Analiza ryzyka to określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu i podejmowanie odpowiednich środków przeciwdziałania i minimalizacji ryzyka. Pozwala na określenie poziomu ryzyka w sposób jakościowy i ilościowy dzięki czemu mogą zostać przeprowadzane działania zapobiegawcze lub działania polegające na jego eliminacji. Szacowanie ryzyka wymaga systematycznych działań polegających na analizie:
Proces przeprowadzania analizy ryzyka składa się z następujących zadań:
W wyniku prac wykonanych podczas procesu analizy ryzyka jest Raport z analizy ryzyka oraz Plan postępowania z ryzykiem, określający sposób traktowania ryzyka przez firmę.
Powrót do górySkuteczne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w oparciu o wymagania PN-ISO/IEC 27001:2007 uzależnione jest od doboru metodyki szacowania ryzyka i prawidłowego przeprowadzenia procesu szacowania. Właściwa identyfikacja aktywów, ich podatności, zagrożeń z nimi związanych oraz odpowiednie oszacowanie ryzyka w odniesieniu do poufności, integralności i dostępności umożliwia dobór adekwatnych zabezpieczeń.
Duża ilość aktywów i zagrożeń z nimi związanych, oraz uczestnictwo w ocenie ryzyka grupy osób powoduje, że proces szacowania ryzyka tradycyjnymi metodami staje się bardzo skomplikowany. Dlatego proponujemy wsparcie procesu szacowania ryzykiem systemem RAW.
System RAW (Risk Analysis for Workgroups) to zaawansowane narzędzie do oceny ryzyka, wspierające projektowanie i wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji (Information Security Management System - ISMS) zgodnie z normą PN-ISO/IEC 27001:2007. System RAW definiuje podejście do szacowania ryzyka w organizacji i jest w pełni zgodny z wytycznymi normy PN-ISO/IEC 27001:2007 oraz PN-ISO/IEC 27005:2010 „Zarządzanie Ryzykiem w Bezpieczeństwie Informacji” (Information Security Risk Mangement –ISRM).
Dzięki unikalnej metodyce RAW szacowanie ryzyka odbywa się krok po kroku, a zdefiniowane role umożliwiają udział w procesie najbardziej adekwatnych osób – począwszy od przedstawicieli o charakterze biznesowym, poprzez właścicieli aktywu do specjalistów w zakresie bezpieczeństwa czy konsultantów/audytorów. Dla każdej z ról zdefiniowany jest profil funkcjonalności systemu, co umożliwia zarządzania odpowiedzialnością w procesie szacowania ryzyka. Umożliwia też zewnętrznym organizacjom (np. jednostkom certyfikującym) prześledzenie procesu szacowania ryzyka w kluczowych momentach. System RAW może być dostosowany do spełnienia wymagań organizacji. Dotyczy to zarówno kryteriów szacowania ryzyka, funkcji agregujących wyniki, doboru aktywów, zagrożeń, podatności jak i zdefiniowania własnych pojęć w odniesieniu do dostępnych w systemie funkcji i nazw (edytowalne słowniki funkcji i nazw), czy customizacji dokumentacji będących wynikiem analizy ryzyka (Raport z Analizy Ryzyka, Plan Postępowania z Ryzykiem).
Wyniki szacowania ryzyka umożliwiają wygenerowanie dokumentów Raportu z Analizy Ryzyka i Planu Postępowania z Ryzykiem stanowiących jedno z podstawowych wymagań co do dokumentacji zdefiniowanej w normie PN-ISO/IEC 27001:2007.
System RAW zbudowany jest w oparciu o architekturę klient-serwer, gdzie serwerem jest usługa HTTP, a klientem jest przeglądarką internetowa na stacji roboczej. Oprócz wbudowanych w system mechanizmów autoryzacji istnieje możliwość autoryzacji poprzez usługi katalogowe (LDAP, NDS, AD).
Wymagania systemowe (serwer):
Wymagania sprzętowe (serwer):
Wymagania systemowe (klient):
© 2008-2012 by CAISMS.
Wszelkie prawa zastrzeżone.