Oferta szczegółowa

Oferta szczegółowa

Zarządzanie ryzykiem.

Identyfikacja, analiza, mitygacja.

Ochrona informacji - Optymalizacja procesów - Doradztwo

Zobacz jak możemy Ci pomóc!

WDROŻENIE PROCESU ZARZĄDZANIA RYZYKIEM W ORGANIZACJI (ENTERPRISE RISK MANAGEMENT - ERM)

Usługa:

  • Wdrożenie procesu zarządzania ryzykiem w organizacji oraz jego kontrolę przez kierownictwo firmy wraz z formalnym opisem.

  • Przegląd procesu zarządzania ryzykiem.

Wartość dla organizacji:

  • Wprowadzeni formalnego i świadomego zarządzania ryzykiem w organizacji.

  • Spojrzenie z zewnątrz organizacji na procesy w organizacji.

  • Odciążenie zasobów własnych organizacji od zadań nie będących podstawą realizowanego biznesu.

Celem wykonania usługi jest:

  • Stworzenie całościowego podejście do zarządzania bezpieczeństwem w organizacji poprzez wprowadzenie procesu zarządzania ryzykiem, które pozwala zidentyfikować i zarządzać zagrożeniami mającymi istotny wpływ na zachowanie ciągłości działania firmy oraz eliminować ryzyka mniejszego rzędu cechujące się znacznym prawdopodobieństwem wystąpienia lub pojawiające się okresowo w organizacji.

Wynik końcowy:

  • Wdrożony i sformalizowany proces oceny ryzyka. Mierzony i kontrolowany poziom zagrożeń.

Zakres działania:

Etapowe podejście do wdrożenia procesu zarządzania ryzykiem w organizacji.

Pierwszy etap obejmuje "budowania świadomości" w organizacji:

  1. Szkolenie dla kierownictwa firmy w celu przedstawienia procesu zarządzania ryzykiem.

  2. Określenie strategii firmy w stosunku do zarządzania ryzykiem na podstawie informacji przekazanej przez kierownictwo firmy.

  3. Utworzenia zespołu zarządzania ryzykiem w firmie, zakresu jego głównych zadań, w tym zadań managera ryzyka.

  4. Analiza sytuacji firmy i jej otoczenia.

  5. Identyfikacja obszarów występujących aktualnie ryzyk.

  6. Specyfikację występujących grup ryzyk (lista grup ryzyk, komentarz do wymagających tego pozycji listy).

  7. Oszacowanie wpływu poszczególnych grup ryzyk i wybór, we współpracy z kierownictwem firmy trzech grup ryzyk, mających największy wpływ na możliwość przerwania ciągłości działania firmy.

  8. Opracowanie procedur zarządzania wybranymi ryzykami, zgodnie z najlepszymi praktykami zarządzania ryzykiem.

  9. Opracowanie procedury zarządzania sytuacją awaryjną oraz procedury powołania zespołu zarządzania sytuacją kryzysową.

Kolejne etapy to:

  1. Szczegółowa analiza ryzyk wymienionych w specyfikacji, a nie opracowywanych w etapie pierwszym.

  2. Wprowadzenie procedur zarządzania ryzykami z ww. punktu.

  3. Szkolenie dla całej załogi - nauka zarządzania ryzykiem na własnym stanowisku pracy.

  4. Średnioterminowe planowanie ryzyk związanych z planami strategicznymi firmy (np. na najbliższe 3 lata) i tworzenie wyprzedzających procedur zarządzania tymi ryzykami.

  5. Inne, które ujawnią się podczas pracy nad ww. tematem.

  6. Stworzenie harmonogramu kontroli działań zespołu zarządzania ryzykiem i menedżera ryzyka przez management firmy w celu zapewnienia funkcjonowania zarządzania ryzykiem, jako procesu ciągłego w firmie.

WYKONYWANIE FUNKCJI MENEDŻERA RYZYKA (RISK MANAGERA) W FIRMIE

Usługa:

  • Obsługa organizacji jako niezależny, zewnętrzny ekspert i menadżer zarządzający procesem zarządzania ryzykiem.

Wartość dla organizacji:

  • Kontrola proces zarządzania ryzykiem w organizacji przez niezależnego specjalistę.

  • Szersza perspektywa na proces zarządzania ryzykiem.

  • Odciążenie własnych zasobów.

Cel wykonania usługi jest:

  • Sprawowanie funkcji menedżera ryzyka w organizacji, zapewnienie niezależnego od struktur wewnętrznych spojrzenia na występujące w organizacji ryzyko, wykorzystanie specjalistów z dziedziny zarządzania ryzykiem, całościowe podejście do stosowania procesu zarządzania ryzykiem, tak aby sprawnie działał cały ciągły proces zarządzania ryzykiem.

Wynik końcowy :

  • Sprawnie działający proces zarządzania ryzykiem w firmie w oparciu o wcześniej wprowadzone procedury zarządzania ryzykiem.

Zakres działania:

Zapoznanie się z istniejącymi w firmie procedurami zarządzania ryzykiem

  1. Współpraca w zakresie realizacji ww. procedur z:

      • kierownictwem firmy,

      • szefami poszczególnych działów: personalnego, organizacji i administracji, informatycznego, marketingu,logistyki, inwestycji i rozwoju, ekonomicznego, operacyjnego i produkcji, kontroli wewnętrznej,

      • innymi,

  2. Stała współpraca z zespołem zarządzania ryzykiem w firmie,

  3. Stała kontrola otoczenia wewnętrznego i zewnętrznego firmy,

  4. Proponowanie zmian do istniejących procedur zarządzania ryzykiem.

WDRAŻANIE BEZPIECZEŃSTWA INFORMACJI W ORGANIZACJI (WŁĄCZAJĄC BEZPIECZEŃSTWO DANYCH OSOBOWYCH) / PROCEDURY ZARZĄDZANIA RYZYKIEM ZWIĄZANYM Z BEZPIECZEŃSTWEM INFORMACJI W FIRMIE

Usługa:

    • Wdrożenie procedur i procesu zarządzania bezpieczeństwem informacji w organizacji.

Wartość dla organizacji:

  • Podniesienie bezpieczeństwa firmy w zakresie bezpieczeństwa i ochrony informacji.

  • Zapewnienie stałej kontroli znanych i zarządzanie nowymi ryzykami.

Cel wykonania usługi jest:

    • Wprowadzenie procesu zarządzania ryzykiem, tak aby zarządzanie ryzykiem było wykonywane na każdym stanowisku pracy oraz z perspektywy poszczególnych działów i całej organizacji.

Wynik końcowy :

    • Zestaw wytycznych i procedur zarządzania ryzykiem bezpieczeństwa informacji dostosowanych do specyfiki organizacji, powołanie zespołu do zarządzania ryzykiem oraz określenie jego zadań, w tym zespołu zarządzania sytuacją kryzysową, plan awaryjny oraz planu ciągłości działania.

Zakres działania:

  • Szkolenie dla kierownictwa i pracowników obejmujące proces zarządzania ryzykiem w firmie.

  • Zdefiniowanie strategii i założeń managementu firmy w zakresie zarządzania ryzykiem.

  • Określenie akceptowalnego poziomu kosztów kontroli ryzyka.

  • Ocena wartości aktywów i wpływu ryzyka na organizację.

  • Rekomendacje dotyczące kontroli ryzyka poprzez: eliminację, minimalizację wpływu, transfer, akceptację, redukcję.

  • Proces redukcji ryzyka: planowanie i organizację zarządzania ryzykiem, wdrażanie zabezpieczeń techniczne, organizacyjnych i fizycznych, działania prewencyjne, szkolenia.

  • Przewidywanie sytuacji kryzysowych i tworzenie planów ciągłości działania oraz planów awaryjnych.

  • Stała współpraca zespołu zarządzania ryzykiem z managementem firmy.

  • Szkolenia końcowe i wdrażające.

  • Wdrażanie procedur i zabezpieczeń technicznych.

  • Audit wewnętrzny zgodności z wprowadzonymi procedurami.

AUDIT ZGODNOŚCI Z USTAWĄ O OCHRONIE DANYCH OSOBOWYCH

Usługa:

    • Ocena zgodności systemu informatycznego organizacji z ustawą o ochronie danych osobowych. Przygotowanie planu naprawczego.

Wartość dla organizacji:

    • Raport końcowy z wykonania ww. usługi będzie podstawą do podjęcia decyzji strategicznych w firmie dot. bezpieczeństwa danych osobowych i ew. do zlecenia pełnej oceny ryzyka i konsultacji w zakresie napisania polityki bezpieczeństwa.

Cel wykonania usługi jest:

    • Ustalenie rozbieżności pomiędzy wymaganiami Ustawy o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 z późn. zmianami, a faktyczną sytuacją w organizacji, określenie jakiej dokumentacji i istniejących procedur brakuje, wskazanie słabych punktów ochrony danych w oparciu o wymagania Ustawy.

Wynik końcowy :

    • Raport przedstawiający stan faktyczny, obszary zgodności oraz zakres rozbieżności obowiązujących firmie procesów z wymogami ustawy i wytycznymi technicznymi przedstawionymi przez GIODO.

Zakres działania:

    • Identyfikacja zbiorów danych osobowych istniejących w firmie.

    • Identyfikacja podstaw prawnych do przetwarzania danych osobowych, weryfikacja czy istnieje obowiązek zgłaszania ich do GIODO.

    • Identyfikacja programów do obsługi zbiorów danych osobowych.

    • Określenie przepływów danych pomiędzy zbiorami danych w obsługujących je programach.

    • Weryfikacja obowiązku informowania właścicieli danych osobowych o posiadanym zbiorze.

    • Weryfikacja zasad udostępniania danych osobowych.

    • Weryfikacja wykazu firm i osób którym powierzono przetwarzanie danych osobowych (podstawa prawna, zapisy umowne i spełnienie obowiązku zabezpieczenia danych osobowych).

    • Ocena ryzyka w zakresie naruszenia bezpieczeństwa danych osobowych.

    • Weryfikacja zabezpieczeń technicznych i organizacyjnych zabezpieczanych danych osobowych.

    • Weryfikacja zabezpieczeń technicznych, informatycznych i organizacyjnych wymaganych przez przepisy prawa (dotyczących tylko i wyłącznie ochrony danych osobowych).

    • Weryfikacja istniejącej dokumentacji :polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym oraz kompletność tej dokumentacji.

    • Weryfikacja świadomości pracowników i współpracowników w zakresie ochrony danych osobowych (odbyte szkolenia, stosowanie się do wprowadzonych zaleceń, oświadczenia pracowników dotyczących ochrony danych osobowych).

DORADZTWO PRZY OPRACOWANIU DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH I INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Usługa:

    • Doradztwo w zakresie opracowania i wdrożenia dokumentacji polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym.

Wartość dla organizacji:

    • Wykorzystanie wiedzy i doświadczenia zewnętrznych ekspertów.

    • Szybsze powstanie dokumentów.

    • Odciążenie organizacji od zadania.

Cel wykonania usługi jest:

    • Pomoc w udokumentowaniu polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym w oparciu o standardy dokumentacji organizacji, specyfikę działalności organizacji i systemu informatycznego oraz profesjonalna ocena ryzyka. Propozycja zabezpieczeń technicznych (mechanicznych i elektroniczno-informatycznych), organizacyjnych. Wspomniane dokumenty wymagane są zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004.

Wynik końcowy :

    • Proponowany dokument polityki bezpieczeństwa i instrukcja zarządzania systemem informatycznym z załącznikami.

    • Przeszkolenie pracowników.

    • Pomoc w uzupełnieniu pozostałej dokumentacji oraz we wdrożeniu procesu ochrony danych osobowych.

Zakres działania:

  • Audit zgodności systemu informatycznego organizacji z ustawą o ochronie danych osobowych. ocena ryzyka naruszenia bezpieczeństwa danych osobowych.

  • Zalecenia stosowania procedur wewnętrznych i propozycje treści dokumentów dot. spraw organizacyjnych wewnątrz firmy.

  • Zalecenia i propozycje dotyczące rozwiązań technicznych, projekty:

    • informatyczne,

    • mechaniczne,

    • elektroniczne,

    • fizyczne,

    • organizacyjne.

  • Doradztwo i pomoc przy opracowaniu treści wymaganych prawem ww. dokumentów wraz z załącznikami.

  • Doradztwo we wdrożeniu wszystkich ww. dokumentów, procedur i rozwiązań technicznych.

  • Szkolenia dla pracowników i współpracowników na temat ochrony danych osobowych.

SZACOWANIE RYZYKA ZGODNIE Z WYMAGANIAMI NORMY ISO/IEC 27001

Usługa:

Ocena zagrożeń dla organizacji pod kątem normy ISO 27001, rekomendacje działań korygujących niezgodność z normą.

Wartość dla organizacji:

    • Identyfikacja zasobów organizacji i ich wartości dla organizacji.

    • Identyfikacja zagrożeń oraz działań zmniejszających prawdopodobieństwo wystawienia zdarzeń naruszających bezpieczeństwo aktywów.

Cel wykonania usługi jest:

  • Oszacowanie ryzyk związanych z bezpieczeństwem informacji, zgodnie z normą ISO/IEC 27001, propozycja działań redukujących ryzyko, wdrożenie procesu zarządzania ryzykiem.

Wynik końcowy:

  • Określenie zagrożeń, podatności i ich wpływu na utratę poufności, integralności i dostępności informacji dla organizacji. Oszacowanie wielkości strat organizacji, określenie poziomu ryzyka. Przedstawienie planu działań ograniczających wpływ ryzyka.

Zakres działania:

  • Identyfikacja aktywów znajdujących się w zakresie systemu zarządzania bezpieczeństwem informacji i właścicieli tych aktywów.

  • Identyfikacja procesów w organizacji w ramach których aktywa są wykorzystywane.

  • Identyfikacja ryzyk i ich wpływu na organizację pod kątem utraty poufności, integralności i dostępności aktywów.

  • Oszacowanie prawdopodobieństwa wystąpienia zdarzeń naruszających bezpieczeństwo aktywów.

  • Propozycja wariantów postępowania z ryzykiem i ryzykiem szczątkowym.

TESTY PENETRACYJNE - SZCZEGÓŁOWY PLAN DZIAŁANIA.

1. Etap przygotowawczy - przygotowanie wstępnego harmonogramu zawierającego zakres prac:

  • określenie typu testów - white box (ze znajomością konfiguracji systemu) / black box (bez znajomości budowy i konfiguracji systemu).

  • zebranie i analiza dokumentacji i wymagań,

  • określenie systemów krytycznych dla funkcjonowania organizacji,

  • przygotowanie zakresu i harmonogramu testów,

  • potwierdzenie zakresu i harmonogramu z klientem.

2. Przegląd dokumentacji systemu, zapoznanie się z badanym systemem, w tym identyfikacja istniejących ryzyk, mechanizmy ograniczające, określenie narzędzi niezbędnych do przeprowadzenia skanowania.

Dostarczona dokumentacja powinna zawierać:

  • protokoły oraz procedury instalacyjne poszczególnych serwerów i aplikacji,

  • adresacja IP i schemat komunikacji sieciowej w systemie - przepływ danych,

  • informację dotyczącą otwartych portów TCP/UDP z informacją o procesach nasłuchujących,

  • konfiguracja istotnych procesów i parametrów systemu,

  • reguły programowe urządzeń filtrujących.

3. Testy penetracyjne środowiska - (z wewnątrz sieci i zewnętrzne) w tym inwentaryzacja systemów i aplikacji widocznych z sieci zewnętrznej i wewnętrznej, identyfikację zasobów systemu. Testy penetracyjne obejmują:

  • Wstępny przegląd sieci:

  • weryfikacja odpowiedzi DNS,

  • weryfikacja sieci metodami typu traceroute,

  • poszukiwanie wycieków informacji w architekturze sieci (np. w źródłach serwisów WWW i w nagłówkach e-mail),

  • pasywna analiza ruchu sieciowego.

  • Skanowanie sieci:

  • badanie ścieżki dostępu do skanowanego obiektu (pakiety ICMP, traceroute, inne),

  • próby ominięcia zapory firewall,

  • poszukiwanie aktywnych systemów,

  • poszukiwaniu otwartych portów.

  • Identyfikacja usług:

  • identyfikacja według numeru portu,

  • analiza nagłówków serwisu,

  • wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet),

  • wykrycie i analiza zbędnych komponentów serwisów.

  • Identyfikacja systemów:

  • stack fingerprinting,

  • passive fingerprinting.

  • wyciągnięcie wniosków z rezultatów identyfikowanych usług.

  • Badania zidentyfikowanych uprzednio ryzyk oraz wykrywanie potencjalnych nowych zagrożeń i ich weryfikacja:

  • wdrożonych metod kontroli przepływu danych oraz ochrony usług,

  • identyfikacja możliwości eskalacji przywilejów, pozyskania danych oraz ataków Dos,

  • próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług,

  • analiza bezpieczeństwa skanerami automatycznymi.

4. Analiza wyników - zebranie informacji, określenie rekomendacji i przygotowanie raportu z badania.

Zebrany raport zawiera:

  • całościową ocenę bezpieczeństwa systemu informatycznego,

  • analiza ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami,

  • rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa,

  • wnioski i wytyczne do wykorzystania podczas kolejnych testów.

Definicje:

Ryzyko: potencjalna możliwość oddziaływania zagrożenia na podatności danego elementu aktywów w sposób wyrządzający szkodę organizacji. Miarą ryzyka jest połączenie prawdopodobieństwa wystąpienia zdarzenia i jego skutków.

Analiza ryzyka: systematyczne wykorzystanie informacji w celu identyfikowania źródeł ryzyka i szacowania jego poziomu (ISO/IEC Guide 73:2002)

Szacowanie ryzyka: jest całościowym procesem służącym do zidentyfikowania źródeł ryzyka, oszacowania wielkości ryzyka oraz porównywania oszacowanej wielkości ryzyka z zadanymi kryteriami w celu określenia wpływu ryzyka na badaną organizację. (całość procesu analizy ryzyka i oceny ryzyka ISO/IEC Guide 73:2002)

Zarządzanie ryzykiem: to ogół czynności które musi podjąć organizacja aby kontrolować ryzyka na jakie jest narażona, zmniejszyć wpływ ryzyka na jej funkcjonowanie i podejmować optymalne decyzje co do kosztów ochrony przed wpływem ryzyka na działanie organizacji.

Menedżer ryzyka: osoba nadzorująca ogół czynności jakie musi podjąć firma, aby zarządzać ryzykiem na jakie jest narażona organizacja, w tym obniżać stopień wpływu ryzyka na funkcjonowanie organizacji przy współpracy z kierownictwem firmy.

Polityka bezpieczeństwa: dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w jakiejkolwiek formie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

  • sposób przepływu danych pomiędzy poszczególnymi systemami;

  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym: instrukcja określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych : dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w formie elektronicznej, jako dodatkowy do polityki bezpieczeństwa i spójny z polityką bezpieczeństwa - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

  • sposób, miejsce i okres przechowywania:

    • elektronicznych nośników informacji zawierających dane osobowe,

    • kopii zapasowych, o których mowa w pkt 4,

  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III pod punkt 1 załącznika do rozporządzenia;

  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.