Oferta szczegółowa

Zarządzanie ryzykiem.
Identyfikacja, analiza, mitygacja.
Ochrona informacji - Optymalizacja procesów - Doradztwo
Zobacz jak możemy Ci pomóc!

WDROŻENIE PROCESU ZARZĄDZANIA RYZYKIEM W ORGANIZACJI (ENTERPRISE RISK MANAGEMENT - ERM)

Usługa:

  • Wdrożenie procesu zarządzania ryzykiem w organizacji oraz jego kontrolę przez kierownictwo firmy wraz z formalnym opisem.
  • Przegląd procesu zarządzania ryzykiem.

Wartość dla organizacji:  

  • Wprowadzeni formalnego i świadomego zarządzania ryzykiem w organizacji.
  • Spojrzenie z zewnątrz organizacji na procesy w organizacji.
  • Odciążenie zasobów własnych organizacji od zadań nie będących podstawą realizowanego biznesu.

Celem wykonania usługi jest:

  • Stworzenie całościowego podejście do zarządzania bezpieczeństwem w organizacji poprzez wprowadzenie procesu zarządzania ryzykiem, które pozwala zidentyfikować i zarządzać zagrożeniami mającymi istotny wpływ na zachowanie ciągłości działania firmy oraz eliminować ryzyka mniejszego rzędu cechujące się znacznym prawdopodobieństwem wystąpienia lub pojawiające się okresowo w organizacji.

Wynik końcowy:

  • Wdrożony i sformalizowany proces oceny ryzyka. Mierzony i kontrolowany poziom zagrożeń.

Zakres działania:

Etapowe podejście do wdrożenia procesu zarządzania ryzykiem w organizacji.

Pierwszy etap obejmuje "budowania świadomości" w organizacji:

  1. Szkolenie dla kierownictwa firmy w celu przedstawienia procesu zarządzania ryzykiem.
  2. Określenie strategii firmy w stosunku do zarządzania ryzykiem na podstawie informacji przekazanej przez kierownictwo firmy.
  3. Utworzenia zespołu zarządzania ryzykiem w firmie, zakresu jego głównych zadań, w tym zadań managera ryzyka.
  4. Analiza sytuacji firmy i jej otoczenia.
  5. Identyfikacja obszarów występujących aktualnie ryzyk.
  6. Specyfikację występujących grup ryzyk (lista grup ryzyk, komentarz do wymagających tego pozycji listy).
  7. Oszacowanie wpływu poszczególnych grup ryzyk i wybór, we współpracy z kierownictwem firmy trzech grup ryzyk, mających największy wpływ na możliwość przerwania ciągłości działania firmy.
  8. Opracowanie procedur zarządzania wybranymi ryzykami, zgodnie z najlepszymi praktykami zarządzania ryzykiem.
  9. Opracowanie procedury zarządzania sytuacją awaryjną oraz procedury powołania zespołu zarządzania sytuacją kryzysową.

Kolejne etapy to:

  1. Szczegółowa analiza ryzyk wymienionych w specyfikacji, a nie opracowywanych w etapie pierwszym.
  2. Wprowadzenie procedur zarządzania ryzykami z ww. punktu.
  3. Szkolenie dla całej załogi - nauka zarządzania ryzykiem na własnym stanowisku pracy.
  4. Średnioterminowe planowanie ryzyk związanych z planami strategicznymi firmy (np. na najbliższe 3 lata) i tworzenie wyprzedzających procedur zarządzania tymi ryzykami.
  5. Inne, które ujawnią się podczas pracy nad ww. tematem.
  6. Stworzenie harmonogramu kontroli działań zespołu zarządzania ryzykiem i menedżera ryzyka przez management firmy w celu zapewnienia funkcjonowania zarządzania ryzykiem, jako procesu ciągłego w firmie.

Powrót do początku strony


WYKONYWANIE FUNKCJI MENEDŻERA RYZYKA (RISK MANAGERA) W FIRMIE

Usługa:

  • Obsługa organizacji jako niezależny, zewnętrzny ekspert i menadżer zarządzający procesem zarządzania ryzykiem.

Wartość dla organizacji:

  • Kontrola proces zarządzania ryzykiem w organizacji przez niezależnego specjalistę.
  • Szersza perspektywa na proces zarządzania ryzykiem.
  • Odciążenie własnych zasobów. 

Cel wykonania usługi jest:

  • Sprawowanie funkcji menedżera ryzyka w organizacji, zapewnienie niezależnego od struktur wewnętrznych spojrzenia na występujące w organizacji ryzyko, wykorzystanie specjalistów z dziedziny zarządzania ryzykiem, całościowe podejście do stosowania procesu zarządzania ryzykiem, tak aby sprawnie działał cały ciągły proces zarządzania ryzykiem.

Wynik końcowy :

  • Sprawnie działający proces zarządzania ryzykiem w firmie w oparciu o wcześniej wprowadzone procedury zarządzania ryzykiem.

Zakres działania:

Zapoznanie się z istniejącymi w firmie procedurami zarządzania ryzykiem
  1. Współpraca w zakresie realizacji ww. procedur z:
    • kierownictwem firmy,
    • szefami poszczególnych działów: personalnego, organizacji i administracji, informatycznego, marketingu,logistyki, inwestycji i rozwoju, ekonomicznego, operacyjnego i produkcji, kontroli wewnętrznej, 
    • innymi,
  2. Stała współpraca z zespołem zarządzania ryzykiem w firmie,
  3. Stała kontrola otoczenia wewnętrznego i zewnętrznego firmy,
  4. Proponowanie zmian do istniejących procedur zarządzania ryzykiem. 

 

Powrót do początku strony

 

 

WDRAŻANIE BEZPIECZEŃSTWA INFORMACJI W ORGANIZACJI (WŁĄCZAJĄC BEZPIECZEŃSTWO DANYCH OSOBOWYCH) / PROCEDURY ZARZĄDZANIA RYZYKIEM ZWIĄZANYM Z BEZPIECZEŃSTWEM INFORMACJI W FIRMIE


Usługa:

  • Wdrożenie procedur i procesu zarządzania bezpieczeństwem informacji w organizacji.

Wartość dla organizacji:  

  • Podniesienie bezpieczeństwa firmy w zakresie bezpieczeństwa i ochrony informacji.
  • Zapewnienie stałej kontroli znanych i zarządzanie nowymi ryzykami.

Cel wykonania usługi jest:

  • Wprowadzenie procesu zarządzania ryzykiem, tak aby zarządzanie ryzykiem było wykonywane na każdym stanowisku pracy oraz z perspektywy poszczególnych działów i całej organizacji.

Wynik końcowy :

  • Zestaw wytycznych i procedur zarządzania ryzykiem bezpieczeństwa informacji dostosowanych do specyfiki organizacji, powołanie zespołu do zarządzania ryzykiem oraz określenie jego zadań, w tym zespołu zarządzania sytuacją kryzysową, plan awaryjny oraz planu ciągłości działania. 

Zakres działania:

  • Szkolenie dla kierownictwa i pracowników obejmujące proces zarządzania ryzykiem w firmie.
  • Zdefiniowanie strategii i założeń managementu firmy w zakresie zarządzania ryzykiem.
  • Określenie akceptowalnego poziomu kosztów kontroli ryzyka.
  • Ocena wartości aktywów i wpływu ryzyka na organizację.
  • Rekomendacje dotyczące kontroli ryzyka poprzez: eliminację, minimalizację wpływu, transfer, akceptację, redukcję.
  • Proces redukcji ryzyka: planowanie i organizację  zarządzania ryzykiem, wdrażanie zabezpieczeń techniczne, organizacyjnych i fizycznych, działania prewencyjne, szkolenia.
  • Przewidywanie sytuacji kryzysowych i tworzenie planów ciągłości działania oraz planów awaryjnych.
  • Stała współpraca zespołu zarządzania ryzykiem z managementem firmy.
  • Szkolenia końcowe i wdrażające.
  • Wdrażanie procedur i zabezpieczeń technicznych.
  • Audit wewnętrzny zgodności z wprowadzonymi procedurami.

 

Powrót do początku strony


 

AUDIT ZGODNOŚCI Z USTAWĄ O OCHRONIE DANYCH OSOBOWYCH

Usługa:

  • Ocena zgodności systemu informatycznego organizacji z ustawą o ochronie danych osobowych. Przygotowanie planu naprawczego.

Wartość dla organizacji:  

  • Raport końcowy z wykonania ww. usługi będzie podstawą do podjęcia decyzji strategicznych w firmie dot. bezpieczeństwa danych osobowych i ew. do zlecenia pełnej oceny ryzyka i konsultacji w zakresie napisania polityki bezpieczeństwa.

Cel wykonania usługi jest:

  • Ustalenie rozbieżności pomiędzy wymaganiami Ustawy o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 z późn. zmianami, a faktyczną sytuacją w organizacji, określenie jakiej dokumentacji i istniejących procedur brakuje, wskazanie słabych punktów ochrony danych w oparciu o wymagania Ustawy. 

Wynik końcowy :

  • Raport przedstawiający stan faktyczny, obszary zgodności oraz zakres rozbieżności obowiązujących firmie procesów z wymogami ustawy i wytycznymi technicznymi przedstawionymi przez GIODO.

Zakres działania:

  • Identyfikacja zbiorów danych osobowych istniejących w firmie.
  • Identyfikacja podstaw prawnych do przetwarzania danych osobowych, weryfikacja czy istnieje obowiązek zgłaszania ich do GIODO.
  • Identyfikacja programów do obsługi zbiorów danych osobowych.
  • Określenie przepływów danych pomiędzy zbiorami danych w obsługujących je programach.
  • Weryfikacja obowiązku informowania właścicieli danych osobowych o posiadanym zbiorze.
  • Weryfikacja zasad udostępniania danych osobowych.
  • Weryfikacja wykazu firm i osób którym powierzono przetwarzanie danych osobowych (podstawa prawna, zapisy umowne i spełnienie obowiązku zabezpieczenia danych osobowych).
  • Ocena ryzyka w zakresie naruszenia bezpieczeństwa danych osobowych.
  • Weryfikacja zabezpieczeń technicznych i organizacyjnych zabezpieczanych danych osobowych.
  • Weryfikacja zabezpieczeń technicznych, informatycznych i organizacyjnych wymaganych przez przepisy prawa (dotyczących tylko i wyłącznie ochrony danych osobowych).
  • Weryfikacja istniejącej dokumentacji :polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym oraz kompletność tej dokumentacji.
  • Weryfikacja świadomości pracowników i współpracowników w zakresie ochrony danych osobowych (odbyte szkolenia, stosowanie się do wprowadzonych zaleceń, oświadczenia pracowników dotyczących ochrony danych osobowych).

 

Powrót do początku strony

 

 

DORADZTWO PRZY OPRACOWANIU DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH I INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Usługa

  • Doradztwo w zakresie opracowania i wdrożenia dokumentacji polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym.

Wartość dla organizacji:  

  • Wykorzystanie wiedzy i doświadczenia zewnętrznych ekspertów.
  • Szybsze powstanie dokumentów.
  • Odciążenie organizacji od zadania.

Cel wykonania usługi jest:

  • Pomoc w udokumentowaniu polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym w oparciu o standardy dokumentacji organizacji, specyfikę działalności organizacji i systemu informatycznego oraz profesjonalna ocena ryzyka. Propozycja zabezpieczeń technicznych (mechanicznych i elektroniczno-informatycznych), organizacyjnych. Wspomniane dokumenty wymagane są zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004.

Wynik końcowy :

  • Proponowany dokument polityki bezpieczeństwa i instrukcja zarządzania systemem informatycznym z załącznikami.
  • Przeszkolenie pracowników.
  • Pomoc w uzupełnieniu pozostałej dokumentacji oraz we wdrożeniu procesu ochrony danych osobowych.

Zakres działania:

  • Audit zgodności systemu informatycznego organizacji z ustawą o ochronie danych osobowych. ocena ryzyka naruszenia bezpieczeństwa danych osobowych.
  • Zalecenia stosowania procedur wewnętrznych i propozycje treści dokumentów dot. spraw organizacyjnych wewnątrz firmy.
  • Zalecenia i propozycje dotyczące rozwiązań technicznych, projekty:
    • informatyczne,
    • mechaniczne,
    • elektroniczne,
    • fizyczne,
    • organizacyjne.
  • Doradztwo i pomoc przy opracowaniu treści wymaganych prawem ww. dokumentów wraz z załącznikami.
  • Doradztwo we wdrożeniu wszystkich ww. dokumentów, procedur i rozwiązań technicznych.
  • Szkolenia dla pracowników i współpracowników na temat ochrony danych osobowych.

 

Powrót do początku strony

 

SZACOWANIE RYZYKA ZGODNIE Z WYMAGANIAMI NORMY ISO/IEC 27001 

Usługa:

Ocena zagrożeń dla organizacji pod kątem normy ISO 27001, rekomendacje działań korygujących niezgodność z normą. 

Wartość dla organizacji:  

  • Identyfikacja zasobów organizacji i ich wartości dla organizacji.
  • Identyfikacja zagrożeń oraz działań zmniejszających prawdopodobieństwo wystawienia zdarzeń naruszających bezpieczeństwo aktywów. 

Cel wykonania usługi jest:

  • Oszacowanie ryzyk związanych z bezpieczeństwem informacji, zgodnie z normą ISO/IEC 27001, propozycja działań redukujących ryzyko, wdrożenie procesu zarządzania ryzykiem.

Wynik końcowy:

  • Określenie zagrożeń, podatności i ich wpływu na utratę poufności, integralności i dostępności informacji dla organizacji. Oszacowanie wielkości strat organizacji, określenie poziomu ryzyka. Przedstawienie planu działań ograniczających wpływ ryzyka.

Zakres działania:

  • Identyfikacja aktywów znajdujących się w zakresie systemu zarządzania bezpieczeństwem informacji i właścicieli tych aktywów.
  • Identyfikacja procesów w organizacji w ramach których aktywa są wykorzystywane.
  • Identyfikacja ryzyk i ich wpływu na organizację pod kątem utraty poufności, integralności i dostępności aktywów.
  • Oszacowanie prawdopodobieństwa wystąpienia zdarzeń naruszających bezpieczeństwo aktywów.
  • Propozycja wariantów postępowania z ryzykiem i ryzykiem szczątkowym. 


Powrót do początku strony

 

TESTY PENETRACYJNE - SZCZEGÓŁOWY PLAN DZIAŁANIA.

1. Etap przygotowawczy - przygotowanie wstępnego harmonogramu zawierającego zakres prac:

  • określenie typu testów - white box (ze znajomością konfiguracji systemu) / black box (bez znajomości budowy i konfiguracji systemu).
  • zebranie i analiza dokumentacji i wymagań,
  • określenie systemów krytycznych dla funkcjonowania organizacji,
  • przygotowanie zakresu i harmonogramu testów,
  • potwierdzenie zakresu i harmonogramu z klientem.

2. Przegląd dokumentacji systemu, zapoznanie się z badanym systemem, w tym identyfikacja istniejących ryzyk, mechanizmy ograniczające, określenie narzędzi niezbędnych do przeprowadzenia skanowania.

Dostarczona dokumentacja powinna zawierać:
  • protokoły oraz procedury instalacyjne poszczególnych serwerów i aplikacji,
  • adresacja IP i schemat komunikacji sieciowej w systemie - przepływ danych,
  • informację dotyczącą otwartych portów TCP/UDP z informacją o procesach nasłuchujących,
  • konfiguracja istotnych procesów i parametrów systemu,
  • reguły programowe urządzeń filtrujących.

3. Testy penetracyjne środowiska - (z wewnątrz sieci i zewnętrzne) w tym inwentaryzacja systemów i aplikacji widocznych z sieci zewnętrznej i wewnętrznej, identyfikację zasobów systemu. Testy penetracyjne obejmują:

  • Wstępny przegląd sieci:
  • weryfikacja odpowiedzi DNS,
  • weryfikacja sieci metodami typu traceroute,
  • poszukiwanie wycieków informacji w architekturze sieci (np. w źródłach serwisów WWW i w nagłówkach e-mail),
  • pasywna analiza ruchu sieciowego.
  • Skanowanie sieci:
  • badanie ścieżki dostępu do skanowanego obiektu (pakiety ICMP, traceroute, inne),
  • próby ominięcia zapory firewall,
  • poszukiwanie aktywnych systemów,
  • poszukiwaniu otwartych portów.
  • Identyfikacja usług:
  • identyfikacja według numeru portu,
  • analiza nagłówków serwisu,
  • wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet),
  • wykrycie i analiza zbędnych komponentów serwisów.
  • Identyfikacja systemów:
  • stack fingerprinting,
  • passive fingerprinting.
  • wyciągnięcie wniosków z rezultatów identyfikowanych usług.
  • Badania zidentyfikowanych uprzednio ryzyk oraz wykrywanie potencjalnych nowych zagrożeń i ich weryfikacja:
  • wdrożonych metod kontroli przepływu danych oraz ochrony usług,
  • identyfikacja możliwości eskalacji przywilejów, pozyskania danych oraz ataków Dos,
  • próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług,
  • analiza bezpieczeństwa skanerami automatycznymi.

4. Analiza wyników - zebranie informacji, określenie rekomendacji i przygotowanie raportu z badania.

Zebrany raport zawiera:
  • całościową ocenę bezpieczeństwa systemu informatycznego,
  • analiza ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami,
  • rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa,
  • wnioski i wytyczne do wykorzystania podczas kolejnych testów.
Powrót do początku strony


Definicje:


Ryzyko: potencjalna możliwość oddziaływania zagrożenia na podatności danego elementu aktywów w sposób wyrządzający szkodę organizacji. Miarą ryzyka jest połączenie  prawdopodobieństwa wystąpienia zdarzenia i jego skutków.


Analiza ryzyka: systematyczne wykorzystanie informacji w celu identyfikowania źródeł ryzyka i szacowania jego poziomu (ISO/IEC Guide 73:2002)


Szacowanie ryzyka: jest całościowym procesem służącym do zidentyfikowania źródeł ryzyka, oszacowania wielkości ryzyka oraz porównywania oszacowanej wielkości ryzyka z zadanymi kryteriami w celu określenia wpływu ryzyka na badaną organizację. (całość procesu analizy ryzyka i oceny ryzyka ISO/IEC Guide 73:2002)


Zarządzanie ryzykiem: to ogół czynności które musi podjąć organizacja aby kontrolować ryzyka na jakie jest narażona, zmniejszyć wpływ ryzyka na jej funkcjonowanie i podejmować optymalne decyzje co do kosztów ochrony przed wpływem ryzyka na działanie organizacji.

 

Menedżer ryzyka: osoba nadzorująca ogół czynności jakie musi podjąć firma, aby zarządzać ryzykiem na jakie jest narażona organizacja, w tym obniżać stopień wpływu ryzyka na funkcjonowanie organizacji przy współpracy z kierownictwem firmy.

 

Polityka bezpieczeństwa: dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w jakiejkolwiek formie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

 

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.


Instrukcja zarządzania systemem informatycznym: instrukcja określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych : dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w formie elektronicznej, jako dodatkowy do polityki bezpieczeństwa i spójny z polityką bezpieczeństwa - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

 

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;       
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania:
    • elektronicznych nośników informacji zawierających dane osobowe,
    • kopii zapasowych, o których mowa w pkt 4,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III pod punkt 1 załącznika do rozporządzenia;
  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.