Oferta szczegółowa - ocena i szacowanie ryzyka

Zarządzanie ryzykiem.

Identyfikacja, analiza, mitygacja.

Ochrona informacji - Optymalizacja procesów - Doradztwo

Zobacz jak możemy Ci pomóc!

• OCENA I SZACOWANIE RYZYKA DLA APLIKACJI/SYSTEMU

• OCENA I SZACOWANIE RYZYKA DLA APLIKACJI/SYSTEMU NA ETAPIE PROJEKTU

• OCENA I SZACOWANIE RYZYKA PROCESU

• OCENA I SZACOWANIE RYZYKA W ORGANIZACJI / FIRMIE

OCENA I SZACOWANIE RYZYKA DLA APLIKACJI/SYSTEMU (RÓWNIEŻ NA ETAPIE PROJEKTU)

Usługa:

• Identyfikacja zagrożeń dla bezpieczeństwa funkcjonowania organizacji wynikających ze stosowania aplikacji/systemu badana pod kątem podatności technicznych, informatycznych, realizacji procesu w którym aplikacja jest stosowana i spełnienia wymogów prawnych zarówno na etapie projektowania rozwiązania jak i dla wdrożonych rozwiązań.

Wartość dla organizacji:

• Niezależna ocena systemu przez zewnętrznych ekspertów.

• Rekomendacje w jaki sposób zmniejszyć poziom zagrożenia.

• Kontrola ryzyka związanego ze stosowaną aplikacją.

• Ograniczenie kosztów związanych z wprowadzeniem późniejszych zmian w systemie w przypadku wdrażania nowego systemu.

Celem wykonania usługi jest:

• Minimalizacja wpływu ryzyk na funkcjonowanie organizacji wynikających ze wdrażania bądź korzystania z badanej aplikacji/systemu.

Wynik końcowy:

• Bieżące zalecenia co do konstrukcji aplikacji/systemu minimalizujące ryzyka dla organizacji.

• Raport z oceną końcową stanu aplikacji/systemu, zawierający:

  • spis zidentyfikowanych i zminimalizowanych podatności aplikacji/systemu,

  • spis zidentyfikowanych i akceptowanych podatności aplikacji/systemu,

  • szacowny wpływ na organizację,

  • zastosowane i proponowane działania zmniejszające poziom ryzyka,

  • szacowane koszty działań prewencyjnych.

Zakres działania:

• Identyfikacja ryzyk jakie niesie dla organizacji korzystanie z aplikacji/systemu (w tym: stosowane technologie, otoczenie zewnętrzne, wymogi prawne, wymogi procesu).

• Ocena konfiguracji systemu operacyjnego, bazy danych, aplikacji i komponentów oprogramowania, komunikacji pomiędzy elementami systemu.

• Szacowanie prawdopodobieństwa wystąpienia straty biorąc pod uwagę uwarunkowania wewnętrzne i zewnętrzne.

• Szacowanie wielkości strat.

• Propozycja działań minimalizujących ewentualną możliwą do wystąpienia stratę.

• Szacowanie kosztów działań minimalizujących ryzyko.

• Opcjonalnie - weryfikacja wprowadzonych zmian.

OCENA I SZACOWANIE RYZYKA PROCESU

Usługa:

• Identyfikacja zagrożeń dla bezpieczeństwa organizacji w ocenianym procesie funkcjonującym w firmie pod kątem przebiegu procesu, wymaganych kontroli, wymagań prawnych, stosowanych aplikacji, zagrożeń technicznych.

Wartość dla organizacji:

• Niezależna ocena procesu przez zewnętrznych ekspertów.

• Rekomendacje w jaki sposób zmniejszyć poziom zagrożenia.

• Kontrola ryzyka związanego funkcjonującym planowanym procesem.

• Optymalizacja przebiegu procesu.

Celem wykonania usługi jest:

• Minimalizacja wpływu ryzyka na organizację korzystającą z badanego procesu.

Wynik końcowy:

• Raport z oceną procesu, zawierający:

  • spis zidentyfikowanych podatności procesu,

  • szacowny wpływ na organizację,

  • proponowane działania zmniejszające poziom ryzyka,

  • szacowane koszty działań prewencyjnych.

Zakres działania:

• Identyfikacja ryzyk jakie niesie dla organizacji proces (w tym: stosowane technologie, otoczenie zewnętrzne, wymogi prawne, wymogi procesu).

• Ocena konfiguracji systemu operacyjnego, bazy danych, aplikacji i komponentów oprogramowania, komunikacji pomiędzy elementami systemu stosowanych w procesie.

• Szacowanie prawdopodobieństwa wystąpienia straty biorąc pod uwagę uwarunkowania wewnętrzne i zewnętrzne.

• Szacowanie wielkości strat.

• Propozycja działań minimalizujących ewentualną możliwą do wystąpienia stratę.

• Szacowanie kosztów działań minimalizujących ryzyko.

• Opcjonalnie - weryfikacja wprowadzonych zmian.

OCENA I SZACOWANIE RYZYKA W ORGANIZACJI / FIRMIE LUB W SZCZEGÓLNYCH OBSZARACH JEJ DZIAŁALNOŚCI

Usługa:

• Raport oceny ryzyka z oceną wpływu zidentyfikowanych ryzyk na organizacje, oceną kosztów działań minimalizujących.

Wartość dla organizacji:

• Zewnętrzna, niezależna ocena zagrożeń.

• Zbudowanie świadomości zagrożeń.

• Niezależna ocena kosztów działań zmniejszających ryzyko.

• Spojrzenie z zewnątrz organizacji na procesy zewnętrzne.

• Świadome zarządzanie ryzykiem.

• Odciążenie zasobów własnych organizacji od zadań nie będących podstawą realizowanego biznesu.

Celem wykonania usługi jest:

• Identyfikacja ryzyk oraz grup ryzyk jakie występują w firmie lub badanym obszarze.

• Szacowanie prawdopodobieństwa wystąpienia straty biorąc pod uwagę uwarunkowania wewnętrzne i zewnętrzne.

• Szacowanie wielkości strat.

• Propozycja działań minimalizujących ewentualną możliwą do wystąpienia stratę.

• Szacowanie kosztów działań minimalizujących ryzyko.

Wynik końcowy:

• Raport z listą ryzyk, szacownym wpływem na organizację, zalecanymi działaniami naprawczymi.

Zakres działań:

• Szkolenie wstępne dotyczące zarządzania ryzykiem w firmie.

• Określenie obszarów oceny ryzyka w porozumieniu z managementem organizacji.

• Omówienie i wybór metod szacowania ryzyka.

• Zastosowanie wybranych metod przy współpracy z pracownikami i współpracownikami firmy.

• Zebranie informacji poprzez wywiady z pracownikami, analizę istniejącej dokumentacji procedur.

• Wnioski.

Definicje:

Ryzyko: potencjalna możliwość oddziaływania zagrożenia na podatności danego elementu aktywów w sposób wyrządzający szkodę organizacji. Miarą ryzyka jest połączenie prawdopodobieństwa wystąpienia zdarzenia i jego skutków.

Analiza ryzyka: systematyczne wykorzystanie informacji w celu identyfikowania źródeł ryzyka i szacowania jego poziomu (ISO/IEC Guide 73:2002)

Szacowanie ryzyka: jest całościowym procesem służącym do zidentyfikowania źródeł ryzyka, oszacowania wielkości ryzyka oraz porównywania oszacowanej wielkości ryzyka z zadanymi kryteriami w celu określenia wpływu ryzyka na badaną organizację. (całość procesu analizy ryzyka i oceny ryzyka ISO/IEC Guide 73:2002)

Zarządzanie ryzykiem: to ogół czynności które musi podjąć organizacja aby kontrolować ryzyka na jakie jest narażona, zmniejszyć wpływ ryzyka na jej funkcjonowanie i podejmować optymalne decyzje co do kosztów ochrony przed wpływem ryzyka na działanie organizacji.

Menedżer ryzyka: osoba nadzorująca ogół czynności jakie musi podjąć firma, aby zarządzać ryzykiem na jakie jest narażona organizacja, w tym obniżać stopień wpływu ryzyka na funkcjonowanie organizacji przy współpracy z kierownictwem firmy.

Polityka bezpieczeństwa: dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w jakiejkolwiek formie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

• sposób przepływu danych pomiędzy poszczególnymi systemami;

• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym: instrukcja określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych : dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w formie elektronicznej, jako dodatkowy do polityki bezpieczeństwa i spójny z polityką bezpieczeństwa - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

• sposób, miejsce i okres przechowywania:

  • elektronicznych nośników informacji zawierających dane osobowe,

  • kopii zapasowych, o których mowa w pkt 4,

• sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III pod punkt 1 załącznika do rozporządzenia;

• sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.