Zarządzanie ryzykiem.
Identyfikacja, analiza, mitygacja.
Ochrona informacji - Optymalizacja procesów - Doradztwo
Zobacz jak możemy Ci pomóc!
WDROŻENIE PROCESU ZARZĄDZANIA RYZYKIEM W ORGANIZACJI (ENTERPRISE RISK MANAGEMENT - ERM)
Usługa:
Wdrożenie procesu zarządzania ryzykiem w organizacji oraz jego kontrolę przez kierownictwo firmy wraz z formalnym opisem.
Przegląd procesu zarządzania ryzykiem.
Wartość dla organizacji:
Wprowadzeni formalnego i świadomego zarządzania ryzykiem w organizacji.
Spojrzenie z zewnątrz organizacji na procesy w organizacji.
Odciążenie zasobów własnych organizacji od zadań nie będących podstawą realizowanego biznesu.
Celem wykonania usługi jest:
Stworzenie całościowego podejście do zarządzania bezpieczeństwem w organizacji poprzez wprowadzenie procesu zarządzania ryzykiem, które pozwala zidentyfikować i zarządzać zagrożeniami mającymi istotny wpływ na zachowanie ciągłości działania firmy oraz eliminować ryzyka mniejszego rzędu cechujące się znacznym prawdopodobieństwem wystąpienia lub pojawiające się okresowo w organizacji.
Wynik końcowy:
Wdrożony i sformalizowany proces oceny ryzyka. Mierzony i kontrolowany poziom zagrożeń.
Zakres działania:
Etapowe podejście do wdrożenia procesu zarządzania ryzykiem w organizacji.
Pierwszy etap obejmuje "budowania świadomości" w organizacji:
Szkolenie dla kierownictwa firmy w celu przedstawienia procesu zarządzania ryzykiem.
Określenie strategii firmy w stosunku do zarządzania ryzykiem na podstawie informacji przekazanej przez kierownictwo firmy.
Utworzenia zespołu zarządzania ryzykiem w firmie, zakresu jego głównych zadań, w tym zadań managera ryzyka.
Analiza sytuacji firmy i jej otoczenia.
Identyfikacja obszarów występujących aktualnie ryzyk.
Specyfikację występujących grup ryzyk (lista grup ryzyk, komentarz do wymagających tego pozycji listy).
Oszacowanie wpływu poszczególnych grup ryzyk i wybór, we współpracy z kierownictwem firmy trzech grup ryzyk, mających największy wpływ na możliwość przerwania ciągłości działania firmy.
Opracowanie procedur zarządzania wybranymi ryzykami, zgodnie z najlepszymi praktykami zarządzania ryzykiem.
Opracowanie procedury zarządzania sytuacją awaryjną oraz procedury powołania zespołu zarządzania sytuacją kryzysową.
Kolejne etapy to:
Szczegółowa analiza ryzyk wymienionych w specyfikacji, a nie opracowywanych w etapie pierwszym.
Wprowadzenie procedur zarządzania ryzykami z ww. punktu.
Szkolenie dla całej załogi - nauka zarządzania ryzykiem na własnym stanowisku pracy.
Średnioterminowe planowanie ryzyk związanych z planami strategicznymi firmy (np. na najbliższe 3 lata) i tworzenie wyprzedzających procedur zarządzania tymi ryzykami.
Inne, które ujawnią się podczas pracy nad ww. tematem.
Stworzenie harmonogramu kontroli działań zespołu zarządzania ryzykiem i menedżera ryzyka przez management firmy w celu zapewnienia funkcjonowania zarządzania ryzykiem, jako procesu ciągłego w firmie.
WYKONYWANIE FUNKCJI MENEDŻERA RYZYKA (RISK MANAGERA) W FIRMIE
Usługa:
Obsługa organizacji jako niezależny, zewnętrzny ekspert i menadżer zarządzający procesem zarządzania ryzykiem.
Wartość dla organizacji:
Kontrola proces zarządzania ryzykiem w organizacji przez niezależnego specjalistę.
Szersza perspektywa na proces zarządzania ryzykiem.
Odciążenie własnych zasobów.
Cel wykonania usługi jest:
Sprawowanie funkcji menedżera ryzyka w organizacji, zapewnienie niezależnego od struktur wewnętrznych spojrzenia na występujące w organizacji ryzyko, wykorzystanie specjalistów z dziedziny zarządzania ryzykiem, całościowe podejście do stosowania procesu zarządzania ryzykiem, tak aby sprawnie działał cały ciągły proces zarządzania ryzykiem.
Wynik końcowy :
Sprawnie działający proces zarządzania ryzykiem w firmie w oparciu o wcześniej wprowadzone procedury zarządzania ryzykiem.
Zakres działania:
Zapoznanie się z istniejącymi w firmie procedurami zarządzania ryzykiem
Współpraca w zakresie realizacji ww. procedur z:
kierownictwem firmy,
szefami poszczególnych działów: personalnego, organizacji i administracji, informatycznego, marketingu,logistyki, inwestycji i rozwoju, ekonomicznego, operacyjnego i produkcji, kontroli wewnętrznej,
innymi,
Stała współpraca z zespołem zarządzania ryzykiem w firmie,
Stała kontrola otoczenia wewnętrznego i zewnętrznego firmy,
Proponowanie zmian do istniejących procedur zarządzania ryzykiem.
WDRAŻANIE BEZPIECZEŃSTWA INFORMACJI W ORGANIZACJI (WŁĄCZAJĄC BEZPIECZEŃSTWO DANYCH OSOBOWYCH) / PROCEDURY ZARZĄDZANIA RYZYKIEM ZWIĄZANYM Z BEZPIECZEŃSTWEM INFORMACJI W FIRMIE
Usługa:
Wdrożenie procedur i procesu zarządzania bezpieczeństwem informacji w organizacji.
Wartość dla organizacji:
Podniesienie bezpieczeństwa firmy w zakresie bezpieczeństwa i ochrony informacji.
Zapewnienie stałej kontroli znanych i zarządzanie nowymi ryzykami.
Cel wykonania usługi jest:
Wprowadzenie procesu zarządzania ryzykiem, tak aby zarządzanie ryzykiem było wykonywane na każdym stanowisku pracy oraz z perspektywy poszczególnych działów i całej organizacji.
Wynik końcowy :
Zestaw wytycznych i procedur zarządzania ryzykiem bezpieczeństwa informacji dostosowanych do specyfiki organizacji, powołanie zespołu do zarządzania ryzykiem oraz określenie jego zadań, w tym zespołu zarządzania sytuacją kryzysową, plan awaryjny oraz planu ciągłości działania.
Zakres działania:
Szkolenie dla kierownictwa i pracowników obejmujące proces zarządzania ryzykiem w firmie.
Zdefiniowanie strategii i założeń managementu firmy w zakresie zarządzania ryzykiem.
Określenie akceptowalnego poziomu kosztów kontroli ryzyka.
Ocena wartości aktywów i wpływu ryzyka na organizację.
Rekomendacje dotyczące kontroli ryzyka poprzez: eliminację, minimalizację wpływu, transfer, akceptację, redukcję.
Proces redukcji ryzyka: planowanie i organizację zarządzania ryzykiem, wdrażanie zabezpieczeń techniczne, organizacyjnych i fizycznych, działania prewencyjne, szkolenia.
Przewidywanie sytuacji kryzysowych i tworzenie planów ciągłości działania oraz planów awaryjnych.
Stała współpraca zespołu zarządzania ryzykiem z managementem firmy.
Szkolenia końcowe i wdrażające.
Wdrażanie procedur i zabezpieczeń technicznych.
Audit wewnętrzny zgodności z wprowadzonymi procedurami.
AUDIT ZGODNOŚCI Z USTAWĄ O OCHRONIE DANYCH OSOBOWYCH
Usługa:
Ocena zgodności systemu informatycznego organizacji z ustawą o ochronie danych osobowych. Przygotowanie planu naprawczego.
Wartość dla organizacji:
Raport końcowy z wykonania ww. usługi będzie podstawą do podjęcia decyzji strategicznych w firmie dot. bezpieczeństwa danych osobowych i ew. do zlecenia pełnej oceny ryzyka i konsultacji w zakresie napisania polityki bezpieczeństwa.
Cel wykonania usługi jest:
Ustalenie rozbieżności pomiędzy wymaganiami Ustawy o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 z późn. zmianami, a faktyczną sytuacją w organizacji, określenie jakiej dokumentacji i istniejących procedur brakuje, wskazanie słabych punktów ochrony danych w oparciu o wymagania Ustawy.
Wynik końcowy :
Raport przedstawiający stan faktyczny, obszary zgodności oraz zakres rozbieżności obowiązujących firmie procesów z wymogami ustawy i wytycznymi technicznymi przedstawionymi przez GIODO.
Zakres działania:
Identyfikacja zbiorów danych osobowych istniejących w firmie.
Identyfikacja podstaw prawnych do przetwarzania danych osobowych, weryfikacja czy istnieje obowiązek zgłaszania ich do GIODO.
Identyfikacja programów do obsługi zbiorów danych osobowych.
Określenie przepływów danych pomiędzy zbiorami danych w obsługujących je programach.
Weryfikacja obowiązku informowania właścicieli danych osobowych o posiadanym zbiorze.
Weryfikacja zasad udostępniania danych osobowych.
Weryfikacja wykazu firm i osób którym powierzono przetwarzanie danych osobowych (podstawa prawna, zapisy umowne i spełnienie obowiązku zabezpieczenia danych osobowych).
Ocena ryzyka w zakresie naruszenia bezpieczeństwa danych osobowych.
Weryfikacja zabezpieczeń technicznych i organizacyjnych zabezpieczanych danych osobowych.
Weryfikacja zabezpieczeń technicznych, informatycznych i organizacyjnych wymaganych przez przepisy prawa (dotyczących tylko i wyłącznie ochrony danych osobowych).
Weryfikacja istniejącej dokumentacji :polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym oraz kompletność tej dokumentacji.
Weryfikacja świadomości pracowników i współpracowników w zakresie ochrony danych osobowych (odbyte szkolenia, stosowanie się do wprowadzonych zaleceń, oświadczenia pracowników dotyczących ochrony danych osobowych).
DORADZTWO PRZY OPRACOWANIU DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH I INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Usługa:
Doradztwo w zakresie opracowania i wdrożenia dokumentacji polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym.
Wartość dla organizacji:
Wykorzystanie wiedzy i doświadczenia zewnętrznych ekspertów.
Szybsze powstanie dokumentów.
Odciążenie organizacji od zadania.
Cel wykonania usługi jest:
Pomoc w udokumentowaniu polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym w oparciu o standardy dokumentacji organizacji, specyfikę działalności organizacji i systemu informatycznego oraz profesjonalna ocena ryzyka. Propozycja zabezpieczeń technicznych (mechanicznych i elektroniczno-informatycznych), organizacyjnych. Wspomniane dokumenty wymagane są zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004.
Wynik końcowy :
Proponowany dokument polityki bezpieczeństwa i instrukcja zarządzania systemem informatycznym z załącznikami.
Przeszkolenie pracowników.
Pomoc w uzupełnieniu pozostałej dokumentacji oraz we wdrożeniu procesu ochrony danych osobowych.
Zakres działania:
Audit zgodności systemu informatycznego organizacji z ustawą o ochronie danych osobowych. ocena ryzyka naruszenia bezpieczeństwa danych osobowych.
Zalecenia stosowania procedur wewnętrznych i propozycje treści dokumentów dot. spraw organizacyjnych wewnątrz firmy.
Zalecenia i propozycje dotyczące rozwiązań technicznych, projekty:
informatyczne,
mechaniczne,
elektroniczne,
fizyczne,
organizacyjne.
Doradztwo i pomoc przy opracowaniu treści wymaganych prawem ww. dokumentów wraz z załącznikami.
Doradztwo we wdrożeniu wszystkich ww. dokumentów, procedur i rozwiązań technicznych.
Szkolenia dla pracowników i współpracowników na temat ochrony danych osobowych.
SZACOWANIE RYZYKA ZGODNIE Z WYMAGANIAMI NORMY ISO/IEC 27001
Usługa:
Ocena zagrożeń dla organizacji pod kątem normy ISO 27001, rekomendacje działań korygujących niezgodność z normą.
Wartość dla organizacji:
Identyfikacja zasobów organizacji i ich wartości dla organizacji.
Identyfikacja zagrożeń oraz działań zmniejszających prawdopodobieństwo wystawienia zdarzeń naruszających bezpieczeństwo aktywów.
Cel wykonania usługi jest:
Oszacowanie ryzyk związanych z bezpieczeństwem informacji, zgodnie z normą ISO/IEC 27001, propozycja działań redukujących ryzyko, wdrożenie procesu zarządzania ryzykiem.
Wynik końcowy:
Określenie zagrożeń, podatności i ich wpływu na utratę poufności, integralności i dostępności informacji dla organizacji. Oszacowanie wielkości strat organizacji, określenie poziomu ryzyka. Przedstawienie planu działań ograniczających wpływ ryzyka.
Zakres działania:
Identyfikacja aktywów znajdujących się w zakresie systemu zarządzania bezpieczeństwem informacji i właścicieli tych aktywów.
Identyfikacja procesów w organizacji w ramach których aktywa są wykorzystywane.
Identyfikacja ryzyk i ich wpływu na organizację pod kątem utraty poufności, integralności i dostępności aktywów.
Oszacowanie prawdopodobieństwa wystąpienia zdarzeń naruszających bezpieczeństwo aktywów.
Propozycja wariantów postępowania z ryzykiem i ryzykiem szczątkowym.
TESTY PENETRACYJNE - SZCZEGÓŁOWY PLAN DZIAŁANIA.
1. Etap przygotowawczy - przygotowanie wstępnego harmonogramu zawierającego zakres prac:
określenie typu testów - white box (ze znajomością konfiguracji systemu) / black box (bez znajomości budowy i konfiguracji systemu).
zebranie i analiza dokumentacji i wymagań,
określenie systemów krytycznych dla funkcjonowania organizacji,
przygotowanie zakresu i harmonogramu testów,
potwierdzenie zakresu i harmonogramu z klientem.
2. Przegląd dokumentacji systemu, zapoznanie się z badanym systemem, w tym identyfikacja istniejących ryzyk, mechanizmy ograniczające, określenie narzędzi niezbędnych do przeprowadzenia skanowania.
Dostarczona dokumentacja powinna zawierać:
protokoły oraz procedury instalacyjne poszczególnych serwerów i aplikacji,
adresacja IP i schemat komunikacji sieciowej w systemie - przepływ danych,
informację dotyczącą otwartych portów TCP/UDP z informacją o procesach nasłuchujących,
konfiguracja istotnych procesów i parametrów systemu,
reguły programowe urządzeń filtrujących.
3. Testy penetracyjne środowiska - (z wewnątrz sieci i zewnętrzne) w tym inwentaryzacja systemów i aplikacji widocznych z sieci zewnętrznej i wewnętrznej, identyfikację zasobów systemu. Testy penetracyjne obejmują:
Wstępny przegląd sieci:
weryfikacja odpowiedzi DNS,
weryfikacja sieci metodami typu traceroute,
poszukiwanie wycieków informacji w architekturze sieci (np. w źródłach serwisów WWW i w nagłówkach e-mail),
pasywna analiza ruchu sieciowego.
Skanowanie sieci:
badanie ścieżki dostępu do skanowanego obiektu (pakiety ICMP, traceroute, inne),
próby ominięcia zapory firewall,
poszukiwanie aktywnych systemów,
poszukiwaniu otwartych portów.
Identyfikacja usług:
identyfikacja według numeru portu,
analiza nagłówków serwisu,
wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet),
wykrycie i analiza zbędnych komponentów serwisów.
Identyfikacja systemów:
stack fingerprinting,
passive fingerprinting.
wyciągnięcie wniosków z rezultatów identyfikowanych usług.
Badania zidentyfikowanych uprzednio ryzyk oraz wykrywanie potencjalnych nowych zagrożeń i ich weryfikacja:
wdrożonych metod kontroli przepływu danych oraz ochrony usług,
identyfikacja możliwości eskalacji przywilejów, pozyskania danych oraz ataków Dos,
próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług,
analiza bezpieczeństwa skanerami automatycznymi.
4. Analiza wyników - zebranie informacji, określenie rekomendacji i przygotowanie raportu z badania.
Zebrany raport zawiera:
całościową ocenę bezpieczeństwa systemu informatycznego,
analiza ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami,
rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa,
wnioski i wytyczne do wykorzystania podczas kolejnych testów.
Definicje:
Ryzyko: potencjalna możliwość oddziaływania zagrożenia na podatności danego elementu aktywów w sposób wyrządzający szkodę organizacji. Miarą ryzyka jest połączenie prawdopodobieństwa wystąpienia zdarzenia i jego skutków.
Analiza ryzyka: systematyczne wykorzystanie informacji w celu identyfikowania źródeł ryzyka i szacowania jego poziomu (ISO/IEC Guide 73:2002)
Szacowanie ryzyka: jest całościowym procesem służącym do zidentyfikowania źródeł ryzyka, oszacowania wielkości ryzyka oraz porównywania oszacowanej wielkości ryzyka z zadanymi kryteriami w celu określenia wpływu ryzyka na badaną organizację. (całość procesu analizy ryzyka i oceny ryzyka ISO/IEC Guide 73:2002)
Zarządzanie ryzykiem: to ogół czynności które musi podjąć organizacja aby kontrolować ryzyka na jakie jest narażona, zmniejszyć wpływ ryzyka na jej funkcjonowanie i podejmować optymalne decyzje co do kosztów ochrony przed wpływem ryzyka na działanie organizacji.
Menedżer ryzyka: osoba nadzorująca ogół czynności jakie musi podjąć firma, aby zarządzać ryzykiem na jakie jest narażona organizacja, w tym obniżać stopień wpływu ryzyka na funkcjonowanie organizacji przy współpracy z kierownictwem firmy.
Polityka bezpieczeństwa: dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w jakiejkolwiek formie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja zarządzania systemem informatycznym: instrukcja określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych : dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w formie elektronicznej, jako dodatkowy do polityki bezpieczeństwa i spójny z polityką bezpieczeństwa - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
sposób, miejsce i okres przechowywania:
elektronicznych nośników informacji zawierających dane osobowe,
kopii zapasowych, o których mowa w pkt 4,
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III pod punkt 1 załącznika do rozporządzenia;
sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.