Informacja o organizacji (kontekst)

Zgodnie z wytycznymi zawartymi w normie ISO 27005 przed przystąpieniem do właściwej analizy ryzyka należy opisać kontekst funkcjonowania organizacji, na który składają się:

- dane o organizacji i środowisku,

- podstawy prawne działania organizacji,

- interesariusze zewnętrzni,

- interesariusze wewnętrzni

System posiada wstępnie przygotowane opisy dla trzech kategorii organizacji: Urzędów Gmin/Miast, Starostw Powiatowych oraz Ośrodków Pomocy Społecznej

Podstawowa analiza ryzyka

Analiza prowadzona jest w formie ankiety (TAK/NIE/NIE DOTYCZY), w dwóch zestawach podstawowym  obejmującym 30 pytań (zagadnienia, które zostały objęte tym zestawem pytań wybrano na podstawie tzw. dobrych praktyk i doświadczenia autorów systemu) oraz rozszerzonym obejmującym 70 pytań bazującym na wymaganiach normy ISO 27005. Wynikiem analizy jest raport zawierający:

- ranking ryzyk organizacji (wynik procentowy, prezentacja graficzna),

- listę potencjalnych zagrożeń /podatności wynikających z odpowiedzi,

- rekomendacje i wnioski

Szczegółowa analiza ryzyka

System prowadzi użytkownika krok po kroku od kontekstu organizacji, poprzez wyszczególnienie grup przetwarzanych informacji i określenie ich wartości, wskazanie zasobów niezbędnych do ich przetwarzania, poprzez analizę zagrożeń, zabezpieczeń i podatności do oceny ryzyk.

Przy wartościowaniu informacji brane są pod uwagę takie atrybuty jak poufność, integralność i dostępność.

Wynikiem szczegółowej analizy ryzyka jest ranking ryzyk.

Raporty

Raporty są generowane automatycznie na podstawie informacji wprowadzonych zarówno podczas wykonywania analizy podstawowej jak i szczegółowej. Raport z przeprowadzonej analizy jest dokumentem syntetycznym, który obrazuje aktualny poziom bezpieczeństwa informacji w organizacji. Użytkownik decyduje jakie bloki informacji powinny pojawić się w raporcie.

Postępowanie z ryzykiem

System pozwala na dokumentowanie działań podejmowanych w stosunku do braku zabezpieczeń wykazanych w analizie podstawowej i do ryzyk o poziomie nieakceptowalnym wykazanych w analizie szczegółowej. Dla każdej z w/w sytuacji zespół przeprowadzający analizę ryzyka proponuje działania, przedstawiciel kierownictwa je zatwierdza oraz wskazuje osoby odpowiedzialne i terminy realizacji lub odrzuca. Osoba odpowiedzialna za realizację działania raportuje w systemie stan jego realizacji. System umożliwia przegląd zaakceptowanych działań według różnych parametrów.

Kolejne analizy

System wspiera cykliczność prowadzonych działań. Umożliwia zaplanowanie kolejnej analizy (podstawowej lub szczegółowej) oraz wysyła powiadomienia do wskazanych osób przypominając o konieczności wykonania zaplanowanej analizy. Podczas wykonywania kolejnej analizy system „podpowiada” dane wprowadzone podczas poprzedniej analizy, co znacznie ułatwia i przyspiesza cały proces. .

Bezpieczeństwo i administracja

Dwuskładnikowe logowanie: hasło + jednorazowy token wysyłany e-mailem lub SMS (konfigurowalne w administracji).

Administracja i kontrola: zarządzanie użytkownikami i uprawnieniami, historia logowań, log systemu i błędów, powiadomienia systemowe (z możliwością eksportu zestawień np. do CSV).

Powiadomienia i szablony komunikatów: gotowe mechanizmy informowania o wersjach roboczych, zakończeniu analiz i terminach kolejnych działań/analiz

Wdrożenie

System udostępniany jest klientowi w modelu chmurowym, nie wymaga w związku z tym posiadania infrastruktury niezbędnej do jego wdrożenia.

Warsztaty i szkolenia

Autorzy oprogramowania skupiali się na tym aby przeprowadzenie analizy ryzyka było maksymalnie proste dla użytkownika. Niemniej jednak, ze względu na skomplikowany charakter procesu (dotyczy to w szczególności wykonania analizy szczegółowej) rekomendujemy wzięcie udziału w jednodniowych zdalnych warsztatach, w trakcie których przeprowadzimy użytkowników przez szczegółową analizę ryzyka dotyczącą wybranego obszaru organizacji.