Produkty

Systemy wspierające zarządzanie

Produkty

Risk Analysis Workbook

System RAW – wspomaganie procesu szacowania ryzyka

Skuteczne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w oparciu o wymagania PN-EN ISO/IEC 27001:2017-06 (ISO 27001) uzależnione jest od doboru metodyki szacowania ryzyka i prawidłowego przeprowadzenia procesu szacowania. Właściwa identyfikacja aktywów, ich podatności, zagrożeń z nimi związanych oraz odpowiednie oszacowanie ryzyka w odniesieniu do poufności, integralności i dostępności umożliwia dobór adekwatnych zabezpieczeń.

Duża ilość aktywów i zagrożeń z nimi związanych, oraz uczestnictwo w ocenie ryzyka grupy osób powoduje, że proces szacowania ryzyka tradycyjnymi metodami staje się bardzo skomplikowany. Dlatego proponujemy wsparcie procesu szacowania ryzykiem systemem RAW.

Prezentacja systemu RAW

System RAW (Risk Analysis Workbook) to zaawansowane narzędzie do oceny ryzyka, wspierające projektowanie i wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji (Information Security Management System – ISMS) zgodnie z normą PN-EN ISO/IEC 27001:2017-06. System RAW definiuje podejście do szacowania ryzyka w organizacji i jest zgodny z wytycznymi normy PN-EN ISO/IEC 27001:2017-06 oraz PN-ISO/IEC 27005:2014-01 „Zarządzanie Ryzykiem w Bezpieczeństwie Informacji” (Information Security Risk Mangement –ISRM).

 Dzięki unikalnej metodyce RAW szacowanie ryzyka odbywa się krok po kroku, a zdefiniowane role umożliwiają udział w procesie najbardziej adekwatnych osób – począwszy od przedstawicieli o charakterze biznesowym, poprzez właścicieli aktywu do specjalistów w zakresie bezpieczeństwa czy konsultantów/audytorów. Dla każdej z ról zdefiniowany jest profil funkcjonalności systemu, co umożliwia zarządzania odpowiedzialnością w procesie szacowania ryzyka. Umożliwia też zewnętrznym organizacjom (np. jednostkom certyfikującym) prześledzenie procesu szacowania ryzyka w kluczowych momentach.

System RAW może być dostosowany do spełnienia wymagań organizacji. Dotyczy to zarówno kryteriów szacowania ryzyka, funkcji agregujących wyniki, doboru aktywów, zagrożeń, podatności jak i zdefiniowania własnych pojęć w odniesieniu do dostępnych w systemie funkcji i nazw (edytowalne słowniki funkcji i nazw), czy customizacji dokumentacji będących wynikiem analizy ryzyka (Raport z Analizy Ryzyka, Plan Postępowania z Ryzykiem).

 Wyniki szacowania ryzyka umożliwiają wygenerowanie dokumentów Raportu z Analizy Ryzyka i Planu Postępowania z Ryzykiem stanowiących jedno z podstawowych wymagań co do dokumentacji zdefiniowanej w normie PN-EN ISO/IEC 27001:2017-06.

Cechy systemu RAW

  • Wspomaga identyfikację aktywów i grup informacji w organizacji,
  • Wspomaga identyfikację zagrożeń w odniesieniu do aktywów,
  • Umożliwia ocenę poufności, integralności i dostępności dla każdego zidentyfikowanych aktywów zgodnie z przyjętymi przez organizację kryteriami (oraz innych zdefiniowanych przez organizację cech np. rozliczalności, niezaprzeczalności),
  • Zapewnia zgodność z normą PN-EN ISO/IEC 27001:2017-06 oraz PN-ISO/IEC 27005:2014-1,
  • Umożliwia przeprowadzenie analizy ryzyka krok po korku,
  • Generuje dokumentację wymaganą normą PN-EN ISO/IEC 27001:2017-06 – Raport z Analizy Ryzyka i Plan Postępowania z Ryzykiem.
  • Łatwe wdrożenie – (rozwiązanie dostarczane jako virtual appliance lub rozwiązania SaaS),
  • Autoryzacja poprzez usługi katalogowe (Active Directory, LDAP).