Analýza rizik

Analýza rizik informační bezpečnosti slouží k posouzení aktuálního stavu bezpečnosti a identifikaci rizik, kterým je váš systém vystaven. Tvoří důležitý informační zdroj pro rozhodování o investicích do bezpečnosti.

Co je analýza rizik informační bezpečnosti

Cílem analýzy rizik informační bezpečnosti je identifikovat a ohodnotit rizika v oblasti ochrany informací společnosti, a to zpravidla z pohledu důvěrnosti, integrity a dostupnosti. Analýza rizik v závislosti na metodice, ale zpravidla zabývá tím, jaké hrozby mohou zneužít jaké zranitelnosti aktiv a s jakým dopadem pro organizaci. 
 
Analýza rizik se snaží popsat realitu, ale ta bývá z důvodu své vysoké komplexity zjednodušována. Samozřejmě čím přesnější bude analýza rizik, tím náročnější bude její realizace a udržování v aktuálním a vypovídajícím stavu. Snažíme se hledat takové způsoby zpracování analýzy rizik, aby byly naplněny cíle jejího zpracování, a to především v oblasti její náročnosti a přesnosti.  

Přínosy

  • Určení priorit pro další investice a projekty v oblasti bezpečnosti
  • Stanovení optimálního poměru mezi investicemi a dosaženou úrovní zabezpečení
  • Získání informací o dosažené úrovni bezpečnosti IS nezávislou stranou
  • Identifikace rizik a slabých míst, které bezprostředně ohrožují klíčové funkce a aktiva organizace
  • Vytvoření podkladů pro tvorbu bezpečnostní dokumentace ICT v organizaci
  • Identifikace hrozeb typu úniku dat, zneužití privilegií, lidské chyby atd., včetně možných scénářů zneužití
  • Významné zvýšení bezpečnosti IS implementací navržených opatření
  • Získání argumentů pro rozhodnutí managementu o přidělení investic do bezpečnosti IS
  • Soulad s normami nebo legislativními požadavky

Popis řešení

Řešení může mít jak formu komplexní dodávky, tak formu poradenství. Nabízíme také pouze určitou část dodávky. Dokážeme pomoci s volbou metodiky a máme zkušenosti s různými metodikami např: metodika dle ZoKB (CZ i SK), ISO 27005, ale i další vlastní metodiky klientů. 

Dále pomůžeme při sestavení nebo aktualizaci katalogu aktiv organizace včetně ohodnocení aktiv popřípadě určení vlastníka aktiv a jejich seskupení do odpovídajících skupin. 

Můžeme pomoci i s:
  • přípravou seznamů a hodnocením zranitelností aktiv,
  • přípravou katalogu a hodnocením hrozeb,
  • přípravou nástrojů pro analýzu rizik, a zpracování dat v těchto nástrojích,
  • přípravou opatření v reakci na identifikovaná rizika,
  • přípravou plánu pro implementaci těchto opatření.

Nabízené služby

Poradenství
Poradíme a doporučíme možnosti řešení analýzy rizik, budeme diskutovat nad návrhy obou stran, realizace pak bude na vás.  

Komplexní realizace
Provedeme analýzu rizik dle vašich požadavků pouze s částečnou (minimální potřebnou) znalostí a prací z vaší strany. 

Částečná realizace
Provedeme analýzu rizik dle vašich požadavků pouze u vybraných částí dle vašeho přání. 

Aktualizace analýzy
Aktualizujeme stávající analýzu k danému roku/termínu. 

Vyhodnocení informační bezpečnosti

Služby v oblasti vyhodnocování informační bezpečnosti slouží k posouzení aktuálního stavu bezpečnosti vůči požadavkům, které definují různé normy, nebo legislativa a jsou vstupním bodem pro dosahování souladu s těmito požadavky.
 
V této oblasti nabízíme:
  • Analýzu současného stavu informační bezpečnosti – vyhodnocení souladu s best practice standardem infomační bezpečnosti (ISO/IEC 27001:2022). To zahrnuje i identifikaci slabých míst a nedostatků v zabezpečení včetně jejich expertní prioritizace v daném prostředí, návrhy a doporučení pro odstranění identifikovaných nedostatků.
  • GAP analýzy zaměřené na určitou oblast informační bezpečnosti (PCI-DSS, PSD2, DORA, ZoKB (včetně NIS2), GDPR, TISAX, SWIFT, SOC2, CIS Controls).
  • Návrh plánu pro dosažení souladu – (navazuje na kroky předchozí) návrh bezpečnostních opatření/doporučení včetně jejich časování s ohledem na možnosti společnosti s cílem dosáhnout souladu s požadovaným standardem.
  • V rámci dalších služeb, které nabízíme, vám můžeme pomoci i s implementací převážné části opatření.

Co vyhodnocení souladu informační bezpečnosti obnáší:

Studium prostředí organizace především v oblasti informační bezpečnosti (aplikované technologie a způsob jejich aplikace, dokumentace a evidence, průběh procesů organizace). Řešeno prostřednictvím interview a předání dokumentace nebo konfigurace.

Výstupem je zpravidla dokumentace obsahující jak soulady, tak nesoulady, a dle přání klienta může obsahovat a popis současného stavu v dané analyzované oblasti. Identifikované nedostatky mohu být dále expertně nebo dle vybrané normy ohodnoceny za účelem prioritizace. Výstupy vyhodnocení vám můžeme odprezentovat či podrobně vysvětlit.

Kdy provést vyhodnocení souladu informační bezpečnosti?

  • Vznikl legislativní požadavek dodržet určité formální požadavky.
  • Z důvodů smluvních je třeba dodržovat určitá jasně daná a popsaná pravidla.
  • Padlo rozhodnutí o potřebě vyhodnotit úroveň informační bezpečnosti vůči určitému best practice standardu.
  • Jde o požadavek auditorských firem, akcionářů apod.
  • Zákazník požaduje doklady o kvalitě vašeho zabezpečení.
  • V případě vážných pochyb o bezpečnosti informací (nedůvěra v třetí stranu, která spravuje Váš IS, Vaše společnost se stala terčem útoku apod.).

Přínosy vyhodnocení informační bezpečnosti

  • Identifikace, co je třeba implementovat k dosažení souladu s požadavky normy/ zákona v oblasti informační bezpečnosti.
  • Určení priorit implementace jednotlivých opatření.
  • Vyhodnocení souladu s vybranou normou nezávislou stranou.
  • Detailní vyjasnění požadavků určených norem/zákonů.
Sdílejte

NEVÁHEJTE, KONTAKTUJTE NÁS.

Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?

Odesláním registračního formuláře prohlašuji, že jsem se seznámil s informacemi o zpracování osobních údajů v ARICOMA.