IT Rizikų vertinimas

Rizikos vertinimo apimtis ir gylis skirtingose organizacijose skiriasi. Tai priklauso nuo organizacijos veiklos, informacinių vertybių, patirties informacijos saugos organizavimo srityje bei finansinių galimybių. Norint pasiekti optimalių rezultatų, reikia atsižvelgti į konkrečios organizacijos poreikius ir situaciją. Esame pasiruošę surinkti reikiamą informaciją ir parengti Jums tinkamiausią sprendimą.

 

Atitikties vertinimai:
ISO20000 - buvo sukurtas siekiant suteikti IT paslaugų vadybai ir infrastruktūrai, tiek vidinei, tiek užsakomajai, nuoseklumo, kuris būtų naudingas ir darbuotojams, ir klientams. Galutinis tikslas yra veiksmingas bendras IT paslaugų valdymas;
ISO27001 - tarptautinis standartas, nustatantis reikalavimus informacijos saugumo valdymo sistemai, kad organizacija galėtų įvertinti riziką ir įdiegti tinkamas kontrolės priemones informacijos konfidencialumui, vientisumui ir prieinamumui apsaugoti.
COBIT - ISACA metodika ir gerosios praktikos rinkinys, padedanti organizacijoms siekti IT valdymui ir vadovavimui keliamų tikslų, t. y. sukurti optimalią vertę naudojant IT, išlaikant pusiausvyrą tarp siekiamos naudos, optimalaus rizikos valdymo ir išteklių naudojimo.

Poveikio veiklai analizė

Poveikio veiklai analizė leidžia įvertinti, kiek organizacijos veikla yra priklausoma nuo informaciją apdorojančių sistemų, taip pat kurios iš šių sistemų yra svarbiausios, o kurios mažiau svarbios.


Rezultatai
:

      Dokumentuota ir pagrindžiama informacija apie tai, kiek įmonės veiklos funkcijos yra priklausomos nuo informacinių sistemų. Dokumentuojama, kokios informacinės sistemos yra labiausiai kritiškos, kurios mažiau kritiškos.

      Veiklos vadovams ši informacija leis efektyviau panaudoti ir pagrįsti investicijas, skiriant daugiau lėšų kritiškoms sistemoms, mažiau – nekritiškoms.

      Poveikio veiklai analizė padeda išversti techninę informacinių sistemų poreikių kalbą į veiklos vadovų kalbą, kuri daugiau orientuota į veiklos procesus ir jų rizikas. Tai leidžia pagrįsti IT sistemų poreikius, nustatyti ir patvirtinti sistemų reikšmingumo lygius.

Įgyvendinimas:

      Informacija surenkama interviu su informacinių sistemų naudotojais metu. Jais gali būti veiklos padalinių vadovai arba kiti patyrę darbuotojai.

      Visa interviu metu surinkta medžiaga dokumentuojama naudojant patikrintą ir efektyvią metodiką, kuri leidžia lengvai atnaujinti analizės rezultatus kitais metais.

Rizikų analizė, vertinimas ir saugumo valdymo priemonių parinkimas

Šiame etape nustatomos ir įvertinamos organizacijos informacinių sistemų, jų fizinės apsaugos, saugumo valdymo sistemos grėsmės, pažeidžiamumai, rizikos, taip pat rekomenduojamos saugumo valdymo priemonės. Priklausomai nuo organizacijos poreikių, gali būti atliekama gili tam tikrų sistemų arba viso tinklo technologinių pažeidžiamumų analizė, panaudojant metodus, analogiškus hakerių naudojamiems metodams.

Rezultatai:

      Nustatytos, išanalizuotos ir dokumentuotos organizacijai būdingos informacijos saugumo rizikos.

      Tai leidžia atsakingai priimti sprendimą, kaip valdyti šias rizikas, pvz.: dalis šių rizikų yra priimtinos, nes apsaugos priemonių diegimas neatsipirks, kitas reikia mažinti.

      Jei nusprendžiama riziką sumažinti, yra parenkamos tinkamos saugumo valdymo priemonės. Jos gali būti techninės arba organizacinės.


Įgyvendinimas
:

      Analizuojant technines rizikas, atliekami interviu su informacinių technologijų specialistais, išmanančiais nagrinėjamas sistemas.

      Analizuojant organizacines rizikas, atliekami interviu su organizacijos atstovais, žinančiais esamas darbo tvarkas.

      Visa analizės metu surinkta medžiaga yra dokumentuojama. Dokumentavimo forma yra patogi atliekant pakartotines rizikos analizes.

      Parenkant saugumo valdymo priemones, remiamasi tarptautiniais standartais ISO/IEC27001 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, ISO/IEC 17799:2005 „Informacijos technologija. Informacijos saugumo valdymo praktikos kodeksas“, taip pat mūsų ekspertine patirtimi informacijos saugumo ir IT technologijų srityje.

Saugumo valdymo priemonių diegimo plano parengimas

Rengiant parinktų saugumo valdymo priemonių diegimo planą, įvertinami šie aspektai:

      Koks yra tam tikros nagrinėjamos rizikos lygis?

      Ar yra sprendimų, kurie efektyviai mažina šią riziką? Kokios yra alternatyvos?

      Ar organizacija turi pakankamai lėšų, žmonių, žinių, laiko šių sprendimų diegimui ir priežiūrai?

      Ar yra teisinių reikalavimų, organizacijos standartų, kuriuos reikia atitikti?

      Taip pat gali būti ir kitų aplinkybių, į kurias reikia atsižvelgti, pvz., pirkimo procedūrų praktika.

      Įvertinus visas aplinkybes, parenkami optimaliausi sprendimai Jūsų organizacijai.


Rezultatai
:

      Parengiamas rekomenduojamas kalendorinis saugumo valdymo priemonių diegimo planas.

      Šis planas parengiamas remiantis projekto metu atlikta analize, todėl atitinkantis organizacijos poreikius, įvertinant organizacijos ypatumus, t.y. tiesiog bus tinkamas naudojimui.


Įgyvendinimas
:

      Bendraujant su suinteresuotais organizacijos vadovais ir specialistais bei remiantis anksčiau atliktomis analizėmis, išanalizavus visas aplinkybes, parengiamas saugumo valdymo priemonių diegimo planas.

      Esant pageidavimui, galima pristatyti projekto rezultatus ir patį planą organizacijos vadovams.

Rizikos valdymo proceso dokumentas

     Rizikos analizė yra procesas, kuriame gali dalyvauti daug skirtingų pareigybių ir skirtingų sričių specialistų. Norint, kad rizikos analizė padidintų organizacijos saugumo lygį ir šis lygis laikui bėgant išliktų, būtina aiškiai apibrėžti paties proceso tobulinimo mechanizmus, numatomų periodinių įvykių tvarkaraštį, kas dalyvauja organizacijos rizikos valdymo procese ir kokia dalyvių atsakomybė.

Rezultatai:

      Parengiamas dokumentas, kuriame aprašomas rizikos valdymo procesas.


Įgyvendinimas
:

      Rizikos valdymo procesas rengiamas atsižvelgiant į organizacijos ypatumus, esamas praktikas.