Analiza Ryzyka dla bezpieczeństwa informacji niejawnych

Programy

Program do Analizy Ryzyka Informacji Niejawnych

By ochrona-niejawnych.pl / 31 sierpnia, 2023

ARIN 2.0 (Analiza Ryzyka dla bezpieczeństwa informacji niejawnych)

Program do analizy ryzyka informacji niejawnych. Program umożliwia przeprowadzenie analizy ryzyka metodyką zgodną z zaleceniami Departamentu Bezpieczeństwa Teleinformatycznego ABW. Konieczność przeprowadzenia analizy ryzyka wynika z ustawy o ochronie informacji niejawnych, a także rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Dopuszczona do stosowania w systemach teleinformatycznych funkcjonujących w Ministerstwie Obrony Narodowej.

Cechy programu:

  • metodyka zgodna z rozporządzeniem
  • raportowanie
  • automatyzacja pracy
  • biblioteki danych
  • zapisywanie stanu do pliku

Prezentacja wideo:

Instrukcje wideo:

PRZYKŁADOWA analiza ryzyka
ZASOBY
ZAGROŻENIA
PODATNOŚCI
ZABEZPIECZENIA
MACIERZ RYZYKA
OCENA RYZYKA

Producentem oprogramowania jest F-TEC.pl. Cennik oprogramowania dostępny jest na stronie producenta. Na stronie producenta można pobrać również wersję demonstracyjną w celu przetestowania funkcjonalności programu.

Przejdź na stronę producenta oprogramowania F-TEC.pl (kliknij tutaj)

 

Szczegółowe cechy programu
  • Metodyka zgodna z zaleceniami Departamentu Bezpieczeństwa Teleinformatycznego ABW
  • Metodyka zgodna z rozporządzeniem Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
  • Metodyka stosowana w systemach teleinformatycznych funkcjonujących w Ministerstwie Obrony Narodowej
  • Metodyka stosowana w systemach teleinformatycznych funkcjonujących w sferze cywilnej
  • Program pozwala na identyfikację: zasobów, zagrożeń, wskazanie które zagrożenia działają na które zasoby, określenie wielkości ryzyk, wybór zabezpieczeń, ocenę ryzyka
  • Generowanie gotowych raportów zawierających analizę ryzyka
  • Zapisywanie raportu w formacie doc
  • Zapisywanie stanu analizy ryzyka do pliku w celu późniejszego wykorzystania tych danych do kolejnej analizy ryzyka
  • Gotowe biblioteki danych
  • Automatyzacja pracy
Wymagania

Program działa w środowisku Windows i używa biblioteki JAVA. W celu uruchomienia programu należy posiadać zainstalowaną bibliotekę JAVA wersja co najmniej 6 update 37.
W przypadku braku zainstalowanych na komputerze bibliotek JAVA można je pobrać z następujących stron internetowych:

-Biblioteka JAVA dla systemu 32 bitowego dostępna jest na stronie projektu lub na stronie producenta JAVA
-Biblioteka JAVA dla systemu 64 bitowego dostępna jest na stronie projektu lub na stronie producenta JAVA

Opis programu

Analiza ryzyka jest kluczowym elementem procesu akredytacji bezpieczeństwa teleinformatycznego. Na podstawie analizy ryzyka dobieramy środki ochrony, które należy wdrożyć w systemie teleinformatycznym.

Program Analiza Ryzyka prowadzi użytkownika przez kolejne kroki procesu szacowania ryzyka.

Użytkownik ma do dyspozycji gotowe biblioteki dzięki którym proces analizy ryzyka jest prowadzony w większości automatycznie, a działania użytkownika ograniczone są do minimum.

Użytkownik w pierwszym kroku dokonuje wyboru zasobów, przy czym, może skorzystać z gotowych profili zasobów, np. wskazać typowe zasoby dla autonomicznego stanowiska komputerowego. Po wyborze profilu zasoby zostaną zaznaczone automatycznie. Użytkownik może je w dowolny sposób zmieniać.

Następnie należy wybrać zagrożenia oddziaływujące na zasoby i przyporządkować je do odpowiednich zasobów. Proces ten może odbyć się automatycznie po wczytaniu gotowych rozwiązań z biblioteki. Do zasobów zostaną przyporządkowane typowe zagrożenia.

Kolejny krok to wybór poziomu ryzyka akceptowalnego. Domyślnie ustawiona jest wartość 35 na 100. Jest to wartość poniżej której ryzyka naruszenia bezpieczeństwa są akceptowalne.

Ostatni krok to wybór wdrożonych środków ochrony. Do wyboru są środki ochrony fizyczne, techniczne, organizacyjne, proceduralne. Środki ochrony fizycznej są zgodne ze środkami ochrony fizycznej z rozporządzenia Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych.

Program umożliwia generowanie raportu, który zawiera wszystkie wprowadzone i wyliczone na tej podstawie elementy.

Proces analizy ryzyka

Analiza ryzyka jest częścią procesu zarządzania ryzykiem, a konkretniej jest częścią szacowania ryzyka. Szacowanie ryzyka obejmuje analizę ryzyka i ocenę ryzyka. Analiza ryzyka jest węższym pojęciem, nie zawiera bowiem oceny ryzyka. W procesie akredytacji bezpieczeństwa teleinformatycznego wybór środków ochrony odbywa się na podstawie szacowania ryzyka.

Szacowanie ryzyka składa się z:

  • analizy ryzyka;
  • oceny ryzyka, czyli określenia, które ryzyka są akceptowalne poprzez porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować.

Analiza ryzyka jest to proces:

  • identyfikacji ryzyka;
  • określenia wielkości ryzyk.

W procesie identyfikacji ryzyka określamy kolejno:

  • zasoby systemu teleinformatycznego, czyli informacje niejawne, osoby, usługi, oprogramowanie, dane i sprzęt, a także inne elementy mające wpływ na bezpieczeństwo informacji
  • zagrożenia, czyli niepożądane zdarzenia, mogące mieć wpływ na informacje niejawne
  • podatności, czyli słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożeni
  • zabezpieczenia, czyli środki o charakterze fizycznym, technicznym lub organi­zacyjnym
  • skutki, czyli wynik działania zagrożenia

W procesie określenia wielkości ryzyk wyznacza się poziomy zidentyfikowanych ryzyk. Program w intuicyjny sposób pozwala na łatwe i bezproblemowe przeprowadzenie szacowania ryzyka i wybór odpowiednich środków ochrony.

Tags: ,

Podobne: