Analýza rizik

Cílem analýzy rizik informační bezpečnosti je identifikovat a ohodnotit rizika v oblasti ochrany informací společnosti, a to zpravidla z pohledu důvěrnosti, integrity a dostupnosti. Analýza rizik v závislosti na metodice, ale zpravidla zabývá tím, jaké hrozby mohou zneužít jaké zranitelnosti aktiv a s jakým dopadem pro organizaci. 
 
Analýza rizik se snaží popsat realitu, ale ta bývá z důvodu své vysoké komplexity zjednodušována. Samozřejmě čím přesnější bude analýza rizik, tím náročnější bude její realizace a udržování v aktuálním a vypovídajícím stavu. Snažíme se hledat takové způsoby zpracování analýzy rizik, aby byly naplněny cíle jejího zpracování, a to především v oblasti její náročnosti a přesnosti.  

Řešení může mít jak formu komplexní dodávky, tak formu poradenství. Nabízíme také pouze určitou část dodávky. Dokážeme pomoci s volbou metodiky a máme zkušenosti s různými metodikami např: metodika dle ZoKB (CZ i SK), ISO 27005, ale i další vlastní metodiky klientů. 

Dále pomůžeme při sestavení nebo aktualizaci katalogu aktiv organizace včetně ohodnocení aktiv popřípadě určení vlastníka aktiv a jejich seskupení do odpovídajících skupin. 

Můžeme pomoci i s:

• přípravou seznamů a hodnocením zranitelností aktiv,
• přípravou katalogu a hodnocením hrozeb,
• přípravou nástrojů pro analýzu rizik, a zpracování dat v těchto nástrojích,
• přípravou opatření v reakci na identifikovaná rizika,
• přípravou plánu pro implementaci těchto opatření.

Poradenství
Poradíme a doporučíme možnosti řešení analýzy rizik, budeme diskutovat nad návrhy obou stran, realizace pak bude na vás.  

Komplexní realizace
Provedeme analýzu rizik dle vašich požadavků pouze s částečnou (minimální potřebnou) znalostí a prací z vaší strany. 

Částečná realizace
Provedeme analýzu rizik dle vašich požadavků pouze u vybraných částí dle vašeho přání. 

Aktualizace analýzy
Aktualizujeme stávající analýzu k danému roku/termínu. 

Služby v oblasti vyhodnocování informační bezpečnosti slouží k posouzení aktuálního stavu bezpečnosti vůči požadavkům, které definují různé normy, nebo legislativa a jsou vstupním bodem pro dosahování souladu s těmito požadavky.
 

V této oblasti nabízíme:

• Analýzu současného stavu informační bezpečnosti – vyhodnocení souladu s best practice standardem infomační bezpečnosti (ISO/IEC 27001:2022). To zahrnuje i identifikaci slabých míst a nedostatků v zabezpečení včetně jejich expertní prioritizace v daném prostředí, návrhy a doporučení pro odstranění identifikovaných nedostatků.
• GAP analýzy zaměřené na určitou oblast informační bezpečnosti (PCI-DSS, PSD2, DORA, ZoKB (včetně NIS2), GDPR, TISAX, SWIFT, SOC2, CIS Controls).
• Návrh plánu pro dosažení souladu – (navazuje na kroky předchozí) návrh bezpečnostních opatření/doporučení včetně jejich časování s ohledem na možnosti společnosti s cílem dosáhnout souladu s požadovaným standardem.
• V rámci dalších služeb, které nabízíme, vám můžeme pomoci i s implementací převážné části opatření.

Co vyhodnocení souladu informační bezpečnosti obnáší:

Studium prostředí organizace především v oblasti informační bezpečnosti (aplikované technologie a způsob jejich aplikace, dokumentace a evidence, průběh procesů organizace). Řešeno prostřednictvím interview a předání dokumentace nebo konfigurace.

Výstupem je zpravidla dokumentace obsahující jak soulady, tak nesoulady, a dle přání klienta může obsahovat a popis současného stavu v dané analyzované oblasti. Identifikované nedostatky mohu být dále expertně nebo dle vybrané normy ohodnoceny za účelem prioritizace. Výstupy vyhodnocení vám můžeme odprezentovat či podrobně vysvětlit.

• Vznikl legislativní požadavek dodržet určité formální požadavky.
• Z důvodů smluvních je třeba dodržovat určitá jasně daná a popsaná pravidla.
• Padlo rozhodnutí o potřebě vyhodnotit úroveň informační bezpečnosti vůči určitému best practice standardu.
• Jde o požadavek auditorských firem, akcionářů apod.
• Zákazník požaduje doklady o kvalitě vašeho zabezpečení.
• V případě vážných pochyb o bezpečnosti informací (nedůvěra v třetí stranu, která spravuje Váš IS, Vaše společnost se stala terčem útoku apod.).

• Identifikace, co je třeba implementovat k dosažení souladu s požadavky normy/ zákona v oblasti informační bezpečnosti.
• Určení priorit implementace jednotlivých opatření.
• Vyhodnocení souladu s vybranou normou nezávislou stranou.
• Detailní vyjasnění požadavků určených norem/zákonů.