Celem analizy ryzyka jest zidentyfikowanie i ocena zagrożeń dla organizacji oraz przedstawienie rekomendacji działań korygujących w celu redukcji ryzyka. W ramach analizy ryzyka dokonuje się przeglądu całości środowiska IT w oparciu o szereg parametrów mających pośredni lub bezpośredni wpływ finansowy na działanie organizacji.
Decydując się na przeprowadzenie analizy ryzyk zyskacie Państwo:
- Pełną identyfikację zasobów organizacji oraz ich wartości dla organizacji.
- Identyfikację zagrożeń.
- Prognozę możliwości wystąpienia strat w wyniku zmaterializowania się ponoszonych ryzyk.
- Propozycję działań, które zminimalizują przewidywane straty.
W ramach naszych prac wykorzystujemy między innymi następujące metody i standardy pracy:
- The IT Risk Framework, Enterprise Risk: Identify, Govern and Manage IT Risk, ISACA.
- Mehari: metoda zarządzania i analizy ryzyka rozwijana przez CLUSIF - Club de la Sécurité de l'Information Française.
- CRAMM: "CCTA Risk Assessment and Management Methodology" metodyka pierwotnie opracowana na potrzeby rządu Wielkiej Brytani, w okresie późniejszym skomercjalizowana.
- OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation metodologia analizy ryzyka, będąca własnością CERT i przez nią utrzymywana.
- CiticusOne: komercyjne oprogramowanie stworzone przez Citicus, bazujące na jednej z najbardziej znanych metodyk analizy ryzyka zwanej FIRM, opracowanej przez Information Security Forum.
- ISO TR 13335: ten wielostronicowy raport techniczny opracowany przez ISO określany jako wytyczne do zarządzania bezpieczeństwem systemów informatycznych, będzie podstawą opracowywanego standardu ISO 27005 związanego z procesem zarządzania ryzykiem.
- AS/NZS 4360:2004: uznany standard, dotyczący zarządzania ryzykiem, opublikowany wspólnie z Australia Standards oraz New Zealand Standards.
- HB 436:2004: wytyczne do zarządzania ryzykiem rozszerzające standard AS/NZS 4360.
- NIST SP 800-30: wytyczne do zarządzania ryzykiem w systemach IT stworzone przez NIST. Jest to darmowe 55 stronnicowe opracowanie.
- Proteus Enterprise: narzędzie przeznaczone do zarządzania ryzykiem w obszarze bezpieczeństwa, opracowane przez Veridion, a dystrybuowane przez BSI.
- ISO 31000: jest to nowy standard ISO, obecnie na etapie projektu, zawierający wytyczne w zakresie ogólnego implementowania procesu zarządzania ryzykiem. Standard nie jest opracowywany z myślą o IT czy bezpieczeństwie informacji.
WG