F-tec.pl

Program do Analizy Ryzyka Informacji Niejawnych

ARIN 3.0 (Analiza Ryzyka Informacji Niejawnych)

Program do analizy ryzyka informacji niejawnych. Program umożliwia przeprowadzenie analizy ryzyka metodyką zgodną z zaleceniami Departamentu Bezpieczeństwa Teleinformatycznego ABW. Konieczność przeprowadzenia analizy ryzyka wynika z ustawy o ochronie informacji niejawnych, a także rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Dopuszczona do stosowania w systemach teleinformatycznych funkcjonujących w Ministerstwie Obrony Narodowej.

 Cechy programu:
  • generowanie raportu z szacowania ryzyka
  • metodyka zgodna z rozporządzeniem w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
  • automatyzacja pracy
  • gotowe biblioteki zasobów, podatności, zagrożeń, zabezpieczeń
  • zapisywanie stanu do pliku
Galeria ARIN 3.0
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Analiza Ryzyka Informacji Niejawnych
Cennik oprogramowania:
Analiza Ryzyka Informacji Niejawnych ARIN 3.0
Licencja1 rok2 lata3 lata
Cena zł (brutto)1300 zł1400 zł1500 zł

Przedłużenie licencji ARIN 3.0 o 1 rok: 600 zł

Podmioty, które posiadają aktualną licencję ARIN 2.0 mogą bezpłatnie otrzymać aktualizację do wersji ARIN 3.0

Program ARIN 3.0 dostępny także w pakiecie z innym oprogramowaniem:

Przejdź do strony z pakietem oprogramowania (kliknij tutaj)


Analiza Ryzyka Informacji Niejawnych ARIN 2.0
Licencja1 rok2 lata3 lata
Cena zł (brutto)1100 zł1200 zł1300 zł

Przedłużenie licencji ARIN 2.0 o 1 rok: 429 zł

KUPUJĘ

Po naciśnięciu przycisku kupuje otworzy się okno z formularzem zakupowym.


Pobierz oprogramowanie

Wersja demonstracyjna programu Analiza Ryzyka Informacji Niejawnych (ARIN 3.0, ARIN 2.0)

System Windows:

Pobierz wersję DEMO ARIN 3.0 (90 MB) – (kliknij tutaj)

Program ARIN 3.0 spakowany jest w ZIP, po rozpakowaniu zainstaluj program w Windows.

Pobierz wersję DEMO ARIN 2.0 (2 MB) – (kliknij tutaj)

Raport wygenerowany w ARIN przerobiony na PDF:

Pobierz przykładowy raport ARIN 3.0 (plik PDF) – (kliknij tutaj)

Pobierz przykładowy raport ARIN 2.0 (plik PDF) – (kliknij tutaj)

Instrukcja szacowania ryzyka w ARIN 3.0
KROK 1: Wybór klauzuli tajności (Kliknij, aby rozwinąć)

Kliknij okno „Dane systemu TI”.
1. Wprowadź nazwę podmiotu (jednostki organizacyjnej).
2. Wprowadź nazwę systemu TI
3. Wybierz klauzulę tajności systemu TI. Wskaż maksymalną klauzulę tajności informacji niejawnych przetwarzanych w systemie TI.
4. Wybierz skalę skutków dla poufności. Można wybrać skalę wg zaleceń DBTI ABW lub skalę standardową. Skala standardowa charakteryzuje się tym, że niezależnie od klauzuli tajności zakres jest zawsze 0-10.
5. Wprowadź opis systemu TI.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 2: Wybór zasobów (Kliknij, aby rozwinąć)

Kliknij okno „Wybór zasobów z biblioteki”.
1. Wybierz profil zasobów, który jest najbardziej zbliżony do zasobów rozpatrywanych w analizie ryzyka.
2. Możesz samodzielnie wybrać dodatkowe zasoby, które biorą udział w analizie ryzyka, możesz też odznaczyć zasoby, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa zasoby, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych zasobów kliknij „Zatwierdź ZASOBY”. Po kliknięciu przycisku zmieni się informacja o wybranych zasobach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 3: Wybór zagrożeń (Kliknij, aby rozwinąć)

Kliknij okno „Wybór zagrożeń z biblioteki”.
1. Wybierz profil zagrożeń. Dla większości analiz ryzyka wystarczy wybrać „Standardowy”, w przypadku sieci TI, wybierz „Sieć”.
2. Możesz samodzielnie wybrać dodatkowe zagrożenia, które biorą udział w analizie ryzyka, możesz też odznaczyć zagrożenia, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa zagrożenia, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych zagrożeń kliknij „Zatwierdź zagrożenia”. Po kliknięciu przycisku zmieni się informacja o wybranych zagrożeniach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 4: Identyfikacja zagrożeń działających na zasoby (Kliknij, aby rozwinąć)

Kliknij okno „Zagrożenia->Zasoby”.
1. Kliknij zielony przycisk „Wczytaj bibliotekę”.
2. Kliknij w oknie „Wczytaj bibliotekę” przycisk „Wczytaj”.
Zostanie wczytana biblioteka zagrożeń działających na zasoby.

Możesz również samodzielnie ustalić, które zagrożenia działają na zasoby klikając zasób, a następnie z drzewa wybierając zagrożenia działające na dany zasób. Po wybraniu zagrożeń kliknij przycisk „Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik „Zagr.->Zasoby” obrazujący ile jest powiązań pomiędzy zasobami i zagrożeniami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 5: Wybór podatności (Kliknij, aby rozwinąć)

Kliknij okno „Wybór podatności z biblioteki”.
1. Wybierz profil podatności. Dla większości analiz ryzyka wystarczy wybrać „Standardowy”, w przypadku sieci TI, wybierz „Sieć”.
2. Możesz samodzielnie wybrać dodatkowe podatności, które biorą udział w analizie ryzyka, możesz też odznaczyć podatności, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa podatności, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych podatności kliknij „Zatwierdź podatności”. Po kliknięciu przycisku zmieni się informacja o wybranych podatnościach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 6: Identyfikacja podatności dla zasobów (Kliknij, aby rozwinąć)

Kliknij okno „Podatności->Zasoby”.
1. Kliknij zielony przycisk „Wczytaj bibliotekę”.
2. Kliknij w oknie „Wczytaj bibliotekę” przycisk „Wczytaj”.
Zostanie wczytana biblioteka podatności dla aktywów.

Możesz również samodzielnie ustalić, które podatności wybrać dla danego zasobu, klikając na zasób, a następnie z drzewa wybierając podatności dla danego zasobu. Po wybraniu podatności kliknij przycisk „Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik „Pod.->Zasoby” obrazujący ile jest powiązań pomiędzy zasobami i podatnościami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 7: Wybór zabezpieczeń (Kliknij, aby rozwinąć)

Kliknij okno „Wybór zabezpieczeń z biblioteki”.
1. Wybierz profil zabezpieczeń, który jest najbardziej zbliżony do zabezpieczeń rozpatrywanych w analizie ryzyka.
2. Możesz samodzielnie wybrać dodatkowe zabezpieczenia, które biorą udział w analizie ryzyka, możesz też odznaczyć zabezpieczenia, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa zabezpieczenia, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych zabezpieczeń kliknij „Zatwierdź”. Po kliknięciu przycisku zmieni się informacja o wybranych zabezpieczeniach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 8: Identyfikacja zabezpieczeń chroniących zasoby (Kliknij, aby rozwinąć)

Kliknij okno „Zabezpieczenia->Zasoby”.
1. Kliknij zielony przycisk „Wczytaj bibliotekę”.
2. Kliknij w oknie „Wczytaj bibliotekę” przycisk „Wczytaj”.
Zostanie wczytana biblioteka zabezpieczeń chroniących zasoby.

Możesz również samodzielnie ustalić, które zabezpieczenia chronią dane zasoby, klikając na zasób, a następnie z drzewa wybierając zabezpieczenia chroniące zasób. Po wybraniu zabezpieczeń kliknij przycisk „Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik „Zbezp.->Zasoby” obrazujący ile jest powiązań pomiędzy aktywami i zabezpieczeniami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 9: Identyfikacja zabezpieczeń przeciwdziałających zagrożeniom (Kliknij, aby rozwinąć)

Kliknij okno „Zabezpieczenia->Zagrożenia”.
1. Kliknij zielony przycisk „Wczytaj bibliotekę”.
2. Kliknij w oknie „Wczytaj bibliotekę” przycisk „Wczytaj”.
Zostanie wczytana biblioteka zabezpieczeń przeciwdziałających zagrożeniom.

Możesz również samodzielnie ustalić, które zabezpieczenia przeciwdziałają zagrożeniom, klikając na zagrożenie, a następnie z drzewa wybierając zabezpieczenia przeciwdziałające zagrożeniu. Po wybraniu zabezpieczeń kliknij przycisk „Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik „Zbezp.->Zagr.” obrazujący ile jest powiązań pomiędzy zagrożeniami i zabezpieczeniami.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 10: Zastosowanie niezbędnych zabezpieczeń (Kliknij, aby rozwinąć)

Kliknij okno „Macierz ryzyka po wdrożeniu niezbędnych zabezpieczeń”.
1. Kliknij zielony przycisk „Wczytaj bibliotekę”.
2. Kliknij w oknie „Wczytaj bibliotekę” przycisk „Wczytaj”.
Zostanie wczytana biblioteka zabezpieczeń (zostaną wczytane nowe podatności, skutki i ryzyka w macierzy ryzyka po uwzględnieniu niezbędnych zabezpieczeń).

W macierzach ryzyka możesz samodzielnie edytować podatności i skutki. Program zawiera standardowe biblioteki danych oparte na danych historycznych i statystycznych. Edycja tych wartości pozwoli dostosować podatności i skutki do specyfiki danej jednostki organizacyjnej, np. w nowym budynku podatność wystąpienia pożaru w wyniku zwarcia w instalacji elektrycznej jest niższe niż w starym budynku, w związku z czym można obniżyć podatność pożaru w macierzy ryzyka.

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
KROK 11: Raport z analizy ryzyka (Kliknij, aby rozwinąć)

Kliknij okno „Raporty”.
1. Wybierz profil raportu, czyli które rozdziały mają się znaleźć w końcowym raporcie z analizy ryzyka (szacowania ryzyka).
2. Możesz samodzielnie wybrać dodatkowe rozdziały w raporcie, możesz też odznaczyć rozdziały, które nie będą uwzględnione w raporcie. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa rozdziały, które chcesz uwzględnić w raporcie końcowym.
3. W oknie po prawej stronie wyświetlany spis streści raportu, który chcesz wygenerować.
4. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych rozdziałów kliknij „Generuj raport”. Po kliknięciu przycisku wybierz nazwę raportu i miejsce jego zapisu. Raport będzie wygenerowany jako plik DOCX (do odczytu w Microsoft Word).

Naciśnij na obrazek w celu powiększenia.

Analiza Ryzyka Informacji NiejawnychAnaliza Ryzyka Informacji Niejawnych
Prezentacja i instrukcje wideo ARIN 2.0:
Prezentacja wideo ARIN 2.0 (Kliknij, aby rozwinąć)
PRZYKŁADOWA analiza ryzyka ARIN 2.0 (Kliknij, aby rozwinąć)
ZASOBY ARIN 2.0 (Kliknij, aby rozwinąć)
ZAGROŻENIA ARIN 2.0 (Kliknij, aby rozwinąć)
PODATNOŚCI ARIN 2.0 (Kliknij, aby rozwinąć)
ZABEZPIECZENIA ARIN 2.0 (Kliknij, aby rozwinąć)
MACIERZ RYZYKA ARIN 2.0 (Kliknij, aby rozwinąć)
OCENA RYZYKA ARIN 2.0 (Kliknij, aby rozwinąć)
Galeria ARIN 2.0
Dodatkowe informacje
Szczegółowe cechy programu ARIN 3.0, 2.0 (Kliknij, aby rozwinąć)
  • Metodyka zgodna z zaleceniami Departamentu Bezpieczeństwa Teleinformatycznego ABW
  • Metodyka zgodna z rozporządzeniem Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
  • Metodyka stosowana w systemach teleinformatycznych funkcjonujących w Ministerstwie Obrony Narodowej
  • Metodyka stosowana w systemach teleinformatycznych funkcjonujących w sferze cywilnej
  • Program pozwala na identyfikację: zasobów, zagrożeń, wskazanie które zagrożenia działają na które zasoby, określenie wielkości ryzyk, wybór zabezpieczeń, ocenę ryzyka
  • Generowanie gotowych raportów zawierających analizę ryzyka
  • Zapisywanie raportu w formacie doc
  • Zapisywanie stanu analizy ryzyka do pliku w celu późniejszego wykorzystania tych danych do kolejnej analizy ryzyka
  • Gotowe biblioteki danych
  • Automatyzacja pracy
Instalacja oprogramowania ARIN 3.0 dla WINDOWS - pomoc (Kliknij, aby rozwinąć)
  • W celu instalacji oprogramowania należy pobrać ze strony wersję demonstracyjną (DEMO) programu.
  • Plik instalacyjny jest spakowany w formacie ZIP. 
  • Należy rozpakować wersję instalacyjną i zainstalować program.
  • Po zainstalowaniu oprogramowania można uruchomić program w wersji DEMO.
  • Po wprowadzeniu klucza licencyjnego wersja DEMO aktywuje się do wersji produkcyjnej.

Typowe problemy:

  • Przy próbie uruchomienia programu/wersji instalacyjnej (setup) w systemie Windows może pojawić się komunikat „Filtr SmartScreen usługi WindowsDefender uniemożliwił uruchomienie nierozpoznanej aplikacji …”.  Należy kliknąć „Więcej informacji” następnie „Uruchom mimo to”. Pojawi się okno z zapytaniem „Czy chcesz zezwolić tej aplikacji pochodzącej od nieznanego wydawcy na wprowadzanie zmian na tym urządzeniu?” na którym należy kliknąć „TAK”.
Wymagania ARIN 3.0 (Kliknij, aby rozwinąć)

Microsoft Windows:
Wymagany jest system Windows 7, 10, 11

Wymagania ARIN 2.0 (Kliknij, aby rozwinąć)

Program działa w środowisku Windows i używa biblioteki JAVA. W celu uruchomienia programu należy posiadać zainstalowaną bibliotekę JAVA wersja co najmniej 6 update 37.
W przypadku braku zainstalowanych na komputerze bibliotek JAVA można je pobrać z następujących stron internetowych:

-Biblioteka JAVA dla systemu 32 bitowego dostępna jest na stronie projektu lub na stronie producenta JAVA
-Biblioteka JAVA dla systemu 64 bitowego dostępna jest na stronie projektu lub na stronie producenta JAVA

Opis programu ARIN 3.0, 2.0 (Kliknij, aby rozwinąć)

Analiza ryzyka jest kluczowym elementem procesu akredytacji bezpieczeństwa teleinformatycznego. Na podstawie analizy ryzyka dobieramy środki ochrony, które należy wdrożyć w systemie teleinformatycznym.

Program Analiza Ryzyka prowadzi użytkownika przez kolejne kroki procesu szacowania ryzyka.

Użytkownik ma do dyspozycji gotowe biblioteki dzięki którym proces analizy ryzyka jest prowadzony w większości automatycznie, a działania użytkownika ograniczone są do minimum.

Użytkownik w pierwszym kroku dokonuje wyboru zasobów, przy czym, może skorzystać z gotowych profili zasobów, np. wskazać typowe zasoby dla autonomicznego stanowiska komputerowego. Po wyborze profilu zasoby zostaną zaznaczone automatycznie. Użytkownik może je w dowolny sposób zmieniać.

Następnie należy wybrać zagrożenia oddziałujące na zasoby i przyporządkować je do odpowiednich zasobów. Proces ten może odbyć się automatycznie po wczytaniu gotowych rozwiązań z biblioteki. Do zasobów zostaną przyporządkowane typowe zagrożenia.

Kolejny krok to wybór poziomu ryzyka akceptowalnego. Domyślnie ustawiona jest wartość 35 na 100. Jest to wartość poniżej której ryzyka naruszenia bezpieczeństwa są akceptowalne.

Ostatni krok to wybór wdrożonych środków ochrony. Do wyboru są środki ochrony fizyczne, techniczne, organizacyjne, proceduralne. Środki ochrony fizycznej są zgodne ze środkami ochrony fizycznej z rozporządzenia Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych.

Program umożliwia generowanie raportu, który zawiera wszystkie wprowadzone i wyliczone na tej podstawie elementy.

Proces analizy ryzyka (Kliknij, aby rozwinąć)

Analiza ryzyka jest częścią procesu zarządzania ryzykiem, a konkretniej jest częścią szacowania ryzyka. Szacowanie ryzyka obejmuje analizę ryzyka i ocenę ryzyka. Analiza ryzyka jest węższym pojęciem, nie zawiera bowiem oceny ryzyka. W procesie akredytacji bezpieczeństwa teleinformatycznego wybór środków ochrony odbywa się na podstawie szacowania ryzyka.

Szacowanie ryzyka składa się z:

  • analizy ryzyka;
  • oceny ryzyka, czyli określenia, które ryzyka są akceptowalne poprzez porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować.

Analiza ryzyka jest to proces:

  • identyfikacji ryzyka;
  • określenia wielkości ryzyk.

W procesie identyfikacji ryzyka określamy kolejno:

  • zasoby systemu teleinformatycznego, czyli informacje niejawne, osoby, usługi, oprogramowanie, dane i sprzęt, a także inne elementy mające wpływ na bezpieczeństwo informacji
  • zagrożenia, czyli niepożądane zdarzenia, mogące mieć wpływ na informacje niejawne
  • podatności, czyli słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożeni
  • zabezpieczenia, czyli środki o charakterze fizycznym, technicznym lub organi­zacyjnym
  • skutki, czyli wynik działania zagrożenia

W procesie określenia wielkości ryzyk wyznacza się poziomy zidentyfikowanych ryzyk. Program w intuicyjny sposób pozwala na łatwe i bezproblemowe przeprowadzenie szacowania ryzyka i wybór odpowiednich środków ochrony.