Analiza Ryzyka dla bezpieczeństwa danych osobowych
Przedstawiamy Państwu programy do analizy ryzyka danych osobowych, w dystrybucji są 3 programy ARDO EXPERT, ARDO STANDARD i ARDO SMALL. Szczegółowy opis oprogramowania znajduje się poniżej.
Program ARDO (EXPERT, STANDARD, SMALL) umożliwia przeprowadzenie analizy ryzyka ogólnie stosowaną i najpopularniejszą metodyką, w której ryzyko naruszenia bezpieczeństwa wylicza się jako kombinację prawdopodobieństwa wystąpienia zagrożenia (niepożądanego zdarzenia) oraz skutków działania zagrożenia na aktywa (konsekwencje wystąpienia niepożądanego zdarzenia). Program generuje macierz ryzyka, w której przedstawiono ryzyka naruszenia bezpieczeństwa aktywów w wyniku działania zagrożeń. Program zawiera biblioteki aktywów, zagrożeń, podatności, zabezpieczeń i umożliwia automatyzację pracy. Szczegółowe wytyczne dotyczące całościowego procesu zarządzania ryzykiem przedstawiono w normie ISO/IEC 27005 . W programie ARDO (EXPERT, STANDARD, SMALL) zastosowano metodykę jakościową. Ryzyko naruszenia bezpieczeństwa wyliczane jest jako iloczyn prawdopodobieństwa wystąpienia zagrożenia i skutków działania zagrożenia na aktywa (R=PxS).
Cechy programów ARDO (EXPERT, STANDARD, SMALL):
generowanie macierzy ryzyka
raportowanie
automatyzacja pracy
biblioteki danych
zapisywanie stanu do pliku
Prezentacja wideo ARDO EXPERT:
Prezentacja wideo ARDO STANDARD:
Prezentacja wideo ARDO SMALL:
Instrukcje wideo ARDO EXPERT:
Prezentacja wideo ARDO EXPERT - przykład analizy ryzyka danych osobowych
Prezentacja wideo ARDO EXPERT - przykład analizy ryzyka danych osobowych - szczególne kategorie
Porównanie wersji programów ARDO (EXPERT, STANDARD, SMALL)
Porównanie wersji
ARDO EXPERT
ARDO STANDARD
ARDO SMALL
Biblioteka aktywów
pełna
pełna
częściowa
Edycja biblioteki aktywów
TAK
TAK
TAK
Dodawanie nowych aktywów
TAK
TAK
NIE
Podział na aktywa podstawowe i wspierające (ISO)
TAK
NIE
NIE
Wartościowanie aktywów (ISO)
TAK
NIE
NIE
Zależności między aktywami (ISO)
TAK
NIE
NIE
Biblioteka zagrożeń
pełna
pełna
częściowa
Edycja biblioteki zagrożeń
TAK
TAK
NIE
Dodawanie nowych zagrożeń
TAK
TAK
NIE
Biblioteka podatności
pełna
pełna
częściowa
Edycja biblioteki podatności
TAK
TAK
NIE
Dodawanie nowych podatności
TAK
TAK
NIE
Biblioteka zabezpieczeń
pełna
pełna
częściowa
Edycja biblioteki zabezpieczeń
TAK
TAK
TAK
Dodawanie nowych zabezpieczeń
TAK
TAK
NIE
Konfiguracja raportów
pełna
pełna
pełna
Przeznaczenie
Wszystkie firmy i jednostki organizacyjne: duże, średnie, małe
Wszystkie firmy i jednostki organizacyjne: duże, średnie, małe
Małe firmy i jednostki organizacyjne, np. punkty usługowe
Cennik oprogramowania
Pakiet EXPERT
Analiza Ryzyka Danych Osobowych
ARDO EXPERT 2.0
ARDO STANDARD 2.0
ARDO SMALL 2.0
Licencja
1 rok
2 lata
3 lata
Cena zł (brutto)
700 zł
800 zł
900 zł
Przedłużenie licencji o 1 rok: 300 zł
Pakiet STANDARD
Analiza Ryzyka Danych Osobowych
ARDO STANDARD 2.0
Licencja
1 rok
2 lata
3 lata
Cena zł (brutto)
400 zł
500 zł
600 zł
Przedłużenie licencji o 1 rok: 200 zł
Pakiet SMALL
Analiza Ryzyka Danych Osobowych
ARDO SMALL 2.0
Licencja
1 rok
2 lata
3 lata
Cena zł (brutto)
150 zł
200 zł
250 zł
Podmioty, które posiadają licencję na program ARIN2.0 otrzymują rabat na zakup licencji programu ARDO EXPERT, STANDARD i SMALL. Rabat ustalany jest indywidualnie.
Informacje o wersji można uzyskać w programie “Menu Górne->Pomoc->O programie”
Podmioty, które posiadają wcześniejszą wersję mogą pobrać wersję DEMO i zainstalować w celu aktualizacji oprogramowania.
Wersja dla systemu macOS
Program dystrybuowany jest również na komputery z systemem macOS.
W celu otrzymania wersji demonstracyjnej dla systemu macOS proszę o kontakt przez formularz kontaktowy.
Instalacja oprogramowania - pomoc
W celu instalacji oprogramowania należy pobrać ze strony wersję demonstracyjną (DEMO) programu.
Plik instalacyjny jest spakowany w formacie ZIP.
Należy rozpakować wersję instalacyjną i zainstalować program.
Po zainstalowaniu oprogramowania można uruchomić program w wersji DEMO.
Po wprowadzeniu klucza licencyjnego wersja DEMO aktywuje się do wersji produkcyjnej.
Typowe problemy:
Przy próbie uruchomienia programu/wersji instalacyjnej (setup) w systemie Windows może pojawić się komunikat “Filtr SmartScreen usługi WindowsDefender uniemożliwił uruchomienie nierozpoznanej aplikacji …”. Należy kliknąć “Więcej informacji” następnie “Uruchom mimo to”. Pojawi się okno z zapytaniem “Czy chcesz zezwolić tej aplikacji pochodzącej od nieznanego wydawcy na wprowadzanie zmian na tym urządzeniu?” na którym należy kliknąć “TAK”.
Szczegółowe cechy programów ARDO
Ogólnie stosowana i najpopularniejsza metodyka analizy ryzyka
Program pozwala na identyfikację: aktywów, zagrożeń, podatności, zabezpieczeń
Program pozwala wskazać, które zagrożenia działają na aktywa, jakie te aktywa posiadają podatności, oraz wdrożyć optymalne zabezpieczenia
W programie możemy określić wielkość ryzyk i dokonać oceny ryzyka
Generowanie gotowych raportów zawierających analizę ryzyka dla bezpieczeństwa danych osobowych w organizacji
Zapisywanie raportu w formacie DOC
Zapisywanie stanu analizy ryzyka do pliku w celu późniejszego wykorzystania tych danych do kolejnej analizy ryzyka
Gotowe biblioteki danych
Automatyzacja pracy
Wymagania dla programów ARDO
Program działa w środowisku Windows i używa biblioteki JAVA. W celu uruchomienia programu należy posiadać zainstalowaną bibliotekę JAVA wersja 8 (co najmniej 1.8.0_171). W przypadku braku zainstalowanych na komputerze bibliotek JAVA można je pobrać z następujących stron internetowych:
Program Analiza Ryzyka Danych Osobowych ARDO2.0 prowadzi użytkownika przez kolejne kroki procesu szacowania ryzyka.
Użytkownik ma do dyspozycji gotowe biblioteki dzięki którym proces analizy ryzyka jest prowadzony w większości automatycznie, a działania użytkownika ograniczone są do minimum.
Użytkownik w pierwszym kroku dokonuje wyboru aktywów, przy czym, może skorzystać z gotowych profili, np. wskazać typowe zasoby, które występują dla jego organizacji. Po wyborze profilu zasoby zostaną zaznaczone automatycznie. Użytkownik może je w dowolny sposób zmieniać.
Następnie należy wybrać zagrożenia oddziałujące na aktywa i przyporządkować je do odpowiednich aktywów. Proces ten może odbyć się automatycznie po wczytaniu gotowych rozwiązań z biblioteki. Do aktywów zostaną przyporządkowane typowe zagrożenia.
Następny krok to wybór podatności dla aktywów. Użytkownik może skorzystać z gotowych profil i bibliotek danych.
Kolejny krok to wybór poziomu ryzyka akceptowalnego, czyli wartości poniżej której ryzyka naruszenia bezpieczeństwa są akceptowalne.
Ostatni krok to wybór wdrożonych środków ochrony (zabezpieczeń). Do wyboru są środki ochrony fizyczne, techniczne, organizacyjne, proceduralne.
Program umożliwia generowanie raportu, który zawiera wszystkie wprowadzone i wyliczone na tej podstawie elementy.
Proces analizy ryzyka
Analiza ryzyka jest częścią procesu zarządzania ryzykiem, a konkretniej jest częścią szacowania ryzyka. Szacowanie ryzyka obejmuje analizę ryzyka i ocenę ryzyka. Analiza ryzyka jest węższym pojęciem, nie zawiera bowiem oceny ryzyka.
Szacowanie ryzyka składa się z:
analizy ryzyka;
oceny ryzyka, czyli określenia, które ryzyka są akceptowalne poprzez porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować.
Analiza ryzyka jest to proces:
identyfikacji ryzyka;
określenia wielkości ryzyk.
W procesie identyfikacji ryzyka określamy kolejno:
aktywa systemu teleinformatycznego, czyli informacje, osoby, usługi, oprogramowanie, dane i sprzęt, a także inne elementy mające wpływ na bezpieczeństwo informacji
zagrożenia, czyli niepożądane zdarzenia, mogące mieć wpływ na informacje
podatności, czyli słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie
zabezpieczenia, czyli środki o charakterze fizycznym, technicznym lub organizacyjnym
skutki, czyli wynik działania zagrożenia
W procesie określenia wielkości ryzyk wyznacza się poziomy zidentyfikowanych ryzyk. Program w intuicyjny sposób pozwala na łatwe i bezproblemowe przeprowadzenie szacowania ryzyka i wybór odpowiednich środków ochrony.