F-tec

Program do Szacowania Ryzyka Bezpieczeństwa Informacji


Cechy programu SARBI


Galeria programu SARBI


Zarządzenie ryzykiem wg ISO/IEC 27005:2022

Zarządzanie ryzykiem ISO/IEC 27005:2022
SARBI - szacowania ryzyka zgodnie z normą ISO/IEC 27005:2022 (Kliknij, aby rozwinąć)

Proces szacowania ryzyka zgodnie z normą ISO/IEC 27005:2022 oraz zaimplementowany w programie SARBI obejmuje następujące kroki:

1. Identyfikacja ryzyka

a) Identyfikacja aktywów
Aktywa — są to informacje, jak również osoby, usługi, oprogramowanie, dane i sprzęt oraz inne elementy mające wpływ na bezpieczeństwo tych informacji.
b) Identyfikacja zagrożeń działających na aktywa
Zagrożenie — jest to potencjalna przyczyna niepożądanego zdarzenia, które może wywołać szkodę w zasobach.
c) Identyfikacja podatności
Podatność – jest to słabość aktywa lub zabezpieczenia, która może zostać wykorzystana przez zagrożenie.
d) Identyfikacja zabezpieczeń chroniących aktywa i przeciwdziałających zagrożeniom.
Wybór zabezpieczeń wdrożonych lub planowanych do wdrożenia do ochrony.
Zabezpieczenie – jest to środek o charakterze fizycznym, technicznym lub organizacyjnym zmniejszający ryzyko.

2. Analiza ryzyka

Wyznaczenie poziomów prawdopodobieństw, skutków i ryzyk oraz wskazanie ryzyka akceptowalnego.
Wyznaczenie poziomów zidentyfikowanych ryzyk.
Ryzyko wyliczane jest jako iloczyn skutków i prawdopodobieństw.
a) Wyliczenie macierzy ryzyka bez niezbędnych zabezpieczeń (wstępne szacowanie ryzyka)
b) Wyliczenie macierzy ryzyka po wdrożeniu niezbędnych zabezpieczeń

3. Ocena ryzyka

Porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować.
Na podstawie oceny podejmuje się decyzję co do dalszego postępowania z ryzykami.
a) Ryzyka akceptowalne
b) Ryzyka nieakceptowalne – należy wdrożyć działania zaradcze takie jak:
-obniżanie ryzyka przez wdrażanie zabezpieczeń
-pozostawienie ryzyka na poziomie określonym w procesie szacowania ryzyka i zaniechanie dalszych działań
-unikanie ryzyka przez niepodejmowanie działań będących źródłem ryzyka
-przeniesienie ryzyka na inny podmiot w zakresie odpowiedzialności za zarządzanie ryzykiem bez możliwości przeniesienia odpowiedzialności za skutki wynikające z naruszenia poufności, integralności lub dostępności informacji.

SARBI - biblioteka zabezpieczeń zgodnie z ISO/IEC 27001:2023 Aneks A, ISO/IEC 27002:2023 (Kliknij, aby rozwinąć)

SARBI zawiera rozbudowaną bibliotekę zabezpieczeń, umożliwiającą identyfikację i wdrożenie odpowiednich środków ochrony zgodnie z normami PN-EN ISO/IEC 27002:2023, PN-EN ISO/IEC 27001:2023 Aneks A.

Zabezpieczenia zostały pogrupowane według obszarów zabezpieczeń opisanych w normach ISO/IEC.

Zgodnie z normą mamy następujące obszary zabezpieczeń:
5 Organizacja bezpieczeństwa informacji
5.1 Polityki bezpieczeństwa informacji
5.2 Role i odpowiedzialności w zakresie bezpieczeństwa informacji
5.3 Podział obowiązków
5.4 Odpowiedzialność kierownictwa
5.5 Kontakt z władzami
5.6 Kontakt z grupami specjalnego zainteresowania
5.7 Analiza zagrożeń
5.8 Bezpieczeństwo informacji w zarządzaniu projektami
5.9 Inwentaryzacja informacji i innych powiązanych zasobów
5.10 Akceptowalne użycie informacji i innych powiązanych zasobów
5.11 Zwrot zasobów
5.12 Klasyfikacja informacji
5.13 Oznaczanie informacji
5.14 Transfer informacji
5.15 Kontrola dostępu
5.16 Zarządzanie tożsamością
5.17 Informacje uwierzytelniające
5.18 Prawa dostępu
5.19 Bezpieczeństwo informacji w relacjach z dostawcami
5.20 Uwzględnienie bezpieczeństwa informacji w umowach z dostawcami
5.21 Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT
5.22 Monitorowanie, przegląd i zarządzanie zmianami usług dostawców
5.23 Bezpieczeństwo informacji w korzystaniu z usług chmurowych
5.24 Planowanie i przygotowanie zarządzania incydentami bezpieczeństwa informacji
5.25 Ocena i decyzje dotyczące zdarzeń bezpieczeństwa informacji
5.26 Reakcja na incydenty bezpieczeństwa informacji
5.27 Wyciąganie wniosków z incydentów bezpieczeństwa informacji
5.28 Gromadzenie dowodów
5.29 Bezpieczeństwo informacji podczas zakłóceń
5.30 Gotowość ICT do ciągłości działania
5.31 Wymagania prawne, ustawowe, regulacyjne i umowne
5.32 Prawa własności intelektualnej
5.33 Ochrona zapisów
5.34 Prywatność i ochrona danych osobowych (PII)
5.35 Niezależny przegląd bezpieczeństwa informacji
5.36 Zgodność z politykami, zasadami i standardami bezpieczeństwa informacji
5.37 Udokumentowane procedury operacyjne
6 Bezpieczeństwo zasobów ludzkich
6.1 Weryfikacja
6.2 Warunki zatrudnienia
6.3 Świadomość, edukacja i szkolenia w zakresie bezpieczeństwa informacji
6.4 Proces dyscyplinarny
6.5 Obowiązki po zakończeniu lub zmianie zatrudnienia
6.6 Umowy o poufności lub o zachowaniu tajemnicy
6.7 Praca zdalna
6.8 Raportowanie zdarzeń związanych z bezpieczeństwem informacji
7 Bezpieczeństwo fizyczne
7.1 Fizyczne granice bezpieczeństwa
7.2 Kontrola wejścia
7.3 Zabezpieczanie biur, pomieszczeń i obiektów
7.4 Monitorowanie bezpieczeństwa fizycznego
7.5 Ochrona przed zagrożeniami fizycznymi i środowiskowymi
7.6 Praca w strefach bezpiecznych
7.7 Zasada czystego biurka i czystego ekranu
7.8 Lokalizacja i ochrona sprzętu
7.9 Bezpieczeństwo zasobów poza siedzibą
7.10 Nośniki danych
7.11 Infrastruktura pomocnicza
7.12 Bezpieczeństwo okablowania
7.13 Konserwacja sprzętu
7.14 Bezpieczna utylizacja lub ponowne użycie sprzętu
8 Bezpieczeństwo technologiczne
8.1 Urządzenia końcowe użytkowników
8.2 Uprawnienia dostępu uprzywilejowanego
8.3 Ograniczenie dostępu do informacji
8.4 Dostęp do kodu źródłowego
8.5 Bezpieczne uwierzytelnianie
8.6 Zarządzanie pojemnością
8.7 Ochrona przed złośliwym oprogramowaniem
8.8 Zarządzanie podatnościami technicznymi
8.9 Zarządzanie konfiguracją
8.10 Usuwanie informacji
8.11 Maskowanie danych
8.12 Zapobieganie wyciekowi danych
8.13 Tworzenie kopii zapasowych informacji
8.14 Redundancja obiektów przetwarzania informacji
8.15 Rejestrowanie zdarzeń
8.16 Monitorowanie aktywności
8.17 Synchronizacja zegarów
8.18 Użycie uprzywilejowanych programów narzędziowych
8.19 Instalacja oprogramowania w systemach operacyjnych
8.20 Bezpieczeństwo sieci
8.21 Bezpieczeństwo usług sieciowych
8.22 Segmentacja sieci
8.23 Filtrowanie stron internetowych
8.24 Stosowanie kryptografii
8.25 Bezpieczny cykl życia rozwoju
8.26 Wymagania bezpieczeństwa aplikacji
8.27 Zasady bezpiecznej architektury i inżynierii systemów
8.28 Bezpieczne kodowanie
8.29 Testowanie bezpieczeństwa w fazie rozwoju i akceptacji
8.30 Rozwój zlecany na zewnątrz
8.31 Rozdzielenie środowisk rozwojowych, testowych i produkcyjnych
8.32 Zarządzanie zmianami
8.33 Informacje testowe
8.34 Ochrona systemów informacyjnych podczas testów audytowych


Cennik oprogramowania

SARBI
Szacowanie Ryzyka Bezpieczeństwa Informacji
Licencja1 rok2 lata3 lata
Cena zł (brutto)1100 zł1200 zł1300 zł

Przejdź do strony z pakietem oprogramowania (kliknij tutaj)


Pobierz oprogramowanie

Pobierz wersję DEMO SARBI (90 MB) (kliknij w link)


Pobierz raport

Pobierz przykładowy raport SARBI w PDF (kliknij w link)


Instrukcja szacowania ryzyka w SARBI

KROK 1: Wybór rodzaju informacji (Kliknij, aby rozwinąć)

Pierwszym krokiem jest wybór rodzaju (typu) informacji, dla którego będzie przeprowadzane szacowanie ryzyka. Wybrany rodzaj informacji będzie uwzględniony w szacowaniu ryzyka.

Możliwe jest wybranie rodzaju informacji na 3 różne sposoby. Skorzystaj z jednego z nich.
1. Wybór według SEKTORA.
2. Wybór według rodzaju informacji.
3. Samodzielne wpisanie rodzaju informacji.

1. Wybór według SEKTORA.
Kliknij okno “Rodzaj informacji”.
1.1 Wybierz Sektor.
1.2 Wybierz Podsektor, jeżeli jest dostępny.
1.3 Wybierz Usługę kluczową.
Po wybraniu powyższych elementów wypełni się automatycznie “Rodzaj informacji” oraz “Opis informacji”. Możesz samodzielnie zmodyfikować te wpisy.
1.4 Kliknij “Zatwierdź”
Po kliknięciu “Zatwierdź” zostanie wpisany nowy rodzaj informacji, zmodyfikowane zostaną nazwy i opisy zasobów informacyjnych.

Naciśnij na obrazek w celu powiększenia.

2. Wybór według rodzaju informacji.
Kliknij okno “Rodzaj informacji”.
2.1 Możesz filtrować dostępne rodzaje informacji.
2.2 Wybierz z listy rodzaj informacji.
Po wybraniu powyższych elementów wypełni się automatycznie “Rodzaj informacji” oraz “Opis informacji”. Możesz samodzielnie zmodyfikować te wpisy.
2.3 Kliknij “Zatwierdź”
Po kliknięciu “Zatwierdź” zostanie wpisany nowy rodzaj informacji, zmodyfikowane zostaną nazwy i opisy zasobów informacyjnych.

Naciśnij na obrazek w celu powiększenia.

3. Samodzielne wpisanie rodzaju informacji.
Kliknij okno “Rodzaj informacji”.
3.1 Wpisz własny rodzaj informacji (np. nie znalazłeś rodzaju informacji z dostępnych opcji, w związku czym chcesz wpisać swój rodzaj informacji).
3.2 Wpisz usługę kluczową.
3.3 Wpisz opis informacji.
3.4 Kliknij “Zatwierdź”
Po kliknięciu “Zatwierdź” zostanie wpisany nowy rodzaj informacji, zmodyfikowane zostaną nazwy i opisy zasobów informacyjnych.

Naciśnij na obrazek w celu powiększenia.

KROK 2: Wybór aktywów (Kliknij, aby rozwinąć)

Kliknij okno “Wybór aktywów z biblioteki”.
1. Wybierz profil aktywów, który jest najbardziej zbliżony do aktywów rozpatrywanych w analizie ryzyka.
2. Możesz samodzielnie wybrać dodatkowe aktywa, które biorą udział w analizie ryzyka, możesz też odznaczyć aktywa, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa aktywów zasoby, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych aktywów kliknij “Zatwierdź aktywa”. Po kliknięciu przycisku zmieni się informacja o wybranych aktywach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

KROK 3: Wybór zagrożeń (Kliknij, aby rozwinąć)

Kliknij okno “Wybór zagrożeń z biblioteki”.
1. Wybierz profil zagrożeń. Dla większości analiz ryzyka wystarczy wybrać “Standardowy”.
2. Możesz samodzielnie wybrać dodatkowe zagrożenia, które biorą udział w analizie ryzyka, możesz też odznaczyć zagrożenia, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa zagrożenia, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych zagrożeń kliknij “Zatwierdź zagrożenia”. Po kliknięciu przycisku zmieni się informacja o wybranych zagrożeniach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

KROK 4: Identyfikacja zagrożeń działających na aktywa (Kliknij, aby rozwinąć)

Kliknij okno “Zagrożenia->Aktywa”.
1. Kliknij zielony przycisk “Wczytaj bibliotekę”.
2. Kliknij w oknie “Wczytaj bibliotekę” przycisk “Wczytaj”.
Zostanie wczytana biblioteka zagrożeń działających na aktywa.

Możesz również samodzielnie ustalić, które zagrożenia działają na aktywa klikając aktywo, a następnie z drzewa wybierając zagrożenia działające na dane aktywo. Po wybraniu zagrożeń kliknij przycisk “Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik “Zagr.->Aktywa” obrazujący ile jest powiązań pomiędzy aktywami i zagrożeniami.

Naciśnij na obrazek w celu powiększenia.

KROK 5: Wybór podatności (Kliknij, aby rozwinąć)

Kliknij okno “Wybór podatności z biblioteki”.
1. Wybierz profil podatności. Dla większości analiz ryzyka wystarczy wybrać “Standardowy”.
2. Możesz samodzielnie wybrać dodatkowe podatności, które biorą udział w analizie ryzyka, możesz też odznaczyć podatności, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa podatności, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych podatności kliknij “Zatwierdź podatności”. Po kliknięciu przycisku zmieni się informacja o wybranych podatnościach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

KROK 6: Identyfikacja podatności dla aktywów (Kliknij, aby rozwinąć)

Kliknij okno “Podatności->Aktywa”.
1. Kliknij zielony przycisk “Wczytaj bibliotekę”.
2. Kliknij w oknie “Wczytaj bibliotekę” przycisk “Wczytaj”.
Zostanie wczytana biblioteka podatności dla aktywów.

Możesz również samodzielnie ustalić, które podatności wybrać dla danego aktywa, klikając na aktywo, a następnie z drzewa wybierając podatności dla danego aktywa. Po wybraniu podatności kliknij przycisk “Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik “Pod.->Aktywa” obrazujący ile jest powiązań pomiędzy aktywami i podatnościami.

Naciśnij na obrazek w celu powiększenia.

KROK 7: Wybór zabezpieczeń (Kliknij, aby rozwinąć)

Kliknij okno “Wybór zabezpieczeń z biblioteki”.
1. Wybierz profil zabezpieczeń, który jest najbardziej zbliżony do zabezpieczeń rozpatrywanych w analizie ryzyka.
2. Możesz samodzielnie wybrać dodatkowe zabezpieczenia, które biorą udział w analizie ryzyka, możesz też odznaczyć zabezpieczenia, które nie będą uwzględnione w analizie ryzyka. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa zabezpieczenia, które chcesz uwzględnić.
3. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych zabezpieczeń kliknij “Zatwierdź”. Po kliknięciu przycisku zmieni się informacja o wybranych zabezpieczeniach na polu ze wskaźnikami.

Naciśnij na obrazek w celu powiększenia.

KROK 8: Identyfikacja zabezpieczeń chroniących aktywa (Kliknij, aby rozwinąć)

Kliknij okno “Zabezpieczenia->Aktywa”.
1. Kliknij zielony przycisk “Wczytaj bibliotekę”.
2. Kliknij w oknie “Wczytaj bibliotekę” przycisk “Wczytaj”.
Zostanie wczytana biblioteka zabezpieczeń chroniących aktywa.

Możesz również samodzielnie ustalić, które zabezpieczenia chronią dane aktywa, klikając na aktywo, a następnie z drzewa wybierając zabezpieczenia chroniące aktywo. Po wybraniu zabezpieczeń kliknij przycisk “Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik “Zbezp.->Aktywa” obrazujący ile jest powiązań pomiędzy aktywami i zabezpieczeniami.

Naciśnij na obrazek w celu powiększenia.

KROK 9: Identyfikacja zabezpieczeń przeciwdziałających zagrożeniom (Kliknij, aby rozwinąć)

Kliknij okno “Zabezpieczenia->Zagrożenia”.
1. Kliknij zielony przycisk “Wczytaj bibliotekę”.
2. Kliknij w oknie “Wczytaj bibliotekę” przycisk “Wczytaj”.
Zostanie wczytana biblioteka zabezpieczeń przeciwdziałających zagrożeniom.

Możesz również samodzielnie ustalić, które zabezpieczenia przeciwdziałają zagrożeniom, klikając na zagrożenie, a następnie z drzewa wybierając zabezpieczenia przeciwdziałające zagrożeniu. Po wybraniu zabezpieczeń kliknij przycisk “Zatwierdź”. Po każdej zmianie aktualizuje się wskaźnik “Zbezp.->Zagr.” obrazujący ile jest powiązań pomiędzy zagrożeniami i zabezpieczeniami.

Naciśnij na obrazek w celu powiększenia.

KROK 10: Zastosowanie niezbędnych zabezpieczeń (Kliknij, aby rozwinąć)

Kliknij okno “Macierz ryzyka po wdrożeniu niezbędnych zabezpieczeń”.
1. Kliknij zielony przycisk “Wczytaj bibliotekę”.
2. Kliknij w oknie “Wczytaj bibliotekę” przycisk “Wczytaj”.
Zostanie wczytana biblioteka zabezpieczeń (zostaną wczytane nowe prawdopodobieństwa, skutki i ryzyka w macierzy ryzyka po uwzględnieniu niezbędnych zabezpieczeń).

W macierzach ryzyka możesz samodzielnie edytować prawdopodobieństwa i skutki. Program zawiera standardowe biblioteki danych oparte na danych historycznych i statystycznych. Edycja tych wartości pozwoli dostosować prawdopodobieństwa i skutki do specyfiki danej jednostki organizacyjnej, np. w nowym budynku prawdopodobieństwo wystąpienia pożaru w wyniku zwarcia w instalacji elektrycznej jest niższe niż w starym budynku, w związku z czym można obniżyć prawdopodobieństwo pożaru w macierzy ryzyka.

Naciśnij na obrazek w celu powiększenia.

KROK 11: Raport z szacowania ryzyka (Kliknij, aby rozwinąć)

Kliknij okno “Raporty”.
1. Wybierz profil raportu, czyli które rozdziały mają się znaleźć w końcowym raporcie z analizy ryzyka (szacowania ryzyka).
2. Możesz samodzielnie wybrać dodatkowe rozdziały w raporcie, możesz też odznaczyć rozdziały, które nie będą uwzględnione w raporcie. Możesz również nie korzystać z profili tylko samemu wybrać z drzewa rozdziały, które chcesz uwzględnić w raporcie końcowym.
3. W oknie po prawej stronie wyświetlany spis streści raportu, który chcesz wygenerować.
4. Po wybraniu profilu i ewentualnym dodaniu/usunięciu innych rozdziałów kliknij “Generuj raport”. Po kliknięciu przycisku wybierz nazwę raportu i miejsce jego zapisu. Raport będzie wygenerowany jako plik DOCX (do odczytu w Microsoft Word).

Naciśnij na obrazek w celu powiększenia.


Dodatkowe informacje

Skróty plików do pobrania SHA256 (Kliknij, aby rozwinąć)

Poniżej podano skróty plików do pobrania ze strony:

SHA256 dla SARBIsetup.exe:
5cf5b2bc307882c46a124ed7e4be95ffc4215e28ae807535c55a6959c5bcfac8

SHA256 dla SARBIsetup.zip:
c32e5934b8173a593c342b5ff90e0d5c5d1d376c9ebfa3478189e1ed6894c5bd

W jakim celu prezentowane są skróty plików:
1. Weryfikacja integralności: Pozwala użytkownikom sprawdzić, czy pobrany plik nie został uszkodzony lub zmodyfikowany podczas transferu.
2. Bezpieczeństwo: Pomaga upewnić się, że plik nie został podmieniony przez złośliwe oprogramowanie.
3. Identyfikacja: Każdy plik ma unikalną sumę kontrolną, co ułatwia jego identyfikację.
4. Zgodność wersji: Umożliwia sprawdzenie, czy użytkownik ma dokładnie tę samą wersję pliku, co jest szczególnie ważne w przypadku oprogramowania czy aktualizacji.

Jak sprawdzić skrót pliku w WINDOWS
Otwórz Wiersz Polecenia (cmd).
Przejdź do katalogu zawierającego plik, dla którego chcesz obliczyć sumę kontrolną.
Użyj polecenia CertUtil zgodnie z przykładem, a następnie porównaj czy skrót wygenerowany przez Ciebie jest taki sam jak prezentowany na stronie internetowej.
Przykład (polecenie w wierszu poleceń cmd):
CertUtil -hashfile ardoPLUSsetup.zip SHA256


Instalacja oprogramowania WINDOWS - pomoc (Kliknij, aby rozwinąć)
  • W celu instalacji oprogramowania należy pobrać ze strony wersję demonstracyjną (DEMO) programu.
  • Plik instalacyjny jest spakowany w formacie ZIP. 
  • Należy rozpakować wersję instalacyjną i zainstalować program.
  • Po zainstalowaniu oprogramowania można uruchomić program w wersji DEMO.
  • Po wprowadzeniu klucza licencyjnego wersja DEMO aktywuje się do wersji produkcyjnej.

Typowe problemy:

  • Przy próbie uruchomienia programu/wersji instalacyjnej (setup) w systemie Windows może pojawić się komunikat “Filtr SmartScreen usługi WindowsDefender uniemożliwił uruchomienie nierozpoznanej aplikacji …”.  Należy kliknąć “Więcej informacji” następnie “Uruchom mimo to”. Pojawi się okno z zapytaniem “Czy chcesz zezwolić tej aplikacji pochodzącej od nieznanego wydawcy na wprowadzanie zmian na tym urządzeniu?” na którym należy kliknąć “TAK”.
Szczegółowe cechy programów SARBI (Kliknij, aby rozwinąć)
  • Ogólnie stosowana i najpopularniejsza metodyka analizy ryzyka
  • Program pozwala na identyfikację: aktywów, zagrożeń, podatności, zabezpieczeń
  • Program pozwala wskazać, które zagrożenia działają na aktywa, jakie te aktywa posiadają podatności, oraz wdrożyć optymalne zabezpieczenia
  • W programie możemy określić wielkość ryzyk i dokonać oceny ryzyka
  • Generowanie gotowych raportów zawierających analizę ryzyka dla bezpieczeństwa danych osobowych w organizacji
  • Zapisywanie raportu w formacie DOC
  • Zapisywanie stanu analizy ryzyka do pliku w celu późniejszego wykorzystania tych danych do kolejnej analizy ryzyka
  • Gotowe biblioteki danych
  • Automatyzacja pracy
Wymagania dla programu SARBI (Kliknij, aby rozwinąć)
Microsoft Windows:
Wymagany jest system Windows 7, 10, 11
Opis programów ARDO (Kliknij, aby rozwinąć)
Program Szacowanie Ryzyka Bezpieczeństwa Informacji SARBI prowadzi użytkownika przez kolejne kroki procesu szacowania ryzyka.

Użytkownik ma do dyspozycji gotowe biblioteki dzięki którym proces analizy ryzyka jest prowadzony w większości automatycznie, a działania użytkownika ograniczone są do minimum.

Użytkownik w pierwszym kroku dokonuje wyboru rodzaju informacji, następnie wybiera aktywa, przy czym, może skorzystać z gotowych profili, np. wskazać typowe zasoby, które występują dla jego organizacji. Po wyborze profilu zasoby zostaną zaznaczone automatycznie. Użytkownik może je w dowolny sposób zmieniać.

Następnie należy wybrać zagrożenia oddziałujące na aktywa i przyporządkować je do odpowiednich aktywów. Proces ten może odbyć się automatycznie po wczytaniu gotowych rozwiązań z biblioteki. Do aktywów zostaną przyporządkowane typowe zagrożenia.

Następny krok to wybór podatności dla aktywów. Użytkownik może skorzystać z gotowych profil i bibliotek danych.

Kolejny krok to wybór poziomu ryzyka akceptowalnego, czyli wartości poniżej której ryzyka naruszenia bezpieczeństwa są akceptowalne.

Ostatni krok to wybór wdrożonych środków ochrony (zabezpieczeń). Do wyboru są środki ochrony fizyczne, techniczne, organizacyjne, proceduralne.

Program umożliwia generowanie raportu, który zawiera wszystkie wprowadzone i wyliczone na tej podstawie elementy.