info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
kronsoft e.K. |

Die Risikoanalyse innerhalb eines Information Security Management System (ISMS) von opus i

Bewerten Sie hier diesen Artikel:
1 Bewertung (Durchschnitt: 5)


So einfach und vollständig kann eine Risikoanalyse sein


Die Risikoanalyse ist eine der wesentlichen Voraussetzungen innerhalb des ISMS, um das Informationssicherheits-Managementsystem in einem wirtschaftlich vertretbaren Rahmen aufzubauen und gleichzeitig alle wesentlichen Risiken und Gefährdungen zu erfassen und einzustufen. Ohne Risikoanalyse würden IT-Sicherheits-Maßnahmen ohne Bezug zu Risikoakzeptanz und zu technischen und wirtschaftlichen Gegebenheiten ausgewählt und umgesetzt werden. Dies ist allerdings nicht notwendig, bzw. nicht gewünscht, weil das ISMS zum Selbstzweck würde - Aufwand wird an falscher Stelle produziert. Wahrscheinlich würden wichtige Maßnahmen - ohne Risikoanalyse - zu spät oder gar nicht initiiert und umgesetzt.

Die Risikoanalyse ist eine der wesentlichen Voraussetzungen innerhalb des ISMS, um das Informationssicherheits-Managementsystem in einem wirtschaftlich vertretbaren Rahmen aufzubauen und gleichzeitig alle wesentlichen Risiken und Gefährdungen zu erfassen und einzustufen. Ohne Risikoanalyse würden IT-Sicherheits-Maßnahmen ohne Bezug zu Risikoakzeptanz und zu technischen und wirtschaftlichen Gegebenheiten ausgewählt und umgesetzt werden. Dies ist allerdings nicht notwendig, bzw. nicht gewünscht, weil das ISMS zum Selbstzweck würde - Aufwand wird an falscher Stelle produziert. Wahrscheinlich würden wichtige Maßnahmen - ohne Risikoanalyse - zu spät oder gar nicht initiiert und umgesetzt.

Ohne entsprechendes Know-how erscheint eine Risikoanalyse schwierig zu sein und man verliert schnell den Überblick, welches Risiko durch welche Maßnahme abgedeckt wird. In opus i von kronsoft wurde deshalb eine komplette Risikoanalyse implementiert, die bis zu den Maßnahmen reicht.

Bei der Risikoanalyse innerhalb des ISMS – bei der es viele wissenschaftlich ausgearbeitete Vorgehensweisen gibt – kristallisieren sich schlussendlich zwei grundlegende Beurteilungskriterien heraus. Erstens die Eintrittswahrscheinlichkeit und zweitens die „Schadenshöhe“ eines möglicherweise eintretenden Schadens. Mit Eintrittswahrscheinlichkeit ist bei der Risikoanalyse eine zeitliche Periode umrissen (einmal in drei Jahren, einmal im Jahr, unwahrscheinlich, wahrscheinlich,...).

Bei der Schadenshöhe gibt es mehrere Festlegungs- und Beurteilungsmöglichkeiten. Aus der Sicht des Compliance-Managers könnten es die Schadensausmaße aus Verstößen gegen Gesetze, Vorschriften oder Verträge sein. Aus Datenschutzsicht könnten es die Beeinträchtigungen des informationellen Selbstbestimmungsrechts sein oder die Beeinträchtigungen der persönlichen Unversehrtheit, für Prozessverantwortliche die Beeinträchtigungen der Aufgabenerfüllung, für die auf dem Markt zurückhaltend und gerne ungenannt agierenden Behörden und Unternehmen eine mögliche negative Außenwirkung sowie last but not least die monetären Auswirkungen. Letztendlich sind alle Schadenshöhen auf finanzielle Schäden zurückzuführen. Wenn also im ISMS bei der Risikoanalyse diese beiden Faktoren festgelegt werden, sollten die Eintrittswahrscheinlichkeit im Zeitbezug und die Schadenshöhe in Geld bestimmt werden. Dies ist einfacher als man am Anfang glauben mag. Wichtig ist, dass bei den Risikoanalyse-Sitzungen das gesamte ISMS-Team zusammen ist und dadurch gebündelt Erfahrungen und Meinungen eingebracht werden können.

Sind Eintrittswahrscheinlichkeiten und Schadenshöhen festgelegt, ist der nächste Schritt die Ermittlung der Risiko-Akzeptanzkriterien. Die Risiko-Akzeptanzkriterien beschreiben, wie wir mit Risiken umgehen, ob und wie wir sie akzeptieren. Dazu werden Eintrittswahrscheinlichkeit und Schadenshöhe – innerhalb einer X-Y-Koordinate gegenübergestellt und in drei Bereiche eingeteilt. Zum ersten haben wir den akzeptablen Bereich, den wir grün kennzeichnen. Liegt ein Risiko im akzeptablen Bereich, werden bezüglich dieses Risikos keine Schutz-Maßnahmen umgesetzt. Zweitens der ALARP-Bereich, den wir gelb kennzeichnen. ALARP ist eine Abkürzung aus dem Englischen und bedeutet "As Low As Reasonably Practicable"; auf deutsch "so niedrig, wie vernünftigerweise praktikabel". Risiken, die in diesen Bereich fallen, sollten verringert werden, wenn es technisch und wirtschaftlich angemessen erscheint. Drittens werden die inakzeptablen Risikobereiche rot gekennzeichnet. Risiken, die in diesen Bereich fallen, müssen dringend durch Maßnahmen in ihrer Eintrittswahrscheinlichkeit reduziert werden. Inakzeptabel sind Risiken, die schwere oder katastrophale Schäden für die Institution nach sich ziehen. Nach der Einstufung jeder Zelle der X-Y-Koordinate in eine der drei Akzeptanz-Kriterien(-Farben) haben wir wegen den verwendeten Farben eine visuell schnell auffassbare Einstufung vorliegen, und können im nächsten Schritt diese Kriterien auf die ermittelten Gefährdungen übertragen. Siehe hierzu: http://www.kronsoft.de/it-sicherheit/risikomatrix.html

Beim Übertragen der Akzeptanzkriterien auf die ermittelten Risiken werden zu jedem Risiko (zu jeder Gefahr) die Eintrittswahrscheinlichkeit und die Schadenshöhe ermittelt und diesem Risiko fest zugeordnet. Die gewählte Zuordnung wird automatisch durch eine der drei Farben Grün, Gelb und Rot visualisiert. Die Dringlichkeit einem Risiko Maßnahmen entgegenzustellen wird faktisch „auf den ersten Blick“ möglich. In opus i sind ca. 500 Risiken aufgelistet, deren Einstufung in die Akzeptanz-Kriterien eine sichere Abdeckung der Risiken ermöglicht. Werden von der Institution weitere Risiken ermittelt, können diese zusätzlich aufgenommen und ebenfalls in die Akzeptanzkriterien eingestuft werden.

Nachdem die Risiken eingestuft sind, ist es jetzt möglich die Maßnahmen, die gegen ein Risiko gestellt werden, in das beim Risiko hinterlegte Akzeptanz-Kriterium einzustufen. Beim Übertragen der Akzeptanzkriterien auf die Maßnahmen ist allerdings zu berücksichtigen, dass eine Maßnahme gleichzeitig gegen verschiedene Risiken wirken kann. Das Wirkpotential der Maßnahme ist je nach betrachtetem Risiko unterschiedlich hoch. Hier sollte sehr sorgfältig vorgegangen und „der sichere Weg“ gewählt werden: zur betrachteten Maßnahme muss deshalb das niedrigste Akzeptanz-Kriterium (rot gekennzeichnet) gesetzt und angewendet werden. Da in opus i festgelegt ist, welche der ca. 650 Maßnahmen gegen welche der Risiken wirkt, ist eine Einstufung möglich.

In opus i stehen die Akzeptanz-Einstufungen, die klassifizierten Risiken und die dagegen wirkenden und ebenfalls eingestuften Maßnahmen während der Projektarbeit ständig zur Einsicht bereit.


Für den Inhalt der Pressemitteilung ist der Einsteller, Gerhard Kron, verantwortlich.

Pressemitteilungstext: 705 Wörter, 5849 Zeichen. Als Spam melden


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von kronsoft e.K. lesen:

kronsoft e.K. | 05.10.2015

CSC-Studie: Alternativen zum GSTool

CSC-Studie: Alternativen zum GSTool CSC hat in einer breit angelegten Studie acht ISMS-Tools untersucht. Dabei waren: DHC Vision Information Security Manager, HiScout GRC Suite, iris, opus i, QSEC V4.2, SAVe V4.4 bzw. V5.0, Sidoc und last but not lea...
kronsoft e.K. | 06.01.2014

Das GSTOOL und opus i - zwei IT-Sicherheitsmanagementsysteme, die sich gut verstehen

Die aus wirtschaftlichen Gründen getroffene Entscheidung das GSTOOL nicht mehr weiter zu entwickeln, hat in der Welt der IT-Sicherheitsverantwortlichen für beträchtliche Furore gesorgt. Das BSI verweist seine derzeitigen Kunden an die anderen, am...
kronsoft e.K. | 21.08.2012

Datenschutz und IT-Sicherheit sind Kostentreiber und behindern

Grundsätzlich und pauschal müssen wir der Behauptung, dass Datenschutz und IT-Sicherheit Kostentreiber und Behinderung darstellen bejahen. Die Kosten gehen ja in die Höhe, wenn wir unsere Firewall aufwändig konfigurieren, sie gehen in die Höhe,...