Die Risikoanalyse innerhalb eines Information Security Management System (ISMS) von opus i
Pressetext verfasst von kronsoft am Di, 2010-09-14 11:02.Die Risikoanalyse ist eine der wesentlichen Voraussetzungen innerhalb des ISMS, um das Informationssicherheits-Managementsystem in einem wirtschaftlich vertretbaren Rahmen aufzubauen und gleichzeitig alle wesentlichen Risiken und Gefährdungen zu erfassen und einzustufen. Ohne Risikoanalyse würden IT-Sicherheits-Maßnahmen ohne Bezug zu Risikoakzeptanz und zu technischen und wirtschaftlichen Gegebenheiten ausgewählt und umgesetzt werden. Dies ist allerdings nicht notwendig, bzw. nicht gewünscht, weil das ISMS zum Selbstzweck würde - Aufwand wird an falscher Stelle produziert. Wahrscheinlich würden wichtige Maßnahmen - ohne Risikoanalyse - zu spät oder gar nicht initiiert und umgesetzt.
Ohne entsprechendes Know-how erscheint eine Risikoanalyse schwierig zu sein und man verliert schnell den Überblick, welches Risiko durch welche Maßnahme abgedeckt wird. In opus i von kronsoft wurde deshalb eine komplette Risikoanalyse implementiert, die bis zu den Maßnahmen reicht.
Bei der Risikoanalyse innerhalb des ISMS – bei der es viele wissenschaftlich ausgearbeitete Vorgehensweisen gibt – kristallisieren sich schlussendlich zwei grundlegende Beurteilungskriterien heraus. Erstens die Eintrittswahrscheinlichkeit und zweitens die „Schadenshöhe“ eines möglicherweise eintretenden Schadens. Mit Eintrittswahrscheinlichkeit ist bei der Risikoanalyse eine zeitliche Periode umrissen (einmal in drei Jahren, einmal im Jahr, unwahrscheinlich, wahrscheinlich,...).
Bei der Schadenshöhe gibt es mehrere Festlegungs- und Beurteilungsmöglichkeiten. Aus der Sicht des Compliance-Managers könnten es die Schadensausmaße aus Verstößen gegen Gesetze, Vorschriften oder Verträge sein. Aus Datenschutzsicht könnten es die Beeinträchtigungen des informationellen Selbstbestimmungsrechts sein oder die Beeinträchtigungen der persönlichen Unversehrtheit, für Prozessverantwortliche die Beeinträchtigungen der Aufgabenerfüllung, für die auf dem Markt zurückhaltend und gerne ungenannt agierenden Behörden und Unternehmen eine mögliche negative Außenwirkung sowie last but not least die monetären Auswirkungen. Letztendlich sind alle Schadenshöhen auf finanzielle Schäden zurückzuführen. Wenn also im ISMS bei der Risikoanalyse diese beiden Faktoren festgelegt werden, sollten die Eintrittswahrscheinlichkeit im Zeitbezug und die Schadenshöhe in Geld bestimmt werden. Dies ist einfacher als man am Anfang glauben mag. Wichtig ist, dass bei den Risikoanalyse-Sitzungen das gesamte ISMS-Team zusammen ist und dadurch gebündelt Erfahrungen und Meinungen eingebracht werden können.
Sind Eintrittswahrscheinlichkeiten und Schadenshöhen festgelegt, ist der nächste Schritt die Ermittlung der Risiko-Akzeptanzkriterien. Die Risiko-Akzeptanzkriterien beschreiben, wie wir mit Risiken umgehen, ob und wie wir sie akzeptieren. Dazu werden Eintrittswahrscheinlichkeit und Schadenshöhe – innerhalb einer X-Y-Koordinate gegenübergestellt und in drei Bereiche eingeteilt. Zum ersten haben wir den akzeptablen Bereich, den wir grün kennzeichnen. Liegt ein Risiko im akzeptablen Bereich, werden bezüglich dieses Risikos keine Schutz-Maßnahmen umgesetzt. Zweitens der ALARP-Bereich, den wir gelb kennzeichnen. ALARP ist eine Abkürzung aus dem Englischen und bedeutet "As Low As Reasonably Practicable"; auf deutsch "so niedrig, wie vernünftigerweise praktikabel". Risiken, die in diesen Bereich fallen, sollten verringert werden, wenn es technisch und wirtschaftlich angemessen erscheint. Drittens werden die inakzeptablen Risikobereiche rot gekennzeichnet. Risiken, die in diesen Bereich fallen, müssen dringend durch Maßnahmen in ihrer Eintrittswahrscheinlichkeit reduziert werden. Inakzeptabel sind Risiken, die schwere oder katastrophale Schäden für die Institution nach sich ziehen. Nach der Einstufung jeder Zelle der X-Y-Koordinate in eine der drei Akzeptanz-Kriterien(-Farben) haben wir wegen den verwendeten Farben eine visuell schnell auffassbare Einstufung vorliegen, und können im nächsten Schritt diese Kriterien auf die ermittelten Gefährdungen übertragen. Siehe hierzu: http://www.kronsoft.de/it-sicherheit/risikomatrix.html
Beim Übertragen der Akzeptanzkriterien auf die ermittelten Risiken werden zu jedem Risiko (zu jeder Gefahr) die Eintrittswahrscheinlichkeit und die Schadenshöhe ermittelt und diesem Risiko fest zugeordnet. Die gewählte Zuordnung wird automatisch durch eine der drei Farben Grün, Gelb und Rot visualisiert. Die Dringlichkeit einem Risiko Maßnahmen entgegenzustellen wird faktisch „auf den ersten Blick“ möglich. In opus i sind ca. 500 Risiken aufgelistet, deren Einstufung in die Akzeptanz-Kriterien eine sichere Abdeckung der Risiken ermöglicht. Werden von der Institution weitere Risiken ermittelt, können diese zusätzlich aufgenommen und ebenfalls in die Akzeptanzkriterien eingestuft werden.
Nachdem die Risiken eingestuft sind, ist es jetzt möglich die Maßnahmen, die gegen ein Risiko gestellt werden, in das beim Risiko hinterlegte Akzeptanz-Kriterium einzustufen. Beim Übertragen der Akzeptanzkriterien auf die Maßnahmen ist allerdings zu berücksichtigen, dass eine Maßnahme gleichzeitig gegen verschiedene Risiken wirken kann. Das Wirkpotential der Maßnahme ist je nach betrachtetem Risiko unterschiedlich hoch. Hier sollte sehr sorgfältig vorgegangen und „der sichere Weg“ gewählt werden: zur betrachteten Maßnahme muss deshalb das niedrigste Akzeptanz-Kriterium (rot gekennzeichnet) gesetzt und angewendet werden. Da in opus i festgelegt ist, welche der ca. 650 Maßnahmen gegen welche der Risiken wirkt, ist eine Einstufung möglich.
In opus i stehen die Akzeptanz-Einstufungen, die klassifizierten Risiken und die dagegen wirkenden und ebenfalls eingestuften Maßnahmen während der Projektarbeit ständig zur Einsicht bereit.
Über kronsoft
Vorname
Gerhard
Nachname
Kron
Adresse
Schillerstr. 10
66564 Ottweiler
Tel. 06858 6370
Homepage
http://www.kronsoft.de
Branche
IT, Software-Erstellung