Risikoanalyse
Information Security Management System
ISMS
opus i Informationssicherheit ISO 27001 native
kronsoft


So einfach und vollständig kann eine Risikoanalyse sein

Die Risikoanalyse ist eine der wesentlichen Voraussetzungen innerhalb des ISMS, um das Informationssicherheits-Managementsystem in einem wirtschaftlich vertretbaren Rahmen aufzubauen und gleichzeitig alle wesentlichen Risiken und Gefährdungen zu erfassen und einzustufen. Ohne Risikoanalyse würden IT-Sicherheits-Maßnahmen ohne Bezug zu Risikoakzeptanz und zu technischen und wirtschaftlichen Gegebenheiten ausgewählt und umgesetzt werden. Dies ist allerdings nicht notwendig, bzw. nicht gewünscht, weil das ISMS zum Selbstzweck würde - Aufwand wird an falscher Stelle produziert. Wahrscheinlich würden wichtige Maßnahmen - ohne Risikoanalyse - zu spät oder gar nicht initiiert und umgesetzt.

Ohne entsprechendes Know-how erscheint eine Risikoanalyse schwierig zu sein und man verliert schnell den Überblick, welches Risiko durch welche Maßnahme abgedeckt wird. In opus i von kronsoft wurde deshalb eine komplette Risikoanalyse implementiert, die bis zu den Maßnahmen reicht.

Bei der Risikoanalyse innerhalb des ISMS – bei der es viele wissenschaftlich ausgearbeitete Vorgehensweisen gibt – kristallisieren sich schlussendlich zwei grundlegende Beurteilungskriterien heraus. Erstens die Eintrittswahrscheinlichkeit und zweitens die „Schadenshöhe“ eines möglicherweise eintretenden Schadens. Mit Eintrittswahrscheinlichkeit ist bei der Risikoanalyse eine zeitliche Periode umrissen (einmal in drei Jahren, einmal im Jahr, unwahrscheinlich, wahrscheinlich,...).

Bei der Schadenshöhe gibt es mehrere Festlegungs- und Beurteilungsmöglichkeiten. Aus der Sicht des Compliance-Managers könnten es die Schadensausmaße aus Verstößen gegen Gesetze, Vorschriften oder Verträge sein. Aus Datenschutzsicht könnten es die Beeinträchtigungen des informationellen Selbstbestimmungsrechts sein oder die Beeinträchtigungen der persönlichen Unversehrtheit, für Prozessverantwortliche die Beeinträchtigungen der Aufgabenerfüllung, für die auf dem Markt zurückhaltend und gerne ungenannt agierenden Behörden und Unternehmen eine mögliche negative Außenwirkung sowie last but not least die monetären Auswirkungen. Letztendlich sind alle Schadenshöhen auf finanzielle Schäden zurückzuführen. Wenn also im ISMS bei der Risikoanalyse diese beiden Faktoren festgelegt werden, sollten die Eintrittswahrscheinlichkeit im Zeitbezug und die Schadenshöhe in Geld bestimmt werden. Dies ist einfacher als man am Anfang glauben mag. Wichtig ist, dass bei den Risikoanalyse-Sitzungen das gesamte ISMS-Team zusammen ist und dadurch gebündelt Erfahrungen und Meinungen eingebracht werden können.

Sind Eintrittswahrscheinlichkeiten und Schadenshöhen festgelegt, ist der nächste Schritt die Ermittlung der Risiko-Akzeptanzkriterien. Die Risiko-Akzeptanzkriterien beschreiben, wie wir mit Risiken umgehen, ob und wie wir sie akzeptieren. Dazu werden Eintrittswahrscheinlichkeit und Schadenshöhe – innerhalb einer X-Y-Koordinate gegenübergestellt und in drei Bereiche eingeteilt. Zum ersten haben wir den akzeptablen Bereich, den wir grün kennzeichnen. Liegt ein Risiko im akzeptablen Bereich, werden bezüglich dieses Risikos keine Schutz-Maßnahmen umgesetzt. Zweitens der ALARP-Bereich, den wir gelb kennzeichnen. ALARP ist eine Abkürzung aus dem Englischen und bedeutet "As Low As Reasonably Practicable"; auf deutsch "so niedrig, wie vernünftigerweise praktikabel". Risiken, die in diesen Bereich fallen, sollten verringert werden, wenn es technisch und wirtschaftlich angemessen erscheint. Drittens werden die inakzeptablen Risikobereiche rot gekennzeichnet. Risiken, die in diesen Bereich fallen, müssen dringend durch Maßnahmen in ihrer Eintrittswahrscheinlichkeit reduziert werden. Inakzeptabel sind Risiken, die schwere oder katastrophale Schäden für die Institution nach sich ziehen. Nach der Einstufung jeder Zelle der X-Y-Koordinate in eine der drei Akzeptanz-Kriterien(-Farben) haben wir wegen den verwendeten Farben eine visuell schnell auffassbare Einstufung vorliegen, und können im nächsten Schritt diese Kriterien auf die ermittelten Gefährdungen übertragen.
Siehe opus i ISO27001.

Beim Übertragen der Akzeptanzkriterien auf die ermittelten Risiken werden zu jedem Risiko (zu jeder Gefahr) die Eintrittswahrscheinlichkeit und die Schadenshöhe ermittelt und diesem Risiko fest zugeordnet. Die gewählte Zuordnung wird automatisch durch eine der drei Farben Grün, Gelb und Rot visualisiert. Die Dringlichkeit einem Risiko Maßnahmen entgegenzustellen wird faktisch „auf den ersten Blick“ möglich. In opus i sind ca. 500 Risiken aufgelistet, deren Einstufung in die Akzeptanz-Kriterien eine sichere Abdeckung der Risiken ermöglicht. Werden von der Institution weitere Risiken ermittelt, können diese zusätzlich aufgenommen und ebenfalls in die Akzeptanzkriterien eingestuft werden.

Nachdem die Risiken eingestuft sind, ist es jetzt möglich die Maßnahmen, die gegen ein Risiko gestellt werden, in das beim Risiko hinterlegte Akzeptanz-Kriterium einzustufen. Beim Übertragen der Akzeptanzkriterien auf die Maßnahmen ist allerdings zu berücksichtigen, dass eine Maßnahme gleichzeitig gegen verschiedene Risiken wirken kann. Das Wirkpotential der Maßnahme ist je nach betrachtetem Risiko unterschiedlich hoch. Hier sollte sehr sorgfältig vorgegangen und „der sichere Weg“ gewählt werden: zur betrachteten Maßnahme muss deshalb das niedrigste Akzeptanz-Kriterium (rot gekennzeichnet) gesetzt und angewendet werden. Da in opus i festgelegt ist, welche der ca. 650 Maßnahmen gegen welche der Risiken wirkt, ist eine Einstufung möglich.

In opus i stehen die Akzeptanz-Einstufungen, die klassifizierten Risiken und die dagegen wirkenden und ebenfalls eingestuften Maßnahmen während der Projektarbeit ständig zur Einsicht bereit.

Risikoanalyse ist sinnvoll, wenn die Gefahr vorhanden ist (Klick > zurück)

Software für Datenschutz-, IT-Sicherheits- und Qualitätsmanagement

Home        Kontakt     Support     Datenschutz     Impressum     English     Russian     中文(简体)    عربي

kronsoft                          | ReferenzenPresseAuszeichnungenPartnerSitemapKundenbereichDownloads  |       Version 20170615

kronsoft - like us on Facebook
kronsoft - follow us onTwitter
Fussbild-Abstandshalter
Keine Cookies auf unseren Seiten