Dienstag, 30. Mai 2017

ISO 27000-Reihe

Unter der ISO 27000-Reihe fallen Standards der International Organisation for Standardization (ISO) und der International Electrotechnical Commission (IEC) mit dem Ziel der Normierung der IT-Sicherheitsprozesse von Unternehmen. Neben einer detaillierten Behandlung von ausgewählten Problemfeldern wie die Risikoanalyse, findet man auch einen Katalog von „Best Practice“-Vorschlägen. Nachfolgend eine unvollständige Auflistung von ein paar Standards der ISO 27000-Reihe:
  • ISO 27000 – Übersicht und Begrifflichkeiten
  • ISO 27001 – Allgemeine Anforderungen
  • ISO 27002 – Leitfaden
  • ISO 27003 – Anleitung zur Umsetzung
  • ISO 27004 Messungen
  • ISO 27005 – Risikomanagement
  • ISO 27018 – Datenschutz in Cloudsystemen

Prozessmodell

Nachfolgend ein allgemeines Prozessmodell nach ISO 27000


Identifizieren

Im ersten Schritt des Prozessmodells geht es um die Identifikation von Informationssicherheitsanforderungen. Hierfür müssen beispielsweise die geschäftlichen Interessen, die Informationsbestände oder auch die rechtlichen oder vertraglichen Rahmenbedingungen überprüft werden.

Risikomanagementprozess

Im anschließenden Risikomanagementprozess geht es dann unter andere um die Gefährdungsbeurteilung, zu der die Risikoidentifikation, die Risikoanalyse und auch die Risikobewertung gehören. Identifizierte Risiken können verschieden angegangen werden:
  • Man kann versuchen sie zu reduzieren (z.B. durch bestimmte Richtlinien die umzusetzen und einzuhalten sind)
  • Man kann versuchen sie ganz zu vermeiden (z.B. durch Untersagen bestimmter Tätigkeiten)
  • Man kann sie einfach akzeptieren (wenn der Schaden hinnehmbar ist)
  • Man kann sie einer anderen Partei übertragen (z.B. auf einen Versicherer

Implementierung

In der Implementierungsphase werden Maßnahmen zur Risikoreduktion ausgewählt und umgesetzt. Auch die Schulung und die Bewusstseinsbildung innerhalb der Organisation gehören zu dieser Phase des Prozessmodells.

Instandhalten und Verbessern

Durch die Phase Instandhalten und Verbessern sollen die umgesetzten Maßnahmen überwacht und überprüft werden. Hier kommt es unter anderem auf die Wirksamkeit an. Diese kann beispielsweise über interne Audits, wie Befragungen festgestellt werden.

Quellen und Verweise

Eingestellt von um Keine Kommentare:
Labels:

Mittwoch, 26. April 2017

IT-Risikomanagement

Mit dem IT-Risikomanagement soll ein strukturierter Umgang mit identifizierte Risiken geschehen. Der Risikomanagementprozess umfasst darüber hinaus die Bewertung und die Behandlung der Risiken. Generell setzt sich ein Risiko aus der Eintrittswahrscheinlichkeit und dem Schadenspotential zusammen. Methoden um ein Risiko zu analysieren sind qualitative Einstufungen vs. quantitative Einstufungen.

Risikomanagementprozess nach ISO 27005

Nachfolgend der Risikomanagementprozess nach ISO 27005


Festlegung der Rahmenbedingungen

In der ersten Phase wird die IT-Risikomanagementmethodik festgelegt. Außerdem werden Risiko-Evaluierungskriterien entwickelt und potentielle Auswirkungen (z.B. finanzieller Art oder juristische Sanktionen) festgelegt.


Risikoidentifizierung

Bei der Risikoidentifizierung geht es darum Szenarien zu finde, die der Organisation Schaden zufügen könnten. Man geht dabei folgende Idenfizierungsschritte durch:
  1. Identifizierung von Assets
  2. Identifizierung von Bedrohungen
  3. Identifizierung von umgesetzte Maßnahmen
  4. Identifizierung von Schwachstellen
  5. Identifizierung von potentiellen Auswirkungen


Risikoanalyse

Bei der Risikoanalyse geht es um die Bestimmung des Schadenspotentials und der Eintrittswahrscheinlichkeit. Es sind sowohl qualitative als auch quantitative Bewertungen möglich. Während bei einer quantitativen Bewertung konkrete Werte, z.B. für die Eintrittswahrscheinlich, angegeben werden, folgt bei der qualitativen Bewertung eine grobe Einteilung in Stufen. Da es in der Regel nicht möglich ist, ganz genaue Werte herauszufinden und zu bestimmen, wird oft zur qualitativen Bewertung gegriffen und nur in sehr seltenen Fällen, z.B. bei besonderen Risiken, zur quantitativen Bewertung.


Risikobewertung

In diesem Schritt folgt die Priorisierung der Risiken. Abgeschätzt können Risiken durch die folgenden Methodengruppen:
  • Nachschlagemethoden (z.B. Checklisten)
  • Unterstützende Methoden (z.B. Delphi-Methode)
  • Szenarioanalyse (z.B. Ereignisbaumanalyse
  • Maßnahmenanalyse (z.B. Bow-Tie)
  • Funktionsanalyse (z.B. FMEA)
Die Einordnung der Risiken kann anschließend entweder mit dem Maximumsprinzip, Kumulationsprinzip oder Verteilungsprinzip vorgenommen werden.


Risikobehandlung

Bei der Risikobehandlung stehen folgende Möglichkeiten bereit:
  • Risiko akzeptieren
  • Risiko reduzieren
  • Risiko vermeiden
  • Risiko an einen Dritten (z.B. Versicherung) abtreten


Quellen und Verweise

Eingestellt von um Keine Kommentare:
Labels:

Montag, 13. März 2017

BSI-Grundschutz

Der BSI-Grundschutz mit seinen IT-Grunschutzkatalogen kann als deutschem Äquivalent zu der ISO 27000-Reihe gesehen werden. Auch hier werden Empfehlungen von Standardsicherheitsmaßnahmen vermittelt, um damit ein für den normalen Schutzbedarf angemessenes und ausreichendes Sicherheitsniveau für IT-Systeme zu erreichen. Aufgebaut ist der BSI-Grundschutz über ein Baukastenprinzip, wobei die wichtigsten Bestandteile die Gefährdungs- und Maßnahmenkataloge sind.

Weiterlesen »
Eingestellt von um Keine Kommentare:
Labels:

Business Continuity Management

Unter Business Continuity Management (auf Deutsch Betriebliches Kontinuitätsmanagement) versteht man Methoden und Maßnahmen, die die Sicherstellung des Fortbestands des Unternehmens in Angesicht von Risiken mit hohen Schadensausmaß sicherstellen. Es geht also zum einen um den Schutz vor Unterbrechungen von Geschäftsprozessen und bei Eintreten eines Schadensfalls um die rechtzeitige Wiederaufnahme.
Weiterlesen »
Eingestellt von um Keine Kommentare:
Labels:
Abonnieren Posts (Atom)