Risikomanagement

  • Risiko-orientiertes Vorgehen notwendig für effektives + effizientes IT-SM

  • Risiken nicht immer schlecht (Risiko+ → Gewinn+), aber sollten konsequent gemanagt werden

  • Risiko = Eintrittwsk \circ Schadenspotential (meist =\circ = *), Bewertung meist qualitativ (wg fehlender Datenbasis), Ewsk aus Schwachstelle + Bedrohung berechenbar

  • weitere Bereiche: Finanzen, Projekte, …​

  • wesentlicher Baustein des ISMS: Entscheidungsgrundlage für effektive Steuerung, effizienter Ressourceneinsatz

  • Basis: ISO 27k5

  • weiterer Prozess: TRM von OWASP: Threat Agents, Attack Vectors, Security Weaknesses, Security Controls, Technical Impacts, Business Impacts

Prozess

  1. Festlegung der Rahmenbedingungen

    • IT-Risikomanagementmethodik festlegen (keine Methodik nur Rahmen vorgegeben)

    • Risiko-Evaluierungs-Kriterien entwicklen, pot Auswirkungen festlegen

    • Fokus + Grenzen festlegen

  2. Risikoabschätzung: Risikoidentifizierung

    • Ziel: schadensverursachende Szenarien identifizieren

    • Ablauf: Asset →B bedrohungen → umgesetzte Maßnahmen → Schwachstellen → pot Auswirkungen

  3. Risikoabschätzung: Risikoanalyse

    • bestimme Schadenspotential + Ewsk, beide: schwer bestimmbar

    • Sd oft Reputationsschäden, Ewsk Schadensfälle selten + nicht vergleichbar + neue Schwachstellen

    • meist durch Stufen, die bestimmte Kriterien haben

  4. Risikoabschätzung: Risikobewertung

    • Risiken priorisieren nach Evaluierungs+Akzeptanzkriterien

    • kompotenzgerecht vorzunehmen =

  5. Methoden der Risikoabschätzung

    • Methoden: Nachschlagemn (Checkliste), unterstützend (Delphi-Methode)

    • Analysen: Szenario (Fehler+Ergebnisbaumanalysen), Maßnahmen (Bow-Tie), Funktion (FMEA)

    • Angriffsbäume: Wsk mit OR | Pfade mit UND verknüpfbar, Wsk ableitbar, kombinierbar mit Kosten

    • ^+: Zusammenhänge abgebildet, "Objektivierung" der Ewskbewertung

    • ^-: Ewskabschätzung subjektiv, nur einfach falls Ewsk unabh voneinander, evtl hohe Komplexität

    • Einordnung: Maximumsprinzip, Kumulationsprinzip (addiert abh), Verteilungsprinzip (teilt redundante)

  6. Risikobehandlung

    • Methoden: Risikoverminderung, Risikoakzeptanz, Risikovermeidung, Risikoübertragung

    • ggf Maßnahmen, kompetenzgerecht

  7. Risikokommunikation

results matching ""

    No results matching ""