In der Welt der ISO und in Bezug auf Informationssicherheit, ist das Risikomanagement folgendermaßen verortet:

ISO

Die ISO 27001 beschreibt den Aufbau und Betrieb eines ISMS. Dies beinhaltet das Management von Risiken, die sich für unsere Asstes und deren Schutzziele ergeben. 

Wie genau diese Management zu gestalten ist, wird in der ISO 27005 ausführlich beschrieben.

ISO 27001 und 27005

Die Risikoanalyse ist nur ein Teil des Risikomanagements in der ISO.  Wir betrachten hier aber den gesamten Prozess.

Ziel ist Risiken systematisch zu handhaben und die gewünschte Sicherheit zu erreichen.

Risikoanalyse nach ISO 27005

Ähnlich wie bei der ISO ist auch in den BSI-Standards die Behandlung von Risiken so wichtig, dass es einen eigenen Standard erhält.

Die Risikoanalyse bettet sich jedoch anders in das ISMS nach BSI 200-1 ein, als es bei der ISO der Fall ist.

Im BSI ist die Risikoanalyse nur dort notwendig, wo der IT-Grundschutz noch keine allgemeine Bewertung und Behandlung der elementaren Gefahren vorgenommen hat. 

Risikoanalyse nach BSI 200-3

Risikoanalyse im ISMS

BSI 200-3: Vor der Risikoanalyse

1. Gefärdungsübersicht

2. Einstufung von Risiken

   1. Einschätzung

   2. Bewertung

3. Behandlung

4. Konsolidierung mit anderen Maßnahmen

5. Überführung in den Sicherheitsprozess

Risikoanalyse nach BSI 200-3

Der Prozess

Identifizieren

Identifizieren

Bewerten

1. Einschätzung für alle Gefahren vornehmen: Häufigkeit und Auswirkung
2. Qualitative (gering, hoch / selten, häufig) oder quantitative (5.000 € Schaden, 3 mal/Jahr) Einschätzung möglich

Bewerten

Planen

1. Vermeidung
2. Reduktion
3. Transfer
4. Akzeptanz

Planen

Vermeidung

Z. B. durch Umstrukturierung von Prozessen oder Verzicht auf bestimmte Aktivitäten

Planen

Reduktion

Maßnahmen ergreifen die die Auswirkung oder Häufigkeit reduzieren, bis das Restrisiko akzeptabel ist.

Planen

Transfer

Das Risiko wird übertragen. Zum Beispiel durch Outsourcing oder das Versichern gegen Schäden.

Planen

Akzeptanz

Das Risiko akzeptiert. Dafür muss das Risiko nach den Kriterien der Organisation entsprechen.

Überwachen

Veränderung von Risiken

Die meisten Risiken können sich mit der Zeit ändern. Zum Beispiel durch neue Technologien oder veränderte Umweltbedingungen (Unwetterhäufigkeit).

Überwachen

Risikenoanalyse im KVP

Die Risikoanalyse sollte daher regelmäßig im Rahmen des KVP aktualisiert werden.

So bleiben die Maßnahmen effizient und effektiv.

Hands on - Ein Beispiel

Wir erstellen unser ISMS nach IT-Grundschutz. Wir sind schon recht weit im Prozess und haben bereits unsere Modellierung abgeschlossen.

Allerdings bleibt eine Gefährdung, die nicht durch die "elementaren Gefährdungen" abgedeckt ist.

Die Forschungseinrichtung der Organisation forscht an Ratten. Diese könnten durch anfressen von Kabeln Schäden an IT Systemen hervorrufen.

Vorbedingung

1. Erfasse die Gefährdung in der Liste "zusätzlicher Gefährdungen"
2. Nimm eine Risikoeinschätzung vor und bewerte das Risiko in einer Risikomatrix
3. Entscheide Dich für eine angemessene Risikobehandlung und beschreibe sie konkret

Aufgabe

Im Folgenden findest Du drei "Anwendungen". Bei den ersten beiden musst Du auf "Run pen" klicken, um sie zu starten.
Lies alle Texte aufmerksam durch.