ThomasAnderson 0 Geschrieben 3. April 2014 Autor Melden Teilen Geschrieben 3. April 2014 Hi, ich bräuchte ein paar Tipps zur Risikoanalyse. Also mittlerweile habe ich zig verschiedene Ansätze gesehen und einige Tools durchgeschaut, aber die meisten sind zu ausführlich, unnütz oder schießen am Ziel vorbei. Gefordert sind: - Risikoakzeptanzkriterien - Risikobeurteilung für die 3 Sicherheitsziele - Risikoeigentümer - Analyse der Risiken - Auswirkung beurteilen - Wahrscheinlichkeit beurteilen - Risikostufen - Bewertung der Risiken - Prioritäten festlegen Welches pragmatische aber dennoch effektive Vorgehen hierzu gibt es denn?Die Informationswerte wurden gesammelt und kategorisiert. Laut Lektüre gibt es zig verschiedene Möglichkeiten, qualitativ, quantitativ, semi-quantitativ und so weiter. Eine qualitative Methode würde völlig ausreichen. Lieber vernünftig und nicht so umfangreich, als zu umfangreich und unsauber. Das Vorgehen das ich so gelesen habe lautet: 1. Klassifizierung der Informationswerte = wofür soll das gut sein, wenn ich das Schadenspotential eh später nochmal bestimmen muss 2. Bedrohungs- und Schwachstellenanalyse (parallel aktuelle Maßnahmen / IST-Zustand) = Risiko 3. Individualrisiken finden 4. Risikobewertung = an einer Skala / Matrix spiegeln. 5. Risikoakzeptanz = Abwägung ob Risiko tragbar ist anhand der Prioritätskennzahlen 6. Risikoeinschätzung = Dokumentation der Ergebnisse 7. Risikobehandlung = Maßnahmenauswahl, Outsourcing, Risiken akzeptieren Das ist ja viel zu viel und in Excel Tabellen und Word Dateien total unübersichtlich darzustellen. Kennt Ihr eine sinnvolle Möglichkeit für die Risikoanalyse. Alle Blogs und Webseiten reden zwar immer von Risikoanalyse,und was Risken sind und so weiter, aber keiner bringt mal ein vernünftiges Beispiel oder eine Ausarbeitung. Ich hab so das Gefühl überall findet man die Definitionen und die Theorie, aber keiner weiss so recht wie die Anwendung läuft. In einem Buch habe ich auch schon gelesen, dass es völlig egal ist und die Norm einem komplett freistehen lässt wie man die Risikoanalyse umsetzt. Das stimmt doch eigentlich nicht im dem Bezug auf die Forderungen durch die Norm? Danke für Eure Hilfe Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 5. April 2014 Melden Teilen Geschrieben 5. April 2014 Ich fürchte, Du hängst immer noch zu sehr an der Technik. Was die Methodik der Risikoanalysen angeht, schau Dir doch mal die ISO 31000 an. Genauer beschrieben wirst Du es nirgends finden. Ciao Pitti P.S. Die ISO-Normungsgremien haben sich auf die Abschaffung des Begriffes "Leitlinie" geeinigt. Zukünftig heißt es auch im Deutschen "Policy". Mit all der Verwechslungsgefahr von technisch- / organisatorischen Policies mit strategischen Policies. Die spinnen die Normer... Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 7. April 2014 Autor Melden Teilen Geschrieben 7. April 2014 Das ist doch gar nicht technisch :confused: Sondern einfach nur sehr organisatorisch :wink2: Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 7. April 2014 Melden Teilen Geschrieben 7. April 2014 Das ist doch gar nicht technisch :confused: Sondern einfach nur sehr organisatorisch :wink2: Ja und Nein. Bei der Risikoanalyse musst Du ja neben den ganzen organisatorischen Faktoren (Personalausfall, Regelfehler, Doku-schwächen...) auch eine Unzahl technischer Faktoren bewerten. Ausfallwahrscheinlichkeiten, Angreifbarkeit, integrierte Schutzmaßnahmen technischer Komponenten etc. Aber worauf ich eigentlich hinaus wollte, als allererstes sollten die ISMS-Prozesse laufen, in der ersten Management-Sitzung kannst Du die Kategorisierung und die Definition der Schwellwerte für die Schadenseinstufungen einfordern. In diesem Zusammenhang kannst Du dann auch die Frage nach der Tool-Unterstützung in den Raum stellen. Deine, entschuldige wenn ich dies polemisch ausdrücke, Fixiertheit auf ein Tool von dem Du dann eine quasi automatisierte Einführung der ISO27001 erwartest, meinte ich mit "Du hängst zu sehr an der Technik". Das Tool kommt irgendwann später, wenn der Security-Circle die Mars***richtung festgelegt hat. Dies war wirklich nicht gedacht Dich anzupöbeln, sondern als Hilfestellung gemeint. Ciao Pitti Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 7. April 2014 Autor Melden Teilen Geschrieben 7. April 2014 Ich weiss schon wie Du es meinst, Danke. Für mich gehören die Risikokriterien und Schwellwerte zum Beispiel zur Risikoanalyse :).Kategorisiert wurde schon. Dass die technischen Faktoren länger dauern ist klar, aber wir wollen uns auch nicht an Details kaputt klamüsern, sondern effektiv und schnell die aktuell wichtigsten Risiken herausfinden und passende Maßnahmen umsetzen!Alles andere kommt im Lebenszyklus des ISMS.Jetz weiss ich wenigstens was Du meinst, ich dachte mir schon andauernd ich mache doch gar nichts technisches. Das Problem ist ja, dass jede Risikomethode anders abläuft. Als Schwellwerte kann ich mir vorstellen, dass einfach qualitative Werte genommen werden, da in vielen Fällen keine Zahlen und Wahrscheinlichkeiten möglich sind, und dabei nur unrealistische Zahlenwerte rauskommen würden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.