Risikomanagement, Profiling Flashcards
IT-Sicherheitsmanagement
Katastrophen, technische Mängel, ungeschulte MA, Hacker
Risikomanagementprozess
Risiko-Assesment, R-Identifikation, R-Analyse, R-Bewertung, Risikobehandlung, Risikoakzeptanz
Werte
Dinge für die ein Unternehmen einen Wert haben
Vorfall
unerwünschte Vorfälle + wie man mit diesen umgeht
Festlegen des Kontexts
- Anwendungsbereich + Grenzen
- Rollen und Verantwortlichkeit
- Basiskriterien
Risikoidentifikation
- Identifikation der Assets, Bedrohungen, umgesetzter Maßnahmen, Schwachstellen, Schadenauswirkung
Assets
Geschäftsprozesse + Informationen
Identifikation von Bedrohungen
OWASP TOP 10
Risikoanalyse
- Abschätzung vornehmen
- Arbeiten mir Wahrscheinlichkeit
Risikobewertung
welche Risiken --> Priorisieren BSP: Worst Case : 100.000€ Eintrittswahrscheinlichkeit: 0,1% → 100€ pro Zeitraum
Risikoakzeptanz
- Kommunikation zum Management
- schriftliche Doku
Annual Loss Expectancy (ALE)
SE= SW(WorstCase)/T(Eintrittswahrscheinlichkeit)
Wirtschaftsanalyse ROSI
ROSI (=Return on Security Investment)
Annahme: Sicherheitsinvestition mindert Eintrittswahrscheinlichkeit eines Schadensereignis
Grundidee: Bewertung einer Gegenmaßnahme bzw. S-Investition anhand der prognostizierten Reduktion der Schadenserwartung
Beispiel ALE ROSI
ALE = SW * p(SW) ROSI = ALEvorher - ALEnachher - Investition
Information Security Management System (ISMS)
Managementsystem zur konkreten Anwendung von Risikomanagement hinsichtlich Informationssicherheit in einem Unternehmen