Risk Management Flashcards
Risikomanagementprozess nach BSI
- Erstellung einer Gefährdungsübersicht
-> Zusammenstellung der Gefährdungen
-> Prüfung der Relevanz pro Asset-Typ - Risikoeinstufung
-> Festlegung der Eintrittswahrscheinlichkeit
-> Festlegung der Auswirkungen
-> Risikobewertung (Risikokategorie festlegen) - Risikobehandlung
-> Umgang mit Restrisiko - Konsolidierung des Sicherheitskonzepts
-> Integration der (zusätzlich identifizierten) Maßnahmen in das Konzept
-> Fortwährende Beobachtungen
Methoden Risikobehandlung
- Risikoakzeptanz
- Risikovermeidung
- Risikoreduktion
- Risikotransfer
Risikoakzeptanz
- Keine Maßnahmen werden ergriffen
- Verantwortlichkeit muss festgelegt werden
Risikovermeidung
- Risikoursache wird vollständig ausgeschlossen
- Sinnvoll, wenn alle Gegenmaßnahmen zu teuer sind
Risikoreduktion
- Sicherheitsmaßnahmen senken das Risiko
- meist wird die Eintrittswahrscheinlichkeit verringert
Risikotransfer
- Risiko wird an eine externe Partei ausgelagert
- Unternehmen ist dennoch weiterhin verantwortlich für das Risiko
- Sinnvoll, wenn Schaden rein finanzieller Art
- Versicherung oder Outsourcing
Festlegung des Kontexts (ISO)
Dokumentation der Informationssicherheitsrisikomanagementmethodik
-> Definition der Kriterien zur Bewertung von Risiken
-> Ablauf des Risikomanagementprozesses
-> Festlegung der Akzeptanzkriterien (Risikoappetit) durch Management (abhängig von Größe, Branche, Komplexität)
-> Festlegung der Rollen und Verantwortlichkeiten
Risikoidentifikation (ISO)
- Auffinden, Erkennen und Beschreiben von Risiken (Identifizierung von Risikoquellen und -ereignissen)
-> Ereignisbasierter Ansatz: Identifizierung strategischer Szenarien, Betrachtung der Risikoquellen, Betrachtung der Art und Weise, wie sie Angreifer nutzen
-> Asset-basierter Ansatz: Identifizierung operativer Szenarien, Bezug auf Assets, Bedrohungen und Schwachstellen
Risikoanalyse (ISO)
- Ziel: Höhe des Risikos bestimmen
- qualitativ: z.B. normal/hoch/gering
- quantitativ: numerisch
- halbquantitativ: qualitative Skalen mit zugewiesenen Werten
Risikoanalyse: Erhebung des Schadens
Sicherheitsvorfall -> Verlust der Vertraulichkeit, Integrität, Verfügbarkeit -> weitere Folgen für die Organisation und ihre Ziele
- Folgeanalyse:
-> Schätzung der Verluste (Zeit oder Daten)
-> Schätzung/Einschätzung der Schwere der (monetären) Folgen
-> Wiederherstellungskosten
Risikoanalyse: Erhebung der Wahrscheinlichkeit
- Wahrscheinlichkeitsanalyse: Wie häufig treten Risikoquellen auf? Wie leicht werden sie ausgenutzt?
-> Problem: Risiken, durch die noch nie ein Schaden entstanden ist - Erhöhung der Zuverlässigkeit der Schätzung:
-> Teameinschätzungen
-> Verwendung externer Quellen
-> Verwendung von angemessenen Quellen
-> eindeutige Kategorien
-> Szenario in kleinere Ereignisse unterteilen und diese schätzen
Risikobewertung/Priorisierung (ISO)
- Anwendung der Risikoakzeptanzkriterien
- Entscheidungskriterien zur Bewertung, Priorisierung und Behandlung: Schadenshöhe/Auswirkungen, Eintrittswahrscheinlichkeit, kumulative Wirkung, (initale) Kosten und Aufwand, Wirksamkeit der Maßnahmen
Risikokommunikation (ISO)
- Verteilung notwendiger Informationen über Risiken und Maßnahmen
- Regelmäßige Information an Management: Verantwortlich als höchster Risk Owner, Feedback an ISO
- Beachtung des Need-to-know Prinzips: Angreifer können bekannte Risiken/Schwachstellen ausnutzen
Techniken zum Risikomanagement (Gruppierungen)
- Einholung von Meinungen von Interessengruppen und Experten
- Identifizierung von Risiken
- Ermittlung von Risikoquellen, -ursachen und -treibern
- Analyse von Maßnahmen
- Verständnis von Wahrscheinlichkeit und Auswirkungen
- Analyse von Abhängigkeiten und Interaktionen
- Techniken zur Messung von Risiken
- Bewertung der Signifikanz von Risiken
- Auswahl von Maßnahmen
- Dokumentation und Kommunikation
Risikoidentifikation - Brainstorming
Gruppendiskussion mit unterschiedlichen Teilnehmern (ISO, Fachbereich, Management)
- Moderator regt durch fachliche Fragen das Gespräch an
Risikoidentifikation - Brainstorming - Vor- und Nachteile
+ fördert Fantasie und Kreativität
+ trägt bei, neue Risiken und Lösungen zu finden
- Vollständigkeit schwierig sicherzustellen
- Gruppendynamik kann zu dominierenden Sprechern führen
Risikoidentifikation - Gap Analyse
Risiken aus nicht vollständig erfüllten Anforderungen
Risikoidentifikation - Gap Analyse - Vor- und Nachteile
+ Vollständigkeit basiert auf der Vollständigkeit der Anforderungen (Richtlinien)
- kann sehr aufwendig werden
Risikoidentifikation - Szenarioanalyse
Definition und Durcharbeitung eines konkreten Szenarios
- Extrapolation von Ereignissen aus der Vergangenheit
- Entwicklung eines imaginären Szenarios
Risikoidentifikation - Szenarioanalyse - Vor- und Nachteile
+ Identifikation von zuvor unbekannten Szenarien/Risiken
- Daten können spekulativ sein
- Ereignisse können unrealistisch sein
Risikoanalyse - Ereignisbaumanalyse
Grafische Technik zur Darstellung sich gegenseitig ausschließender Abfolgen zur Quantifizierung der Wahrscheinlichkeiten
- Beginnt mit auslösendem Ereignis
- Maßnahme wird Erfolgs- und Misserfolgswahrscheinlichkeit zugeordnet
- Bedingte Wahrscheinlichkeiten
Risikoanalyse - Markov-Analyse
Quantitatives Verfahren, das auf Systeme angewandt werden kann, die durch eine Reihe von diskreten Zuständen und Übergängen zwischen diesen beschrieben werden können (vorausgesetzt, die Entwicklung des aktuellen Zustands hängt nicht von seinem Zustand in der Vergangenheit ab)
Risikoanalyse - Monte Carlo Simulation
Simulation von Ereignissen mithilfe von Zufallsstichproben:
- Ziehen von Zufallsstichproben
- Berechnung des Ergebniswerts
- Iterarive Wiederholung
Risikoanalyse - Hergeleitete Risikoanalyse
Möglichkeit, Risikowert anhand einzelner Kriterien herzuleiten, um Einheitlichkeit zu ermöglichen
(Eintrittswahrscheinlichkeit einer Bedrohung + Ausnutzbarkeit von Schwachstellen + Schadenshöhe)
Risikobewertung - Risikomatrix
Verrechnung von Eintrittswahrscheinlichkeit und Schadenshöhe
Risikoanalyse - Kosten-Nutzen-Analyse
Vergleich der Kosten und Nutzen von Maßnahmen
- kann qualitative und quantitative Elemente beinhalten
- Kosten können tatsächliche Ausgaben oder Ressourcen sein
- Nutzen kann materiell oder immateriell sein
Risikobehandlung - Entscheidungsbaum-Analyse
Modellierung möglicher Pfade von Entscheidungen und Wahrscheinlichkeiten zur Berechnung von Erwartungswerten
- Pfade ausgehend von initialer Entscheidung
- Pfad mit bestem Erwartungswert enthält gesuchte Information
Dokumentierte Informationen - Risiko-Register
Dokumentation sämtlicher Risiken im Unternehmen
- Begründungen und Herleitungen wichtig für Nachvollziehbarkeit
- Aggregation von Risiken möglich
Standards Risikomanagement
- ISO 27005: Allgemeiner Rahmen für Risikomanagement im Bereich IS
- ISO 31000: Allgemeiner Rahmen für Risikomanagement
Konsolidierung des Sicherheitskonzepts
- Integration der Maßnahmen in das Konzept
-> Maßnahmen werden im Sicherheitskonzept dokumentiert
-> Festlegung der Eignung der Maßnahmen zur Abwehr der Gefährdungen - Fortwährende Beobachtung:
-> Risiken können sich ändern
-> regelmäßige Überprüfung der Risikobewertung und -behandlung
Risikomanagementprozess nach ISO 27005
- Festlegung des Kontexts
- Risikoassessment:
-> Risikoidentifikation
-> Risikoanalyse
-> Risikobewertung/Priorisierung - Risikobehandlung
- Dokumentierte Information
- Währenddessen:
-> Risikokommunikation
-> Risikoüberwachung und -überprüfung
Risikobehandlung: Festlegung der Behandlungsmaßnahmen (ISO)
- Restrisikoakzeptanz
-> Hohe Eintrittswahrscheinlichkeit, geringe Auswirkungen: Vorfall: Verwaltung durch die Prozesse des Vorfallmanagements
-> Niedrige Eintrittswahrscheinlichkeit, hohe Auswirkungen: Katastrophe: Verwaltung durch die Prozesse des BCM - Reduktion, Akzeptanz, Vermeidung oder Übertragung
- Behandlungsplan erstellen
Risikoüberwachung und -überprüfung
- Regelmäßige Überprüfung der Risiken
-> Risikomethode, Schwachstellen, Bedrohungen, Auswirkungen, Risikoakzeptanzkriterien, Wahrscheinlichkeiten, Behandlungen, Periodisierungen, Maßnahmen
Dokumentierte Informationen
- Dokumentation aller Entscheidungen und Prozesse (z.B. für Zertifizierungsstelle)
-> Risikomanagementmethodik, Bedrohungs- und Schwachstellenkataloge, Begründungen zur Risikobewertung, Begründungen zur Risikobehandlung, Maßnahmennachverfolgung, Kommunikation
Risikomanagement Ziel
Organisation in die Lage versetzen, bestehende Risiken überhaupt identifizieren und bewerten zu können, um sie zu behandeln und und passende Maßnahmen für verbleibende Restrisiken auswählen zu können
Risikomanagement Definition
Koordinierte Aktivitäten zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken