Get best of the week

Analyse internationaler Dokumente zum Informationssicherheits-Risikomanagement. Teil 2

Im vorherigen Teil haben wir das allgemeine Konzept des Risikomanagements beschrieben und Risikomanagementmethoden gemäß den Dokumenten der NIST SP 800-Serie offengelegt. In diesem Teil werden wir weiterhin internationale Dokumente zum Risikomanagement für Informationssicherheit prüfen: Wir entsprechen den Standards ISO 27005 und 31010. Los geht's!

Bild

Die zuvor besprochenen Sonderpublikationen NIST SP 800-39, NIST SP 800-37 und NIST SP 800-30 bieten einen kohärenten systematischen Ansatz für die Risikobewertung und -verarbeitung, während NIST SP 800-53, NIST SP 800-53A und NIST SP 800-137 bieten spezifische Maßnahmen an, um die Risiken der Informationssicherheit zu minimieren. Es sollte jedoch berücksichtigt werden, dass diese Dokumente im Wesentlichen beratender Natur sind und keine Standards darstellen (z. B. im Gegensatz zu NIST FIPS-Dokumenten), und dass sie ursprünglich für Unternehmen und Organisationen aus den USA entwickelt wurden. Dies führt zu gewissen Einschränkungen bei ihrer Verwendung: Beispielsweise können Organisationen keine internationale Zertifizierung für die Umsetzung der Bestimmungen dieser Dokumente erhalten, und die Verwendung des gesamten Satzes verwandter NIST-Frameworks kann sich als übermäßig arbeitsintensiv und unpraktisch erweisen.Oft wählen Unternehmen den Zertifizierungspfad gemäß den Anforderungen der Internationalen Organisation für Normung (ISO) und erhalten beispielsweise den weltweit anerkannten Status "ISO 27001 Certified". Die Normenreihe ISO 27000 enthält Dokumente zur Informationssicherheit und zum Risikomanagement. Betrachten Sie das Hauptdokument dieser Reihe zum IS-Risikomanagement: Standard ISO / IEC 27005: 2018.

ISO / IEC 27005: 2018


Norm ISO / IEC 27005: 2018 "Informationstechnologie - Sicherheitstechniken - Risikomanagement für Informationssicherheit"(„Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Risikomanagement“) ist die dritte Überarbeitung: Die erste Version des Standards wurde 2005 und die zweite 2011 veröffentlicht. Das Dokument enthält mehrere risikospezifische Begriffe. Ein Schutzmittel (englische Kontrolle) ist also eine Maßnahme, die das Risiko verändert. Das Konzept der Kontexte (englischer Kontext) umfasst den externen Kontext, dh das externe Umfeld des Unternehmens (z. B. das politische, wirtschaftliche, kulturelle Umfeld sowie die Beziehungen zu externen Stakeholdern), und den internen Kontext, dh das interne Umfeld des Unternehmens (interne Prozesse, Richtlinien, Standards, Systeme, Ziele und Kultur der Organisation, Beziehungen zu internen Stakeholdern sowie vertragliche Verpflichtungen).

Risiko- Dies ist das Ergebnis von Ungenauigkeiten (englische Unsicherheit) bei der Erreichung der Ziele. Ungenauigkeit bedeutet jedoch einen Mangel an Informationen in Bezug auf ein bestimmtes Ereignis, seine Folgen oder die Wahrscheinlichkeit seines Auftretens. Unter dem Risikograd (engl. Risikograd) versteht man die Höhe des Risikos, ausgedrückt als Produkt der Auswirkungen wesentlicher Ereignisse und der Wahrscheinlichkeit des Auftretens dieser Ereignisse. Restrisiko (Eng. Restrisiko ) - das nach dem Risikobehandlungsverfahren verbleibende Risiko. Unter Risikobewertung(Englische Risikobewertung) verstehen den allgemeinen Prozess der Identifizierung (d. H. Suche, Definition und Beschreibung des Risikos), Analyse (d. H. Verständnis der Art des Risikos und Bestimmung seines Niveaus) und Gefährdungsbeurteilung (d. H. Vergleich der Ergebnisse der Risikoanalyse mit Risikokriterien zur Bestimmung der Zulässigkeit seines Wertes) Risiken. Die Risikobehandlung ist ein Risikomodifikationsprozess , der Folgendes umfassen kann:

  • Risikovermeidung durch Vermeidung von Maßnahmen, die zu Risiken führen können;
  • Akzeptanz oder Erhöhung des Risikos zur Erreichung der Geschäftsziele;
  • Beseitigung von Risikoquellen;
  • Änderung der Wahrscheinlichkeit des Eintretens eines Risikos;
  • Änderung der erwarteten Folgen der Umsetzung des Risikos;
  • Risikotransfer (Teilung);
  • Risikobewahrung.

Der IS-Risikomanagementprozess sollte aus Sicht der Autoren von ISO / IEC 27005: 2018 durch folgende Merkmale gekennzeichnet sein:

  1. . , ( -).
  2. .
  3. .
  4. , .
  5. .
  6. .
  7. .
  8. .

Der Risikomanagementprozess selbst besteht aus den folgenden Schritten (Prozessen), die dem in ISO 27001 verfolgten PDCA-Ansatz (Plan - Do - Check - Act) entsprechen:

  1. Definition des Kontextes.
  2. Risikoabschätzung.
  3. Entwickeln Sie einen Risikobehandlungsplan.
  4. Risikobereitschaft
  5. Umsetzung des entwickelten Risikobehandlungsplans.
  6. Kontinuierliche Überwachung und Überprüfung der Risiken.
  7. Unterstützung und Verbesserung des IS-Risikomanagementprozesses.

Weiter werden wir jeden dieser Schritte genauer betrachten.

1. Definition des Kontextes


Bei der Ermittlung des Kontexts sind die Eingabedaten alle Informationen über das Unternehmen, die für das Risikomanagement relevant sind. Im Rahmen dieses Prozesses wird ein Ansatz für das Risikomanagement ausgewählt, der Risikobewertungskriterien, Kriterien für die Bewertung negativer Auswirkungen (englische Auswirkungen) und Kriterien für die Akzeptanz von Risiken umfassen sollte. Darüber hinaus sollten die für die Umsetzung dieses Prozesses erforderlichen Ressourcen bewertet und zugewiesen werden.

Risikobewertungskriterien sollten entwickelt werden, um IS-Risiken im Unternehmen zu bewerten, und sollten den Wert von Informationsressourcen, die Anforderungen an deren Vertraulichkeit, Integrität, Zugänglichkeit, die Rolle von Informationsgeschäftsprozessen, die Anforderungen an Gesetze und vertragliche Verpflichtungen, die Erwartungen der Stakeholder, mögliche negative Folgen für den guten Willen und das Ansehen berücksichtigen Unternehmen.

Die Kriterien für die Bewertung der negativen Auswirkungen sollten die Höhe des Schadens oder die Kosten des Unternehmens berücksichtigen, um das realisierte Informationssicherheitsrisiko zu beheben, und den Grad der Bedeutung des IT-Assets, die Verletzung der Informationssicherheit (d. H. Verlust der Privatsphäre, Integrität, Zugänglichkeitseigenschaften des Assets), erzwungene Ausfallzeiten von Geschäftsprozessen und wirtschaftliche Verluste berücksichtigen , Verletzung von Plänen und Fristen, Reputationsschäden, Verletzung von gesetzlichen Anforderungen und vertraglichen Verpflichtungen.

Risikoakzeptanzkriterienkann als Verhältnis des erwarteten Geschäftsnutzens zu den erwarteten Risiken ausgedrückt werden. Gleichzeitig können unterschiedliche Kriterien für unterschiedliche Risikoklassen angewendet werden: Beispielsweise können die Risiken einer Nichteinhaltung des Gesetzes grundsätzlich nicht akzeptiert werden, und hohe finanzielle Risiken können akzeptiert werden, wenn sie Teil vertraglicher Verpflichtungen sind. Darüber hinaus sollte der prognostizierte Zeitraum der Risikorelevanz (langfristige und kurzfristige Risiken) berücksichtigt werden. Es müssen Kriterien für die Übernahme von Risiken entwickelt werden, die das gewünschte (Ziel-) Risikoniveau berücksichtigen, wobei das Top-Management unter bestimmten Umständen Risiken über diesem Niveau akzeptieren kann und die Möglichkeit besteht, Risiken zu akzeptieren, die einer späteren Verarbeitung von Risiken während des angegebenen Zeitraums unterliegen.

Zusätzlich zu den oben genannten Kriterien sollten im Rahmen des Kontextermittlungsprozesses die Grenzen und der Umfang des IS-Risikomanagementprozesses berücksichtigt werden: die Geschäftsziele, Geschäftsprozesse, Pläne und Richtlinien des Unternehmens, die Struktur und Funktionen der Organisation, geltende Gesetze und andere Anforderungen, Informationsressourcen, Erwartungen der Stakeholder, Interaktion mit Gegenparteien. Sie können den Risikomanagementprozess in einem bestimmten IT-System, einer bestimmten Infrastruktur, einem bestimmten Geschäftsprozess oder in einem bestimmten Teil des gesamten Unternehmens berücksichtigen.

2. Risikobewertung


Im Rahmen des Risikobewertungsprozesses muss das Unternehmen den Wert von Informationsressourcen bewerten, aktuelle Bedrohungen und Schwachstellen identifizieren, Informationen zu aktuellen Abhilfemaßnahmen und deren Wirksamkeit einholen und die möglichen Folgen der Risiken ermitteln. Als Ergebnis der Risikobewertung sollte das Unternehmen eine quantitative oder qualitative Risikobewertung sowie eine Priorisierung dieser Risiken unter Berücksichtigung der Kriterien zur Bewertung des Risikos von Risiken und der Ziele des Unternehmens erhalten. Der Risikobewertungsprozess selbst besteht aus der Identifizierung von Risiken, der Analyse von Risiken und der Risikobewertung von Risiken.

2.1. Risiko-Einschätzung


Der Zweck der Identifizierung von Risiken besteht darin, zu bestimmen, was passieren und zu potenziellen Schäden führen kann, und zu verstehen, wie, wo und warum diese Schäden auftreten können. In diesem Fall sollte man die Risiken berücksichtigen, unabhängig davon, ob die Quelle dieser Risiken unter der Kontrolle der Organisation liegt oder nicht. Im Rahmen dieses Prozesses sollte Folgendes durchgeführt werden:

  1. Identifizierung (Inventarisierung) von Assets, was zu einer Liste von IT-Assets und Geschäftsprozessen führt;
  2. Identifizierung von Bedrohungen, während absichtliche und zufällige Bedrohungen berücksichtigt werden müssen, können externe und interne Bedrohungsquellen sowie Informationen über mögliche Bedrohungen sowohl von internen Quellen in der Organisation (Anwälte, Personalabteilung, IT usw.) als auch von externen Quellen (Versicherungen) bezogen werden Unternehmen, externe Berater, statistische Informationen usw.);
  3. ;
  4. , ; , , -, , , ;
  5. , , -.

2.2.


Eine Risikoanalyse kann mit unterschiedlichen Tiefen durchgeführt werden, abhängig von der Kritikalität der Assets, der Anzahl bekannter Schwachstellen und auch unter Berücksichtigung früherer Vorfälle. Die Methodik der Risikoanalyse kann sowohl qualitativ als auch quantitativ sein: In der Regel wird zunächst eine qualitative Analyse verwendet, um Risiken mit hoher Priorität hervorzuheben, und dann wird eine quantitative Analyse auf die identifizierten Risiken angewendet, die zeitaufwändiger ist und genauere Ergebnisse liefert.

Bei der Verwendung der qualitativen Analyse arbeiten Spezialisten auf einer Skala der deskriptiven Gefährdungsbeurteilung (z. B. niedrig, mittel, hoch) der potenziellen Folgen bestimmter Ereignisse und der Wahrscheinlichkeit dieser Folgen.

Bei Verwendung quantitativer AnalysemethodenEs werden bereits numerische Werte angewendet, die historische Daten zu bereits aufgetretenen Vorfällen berücksichtigen. Es ist zu beachten, dass eine quantitative Risikobewertung mangels verlässlicher, überprüfbarer Fakten nur die Illusion von Genauigkeit vermitteln kann.

Im Rahmen der Risikoanalyse selbst werden zunächst die potenziellen Folgen von IS-Vorfällen bewertet: Ihre negativen Auswirkungen auf das Unternehmen werden unter Berücksichtigung der Folgen von Verstößen gegen die Vertraulichkeit, Integrität und Zugänglichkeit von Informationsressourcen bewertet. Die vorhandenen Vermögenswerte werden geprüft und geprüft, um sie nach ihrer Kritikalität zu klassifizieren, und die möglichen negativen Auswirkungen von Verstößen gegen die Informationssicherheit dieser Vermögenswerte auf das Geschäft werden ebenfalls bewertet (vorzugsweise in Geldbeträgen). Die Bewertung von Vermögenswerten erfolgt im Rahmen einer Analyse der negativen Auswirkungen auf das Geschäft (Business Impact Analysis) und kann auf der Grundlage der Kosten für den Ersatz oder die Wiederherstellung von Vermögenswerten / Informationen sowie der Folgen des Verlusts oder der Gefährdung von Vermögenswerten / Informationen berechnet werden: Finanzielle, rechtliche und Reputationsaspekte werden berücksichtigt.Es sollte auch berücksichtigt werden, dass Bedrohungen ein oder mehrere miteinander verbundene Vermögenswerte oder Vermögenswerte nur teilweise betreffen können.

Als nächstes wird eine Bewertung der Wahrscheinlichkeit eines Vorfalls, d.h. alle potenziellen Bedrohungsszenarien. Es ist erforderlich, die Häufigkeit der Bedrohung und die einfache Ausnutzung von Sicherheitslücken zu berücksichtigen, die sich an statistischen Informationen über ähnliche Bedrohungen orientieren, sowie Daten über die Motivation und die Möglichkeiten absichtlicher Bedrohungsquellen (Erstellung eines Modells des Eindringlings), die Attraktivität von Vermögenswerten für Angreifer, vorhandene Sicherheitslücken, angewandte Schutzmaßnahmen und im Falle der Berücksichtigung unbeabsichtigter Maßnahmen Bedrohungen - Berücksichtigen Sie den Standort, die Wetterbedingungen, die Ausstattungsmerkmale, menschliche Fehler usw. Abhängig von der erforderlichen Genauigkeit der Bewertung können Assets in Bezug auf die für sie geltenden Angriffsszenarien gruppiert oder unterteilt werden.

Schließlich wird die Risikostufe für alle Szenarien aus der entwickelten Liste der Angriffsszenarien bestimmt. Das Ausmaß des erwarteten Risikos ergibt sich aus der Wahrscheinlichkeit des Vorfallszenarios und seinen Folgen.

2.3. Risikoabschätzung


Im Rahmen des Risikobewertungsprozesses werden die in der vorherigen Phase ermittelten Risikostufen mit den in der Kontextbestimmungsphase ermittelten Risikovergleichskriterien und Risikoakzeptanzkriterien verglichen. Bei Entscheidungen sollten die Folgen der Umsetzung von Bedrohungen, die Wahrscheinlichkeit negativer Folgen sowie das persönliche Vertrauen in die Richtigkeit der Identifizierung und Analyse von Risiken berücksichtigt werden. Es ist erforderlich, die Eigenschaften von IS-Assets zu berücksichtigen (wenn beispielsweise der Verlust der Vertraulichkeit für die Organisation nicht relevant ist, können alle Risiken, die diese Eigenschaft verletzen, verworfen werden können) sowie die Bedeutung von Geschäftsprozessen, die von einem bestimmten Asset bedient werden (z. B. Risiken, die einen unbedeutenden Geschäftsprozess betreffen) als niedrige Priorität anerkannt).

3. IS Risikobehandlung


Zu Beginn dieses Teilprozesses verfügen wir bereits über eine Liste priorisierter Risiken gemäß den Kriterien zur Bewertung des Risikos von Risiken im Zusammenhang mit Ereignisszenarien, die zur Realisierung dieser Risiken führen könnten. Als Ergebnis der Risikoverarbeitung müssen wir Schutzmaßnahmen wählen, mit denen Risiken geändert (beibehalten), beibehalten (vermieden) oder übertragen (geteilt) sowie Restrisiken und -formen verarbeitet werden sollen Risikobehandlungsplan.

Die angegebenen Risikobehandlungsoptionen (Änderung, Erhaltung, Vermeidung oder Übertragung) sollten in Abhängigkeit von den Ergebnissen des Risikobewertungsprozesses, der erwarteten Kostenschätzung für die Umsetzung von Schutzmaßnahmen und dem erwarteten Nutzen jeder Option ausgewählt werden, während sie kombiniert werden können (z. B. Änderung der Risikowahrscheinlichkeit und Übertragung des Restrisikos) ) Es sollte bevorzugt werden, einfach umsetzbare und kostengünstige Maßnahmen zu ergreifen, die gleichzeitig einen großen Effekt auf die Risikominderung haben und eine größere Anzahl von Bedrohungen abdecken. Falls erforderlich, sollte die Verwendung kostspieliger Lösungen eine wirtschaftliche Rechtfertigung für ihre Anwendung darstellen. Im Allgemeinen sollte man sich bemühen, negative Folgen zu minimieren und seltene, aber destruktive Risiken zu berücksichtigen.

Infolgedessen sollten die verantwortlichen Personen einen Risikobehandlungsplan formulieren, in dem die Priorität und das Zeitintervall klar definiert sind, nach denen eine Methode zur Verarbeitung jedes Risikos implementiert werden sollte. Prioritäten können basierend auf den Ergebnissen des Risiko-Rankings und der Kosten-Nutzen-Analyse festgelegt werden. Wenn in der Organisation bereits Schutzmaßnahmen umgesetzt wurden, ist es sinnvoll, deren Relevanz und Betriebskosten zu analysieren und dabei die Beziehung zwischen Schutzmaßnahmen und Bedrohungen zu berücksichtigen, für die diese Maßnahmen angewendet wurden.

Am Ende des Risikobehandlungsplans sollten die Restrisiken ermittelt werden. Dies kann eine Aktualisierung oder erneute Durchführung einer Risikobewertung unter Berücksichtigung der erwarteten Auswirkungen der vorgeschlagenen Risikobehandlungsmethoden erforderlich machen.

Als nächstes betrachten wir die möglichen Optionen für die Verarbeitung von Risiken genauer.

3.1. Risikomodifikation


Eine Risikomodifikation impliziert ein solches Risikomanagement durch Anwendung oder Änderung von Schutzmaßnahmen, was zur Einschätzung des Restrisikos als akzeptabel führt. Bei Verwendung der Option zur Risikomodifikation werden begründete und relevante Schutzmaßnahmen ausgewählt, die den Anforderungen entsprechen, die in den Phasen der Risikobewertung und -verarbeitung definiert wurden. Eine Vielzahl von Einschränkungen sollte berücksichtigt werden, z. B. die Betriebskosten von Schutzausrüstung (unter Berücksichtigung der Implementierung, Verwaltung und des Einflusses auf die Infrastruktur), der zeitliche und finanzielle Rahmen, der Bedarf an Personal, das diese Schutzausrüstung wartet, und die Anforderungen für die Integration in aktuelle und neue Sicherheitsmaßnahmen. Es ist auch notwendig, die Kosten der angegebenen Kosten mit dem Wert des zu schützenden Vermögenswerts zu vergleichen. Die Schutzmaßnahmen umfassen: Korrektur, Beseitigung, Verhinderung, Minimierung negativer Auswirkungen,Prävention potenzieller Verstöße, Aufdeckung, Wiederherstellung, Überwachung und Sensibilisierung der Mitarbeiter.

Das Ergebnis des Schritts „Risikomodifikation“ sollte eine Liste möglicher Schutzmaßnahmen mit ihren Kosten, dem vorgeschlagenen Nutzen und der Priorität der Umsetzung sein.

3.2. Risikobewahrung


Risikokonservierung bedeutet, dass auf der Grundlage der Ergebnisse der Risikobewertung entschieden wurde, dass keine weiteren Maßnahmen für seine Verarbeitung erforderlich sind, d. H. Das geschätzte Niveau des erwarteten Risikos erfüllt die Risikoakzeptanzkriterien. Beachten Sie, dass sich diese Option erheblich von der bösartigen Praxis des Ignorierens von Risiken unterscheidet, bei der das bereits identifizierte und bewertete Risiko in keiner Weise verarbeitet wird, d. H. Die Entscheidung über ihre Annahme wird nicht offiziell angenommen, so dass das Risiko in einem „suspendierten“ Zustand bleibt.

3.3. Risikovermeidung


Bei Auswahl dieser Option wird entschieden, eine bestimmte Aktivität nicht durchzuführen oder die Verhaltensbedingungen zu ändern, um das mit dieser Aktivität verbundene Risiko zu vermeiden. Diese Entscheidung kann bei hohen Risiken getroffen werden oder wenn die Kosten für die Umsetzung von Schutzmaßnahmen den erwarteten Nutzen übersteigen. Beispielsweise kann ein Unternehmen die Bereitstellung bestimmter Onlinedienste für personenbezogene Daten durch Benutzer verweigern, basierend auf den Ergebnissen einer Analyse der möglichen Risiken des Verlusts solcher Informationen und den Kosten für die Umsetzung angemessener Schutzmaßnahmen.

3.4. Risikotransfer


Das Risiko kann auf die Organisation übertragen werden, die es am effektivsten verwalten kann. Auf der Grundlage einer Risikobewertung wird daher entschieden, bestimmte Risiken auf eine andere Person zu übertragen, indem beispielsweise Cyber-Risiken versichert werden (ein Dienst, der in Russland immer beliebter wird, aber immer noch um ein Vielfaches hinter der Größe dieses Marktes zurückbleibt, beispielsweise in den USA) oder indem Verantwortlichkeiten übertragen werden zum Überwachen und Reagieren auf IS-Vorfälle an den MSSP (Managed Security Service Provider) oder MDR (Managed Detection and Response), d.h. im kommerziellen SOC. Bei der Auswahl der Risikotransferoption ist zu beachten, dass der Risikotransfer selbst ein Risiko sein kann und dass die Verantwortung für das Risikomanagement auf ein anderes Unternehmen übertragen werden kann, die Verantwortung für die negativen Folgen eines möglichen Vorfalls jedoch nicht auf dieses übertragen werden kann.

4. Risikoakzeptanz


Die Eingabedaten für diese Phase sind die im vorherigen Schritt entwickelten Risikobehandlungspläne und die Bewertung der Restrisiken. Risikobehandlungspläne sollten beschreiben, wie die bewerteten Risiken verarbeitet werden, um die Kriterien für die Übernahme von Risiken zu erfüllen. Die Verantwortlichen analysieren und vereinbaren die vorgeschlagenen Risikobehandlungspläne und die endgültigen Restrisiken und geben alle Bedingungen an, unter denen diese Genehmigung erteilt wird. In einem vereinfachten Modell wird ein trivialer Vergleich des Restrisikos mit einem zuvor definierten akzeptablen Niveau durchgeführt. Es sollte jedoch berücksichtigt werden, dass es in einigen Fällen erforderlich sein kann, die Kriterien für die Akzeptanz von Risiken zu überprüfen, die neue Umstände oder Bedingungen nicht berücksichtigen. In diesem Fall können die Verantwortlichen gezwungen sein, solche Risiken einzugehen.Angabe der Gründe und des Kommentars zur Entscheidung über die Nichteinhaltung der Kriterien für die Übernahme von Risiken in einem bestimmten Fall.

Infolgedessen wird eine Liste der akzeptierten Risiken mit Begründung für diejenigen erstellt, die die zuvor definierten Kriterien für die Akzeptanz von Risiken nicht erfüllen.

5. Umsetzung des entwickelten Risikobehandlungsplans. IS Risikokommunikation


In dieser Phase wird der entwickelte Risikobehandlungsplan direkt umgesetzt: In Übereinstimmung mit den getroffenen Entscheidungen werden Schutzausrüstung und -ausrüstung gekauft und konfiguriert, Cyberversicherungs- und Vorfallreaktionsverträge abgeschlossen und rechtliche Arbeiten mit Auftragnehmern durchgeführt. Gleichzeitig werden dem Management und den Stakeholdern Informationen zu den identifizierten IS-Risiken und Maßnahmen mitgeteilt, die ergriffen wurden, um ein gemeinsames Verständnis der Aktivitäten zu erreichen.
Kommunikationspläne für Informationssicherheitsrisiken werden für koordinierte Aktivitäten in normalen Situationen und in Notsituationen entwickelt (z. B. im Falle eines größeren Vorfalls im Bereich Informationssicherheit).

6. Kontinuierliche Risikoüberwachung und -überprüfung


Es sollte berücksichtigt werden, dass sich Risiken im Laufe der Zeit ruhig ändern können: Vermögenswerte und deren Wert ändern sich, neue Bedrohungen und Schwachstellen treten auf, die Wahrscheinlichkeit von Bedrohungen und das Ausmaß ihrer negativen Auswirkungen ändern sich. Daher ist es notwendig, laufende Änderungen kontinuierlich zu überwachen, auch unter Einbeziehung externer Gegenparteien, die auf die Analyse aktueller IS-Bedrohungen spezialisiert sind. Es ist erforderlich, eine regelmäßige Überprüfung sowohl der IS-Risiken als auch der Methoden zu ihrer Behandlung durchzuführen, um festzustellen, ob eine sich möglicherweise ändernde Situation relevant und angemessen ist. Besondere Aufmerksamkeit sollte diesem Prozess zum Zeitpunkt wesentlicher Änderungen in der Arbeit des Unternehmens und der laufenden Geschäftsprozesse gewidmet werden (z. B. bei Fusionen / Übernahmen, der Einführung neuer Dienstleistungen, Änderungen in der Eigentümerstruktur des Unternehmens usw.).

7. Unterstützung und Verbesserung des IS-Risikomanagementprozesses


Ähnlich wie bei der kontinuierlichen Risikoüberwachung sollte der Risikomanagementprozess selbst ständig aufrechterhalten und verbessert werden, damit der Kontext, die Bewertung und der Behandlungsplan für die aktuelle Situation und die aktuellen Umstände relevant bleiben. Alle Änderungen und Verbesserungen müssen mit interessierten Parteien vereinbart werden. Die Kriterien für die Bewertung und Akzeptanz von Risiken, die Bewertung des Werts von Vermögenswerten, der verfügbaren Ressourcen, der Aktivität von Wettbewerbern sowie Änderungen von Gesetzen und vertraglichen Verpflichtungen sollten den aktuellen Geschäftsprozessen und aktuellen Zielen des Unternehmens entsprechen. Falls erforderlich, müssen der derzeitige Ansatz, die Methodik und die Instrumente des IS-Risikomanagements geändert oder verbessert werden.

IEC 31010: 2019


Wir gehen nun kurz auf die Norm IEC 31010: 2019 „Risikomanagement - Risikobewertungstechniken“ ein .

Dieser Standard ist Teil einer Reihe von Standards für das Geschäftsrisikomanagement, die nicht speziell an IS-Risiken gebunden sind. Der „Titel“ -Standard ist ISO 31000: 2018, „Risikomanagement - Richtlinien“, der den Rahmen, die Grundsätze und den Risikomanagementprozess selbst beschreibt. Der in diesem Dokument beschriebene Risikomanagementprozess ähnelt dem oben diskutierten: Der Kontext, die Grenzen und Kriterien werden festgelegt, eine Risikobewertung wird durchgeführt (bestehend aus Identifizierung, Analyse, Risikobewertung), dann wird das Risiko verarbeitet, gefolgt von Kommunikation, Berichterstattung, Überwachung und Überprüfung.

Die Norm IEC 31010: 2019 ist insofern bemerkenswert, als sie mehr als 40 verschiedene Risikobewertungstechniken enthält, von denen jede eine Erklärung und eine Methode zur Anwendung auf alle Teilprozesse der Risikobewertung (Risikoidentifizierung, Identifizierung von Quellen und Ursachen von Risiken, Analyse von Schutzmaßnahmen, Analyse) enthält Konsequenzen, Wahrscheinlichkeiten, Beziehungen und Wechselwirkungen, Messung und Bewertung des Risikograds, Auswahl der Schutzmaßnahmen, Berichterstattung) und für einige Techniken werden auch praktische Anwendungsbeispiele angegeben. Für diese Norm in der inländischen Version gilt außerdem GOST R ISO / IEC 31010-2011 „Risikomanagement. Methoden der Risikobewertung “bezieht sich auf 607-P der Zentralbank der Russischen Föderation.„ Anforderungen an das Verfahren zur Gewährleistung eines unterbrechungsfreien Betriebs des Zahlungssystems, Indikatoren für einen ununterbrochenen Betrieb des Zahlungssystems und Methoden der Risikoanalyse im Zahlungssystem, einschließlich Risikoprofile “.

More articles:


All Articles