Risikobeurteilung: Unterschied zwischen den Versionen
Zeile 4: | Zeile 4: | ||
In der Norm wird sehr genau zwischen [[Events und Incidents Unterscheidung|Events und Incidents]] unterschieden.<br> | In der Norm wird sehr genau zwischen [[Events und Incidents Unterscheidung|Events und Incidents]] unterschieden.<br> | ||
Ein [[(Sicherheits-)Notfall]] ist ein [[Sicherheitsvorfall]] mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.<br> | Ein [[(Sicherheits-)Notfall]] ist ein [[Sicherheitsvorfall]] mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.<br> | ||
+ | In der Norm wird Risikobeurteilung als Zusammenfassung der Teilaktivitäten Risikoidentifizierung, Risikoanalyse und Risikobewertung betrachtet. | ||
== Definition von Risiko == | == Definition von Risiko == | ||
In der Informationssicherheit wird der mögliche Eintritt von Sicherheitsereignissen als Risiko angesehen. Ein Risiko wird in aller Regel als eine Kombination aus [[Eintrittswahrscheinlichkeit]] und [[Schadenhöhe]] definiert.<br> | In der Informationssicherheit wird der mögliche Eintritt von Sicherheitsereignissen als Risiko angesehen. Ein Risiko wird in aller Regel als eine Kombination aus [[Eintrittswahrscheinlichkeit]] und [[Schadenhöhe]] definiert.<br> |
Version vom 1. Februar 2021, 15:04 Uhr
Jede Änderung des Zustands einer Informationsverarbeitung wird als Ereignis (Event) betrachtet. Handelt es sich um ein Ereignis, das zumindest theoretisch Auswirkungen auf die Sicherheit haben könnte, spricht man von einem Sicherheitsereignis (Security Event). Auswirkungen auf die Sicherheit liegen immer dann vor, wenn Sicherheitsziele einer Organisation beeinträchtigt werden können.
Ein Sicherheitsvorfall (Security Incident) ist ein Ereignis, bei dem eine hohe Wahrscheinlichkeit für Auswirkungen auf die Sicherheit besteht.
In der Norm wird sehr genau zwischen Events und Incidents unterschieden.
Ein (Sicherheits-)Notfall ist ein Sicherheitsvorfall mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.
In der Norm wird Risikobeurteilung als Zusammenfassung der Teilaktivitäten Risikoidentifizierung, Risikoanalyse und Risikobewertung betrachtet.
Definition von Risiko
In der Informationssicherheit wird der mögliche Eintritt von Sicherheitsereignissen als Risiko angesehen. Ein Risiko wird in aller Regel als eine Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe definiert.
Sind Eintrittswahrscheinlichkeit und Schadenhöhe zahlenmäßig bestimmbar, wäre das Produkt beider Zahlen eine solche Kombination.
Risikobeurteilung in der Praxis
In der Praxis lassen sich Risiken meist nicht auf diese Weise berechnen, weil hinreichend genaue Zahlen fehlen: Man legt deshalb für die Eintrittswahrscheinlichkeit und die Schadenhöhe jeweils Stufen fest, und betrachtet Risikoklassen als Kombination solcher Stufen.
Ein Risiko kann immer dann eintreten, wenn Schwachstellen vorhanden sind, d.h. wenn Sicherheitsmaßnahmen fehlen, ungeeignet konstruiert oder fehlerhaft angewendet werden. Bei den letzten beiden Fällen spricht man von konstruktiven bzw. operativen Schwachstellen.
Risikoidentifizierung
Die Ermittlung (Erfassung und Benennung) von einzelnen Risiken für die Informationswerte der Organisation, soweit sie im Anwendungsbereich des ISMS liegen.
Diese Ermittlung muss im Zusammenspiel mit den Verantwortlichen (Asset Owner bzw. Risk Owner) für die einzelnen Informationswerte geschehen.
Risikanalyse
Abschätzen bzw. Klassifizieren der Schadenhöhe und Eintrittshäufigkeit für jedes Risiko. Das Risiko wird dementsprechend festgelegt, z.B. in eine Risikoklasse.
Risikobewertung
Feststellung, welche Auswirkungen ein Risiko auf die Organisation hat: meist geschrieht dies durch eine Bewertung der Risiken mit Stufen wie
- Tolerabel
- Mittel
- Gravierend
- Katastrophal