Risikobeurteilung
Jede Änderung des Zustands einer Informationsverarbeitung wird als Ereignis (Event) betrachtet. Handelt es sich um ein Ereignis, das zumindest theoretisch Auswirkungen auf die Sicherheit haben könnte, spricht man von einem Sicherheitsereignis (Security Event). Auswirkungen auf die Sicherheit liegen immer dann vor, wenn Sicherheitsziele einer Organisation beeinträchtigt werden können.
Ein Sicherheitsvorfall (Security Incident) ist ein Ereignis, bei dem eine hohe Wahrscheinlichkeit für Auswirkungen auf die Sicherheit besteht.
In der Norm wird sehr genau zwischen Events und Incidents unterschieden.
Ein (Sicherheits-)Notfall ist ein Sicherheitsvorfall mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.
Definition von Risiko
In der Informationssicherheit wird der mögliche Eintritt von Sicherheitsereignissen als Risiko angesehen. Ein Risiko wird in aller Regel als eine Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe definiert.
Sind Eintrittswahrscheinlichkeit und Schadenhöhe zahlenmäßig bestimmbar, wäre das Produkt beider Zahlen eine solche Kombination.
Risikobeurteilung in der Praxis
In der Praxis lassen sich Risiken meist nicht auf diese Weise berechnen, weil hinreichend genaue Zahlen fehlen: Man legt deshalb für die Eintrittswahrscheinlichkeit und die Schadenhöhe jeweils Stufen fest, und betrachtet Risikoklassen als Kombination solcher Stufen.
Ein Risiko kann immer dann eintreten, wenn Schwachstellen vorhanden sind, d.h. wenn Sicherheitsmaßnahmen fehlen, ungeeignet konstruiert oder fehlerhaft angewendet werden. Bei den letzten beiden Fällen spricht man von konstruktiven bzw. operativen Schwachstellen.