Hier möchten wir Ihnen gerne eine umfassende Einführung zu der Norm ISO 27005 bzw. IEC 27005 geben.

Der Standard für "Information Security Risk Management", ISO/IEC 27005, wurde als Leitfaden zu der bekannten Norm für Informationssicherheit ISO/IEC 27001 veröffentlicht. Damit wird das abstrakte Thema Risikomanagement besser umsetzbar – auch in KMU. Die ISO 27005 findet man vor allem in der IT-Branche. Dort regelt die ISO 27005 das Risikomanagement eines ISMS (Informationssicherheitsmanagementsystem). Mehr über das IT Risikomanagement und den Leitfaden ISO 27005 können Sie auch auf dieser Seite erfahren.

Im Bereich Informationssicherheitsmanagement stellt die ISO 27005 einen Leitfaden mit der genauen Beschreibung zur IT Risikoanalyse und zum Risikomanagement im IT Bereich dar. Der Leitfaden ISO 27005 bzw. IEC 27005 ist auch sehr gut an kleine und mittlere Unternehmen (KMU) anwendbar. Die ISO 27005 beinhaltet dabei einerseits eine Beschreibung des kompletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des IT Risikomanagements und der Risikoanalyse. Somit wird das Entdecken und Minimieren von Sicherheitslücken im IT Bereich erleichtert. Die Anhänge der IEC 27005 liefern nützliche Informationen zur Etablierung eines Risikomanagement im Bereich Informationssicherheit und damit zur Erfüllung von Forderungen der Norm ISO 27001.

SEMINAR:

Hier Ihr perfekter Einstieg in die Thematik Informationssicherheitsmanagement - Grundlagen

Risikomanagement im IT Bereich und IT Risikoanalyse, wie in der IEC / ISO 27005 beschrieben, begründen sich auf den Forderungen, die in der Norm ISO 27001 verankert sind:

• Eine klare Vorgehensweise zur Einschätzung von IT Risiken inkl. der Festlegung von Akzeptanzkriterien für diese
• Die Identifikation von IT Risiken, insbesondere bezogen auf bedrohte Werte, direkte und indirekte Bedrohungen und Schwachstellen im IT Bereich
• Die Analyse der Auswirkungen im Falle des Eintretens eines IT Risikos, sowie die Abschätzung der Risikowahrscheinlichkeit und des Risikoniveaus
• Optionen zur Risikobehandlung
• Identifikation und Evaluation von passenden Maßnahmen für Risikomanagement

Dabei verlangt die ISO 27001 eine systematische, reproduzierbare und dokumentierte Vorgehensweise.

VORLAGENPAKET:

Führen Sie Ihre internen Audits nach ISO 27001 mit diesen Vorlagen unkompliziert durch!

Bei der Analyse von Informationssicherheitsrisiken beim Aufbau und Implementierung eines ISMS nach ISO 27001 wird eine Aussage über Eintrittswahrscheinlichkeit und Schadenshöhe möglicher IT Risiken getroffen. Die Risikoanalyse ist ein systematisches Verfahren, welches in dem Fall IT Risiken bewertet und Zusammenhänge transparent darstellt. So können potenzielle Probleme und eventuelle Schäden frühzeitig entdeckt werden. Damit werden Risiken im IT Bereich vermieden und eine Organisation erleidet keine Verluste, so z.B. Imageverluste.

                          

Abb. I: Ablauf IT Risikoanalyse

Folgende Schritte kennzeichnen eine IT Risiko Analyse:

1. Definition eines systematischen Ansatzes für den Umgang mit Risiken (Risikomanagement)
2. Beschreibung und Erläuterung  eines geeigneten Ansatzes (Methode) zur Analyse, Bewertung und Behandlung von Informationssicherheit Risiken (Risikomanagementhandbuch):

• Festlegung der Schutzklassen und Kriterien (Schadenshöhe, Eintrittswahrscheinlichkeit, Risikoakzeptanz)
• Bestimmung der Verantwortlichkeiten
• Definition der Review-Zyklen

3. Prozessbeschreibung zum IT Risikomanagement
4. Erfassen aller (potenziell) bedrohten Objekte und deren Wert (Klassifizieren nach Schutzklassen)

AUSBILDUNG:   Lernen Sie hier, wie Sie das IT Sicherheitsniveau in Ihrem Unternehmen ständig verbessern 

3. Erfassen der Daten und Informationen (Klassifizieren nach Schutzklassen) durch eine IT Risikoanalyse
4. Erfassen der Bedrohungen und der Schwachstellen im IT Bereich

• Die Bedrohungen sind im Zuge der Risikoanalyse im IT Bereich in einer Excel Tabelle systematisch zu dokumentieren
• Bewertung von möglichen Schäden durch Verlust, Veränderung oder Ausfall
• Die Schäden sind in einer Excel Tabelle systematisch zu dokumentieren und zu bewerten

7. Bewertung der Eintrittswahrscheinlichkeit eines IT Risikos
8. Erstellung einer Risikomatrix (siehe Abbildung II)

• Bestimmung der Eintrittswahrscheinlichkeit pro Schaden sowie die zu erwartende Schadenshöhe

         

Abb. II: Risikomatrix

VORLAGE:      Gestalten Sie Ihr Notfallmanagement mit diesem Notfallhandbuch ISO 27001 effizienter

Um sich bei projektorientiertem Risikomanagement IEC 27005 nicht allzu sehr im Detail zu verlieren, sollte man bei einer Risikoanalyse für Informationssicherheit folgendes beachten:

• Gruppiere die ermittelten Werte in der ISO 27005 Risikoanalyse nach ihrem Eigentümer
• Starte mit nur ungefähr 10 Wertegruppen
• Starte mit nur ungefähr 10 allgemeinen Bedrohungen
• Versuche Wissensträger mit einzubinden und mögliche Szenarien abzuleiten
• Betrachte nur umfangreiche Risiken, nicht die Alltäglichen
• Schätze die Risikowahrscheinlichkeit ab und ordne Sie den 3 Ausprägungen zu (häufig, selten und sehr selten)
• Schätze die potenzielle Schadenshöhe im Zuge der IT Risikoanalyse nach ISO 27005 in 3 Stufen (erheblich, kritisch und katastrophal)

AUSBILDUNG:  Erfahren Sie hier, wie Sie Ihr IT Sicherheitsmanagementsystem (ISMS) perfekt managen

Für IT Risikoanalysen zur Informations- und Datensicherheit stehen eine ganze Reihe von Methoden und Modellen zur Verfügung. Die bedeutendsten sind dabei mathematische Modelle wie Sie insbesondere bei Versicherungen und Banken zum Einsatz kommen. Es werden auch Integrierte Ansätze aus dem Controllingbereich z.B. Planrechnungen, die sogenannte Suva-Methode, natürlich die FMEA (Fehler Möglichkeits- und Einfluss Analyse), die Failure Tree Analysis oder die komplexere Balanced Score Card eingesetzt. Dazu existieren noch zahlreiche qualitativ-heuristische Methoden, die den Vorteil eines verhältnismäßig geringeren Aufwands bieten.

---