Risiko nach ISO 31000:2018
„Auswirkung von Unsicherheit auf Ziele
Risiko nach BSI
auf Berechnungen beruhende Vorhersage eines möglichen Schadens bzw. eines möglichen Nutzens
Risikomanagement nach ISO 31000:2018
koordinierte Aktivitäten zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken
Risikomanagement nach BSI
Aktivitäten mit Bezug auf die strategische und operative Behandlung von Risiken
Schaubild Risiko
Techniken zum Risikomanagement (10)
Einholung von Meinungen von Interessengruppen und Experten
Identifizierung von Risiken
Ermittlung von Risikoquellen, -ursachen und -treibern
Analyse von Maßnahmen
Verständnis von Wahrscheinlichkeiten und Auswirkungen
Analyse von Abhängigkeiten und Interaktionen
Techniken zur Messung von Risiken
Bewertung der Signifikanz von Risiken
Auswahl von Maßnahmen
Dokumentation und Kommunikation
Vorgehen bei der Dokumentation der Informationssicherheitsrisikomanagementmethodik (4)
Def der Kriterien zur Bewertung der Risiken
Ablauf des Risikomanagementprozesses
Festlegung der Akzeptanzkriterien (Risikoappetit)
Festlegung der Rollen und Verantwortlichkeiten
2 Ansätze zur Risikoidentifikation
Ereignisbasierter Ansatz
Asset-basierter Ansatz
Ereignisbasierter Ansatz (2)
Betrachtung der Risikoquellen
Betrachtung der Art und Weise, wie sie Angreifer nutzen
Identifizierung operativer Szenarien
Bezug auf Assets, Bedrohungen und Schwachstellen
Pro und Contra von Brainstorming
Pro
Con
Fördert Fantasie und Kreativität
Trägt bei, neue Risiken und Lösungen zu finden
Vollständigkeit schwierig sicherzustellen
Gruppendynamik kann zu dominierenden Sprechern führen
Pro und Contra Gap-Analyse
Vollständigkeit basiert auf der Vollständigkeit der Anforderungen (Richtlinien)
Kann sehr aufwendig sein
Pro und Contra Szenarioanalyse
Identifikation von zuvor unbekannten Szenarien / Risiken
Daten können spekulativ sein
Ergebnisse können unrealistisch sein
Bestimmung der Höhe des Risikos (3)
Qualitativ: Skala mit qualifizierenden Attributen
Quantitativ: Skala mit numerischen Werten
Halbquantitativ: qualitativer Skalen mit zugewiesenen Werten
Qualitative Bewertung (3)
Einsatz von Wahrscheinlichkeitsdefinitionen / Risikoszenarien
Subjektive Daten
Basierend auf den Wahrscheinlichkeits- /Risikowahrnemung der Beteiligten
Quantitative Bewertung
Anwendung der Mathematik
Daten aus der Vergangenheit notwendig / Objektive Daten
Basierend auf der Fähigkeit von Experten, das Risiko finanziell einzuschätzen
Verfahren zur Erhebung des Schadens (3 Schritte)
Sicherheitsvorfall
Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit
Weitere Folgen für die Organisation
Folgenanalyse (3)
Schätzung des Verlusts (Zeit / Daten)
Schätzung / Einschätzung der Schwere der (monetären) Foglen
Wiederherstellungskosten
Erhöhung der Zuverlässigkeit der Schätzung
Teameinschätzungen
Verwendung externer Quellen
Verwendung angemessener Skalen
Eindeutige Kategorien
Szenario in kleinere Ereignisse unterteilen und diese schätzen
Ergebnisbaumanalyse
Grafische Technik zur Darstellung sich gegenseitig ausschließender Abfolgen zur Quantifizierung der Wahrscheinlichkeiten
Markov-Analyse
quantitatives Verfahren, das auf Systeme angewandt werden können, die durch eine Reihe von diskreten Zuständen und Übergängen zwischen diesen beschrieben werden können (vorausgesetzt, die Entwicklung des aktuellen Zustands hängt nicht von seinem Zustand in der Vergangenheit) ab
Monte Carlo Simulation
Simulation von Ereignissen mithilfe von Zufallsstichproben
Ziehen von Zufallsstichproben
Berechnung des Ergebniswerts
Iterative Wiederholung
Risikomatrix
Verrechnung von Eintrittswahrscheinlichkeit und Schadenshöhe. Möglichkeiten:
Multiplikation
Addition
Aggregation von Risiken und Verwendung von Quantilen
Hergeleitete Risikoanalyse
Möglichkeit, Risikowert anhand einzelner Kriterien herzuleiten, um Einheitlichkeit zu ermöglichen.
Eintrittswahrscheinlichkeit + Ausnutzbarkeit von Schwachstellen + Schadenshöhe
Risikobewertung / Priorisierung (5)
Entscheidungskriterien zur Bewertung, Priorisierung und Behandlung:
Schadenshöhe/Auswirkungen
Eintrittswahrscheinlichkeit
kumulative Wirkung
(initiale) Kosten und Aufwand
Wirksamkeit der Maßnahmen
Welche Behandlungsmaßnahmen gibt es?
Risikoakzeptanz
Risikovermeidug
Risikoreduktion
Risikotransfer
Was umfasst ein Risikobehandlungsplan?
Maßnahmen
Verantwortlichkeiten
Deadlines
Was ist eine Entscheidungsbaum-Analyse
Modellierung möglicher Pfade von Entscheidungen und Wahrscheinlichkeiten zur Berechnung von Erwartungswerten
Kosten-Nutzen-Analyse
Vergleich der Kosten und Nutzen von Maßnahmen
kann qualitative und quantitative Elemente beinhalten
Kosten können tatsächliche Ausgaben oder Ressourcen sein (einmalig, laufend)
Nutzen kann materiell oder immateriell sein (Verringertes Risiko, Synergien, Prozessverbesserung, Einbindung diverser Interessensgruppen)
Was umfasst die Dokumentation aller Entscheidungen und Prozesse
Risikomanagementmethodik
Bedrohungs- und Schwachstellenkataloge
Begründungen zur Risikobewertung
Begründungen zur Risikobehandlung
Maßnahmennachverfolgung
Kommunikation
Last changed4 months ago