Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Weitere Magazine

Empfehlungen

Info

32 �� Kapitel 2 – Der Standard ISO/IEC 27005:2008 Die ISO 27005 stellt eine Anleitung zur IT Risikoanalyse und zum Risikomanagement im IT Bereich dar. Sie beinhaltet dabei einerseits eine Beschreibung des kompletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Risikoanalyse. Die Anhänge der IEC 27005 liefern zudem nützliche Informationen zur Implementierung eines Risikomanagementsystems im Bereich Informationssi- �� Norm ISO 27001: �� gen auf bedrohte Werte, direkte und indirekte Bedrohungen und Schwachstellen Abbildung 3. Der Sicherheitsprozess gem. ISO 27005:2008 ABWEHR �� schätzung der Risikowahrscheinlichkeit und des Risikoniveaus �� managementmaßnahmen �� Aus diesen einzelnen Kapiteln der Norm wird der IT- Sicherheitsprozess entwickelt (vergl. Abb. 3). Kapitel 3 – Die Phasen Defi nition der Rahmenbedingungen In einem ersten Schritt wird in einer Schutzbedarfsfeststellung (High Level Risk Analysis) der Schutzbedarf für �� Schutzbedarfskategorie "niedrig bis hoch" wird i.d.R. auf eine detaillierte Risikoanalyse verzichtet. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. IT-Systeme der Schutzbedarfskategorie „sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. 10/2010
Diese Option kombiniert die Vorteile des Grundschutz- und des Risikoanalyseansatzes, da alle IT- Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden. Maßnahmen können für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewählt werden. Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswerte Strategie zur Risikoanalyse dar. Zu den einzelnen Kriterien, die festgelegt werden müssen gehören u.a. �� Risikobewertung Die Risikobewertung gliedert sich in die beiden Vorgänge Risikoanalyse und der Priorisierung der Risiken. Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil, müssen doch zunächst die Risiken ��sets“ des Unternehmens wird folgender Prozess durchlaufen: �� Dieser Prozess wird für alle Assets wiederholt. Ein Asset im Sinne der ISO 27005 ist alles, was einen Wert für die Organisation besitzt und daher schützenswert �� Rahmenbedingungen den zu betrachtenden Rahmen zunächst eng zu fassen. Er kann später immer noch erweitert werden. Die Norm unterteilt hierbei in primäre Assets (Geschäftsprozesse und –aktivitäten, Informationen) und unterstützende Assets (Hard- und Software, Netzwerk, Personal, Infrastruktur, etc.). Eine de- �� Norm. Aus dem beschriebenen Prozess erfolgt eine Analyse und Auflistung der Konsequenzen und letztendlich eine Risikoeinschätzung. ��- ��wertung nach Zeitwert, nach Wiederbeschaffungswert, nach dem Wert für einen potenziellen Angreifer oder nach dem Schaden für die Organisation aus einem Verlust des Assets. Immaterielle Werte werden i.d.R. nach dem Wert für einen potenziellen Angreifer oder nach dem Schaden für die Organisation aus einem Verlust des Assets bewertet. Bei der Bewertung ist zu beachten, dass Wertekombinationen häufig nicht der Summe der Einzel- IT-Risikomanagement – Wozu brauche ich das? werte entsprechen, da sich die Werte in Kombination ergänzen und einen höheren Wert darstellen. Die zu schützenden Werte sind vielfältigen Bedrohungen ausgesetzt. Im Rahmen der Risikoanalyse ist nun die Eintrittswahrscheinlichkeit abzuschätzen. Bedrohungen sind charakterisiert durch: �� vorteile, Rache) �� hung verursacht werden kann. ��ben, Blitzschlag, ...) liegen statistische Daten vor, die für die Einschätzung hilfreich sein können. Die Bedrohungsanalyse umfasst im Einzelnen: �� Bedrohungen können unterteilt werden in: �� sonalausfall) �� chende Dokumentation) �� nutzung oder -administration, Nichtbeachtung von Sicherheitsmaßnahmen) �� tenträger) �� von Geräten, Manipulation an Daten oder Software, Viren, trojanische Pferde) Es ist wichtig, alle wesentlichen Bedrohungen zu erfassen, da andernfalls Sicherheitslücken bestehen bleiben können. Im Anhang C der Norm ist eine umfangreiche Listung von Bedrohungen vorhanden, jedoch kann keine derartige Liste vollständig sein. Darüber hinaus sind auch Bedrohungen einem ständigen Wandel und einer ständigen Weiterentwicklung unterworfen. Nachdem Werte und Bedrohungen erfasst wurden, muss nun die Eintrittswahrscheinlichkeit zugeordnet werden. Es ist also zu bestimmen, mit welcher Wahrscheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird. Auch die Eintrittswahrscheinlichkeit kann quantitativ oder qualitativ bewertet werden. Da eine quantita- �� täuschen könnte, ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen. hakin9.org/de 33
Seite 3 und 4: LIEBE HAKIN9 LESER, Das Hauptthema
Seite 5 und 6: 30 IT-Risikomanagement - Wozu brauc
Seite 7 und 8: Passwörter zu merken. Oftmals werd
Seite 9 und 10: Nun müssen wir noch unser Payload
Seite 11 und 12: Malware-Doppelschlag per JavaScript
Seite 13 und 14: Malware-Doppelschlag per JavaScript
Seite 15: Malware-Doppelschlag per JavaScript
Seite 18 und 19: 18 be dabei nicht an der Schlossfal
Seite 20 und 21: 20 Abbildung 5. Ein EVVA-MCS Schlü
Seite 22 und 23: 22 ter zu finden. Der Anfang der Ü
Seite 24 und 25: 12-11-2010 Die IT-Security Communit
Seite 26 und 27: 26 Web-Site www.cert.org betreibt,
Seite 28 und 29: 28 Abbildung 5. Mapping auf ISO 270
Seite 30 und 31: 30 ABWEHR IT-Risikomanagement - Woz
Seite 34 und 35: 34 Bewährt haben sich hier etwa dr
Seite 36 und 37: ��
Seite 38 und 39: 38 Für diese Attacke werden wir da
Seite 41 und 42: Interview mit Tobias Glemser „Sic
Seite 44 und 45: 44 INTERVIEW „Erfolgreiche Frauen
Seite 46 und 47: 46 SAP for DFPS Implementierung und
Seite 48 und 49: SEC Consult Recommended Companies M

Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?