Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Weitere Magazine

Empfehlungen

Info

34 Bewährt haben sich hier etwa drei- bis fünfteilige Skalen (z.B. 4: sehr häufig … 0: sehr selten) Diese allgemeinen Bedeutungen der Skalenwerte können für jeden einzelnen spezifischen Anwendungsbereich konkretisiert werden. Nachdem Werte, Bedrohungen und Eintrittswahrscheinlichkeiten definiert sind, wird eine Schwachstellenanalyse durchgeführt. Unter einer Schwachstelle (Vulnerability) versteht man eine Sicherheitsschwäche eines oder mehrerer Objekte, die durch eine Bedrohung ausgenützt werden kann. Eine Schwachstelle selbst verursacht noch keinen Schaden, sie ist aber die Voraussetzung, die es einer Bedrohung ermöglicht, wirksam zu werden. Typische Beispiele für Schwachstellen sind etwa: Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen �� heitsbewusstsein �� Sicherheitsschwächen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaßnahmen mit einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin zu bewerten, wie leicht es ist, sie auszunutzen. �� Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaßnahmen betrachtet und bewertet. Stellt sich heraus, dass eine bereits existierende oder geplante Maßnahme ihren Anforderungen nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos entfernt, durch andere Maßnahmen ersetzt oder aus Kostengründen belassen werden soll. Abbildung 4. Beispielhafte Risikomatrix (Bildquelle: HMP) ABWEHR Im Rahmen dieses Schrittes sollte auch geprüft werden, ob die bereits existierenden Sicherheitsmaßnah- �� ständig eingesetzte Sicherheitsmaßnahmen stellen eine zusätzliche potentielle Schwachstelle eines Systems dar. Die eigentliche Risikobewertung ist nun das Zusammenführen der in den vorherigen Abschnitten beschriebenen Maßnahmen und die Erstellung einer Risikomatrix (vergl. Abb. 4). Darin werden die bewerteten Risiken gemäß ihres Risikopotenzials in einer Matrix angeordnet und dem gewünschten SOLL gegenüber gestellt. Im Anhang der Norm befinden sich einige Beispiele für eine Risikobewertung. Anhand der Risikomatrix erfolgt die Priorisierung der Risiken, in Abhängigkeit des zur Verfügung stehenden Budgets und der Ressourcen. Risikobehandlung Die Phase der Risikobehandlung ist das „tägliche Tun“ �� bezogen auf die Informationstechnologie das Gegenüberstellen der Anforderungen aus der Risikobewertung mit dem Ergebnis der durchgeführten Maßnahmen und eine neue Bewertung dieser: vergl. Abb. 5. Die Optionen zur Risikobehandlung werden in 4 Kategorien eingeteilt: �� bestimmter Maßnahmen, etc.) �� tiger Verfahren) �� Risikoüberwachung und –akzeptanz Basierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht 10/2010
Abbildung 5. Ablauf Risikobehandlung (Bildquelle: CIS) über in die Risikoüberwachung. Diesen Ablauf – auch PDCA-Prozess genannt (Plan-Do-Check-Act) – kennen Sie bereits aus dem vorherigen Artikel über die ISO 27001. Eine neue Bewertung ist ebenfalls durchzuführen, wenn sich Vorgaben ändern, neue Assets implementiert werden oder die Bedrohungssituation sich ändert. Bei der Risikoakzeptanz ist es wichtig, die Entscheidungskriterien detailliert zu dokumentieren, damit sich auch später noch nachvollziehbar sind. Risikoreporting Sinn des Risikoreportings ist zum einen die Information des Managements über den aktuellen Stand der Risikosituation und der eingeleiteten Maßnahmen, zum anderen dient diese natürlich auch der Dokumentation. Weitere Inhalte können z.B. sein, das Sicherheitsbewusstsein zu verbessern oder das Einfordern von Entscheidungen. Die Ergebnisse von Risikobewertungen sind i.d.R. vertraulich und dementsprechend zu handhaben. Kapitel 4 – Nutzen und Fazit Die Einführung eines Risikomanagementsystems nach ISO/IEC 27005:2008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einführung eines kompletten Risikomanagementsystems nach ISO/IEC 31000. Jedoch ist der Aufwand wesentlich geringer, da es sich nur um einen Teilbereich des Unternehmens handelt. Auch hier gilt wieder der Grundsatz, dass Unternehmen, die bereits ein Qualitätsmanagement-System im Einsatz haben (z.B. ISO 9001), weniger Zeit benötigen, da ihnen die Prozess-orien- IT-Risikomanagement – Wozu brauche ich das? tierte Denkweise und das strukturierte Vorgehen bereits vertraut sind. Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen, auch nicht zeitweise. Das gilt auch für kleinere und mittlere Unternehmen genauso wie für Großunternehmen und Konzerne. Deshalb sollte das Management wissen, welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann. Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte, also diejenigen Werte, denen nicht eine Einkaufsrechnung gegenübergelegt werden kann, häufig kaum bekannt. Die Norm ISO/IEC 27005:2008 bietet den Vorteil, dass mit einem kleinen Teilbereich (z.B. Netzwerk) begonnen werden kann und sukzessive weitere Assets einbezogen werden können. Zudem bietet die Norm im Anhang Beispiele und Checklisten für das Vorgehen. ANDREAS LENTWOJT Der Autor ist Managementberater, CEO und Inhaber „AL- Consult“. Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjährig bei Banken und Finanzdienstleistern als Organisations-/IT- Leiter und später als Security-Offi cer. 2004 gründete er das Beratungsunternehmen ALConsult mit den Schwerpunkten Security und Prozessmanagement. Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL. Der Schwerpunkt der Beratung liegt im organisatorischen Bereich und den Prozessen, nicht auf der Technik. hakin9.org/de 35
Seite 3 und 4: LIEBE HAKIN9 LESER, Das Hauptthema
Seite 5 und 6: 30 IT-Risikomanagement - Wozu brauc
Seite 7 und 8: Passwörter zu merken. Oftmals werd
Seite 9 und 10: Nun müssen wir noch unser Payload
Seite 11 und 12: Malware-Doppelschlag per JavaScript
Seite 13 und 14: Malware-Doppelschlag per JavaScript
Seite 15: Malware-Doppelschlag per JavaScript
Seite 18 und 19: 18 be dabei nicht an der Schlossfal
Seite 20 und 21: 20 Abbildung 5. Ein EVVA-MCS Schlü
Seite 22 und 23: 22 ter zu finden. Der Anfang der Ü
Seite 24 und 25: 12-11-2010 Die IT-Security Communit
Seite 26 und 27: 26 Web-Site www.cert.org betreibt,
Seite 28 und 29: 28 Abbildung 5. Mapping auf ISO 270
Seite 30 und 31: 30 ABWEHR IT-Risikomanagement - Woz
Seite 32 und 33: 32 ��
Seite 36 und 37: ��
Seite 38 und 39: 38 Für diese Attacke werden wir da
Seite 41 und 42: Interview mit Tobias Glemser „Sic
Seite 44 und 45: 44 INTERVIEW „Erfolgreiche Frauen
Seite 46 und 47: 46 SAP for DFPS Implementierung und
Seite 48 und 49: SEC Consult Recommended Companies M

Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?