Informationssicherheitsbehandlung Risikobehandlungsoptionen Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken. In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen. Informationssicherheitsoptionen Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste. Die üblichen Risiokobehandlungsoptionen sind: Risikovermeidung Risikoverminderung Risikoverlagerung Risikoübernahme Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen: Risikovermeidung (risk avoidance) Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl. Beispiel: Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen. Risikoverminderung (risk modifikation) Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff risk modification weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen. Beispiele: Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können. Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren. Risikoverlagerung oder -abwälzung (risk sharing) Der deutsche Begriff Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff risk sharing (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen. Beispiele: Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens. Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet. Risikoübernahme oder Risikobeibehaltung (risk retention) Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet. Beispiel: Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen. Maßnahmen zur Umsetzung der gewählten Optionen Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS. Bisher erschienen: Risikomanagement im ISMS Einführung Risikomanagement im ISMS Identifikation von Risiken Risikomanagement im ISMS Beurteilung von Risiken Seminar „Risikomanagement im ISMS“ In unserem Seminar „Risikomanagement im ISMS“ stellen wir Ihnen ein Risikomanagement nach ISO 27001 und ISO 27005 vor. Die Vorgehensweise nach BSI IT-Grundschutz-Standard 200-3 wird ebenfalls besprochen. Neben den in diesem Artikel vorgestellten Methoden zur Risikoidentanalyse, die natürlich ausführlicher dargestellt werden, lernen sie weitere mögliche Aspekte kennen. Nächster Termin: 08. 09. August 2023 Podcast: Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website. Hören Sie rein! Foto: AdobeStock | #73479518 | stockpics Der Beitrag Risikomanagement im ISMS (TEIL 4) erschien zuerst auf ANMATHO AG.
JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet
zum Artikel gehenWelche Vorteile können sich aus einer geplanten und abgestimmten Integration eines Notfallmanagements in ein ISMS (Information Security Management System) ergeben? Großwallstadt, 22.03.2022 Eine der wesentlichen Aufgaben eines ISMS ist es, die Kernproz
zum Artikel gehenChristian Rosenzweig berichtet über typische Probleme, die Hersteller von vernetzten Medizinprodukten mit dem Risikomanagement und der IT-Sicherheit haben. Das beginnt mit der Kenntnis und dem Verständnis der regulatorisch relevanten Vorgaben, geht weiter
zum Artikel gehenIn der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es auch in diesem Artikel um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wu
zum Artikel gehenBenannte Stelle beginnen damit, Herstellern Probleme zu bereiten, die Excel nutzen, um das Risikomanagement für komplexere Medizinprodukte abzubilden. Christian Rosenzweig, der am Johner Institut auch die Seminare Risikomanagement hält und Hersteller dab
zum Artikel gehen