ISMS

ISO/IEC 27005

ISO/IEC 27005

Information Security Risk Management / Management von Informationssicherheitsrisiken

Titel: Informationstechnik
Arbeitsgebiet: IT-Sicherheitsverfahren
Name des Standards: Information Security Risk Management Management von Informationssicherheitsrisiken

Inhalt und Anwendungsbereich

Die ISO/IEC 27005 ist aus dem Teil 2 des bisherigen ISO/IEC 13335-2 hervorgegangen. Der Standard enthält Leitlinien für ein systematisches und prozessorientiertes Risikomanagement, das gegebenenfalls auch die Einhaltung der Anforderungen an das Risikomanagements nach ISO/IEC 27001 unterstützt.

Methodik

Ein Informationssicherheitsrisiko wird definiert als Potential, dass eine Bedrohung eine Schwachstelle eines Unternehmenswertes ausnutzt und dadurch zu einem Schaden für eine Organisation führt. Zur systematischen Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken wird ein Prozess beschrieben, der als Ergebnis eine priorisierte Liste von Risiken hat, die anschließend kontinuierlich zu verfolgen sind.

Im Einzelnen definiert der Standard die folgenden wesentlichen Schritte beim Management von Informationssicherheitsrisiken:

  • Definition der Rahmenbedingungen (Context establishment)

Zur Definition der Rahmenbedingungen gehören dann die Festlegung von Kriterien zur Bewertung und Akzeptanz von Risiken, die Abgrenzung des Betrachtungsbereiches sowie die Etablierung einer Organisation für das Risikomanagement.

  • Identifizierung von Risiken (Risk identification)

Risiken werden identifiziert, indem alle Unternehmenswerte erfasst werden, die im Betrachtungsbereich liegen. Dabei ist darauf zu achten, dass Unternehmenswerte nicht nur Hardware und Software umfasst, sondern auch Geschäftsprozesse und Informationen.

Auch müssen alle relevanten Bedrohungen (Beispiel: Brand) sowie vorhandene Schwachstellen (Beispiel: fehlender Brandschutz) ermittelt werden.
Weiterhin werden alle bestehenden oder bereits geplanten Sicherheitsmaßnahmen identifiziert, da diese die Risiken beeinflussen, indem sie Eintrittswahrscheinlichkeiten oder Schadensausmaß reduzieren können.

Schließlich sind die Konsequenzen zu ermitteln, die entstehen können, wenn eine Bedrohung auf eine Schwachstelle trifft. Als Konsequenzen werden unter anderem Verlust von Geschäftsvolumen oder Reputation genannt.

  • Abschätzung von Risiken (Risk estimation)

Die Bewertung des Risikos kann auf der Grundlage verschiedener Einflussgrößen erfolgen wie Kritikalität der Unternehmenswerte, Ausmaß von Schwachstellen oder Auswirkungen bekannter Sicherheitsvorfälle.

Grundsätzlich kann die Bewertung mit qualitativen (Beispiel: „niedrig“, „hoch“, „selten“, „oft“), quantitativen (Beispiel: „10.000 €“, „85 Prozent“) oder hybriden Methoden erfolgen. In der Praxis wird für einen Anwendungszweck eine Methode gewählt, für die hinreichendes Zahlenmaterial verfügbar ist und deren Aussagekraft dem Ziel der Risikobewertung angemessen ist.

Für die Abschätzung von Risiken müssen zum einen die Konsequenzen bewertet werden, genauer gesagt das Schadenausmaß bei Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit. Zum anderen muss die Eintrittswahrscheinlichkeit eines solchen Sicherheitsvorfalls bestimmt werden.

Schließlich wird durch Kombination des Schadensausmaßes und der Eintrittswahrscheinlichkeit ein Risikoniveau bestimmt.

  • Auswertung von Risiken (Risk evaluation)

Dieser Schritt ist im Standard zur Priorisierung der Risiken vorgesehen. Die Priorisierung kann beispielsweise dadurch erfolgen, dass Risiken für Unternehmenswerte, die weniger wichtige Geschäftsprozesse unterstützen, gering priorisiert werden.

  • Behandlung von Risiken (Risk treatment)

Es ist zu entscheiden, ob ein Risiko reduziert, akzeptiert, vermieden oder übertragen wird. Während zur Reduzierung geeignete Sicherheitsmaßnahmen definiert werden müssen, können Risiken, die die Akzeptanzkriterien für Restrisiken erfüllen, unbehandelt bleiben. Ein Risiko kann vermieden werden, indem bspw. ein kritisches System in einer geschützten Umgebung aufgestellt wird, wo es besser gegen Naturkatastrophen geschützt ist. Die Übertragung von Risiken an Dritte kann über Versicherungen oder durch geeignete Vertragsformulierungen erfolgen.

  • Akzeptanz von Risiken (Risk acceptance)

Das Ergebnis der Risikobehandlung ist ein Plan, der für jedes Risiko die entsprechenden Handlungsempfehlungen aufzeigt. Die Leitungsebene einer Organisation kann entscheiden, Risiken zu akzeptieren, auch wenn diese nicht die Akzeptanzkriterien erfüllen. Für diese Fälle wird eine formelle Risikoübernahme gefordert.

  • Kommunikation von Risiken (Information security risk communication)

Informationen über Risiken sollten mit Entscheidungsträger und weiteren relevanten Mitarbeiter ausgetauscht werden.
Während die oben genannten Schritte der erstmaligen Identifizierung, Bewertung und Behandlung von Risiken dienen, definiert der Standard weitere Aktivitäten, um die Aktualität der Ergebnisse und angewandten Methoden sicherzustellen.

Überwachung von Risiken und Risikomanagement
Risiken sind von geschäftlichen Anforderungen und technologischen Rahmenbedingungen abhängig und damit einem Änderungsprozess unterworfen. Daher müssen die Risiken, das heißt auch Bedrohungen, Schwachstellen und weitere Einflussgrößen wiederkehrend auf Änderungen untersucht werden.

Ebenso ist der in der Organisation angewandte Ansatz für das Risikomanagement regelmäßig auf Angemessenheit zu überprüfen.

Weitere Anmerkungen

Die Anhänge des Standards enthalten unter anderem Einzelheiten und Beispiele zu Bedrohungen, Schwachstellen und Bewertungsansätzen.

Bisherige Ausgaben

ISO/IEC 13335-2:1997
ISO/IEC 27005:2008
ISO/IEC 27005:2011

Standards in diesem Bereich

ISO/IEC 27005
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information Security Risk Management Management von Informationssicherheitsrisiken
ISO/IEC 27014
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Governance of information security Governance der Informationssicherhei
BSI-Standard 200-3
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:BSI-Standard 200-3: Risikomanagement