Standards für IT-Sicherheit haben typisch mindestens zwei Merkmale: Sie können Schlafstörungen heilen und einige von ihnen beschreiben eine relativ perfekte Welt, in der Verantwortliche für IT-Sicherheit viel Zeit haben, und wo es genügend Ressourcen gibt, Bedürfnisse zu analysieren, und Entscheidungen zu dokumentieren. Nun, ich habe diesen Beitrag vielleicht ein wenig sarkastisch begonnen, aber ich bin im Kern ein relativ großer Fürsprecher von Standards und von "best practice". Es gibt keinen Grund gute Dinge neu zu erfinden. Gegen die eventuelle Langweiligkeit von Standards, kann ich nichts tun. Aber ich habe einige Vorschläge zu schnelleren Wegen - 4 Abkürzungen - zu verantwortungsbewussten IT-Risikobewertungen, die Ihnen mit einer pragmatischen Einhaltung des ISO 27001, dem Standard mit dem meisten Rückenwind in Europa, helfen können Zeit zu sparen.
Die erste Abkürzung heißt: Nicht alle Bestände. Ein Bestand im ISO 27001 ist sehr grob als al das definiert, welches für eine Organisation einen Wert darstellt, und der Standard besagt: "identifizierbare Bestände im Rahmen des Geltungsbereiches" Ich kenne keine Firma, die sämtliche Bestände registriert hat. Man sollte damit beginnen, die wichtigsten Geschäftsprozesse zu bewerten, und nicht alles andere. Und schon gar nicht alles mit einer IP-Nummer, wenn jemand unter Ihnen auf eine solche Idee kommen sollte. Natürlich können Sie später jederzeit erweitern, damit die Dienstleistungen und die Systeme, die Ihre Geschäftsprozesse unterstützen, auch bewertet werden. Sie und Ihre Kollegen haben wahrscheinlich bereits ein gutes Gespür dafür, welche Geschäftsprozesse am wichtigsten sind. Diese Abkürzung ist also ein Wesentlichkeitskriterium, damit Sie als Firma weniger Bewertungen bekommen, und Sie Ihre Zeit für die wesentlichsten Bestände verwenden.
Die zweite Abkürzung ist: Nicht alle Bedrohungen. Mehrere Risiko-Standards enthalten ziemlich umfassende Kataloge über mögliche Bedrohungen. Wenn Sie selber einen Brainstorm über al das, was schief gehen könnte, machen, entdecken Sie schnell, warum die Bedrohungskataloge (zu) lang werden können. Die Abkürzung besteht in diesem Fall darin, Bestände in Typen aufzuteilen, und danach zu identifizieren, welche Typen von Bedrohungen für welche Bestandstypen eine mögliche Relevanz haben. Zum Beispiel können nicht alle Typen von Beständen brennen: Geschäftsprozesse, IT-Dienstleistungen, logische Server etc. können nicht brennen. Das können nur die physischen Bestände, wie Hardware und Gebäude. Und selbst innerhalb der physischen Bestände können Sie verantwortliche Abkürzungen machen, indem Sie z.B. nur die Bedrohung eines Brandes im Rechencenter beurteilen, und nicht im Einzelnen auf die Teile der Ausrüstung, die sich auch im Rechenzentrum befinden. Diese Abkürzung gibt weniger Bedrohungsbewertungen.
Vererbung nach oben und unten ist der Name der dritten Abkürzung. "Best practice" und bewährte Standards schreiben es vor, sowohl die BIA ("Business Impact Assessments" d.h. Geschäftsfolgenabschätzungen) als auch die Wahrscheinlichkeitseinschätzungen durchzuführen. Letzteres ist eine Abschätzung der Anfälligkeit Ihrer Bestände auf relevante Bedrohungen. Ich weiß aus meiner Praxis, dass viele Unternehmen im Bezug zu einer Menge von Beständen große Schwierigkeiten damit haben, beide Typen von Einschätzungen zu machen. Es ist zum Beispiel schwierig, für Geschäftsprozesse eine Schwachstellenanalyse zu machen, und es ist auch schwierig, eine Folgenabschätzung für einen Server zu machen. Die Lösung von dieser Art von Herausforderung ist es, die Abhängigkeiten zu identifizieren. In diesem Beispiel geben Sie an, von welchen anderen Beständen der Geschäftsprozess abhängig ist, das heißt also, genau die Bestände, die den Prozess unterstützen. Danach wird die Folgenabschätzung "nur" im Verhältnis zum Geschäftsprozess durchgeführt, während die Schwachstellenanalysen dann "nur" in Bezug auf die unterstützenden Bestände durchgeführt werden. Die Geschäftsfolgen werden also nach unten an die unterstützenden Bestände vererbt, und die Schwachstellenbewertungen werden von den unterliegenden Systemen nach oben an den Geschäftsprozess vererbt. Auf diese Art und Weise ergibt diese Abkürzung weniger Folgenabschätzungen und weniger Schwachstellenanalysen, obgleich es tatsächlich immer noch möglich ist, die Bewertungen, die nötig sind, durchzuführen.
Die vierte und letzte Abkürzung heißt übergeordnete Bewertungen zuerst. In einer Folgenabschätzung verhält man sich in der Regel dazu, ob es im Zusammenhang mit einem Sicherheitsvorfall zu erwarten ist, dass Einnahmen, Kosten, das Image oder die Einhaltung vertraglicher und gesetzlicher Verpflichtungen beeinflusst werden. Die vierte Abkürzung ist es, diese Faktoren gemeinsam, und nicht etwa im Einzelnen, zu bewerten. Das gleiche gilt für Schwachstellenanalysen. Hier kann der Schutz gegen mehrere Bedrohungen gemeinsam beurteilt werden. Zugegeben, es ist eine Abkürzung, und man wird wahrscheinlich Experten finden können, die sagen, dass dies nicht gut genug ist. Ich bin aber der Meinung, dass Sie später bei den Beständen viele Möglichkeiten bekommen werden es, dort wo es Sinn macht, zu verfeinern und genauer auszuwerten. Daher ist diese Abkürzung also doch verantwortungsbewusst, vor allem, wenn Ihre Organisation die Risikobewertung noch nicht zu einer wiederkehrenden, regelmäßigen Routine gemacht hat.
Hier ist eine kurze Zusammenfassung der Abkürzungen:
- Nicht alle Bestände
- Nicht alle Bedrohungen
- Vererbung nach oben und unten
- Übergeordnete Bewertungen zuerst
Denken sie daran, dass die IT-Risikobewertung und das IT-Risikomanagement - wie alles andere was mit Sicherheit zu tun hat - ein Prozess ist, also weder ein Projekt noch eine Momentaufnahme ist. Dieses Wissen können Sie verwenden, um die Risikobewertungen am Anfang sanft laufen zu lassen, und die Abkürzungen im großen Stil zu verwenden. Später können Sie Ihre Methoden verfeinern und präzisieren, indem Sie z.B. mehrere Bestände, Bedrohungen und Leute miteinbeziehen (mehrere Bewertungen), und/oder detaillierte Bewertungen machen.
Mit diesen Abkürzungen sparen Sie Zeit und/oder Sie können das Ziel der ISO 27001 Konformität mit weniger Aufwand erreichen. Völlig verantwortungsbewusst!
Die vier Abkürzungen können Sie mit, aber auch ohne, dem IT-Risikomanagement Tool von NorthGRC verwenden. Lesen Sie außerdem, wie dem GRC Tool Sie bei effektiven IT-Risikobewertungen und bei der Behandlung von Risiken unterstützen kann und Ihnen zeigt, wie Sie Ihre IT-sicherheitsarbeit im Griff haben
Sonstige Ressourcen
Anleitung für das Risikomanagement gemäß ISO 27005
Eines der wichtigsten Elemente der ISO 27001 ist die Forderung, dass die IT-Sicherheit auf den realen Risiken basieren muss, denen Organisationen ausgesetzt sind. Die Gesamtheit aller diesbezüglichen Aktivitäten wird als Risikomanagement bezeichnet. Die acht Seiten lange Risikomanagement-Anleitung von NorthGRC wurde ausgehend von der Norm für Risikomanagement, ISO 27005, ausgearbeitet.