Risikobewertung

Wofür wird die Risikobewertung benötigt?

Ein weiteres zentrales Element eines ISMS ist die Risikobeurteilung. Hat ein Asset einen Schutzbedarf, der eine weitergehende Analyse erfordert (zumeist Hoch oder Sehr Hoch), so ist eine Risikobewertung durchzuführen.

Gegenstand der Bewertung sind die Einschätzung der Eintrittswahrscheinlichkeit und der Schadenhöhe für ein sicherheitsrelevantes Ereignis. Der berechnete Wert ist das aktuelle Risiko für das vorliegende Ereignis.

Dieses Risiko wird dem Risikoappetit der Organisation gegenüber gestellt. Anhand der Risikoakzeptanzmatrix wird über die Risikobehandlung des zugrunde liegenden Ereignisses entschieden. Die sich daraus ergebenden Maßnahmen sind zu definieren und zu priorisieren.

Wie unterstützt xmera Omnia?

Gefährdungskatalog

Basis für die Risikobeurteilungen in xmera Omnia sind Gefährdungen. Gefährdungen beschreiben verschiedene Bedrohungsarten und verknüpfen sie mit einer potentiellen Schwachstelle.

xmera Omnia bietet ein Importpaket des Gefährdungskataloges gemäß DIN ISO/IEC 27005 oder IT-Grundschutz an, das um individuelle Gefährdungen erweitert werden kann.

Jede Gefährdung kann verschiedenen Objektklassen zugeordnet werden. Über den Synchronisationsprozess werden die Gefährdungen dann einem Asset oder einer Assetgruppe zugeordnet.

Risikobewertung

Die Risikobewertung erfolgt auf Basis von zugeordneten Gefährdungen. Durch Festlegung der Eintrittswahrscheinlichkeit und der Schadensklasse wird über die Risikoakzeptanzmatrix ein resultierendes Risiko ermittelt.

Risikoakzeptanzmatrix

Für die Ermittlung des Risikoniveaus wird in xmera Omnia eine individuell konfigurierbare Risikoakzeptanzmatrix bereitgestellt, in der für jede Kombination aus Eintrittshäufigkeit und Schadensklasse ein Risikoniveau zugeordnet werden kann. In der Demo wird hierfür eine 4 x 4 Matrix verwendet, woraus sich 16 Kombinationen ergeben.

Da die Konfiguration der Risikoakzeptanzmatrix im Administrationsbereich vorgenommen werden muss, ist eine Anpassung im Rahmen der Demo nicht möglich.
Risikobehandlung

Die gewählte Risikobehandlungsoption und das sich daraus ergebende neue Risikoniveau lassen sich ebenfalls in der Risikobeurteilung abbilden.

Wird eine Maßnahme erforderlich, kann diese direkt erstellt und mit der Risikobeurteilung verknüpft werden.

Risikobehandlungsplan

Wird ein Risikoniveau durch eine Maßnahme reduziert oder vermieden, so kann die Maßnahmen als Unteraufgabe an die Gefährdung gekoppelt werden.

Alle Maßnahmen, die aus einer Risikobeurteilung erwachsen sind, können dann in einem Risikobehandlungsplan zusammengefasst werden. Der Risikobehandlungsplan zeigt alle Maßnahmen, die als Ziel haben, dass Schutzniveau auf ein akzeptables Maß zu bringen.

Wo finde ich Beispiele in der Demo?

Gefährdungskatalog

Risikobewertungen

Risikobehandlungsplan