Österreich
Secure Your Business
 

Neue Wege im Riskmanagement nach ISO/IEC 27001:2013

 

Schulterschluss mit Enterprise-RM-Norm ISO 31000 bringt mehr Freiheit und weniger
Aufwand bei der Risikobewertung. Ein Kommentar von CIS-Auditor Robert Jamnik.

 

01Jamnik Robert MR - Fotodienst Anna Rauchenberger(CIS-Newsletter Nov/Dez 2014) - Mit der Revision der ISO 27001 für Informationssicherheit (IS) wurde auch ihr Riskmanagement-Ansatz neu ausgerichtet. Denn die Risikobewertung der Vorgängerversion ISO/IEC 27001:2005 war auf der Basis von Vermögenswerten aufgebaut. Das heißt es wurden IS-relevante Assets wie Datenbanken, Hardware, Mitarbeiter und ähnliche Risikoträger auf ihr Gefahrenpotenzial hin betrachtet, was aufwendig sein konnte. Die neue Version ISO/IEC 27001:2013 setzt nun auf den rein risiko-orientierten Ansatz aus der Norm ISO 31000 für Enterprise RM. Dabei werden Basis-Security-Anforderungen als breiter Mindeststandard definiert und für eine detaillierte Risikoanalyse hingegen nur Risikoträger mit höheren Sicherheitsanforderungen herangezogen.


Mehr Freiheit und mehr Verantwortung
Der RM-Ansatz der aktuellen ISO 27001 enthält keine konkreten Vorschriften auf welcher Basis oder wie detailgenau Risiken und deren Auswirkungen zu identifizieren und analysieren sind – die Detailtiefe bestimmt jetzt die Organisation selbst anhand ihrer spezifischen Anforderungen. Auch die Identifizierung der Vermögenswerte sowie die Identifizierung von Bedrohungen und Schwachstellen in Verbindung zu den bestehenden Kontrollzielen ist in der neuen Version kein Thema mehr. Vielmehr ist das Unternehmen nun gefordert, die für ihre Anforderungen zielführende und angemessene Basis für die Risikobewertung zu entwickeln – das heißt also, relevante Risikoträger zu definieren – was durchaus zu geringeren Aufwänden bei der regelmäßigen Durchführung der Risikoanalyse führen kann. Die Anwender genießen bei dieser Vorgehensweise einerseits mehr Freiheit, tragen andererseits aber auch mehr Verantwortung für das Ergebnis. Ein Beispiel für mögliche Risikoträger sind IT-Services wie etwa der Messaging-Dienst. Nach dem neuen RM-Ansatz wird nun nicht mehr der gesamte Asset-Baum durchgegangen, sondern die möglichen Risiken und Gefahren werden von einer höheren Ebene aus betrachtet und bewertet – der Dienst könnte ausfallen, ausspioniert werden etc. Bei Hochsicherheitsanforderungen kann es aber doch sinnvoll sein, wieder bis auf die Ebene der Assets hinunter zu gehen, um einen hohen Detailierungsgrad zu erreichen.


Aus Risiken entstehen Chancen01 bungee iStock_v2
Die von der ISO/IEC 27001:2013 gestellten Forderungen hinsichtlich Risikobewertung und Risikobehandlung sind an die diesbezüglichen Forderungen der ISO 31000 angepasst und daher vollständig kompatibel mit dieser. Eine allfällige Integration in ein Enterprise Riskmanagement nach ISO 31000 kann nun wesentlich leichter erfolgen. Als eine wichtige Neuerung im Riskmanagement nennt die aktuelle IS-Norm die Identifizierung der vorhandenen Risiken in Verbindung mit den damit einhergehenden Chancen, um die Ziele des ISMS zu erreichen. Das Riskmanagement soll demnach so aufgebaut werden, dass die daraus abgeleiteten Maßnahmen direkt die IS-Ziele unterstützen. Wird diese Forderung konsequent umgesetzt, kann sie dazu beitragen ein zielgerichtetes und effizientes Risikomanagement zu etablieren und zu betreiben. Als Beispiel könnte hier das IS-Ziel einer „strukturierten und definierten Berechtigungsvergabe“ dienen. Die Chance dazu wäre, bei der Berechtigungsvergabe effizienter zu werden. Ein Risiko bei Nicht-Erreichung des IS-Ziels wäre etwa unberechtigter Zugang zu sensiblen Daten.


Mehr Effizienz durch Neuausrichtung
Existiert bereits ein Risikomanagementsytem, dass noch nach ISO 27001:2005 entwickelt wurde, besteht nicht die Notwendigkeit die Systematik grundlegend zu verändern da die Risikobewertung auf Basis der identifizierten Assets nicht grundsätzlich im Widerspruch zur ISO 27001:2013 steht. Eine Überarbeitung der Risikomanagement-Methode gemäß den neuen Normforderungen kann aber, neben der Erhaltung der Normkonformität, durchaus zu einer Steigerung der Effizienz führen.


Das Aus für ISO 27005
Der Schulterschluss zwischen Security- und Enterprise Riskmanagement spiegelt sich auch darin wider, dass die neue ISO 27001 nicht mehr explizit auf die vor Jahren entwickelte RM-Subnorm ISO 27005 referenziert, sondern ausschließlich auf ISO 31000. Entsprechend ist es ratsam, im Rahmen der Implementierung eines Informationssicherheits-Managementsystems bei Fragen zur Risikoanalyse zuerst die ISO 31000 zu Rate zu ziehen und erst in einem zweiten Schritt eventuell noch ergänzende Aspekte aus der ISO 27005 hinzu zu nehmen – in ihrer Gesamtheit verliert die altgediente RM-Subnorm jedenfalls stark an Bedeutung. An dieser Stelle sei noch auf die ISO 31010 verwiesen die die ISO 31000 ergänzt und sehr detailliert auf die Auswahl und Anwendung von Risikobewertungs-Methoden eingeht.


Risiken in Euro beziffern
Da im Enterprise Riskmanagement die Bewertung von Risiken monetär erfolgt, sind im Falle einer Integration auch die relevanten Informationssicherheitsrisiken in Euro-Beträgen auszudrücken. Dies mag zu Beginn herausfordernd scheinen, denn die Folgen einer Datenpanne oder eines Systemausfalls können vielschichtig und schwer einschätzbar sein. Aber nur so lässt sich eine Vergleichbarkeit der unternehmensweiten Risiken und die gewünschte Gesamtsicht erreichen.

 

Der Autor Robert Jamnik fungiert als Auditor und Trainer für ISO 27001 im Namen der akkreditierten Zertifizierungsorganisation CIS.
________________________
Für den Inhalt verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB