Information Security Risk Management (eBook)

Sebastian Klipper war 13 Jahre Luftwaffen-Offizier und IT-Sicherheitsbeauftragter auf den unterschiedlichsten Führungsebenen der Bundeswehr. Seit 2009 arbeitet er als freiberuflicher Security Consultant und Fachbuchautor. 2010 erschien ebenfalls im Vieweg+Teubner Verlag sein erstes Buch „Konfliktmanagement für Sicherheitsprofis“. Sein Security-Blog "Klipper on Security" erreichen Sie unter http://blog.psi2.de

Dank 5
Vorwort 6
Inhaltsverzeichnis 9
1 Einführung 14
1.1 Wie wir uns entscheiden 14
1.2 ISMS – Managementsysteme für Informations-sicherheit 16
1.3 Schritt für Schritt 19
1.4 Hinweise zum Buch 21
2 Grundlagen 25
2.1 Sprachgebrauch, Begriffe und Besonderheiten der Übersetzung 26
2.1.1 Begriffe aus ISO/IEC 27001 28
2.1.2 Begriffe aus ISO/IEC 27002 30
2.1.3 Begriffe aus ISO/IEC 27005 31
2.1.4 Übersicht der explizit definierten Begriffe 33
2.2 Entscheidend ist die Methodik 35
2.3 Der Ansatz der ISO 37
2.3.1 Die Entwicklung der ISO-Standards 38
2.3.2 Der PDCA-Zyklus 41
2.4 Die ISO 31000 Familie 43
2.4.1 Risikomanagement mit ISO 31000 43
Risikomanagement schafft und beschützt Werte. 43
Risikomanagement ist Bestandteil aller Unternehmensprozesse. 44
Risikomanagement ist Teil der Entscheidungsfindung. 44
Risikomanagement adressiert gezielt Unsicherheiten. 45
Risikomanagement ist systematisch, strukturiert und zeitgerecht. 45
Risikomanagement basiert auf allen verfügbaren Informationen. 45
Risikomanagement ist maßgeschneidert. 45
Risikomanagement beachtet soziale und kulturelle Faktoren. 45
Risikomanagement ist transparent und einbeziehend. 45
Risikomanagement ist dynamisch, iterativ und reagiert gezielt auf Änderungsprozesse. 45
Risikomanagement erleichtert die kontinuierliche Verbesserung. 46
2.4.2 Von der Theorie zur Praxis: ISO/IEC 31010 47
2.5 Die ISO/IEC 27000 Familie 51
2.5.1 Familienübersicht 51
2.5.2 Weitere Security-Standards 55
2.6 Abgrenzung zum BSI IT-Grundschutz 55
2.7 Was ist Risikomanagement? 58
2.7.1 Typische Bedrohungen der Informationssicherheit 59
2.7.2 Typische Schwachstellen der Informationssicherheit 62
2.7.3 Ursache und Wirkung 63
2.7.4 SANS Risikoliste 65
2.8 ExAmple AG - Die Firma für die Fallbeispiele 67
2.9 Die ISO/IEC 27000 Familie in kleinen Organisa-tionen 71
2.10 Zusammenfassung 72
3 ISO/IEC 27005 74
3.1 Überblick über den Risikomanagement-Prozess 75
3.2 Festlegung des Kontexts 77
Anwendungsbereich und Grenzen 78
Rollen und Verantwortlichkeiten 79
Basiskriterien 79
3.3 Risiko-Assessment 81
3.3.1 Risikoidentifikation 83
Identifikation der Assets und Prozesse 83
Identifikation von Bedrohungen 85
Identifikation bereits umgesetzter Maßnahmen 85
Identifikation von Schwachstellen 85
Identifikation von Schadensauswirkungen 86
3.3.2 Risikoabschätzung 87
Abschätzung der Auswirkungen 88
Abschätzung der Wahrscheinlichkeiten 88
Abschätzung des Risiko-Levels 88
3.3.3 Risikobewertung/ Priorisierung 89
3.4 Risikobehandlung 92
Risikoreduktion 94
Risikoübernahme 96
Risikovermeidung 97
Risikotransfer 97
3.5 Risikoakzeptanz 100
3.6 Risikokommunikation 101
3.7 Risikoüberwachung/ -überprüfung 104
3.8 Zusammenfassung 107
4 ISO 27005 und BSI IT-Grundschutz 109
4.1 Die Vorgehensweise nach IT-Grundschutz 110
4.2 BSI-Standard 100-3 112
4.3 Die IT-Grundschutz-Kataloge 115
4.4 Zusammenfassung 117
5 Risiko-Assessment 118
5.1 Methodensteckbriefe 119
5.2 Merkmale 120
5.3 Gruppierungen 121
5.4 Brainstorming 123
5.5 Strukturierte und semistrukturierte Interviews 125
5.6 Die Delphi-Methode 127
5.7 Checklisten 129
5.8 Vorläufige Sicherheitsanalyse (Preliminary Hazard Analysis PHA) 131
5.9 HAZOP-Studie (HAZard and OPerability) 133
5.10 HACCP-Konzept (Hazard Analysis and Critical Control Points) 137
5.11 SWIFT-Technik (Structured "What if") 139
5.12 Szenario-Analysen 141
5.13 Business Impact Analysen (BIA) 143
5.14 Ursachenanalyse (Root Cause Analysis RCA) 145
5.15 Auswirkungsanalysen (FMEA und FMECA) 147
5.16 Fehler- und Ereignisbaumanalyse (FTA und ETA) 149
5.17 Ursache-Wirkungsanalysen 151
5.18 Bow Tie Methode 153
5.19 Zuverlässigkeitsanalyse (Human Reliability Assessment HRA) 155
5.20 Risikoindizes 157
5.21 Auswirkungs-Wahrscheinlichkeits-Matrix 159
5.22 Entscheidungsmatrizen 161
5.23 Zusammenfassung 163
6 Risikokommunikation 164
6.1 Theoretische Grundlagen 165
6.2 Das besondere an Risiken 170
6.3 Konfliktpotential 172
6.4 Kommunikationsmatrix 174
6.5 Zusammenfassung 178
7 Wirtschaftlichkeitsbetrachtung 179
7.1 Pacta sunt servanda 181
7.2 Wirtschaftlichkeitsprinzipien 182
7.3 Kosten-Nutzen-Analysen 184
7.4 Pareto-Prinzip 185
7.5 Total Cost/ Benefit of Ownership (TCO/ TBO) 187
7.6 Return on Security Investment (ROSI) 190
7.7 Stochastischer ROSI 191
7.8 Return on Information Security Invest (ROISI) 194
7.9 Zusammenfassung 197
8 Die 10 wichtigsten Tipps 199
8.1 Hören Sie aufmerksam zu 200
8.2 Achten Sie auf die Usability 200
8.3 Reden Sie nicht nur von Risiken 200
8.4 Denken Sie wirtschaftlich 201
8.5 Der Weg ist das Ziel 201
8.6 Schauen Sie über den Tellerrand 202
8.7 Übernehmen Sie Verantwortung 202
8.8 Geben Sie Verantwortung ab 202
8.9 Der Empfänger macht die Nachricht 203
8.10 Verbeißen Sie sich nicht -)
Steckbriefe 205
Übersicht 206
Security Risk Management Guide (SRMG) 206
Security Assessment Tool (MSAT) 206
Common Vulnerability Scoring System (CVSS) 206
Risk Management Framework (chaRMe) 206
Weitere Tools 206
Security Risk Management Guide (SRMG) 207
Security Assessment Tool (MSAT) 209
Common Vulnerability Scoring System (CVSS) 211
Risk Management Framework chaRMe 213
Weitere Tools 215
Secricon Risk Management Software 215
Lumension Risk Manager 216
Proteus 216
Modulo Risk Manager (NG) 217
STEAM 217
risk2value 218
BPSResolver ERM 218
Risk Watch 219
Risk Management Studio 219
RA2 Art of Risk 220
OCTAVE 220
Zusammenfassung 221
Sachwortverzeichnis 222
Abkürzungsverzeichnis 229
Literaturverzeichnis 232
GNU General Public License 236