Kontext der Organisation
In diesem Kapitel werden die ersten Schritte der Risikobewertung beschrieben. Dazu gehört die Untersuchung des Umfelds, in dem die Organisation tätig ist, da dies die Art einiger Gefahren verändern kann. Die Risikobewertung kann sich auf die gesamte Organisation erstrecken, auf Dritte ausgedehnt werden oder sich auf einen enger umgrenzten Bereich beschränken (z. B. nur auf Dienstleistungen, die den Kunden angeboten werden).
Zusammenspiel mit ISO 9001
Diese Definition aus der ISO 9000 soll als Hilfestellung dienen. Der Kontext der Organisation bezieht sich auf die unzähligen internen und externen Faktoren, die sich darauf auswirken können, wie eine Organisation ihre Ziele bestimmt und verfolgt, sowie auf die Mittel, mit denen sie dies tut. Bei der Beschreibung des Kontextes ist es manchmal hilfreich, eine Liste der vorhandenen Elemente zu erstellen. Diese Elemente können in interne und externe Belange unterteilt werden. Zu den internen Aspekten gehören die folgenden: die aktuellen und zukünftigen Strategien und Prioritäten der Organisation; das aktuelle und erwartete Innovationsniveau der Organisation; die Merkmale der Hauptaktivitäten der Organisation in Bezug auf Dienstleistungen und Produkte und geplante Änderungen des Produkt- und Dienstleistungsportfolios; die Organisationsstruktur, einschließlich der wichtigsten Lieferanten und ausgelagerten Prozesse; die Merkmale der Standorte, an denen die Aktivitäten durchgeführt werden; die Arten von Informationen, die von der Organisation verarbeitet werden.
Branchenspezifische Analyse
Die aktuelle und erwartete wirtschaftliche Lage in den Regionen, in denen die Organisation tätig ist, die soziopolitische Situation in diesen Regionen, die Marktverfügbarkeit und die Kosten der Ressourcen, die der Organisation entstehen, die Marktstrategien aktueller und potenzieller Lieferantenmärkte sind einige Beispiele für externe Faktoren, die sich auf die Informationssicherheit auswirken können. Bei der Erläuterung des Kontextes ist es nicht notwendig, alle vorgenannten Punkte zu erwähnen; vielmehr sollten nur die Faktoren dargestellt werden, die für die Informationssicherheit relevant sind. Im folgenden wird die Umgebung eines Milchviehbetriebs beschrieben: Identifizierbare Qualitäten sowohl der Dienstleistungen als auch der Produkte. Die Herstellung und Vermarktung von Molkereiprodukten sind die Hauptschwerpunkte dieses Unternehmens. Der Umsatz beträgt jährlich rund 10 Millionen Euro.Der Umfang Nach dem Verständnis des Kontextes lässt sich der Umfang der Risikobewertung der Informationssicherheit bestimmen. Sie kann die gesamte Organisation oder nur einen Teil davon betreffen. Häufig konzentrieren sich Unternehmen ausschließlich auf die Meinungen ihrer Kunden und beschränken ihre Analyse auf die von ihnen angebotenen Produkte und Dienstleistungen. Der Milchviehbetrieb könnte zu dem Schluss kommen, dass es notwendig ist, eine Risikobewertung der Informationssicherheit für das gesamte Unternehmen durchzuführen, da jede Abteilung Einfluss auf die Kundenbeziehungen, die Produktqualität und die Zufriedenheit der Mitarbeiter haben kann.
Stakeholderanalyse
Angesichts der potenziellen Auswirkungen auf die Kunden und der Tatsache, dass die Einhaltung dieser Standards in der Lebensmittelbranche notwendig ist, könnte dasselbe Unternehmen beschließen, das Problem auf die Produktion zu beschränken. Es ist möglich, dass Lieferanten in die Untersuchung einbezogen werden, wenn festgestellt wird, dass sie Daten des Unternehmens verarbeiten oder wichtige Waren liefern. Wenn das Ziel der Risikobewertung die Zertifizierung des Informationssicherheits-Managementsystems ist, können bestimmte Verfahren nicht vollständig aus dem Anwendungsbereich der Bewertung ausgeschlossen werden. Wenn die Molkerei die Entscheidung trifft, die Informationssicherheitsrisiken zu bewerten, die mit dem Produktionsprozess verbunden sind, sollte sie dennoch die Verfahren berücksichtigen, die extern zu sein scheinen. So sind z.B. die Herstellung und die Personalverwaltung beides externe Prozesse, aber die Personalverwaltung ist für die Informationssicherheit sehr wichtig .
Projektmanagement
Dies muss, zumindest teilweise, im Rahmen des Projekts abgedeckt werden. Wenn der Milchviehbetrieb einen Lieferanten für seine informationstechnischen Dienstleistungen in Anspruch nimmt, muss dieser Anbieter ebenfalls erwähnt werden. Nachdem der Umfang definiert wurde, müssen die Grenzen dieses Umfangs untersucht werden. Wenn der gesamte Umfang des Milchviehbetriebs berücksichtigt wird, ist es wichtig zu bedenken, dass seine IT-Systeme mit dem Internet verbunden sind, dass das CRM über das Internet auf jedem PC zugänglich ist und dass bestimmte Daten von externen Agenten eingesehen werden können. Der Geltungsbereich sollte wie folgt beschrieben werden: die Arten von Informationen, die die Organisation schützen möchte; die Merkmale der von der Organisation bereitgestellten Produkte und Dienstleistungen, die für die zu schützenden Informationen relevant sind; die Organisationsstruktur, die an den in den Geltungsbereich einbezogenen Aktivitäten beteiligt ist, und ihre Beziehungen zu der Organisationsstruktur, die vom Geltungsbereich ausgeschlossen ist; die verwendete Technologie, ein Schema des IT-Netzwerks und eine Beschreibung ihrer Schnittstellen mit anderen Technologien; und die Informationen, die die Organisation schützen möchte.
Risikoidentifizierung
Das ist eine sehr offensive Demonstration der eigenen Macht. In Anlehnung an den Film „Der Exorzist“. Beginnen wir mit einer Definition aus der Norm ISO/IEC 27000. Die Identifizierung von Risiken bezieht sich auf den Prozess des Auffindens, Erkennens und Beschreibens potenzieller Gefahren. In Kapitel 4 haben wir gesehen, dass der erste Schritt in diesem Prozess die Identifizierung von Vermögenswerten, Bedrohungen, Schwachstellen und Sicherheitskontrollen sowie der Verbindungen zwischen Vermögenswerten, Bedrohungen und Schwachstellen ist. Vermögenswerte Seit 2014 wurde dieser Begriff aus der ISO/IEC 27000 gestrichen; dennoch sind sowohl er als auch die dazugehörige Anmerkung nach wie vor sehr wertvoll. Die Vermögenswerte eines Unternehmens bestehen aus allem, was zum Gesamtwert des Unternehmens beiträgt. Dabei ist zu beachten, dass es viele verschiedene Arten von Vermögenswerten gibt, z. B. Informationen, Software und Computerprogramme, physische Elemente (z. B. Computer), Dienstleistungen, Menschen und ihre Qualifikationen, Fähigkeiten und Erfahrungen sowie der Ruf und das Image des Unternehmens. Informationen sind der erste Vermögenswert, der ermittelt werden muss.
Asset-Analyse
Danach müssen sie mit allen Vermögenswerten in Verbindung gebracht werden, die zu ihrer Archivierung oder Verarbeitung verwendet wurden, einschließlich derjenigen, die von den Anbietern selbst betrieben wurden. Andere berücksichtigen andere Vermögenswerte, wie die Marke des Unternehmens oder den Fuhrpark. Ihr Schutz hat häufig nichts mit der Informationssicherheit zu tun und sollte daher bei der Einführung eines Managementsystems für die Informationssicherheit nicht berücksichtigt werden (auch wenn sie in der Definition berücksichtigt wurden). Die Formulierung „Informationen und andere damit zusammenhängende Assets“ taucht in der ISO/IEC 27002-Norm mehrfach auf, und daher konzentriert sich dieser Abschnitt auf Informationen, bevor er auf „andere Vermögenswerte“ eingeht. IT-Anwendungen, wie z. B. Datenbankmanagementsysteme, Serveranwendungen und Anwendungen, auf die über das Internet zugegriffen werden kann, Desktop-PCs, Laptops und andere tragbare digitale Geräte (Mobiltelefone, Smartphones, Tablets, tragbare Festplatten usw.), IT-Netzwerke, IT-Netzwerkausrüstung, interne und externe Mitarbeiter, Lieferanten, Informationen auf nicht-digitalen Datenträgern (z. B. Papierakten) usw. sind alles Beispiele für Vermögenskategorien.
Informationen
Wenn Informationen in einem statischen Zustand gehalten und in einem Computersystem oder in einem Archiv aufbewahrt werden, können viele Dinge schiefgehen. Wenn Einzelpersonen mit der Verwaltung von Informationen beginnen, können noch viel mehr Dinge schiefgehen, und das werden sie mit Sicherheit auch. Es ist notwendig, dass Menschen mit Informationen umgehen, denn ohne sie hätten sie keinen Wert. Menschen nutzen Informationen, produzieren Informationen, bearbeiten Informationen, speichern Informationen, löschen Informationen, verteilen Informationen und so weiter.
In dem soeben beschriebenen Milchviehbetrieb umfassen die Informationen den Verkauf und die Verwaltung der Kunden, die Beschaffung und die Verwaltung der Lieferanten und Vorräte, Einzelheiten über das Personal, einschließlich der persönlichen Daten, der Fähigkeiten und der Ausbildung sowie Informationen über den Gesundheitszustand, die auf Lager befindlichen Produkte und die Produktionsplanung, die Rezepte und Prüfberichte für die Produkte sowie die Prüfberichte und Rezepte für die Produkte. Es ist nicht notwendig, die Informationen im Einzelnen zu spezifizieren (wie z. B. den Firmennamen der Kunden, ihre MwSt.-Nummer, Rechnungsadresse, Rechnungen, Lieferadresse, Kontakte usw.); wichtig ist vielmehr, sie in geeigneter Weise zusammenzufassen, damit die Risikobewertung weder zu detailliert noch zu allgemein ist. Ein Ansatz zur Identifizierung und Bewertung der Informationen besteht darin, die Schritte eines Prozesses durchzugehen und den Manager für jeden Schritt zu fragen, welche Informationen in den Prozess eingegeben werden, ob sie nur referenziert werden oder ob sie erstellt, geändert oder vernichtet werden, und ihn dann zu fragen, welche Folgen es hat, wenn die Informationen bei diesem Schritt nicht verfügbar sind, durchsickern oder nicht zuverlässig sind. Die Schritte eines Prozesses durchzugehen und den Verantwortlichen für jeden Schritt zu fragen, welche Informationen in den Prozess einfließen, ist ein Ansatz, um den Grad der Abhängigkeit von Informationen zu ermitteln und zu bewerten.
Zusätzliche Eigenschaften
Die nächste Phase, die auf die Identifizierung der Informationen folgt, besteht darin, die Vermögenswerte zu ermitteln, die zur Archivierung oder Verarbeitung der Informationen verwendet werden. In dem im vorigen Abschnitt beschriebenen Milchviehbetrieb gehören zu den Vermögenswerten, die zur Verarbeitung von Informationen genutzt werden, folgende: unterstützende IT-Dienste einschließlich ihrer digitalen Archive: Personal PC, E-Mail und Dateiserver; der CRM-Dienst mit seinen Archiven; er ist für interne Mitarbeiter und Handelsvertreter zugänglich; das IT-System für die Kontrolle des Lagers und der Produktion; es ist für interne Mitarbeiter zugänglich; Papieraktenarchive und die Website der Organisation selbst; digitale und Papierdokumentenarchive der Buchhalter. In dem im vorigen Absatz beschriebenen Milchviehbetrieb muss nicht jedes einzelne Wirtschaftsgut aufgelistet werden; dennoch ist es wichtig, die einzelnen Wirtschaftsgüter zu kennen. Es gibt verschiedene Kriterien, die zur Kategorisierung dieser Gruppen herangezogen werden können: geografische Ähnlichkeit bei physischen Vermögenswerten, vergleichbare Bewirtschaftungspraktiken oder Eigentümer (d. h. diejenigen, die für ihre Verwaltung und Sicherheit verantwortlich sind).
Risikobewertung
Für die Zwecke der Risikobewertung ist es nicht erforderlich, genau zu wissen, wie viele Schränke in einem Büro vorhanden sind oder welche Art von Schränken es gibt; vielmehr ist es wichtig zu wissen, ob es überhaupt Schränke gibt und welche Informationen darin gespeichert sind. Sie werden in der Dokumentation als „Büroschränke x.“ bezeichnet. Diese Schränke befinden sich am selben Ort, haben vergleichbare technische Eigenschaften, unterliegen denselben Richtlinien für den Umgang mit unterschiedlichen Zugriffsmöglichkeiten und sind Eigentum derselben Person. Im Milchviehbetrieb ist es möglich, alle Schränke unter der Überschrift „Archiv“ zusammenzufassen. Ein Customer-Relationship-Management-System umfasst eine Reihe verschiedener Vermögenswerte, darunter den physischen Server, ein Betriebssystem, Anwendungssoftware usw. In diesem Zusammenhang bezieht sich das Kundenbeziehungsmanagement (CRM) auf die Zusammenstellung der verschiedenen Vermögenswerte. Für die Risikobewertung ist es jedoch nicht erforderlich, die Einzelheiten der Vermögenswerte zu kennen; sie sind vielmehr für das Betriebsmanagement entscheidend. Einige Unternehmen identifizieren an dieser Stelle bestimmte Server, Firewalls, Netzwerkgeräte, PCs, Software, Anwendungen usw., was unnötig ist. Bei Risikobewertungen auf der Grundlage umfassender Bestandsaufnahmen von Vermögenswerten sind Beurteilungsfehler unvermeidlich.
Beispiel
Im Jahr 2006 war das multinationale Einzelhandelsunternehmen TJX das Ziel eines kriminellen Angriffs. Die Kriminellen nutzten ein Wi-Fi-Netzwerk in einem TJX-Geschäft, um in das Unternehmensnetzwerk einzudringen; sobald sie drin waren, verschafften sie sich Zugang zum internen Netzwerk des Unternehmens, wo sie die Kreditkarteninformationen von 46 Millionen Kunden und andere Informationen über 450.000 weitere Personen kopierten23. Es besteht kein Zweifel daran, dass die „Wi-Fi-Shop-Netzwerke“ genau entdeckt wurden; dennoch ist es sehr wahrscheinlich, dass diese Informationen als unkritisch eingestuft wurden. Da die Vorschriften zur Informationssicherheit sowohl für die Sicherheit der Lieferanten als auch für die der Organisation insgesamt gelten, ist es immer ratsam, die Lieferanten (einschließlich Überwachung und Reinigung) als Teil der Vermögenswerte zu identifizieren. Danach müssen die Verknüpfungen zwischen den Informationen und den Vermögenswerten erkannt werden (für Archivierungs- und Verarbeitungszwecke). veranschaulicht die Verbindungen, die zwischen den verschiedenen Vermögenswerten des Milchviehbetriebs, einschließlich der Informationen, bestehen. Beispiele für Verbindungen zwischen Informationen und Vermögenswerten sind aufgeführt. Auch wenn Vermögenswerte gruppiert und vereinfacht werden müssen, ist es immer notwendig, eine detaillierte Beschreibung der verschiedenen Gruppen von Vermögenswerten zu haben. Dies ist notwendig, damit in Zukunft die Sicherheitsmaßnahmen bestimmt werden können, die auf jeden Vermögenswert angewendet werden sollten, wie beschrieben.
Asset-Eigentümer
Wer ist für die Lokalisierung der Werte zuständig? Es ist wichtig, dass die Führungskräfte in den Prozess der Bestimmung der Arten von Informationen einbezogen werden, die in ihren jeweiligen Verantwortungsbereichen (und im Rahmen der Risikobewertung) bearbeitet werden. Sie sollten auch die Anlagen identifizieren, die zur Archivierung und Verarbeitung der Informationen verwendet werden, insbesondere die IT-Anwendungen und physischen Archive. Es ist möglich, diese Verwalter als Informationsverarbeiter zu bezeichnen; um jedoch Missverständnisse bezüglich der Datenschutzbestimmungen zu vermeiden, ist es besser, ihnen alternative Bezeichnungen wie Informationseigentümer oder Informationsmanager anzubieten. Nach der Mehrzahl der durchgeführten Untersuchungen verwenden wir den Ausdruck „Informationseigentümer“. Es ist wichtig, sich vor Augen zu halten, dass der „Besitzer“ der Informationen nicht wirklich der Eigentümer der Informationen ist; er ist vielmehr derjenige, der für deren Verwaltung (einschließlich der Durchführung von Sicherheitskontrollen) verantwortlich ist. In den meisten Fällen sind diejenigen, die im Besitz von Informationen sind, auch für die Gefahren verantwortlich, die diese Informationen betreffen könnten. In anderen Fällen haben sie jedoch möglicherweise nicht die Befugnis, Informationssicherheitsrisiken zu verwalten; daher werden sie dem Risikoeigner bei der Bewertung des Informationssicherheitsrisikos Unterstützung anbieten.
Auch wenn Vermögenswerte gruppiert und vereinfacht werden müssen, ist es immer notwendig, eine detaillierte Beschreibung der verschiedenen Gruppen von Vermögenswerten zu haben. Dies ist notwendig, damit in Zukunft die Sicherheitsmaßnahmen bestimmt werden können, die auf jeden Vermögenswert angewendet werden sollten.
Unterstützung der Führung
Wer ist für die Lokalisierung der Werte zuständig? Es ist wichtig, dass die Führungskräfte in den Prozess der Bestimmung der Arten von Informationen einbezogen werden, die in ihren jeweiligen Verantwortungsbereichen (und im Rahmen der Risikobewertung) bearbeitet werden. Sie sollten auch die Anlagen identifizieren, die zur Archivierung und Verarbeitung der Informationen verwendet werden, insbesondere die IT-Anwendungen und physischen Archive. Es ist möglich, diese Verwalter als Informationsverarbeiter zu bezeichnen; um jedoch Missverständnisse bezüglich der Datenschutzbestimmungen zu vermeiden ist es besser, ihnen alternative Bezeichnungen wie Informationseigentümer oder Informationsmanager anzubieten. Nach der Mehrzahl der durchgeführten Untersuchungen verwenden wir den Ausdruck „Informationseigentümer“. Es ist wichtig, sich vor Augen zu halten, dass der „Besitzer“ der Informationen nicht wirklich der Eigentümer der Informationen ist; er ist vielmehr derjenige, der für deren Verwaltung (einschließlich der Durchführung von Sicherheitskontrollen) verantwortlich ist. In den meisten Fällen sind diejenigen, die im Besitz von Informationen sind, auch für die Gefahren verantwortlich, die diese Informationen betreffen könnten. In anderen Fällen haben sie jedoch möglicherweise nicht die Befugnis, Informationssicherheitsrisiken zu managen; daher werden sie dem Risikoeigner bei der Bewertung des Informationssicherheitsrisikos Unterstützung anbieten. Die Identifizierung von Vermögenswerten erfolgt häufig allein durch den Leiter der Abteilung für Informationstechnologie oder der Abteilung für physische Sicherheit. Wenn es praktikabel ist, ist es besser, alle Manager in den Prozess der Sensibilisierung für die potenziellen Bedrohungen der Informationssicherheit einzubeziehen, entweder einzeln oder alle zusammen.
Softwarearchitektur
Die Architekturen von Anwendungen, Servern und Netzwerksegmenten sowie die Schnittstellen zu anderen Systemen sollten von den für das IT-Management Verantwortlichen beschrieben werden. Die Verantwortlichen für die physische Sicherheit sollten Beschreibungen von Standorten wie Büros, Archiven und Serverräumen vorlegen. Manche sind überzeugt, dass es effektiver ist, einen Fragebogen an die Manager zu schicken, als sich persönlich mit ihnen zu treffen, vor allem, wenn es viele Manager gibt und die Organisation geografisch über eine große Region verstreut ist. Es wird dringend empfohlen, dass ein persönliches Gespräch zwischen den Moderatoren und den Eigentümern der Informationen stattfindet, wenn dies überhaupt möglich ist. Dies gilt insbesondere, wenn zum ersten Mal eine Risikobewertung der Informationssicherheit durchgeführt wird. Persönliche Gespräche ermöglichen es den Unternehmenseigentümern, die Ziele des Datenerfassungsprozesses besser zu verstehen. Infolgedessen sind sie oft eher bereit, zusätzliche Informationen zu liefern und zusätzliche Empfehlungen zu geben, als wenn sie einen Fragebogen isoliert beantworten. Bei einer effizienten Durchführung des Treffens sollte es nicht länger als zwei Stunden dauern, bis alle relevanten Informationen gesammelt sind.
Gefahren
In den Gleichungen in Abschnitt stehen Bedrohungen für die Variable m. Die Definition, die in der ISO/IEC 27002 zu finden ist, finden Sie weiter unten, zusammen mit den Definitionen für Ereignis und Vorfall. Ein Informationssicherheitsereignis ist das Auftreten eines System-, Dienst- oder Netzwerkzustandes, der als möglicher Hinweis auf eine Verletzung der Informationssicherheitspolitik oder ein Versagen der Kontrollen erkannt wurde, oder ein bisher unbekannter Umstand, der für die Informationssicherheit wichtig sein kann. Ein Informationssicherheitsvorfall kann sich entweder auf ein einzelnes Ereignis oder auf eine Abfolge von unerwünschten oder unerwarteten Ereignissen im Zusammenhang mit der Informationssicherheit beziehen. Diese Vorfälle haben eine hohe Wahrscheinlichkeit, den Unternehmensbetrieb zu gefährden und eine Gefahr für die Informationssicherheit darzustellen. Eine mögliche Quelle eines unerwünschten Ereignisses, das das Potenzial hat, einem System oder einer Organisation Schaden zuzufügen, wird als Bedrohung bezeichnet. Beachten Sie, dass einige Normen dieses Phänomen als Risikoquelle und nicht als Gefahr bezeichnen. Obwohl immer die vollständigen Ausdrücke verwendet werden sollten, werden wir in den folgenden Abschnitten einfach die Begriffe „Ereignisse“ und „Vorfälle“ anstelle von „Informationssicherheitsereignissen“ und „Informationssicherheitsvorfällen“ verwenden. Dies geschieht überall dort, wo es praktikabel ist und sich aus dem Kontext ergibt. Es ist wichtig, den Unterschied zwischen einem Ereignis und einer Bedrohung genau zu kennen. Eine Bedrohung ist etwas, das in der Zukunft auftreten kann, während ein Ereignis etwas ist, das bereits stattgefunden hat. Mit anderen Worten: Eine Gefahr ist ein potenzielles Ereignis. Das Auftreten von Ereignissen und Zwischenfällen führt nicht unbedingt zu materiellen Verlusten.
Informationssicherheitsvorfall
So stellt beispielsweise das Eindringen einer unbekannten Person in ein Büro des Unternehmens ein Ereignis dar, auch wenn der Eindringling gefasst wird, bevor er Schaden anrichten kann. In der Literatur wird der Begriff „Unfall“ verwendet, um ein Ereignis zu bezeichnen, das einen Schaden verursacht hat, während andere den Begriff „Beinaheunfall“ verwenden, um ein Ereignis zu bezeichnen, das keinen Schaden verursacht hat. Der Begriff „Vorfall“ ist der einzige, der nach ISO/IEC 27001 zulässig ist.
Ein Einbruch in ein Haus ist ein reales Risiko, selbst für Personen, die noch nie Opfer eines Einbruchs geworden sind. Sowohl das Auftauchen eines berüchtigten Diebes in der Stadt, das einen bisher unbekannten Zustand darstellt, der Auswirkungen auf die Informationssicherheit haben kann, als auch die Fehlfunktion des Hausalarms, die den Ausfall einer Kontrolle darstellt, sind Beispiele für Ereignisse der Informationssicherheit. Ein Informationssicherheitsproblem ist aufgetreten, als Kriminelle in ein Gebäude eingebrochen sind und einen Computer mit sensiblen Daten gestohlen haben. Auch wenn der Computer nicht gestohlen wurde, handelte es sich dennoch um ein Informationssicherheitsereignis, da die Wahrscheinlichkeit, dass er gestohlen wurde, hoch war. Vielleicht waren die Diebe eher an den Juwelen interessiert. Der Grad der Spezifität, mit dem eine Bedrohung analysiert wird, kann variieren; typischerweise ist die erste Bewertung nur mäßig umfassend, und weitere Verbesserungen werden bei häufigen Bewertungen vorgenommen. Es ist angemessen, die als „Malware“ bekannte Gefahr ohne weitere Spezifikation zu identifizieren und zu bewerten. Später kann eine Unterscheidung zwischen Malware wie Viren, Trojanern, Spyware usw. getroffen werden.
Analyse von Risiken
Das Risiko „Diebstahl von Geräten“ könnte dann genauer betrachtet werden, wobei Geräte innerhalb oder außerhalb des Unternehmens berücksichtigt werden. Die Analyse der Risiken im Zusammenhang mit der Informationssicherheit umfasst die Ermittlung und Bewertung aller potenziellen Gefahren im Zusammenhang mit der Informationssicherheit. Es ist daher nicht akzeptabel, nur die wichtigsten Gefahren zu identifizieren oder diejenigen, die beispielsweise Auswirkungen auf IT-Systeme haben. Dies widerspricht dem Ziel der Risikoanalyse, die methodisch und umfassend sein muss, um die ihr zugedachte Funktion zu erfüllen (sonst hieße sie ja Analyse einiger Gefahren). Es ist möglich, in späteren Phasen Gefahren mit einer geringen Wahrscheinlichkeit auszuschließen; dies kann jedoch erst geschehen, nachdem die Risiken eindeutig erkannt und gemäß den in Abschnitt 7.3 dargelegten Leitlinien bewertet wurden. Es empfiehlt sich, mit einer festgelegten Liste zu beginnen, um zu gewährleisten, dass die Analyse methodisch durchgeführt wird und nichts Wichtiges übersehen wird (siehe auch Kapitel 11). Eine Verbesserung der Bedrohungserkennung kann dadurch erreicht werden, dass zuerst die Bedrohungsagenten und dann die Bedrohungsstrategien lokalisiert werden.
Gefährliche Elemente
Die Einstufung einer Gefahr kann anhand ihrer Bedrohungsagenten erfolgen, d. h. der Entität, die für eine Bedrohung verantwortlich ist. Agenten können Menschen mit schädlichen Absichten, Menschen ohne bösartige Absichten, technische Instrumente oder sogar die Natur selbst sein. Der folgende Satz definiert, was mit dem Ausdruck „gemeinsam genutzter Dienst“ gemeint ist, der sich auf einen Dienst bezieht, der von mehr als einer Organisation genutzt wird: Bestimmte Kunden verlangen, dass die Anbieter ihre eigenen Informationssysteme nutzen. Andererseits kann ein Anbieter ein bestimmtes Informationssystem für die von ihm betreuten Kunden zugänglich machen.
Böswillige Personen
Diese Bedrohungsakteure sind am komplexesten und vielfältigsten und können sein: Außenstehende, d. h. Personen, die nicht mit der Organisation verbunden sind; Nutzer öffentlicher Dienstleistungen, die von der Organisation erbracht werden; sie können die Räumlichkeiten der Organisation (z. B. in einer Bankagentur) oder ihre IT-Systeme (z. B. Websites oder soziale Netzwerke) betreten; Kunden, die während ihres Besuchs Zugang zu den Räumlichkeiten der Organisation und zu gemeinsam genutzten IT-Diensten haben können; allgemeine Anbieter, die Zugang zu den IT-Diensten der Organisation haben können und auf der Grundlage ihrer Gründe, böswillig zu sein, lassen sich die Bedrohungsakteure in die folgenden Kategorien einteilen: Personen, die versuchen, sich einen Namen zu machen, indem sie sensible Informationen veröffentlichen oder die Informationssysteme einer Organisation blockieren, sind Beispiele für Exhibitionisten; zu dieser Kategorie gehören auch Idioten. Aktivisten sind Personen, die aus politischen oder philosophischen Gründen einer Organisation Schaden zufügen wollen, indem sie z.B. deren informationstechnische Systeme unzugänglich machen oder sensibles Material veröffentlichen. Zu dieser Gruppe gehören Terroristen, Saboteure und Vandalen, auch wenn sie unterschiedliche Ziele und Methoden verfolgen; auch die Befürworter von Informationsfreiheitsgesetzen können in diese Kategorie fallen.