Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen

Größe: px

Ab Seite anzeigen:

Download "Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen"

Bärbel Salzmann
vor 8 Jahren
Abrufe

1 Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen Prof (FH) Dr. Ingrid Schaumüller Bichl FH OÖ, Fakultät für Informatik, Kommunikation und Medien, Hagenberg Folie 1

2 Agenda 1 RG Sichere Informationssysteme 2 Risikoanalyse neu 3 Kennzahlen 4 Ausblick Folie 2

3 FH OÖ Fakultät Hagenberg F&E Schwerpunkte und Research Groups Folie 3

4 Department Sichere Informationssysteme Hagenberg Department Forschungsthemen Bachelorstudiengang SIB (CMS) Sicherheits- und Risikomanagement Sichere Unternehmensorganisation/ Masterstudiengang t SIM (SEC) SOA Security Kryptographische Algorithmen und Akademischer Lehrgang ASICT Protokolle berufsbegleitend Karten- und Tokensysteme Netzwerksimulation Research Group Malware Sichere Informationssysteme IT-Frühwarnung/Early Warning Lab Ziel Umfassender Schutz von Informationen und IT-Systemen in Unternehmen, Behörden und Gesellschaft Folie 4

Akademischer Lehrgang ASICT Protokolle berufsbegleitend Karten- und Tokensysteme Netzwerksimulation Research Group Malware Sichere

5 Sicherheitsmanagement nach ISO/IEC define scope and boundaries define ISMS policy identify, analyse and evaluate risks options for treatment of risks management approval for residual risk formulate and implement a risk treatment plan implement controls define how to measure effectiveness regular reviews of effectiveness of ISMS measure effectiveness of controls update security plans record actions and events ISO/IEC implement identified improvements communicate actions and improvements to interested parties Folie 5

how to measure effectiveness regular reviews of effectiveness of ISMS measure effectiveness of controls update security plans record

6 Sicherheitsmanagement nach ISO/IEC define scope and boundaries define ISMS policy identify, analyse and evaluate risks options for treatment of risks management approval for residual risk formulate and implement a risk treatmentplan implement controls define how to measure effectiveness regular reviews of effectiveness of ISMS measure effectiveness of controls update security plans record actions and events ISO/IEC implement identified improvements communicate actions and improvements to interested parties Folie 6

7 Forschungsthema 1 : Risikoanalyse Evaluierung und Bewertung von internationalen Risikoanalysemethoden Entwicklung einer neuen, österreichischen Risikoanalysemethode kompatibel zu ISO/IEC und ISO/IEC Österreichischem Informationssicherheitshandbuch Folie 7

österreichischen Risikoanalysemethode kompatibel zu ISO/IEC 27001

8 Gesetze und Regelungen Folie 8

9 Analysed methods Folie 9

10 Anforderungen Ausgangslage Österreichisches Informationssicherheitshandbuch gibt Leitlinien vor, aber keine RA-Methode Firmen und Behörden setzen meist selbst entwickelte Methoden ein Hohe Anforderungen an Flexibilität und Skalierbarkeit Steigende Bedeutung der ISO/IEC Anforderungen Kompatibilität mit SIHB Risikoermittlung auf Ebene von IT-Systemen Geschäftsprozessen Risikoberechnung qualitativer Ansatz Skalierbarkeit, k it Anpassbarkeit Reifegradmodell vorgegebene Bedrohungs- und Schwachstellenkataloge RM-Prozess nach ISO/IEC Fazit Entwicklung einer neuen IT-Risikoanalysemethode ARiMA Austrian Risk Management Approach Folie 10

Risikoermittlung auf Ebene von IT-Systemen Geschäftsprozessen Risikoberechnung qualitativer Ansatz Skalierbarkeit, k it Anpassbarkeit Reifegradmodell vorgegebene

11 Stufe 1 Kontextstudie Rahmenbedingungen g festlegen (z.b. Risikopolitik) Ratinglevel definieren Folie 11

12 Stufe 2 Identifikation der Assets ARiMA Servicebaum Asset Relevanz SN sehr niedrig N niedrig M mittel H hoch SH sehr hoch Folie 12

13 Stufe 3 Bedrohungsanalyse ARiMA Fehlerbaum Bedrohungsklassen 1. Höhere Gewalt 2. Organisatorische Mängel 3. Technische Fehler 4. Einwirkungen i von außerhalb der Organisation 5. Einwirkungen von innerhalb der Organisation Vertraulichkeit Integrität Verfügbarkeit Qualitative Bewertung! Folie 13

Einwirkungen i von außerhalb der Organisation 5.

14 Stufe 3 Bedrohungsanalyse Bewertung der Geschäftsprozesse Folie 14

15 Forschungsthema 2: Kennzahlen 1Forschungsthema Guidelines for ISMSS overview and ISMS requirements (pub. 2005) Code of practice for informationn security management (pub. 2005) ISMS implementation guidance Information security measurements ISMS risk management (pub. 2008) Requirements for bodies provi audit and certification of ISMS 2007) ISMS auditing Guide for auditors on ISMS controls Guida Information secur management for i communications ity nter-sector vocabulary (pu ISMS for telecommunication organisations based on ISO/IEC (pub. 2008) b. 2009) iding (pub. nce on the integrated implementation of ISO/IEC and ISO/IEC Information security governance framework ISMS for Financial and Insurance Services Sector Folie 15

2008) Requirements for bodies provi audit and certification of ISMS 2007) ISMS auditing Guide for auditors on ISMS controls Guida Information secur management for i communications ity

16 ISO/IEC ISM - Measurement Kennzahlen-Modell Folie 16

17 ISO/IEC ISM - Beispiel Beispiele für Kennzahlen Folie 17

18 Ausblick und Herausforderungen Methodenevaluierungen Spezifische Lösungen Internationale Standards und Best Practices Entwicklungen neuer RA-Methoden Kennzahlen und Rating-Modelle Sicherheitszertifizierungen von Unternehmen, Produkten und Personen Einbringen in nationale und internationale Gremien: SIHB, ISO, ENISA, Folie 18

Kennzahlen und Rating-Modelle Sicherheitszertifizierungen von Unternehmen,

19 DANKE DANKE 2009, I. Schaumüller Bichl Folie 19

Ähnliche Dokumente

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe ISO/IEC 27001/2 Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe 1 ISO Survey of Certifications 2009: The increasing importance organizations give to information security was