Suche aufrufen
Menü aufrufen
47
1.3K
10
34.8K
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Risk Policy

Aus HITGuard User Guide
Weitere Optionen
Version vom 17. Dezember 2019, 06:26 Uhr von Faha (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Each standard as well as each management system pursues a given purpose. Goals are defined to ensure their protection.“)

All settings and configurations made here are globally valid. I.e. they affect all management systems and can only be edited by experts or administrators.

Protection targets

Each standard as well as each management system pursues a given purpose. Goals are defined to ensure their protection.

Herstellerspezifische Schutzziele (nach ISO 27001, ISO 80001):

  • Vertraulichkeit
  • Verfügbarkeit
  • Integrität

Mit den herstellerspezifischen Schutzzielen wird in weiterer Folge in der Risikobewertung sowie der Strukturanalyse gearbeitet. Diese Ziele werden in den Wissensdatenbanken auf Prüffragen gemappt bzw. ggf. auch auf andere Risiken oder Maßnahmen. Diese Schutzziele können zwar umbenannt oder deaktiviert werden, aber nicht gelöscht. Sie sind unter "Risikomanagement → Risikopolitik → Schutzziele" als "Herstellerspezifisches Schutzziel" gekennzeichnet.

Weitere Schutzziele können von Experten frei definiert und bearbeitet werden.

Beispiel für Schutzziele:


Eintrittswahrscheinlichkeiten

Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten zukünftigen Zeitraum (z.B. 1x in 30 Jahren).

Klassen an Eintrittswahrscheinlichkeiten können frei definiert werden. Die Anzahl der Kategorien, der Name der Eintrittswahrscheinlichkeitsklassen sowie deren Beschreibung und hinterlegte Eintrittswahrscheinlichkeiten (in Häufigkeit je Zeitraum) ist dabei frei konfigurierbar.

Risikofaktor:

Der Risikofaktor dient als Multiplikator für die Berechnung der Risikokennzahl eines Risikos. Dabei wird der Risikofaktor der gewählten Eintrittswahrscheinlichkeit mit dem Risikofaktor des gewählten Schadensausmaßes multipliziert und so die Risikokennzahl ermittelt.
Die Risikokennzahl dient zur Reihung der Risiken. Je höher die Risikokennzahl desto größer die Bedeutung des Risikos.

Beispiel in Anlehnung und Erweiterung zu TR719 (80001):

Eintrittswahrscheinlich-
keitsklassen 		Definition
Extrem selten Mindestens einmal in 30 Jahren
Es ist sehr unwahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
Sehr selten Mindestens einmal in 10 Jahren
Es ist nicht wahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
Selten Mindestens einmal in 3 Jahren
Es können hin und wieder unbeabsichtigte Auswirkungen auftreten.
Wahrscheinlich Mindestens einmal jährlich
Es ist wahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten.
Häufig Mindestens einmal monatlich
Unbeabsichtigte Auswirkungen treten häufig auf.
Sehr häufig Mindestens einmal wöchentlich oder mehr
Unbeabsichtigte Auswirkungen treten sehr häufig bzw. nahezu immer auf.
Maske der Eintrittswahrscheinlichkeiten


Kriterien für Schadensausmaße

Ein Schaden ist nicht zwingend monetärer Natur. Er kann z.B: durch Effektivitätsverlust, Imageschaden oder Patientenschaden bestimmt werden. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Schadensausmaße frei zu konfigurieren. Diese Kriterien können dann wiederum auf Schadensausmaßklassen gemapped werden, und dadurch für Schutzbedarfsanalysen verwendet werden

Kriterien Schadensausmaße können unter "Risikomanagement → Risikopolitik → Kriterien für Schadensausmaße" definiert werden.


Beispiel: Kriterien für Schadensausmaße


Schadensausmaße

Schadensausmaße werden in Klassen unterteilt. Die Schadensausmaßklassen orientieren sich dabei an der Risikotragfähigkeit des Unternehmens. Die höchste Schadensausmaßklasse sollte sich daher an dem maximalen für das Unternehmen tragbaren Schadens orientieren. Klassen können von Administratoren und Experten definiert werden.

Monetärer Schaden:

Hier wird definiert, wie hoch ein monetärer Schaden einer Klasse ausfällt.

SBA Kantengewicht:

Dieser Wert stellt die Abhängigkeit, den der Schadensausmaß in einer Schutzbedarfsanalyse repräsentiert, in Prozent dar und wird im Graphen als Kantengewicht verwendet.
Grundlage der Ermittlung des Wertes kann z.B: die Untergrenze, Obergrenze oder der Mittelwert einer Schutzbedarfsklasse sein.
Beispiel:
Schadensausmaßklasse SBA Kantengewicht
Unbedeutend 10%
Gering 20%
Moderat 40%
Hoch 60%
Katastrophal 100%

Risikofaktor:

siehe hier


Kriterium hinzufügen:

Hier können die bereits erstellten Kriterien auf eine Schadensausmaßklasse gemapped werden. Zudem sollte im Kontext der Klasse beschrieben werden welcher Schaden auftreten muss um ein Kriterium zu erfüllen.

Beispiele für Schadensausmaßklassen:

Schadensausmaßklasse Definition
Gering Monetärer Schaden: > 5T EUR und <= 25EUR
Patientenschaden: geringe und kurzzeitige Unannehmlichkeiten
Effektivitätsverlust: kein oder sehr begrenzter Einfluss auf Operationen/Prozeduren
Daten- und Systemsicherheit: Bekanntwerden einer entsprechenden Bedrohung oder Schwachstelle hat vernachlässigbaren Einfluss
Moderat Monetärer Schaden: > 25T EUR und <= 100T EUR
Patientenschaden: zeitlich begrenzte und geringere Verletzungen, medizinische Intervention erforderlich
Effektivitätsverlust: sehr begrenzter oder belästigender Effekt auf Operationen/Maßnahmen
Daten- und Systemsicherheit: Offenlegung sensibler Informationen könnte negative (finanzielle) Folgen haben und möglicherweise Ressour-cenaufwand zur Beseitigung bedingen
Katastrophal Monetärer Schaden: > 10Mio EUR
Patientenschaden: Tod
Effektivitätsverlust: geplante Operationen/Prozeduren nicht mehr durchführbar
Daten- und Systemsicherheit: Kann zu vollständiger Offenlegung sensibler Informationen führen
Beispiel: Schadensausmaß Hoch


Schutzbedarf

Der Schutzbedarf einer Ressource, Organisationseinheit, Datenkategorie oder eines Prozesses orientiert sich am Ausmaß der Schäden, die entstehen können, wenn die Funktionsweise beeinträchtigt ist. Da die Höhe eines Schadens häufig nicht genau bestimmt werden kann, sollten Sie für Ihren Anwendungszweck passende Klassen definieren.

Schutzbedarfsklassen können unter "Risikomanagement → Risikopolitik → Schutzbedarf" von Administratoren oder Experten erstellt und verwaltet werden.

Die zuvor definierten Schadensausmaßklassen fallen je nach höhe Ihres SBA Kantengewichtes in unterschiedliche Schutzbedarfsklassen (je höher das Kantengewicht umso höher der Schutzbedarf).

Die sogenannte SBA-Kantengewicht-Range (von bis) sorgt dafür, dass in der Strukturanalyse durch eine Abhängigkeitsanalyse, eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über die SBA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird dabei die Kantenabhängigkeit in % mit dem höchsten SBA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.

Die Farbe dient zur Signalisierung der Wichtigkeit einer klasse in der Strukturanalyse.

Beispiele für Schutzbedarfsklassen:

  • Normal: Die Schadensauswirkungen sind begrenzt und überschaubar.(0-30% SBA Kantengewicht)
  • Hoch: Die Schadensauswirkungen können beträchtlich sein.(30-70% SBA Kantengewicht)
  • Sehr Hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.(70-100% SBA Kantengewicht)
Beispiel: Schutzbedarf Hoch


Risikomatrix

Die Risikomatrix ergibt sich für jede Schutzbedarfsklasse aus der Kombination von Schadensausmaß (Vertikal) und Eintrittswahrscheinlichkeit (Horizontal). Hierzu werden die jeweiligen Risikofaktoren multipliziert um die Risikokennzahl zu erhalten. Je höher die Risikokennzahl desto kritischer ist ein Risiko und umso dringender muss ein Risiko behandelt werden um schwerwiegende Folgen zu verhindern.

Administratoren und Experten können unter "Risikomanagement → Risikopolitik → Risikomatrix" festlegen in welcher Farbe eine Risikokennzahl im Dashboard und der Strukturanalyse angezeigt wird (Je kritischer und dringender desto alarmierender sollte die Farbe sein). Weiters dient die Risikokennzahl der Reihung der Risiken auf dem Dashboard.

Beispiel: hohes Schadensausmaß * wahrscheinlicher Eintrittswahrscheinlichkeit


Datenklassen

Die Datenklassifikation gibt vor wie Daten, abhängig von Ihrer Klassifizierung, zu handhaben sind. Dies richtet sich nach der Vertraulichkeit der Daten und dem damit einhergehenden erwünschtem Schutzniveau.

Die Anzahl der Kategorien, der Name der Datenklasse sowie deren Beschreibung sind dabei frei definierbar. Eine neue Klasse kann über den „Plus Button“ erstellt werden.

Üblicherweise kann man eine Assoziation ableiten, sodass der unterschiedlich geltende Schutzbedarf je Datenklasse über die, mit dem Vertraulichkeitsrisiko zusammenhängende Schadensausmaßklasse zu erklären ist. Daher ist ein Mapping zwischen Daten- und Schadensausmaßklassen möglich.

Beispiel:

Datenklassen Schadensausmaßklasse
Öffentlich Sehr Gering
Intern Mittel
Vertraulich Groß
Geheim Sehr Groß
Beispiel: Klasse "Öffentlich"


Abgerufen von „https://userguide.hitguard.de/index.php?title=Risikopolitik/en&oldid=3802
Zuletzt geändert
Diese Seite wurde zuletzt am 17. Dezember 2019 um 06:26 Uhr bearbeitet.