Risikopolitik
Weitere Optionen
Schutzziele
Jede Norm bzw. jedes Managementsystem verfolgt einen vorgegebenen Zweck. Es werden Ziele definiert um deren Schutz sicherzustellen. Originäre Schutzziele (nach ISO 27001, ISO 80001):
- Vertraulichkeit
- Verfügbarkeit
- Integrität
Mit den originären Schutzzielen wird in weiterer Folge im Security Assessor im Rahmen der Risikobewertungen sowie der Strukturanalyse gearbeitet. Diese Ziele werden in den Fragenkatalogen auf Fragen gemappt bzw. ggf. auch auf andere Risiken oder Maßnahmen. Diese Schutzziele können zwar umbenannt oder deaktiviert werden, aber nicht gelöscht. Diese sind unter "Security Assessor ==> Risikopolitik ==> Schutzziele" als "Herstellerspezifisches Schutzziel" gekennzeichnet. Weitere Schutzziele können von Benutzern frei erstellt und bearbeitet werden.
Eintrittswahrscheinlichkeiten
Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten Zeitraum in der Zukunft (z.B. 1x in 30 Jahren).
Klassen an Eintrittswahrscheinlichkeiten können drei definiert werden. Die Anzahl der Kategorien, der Name der Eintrittswahrscheinlichkeitsklassen sowie deren verbale Beschreibung und hinterlegte Eintrittswahrscheinlichkeiten (in Häufigkeit je Zeitraum) ist dabei frei konfigurierbar.
Risikofaktor:
- Der Risikofaktor dient als Multiplikator für die Berechnung der Risikokennzahl eines Risikos. Dabei wird der Risikofaktor der gewählten Eintrittswahscheinlichkeit mit dem Risikofaktor des gewählten Schadensausmaßes multipliziert und so die Risikokennzahl ermittelt.
- Die Risikokennzahl dient zur Reihung der Risiken. Je höher die Risikokennzahl des größer die Bedeutung des Risikos.
Beispiel in Anlehnung und Erweiterung zu TR719 (80001):
- Tabelle des Spezifikationswordes einfügen
| Eintrittswahscheinlich- keitsklassen |
Defininition |
|---|---|
| Extrem selten | Mindestens einmal in 30 Jahren |
| Es ist sehr unwahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten. | |
| Sehr selten | |
| Mindestens einmal in 10 Jahren | |
| Es ist nicht wahrscheinlich, dass unbeabsichtigte Auswirkungen auftreten. |
| Gegenstand | Menge | Kosten |
|---|---|---|
| Brot | 0.3 kg | $0.65 |
| Butter | 0.125 kg | $1.25 |
| Total test |
$1.90 | |
| 0.125 kg | $1.25 |
Kriterien für Schadensausmaße
Ein Schaden ist nicht zwingend monetärer Natur. Er kann z.B: durch Effektivitätsverlust oder Patientenschaden entstehen. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Schadensausmaße frei zu konfigurieren. Diese Kriterien können dann wiederum auf Schadensausmaßklassen gemapped werden, um Business Impact Analysen zu kreieren
Erstellt werden diese unter "Security Assessor ==> Risikopolitik ==> Kriterien für Schadensausmaße".
Schadensausmaße
Schadensausmaße werden in Klassen unterteilt. Die Schadensausmaßklassen orientieren sich dabei an der Risikotragfähigkeit des Unternehmens. Die höchste Schadensausmaßklasse sollte sich daher an dem maximalen für das Unternehmen tragbaren Schaden orientieren. Klassen können von Administratoren und Experten definiert werden.
Monetärer Schaden:
- Hier wird definiert wie hoch ein Monetärer Schaden in einer Klasse ausfällt.
BIA Kantengewicht:
- Dieser Wert stellt die Abhängikeit in Prozent dar, den die Schadensklasse in einer Business Impact Analyse präsentiert und wird im Graphen als Kantengewicht verwendet.
- Grundlage der Ermittlung des Wertes kann z.B: die Untergrenze, Obergrenze oder der Mittelwert einer Schadensausmaßklasse sein.
Beispiel: Wert = 7% (Mittelwert der Klasse "Gering" mit einer Breite von 0-15%)
Risikofaktor:
- siehe hier
Kriterium hinzufügen:
- Hier können die bereits erstellten Kriterien auf eine Schadensausmaßklasse gemapped werden. Zudem sollten Sie im Kontext der Klasse Beschreiben welcher Schaden auftreten muss um ein Kriterium zu erfüllen.
Beispiele:
- Bei der Klasse "Katastrophal" wäre das Kriterium "Patientenschaden" erfüllt wenn ein Patient sterben würde
- Bei der Klasse "Gering" wäre es erfüllt wenn ein Patient zeitlich begrenzte Unannehmlichkeiten hat, welche ohne Medizinische Interventionen reversibel sind.
Schutzbedarf
Risikomatrix
Die Risikomatrix ergibt sich für jede Schutzbedarfsklasse aus der Kombination von Schadensausmaß (Vertikal) und Eintrittswahrscheinlichkeit (Horizontal). Hierzu werden die jeweiligen Risikofaktoren multipliziert ==> Risikokennzahl. Je höher die Risikokennzahl desto kritischer ist ein Risiko und umso dringender muss ein Risiko behandelt werden um schwerwiegende folgen zu verhindern. Weiters können Experten festlegen in welcher Farbe ein Risiko in Analysen angezeigt werden soll. (Je kritischer und dringender umso kräftiger sollte die Farbe gewählt werden)
Datenklassen
Die Datenklassifikation gibt vor wie Daten, abhängig von Ihrer Klassifizierung zu handhaben sind. Dies richtet sich nach der Vertraulichkeit der Daten und dem damit einhergehenden erwünschten Schutzniveau.
Die Anzahl der Kategorien, der Name der Datenklasse sowie deren verbale Beschreibung sind dabei frei konfigurierbar.
Üblicherweise kann man eine Assoziation ableiten, so dass der unterschiedlich geltende Schutzbedarf je Datenklasse über die, mit dem Vertraulichkeitsrisiko zusammenhängenden Schadensausmaßklasse zu erklären ist. Daher ist ein Mapping zwischen Daten- und Schadensausmaßklassen möglich.
Beispiel:
Datenklassen Schadensausmaßklasse Öffentlich Gering Intern Mittel Vertraulich Groß Geheim Sehr Groß