Neuer ISO-Leitfaden für Einstieg in das Risikomanagement

80 Seiten Strategie

Derzeit liegt die Norm ISO 27005, eine nicht zertifizierbare Guideline zu ISO 27001, als Comitee Draft vor, der voraussichtlich im Jahr 2007 veröffentlicht werden soll. Gegenstand sind Grundlagen und Methoden für Risikoanalyse und Risikomanagement wie sie in der Zertifizierungsnorm für Informationssicherheit ISO 27001 gefordert werden. Die Inhalte wurden großteils aus den technischen Richtlinien ISO TR 13335 übernommen, erweitert und mit zusätzlichen Beispielen versehen. In zehn Kapiteln auf rund 80 Seiten führt der Entwurf den Leser durch die Stationen professionellen Risk-Managements wie:

• Risikomanagementprozess
• Risikobewertung
• Risikominimierung
• Risikoakzeptanz
• Risikokommunikation
• Monitoring und ständige Verbesserung

Risiko und Glücksspiel mit ähnlicher Verteilung

In der Praxis verbergen sich dahinter jede Menge zu lösender Fragen: Wie sind Objekte oder Ressourcen – vom Serverraum bis zur Portierloge – zu bewerten und mit welchen Methoden? Welche Bereiche sind regelmäßigen Überprüfungen zu unterziehen? Wie werden Risiken im Unternehmen kommuniziert, welche personellen Schnittstellen sind zu involvieren – angefangen bei IT-Verantwortlichen für technische Protokollierungen über die physische Sicherheit bis zur Personalabteilung? Wie sind qualitative Einschätzungen eines zum Beispiel „hohen Risikos“ mit der tatsächlichen Business-Relevanz und einer Schadenswahrscheinlichkeit zu quantifizieren? Gute Ergebnisse für „unberechenbare“ Ereignisse liefert etwa die Monte-Carlo-Simulation, die Verteilungen aus dem Glücksspiel generiert. Daraus lassen sich relativ genaue Wahrscheinlichkeiten für Schadenseintritte ableiten. So genau geht die Norm allerdings nicht ins Detail, es werden nur ansatzweise verschiedene Quantifizierungsmethoden vorgestellt.

„Wer keine universelle Vorgangsweise wählt, hat gute Chancen sehr viel an Risikopotential zu übersehen, was in der Praxis dramatische Folgen haben kann“, betont Herfried Geyer. Ein anschauliches Beispiel ist die IT-gesteuerte Medikamentierung in Spitälern. Wenn dieser Bereich nicht ständig überprüft und einem Risk-Review unterzogen wird, sind Fehler in der Verabreichung von Arzneimitteln nicht auszuschließen, was im schlimmsten Fall letal enden kann. Um ein Risiko zu vermeiden, muss es aber zuerst identifiziert werden. Dazu liefert der Entwurf der ISO 27005 in Kapitel 6, „Risk Assessment“ eine hilfreiche Strukturierung der Risikoanalyse. Sie reicht von der Identifikation von Ressourcen über die Schwachstellenanalyse und Definition der Business-Relevanz bis zur Auswahl von geeigneten Steuerungsmaßnahmen.

Anhang liefert geballtes Wissen für die Praxis

Als großes Plus der ISO 27005 ist generell der umfangreiche Anhang zu sehen, der neben der rund 20seitigen Norm nocheinmal 60 Seiten praktische Inputs zu den Hauptthemen der Norm liefert: Ressourcenbewertung, übliche Schwachstellen, Bewertungsansäze, Maßnahmenauswahl, Bewusstseinsbildung und Training sowie Monitoring und Überprüfung. CIS-Auditor Herfried Geyer bewertet die neue Guideline daher als hilfreiches Instrument für Einsteiger, das einen guten Überblick über ein abstraktes Thema bietet. Nach der Veröffentlichung kann die Norm bei www.iso.org oder www.on-norm.at bezogen werden.