Geben Sie Ihren Benutzernamen und Ihr Passwort ein.

Passwort vergessen?

Risikoanalyse ISM

Autor Nachricht
Verfasst am: 29. 10. 2018 [08:57]
hschieffer
Henning
Themenersteller
Dabei seit: 17.05.2018
Beiträge: 4
Moin,

möchte mal wissen wie Ihr das macht.

Ich habe ja Bedrohungen und Schwachstellen.
Nehmen wir mal als Beispiel Bedrohend "Diebstahl von IT Material" und als Schwachstelle "Orgiastischer Mangel: Fehlende Regelung im Umgang mit IT-Material"

Daraus Bildet sich das Szenario Diebstahl von IT Material durch unzureichende Regelung.

Jetzt das Problem:

Bei einem Server bspw. besteht ja weniger die Bedrohung, dass er geklaut wird. Bei einem USB Stick oder Notebook ist die Bedrohung ja viel höher. Wie bekomme ich es nun hin, dass die Berechnung passt??? Muss ich nun für jede Assetgruppe ein eigenes Scenario oder eine Eigene Bedrohung (Diebstahl von Notebooks, Diebstahl von Servers usw. erstellen??

Wie macht ihr das so?

Danke im Voraus

Verfasst am: 29. 10. 2018 [10:26]
Aquarius
Aquarius
Dabei seit: 15.02.2018
Beiträge: 29
Hier ist eine meiner Meinung nach ziemlich gute Ressource dafür:

http://info.advisera.com/27001academy/free-download/diagram-of-iso-270012013-risk-assessment-and-treatment-process

Das Bild sagt eigentlich ziemlich konkret und praktisch aus, wie das funktionieren kann. (Advisera bietet in der "ISO27001 Academy" eine Menge kostenlose Dokumente zum Thema ISM).

Danach sollte man pro Asset (bzw. Assetgruppe) bis zu 5 Bedrohungen identifizieren und zu jeder Bedrohung 1 oder 2 Schwachstellen. Das scheint mir auch eine sinnvolle Größenordnung zu sein. Jedes Tripel "Asset(gruppe) - Bedrohung - Schwachstelle" muss separat betrachtet werden, also bei 100 verschiedenen Assets ist man bei 500 bis 1000 Szenarien. Das ist auch durchaus real, denke ich. Natürlich werden sich auch Paarungen ergeben, die man direkt ignorieren kann (Ausspähen durch Abgucken vom Bildschirm ist bei Laptops unterwegs eine Bedrohung, bei einem Monitor im fensterlosen Serverraum eher nicht), und oft wird man ähnliche Ergebnisse für verschiedene Szenarien bekommen, man muss also nicht 1000x einen Riesen-Denkprozess anstoßen. Also nicht von der Zahl abschrecken lassen, Copy&Paste kann (mit Bedacht) da Wunder wirken.
Verfasst am: 29. 10. 2018 [13:41]
hschieffer
Henning
Themenersteller
Dabei seit: 17.05.2018
Beiträge: 4
Hey,

danke für die Antwort.

Ok also es kann wirklich so viel werden.

Aber wie bilde ich das in Verinice ab? Mache ich dann analog zu den Assets auch Gruppen in den Szenarien? Und dann per Copy Paste einfach meine Szenarien (ca. 50 Stück) in die Gruppen rein? z.B. Gruppen für "Laptop" und "USB Sticks" und dann jeweils das Szenario "Verlust von It Material" da reinkopieren und jeweils für das Asset bewerten?!

Sehe ich das richtig?

Danke.
Verfasst am: 29. 10. 2018 [14:38]
Aquarius
Aquarius
Dabei seit: 15.02.2018
Beiträge: 29
Ich habe das in meiner Organisation noch nicht so weit, dass ich da wirklich umfassende Erfahrungen wiedergeben kann, aber vielleicht hilft dieses Beispiel:

Ich habe mich an der ISO27005 (Risikomanagement in einem ISMS, neueste Version von 2018 passt zur ISO27001:2013) entlanggearbeitet. Diese schlägt ein Schritt-für Schritt-Vorgehen mit einer großen Anzahl von Listen vor (also z.B. Excel), weil das immer funktioniert, egal wie groß die Organisation ist. (Liste aller Assets, Liste aller Bedrohungen, Liste aller Schwachstellen, Liste der Szenarien als Kombination, Liste der Auswirkung/Business Impact, Liste der Risiken usw.). Das hat im verinice dann so ausgesehen:

Ich habe ein Szenario namens "Diebstahl - Verlust". Das Szenario hat verinice-Verknüpfungen zu
* "Wahrscheinlichkeit modifiziert" zu A.11.2.8 (aus den Controls, also den 114 ISO27001-Anforderungen, die Liste habe ich selbst erstellt)
* "relevante Bedrohung" zur Bedrohung "Diebstahl von Equipment" (die Bedrohungsliste habe ich aus den Vorschlägen der ISO27005 selbst erstellt, da ginge z.B. auch die Gefahrenliste des BSI aus dem Grundschutz)
* "relevante Schwachstelle" zur Schwachstelle "Ungeschützter Datenspeicher" (die Schwachstellenliste habe ich auch aus den Vorschlägen der ISO27005 selbst erstellt)
* "beeinflusst" das Asset "Laptops" (aus der Asset-Liste verbunden)
* "geschehen als" zum Incident "Beispiel eines Diebstahls"

Man kann also an das Szenario alles Notwendige per Drag&Drop dranhängen: Asset, Bedrohung, Schwachstelle, das passende ISO27001-Control und auch Incidents, bei denen das Szenario konkret eingetreten ist. Und das wiederholt man dann für die anderen Szenarien (oder hängt an das bestehende Szenario mehr Assets dran, wenn es passt - dann braucht man weniger Szenarien)- und durch entsprechende selbstgebaute Reports bekommt man dann passende Listen, nach denen man sehen kann, wo man steht (sind alle Anforderungen abgedeckt; welche Assets haben welche Szenarien; welche Schwachstellen sind bei welchen Assets vorhanden (über die gemeinsame Szenario-Verlinkung) usw.)

Ich muss aber dazu sagen, dass ich durch die Größe meiner Organisation (> 500 Personen, > 1000 Rechner, ...) momentan nur mit Excel-Listen außerhalb arbeite, weil ich da mehr automatisieren/aus externen Quellen importieren/mit Makros versehen kann und die Nachpflege in verinice zu aufwendig scheint. Wie man aus den Kommentaren oben schon gesehen hat, bin ich ein Fan davon, alles selbst unter Kontrolle zu haben, damit ich es passend zu meiner Organisation machen kann, daher habe ich auch die meisten Listen extern erstellt und dann in verinice importiert. Hier gibt es auch irgendwo einen Artikel mit einem Link dazu, wie das geht. Ich schreibe es der Einfachheit halber hier rein, wie die drei ASCII-Text-Dateien zum Import der jeweiligen Liste aussehen müssen. Die Ziffern 0,1,2 mitten in der Zeile sagen verinice, ob es sich um ein Control, einen Threat oder eine Vulnerability handelt. Die Benennung mit T.5.5 und V.1.8 habe ich mir ausgedacht - passend zum in der Norm vorgegebenen Schema A.5.1.1 für Anforderungen.

Der Katalog der Anforderungen (Controls) hat folgendes Format pro Zeile:
5.1.1,"A.5.1.1 Informationssicherheitsrichtlinien",0,"Ein Satz Informationssicherheitsrichtlinien ist festgelegt..."

Der Katalog der Bedrohungen (Threats) hat folgendes Format pro Zeile:
5.5,"T.5.5 Theft of equipment",1,""

Der Katalog der Schwachstellen (Vulnerabilities) hat folgendes Format pro Zeile:
1.8,"V.1.8 Unprotected storage",2,""



[Dieser Beitrag wurde 4mal bearbeitet, zuletzt am 29.10.2018 um 14:47.]



English languageDeutsche SpracheLingua italiana
© SerNet GmbH, 2018