Sicherheitsanalyse mit Risikoeinschätzung (Assessment)

Die eigentliche IT-Sicherheitsanalyse erfolgt in der Auswertungsphase. Während in der Erhebungsphase bereits die Integrität der Informationen sichergestellt wurde, kann sich die Auswertungsphase ganz auf die Analyse dieser Informationen konzentrieren. Ziel der Analyse ist es, evtl. vorhandene Schwachstellen und Defizite - aber auch vorhandene Stärken der Informationstechnik, zu identifizieren und zu bewerten.

Themenübersicht

Voraussetzungen für die Auswertungsphase

Voraussetzungen:

• Die Datenbasis mit den sicherheitsrelevanten Informationen wurde erstellt

• Die Daten wurden Qualitätssicherungsmassnahmen unterzogen (z.B. Nachfassaktionen, Stichproben vor Ort) um die Integrität zu gewährleisten.

Aktivitäten während der Auswertungsphase

Aktivitäten:

• SOLL-IST-Vergleich - Die in der Erhebungsphase verwendete Checkliste erlaubt es, einen direkten SOLL-/IST-Vergleich der vorhandenen ("gelebten") IT-Sicherheitspolitiken und IT-Sicherheitskonzepte mit einem Standard vorzunehmen. 

• Risikoanalyse - Die dabei festgestellten Abweichungen werden bzgl. vorhandener oder möglicher Risiken nach den durch das zugrundeliegende Verfahren festgelegten Regeln bewertet (Rating). Die Wiederholbarkeit und Vergleichbarkeit wird durch datenbankgestützte Werkzeuge sichergestellt. Der Analyst, der diese Werkzeuge einsetzt, sorgt dafür, dass alle relevanten Informationen berücksichtigt werden. 

• Qualifizierung textbasierter Informationen - Insbesondere können auch noch mündlich, schriftlich oder visuell mitgeteilte Informationen, die sich nicht in ein vorgegebenes Ja/Nein-Muster pressen lassen, qualifiziert werden. 

• Schwachstellenanalyse - Defizite mit hohen Risiken oder Gesichtspunkte mit vielen Mängeln sind Schwachstellen die im Schwachstellenkatalog ausgewiesen werden.

Ergebnisse in der Auswertungsphase

Die Analyseergebnisse werden dem Projektleiter des Kunden unmittelbar im Anschluss an die erste Auswertung in Form von Reports zeitnah zur internen Diskussion und weiteren Entscheidung zur Verfügung gestellt. Der Zustandsbericht besteht aus mehreren miteinander verbundenen Dokumenten (In elektronischer Form als Hypertext verlinkt) und enthält alle Analysen und Schlussfolgerungen (Schwachstellenkatalog) sowie eine Zusammenfassung für das Management. 

Von der Zusammenfassung kann zu den Detailinformationen verzweigt werden, um so den Ursachen für die Nicht-Einhaltung der geforderten IT-Sicherheitsziele auf den Grund zugehen. 

Standardmässig wird ein nach Risikoklassen sortierter Massnahmenkatalog erstellt. Dieser zeigt auf, was sofort getan werden kann, um die IT-Sicherheit zu erhöhen. 

Bereits durch einfache Massnahmen, die releativ wenig kosten, kann die IT-Sicherheit erfahrungsgemäß um bis zu 10% verbessert werden. Die Feststellung erfolgt erst in der optional zu beauftragenden Abgleichphase. Zuerst muss eine Priorisierung der Massnahmen erfolgen die dort vorgenommen wird.

Nebeneffekte

Wenn die IT-Sicherheitsanalyse zu einem späteren Zeitpunkt wiederholt wird, ist ein Periodenvergleich möglich. IT-Sicherheit wird dadurch messbar und vergleichbar. Veränderungen bei der IT-Sicherheit können nachgewiesen, die Ursachen präzisse festgestellt werden. Das IT-Sicherheitsmanagement besitzt dadurch ein wirksames Instrument zur Risikoplanung und -vorsorge.

Weitere Informationen

Projektphasen bei EISA-Projekten: A - Vorbereitungsphase (Workshop) B - Erhebungsphase (Interviews) C - Auswertungsphase (IT-Sicherheitsanalyse) D - Abgleichphase (Priorisierung der Massnahmen)

Für weitere Auskünfte oder für einen Termin zur Kontaktaufnahme schreiben Sie uns bitte ein Mail, welches wir zeitversetzt aber kurzfristig beantworten werden.