Worum geht es bei ISO 27005?
Der genaue Titel von ISO 27005, wie er auf der ISO-Webseite ist „Informationstechnologie — Sicherheitstechniken — Risikomanagement für die Informationssicherheit“. Daher hilft dieser Standard Unternehmen bei der Bewältigung von Risiken im Zusammenhang mit Informationssicherheit.
ISO 27005, eine Definition
Wie der Name schon sagt, ist ISO/IEC 27005 eine internationale Norm, die von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wird. Genauer gesagt unterstützt es die Informationssicherheit auf der Grundlage eines Risikomanagementansatzes. Im Gegensatz zu Methoden wie dem NIST-Cybersicherheitsframework, diese Norm ist zertifizierungspflichtig.
ISO 27005 basiert ebenfalls auf den Richtlinien von ISO/IEC 27001 und ISO/IEC 27002. Ursprünglich im Juni 2008 unter dem Akronym ISO/IEC 27005:2008 veröffentlicht, wurde es 2011 und erneut 2018 neu aufgelegt. Unser Artikel wird sich auf diese neueste Version beziehen.
Hier finden Sie eine Zusammenfassung der in ISO 27005 enthaltenen Konzepte: In den Kapiteln sechs bis 12 wird ein Risikomanagementansatz für Informationssysteme entwickelt; Kapitel sieben befasst sich insbesondere mit Risikoanalyse, das nach wie vor das Rückgrat einer angemessenen Cybersicherheitsstrategie ist; Kapitel acht konzentriert sich auf die Risikobewertung, und in den Kapiteln neun bis 12 wird detailliert beschrieben, wie eine Strategie zur Risikobehandlung umgesetzt und wie sie weiterverfolgt werden kann.
Wer ist der beabsichtigte Anwender dieser ISO-Norm?
Die Internationale Organisation für Normung empfiehlt den ISO 27005-Standard Unternehmen, aber auch öffentlichen Einrichtungen wie „Regierungsbehörden“ und NPOs (gemeinnützige Organisationen).
In der Praxis wird dieser Informationssicherheitsstandard verwendet, um die Vertraulichkeit der Daten sowie die Verfügbarkeit und Integrität der wichtigsten Informationsressourcen einer Organisation zu gewährleisten. Er ist für alle Strukturen konzipiert, die von Cyberrisiken und der kontinuierlichen Zunahme von Daten in ihren Diensten betroffen sind.
Was ist der genaue Zweck des ISO/IEC 27005-Standards?
Es soll die zufriedenstellende Umsetzung der Informationssicherheit auf der Grundlage eines Risikomanagementansatzes unterstützen. In der Regel ist eine Schulung der Mitarbeiter erforderlich, um ihnen zu helfen, die Fähigkeiten zur Durchführung effektiver Prozesse für das Risikomanagement im Bereich der Informationssicherheit zu entwickeln. Personen, die in ISO 27005 geschult sind, sind theoretisch in der Lage, Risiken zu identifizieren, zu analysieren, zu messen und zu behandeln.
Diese Norm soll Ihrem Unternehmen auch dabei helfen, ein ISMS (Information Security Management System) einzurichten. Ein ISMS beinhaltet die Festlegung von Cybersicherheitsprozessen und -richtlinien bei gleichzeitiger kontinuierlicher Verbesserung des Risikomanagements und die Berücksichtigung menschlicher und technischer Faktoren während des Prozesses.
Zu diesem Zweck folgt die Norm ISO 27005 einer Logik, die an die PDCA-Methode (Plan, Do, Check, Act) der kontinuierlichen Verbesserung erinnert:
- Planen: Identifizieren und bewerten Sie Cyberrisiken und denken Sie dann strategisch über entsprechende Maßnahmen zur Risikominderung nach;
- Tun: Haben diese Maßnahmen umgesetzt;
- Prüfen: Führen Sie eine Leistungsbeurteilung durch;
- Akte: Stellen Sie sicher, dass Ihre Risikobehandlungsstrategie überwacht und verbessert wird.
Was sind die ISO 27005-Schulungen?
Es gibt mehrere Zertifizierungskurse für ISO 27005-Schulungen:
- ISO 27005 Foundation, die den Zugang zur PECB Certified ISO/CEI 27005 Foundation-Zertifizierung ermöglicht;
- ISO 27005-zertifizierter Risikomanager mit EBIOS. Diese Schulung befasst sich mit dem Risikomanagement aus der Sicht der EBIOS-Methode und gipfelt in zwei Prüfungen: PECB Certified ISO/CEI 27005 Risk Manager und PECB Certified EBIOS;
- ISO 27005-zertifizierter Risikomanager bei MEHARI, „harmonisierte Risikoanalysemethode“, entwickelt von der CLUSIF in Frankreich;
- ISO 27005-Risikomanager der ANSSI (Französische Nationale Agentur für die Sicherheit von Informationssystemen).
Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.
Unsere FAIR-zertifizierten Experten helfen Ihnen dabei, Ihre IT-Sicherheitsinvestitionen zu priorisieren, die Unternehmensführung zu verbessern und die Cyber-Resilienz Ihres Unternehmens zu erhöhen.
Wie funktioniert ISO 27005?
Diese internationale Norm umfasst mehr als 20 Seiten mit Ansätzen für das Risikomanagement der Informationssicherheit. Im Großen und Ganzen unterstützt das Dokument jedoch die allgemeinen Konzepte der Methodik in vier Hauptschritten:
1/Kontextualisierung des Risikomanagements
Die Kontextualisierung der Risikoanalyse besteht darin, zu bestimmen, wo Risikomanagement beginnt und wo es endet. Dies ist auch der richtige Zeitpunkt, um eine Reihe von Kriterien festzulegen:
- Bewertungskriterien helfen Ihnen dabei, die Vermögenswerte zu identifizieren, die von Cyberrisiken bedroht sind, und die Schwellenwerte, ab denen Risiken behandelt werden müssen;
- Die Wirkungskriterien entsprechen dem Mindestmaß an Folgen, bei dessen Überschreitung ein Risiko in Betracht gezogen werden muss;
- Risikoakzeptanzkriterien stellen einen Schwellenwert dar, unter dem das Risiko toleriert werden kann.
2/Risikobeurteilung
In diesem Schritt ermitteln Sie zunächst die gefährdeten Elemente: die gesamte Organisation, aber auch Informationssysteme, Dienste und Datengruppen. Als Nächstes müssen Sie die Bedrohungen und Sicherheitslücken ermitteln, die sich auf diese Elemente beziehen.
Danach verlangt ISO 27005, dass Sie diese Bedrohungen und ihr Auftreten mit den Sicherheitsanforderungen Ihrer Struktur abgleichen. Dieser gesamte Prozess sollte Ihnen helfen, die Prioritäten nach den Bewertungskriterien zu ordnen, die Sie in Schritt eins definiert haben.
Der ISO 27005-Standard hilft zwar bei der Identifizierung von Cybersicherheitslücken, sieht jedoch keine Risikobewertungsskala vor. Das für die Anwendung des Standards zuständige Team muss ein eigenes Bewertungssystem aufbauen. Dieses System kann sich auf qualitative oder quantitative Schätzmethoden stützen, wobei letztere auf messbaren Kosten basieren. In der Praxis führen Analysen aufgrund fehlender ISO-Normen in den meisten Fällen zu qualitativen Ergebnissen.
3/Strategie zur Risikobehandlung
In diesem Schritt muss Ihre Struktur IT-Sicherheitsziele festlegen und dabei die in Schritt zwei erzielten Ergebnisse berücksichtigen. Sobald diese Ziele festgelegt sind, können Sie Ihre Spezifikationen ausarbeiten, die Ihnen bei der Entwicklung von Maßnahmen zur Behandlung von Risiken helfen sollen.
In ISO 27005 bedeutet die Konzeptualisierung dieser Maßnahmen, ein Risiko mit seinen Behandlungskosten zu vergleichen. Dann ergeben sich vier Möglichkeiten:
- Ablehnung oder Vermeidung: Ihr Unternehmen hält das Cyberrisiko für zu ernst und erklärt, dass es um jeden Preis vermieden werden muss. Dann können Sie beschließen, die Aktivität, die dazu führen könnte, zu beenden;
- Übertragung: Ihre Struktur teilt das Risiko mit einem Dritten — einem Unterauftragnehmer für Versicherungen oder Cybersicherheit —, der in der Lage ist, sie zumindest finanziell vor dem Risiko zu schützen;
- Minderung: Sie entwerfen Maßnahmen zur Minderung der Auswirkungen oder der Eintrittswahrscheinlichkeit eines Risikos, um es erträglicher zu machen;
- Naturschutz: Das Risiko wird als tragbar angesehen und stellt keine ausreichende Bedrohung dar. Ihr Bauwerk entscheidet sich, sich nicht damit zu befassen.
Jede Option beinhaltet ein Restrisiko, das systematisch bewertet werden muss.
4/„Risikoakzeptanz“
Die Risikobehandlungsstrategie und die Restrisiken müssen eine „Akzeptanzphase“ durchlaufen, was in der Praxis bedeutet, dass der gesamte Behandlungsplan von der Geschäftsleitung grünes Licht gegeben werden muss. In diesem Schritt stellen Abteilungsleiter möglicherweise die Kosten in Frage, die sie für zu hoch halten, oder erwägen, bestimmte Risiken in Kauf zu nehmen. Diese Ausnahmen sollten begründet werden.
Die ISO 27005-Methodik endet hier theoretisch, Sie sollten jedoch bedenken, dass die gesamte Arbeit, die Ihr Unternehmen zu ihrer Implementierung geleistet hat, als Teil eines Überwachungs- und Überprüfungsverfahrens verwendet werden kann. Es bietet eine Historie der Risiken, die Sie identifiziert haben, der Szenarien, die Sie sich vorgestellt haben, Risikoanalyse die Sie durchgeführt haben und die Behandlungsstrategien, die Sie festgelegt haben. Natürlich sollte diese Methode wiederholt werden, falls sich Bedrohungen und Sicherheitslücken entwickeln sollten. Diese Arbeit kann auch als Unterstützung für die Kommunikation mit Ihren Stakeholdern dienen.
ISO 27005: Vor- und Nachteile
Dieser Standard für Cyberrisikomanagement bietet mehrere Vorteile. Einer der bemerkenswertesten ist seine Anpassungsfähigkeit an verschiedene Arten von Strukturen. Es fehlt ihm jedoch eine präskriptive Dimension in Bezug auf die Kriterien der Risikoanalyse.
Vorteile der Risikomanagementmethode nach ISO 27005
Ihr Unternehmen kann auf vielfältige Weise von der Norm ISO/CEI 27005 profitieren:
- diese Methode kann alleine verwendet werden;
- Ihre Teams entwickeln die erforderlichen Fähigkeiten für ein strukturiertes Cyberrisikomanagement;
- Schwächen und verschiedene Bedrohungen für Ihr Unternehmen werden erkannt;
- Ihr Unternehmen wird allmählich von einem belastbaren ISMS profitieren;
- die Methode kann an alle Strukturen angepasst werden, auch an Organisationen, die sich ständig an eine sich ständig verändernde Landschaft anpassen;
- Das Vertrauen Ihrer Stakeholder wird gestärkt.
Nachteile von ISO 27005
Der Hauptnachteil von ISO 27005 bleibt das Fehlen eines präskriptiven Aspekts. Wenn es darum geht, den Umfang des Risikomanagements festzulegen, muss die Organisation alles eigenständig tun, unabhängig davon, ob es sich dabei um den Anwendungsbereich des ISMS oder sogar um die Risikokriterien handelt. Dieser Ansatz eignet sich daher nur für Strukturen, die erhebliche interne Ressourcen in die Entwicklung ihrer eigenen Methodik investieren möchten.
In Bezug auf den Schritt der Kontextualisierung des Risikomanagements und insbesondere in Bezug auf die Festlegung von Risikobewertungskriterien schlägt die ISO vor, dass Sie sich für quantitative Kriterien entscheiden. Ein quantitativer Ansatz ist der eigentliche Zweck einer Methode wie FAIR™ Analysis (Faktorenanalyse des Informationsrisikos).
Dieser Risikoanalysestandard basiert auf statistischen und mathematischen Bewertungsmethoden zur Bewertung und Rangfolge von Risiken und berücksichtigt die finanziellen Konsequenzen. Er stellt eine deutliche Verbesserung gegenüber den subjektiven Näherungswerten qualitativer Risikobewertungsmethoden dar. Es vereinfacht die Entscheidungsfindung und die Umsetzung einer objektiveren Strategie, die in direktem Zusammenhang mit der Realität der Risiken steht, denen Ihre Struktur ausgesetzt ist.
HÄUFIG GESTELLTE FRAGEN: ISO 27005
Was ist ISO 27005?
ISO 27005 ist ein internationaler Standard für Informationssicherheit, der eine Methode und bewährte Verfahren für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) bereitstellt. Es wurde entwickelt, um Ihre Struktur vor Cyberbedrohungen zu schützen und den Verlust oder die Beschädigung sensibler Daten zu verhindern.
Wofür wird ISO 27005 verwendet?
ISO 27005 hilft Unternehmen, ihre Informationssysteme zu schützen, um zu verhindern, dass wichtige Daten beschädigt, gelöscht oder gestohlen werden.
Gibt es Voraussetzungen für die Verwendung von ISO 27005?
Vielleicht möchten Sie eine Grundausbildung in Cybersicherheit absolvieren und überprüfen, was Sie über die ISO-27001-Konformität wissen.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.