Zusammenfassung
Das Risk Management besteht aus verschiedenen Aktivitäten und Arbeitsabläufen (vgl. Kap. 2.1, 2.5 und 4.2), bei denen der Risk Manager auf bestehende Konzepte und bewährte Verfahren zur Risikobewältigung aufbauen kann. Das folgende Kapitel stellt eine Orientierungshilfe dar und soll zeigen, welche Werkzeuge und Bewertungshilfen zur Verfügung stehen und welche Funktionen sie erfüllen.
This is a preview of subscription content, log in via an institution to check access.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Preview
Unable to display preview. Download preview PDF.
Literatur
z.B. von NCSC (National Computer Security Center) in den USA, CSSC (Canadian Systems Security Centre) in Kanada oder von der ZSI (Zentralstelle für Sicherheit in der Informationstechnik) in Deutschland.
Das Klassifikationsschema amerikanischer öffentlicher Stellen sieht eine Einteilung in «Unclassified», «Restricted», «Confidential», «Secret» und «Top Secret» vor.
Diese Veröffentlichung ist vor allem für Hard- und Softwarehersteller gedacht, die beabsichtigen, ihre Produkte den Erfordernissen des «Orange Books» anzupassen.
Z. B. ist das National Computer Security Center (NCSC) zuständig für die Bewertung nach dem «Orange Book» und prüft nur Systeme amerkanischer Hersteller.
Das «Orange Book» adressiert primär Betriebssysteme. Durch eine starke Ausrichtung auf den militärischen Bereich und wegen der Definition der Sicherheitsrichtlinien nach den Axiomen des Bell-LaPadula Modells ist eine Anwendbarkeit z.B. auf Integritätsmodelle kaum möglich (vgl. «Need-to-know»-Prinzip, Kap. 4.2.1.2.3 Punkt 5).
Die Vergleichbarkeit zum «Orange Book» ist durch die explizite Angabe einer Abbildungsvorschrift gegeben.
z.B. ausfallsichere Prozessrechner, Verschlüsselungsgeräte etc.
Grundfunktionen sicherer Systeme sind Identifikation und Authentisierung, Rechteverwaltung, Rechteprüfung, Beweissicherung, Wiederaufbereitung, Fehlerüberbrückung, Gewährleistung der Funktionalität und Übertragungssicherung.
300 Jahre entsprechen 100.000 Tagen
30 Jahre entsprechen 10.000 Tagen
3 Jahre entsprechen 1.000 Tagen
Die bewusste Inkaufnahme eines Risikos ist günstiger als der Zustand des Nicht-Gewahrseins einer Risikosituation.
Die Aktualisierung gestaltet sich speziell im IT-Bereich schwierig, da die Entwicklung neuer Technologien besonders rasch abläuft, keine Erfahrungswerte vorliegen und statistische Methoden versagen müssen, da kein oder nicht ausreichendes Zahlenmaterial vorliegt.
Ein weiteres Beispiel für quantitative und qualitative Bewertungen ist LAVA (Los Alamos Vulnerability /Risk Assessment). Dieses System ist nicht auf den IT-Bereich beschränkt.
Einen Teil der Bewertung macht z.B. «Overall Security» aus, die insgesamt 12 Punktean-teile hat. Diese 12 Punkte setzen sich aus zwei Punkten für «General Organization», vier Punkten für «General Controls» und sechs Punkten für «Security Procedures and Audit» zusammen.
So wird z.B. unter «General Computer Security/General Environment» die ebenfalls sehr generelle Frage gestellt: „Was sufficient attention paid to the safety of the building construction (water, electricity, fire resistance) when the computer centre was set up?”
Assemblée Plénière des Sociétés d’Assurances contre l’Incendie et les Risques Divers
Club de la Sécurité Informatique Français
Eine Wissensbasis ist eine Datenstruktur, die Wissen über einen Ausschnitt der Realität repräsentiert.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 1991 B. G. Teubner Stuttgart
About this chapter
Cite this chapter
Strauß, C. (1991). Bestehende Konzepte zur Risikobewältigung im IT-Bereich. In: Informatik-Sicherheitsmanagement. Informatik und Unternehmensführung. Vieweg+Teubner Verlag, Wiesbaden. https://doi.org/10.1007/978-3-322-94696-6_3
Download citation
DOI: https://doi.org/10.1007/978-3-322-94696-6_3
Publisher Name: Vieweg+Teubner Verlag, Wiesbaden
Print ISBN: 978-3-519-02186-5
Online ISBN: 978-3-322-94696-6
eBook Packages: Springer Book Archive