Die Schwachstellen eines Informationssystems zu kennen, ist notwendig, aber nicht ausreichend. Um sich wirksam zu schützen, muss man über ein vollständiges Bild der Risikosituation verfügen: Schwachstellen, Maßnahmen, Bedrohungen, Auswirkungen. Diese vollständige Sicht wird durch die Methoden der Risikoanalyse und der Sicherheitsbewertung vermittelt. Die weltweite methodische Grundlage in diesem Bereich dreht sich um die ISO2700x-Normen: ISO27001, ISO27002 und ISO27005.
EGERIE wendet verschiedene standardisierte Methoden der Risikoanalyse an.
EGERIE unterstützt mit seiner Risk Manager-Lösung auch die Einführung eines ISO 27001-Ansatzes.
Die ISO27001-Norm beschreibt die Entwicklung eines ISMS (Informationssicherheits-Managementsystem) als Prozess, ähnlich wie die ISO 9001-Norm, die den Qualitätsprozess beschreibt. Sowohl ISO27001 als auch ISO9001 basieren auf dem klassischen Modell “Plan- Do- Check- Act” (PDCA). Dieses Modell erinnert daran, dass Sicherheit ein iterativer Prozess ist, der sukzessive die Vorbereitung und Planung des ISMS umfasst. Darüber hinaus spiegelt ISO27001 die Grundsätze der OECD-Richtlinien für die Sicherheit von Informationssystemen und -netzen wider. Die ISO27001-Zertifizierung stellt sicher, dass das ISMS den Sicherheitsbedürfnissen des Unternehmens entspricht. Diese Zertifizierung wird von einem akkreditierten Auditor durchgeführt. Der Auditor prüft anhand des ISMS, ob die Auswahl der Gegenmaßnahmen angemessen ist und als Ergebnis einer formalen Risikoanalyse dokumentiert wurde; er prüft auch, ob die Gegenmaßnahmen korrekt und vollständig umgesetzt wurden. Es ist Aufgabe des Prüfers, die Gültigkeit der Anwendung des Standards und die Angemessenheit der Gegenmaßnahmen zu beurteilen.
Die Norm ISO27005 beschreibt die Grundzüge eines Risikomanagements im Hinblick auf die Einführung eines Managementsystems für Informationssicherheit. Die Norm ISO27005, die in Übereinstimmung mit den Normen ISO27001 und ISO27002 erstellt wurde und das in ISO27000 definierte Vokabular übernimmt, ist die Referenznorm für die Durchführung einer Cyber-Risikoanalyse und die Einrichtung eines Risikomanagementprozesses auf der Grundlage eines Managementsystems, das auf der Logik der kontinuierlichen Verbesserung PDCA (Plan, Do, Check, Act) basiert:
Als Ergänzung zu ISO27005 bietet die Norm ISO27002 eine Reihe von “guten Praktiken” im Bereich der Sicherheit. Die guten Praktiken (“Business Best Practices”) ermöglichen es dem Unternehmen, effektiv und schnell auf alle Umstände zu reagieren, ohne dass die Sicherheitsprinzipien und technischen Lösungen ex nihilo neu erfunden werden müssen!
EBIOS Risk Manager ist die neue Methode zur Einschätzung und Behandlung digitaler Risiken, die von der französischen Behörde für Sicherheit und Informationssysteme (ANSSI) mit Unterstützung des EBIOS-Clubs veröffentlicht wurde.
Der EBIOS Risk Manager ermöglicht es, Risiken zu identifizieren, zu bewerten und Sicherheitsmaßnahmen zu bestimmen, um diese zu erreichen. Darüber hinaus ermöglicht sie es, das akzeptierte Risikoniveau zu validieren und sich längerfristig in einen Prozess der kontinuierlichen Verbesserung einzuschreiben. Schließlich liefert sie die notwendigen Elemente für die Kommunikation und die Entscheidungsfindung innerhalb der Organisation und gegenüber ihren Partnern.
Die Software EGERIE Risk Manager ist mit allen Versionen der EBIOS-Methode kompatibel (V2, 2010 und die zukünftige Version, die sich in der Entwicklungsphase befindet). Die EBIOS-Methode (Expression des Besoins et Identification des Objectifs de Sécurité) ermöglicht es, die Risiken im Zusammenhang mit der Sicherheit von Informationssystemen (ISS) zu bewerten und zu behandeln. Sie ermöglicht auch die Kommunikation über diese Ziele innerhalb der Organisation und gegenüber ihren Partnern, um zum SSI-Risikomanagementprozess beizutragen. Die EBIOS-Methode wurde 1995 von der ANSSI entwickelt und regelmäßig aktualisiert. Sie kann auf eine 15-jährige Erfahrung im Bereich des Risikomanagements zurückblicken.
MEHARI, das vom CLUSIF vorgeschlagen wurde, ist eine Methode zur Risikoanalyse, die sowohl organisatorische als auch technische Aspekte der IT-Sicherheit berücksichtigt. MEHARI ermöglicht die Durchführung eines Sicherheitsaudits, das zu einer Bewertung der Risikoniveaus in einer Reihe von Bereichen führt: allgemeine Organisation, physische Sicherheit, logische Sicherheit, Anwendungssicherheit etc. Diese Bewertung ermöglicht dann die Auswahl von Sicherheitsmaßnahmen, die die Lücken optimal schließen, d. h. die Risikoniveaus in den verschiedenen Bereichen auf ein einheitliches und akzeptables Niveau angleichen.
CRAMM ist eine von der britischen Regierung vorgeschriebene Methode des Risikomanagements. Sie ist schwerfällig und umfassend (über 3000 Kontrollpunkte) und daher wiederum nur für große Unternehmen geeignet (weltweit gibt es 550 Kunden). Als Folge der Erstellung der BS7799-2 Version 2002 hat die Firma Siemens (ehemals Insight Consulting) eine neue Version (CRAMM Version 5) erstellt, die ebenfalls auf die BS7799-Zertifizierung abzielt.
EGERIE ermöglicht es der Industrie und den Verteidigungsbehörden, die für die Sicherheitszulassungsprozesse notwendigen und unverzichtbaren Dokumente zu erstellen.
Die Richtlinie Network and Information System Security (NIS) zielt darauf ab, ein hohes und gemeinsames Sicherheitsniveau für die Netze und Informationssysteme der Europäischen Union zu gewährleisten. Sie wurde am 6. Juli 2016 verabschiedet. Die (NIS) zielt auf den Aufbau einer effektiven europäischen Zusammenarbeit und den Schutz kritischer wirtschaftlicher und gesellschaftlicher Aktivitäten ab, um gemeinsam den Risiken von Cyberangriffen zu begegnen.
Die Allgemeine Datenschutzverordnung (GDPR) ist ein europäisches Regelwerk, das die Verarbeitung von Daten in der gesamten Europäischen Union gleichberechtigt einrahmt. Sie ist am 25. Mai 2018 in Kraft getreten. Die DSGVO knüpft an das französische Datenschutzgesetz aus dem Jahr 1978 an, das Regeln für die Erhebung und Nutzung von Daten auf französischem Hoheitsgebiet festlegt. Sie wurde um drei Ziele herum konzipiert:
