Risikobewertungsrahmen (raf)

Definition - Was bedeutet Risk Assessment Framework (RAF)?

Ein Risikobewertungsrahmen (RAF) ist ein Ansatz zur Priorisierung und Weitergabe von Informationen über die Sicherheitsrisiken, die für eine Organisation der Informationstechnologie bestehen. Die Informationen sollten so dargestellt werden, dass sowohl nichttechnisches als auch technisches Personal in der Gruppe sie verstehen kann. Die Sicht auf die RAF bietet Organisationen Unterstützung bei der Identifizierung und Lokalisierung von Bereichen mit geringem und hohem Risiko im System, die möglicherweise missbraucht oder angegriffen werden können.

Technische.me erklärt das Risk Assessment Framework (RAF)

Die von RAFs bereitgestellten Daten sind nützlich, um potenziellen Bedrohungen zu begegnen und Kosten und Budgets zu planen. Viele RAFs sind in mehreren Branchen bereits als Standards anerkannt. Einige Beispiele sind die Bewertung der betriebskritischen Bedrohung, des Vermögens und der Sicherheitsanfälligkeit (OCTAVE) des Computer Emergency Readiness Teams, die Kontrollziele für Information und verwandte Technologien (COBIT) der Information Systems Audit and Control Association und der Risikomanagement-Leitfaden für Informationstechnologiesysteme vom National Institute of Standards.

Wie bei anderen Frameworks gibt es Richtlinien zum Erstellen von RAFs, die befolgt werden müssen:

  • Inventarisierung und Kategorisierung: Gruppieren Sie die internen oder externen Informationssysteme in Kategorien und differenzieren Sie deren Prozesse.
  • Mögliche Risiken identifizieren: Suchen Sie nach Bedrohungen, Schwachstellen und Risiken, denen das System möglicherweise ausgesetzt ist. Natürliche Ereignisse wie Katastrophen oder Stromausfälle sollten zusätzlich zu Malware-Angriffen berücksichtigt werden.
  • Implementieren und bewerten: Implementieren Sie basierend auf der Diskussion potenzieller Risiken entsprechende Sicherheitskontrollen für die Datensicherheit. Bewertung und Dokumentation der Ergebnisse zur Funktionsweise der Kontrollen und zur Risikominderung.
  • Autorisieren und Überwachen: Autorisieren Sie den Betrieb des Systems, indem Sie das Verfahren, das Risiko für organisatorische Vorgänge und Vermögenswerte, individuelle Stärken und Schwächen sowie andere Faktoren bestimmen, die zum Wohl des Vorgangs beitragen. Die Überwachung der Sicherheitskontrollen ist ein fortlaufender Prozess, der die Bewertung der Wirksamkeit der Sicherheitskontrollen, die Dokumentation der Änderungen, die Implementierung der diskutierten Lösungen und die Präsentation des Systemzustands gegenüber dem entsprechenden Organisationspersonal umfasst.