Ctrlk

2. Bewerten

Erfahren Sie, wie Sie Risiken in Dastra bewerten.

Auf Grundlage der Elemente, die Sie im Risikotyp identifiziert haben, und des Kontexts des Assets müssen Sie nun das Risiko bewerten.

Diese Bewertung erfolgt in Bezug auf Wahrscheinlichkeit und Auswirkung.

Bestimmung der Risikoskala

Um Risiken zu bewerten, ist es notwendig, diese beiden Werte auf einer Skala zu positionieren. Das ist die Risikoskala. Diese Skala basiert in der Regel auf 5 Stufen. In Frankreich sieht die Methode Ebios (die insbesondere von der CNIL und der ANSSI vorangetrieben wird) eine Skala mit 4 Stufen vor.

Für jede Stufe müssen Anwendungsbedingungen festgelegt werden. Die Skala kann beispielsweise einem finanziellen Betrag entsprechen (in Bezug auf die Auswirkung).

Die Skala von Dastra ist anpassbar. Sie können sie in den Einstellungen des Mandanten ändern (Achtung, nur der Administrator hat Zugriff darauf).

Ein Modell einer Risikoskala

Wahrscheinlichkeit (Plausibilität)

Die Wahrscheinlichkeit entspricht der Bewertung der Häufigkeit des Eintretens eines Risikos. Es handelt sich um einen empirisch bewerteten Score (traditionell auf einer Skala von 5). Jede Risikostufe kann einer Häufigkeit des Risikoauftretens (und damit der Verwirklichung der Bedrohung) entsprechen.

Auswirkung (Schwere)

Die Auswirkung entspricht der Bewertung der Folgen eines befürchteten Ereignisses auf das Unternehmen. Es wird die Schwere dieser Folge geschätzt.

Je nach dem bewerteten Risiko kann diese Auswirkung variieren. Diese Bewertung kann empirisch geschätzt werden. Zum Beispiel durch die Schätzung der Kosten eines Datenlecks oder einer Nichtverfügbarkeit der Daten infolge eines Cyberangriffs. Das Ereignisprotokoll kann helfen, diese vergangenen Erfahrungen zu konkretisieren.

Wenn es sich um Risiken für Personen handelt (im Rahmen der DSGVO zum Beispiel), entspricht die Auswirkung dem Schaden, der den betroffenen Personen zugefügt wird, und der Beeinträchtigung ihrer Rechte und Freiheiten. Bereits erwähnt wurden Diskriminierung, Vertragsablehnung, Unannehmlichkeiten.

Die von der CNIL erstellte Tabelle, die in diesem Artikel zugänglich ist, zur Bewertung der Auswirkungen auf betroffene Personen kann bei dieser Bewertung helfen.

Zuletzt aktualisiert

War das hilfreich?