MEHARI - MEHARI

MEHARI ( ME Thod für H armonized A nalyse von RI sk) ist eine freie, Open-Source - Analyse Beurteilung Informationsrisiko und Risikomanagement - Methode, für den Einsatz von IT - Sicherheitsexperten.

Mit MEHARI können Unternehmensmanager, Fachleute für Informationssicherheit / Risikomanagement und andere Interessengruppen die Risiken des Unternehmens in Bezug auf Informationen, Informationssysteme und Informationsprozesse (nicht nur IT) bewerten und steuern. Es wurde entwickelt, um das Risikomanagement für Informationssicherheit gemäß ISO / IEC 27005 abzustimmen und zu unterstützen , insbesondere im Zusammenhang mit einem ISO / IEC 27001- konformen Informationssicherheits-Managementsystem (ISMS) oder einem ähnlichen übergreifenden Sicherheitsmanagement- oder Governance-Rahmen.

Geschichte

MEHARI hat sich seit Mitte der neunziger Jahre stetig weiterentwickelt, um Standards wie ISO / IEC 27001 , ISO / IEC 27002 , ISO / IEC 27005 und SP 800-30 von NIST zu unterstützen. Die aktuelle Version von MEHARI Expert (2010) enthält Links und Unterstützung für die ISMS-Revision ISO 27001/27002: 2013.

Beschreibung

MEHARI Expert (2010) kombiniert eine leistungsstarke und erweiterbare Wissensbasis mit einer flexiblen Suite von Tools, die die folgenden Aktivitäten zur Analyse und Verwaltung von Informationssicherheitsrisiken unterstützen:

• Bedrohungsanalyse: Top-Business-Manager beschreiben die Aktivitäten des Unternehmens, listen die potenziellen Probleme oder Bedenken auf, die sich negativ auf diese Aktivitäten auswirken könnten, und weisen den geschäftlichen Auswirkungen Werte zu.
• Die Geschäftsprozesse werden weiter analysiert, um die damit verbundenen organisatorischen, personellen und technischen Ressourcen zu identifizieren und abzubilden.
• Die Vermögenswerte werden nach drei klassischen Sicherheitskriterien (Vertraulichkeit, Integrität, Verfügbarkeit) sowie der Notwendigkeit der Einhaltung geltender Gesetze und Vorschriften (z. B. zum Schutz personenbezogener Daten oder der Umwelt) klassifiziert.
• Die intrinsische Wahrscheinlichkeit / Wahrscheinlichkeit repräsentativer Bedrohungsereignistypen wird berücksichtigt.
• Diese Elemente werden automatisch kombiniert, um die intrinsische Schwere von Risiken zu analysieren und zu bewerten (basierend auf 800 „Szenarien“ in der Wissensdatenbank), wobei die kritischsten und schwerwiegendsten gemäß den prognostizierten Geschäftsfolgen hervorgehoben werden.
• Mithilfe von Diagnosefragebögen können Benutzer die Fähigkeit ihrer vorhandenen Informationssicherheitsmaßnahmen / -kontrollen zur Risikominderung bewerten.
• Sicherheitsmaßnahmen (organisatorisch und technisch) werden zur Diskussion mit den relevanten Managern und Fachleuten in Services zusammengefasst.
• Der aktuelle Schweregrad jedes Risikoszenarios wird unter Berücksichtigung der Wirksamkeit bestehender Sicherheitsmaßnahmen angezeigt, gibt einen Hinweis auf die aktuelle Risikolandschaft für Informationssicherheit und schlägt die Priorisierung von Abhilfemaßnahmen vor.
• Aktionspläne und Sicherheitsprojekte können ausgewählt werden, um die Risiken zu steuern, basierend auf der erwarteten Wirksamkeit zusätzlicher Sicherheitsmaßnahmen und den Zeitplänen für deren Umsetzung. Die vorstehende Analyse ermöglicht es dem Management, die geschäftlichen Vorteile einer angemessenen Investition in die Informationssicherheit einzuschätzen und damit zu rechtfertigen: Der gesamte Prozess ist geschäftsorientiert.

Die umfassende Wissensdatenbank von MEHARI Expert (2010), die mit Excel erstellt wurde, ist sowohl in Englisch als auch in Französisch als interaktives Tool oder genauer gesagt als Suite von Tools verfügbar, die einzeln verwendet werden können, aber als zusammenhängende Suite konzipiert sind. Im weiteren Verlauf des Prozesses wird die Wissensdatenbank automatisch um die erhaltenen Informationen erweitert und liefert Eingaben für nachfolgende Schritte. Eine konsistente Analyse der Risiken und Kontrollen ermöglicht es großen, unterschiedlichen Organisationen, Betriebseinheiten auf einer gleichmäßigen Grundlage zu vergleichen und gegenüberzustellen.

Zusätzliche Anwendungen und Tools, die auf denselben Prinzipien basieren, können unter der Creative Commons-Lizenz entwickelt werden.

Siehe auch

• Angriff (Computer)
• Computersicherheit
• Informationssicherheit
• Managementsystem für Informationssicherheit
• IT-Risiko
• Methodik
• Bedrohung (Computer)
• Sicherheitslücke (Computing)

Verweise

• Startseite
• für MEHARI Tool herunterladen
• Führer

Externe Links

• ENISA-Informationen zu MEHARI