Der globale Kompetenz- und Kompetenzrahmen für eine digitale Welt

Schwachstellenbewertung VUAS

Das Identifizieren und Klassifizieren von Sicherheitsrisiken in Netzwerken, Systemen und Anwendungen sowie die Minderung oder Eliminierung ihrer Auswirkungen.

Leitfaden

Zu den Aktivitäten gehören unter anderem:

  • Das Katalogisieren und Klassifizieren von Informations- und Technologieressourcen (Assets und Fähigkeiten) zur Unterstützung der Schwachstellenbewertung
  • Das Zuweisen eines quantifizierbaren Werts, einer Reihung und einer Wichtigkeit zu Informations- und Technologieressourcen
  • Das Identifizieren und Analysieren der Schwachstellen jeder Ressource – manuell oder anhand von automatisierten Tools und Informationsquellen
  • Das Priorisieren, Bewerten und Reihen der Risiken im Zusammenhang mit Schwachstellen
  • Das Bewerten der Auswirkungen auf das Unternehmen
  • Das Mindern oder Eliminieren der Schwachstellen

Zu den Tools für die Schwachstellenbewertung gehören Webanwendungsscanner, Protokollscanner und Netzwerkscanner.

Ebenen der Verantwortung für diese Fähigkeit

2 3 4 5

Schwachstellenbewertung: Ebene 1

Diese Fähigkeit wird auf dieser Ebene der Verantwortung und Rechenschaftspflicht normalerweise nicht beobachtet oder praktiziert.

Schwachstellenbewertung: Ebene 2

Führt routinemäßige Schwachstellenbewertungen geringer Komplexität anhand von automatisierten und halbautomatisierten Tools durch. Eskaliert bei Bedarf Probleme. Trägt zur Dokumentation des Umfangs und zur Beurteilung der Ergebnisse von Schwachstellenbewertungen bei.

Schwachstellenbewertung: Ebene 3

Befolgt Standardansätze zur Durchführung von grundlegenden Schwachstellenbewertungen für kleine Informationssysteme. Unterstützt das Erstellen von Katalogen für Informations- und Technologieassets für die Schwachstellenbewertung.

Schwachstellenbewertung: Ebene 4

Bündelt und analysiert Kataloge für Informations- und Technologieassets für die Schwachstellenbewertung. Führt Schwachstellenbewertungen und Analysen der Auswirkungen auf das Unternehmen für Informationssysteme mittlerer Komplexität durch. Trägt zur Auswahl und Bereitstellung von Tools und Techniken für die Schwachstellenbewertung bei.

Schwachstellenbewertung: Ebene 5

Plant und verwaltet Aktivitäten zur Schwachstellenbewertung im Unternehmen. Bewertet, wählt und überprüft Werkzeuge und Techniken zur Schwachstellenbewertung. Bietet fachliche Beratung und Anleitung, um die Einführung vereinbarter Ansätze zu unterstützen. Beschafft Informationen über Schwachstellen und führt Sicherheitsrisikobewertungen, Analysen der Auswirkungen auf das Geschäft und Akkreditierungen für komplexe Informationssysteme durch.

Schwachstellenbewertung: Ebenen 6-7

Diese Fähigkeit wird auf diesen Ebenen der Verantwortung und Rechenschaftspflicht normalerweise nicht beobachtet oder praktiziert.