Verinice/Schutzbedarfsfeststellung

Aus Foxwiki

topic - Kurzbeschreibung

Beschreibung

Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt
Weblinks

TMP

Schutzbedarfsfeststellung

Definition der Schutzbedarfskategorien

Die organisationsweiten und für alle Zielobjekte gültigen Schutzbedarfskategorien unkritisch, normal, hoch und sehr hoch werden im entsprechenden Informationsverbund (Wurzelobjekt) definiert. Klicken Sie dazu das Objekt Informationsverbund (Wurzelobjekt) doppelt an. Dabei wird der Objekt-Editor geöffnet und erlaubt so, Eingaben zu dem Objekt vorzunehmen. Scrollen Sie nach unten bis zu den Eingabebereichen für die Schutzbedarfskategorien. In jedem Bereich können Sie nun eine Freitext-Definition für die Anforderungen aus den Bereichen Gesetze/Vorschriften/Verträge, Selbstbestimmungsrecht, Unversehrtheit, Aufgabenerfüllung, Innen-/Außenwirkung und Finanzielle Auswirkungen eingeben.

Abbildung 12. Definition der Schutzbedarfskategorien

Vorgehen bei der Schutzbedarfsfeststellung

Innerhalb eines Informationsverbundes lässt sich der Schutzbedarf für alle relevanten Zielobjekte festlegen. Im BSI IT-Grundschutz sind dies Geschäftsprozesse/Fachaufgaben, Anwendungen, IT-Systeme, ICS-Systeme, Andere/IOT-Systeme, Kommunikationsverbindungen und Räume. Öffnen Sie dazu das jeweilige Zielobjekt durch doppelten Mausklick und scrollen Sie im Editor bis zum Abschnitt Schutzbedarf. Wählen Sie in den Drop-Down-Menüs den entsprechenden Schutzbedarf unkritisch, normal, hoch oder sehr hoch für die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit aus.

Abbildung 13. Feststellung des Schutzbedarfs

Ableiten des Schutzbedarfs

In verinice kann der Schutzbedarf ausgehend von Geschäftsprozessen/Fachaufgaben als oberster Ebene in der Ableitungshierarchie für die übrigen Zielobjekte getrennt nach Vertraulichkeit, Integrität und Verfügbarkeit automatisiert abgeleitet werden. Für den Objekttyp Geschäftsprozesse/Fachaufgaben ist die automatisierte Ableitung entsprechend standardmäßig deaktiviert, für die Zielobjekte Anwendungen, IT-Systeme, ICSSysteme, Andere/IOT-Systeme, Kommunikationsverbindungen und Räume hingegen standardmäßig aktiviert. Die automatisierte Ableitung des Schutzbedarfs folgt dabei immer dem Maximumprinzip über die gesamte Ableitungshierarchie, kann andererseits aber in jedem Zielobjekt manuell „überschrieben“ werden, indem die Checkbox … ableiten nach Maximumprinzip deaktiviert wird. In diesem Fall ist durch Auswahl in der Listbox … nach Verteilungs/Kumulationseffekt zu dokumentieren, ob Verteilungseffekt oder Kumulationseffekt zugrunde gelegt wurden.

Abbildung 14. Ableitung nach Maximumprinzip, Verteilung- oder Kumulationseffekt

Sollte die Anzeige für abgeleitete Schutzbedarfe nicht sofort das erwartete Ergebnis anzeigen, kann eine sofortige Aktualisierung über das Icon View neu laden [Shortcut: Strg + F5] erzwungen werden.

Zuordnung der Verantwortlichkeiten

Die Zuordnung der Umsetzung von Anforderungen bzw. Maßnahmen zu Verantwortlichkeiten setzt eine Modellierung nach BSI IT-Grundschutz nach 200-x inklusive der Anlage von Personen voraus. Um die Verantwortlichkeiten zuzuordnen erstellen Sie per Drag-and-Drop oder im Link-Maker-Bereich des Editors eine Verknüpfung (Verknüpfungstyp: Grundsätzlich zuständig <> grundsätzlich zuständig für und weitere Zuständigkeiten<>weitere Zuständigkeit oder Hauptverantwortlicher <> hauptverantwortlich für und Verantwortlicher <> verantwortlich für) zwischen einer Person und einem Zielobjekt.

Abbildung 15. Verantwortliche Person