BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(52 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
: Abb_7_04_Schritt_1.png (Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen
: Abb_7_04_Schritt_1.png (Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen
-->
-->
; Erste Schritt einer Risikoanalyse
Erster Schritt einer Risikoanalyse
Risiken identifizieren
* Risiken identifizieren, denen ein [[Zielobjekt]] ausgesetzt ist
: denen ein [[Zielobjekt]] ausgesetzt ist.


; Hierfür ist zu beschreiben
; Beschreibung
* Welchen Gefährdungen das Objekt oder der Sachverhalt unterliegt
* Welchen Gefährdungen das Objekt unterliegt
* Gemäß -Standard 200-3 verwenden Sie hierfür die '''elementaren Gefährdungen als Ausgangspunkt'''
* Anhand der '''elementaren Gefährdungen als Ausgangspunkt'''


; Hierbei sind zwei Fälle zu unterscheiden
=== Grundschutz Bausteine ===
* '''Es''' '''gibt''' '''für ein''' '''Zielobjekt (noch) keinen passenden Baustein.'''In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind.
; Abdeckung mit Grundschutz Bausteine
* '''Es gibt einen passenden Baustein für das Zielobjekt.'''In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird.
{| class="wikitable options"
* Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können.
|-
! Abdeckung !! Beschreibung
|-
| Ausreichend || Alle Aspekte des Zielobjektes können vollständig mit [[IT-Grundschutz-Baustein]]en modelliert werden
* Risikoanalysen für normalen Schutzbedarf in den Bausteinen enthalten
* In den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
|-
| Unzureichend || Keine ausreichende Abdeckung durch [[IT-Grundschutz-Baustein]]e
* Vollständige Liste der elementaren Gefährdungen prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind
|}


; Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung.
=== Relevanz einer Gefährdung ===
* Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt.
Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen
* Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf.


===== Beispiel =====
; Einwirkungen
; Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant: SYS.1.1 ''Allgemeiner Server'', SYS.1.3 ''Server unter Unix'' und SYS.1.5 ''Virtualisierung''.
{| class="wikitable options"
| direkt || unmittelbar
|-
| indirekt || über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend
|}
 
; Aufgabe
Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
* Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen
 
=== Erstellung einer Gefährdungsübersicht ===
=== Zusätzliche Gefährdungen ===
Ermittlung zusätzlicher Gefährdungen
[[BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen]]


Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen:
==== Beispiel ====
; Relevante [[IT-Grundschutz-Baustein]]e für ''Virtualisierungsserver S007''
* SYS.1.1 ''Allgemeiner Server''
* SYS.1.3 ''Server unter Unix''
* SYS.1.5 ''Virtualisierung''


{| class="wikitable sortable options"
; Referenzierten elementaren Gefährdungen
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen
{| class="wikitable options"
|-
|-
! Gefährdung !! Beschreibung
! Gefährdung !! Beschreibung
|-
|-
|-
| G 0.14 || Ausspähen von Informationen (Spionage)
| G 0.14 || Ausspähen von Informationen (Spionage)
Zeile 64: Zeile 89:
| G 0.46 || Integritätsverlust schützenswerter Informationen
| G 0.46 || Integritätsverlust schützenswerter Informationen
|}
|}
=== Erstellung einer Gefährdungsübersicht ===
[[BSI/200-3/Elementaren Gefährdungen]]
=== Ermittlung zusätzlicher Gefährdungen ===
[[BSI/200-3/Gefährdungsübersicht/Zusätzliche Gefährdungen]]
=== Risikoanalyse-Meeting ===
[[Risikoanalyse-Meeting]]


<noinclude>
<noinclude>


=== Anhang ===
== Anhang ==
==== Siehe auch ====
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
===== Links =====
==== Links ====
====== Weblinks ======
===== Weblinks =====
 
[[Kategorie:BSI/200-3]]
[[Kategorie:BSI/Standard/200-3]]
 
 
[[Kategorie:BSI/Standard/200-3]]


</noinclude>
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 13:36 Uhr

Beschreibung

Erster Schritt einer Risikoanalyse

  • Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist
Beschreibung
  • Welchen Gefährdungen das Objekt unterliegt
  • Anhand der elementaren Gefährdungen als Ausgangspunkt

Grundschutz Bausteine

Abdeckung mit Grundschutz Bausteine
Abdeckung Beschreibung
Ausreichend Alle Aspekte des Zielobjektes können vollständig mit IT-Grundschutz-Bausteinen modelliert werden
  • Risikoanalysen für normalen Schutzbedarf in den Bausteinen enthalten
  • In den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
Unzureichend Keine ausreichende Abdeckung durch IT-Grundschutz-Bausteine
  • Vollständige Liste der elementaren Gefährdungen prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind

Relevanz einer Gefährdung

Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen

Einwirkungen
direkt unmittelbar
indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend
Aufgabe

Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können

  • Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen

Erstellung einer Gefährdungsübersicht

Zusätzliche Gefährdungen

Ermittlung zusätzlicher Gefährdungen BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen

Beispiel

Relevante IT-Grundschutz-Bausteine für Virtualisierungsserver S007
  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix
  • SYS.1.5 Virtualisierung
Referenzierten elementaren Gefährdungen

Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen

Gefährdung Beschreibung
G 0.14 Ausspähen von Informationen (Spionage)
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.21 Manipulation von Hard- oder Software
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.26 Fehlfunktion von Geräten oder Systemen
G 0.28 Software-Schwachstellen oder -Fehler
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
G 0.32 Missbrauch von Berechtigungen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.45 Datenverlust
G 0.46 Integritätsverlust schützenswerter Informationen


Anhang

Siehe auch

Links

Weblinks


Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-3/Gefährdungsübersicht&oldid=113212