BSI/200-3/Einleitung/Beispiele: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „==== Beispiele ==== ===== Beispiel 1 ===== ; RECPLAST GmbH Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können * Zu beachten ist, dass die Struktur der RECPLAST GmbH im Hinblick auf Informationssicherheit keineswegs optimal ist * Sie dient lediglich dazu, die Vorgehensweise bei der Durchführung von Risikoanalysen zu illustrieren ; Die RECPLAST GmbH ist eine fiktive Institution * ca. 500 Mitarbeitern * von denen…“ |
K Textersetzung - „BSI//“ durch „BSI/“ |
||
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
=== Beispiel 1 === | |||
; RECPLAST GmbH | ; RECPLAST GmbH | ||
Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können | Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können | ||
Zeile 6: | Zeile 5: | ||
* Sie dient lediglich dazu, die Vorgehensweise bei der Durchführung von Risikoanalysen zu illustrieren | * Sie dient lediglich dazu, die Vorgehensweise bei der Durchführung von Risikoanalysen zu illustrieren | ||
Die RECPLAST GmbH ist eine fiktive Institution | |||
* ca. 500 Mitarbeitern | * ca. 500 Mitarbeitern | ||
* von denen 130 an Bildschirmarbeitsplätzen arbeiten | * von denen 130 an Bildschirmarbeitsplätzen arbeiten | ||
: Lokationen | |||
Räumlich ist die RECPLAST GmbH aufgeteilt in zwei Standorte | |||
* Innerhalb Bonns, wo unter anderem die administrativen und produzierenden Aufgaben wahrgenommen werden, und drei Vertriebsstandorte in Deutschland. | * Innerhalb Bonns, wo unter anderem die administrativen und produzierenden Aufgaben wahrgenommen werden, und drei Vertriebsstandorte in Deutschland. | ||
; Das IT-Netz ist in mehrere Teilbereiche aufgeteilt | ; Netzwerk | ||
Das IT-Netz ist in mehrere Teilbereiche aufgeteilt | |||
Für die Beispiele in dieser Risikoanalyse wird das Teilnetz A (vergleiche Abbildung 2 in Kapitel 4) näher betrachtet. | Für die Beispiele in dieser Risikoanalyse wird das Teilnetz A (vergleiche Abbildung 2 in Kapitel 4) näher betrachtet. | ||
* Der Zugang zum Teilnetz A ist durch die Firewall N1 abgesichert. | * Der Zugang zum Teilnetz A ist durch die Firewall N1 abgesichert. | ||
* Die Server S1 (Virtualisierungsserver) und S5 werden durch einzelne Switches angebunden. | * Die Server S1 (Virtualisierungsserver) und S5 werden durch einzelne Switches angebunden. | ||
; Der Virtualisierungsserver S1 stellt verschiedene Dienste zur Verfügung, z. B. werden dort in virtuellen Maschinen File- und E-Mail-Server betrieben. | ; Virtualisierung | ||
Diese Anwendungen haben teilweise einen hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit. | Der Virtualisierungsserver S1 stellt verschiedene Dienste zur Verfügung, z. B. werden dort in virtuellen Maschinen File- und E-Mail-Server betrieben. | ||
* Diese Anwendungen haben teilweise einen hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit. | |||
* Durch das Maximumprinzip gilt für den Virtualisierungsserver S1 der höchste Schutzbedarf der zur Verfügung gestellten virtuellen Maschinen bzw. IT-Anwendungen. | * Durch das Maximumprinzip gilt für den Virtualisierungsserver S1 der höchste Schutzbedarf der zur Verfügung gestellten virtuellen Maschinen bzw. IT-Anwendungen. | ||
* Um die Stunden der Mitarbeiter zu erfassen, verwendet die RECPLAST GmbH eine Softwarelösung, die als Webanwendung implementiert ist. | * Um die Stunden der Mitarbeiter zu erfassen, verwendet die RECPLAST GmbH eine Softwarelösung, die als Webanwendung implementiert ist. | ||
* Für die Datenhaltung nutzt diese eine Datenbank, die im Datenbankmanagementsystem (A1) auf dem Server S5 betrieben wird. | * Für die Datenhaltung nutzt diese eine Datenbank, die im Datenbankmanagementsystem (A1) auf dem Server S5 betrieben wird. | ||
; Ferner betreibt die RECPLAST GmbH eine Reihe von Servern | ; Server | ||
Ferner betreibt die RECPLAST GmbH eine Reihe von Servern | |||
* die dazu eingesetzt, wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen. | * die dazu eingesetzt, wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen. | ||
=== Beispiel 2 === | |||
Das fiktive Unternehmen MUSTERENERGIE GmbH betreibt eine Smart Meter Gateway Infrastruktur (intelligentes Netz). | |||
* Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt. | * Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt. | ||
* Das Smart Meter Gateway (SMGW) stellt dabei die zentrale Kommunikationseinheit dar. | * Das Smart Meter Gateway (SMGW) stellt dabei die zentrale Kommunikationseinheit dar. | ||
Zeile 39: | Zeile 42: | ||
* Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet. | * Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet. | ||
=== Beispiel 3 === | |||
; In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln. | ; Risikomanagement | ||
In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln. | |||
* Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums. | * Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums. | ||
* Als Methode für unter Umständen erforderliche Risikoanalysen wurde der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html -Standard 200-3] festgelegt. | * Als Methode für unter Umständen erforderliche Risikoanalysen wurde der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html -Standard 200-3] festgelegt. | ||
Zeile 46: | Zeile 50: | ||
* Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden. | * Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden. | ||
; Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet. | ; Verantwortlichkeit | ||
Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet. | |||
* Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt. | * Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt. | ||
Zeile 52: | Zeile 57: | ||
* Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden. | * Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden. | ||
=== Übung === | |||
; Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus | ; Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus | ||
* Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken? | * Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken? | ||
Zeile 58: | Zeile 63: | ||
* Wer ist für die Durchführung der Analysen verantwortlich? | * Wer ist für die Durchführung der Analysen verantwortlich? | ||
* Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen? | * Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen? | ||
<noinclude> | |||
[[Kategorie:BSI/200-3]] | |||
</noinclude> |
Aktuelle Version vom 3. Oktober 2024, 09:15 Uhr
Beispiel 1
- RECPLAST GmbH
Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können
- Zu beachten ist, dass die Struktur der RECPLAST GmbH im Hinblick auf Informationssicherheit keineswegs optimal ist
- Sie dient lediglich dazu, die Vorgehensweise bei der Durchführung von Risikoanalysen zu illustrieren
Die RECPLAST GmbH ist eine fiktive Institution
- ca. 500 Mitarbeitern
- von denen 130 an Bildschirmarbeitsplätzen arbeiten
- Lokationen
Räumlich ist die RECPLAST GmbH aufgeteilt in zwei Standorte
- Innerhalb Bonns, wo unter anderem die administrativen und produzierenden Aufgaben wahrgenommen werden, und drei Vertriebsstandorte in Deutschland.
- Netzwerk
Das IT-Netz ist in mehrere Teilbereiche aufgeteilt Für die Beispiele in dieser Risikoanalyse wird das Teilnetz A (vergleiche Abbildung 2 in Kapitel 4) näher betrachtet.
- Der Zugang zum Teilnetz A ist durch die Firewall N1 abgesichert.
- Die Server S1 (Virtualisierungsserver) und S5 werden durch einzelne Switches angebunden.
- Virtualisierung
Der Virtualisierungsserver S1 stellt verschiedene Dienste zur Verfügung, z. B. werden dort in virtuellen Maschinen File- und E-Mail-Server betrieben.
- Diese Anwendungen haben teilweise einen hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit.
- Durch das Maximumprinzip gilt für den Virtualisierungsserver S1 der höchste Schutzbedarf der zur Verfügung gestellten virtuellen Maschinen bzw. IT-Anwendungen.
- Um die Stunden der Mitarbeiter zu erfassen, verwendet die RECPLAST GmbH eine Softwarelösung, die als Webanwendung implementiert ist.
- Für die Datenhaltung nutzt diese eine Datenbank, die im Datenbankmanagementsystem (A1) auf dem Server S5 betrieben wird.
- Server
Ferner betreibt die RECPLAST GmbH eine Reihe von Servern
- die dazu eingesetzt, wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen.
Beispiel 2
Das fiktive Unternehmen MUSTERENERGIE GmbH betreibt eine Smart Meter Gateway Infrastruktur (intelligentes Netz).
- Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt.
- Das Smart Meter Gateway (SMGW) stellt dabei die zentrale Kommunikationseinheit dar.
- Es kommuniziert im lokalen Bereich beim Endkunden mit den elektronischen Zählern (Local Metrological Network, LMN-Bereich), mit Geräten aus dem Home Area Network (HAN-Bereich) und im Wide Area Network (WAN-Bereich) mit autorisierten Marktteilnehmern.
- Außerdem ermöglicht das SMGW die Verbindungsaufnahme von lokalen Geräten des HAN über das WAN mit autorisierten Marktteilnehmern.
- Für die Installation, Inbetriebnahme, den Betrieb, die Wartung und Konfiguration des SMGW ist der Smart-Meter-Gateway-Administrator (SMGW-Admin) verantwortlich.
- Da es sich hierbei teilweise um sensible Informationen handelt, ist der Schutz dieser Informationen wichtig.
- Daher muss sichergestellt sein, dass der IT-Betrieb beim SMGW-Admin sicher erfolgt.
- Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet.
Beispiel 3
- Risikomanagement
In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln.
- Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums.
- Als Methode für unter Umständen erforderliche Risikoanalysen wurde der -Standard 200-3 festgelegt.
- In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können.
- Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.
- Verantwortlichkeit
Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet.
- Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt.
- Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt.
- Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.
Übung
- Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus
- Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken?
- Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren?
- Wer ist für die Durchführung der Analysen verantwortlich?
- Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?