IT-Grundschutz/Risiko/Management: Unterschied zwischen den Versionen

Aus Foxwiki
Die Seite wurde neu angelegt: „ <div style="text-align:center;">Themenfeld 8Risikoanalyse</div> '''Themenfeld 8Risikoanalyse''' '''8.0 Grundlagen''' '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten''' '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung''' '''8.3Beispiel für die Risikobewertung''' '''BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz''' '''Bislang''' <div style="margin-left:0.265cm;margin-right:0cm;">IT-Grundschut…“
 
K Dirkwagner verschob die Seite IT-Grundschutz/Risikomanagement nach IT-Grundschutz/Risiko/Management: Textersetzung - „Risikomanagement“ durch „Risiko/Management“
 
(261 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
#WEITERLEITUNG [[BSI/200-3]]
 
<div style="text-align:center;">Themenfeld 8Risikoanalyse</div>
 
'''Themenfeld 8Risikoanalyse'''
 
'''8.0 Grundlagen'''
 
'''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
 
'''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
 
'''8.3Beispiel für die Risikobewertung'''
 
'''BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz'''
 
'''Bislang'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge</div>
 
'''Nun'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Implementation eines Risikoentscheidungsprozesses </div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Keine Risikoakzeptanz bei den Basis-Anforderungen </div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf</div>
 
 
'''8 Überblick'''
 
'''Vorgehensweise nach IT-GrundschutzZusammenfassung'''
 
'''RisikomanagementsystemNeufassung der Risikoanalyse'''
 
'''RisikomanagementsystemAngemessenes Risikomanagement'''
 
'''RisikomanagementsystemRichtlinie zum Umgang mit Risiken'''
 
'''RisikomanagementsystemVorarbeiten und Priorisierung'''
 
'''RisikomanagementsystemListe der betrachteten Zielobjekte'''
 
'''Themenfeld 8Risikoanalyse'''
 
'''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
 
'''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
 
'''8.3Beispiel für die Risikobewertung'''
 
'''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
 
'''Themenfeld 8Risikoanalyse'''
 
'''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
 
'''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
 
'''8.3Beispiel für die Risikobewertung'''
 
'''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
 
'''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
 
'''Ermittlung zusätzlicher Gefährdungen'''
 
'''Quellen'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">BSI-Gefährdungskataloge</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Produktdokumentation</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Publikationen über Schwachstellen im Internet</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Auch Schwächen eingesetzter Komponenten und Protokolle</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Anfrage bei Herstellern</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Fachliteratur</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Bewertungskriterien (z.B. Common Criteria) </div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">eigene Bedrohungsanalysen</div>
 
'''Weitere InformationsquellenSecurity Mailing List Archive: seclists.org'''
 
'''BSI-Standard 200-347. Elementargefährdung'''
 
'''G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Von Tätern nicht beabsichtigt Auswirkungen</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">nicht die unmittelbar angegriffenen Zielobjekte betreffen oder </div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">unbeteiligte Dritte schädigen.</div>
 
 
'''Beispiele'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Für DDoS-Angriffe als Bots missbrauchte IT-Systeme</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">(IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen</div>
 
'''BSI-Standard 200-3Neues Bewertungsverfahren'''
 
'''Lösungsansätze'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Dadurch wird automatisch auch das Restrisiko dokumentiert.</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)</div>
 
'''BSI-Standard 200-3Bewertungsverfahren'''
 
'''BSI-Standard 200-3Bewertungsverfahren'''
 
'''BSI-Standard 200-3Risikobehandlungsoptionen'''
 
'''BSI-Standard 200-3Konsolidierung'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen benutzerfreundlich?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen angemessen?</div>
 
 
<div style="margin-left:0.265cm;margin-right:0cm;">Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen</div>
 
'''Ergänzende RisikoanalyseEin Restrisiko bleibt'''
 
'''Realisierung von IT-Sicherheitsmaßnahmen'''
 
'''Schritt 1: Sichtung der Untersuchungsergebnisse'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?</div>
 
'''Schritt 2: Konsolidierung der Maßnahmen'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?</div>
 
'''Schritt 3: Kosten- und Aufwandsschätzung'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.</div>
 
'''Schritt 4: Festlegung der Umsetzungsreihenfolge'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Breitenwirkung beachten!</div>
 
'''Schritt 5: Festlegung der Verantwortlichkeit'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Wer setzt welche Maßnahme bis wann um?</div>
 
'''Schritt 6: Realisierungsbegleitende Maßnahmen'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Schulung der Mitarbeiter</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen</div>
 
'''Konsolidierung der Maßnahmen'''
 
'''Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge'''
 
'''zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse '''
 
 
'''<nowiki>=> zu realisierende Maßnahmen</nowiki>'''
 
'''Themenfeld 8Risikoanalyse'''
 
'''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
 
'''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
 
'''8.3Beispiel für die Risikobewertung'''
 
'''Quellen'''
 
'''grundschutz@bsi.bund.de'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Tel. +49 (0)22899-9582-5369</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Fax +49 (0)22899-10-9582-5369</div>
 
'''Bundesamt für Sicherheit in der Informationstechnik'''
 
<div style="margin-left:0.265cm;margin-right:0cm;">Referat „IT-Grundschutz“</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Godesberger Allee 185-189</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">53175 Bonn</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">www.bsi.bund.de</div>

Aktuelle Version vom 31. Oktober 2024, 14:25 Uhr

Weiterleitung nach: