|
|
| (261 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| | | #WEITERLEITUNG [[BSI/200-3]] |
| | |
| <div style="text-align:center;">Themenfeld 8Risikoanalyse</div>
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.0 Grundlagen'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz'''
| |
| | |
| '''Bislang'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge</div>
| |
| | |
| '''Nun'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Implementation eines Risikoentscheidungsprozesses </div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Keine Risikoakzeptanz bei den Basis-Anforderungen </div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf</div>
| |
| | |
| | |
| '''8 Überblick'''
| |
| | |
| '''Vorgehensweise nach IT-GrundschutzZusammenfassung'''
| |
| | |
| '''RisikomanagementsystemNeufassung der Risikoanalyse'''
| |
| | |
| '''RisikomanagementsystemAngemessenes Risikomanagement'''
| |
| | |
| '''RisikomanagementsystemRichtlinie zum Umgang mit Risiken'''
| |
| | |
| '''RisikomanagementsystemVorarbeiten und Priorisierung'''
| |
| | |
| '''RisikomanagementsystemListe der betrachteten Zielobjekte'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''Ermittlung zusätzlicher Gefährdungen'''
| |
| | |
| '''Quellen'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">BSI-Gefährdungskataloge</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Produktdokumentation</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Publikationen über Schwachstellen im Internet</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Auch Schwächen eingesetzter Komponenten und Protokolle</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Anfrage bei Herstellern</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Fachliteratur</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Bewertungskriterien (z.B. Common Criteria) </div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">eigene Bedrohungsanalysen</div>
| |
| | |
| '''Weitere InformationsquellenSecurity Mailing List Archive: seclists.org'''
| |
| | |
| '''BSI-Standard 200-347. Elementargefährdung'''
| |
| | |
| '''G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Von Tätern nicht beabsichtigt Auswirkungen</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">nicht die unmittelbar angegriffenen Zielobjekte betreffen oder </div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">unbeteiligte Dritte schädigen.</div>
| |
| | |
| | |
| '''Beispiele'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Für DDoS-Angriffe als Bots missbrauchte IT-Systeme</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">(IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen</div>
| |
| | |
| '''BSI-Standard 200-3Neues Bewertungsverfahren'''
| |
| | |
| '''Lösungsansätze'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Dadurch wird automatisch auch das Restrisiko dokumentiert.</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)</div>
| |
| | |
| '''BSI-Standard 200-3Bewertungsverfahren'''
| |
| | |
| '''BSI-Standard 200-3Bewertungsverfahren'''
| |
| | |
| '''BSI-Standard 200-3Risikobehandlungsoptionen'''
| |
| | |
| '''BSI-Standard 200-3Konsolidierung'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen benutzerfreundlich?</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen angemessen?</div>
| |
| | |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen</div>
| |
| | |
| '''Ergänzende RisikoanalyseEin Restrisiko bleibt'''
| |
| | |
| '''Realisierung von IT-Sicherheitsmaßnahmen'''
| |
| | |
| '''Schritt 1: Sichtung der Untersuchungsergebnisse'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?</div>
| |
| | |
| '''Schritt 2: Konsolidierung der Maßnahmen'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?</div>
| |
| | |
| '''Schritt 3: Kosten- und Aufwandsschätzung'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.</div>
| |
| | |
| '''Schritt 4: Festlegung der Umsetzungsreihenfolge'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Breitenwirkung beachten!</div>
| |
| | |
| '''Schritt 5: Festlegung der Verantwortlichkeit'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Wer setzt welche Maßnahme bis wann um?</div>
| |
| | |
| '''Schritt 6: Realisierungsbegleitende Maßnahmen'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Schulung der Mitarbeiter</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen</div>
| |
| | |
| '''Konsolidierung der Maßnahmen'''
| |
| | |
| '''Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge'''
| |
| | |
| '''zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse '''
| |
| | |
| | |
| '''<nowiki>=> zu realisierende Maßnahmen</nowiki>'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''Quellen'''
| |
| | |
| '''grundschutz@bsi.bund.de'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Tel. +49 (0)22899-9582-5369</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Fax +49 (0)22899-10-9582-5369</div>
| |
| | |
| '''Bundesamt für Sicherheit in der Informationstechnik'''
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Referat „IT-Grundschutz“</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">Godesberger Allee 185-189</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">53175 Bonn</div>
| |
| | |
| <div style="margin-left:0.265cm;margin-right:0cm;">www.bsi.bund.de</div>
| |