|
|
| (259 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''Themenfeld 8Risikoanalyse'''
| | #WEITERLEITUNG [[BSI/200-3]] |
| | |
| '''8.0 Grundlagen'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz'''
| |
| | |
| '''Bislang'''
| |
| * IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
| |
| | |
| '''Nun'''
| |
| * Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3
| |
| * Implementation eines Risikoentscheidungsprozesses
| |
| * Keine Risikoakzeptanz bei den Basis-Anforderungen
| |
| * Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
| |
| | |
| | |
| '''8 Überblick'''
| |
| | |
| '''Vorgehensweise nach IT-GrundschutzZusammenfassung'''
| |
| | |
| '''RisikomanagementsystemNeufassung der Risikoanalyse'''
| |
| | |
| '''RisikomanagementsystemAngemessenes Risikomanagement'''
| |
| | |
| '''RisikomanagementsystemRichtlinie zum Umgang mit Risiken'''
| |
| | |
| '''RisikomanagementsystemVorarbeiten und Priorisierung'''
| |
| | |
| '''RisikomanagementsystemListe der betrachteten Zielobjekte'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''Ermittlung zusätzlicher Gefährdungen'''
| |
| | |
| '''Quellen'''
| |
| * BSI-Gefährdungskataloge
| |
| * Produktdokumentation
| |
| * Publikationen über Schwachstellen im Internet
| |
| * Auch Schwächen eingesetzter Komponenten und Protokolle
| |
| * Anfrage bei Herstellern
| |
| * Fachliteratur
| |
| * Bewertungskriterien (z.B. Common Criteria)
| |
| * eigene Bedrohungsanalysen
| |
| | |
| '''Weitere InformationsquellenSecurity Mailing List Archive: seclists.org'''
| |
| | |
| '''BSI-Standard 200-347. Elementargefährdung'''
| |
| | |
| '''G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe'''
| |
| * Von Tätern nicht beabsichtigt Auswirkungen
| |
| * nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
| |
| * unbeteiligte Dritte schädigen.
| |
| | |
| | |
| '''Beispiele'''
| |
| * Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
| |
| * (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
| |
| * Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen
| |
| | |
| '''BSI-Standard 200-3Neues Bewertungsverfahren'''
| |
| | |
| '''Lösungsansätze'''
| |
| * Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.
| |
| * Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.
| |
| * Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.
| |
| * Dadurch wird automatisch auch das Restrisiko dokumentiert.
| |
| * Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)
| |
| | |
| '''BSI-Standard 200-3Bewertungsverfahren'''
| |
| | |
| '''BSI-Standard 200-3Bewertungsverfahren'''
| |
| | |
| '''BSI-Standard 200-3Risikobehandlungsoptionen'''
| |
| | |
| '''BSI-Standard 200-3Konsolidierung'''
| |
| * Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
| |
| * Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
| |
| * Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
| |
| * Sind die Sicherheitsmaßnahmen benutzerfreundlich?
| |
| * Sind die Sicherheitsmaßnahmen angemessen?
| |
| | |
| * Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
| |
| * Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
| |
| | |
| '''Ergänzende RisikoanalyseEin Restrisiko bleibt'''
| |
| | |
| '''Realisierung von IT-Sicherheitsmaßnahmen'''
| |
| | |
| '''Schritt 1: Sichtung der Untersuchungsergebnisse'''
| |
| * Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
| |
| | |
| '''Schritt 2: Konsolidierung der Maßnahmen'''
| |
| * Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
| |
| * Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
| |
| | |
| '''Schritt 3: Kosten- und Aufwandsschätzung'''
| |
| * Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
| |
| * Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
| |
| | |
| '''Schritt 4: Festlegung der Umsetzungsreihenfolge'''
| |
| * Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
| |
| * Breitenwirkung beachten!
| |
| | |
| '''Schritt 5: Festlegung der Verantwortlichkeit'''
| |
| * Wer setzt welche Maßnahme bis wann um?
| |
| | |
| '''Schritt 6: Realisierungsbegleitende Maßnahmen'''
| |
| * Schulung der Mitarbeiter
| |
| * Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
| |
| | |
| '''Konsolidierung der Maßnahmen'''
| |
| | |
| '''Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge'''
| |
| | |
| '''zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse '''
| |
| | |
| | |
| '''<nowiki>=> zu realisierende Maßnahmen</nowiki>'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |