|
|
(257 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''Themenfeld 8Risikoanalyse'''
| | #WEITERLEITUNG [[BSI/200-3]] |
| | |
| '''8.0 Grundlagen'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz'''
| |
| | |
| '''Bislang'''
| |
| * IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
| |
| | |
| '''Nun'''
| |
| * Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3
| |
| * Implementation eines Risikoentscheidungsprozesses
| |
| * Keine Risikoakzeptanz bei den Basis-Anforderungen
| |
| * Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
| |
| | |
| | |
| '''8 Überblick'''
| |
| | |
| '''Vorgehensweise nach IT-GrundschutzZusammenfassung'''
| |
| | |
| '''RisikomanagementsystemNeufassung der Risikoanalyse'''
| |
| | |
| '''RisikomanagementsystemAngemessenes Risikomanagement'''
| |
| | |
| '''RisikomanagementsystemRichtlinie zum Umgang mit Risiken'''
| |
| | |
| '''RisikomanagementsystemVorarbeiten und Priorisierung'''
| |
| | |
| '''RisikomanagementsystemListe der betrachteten Zielobjekte'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''Themenfeld 8Risikoanalyse'''
| |
| | |
| '''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
| |
| | |
| '''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
| |
| | |
| '''8.3Beispiel für die Risikobewertung'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
| |
| | |
| '''Ermittlung zusätzlicher Gefährdungen'''
| |
| | |
| '''Quellen'''
| |
| * BSI-Gefährdungskataloge
| |
| * Produktdokumentation
| |
| * Publikationen über Schwachstellen im Internet
| |
| * Auch Schwächen eingesetzter Komponenten und Protokolle
| |
| * Anfrage bei Herstellern
| |
| * Fachliteratur
| |
| * Bewertungskriterien (z.B. Common Criteria)
| |
| * eigene Bedrohungsanalysen
| |
| | |
| '''Weitere InformationsquellenSecurity Mailing List Archive: seclists.org'''
| |
| | |
| '''BSI-Standard 200-347. Elementargefährdung'''
| |
| | |
| '''G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe'''
| |
| * Von Tätern nicht beabsichtigt Auswirkungen
| |
| * nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
| |
| * unbeteiligte Dritte schädigen.
| |
| | |
| | |
| '''Beispiele'''
| |
| * Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
| |
| * (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
| |
| * Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen
| |
| | |
| '''BSI-Standard 200-3Neues Bewertungsverfahren'''
| |
| | |
| '''Lösungsansätze'''
| |
| * Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.
| |
| * Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.
| |
| * Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.
| |
| * Dadurch wird automatisch auch das Restrisiko dokumentiert.
| |
| * Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)
| |
| | |
| '''BSI-Standard 200-3Bewertungsverfahren'''
| |
| | |
| '''BSI-Standard 200-3Bewertungsverfahren'''
| |
| | |
| '''BSI-Standard 200-3Risikobehandlungsoptionen'''
| |
| | |
| '''BSI-Standard 200-3Konsolidierung'''
| |
| * Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
| |
| * Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
| |
| * Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
| |
| * Sind die Sicherheitsmaßnahmen benutzerfreundlich?
| |
| * Sind die Sicherheitsmaßnahmen angemessen?
| |
| | |
| * Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
| |
| * Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
| |
| | |
| '''Ergänzende RisikoanalyseEin Restrisiko bleibt'''
| |
| | |
| '''Realisierung von IT-Sicherheitsmaßnahmen'''
| |
| | |
| '''Schritt 1: Sichtung der Untersuchungsergebnisse'''
| |
| * Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
| |
| | |
| '''Schritt 2: Konsolidierung der Maßnahmen'''
| |
| * Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
| |
| * Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
| |
| | |
| '''Schritt 3: Kosten- und Aufwandsschätzung'''
| |
| * Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
| |
| * Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
| |
| | |
| '''Schritt 4: Festlegung der Umsetzungsreihenfolge'''
| |
| * Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
| |
| * Breitenwirkung beachten!
| |
| | |
| '''Schritt 5: Festlegung der Verantwortlichkeit'''
| |
| * Wer setzt welche Maßnahme bis wann um?
| |
| | |
| '''Schritt 6: Realisierungsbegleitende Maßnahmen'''
| |
| * Schulung der Mitarbeiter
| |
| * Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
| |
| | |
| '''Konsolidierung der Maßnahmen'''
| |
| | |
| '''Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge'''
| |
| | |
| '''zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse '''
| |
| | |
| | |
| '''<nowiki>=> zu realisierende Maßnahmen</nowiki>'''
| |
| | |
| /home/dirkwagner/cloud.foxtom.de/daten/kurse/sicherheit/20_bsiGrundschutz/10_praktiker/10_folien/08_risikoanalyse/08-risikoanalyse/Pictures/
| |
| | |
| [[File:10000000000006A7000004A4CFFA9708302800CF.png]]
| |
| [[File:10000000000007F500000367CBD4D6ED26683A6A.png]]
| |
| [[File:100000000000070B000003CF3AA136F5542B9B0F.png]]
| |
| [[File:100000000000071C000003B2D7ECC50935244C5D.png]]
| |
| [[File:100000000000077A00000369DF4E25E9E43B9E37.png]]
| |
| [[File:100000000000077B000003BCD0F57C921746BBC7.png]]
| |
| [[File:100000000000078E000003CBE60FB4A0120C79A7.png]]
| |
| [[File:100000000000094A000005329D4160E12DB73ADD.jpg]]
| |
| [[File:100002010000059B0000033FF5BADCEEEC26EA53.png]]
| |
| [[File:1000000000000796000003D06E42B8D63E104B2A.png]]
| |
| [[File:10000000000002770000037C2683B708F6636D52.jpg]]
| |
| [[File:10000000000009800000049D576C742C44231FC4.jpg]]
| |
| [[File:100000000000037600000201E1F99D38DD821954.jpg]]
| |
| [[File:100000000000050800000300FAA69E8EFB3F6FBA.png]]
| |
| [[File:100000000000074900000376C00077F2B23A0DF9.png]]
| |
| [[File:100002010000037600000201A9C0E910882432F9.png]]
| |
| [[File:1000020100000276000002008EAEFE8B1F52E3F6.png]]
| |