IT-Grundschutz/Risiko/Management: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite 8 Risikoanalyse nach Risikoanalyse, ohne dabei eine Weiterleitung anzulegen
K Dirkwagner verschob die Seite IT-Grundschutz/Risikomanagement nach IT-Grundschutz/Risiko/Management: Textersetzung - „Risikomanagement“ durch „Risiko/Management“
 
(253 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Grundlagen ==
#WEITERLEITUNG [[BSI/200-3]]
== Die elementaren Gefährdungen sowie andere Gefährdungsübersichten ==
== Vorgehen bei der Risikobewertung und Risikobehandlung ==
== Beispiel für die Risikobewertung ==
 
= TMP =
'''BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz'''
 
'''Bislang'''
* IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
 
'''Nun'''
* Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3
* Implementation eines Risikoentscheidungsprozesses
* Keine Risikoakzeptanz bei den Basis-Anforderungen
* Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
 
 
'''8 Überblick'''
 
'''Vorgehensweise nach IT-GrundschutzZusammenfassung'''
 
'''RisikomanagementsystemNeufassung der Risikoanalyse'''
 
'''RisikomanagementsystemAngemessenes Risikomanagement'''
 
'''RisikomanagementsystemRichtlinie zum Umgang mit Risiken'''
 
'''RisikomanagementsystemVorarbeiten und Priorisierung'''
 
'''RisikomanagementsystemListe der betrachteten Zielobjekte'''
 
'''Themenfeld 8Risikoanalyse'''
 
'''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
 
'''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
 
'''8.3Beispiel für die Risikobewertung'''
 
'''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
 
'''Themenfeld 8Risikoanalyse'''
 
'''8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten'''
 
'''8.2Vorgehen bei der Risikobewertung und Risikobehandlung'''
 
'''8.3Beispiel für die Risikobewertung'''
 
'''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
 
'''RisikomanagementsystemErstellung der Gefährdungsübersicht'''
 
'''Ermittlung zusätzlicher Gefährdungen'''
 
'''Quellen'''
* BSI-Gefährdungskataloge
* Produktdokumentation
* Publikationen über Schwachstellen im Internet
* Auch Schwächen eingesetzter Komponenten und Protokolle
* Anfrage bei Herstellern
* Fachliteratur
* Bewertungskriterien (z.B. Common Criteria)
* eigene Bedrohungsanalysen
 
'''Weitere InformationsquellenSecurity Mailing List Archive: seclists.org'''
 
'''BSI-Standard 200-347. Elementargefährdung'''
 
'''G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe'''
* Von Tätern nicht beabsichtigt Auswirkungen
* nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
* unbeteiligte Dritte schädigen.
 
 
'''Beispiele'''
* Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
* (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
* Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen
 
'''BSI-Standard 200-3Neues Bewertungsverfahren'''
 
'''Lösungsansätze'''
* Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.
* Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.
* Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.
* Dadurch wird automatisch auch das Restrisiko dokumentiert.
* Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)
 
'''BSI-Standard 200-3Bewertungsverfahren'''
 
'''BSI-Standard 200-3Bewertungsverfahren'''
 
'''BSI-Standard 200-3Risikobehandlungsoptionen'''
 
'''BSI-Standard 200-3Konsolidierung'''
* Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
* Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
* Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
* Sind die Sicherheitsmaßnahmen benutzerfreundlich?
* Sind die Sicherheitsmaßnahmen angemessen?
 
* Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
* Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
 
'''Ergänzende RisikoanalyseEin Restrisiko bleibt'''
 
'''Realisierung von IT-Sicherheitsmaßnahmen'''
 
'''Schritt 1: Sichtung der Untersuchungsergebnisse'''
* Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
 
'''Schritt 2: Konsolidierung der Maßnahmen'''
* Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
* Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
 
'''Schritt 3: Kosten- und Aufwandsschätzung'''
* Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
* Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
 
'''Schritt 4: Festlegung der Umsetzungsreihenfolge'''
* Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
* Breitenwirkung beachten!
 
'''Schritt 5: Festlegung der Verantwortlichkeit'''
* Wer setzt welche Maßnahme bis wann um?
 
'''Schritt 6: Realisierungsbegleitende Maßnahmen'''
* Schulung der Mitarbeiter
* Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
 
'''Konsolidierung der Maßnahmen'''
 
'''Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge'''
 
'''zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse '''
 
 
'''<nowiki>=> zu realisierende Maßnahmen</nowiki>'''
 
/home/dirkwagner/cloud.foxtom.de/daten/kurse/sicherheit/20_bsiGrundschutz/10_praktiker/10_folien/08_risikoanalyse/08-risikoanalyse/Pictures/
 
[[File:10000000000006A7000004A4CFFA9708302800CF.png | mini | 400px]]
[[File:10000000000007F500000367CBD4D6ED26683A6A.png | mini | 400px]]
[[File:100000000000070B000003CF3AA136F5542B9B0F.png | mini | 400px]]
[[File:100000000000071C000003B2D7ECC50935244C5D.png | mini | 400px]]
[[File:100000000000077A00000369DF4E25E9E43B9E37.png | mini | 400px]]
[[File:100000000000077B000003BCD0F57C921746BBC7.png | mini | 400px]]
[[File:100000000000078E000003CBE60FB4A0120C79A7.png | mini | 400px]]
[[File:100000000000094A000005329D4160E12DB73ADD.jpg | mini | 400px]]
[[File:100002010000059B0000033FF5BADCEEEC26EA53.png | mini | 400px]]
[[File:1000000000000796000003D06E42B8D63E104B2A.png | mini | 400px]]
[[File:10000000000002770000037C2683B708F6636D52.jpg | mini | 400px]]
[[File:10000000000009800000049D576C742C44231FC4.jpg | mini | 400px]]
[[File:100000000000037600000201E1F99D38DD821954.jpg | mini | 400px]]
[[File:100000000000050800000300FAA69E8EFB3F6FBA.png | mini | 400px]]
[[File:100000000000074900000376C00077F2B23A0DF9.png | mini | 400px]]
[[File:100002010000037600000201A9C0E910882432F9.png | mini | 400px]]
[[File:1000020100000276000002008EAEFE8B1F52E3F6.png | mini | 400px]]

Aktuelle Version vom 31. Oktober 2024, 14:25 Uhr

Weiterleitung nach: