IT-Grundschutz/Risiko/Management: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite IT-Grundschutz/Risikomanagement nach IT-Grundschutz/Risiko/Management: Textersetzung - „Risikomanagement“ durch „Risiko/Management“
 
(35 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
#WEITERLEITUNG [[BSI/200-3]]
 
== Beschreibung ==
[[File:1000020100000276000002008EAEFE8B1F52E3F6.png | mini | 500px]]
Die Basis- und Standard-Anforderungen der Grundschutz-Bausteine wurden so festgelegt, dass dazu passende Maßnahmen für '''normalen Schutzbedarf''' und für '''typische Informationsverbünde''' und '''Anwendungsszenarien''' einen angemessenen und ausreichenden Schutz bieten.
* Hierfür wurde vorab geprüft, welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind und wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann.
* Als Anwender des Grundschutzes benötigen Sie daher in der Regel für den weitaus größten Teil eines Informationsverbundes keine aufwendigen Untersuchungen zur Festlegung erforderlicher Sicherheitsmaßnahmen.
 
; Ein '''zusätzlicher Analysebedarf''' besteht lediglich in folgenden drei Fällen
[[File:100000000000078E000003CBE60FB4A0120C79A7.png | mini | 500px]]
* Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
* Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im Grundschutz-Kompendium.
* Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch.
 
; Das grundlegende Verfahren zur Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen ist eine '''Risikoanalyse'''.
* Der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html -Standard 200-3: Risikomanagement] bietet hierfür eine effiziente Methodik.
 
=== Überblick===
[[File:100000000000077B000003BCD0F57C921746BBC7.png | mini | 500px]]
'''BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz'''
* Bündelung aller risikobezogenen Arbeitsschritte in [[BSI/Standard/200-3|BSI-Standard 200-3]]
* Implementation eines Risikoentscheidungsprozesses
* Keine Risikoakzeptanz bei den Basis-Anforderungen
* Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
 
; Risikomanagementsystem
[[File:1000000000000796000003D06E42B8D63E104B2A.png | mini | 500px]]
* Angemessenes Risikomanagement
* Richtlinie zum Umgang mit Risiken
* Vorarbeiten und Priorisierung
 
=== Richtlinie zum Umgang mit Risiken ===
Bevor Sie mit der Durchführung von Risikoanalysen beginnen, sollte die Leitung Ihrer Institution grundlegende Aspekte hierfür in einer '''Richtlinie zum Umgang mit Risiken''' festlegen:
* Unter welchen Voraussetzungen ist eine Risikoanalyse erforderlich?
* Mit welchem Verfahren werden Risiken identifiziert, eingeschätzt, bewertet und behandelt und wie ist dieses Verfahren an die Gegebenheiten der Institution angepasst und in den Sicherheitsprozess integriert?
* Welche Organisationseinheiten sind für die verschiedenen Teilaufgaben des Risikomanagements zuständig?
* Wie sind die Berichtspflichten geregelt?
* Welche Kriterien müssen erfüllt sein, damit Risiken akzeptiert werden?
* In welchen zeitlichen Intervallen und bei welchen Ereignissen müssen Risikoanalysen aktualisiert werden?
 
Diese Richtlinie und die zugehörigen organisatorischen Umsetzungen sollten regelmäßig auf ihre Aktualität und Angemessenheit geprüft werden.
 
==== Beispiel ====
[[File:100000000000094A000005329D4160E12DB73ADD.jpg | mini | 500px]]
; In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln.
* Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums.
* Als Methode für unter Umständen erforderliche Risikoanalysen wurde der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html -Standard 200-3] festgelegt.
* In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können.
* Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.
 
; Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet.
* Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt.
 
; Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt.
* Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.
 
; Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus:
* Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken?
* Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren?
* Wer ist für die Durchführung der Analysen verantwortlich?
* Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?
 
== Zielobjekte ==
; Voraussetzung für die Durchführung von Risikoanalysen im Rahmen der Standard-Absicherung
bei der Strukturanalyse die Zielobjekte des Informationsverbundes
* zusammengestellt sind
* deren Schutzbedarf festgestellt ist und
* ihnen bei der Modellierung soweit möglich passende Grundschutz-Bausteine zugeordnet wurden.
 
; Risikoanalyse für solche Zielobjekte
hoher oder sehr hoher Schutzbedarf
* in mindestens einem der drei Grundwerte
** Vertraulichkeit, Integrität oder Verfügbarkeit haben
'''oder'''
* für die es keinen passenden Grundschutz-Baustein gibt
'''oder'''
* die in Einsatzszenarien betrieben werden, die für den Grundschutz untypisch sind.
 
Bei einer '''großen Zahl an Zielobjekten''', die eines diese Kriterien erfüllen, sollten Sie eine '''geeignete Priorisierung''' vornehmen.
* Bei der Vorgehensweise Standard-Absicherung bietet es sich an, zunächst übergeordnete Zielobjekte zu betrachten, etwa den gesamten Informationsverbund, bestimmte Teile des Informationsverbundes oder wichtige Geschäftsprozesse.
* Bei der Kern-Absicherung sollten Sie vorrangig diejenigen Zielobjekte mit dem höchsten Schutzbedarf untersuchen.
 
=== Liste der betrachteten Zielobjekte ===
 
=== Beispiel ===
; Bei der RECPLAST wurde aufgrund der Schutzbedarfsfeststellung und der Modellierung eine Reihe von Zielobjekten ermittelt, für die eine Risikoanalyse durchzuführen ist.
 
; Dazu gehören unter anderem die folgenden Komponenten:
* die Anwendung A002 ''Lotus Notes'', die einen hohen Bedarf an Vertraulichkeit und einen sehr hohen Bedarf an Verfügbarkeit hat,
* die Netzkopplungselemente N001 ''Router Internet-Anbindung'' und N002 ''Firewall Internet-Eingang'', beide wegen der Vertraulichkeit der über sie übertragenen Daten,
* der Virtualisierungsserver S007, der in allen drei Grundwerten aufgrund der auf ihm betriebenen virtuellen Systeme einen hohen Schutzbedarf hat,
* die Alarmanlagen S200 an beiden Standorten in Bonn, deren korrektes Funktionieren als sehr wichtig eingestuft und deren Schutzbedarf bezüglich Integrität und Verfügbarkeit folglich mit „sehr hoch“ bewertet wurde.
 
Nachfolgend werden die einzelnen Schritte der Risikoanalyse am Beispiel des über beide Standorte hinweg redundant ausgelegten Virtualisierungsservers S007 veranschaulicht.
 
== Gefährdungen  ==
; Gefährdungen ermitteln
; Elementare Gefährdungen sowie andere Gefährdungsübersichten
 
=== Elementaren Gefährdungen ===
[[BSI/Standard/200-3/Elementaren Gefährdungen]]
 
=== Gefährdungsübersicht ===
[[BSI/Standard/200-3/Gefährdungsübersicht]]
 
=== Gefährdungsübersicht ergänzen ===
[[BSI/Standard/200-3/Gefährdungsübersicht]]
 
== Risiken bewerten ==
[[BSI/Standard/200-3/Risikoeinstufung]]
 
== Risiken behandeln ==
=== Optionen ===
; Risikobehandlungsoptionen
[[Image:Abb_7_09_Schritt3.png?__blob=normal&v=1Bild20.png|top|alt="Risikoanalyse - Risiken behandeln (Bild hat eine Langbeschreibung)"]]
 
In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind.
* In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.
 
[[Image:Abb_7_09_RisikenBehandeln.png?__blob=normal&v=1Bild21.png|top|alt="Risikobehandlung (Bild hat eine Langbeschreibung)"]]
 
; Möglichkeiten ('''Risikooptionen''') mit Risiken umzugehen
{| class="wikitable sortable options"
! Option !! Beschreibung || Erläuterung
|-
| A || Risikovermeidung durch Umstrukturierung der Geschäftsprozesse || Die Risiken können vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
|-
| B || Risikoreduktion/Risikomodifikation durch weitere Sicherheitsmaßnahmen || Die Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden. Sofern es für das Zielobjekt, das Sie in der Risikoanalyse betrachtet haben, bereits einen Baustein im Grundschutz-Kompendium gibt, finden Sie in den dort genannten Anforderungen für den erhöhten Schutzbedarf und den zugehörigen Umsetzungs-empfehlungen erste Hinweise auf geeignete Maßnahmen. Weitere Quellen sind beispielsweise Produktdokumentationen, Standards zur Informationssicherheit und Fachveröffentlichungen.
|-
| C || Risikotransfer || Die Risiken werden verlagert. Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden. Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!
|-
| D || Risikoakzeptanz ||Die Risiken können akzeptiert werden, sei es, weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist. Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) '''Restrisiko''' von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet.
|}
 
=== Risikoverfolgung ===
=== Restrisiko ===
; Restrisiko bleibt
; Risiken unter Beobachtung
Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können.
* In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht.
* Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.
 
; Beschlüsse müssen vom Management getragen werden
* Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen.
* Binden Sie daher die Leitungsebene angemessen in die Beratungen ein.
* Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück '''vom Management unterschreiben'''.
 
=== Beispiel ===
; Entscheidungen zur Risikobehandlung
* Gefährdungen für einen Virtualisierungsserver
 
; Behandlung der Risiken
{| class="wikitable sortable options"
|-
!| Gefährdung
!| Titel
!| Kategorie
!| Behandlung
!| Beschreibung
|-
|| G 0.15
|| Abhören
|| mittel
|| D: Akzeptanz
|| (hier bei Live-Migration)
(Risikoübernahme ohne zusätzliche Sicherheitsmaßnahme)
Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Diesen wird vertraut. Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen.
|-
|| G 0.25
|| Ausfall von Geräten oder Systemen
|| mittel
|| B: Reduktion
|| (hier Ausfall des Virtualisierungsservers)
Ergänzende Sicherheitsmaßnahme: Der Server ist redundant ausgelegt, damit ist sichergestellt, dass bei einem Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird.
Das System wird so konfiguriert, dass bei Ausfall automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet und dadurch die Ausfallzeit verkürzt wird. <br> Mit ergänzenden Maßnahmen: '''gering'''
|-
|}
 
== Konsolidierung des Sicherheitskonzepts ==
[[Image:Abb_7_10_Schritt4.png?__blob=normal&v=1Bild26.png|top|alt="Risikoanalyse - Sicherheitskonzept konsolidieren (Bild hat eine Langbeschreibung)"]]
 
Als Abschluss der Risikoanalyse sind die zusätzlichen Maßnahmen, deren Umsetzung beschlossen wurde, in das vorhandene Sicherheitskonzept zu integrieren (= Konsolidierung des Sicherheitskonzepts) und ist darauf aufbauend ist der Sicherheitsprozess fortzusetzen.
 
In diesem Schritt sollten Sie die '''Eignung''', '''Angemessenheit''' und '''Benutzerfreundlichkeit''' der zusätzlichen Sicherheitsmaßnahmen ebenso prüfen wie deren '''Zusammenwirken''' mit anderen Maßnahmen.
* Diese Konsolidierung des Sicherheitskonzepts kann sowohl zu Anpassungen bei den zusätzlich ausgewählten Maßnahmen als auch zu Änderungen im bestehenden Konzept führen.
 
Weitere Informationen zur Konsolidierung von Sicherheitsmaßnahmen finden Sie in der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_8_Umsetzungsplanung/Lektion_8_node.html nächsten Lektion].
 
; Konsolidierung
* Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
* Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
* Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
* Sind die Sicherheitsmaßnahmen benutzerfreundlich?
* Sind die Sicherheitsmaßnahmen angemessen?
* Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
* Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
 
== Fortführung des Sicherheitsprozesses ==
; Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess mit den nächsten Schritten fortgesetzt werden.
* Dies bedeutet insbesondere, dass in einem '''erneuten Grundschutz-Check''' der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit:IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html vorherigen Lektion] beschrieben.
 
; Zweiter Grundschutz-Check ist erforderlich
Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
 
<noinclude>
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Risikoanalyse}}
 
==== Dokumentation ====
 
==== Links ====
===== Projekt =====
===== Weblinks =====
[[Kategorie:Grundschutz/Risikomanagement]]
 
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 14:25 Uhr

Weiterleitung nach: