|
|
| (8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''topic''' - Kurzbeschreibung
| | #WEITERLEITUNG [[BSI/200-3]] |
|
| |
| {{:BSI/Standard/200-3/Einleitung}}
| |
| | |
| == Zielobjekte ==
| |
| ; Voraussetzung für die Durchführung von Risikoanalysen im Rahmen der Standard-Absicherung
| |
| bei der Strukturanalyse die Zielobjekte des Informationsverbundes
| |
| * zusammengestellt sind
| |
| * deren Schutzbedarf festgestellt ist und
| |
| * ihnen bei der Modellierung soweit möglich passende Grundschutz-Bausteine zugeordnet wurden.
| |
| | |
| ; Risikoanalyse für solche Zielobjekte
| |
| * hoher oder sehr hoher Schutzbedarf
| |
| ** mindestens einer der drei Grundwerte (Vertraulichkeit, Integrität oder Verfügbarkeit)
| |
| * für die es keinen passenden Grundschutz-Baustein gibt
| |
| * die in Einsatzszenarien betrieben werden, die für den Grundschutz untypisch sind.
| |
| | |
| Bei einer '''großen Zahl an Zielobjekten''', die eines diese Kriterien erfüllen, sollten Sie eine '''geeignete Priorisierung''' vornehmen.
| |
| * Bei der Vorgehensweise Standard-Absicherung bietet es sich an, zunächst übergeordnete Zielobjekte zu betrachten, etwa den gesamten Informationsverbund, bestimmte Teile des Informationsverbundes oder wichtige Geschäftsprozesse.
| |
| * Bei der Kern-Absicherung sollten Sie vorrangig diejenigen Zielobjekte mit dem höchsten Schutzbedarf untersuchen.
| |
| | |
| === Liste der betrachteten Zielobjekte ===
| |
| | |
| === Beispiel ===
| |
| ; Bei der RECPLAST wurde aufgrund der Schutzbedarfsfeststellung und der Modellierung eine Reihe von Zielobjekten ermittelt, für die eine Risikoanalyse durchzuführen ist.
| |
| | |
| ; Dazu gehören unter anderem die folgenden Komponenten:
| |
| * die Anwendung A002 ''Lotus Notes'', die einen hohen Bedarf an Vertraulichkeit und einen sehr hohen Bedarf an Verfügbarkeit hat,
| |
| * die Netzkopplungselemente N001 ''Router Internet-Anbindung'' und N002 ''Firewall Internet-Eingang'', beide wegen der Vertraulichkeit der über sie übertragenen Daten,
| |
| * der Virtualisierungsserver S007, der in allen drei Grundwerten aufgrund der auf ihm betriebenen virtuellen Systeme einen hohen Schutzbedarf hat,
| |
| * die Alarmanlagen S200 an beiden Standorten in Bonn, deren korrektes Funktionieren als sehr wichtig eingestuft und deren Schutzbedarf bezüglich Integrität und Verfügbarkeit folglich mit „sehr hoch“ bewertet wurde.
| |
| | |
| Nachfolgend werden die einzelnen Schritte der Risikoanalyse am Beispiel des über beide Standorte hinweg redundant ausgelegten Virtualisierungsservers S007 veranschaulicht.
| |
| | |
| == Gefährdungen ==
| |
| {{:BSI/Standard/200-3/Elementaren Gefährdungen}}
| |
| | |
| {{:BSI/Standard/200-3/Gefährdungsübersicht}}
| |
| | |
| == Risiken bewerten ==
| |
| {{:BSI/Standard/200-3/Risikoeinstufung}}
| |
| | |
| == Risiken behandeln ==
| |
| {{:BSI/Standard/200-3/Risikobehandlung}}
| |
| | |
| == Konsolidierung des Sicherheitskonzepts ==
| |
| {{:BSI/Standard/200-3/Konsolidierung}}
| |
| | |
| == Fortführung des Sicherheitsprozesses ==
| |
| {{:BSI/Standard/200-3/Rückführung}}
| |
| | |
| [[Kategorie:Grundschutz/Risikomanagement]]
| |
| | |
| </noinclude>
| |