BSI/200-3/Einleitung: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
 
(169 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=== Beschreibung ===
=== Beschreibung ===
[[File:1000020100000276000002008EAEFE8B1F52E3F6.png | mini | 500px]]
[[Datei:10000000000002770000037C2683B708F6636D52.jpg|mini|300px]]


; Vereinfachte Risikoanalysen
Notwendig, wenn es fraglich ist, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten
; Anforderungen
; Basis- und Standard-Anforderungen
; Basis- und Standard-Anforderungen
Grundschutz-Bausteine wurden so festgelegt
Grundschutz-Bausteine bieten einen angemessenen und ausreichenden Schutz
* dass dazu passende Maßnahmen für '''normalen Schutzbedarf''' und für '''typische Informationsverbünde''' und '''Anwendungsszenarien''' einen angemessenen und ausreichenden Schutz bieten.
* Normalen Schutzbedarf
* Typische Informationsverbünde
* Anwendungsszenarien
* Anforderungen
 
; Hierfür wurde geprüft
* Welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind
* Wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann


; Hierfür wurde vorab geprüft, welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind und wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann.
; Grundschutzansatz
* Als Anwender des Grundschutzes benötigen Sie daher in der Regel für den weitaus größten Teil eines Informationsverbundes keine aufwendigen Untersuchungen zur Festlegung erforderlicher Sicherheitsmaßnahmen.
; Festlegung erforderlicher Sicherheitsmaßnahmen
Weniger aufwendigen Untersuchungen
* in der Regel
* für den weitaus größten Teil eines Informationsverbundes


; Zusätzlicher Analysebedarf
; Zusätzlicher Analysebedarf
[[File:100000000000078E000003CBE60FB4A0120C79A7.png | mini | 500px]]
[[File:bsiAblauf01.png|mini|400px]]
* Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
 
* Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im Grundschutz-Kompendium.
{| class="wikitable options"
* Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch.
|-
| Hoher/sehr hoher Schutzbedarf || In mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit
|-
| Keine hinreichenden Bausteine || Kein hinreichend passender Baustein im Grundschutz-Kompendium
|-
| Einsatzumgebung untypisch || Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch
|}
 
; Risikoanalyse
Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html BSI-Standard 200-3: Risikomanagement] bietet hierfür eine effiziente Methodik
 
; Zielgruppe
Mit dem Management oder der Durchführung von Risikoanalysen für die Informationssicherheit betraute
* Sicherheitsverantwortliche
* Sicherheitsbeauftragte
* Sicherheitsexperten
* Sicherheitsberater
 
; BSI 200-3 bietet sich an, wenn
* bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 gearbeitet wird
* möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse folgen soll
 
; Je nach Rahmenbedin­gungen und Art des Informationsverbunds
* kann es jedoch zweckmäßig sein
* alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik für die Analyse von Informationsrisiken zu verwenden
 
; BSI 200-3 beschreibt eine Methodik zur Analyse von Risiken
* IT-Grundschutz-Sicherheitskonzept ergänzen
 
; Elementaren Gefährdungen
* Dabei wird die im IT-Grundschutz/Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet
* Es wird empfohlen, die in den Kapiteln 2 bis 8 dargestellte Methodik Schritt für Schritt durchzuarbeiten


; Das grundlegende Verfahren zur Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen ist eine '''Risikoanalyse'''.
; Notfallmanagement
* Der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html -Standard 200-3: Risikomanagement] bietet hierfür eine effiziente Methodik.
Im BSI-Standard [[100-4]] Notfallmanagement ist für besonders kritische Ressourcen der Geschäftsprozesse der Institution ebenfalls eine Risikoanalyse vorgesehen, die sich von der hier beschriebenen nur in einigen Begriffen unterscheidet
* Beide Risikoanalysen können effizient aufeinander abgestimmt werden
* Es ist sinnvoll, dass sich alle Rollen in einer Institution, die sich mit Risikomanagement für einen spezifischen Bereich beschäftigen, miteinander abstimmen und vergleichbare Vorgehensweisen wählen


=== Überblick===
==== Überblick ====
[[File:100000000000077B000003BCD0F57C921746BBC7.png | mini | 500px]]
'''BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz'''
'''BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz'''
* Bündelung aller risikobezogenen Arbeitsschritte in [[BSI/Standard/200-3|BSI-Standard 200-3]]
* Bündelung aller risikobezogenen Arbeitsschritte in [[BSI/200-3|BSI-Standard 200-3]]
* Implementation eines Risikoentscheidungsprozesses
* Implementation eines Risikoentscheidungsprozesses
* Keine Risikoakzeptanz bei den Basis-Anforderungen
* Keine Risikoakzeptanz bei den Basis-Anforderungen
* Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
* Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf


; Risikomanagementsystem
==== Risikomanagementsystem ====
[[File:1000000000000796000003D06E42B8D63E104B2A.png | mini | 500px]]
* Angemessenes Risikomanagement
* Angemessenes Risikomanagement
* Richtlinie zum Umgang mit Risiken
* Richtlinie zum Umgang mit Risiken
* Vorarbeiten und Priorisierung
* Vorarbeiten und Priorisierung


=== Richtlinie ===
==== Normen ====
; Richtlinie zum Umgang mit Risiken
; Zusammenspiel mit ISO/IEC 31000 und ISO/IEC 27005
Bevor Sie mit der Durchführung von Risikoanalysen beginnen, sollte die Leitung Ihrer Institution grundlegende Aspekte hierfür in einer '''Richtlinie zum Umgang mit Risiken''' festlegen:
{| class="wikitable option big"
* Unter welchen Voraussetzungen ist eine Risikoanalyse erforderlich?
| [[ISO/IEC_31000|ISO/IEC 31000]] || ISO-Norm zum Risikomanagement
* Mit welchem Verfahren werden Risiken identifiziert, eingeschätzt, bewertet und behandelt und wie ist dieses Verfahren an die Gegebenheiten der Institution angepasst und in den Sicherheitsprozess integriert?
|-
* Welche Organisationseinheiten sind für die verschiedenen Teilaufgaben des Risikomanagements zuständig?
| [[ISO/27005|ISO/IEC 27005]] || Risikomanagement in der Informationssicherheit
* Wie sind die Berichtspflichten geregelt?
|}
* Welche Kriterien müssen erfüllt sein, damit Risiken akzeptiert werden?
* In welchen zeitlichen Intervallen und bei welchen Ereignissen müssen Risikoanalysen aktualisiert werden?


Diese Richtlinie und die zugehörigen organisatorischen Umsetzungen sollten regelmäßig auf ihre Aktualität und Angemessenheit geprüft werden.
=== Einordnung IT-Grundschutz ===
==== Wann MUSS eine Risikoanalyse durchgeführt werden? ====
In bestimmten Fällen muss explizit eine Risikoanalyse durchgeführt werden
Beispielsweise, wenn der Informationsverbund Zielobjekte enthält, die
* einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulich­keit, Integrität oder Verfügbarkeit haben oder
* mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
* in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grund­schutzes nicht vorgesehen sind


==== Beispiel ====
==== In diesen Fällen stellen sich folgende Fragen ====
[[File:100000000000094A000005329D4160E12DB73ADD.jpg | mini | 500px]]
* Welchen Gefährdungen für Informationen ist durch die Umsetzung der relevanten IT-Grund­schutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen?
; In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln.
* Müssen eventuell ergänzende Sicherheitsmaßnahmen, die über das IT-Grundschutz-Modell hin­ausgehen, eingeplant und umgesetzt werden?
* Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums.
* Als Methode für unter Umständen erforderliche Risikoanalysen wurde der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html -Standard 200-3] festgelegt.
* In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können.
* Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.


; Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet.
==== BSI 200-3 ====
* Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt.
* Beschreibt, wie für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf besteht, um Informationssicherheitsrisiken zu reduzieren
* Hierzu werden Risiken, die von elementaren Gefährdungen ausgehen, eingeschätzt und anhand einer Matrix bewertet
* Die Einschätzung erfolgt über die zu erwartende Häufigkeit des Eintretens und die Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht
* Aus diesen beiden Anteilen ergibt sich das Risiko


; Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt.
==== Zweistufige Risikoanalyse ====
* Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.
# In einem ersten Schritt wird die in Kapitel 4 erstellte Gefährdungsübersicht systematisch abgearbeitet
# Dabei wird für jedes Zielobjekt und jede Gefährdung eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind (siehe Beispiele in Kapitel 5)


; Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus:
In der Regel wird es sich hierbei um Sicherheitsmaßnahmen handeln, die aus den Basis- und Standard-Anforderungen des IT-Grundschutz/Kompendiums abgeleitet worden sind
* Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken?
* An die erste Bewertung schließt sich eine erneute Bewertung an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden (siehe Beispiele in Kapitel 6)
* Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren?
* Durch einen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen, die zur Risikobehandlung eingesetzt worden sind
* Wer ist für die Durchführung der Analysen verantwortlich?
* Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?


=== Zielsetzung ===
==== Risiken und Chancen ====
; Mit dem BSI-Standard 200-3 stellt das BSI ein leicht anzuwendendes und anerkanntes Vorgehen zur Verfügung, mit dem Institutionen ihre Informationssicherheitsrisiken angemessen und zielgerichtet steuern können.
Chancen und Risiken sind die häufig auf Berechnungen beruhenden Vorhersagen eines möglichen Nutzens im positiven Fall bzw. Schadens im negativen Fall
* Das Vorgehen basiert auf den elementaren Gefährdungen, die im IT-Grundschutz-Kompendium beschrieben sind und auf deren Basis auch die IT-Grundschutz-Bausteine erstellt werden.
* Was als Nutzen oder Schaden aufgefasst wird, hängt von den Wertvorstellungen einer Institution ab


; In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt.
BSI 200-3 konzentriert sich auf die Betrachtung der negativen Auswirkungen von Risiken, mit dem Ziel, adäquate Maßnahmen zur Risikominimierung aufzuzeigen
* Hierbei werden nur solche Gefährdungen betrachtet, die eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müssen.
* In der Praxis werden im Rahmen des Risikomanagements meistens nur die negativen Auswirkungen betrachtet
* Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte.
* Ergänzend hierzu sollten sich Institutionen jedoch auch mit den positiven Auswirkungen befassen
* Dieser Ansatz hat den Vorteil, dass Anwender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedrohungs- und Schwachstellenanalyse durchführen müssen, weil diese bereits vorab vom BSI durchgeführt wurde.


=== Abgrenzung, Begriffe und Einordnung in den IT-Grundschutz ===
==== Risikoanalyse ====
; In bestimmten Fällen muss jedoch explizit eine Risikoanalyse durchgeführt werden, beispielsweise wenn der betrachtete Informationsverbund Zielobjekte enthält, die
[[File:100000000000094A000005329D4160E12DB73ADD.jpg|mini|500px]]
* einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulich­keit, Integrität oder Verfügbarkeit haben oder
* mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
* in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grund­schutzes nicht vorgesehen sind.


; In diesen Fällen stellen sich folgende Fragen
Als Risikoanalyse wird IT-Grundschutz der komplette Prozess bezeichnet
* Welchen Gefährdungen für Informationen ist durch die Umsetzung der relevanten IT-Grund­schutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen?
* Risiken beurteilen (identifizieren, einschätzen und bewerten) und behandeln
* Müssen eventuell ergänzende Sicherheitsmaßnahmen, die über das IT-Grundschutz-Modell hin­ausgehen, eingeplant und umgesetzt werden?


; Das vorliegende Dokument beschreibt, wie für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf besteht, um Informationssicherheitsrisiken zu reduzieren.
==== ISO 31000 und ISO 27005 ====
* Hierzu werden Risiken, die von elementaren Gefährdungen ausgehen, eingeschätzt und anhand einer Matrix bewertet.
Risikoanalyse bezeichnet aber nach den einschlägigen ISO-Normen ISO 31000 (siehe [31000]) und ISO 27005 (siehe [27005]) nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht
* Die Einschätzung erfolgt über die zu erwartende Häufigkeit des Eintretens und die Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht.
* Identifikation von Risiken (Risk Identification)
* Aus diesen beiden Anteilen ergibt sich das Risiko.
* Analyse von Risiken (Risk Analysis)
* Evaluation oder Bewertung von Risiken (Risk Evaluation)


; Im vorliegenden BSI-Standard 200-3 ist die Risikoanalyse zweistufig angelegt
==== Deutscher Sprachgebrauch ====
* In einem ersten Schritt wird die in Kapitel 4 erstellte Gefährdungsübersicht systematisch abgearbeitet.
Begriff „Risikoanalyse“ für den kompletten Pro­zess der Risikobeurteilung und Risikobehandlung etabliert
* Dabei wird für jedes Zielobjekt und jede Gefährdung eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind (siehe Beispiele in Kapitel 5).
* Daher wird im IT-Grundschutz weiter der Begriff „Risikoanalyse“ für den umfassenden Prozess benutzt
* In der Regel wird es sich hierbei um Sicherheitsmaßnahmen handeln, die aus den Basis- und Standard-Anforderungen des IT-Grundschutz-Kompendiums abgeleitet worden sind.
* An die erste Bewertung schließt sich eine erneute Bewertung an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden (siehe Beispiele in Kapitel 6).
* Durch einen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen, die zur Risikobehandlung eingesetzt worden sind.


; Chancen und Risiken sind die häufig auf Berechnungen beruhenden Vorhersagen eines möglichen Nutzens im positiven Fall bzw. Schadens im negativen Fall.
==== Internationalen Normen ====
* Was als Nutzen oder Schaden aufgefasst wird, hängt von den Wertvorstellungen einer Institution ab.
In den internationalen Normen, insbesondere der [[ISO 31000]], werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist
* Daher findet sich im Anhang eine Tabelle, in der die wesent­lichen Begriffe aus [[ISO 31000]] und dem 200-3 gegenübergestellt werden (siehe Tabelle 11)


; Dieser Standard konzentriert sich auf die Betrachtung der negativen Auswirkungen von Risiken, mit dem Ziel, adäquate Maßnahmen zur Risikominimierung aufzuzeigen.
=== Zielsetzung ===
* In der Praxis werden im Rahmen des Risikomanagements meistens nur die negativen Auswirkungen betrachtet.
; Informationssicherheitsrisiken steuern
* Ergänzend hierzu sollten sich Institutionen jedoch durchaus auch mit den positiven Auswirkungen befassen.
* Anerkanntes Vorgehen
* Angemessen
* Zielgerichtet
* Leicht anwendbar


=== Risikoanalyse ===
==== Elementare Gefährdungen ====
; Als Risikoanalyse wird in diesem Werk der komplette Prozess bezeichnet, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) sowie zu behandeln. Risikoanalyse bezeichnet aber nach den einschlägigen ISO-Normen ISO 31000 (siehe [31000]) und ISO 27005 (siehe [27005]) nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht:
Vorgehen basiert auf [[Elementaren Gefährdungen]]
* Identifikation von Risiken (Risk Identification)
* Im IT-Grundschutz/Kompendium beschrieben
* Analyse von Risiken (Risk Analysis)
* Basis für die Erstellung der IT-Grundschutz-Bausteine
* Evaluation oder Bewertung von Risiken (Risk Evaluation)


; Im deutschen Sprachgebrauch hat sich allerdings der Begriff „Risikoanalyse“ für den kompletten Pro­zess der Risikobeurteilung und Risikobehandlung etabliert. Daher wird im IT-Grundschutz und auch in diesem Dokument weiter der Begriff „Risikoanalyse“ für den umfassenden Prozess benutzt.
==== Risikobewertung ====
In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt
* Hierbei werden nur solche Gefährdungen betrachtet, die eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müssen
* Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte
* Dieser Ansatz hat den Vorteil, dass Anwender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedrohungs- und Schwachstellenanalyse durchführen müssen, weil diese bereits vorab vom BSI durchgeführt wurde


; Die Risikoanalyse nach BSI-Standard 200-3 sieht folgende Schritte vor (siehe auch Abbildung 1), die in den jeweiligen Kapiteln ausführlicher betrachtet werden.
=== Übersicht ===
; Schritte Risikoanalyse nach BSI-Standard 200-3
: Integration der Risikoanalyse in den Sicherheitsprozess


; Schritt 1: Erstellung einer Gefährdungsübersicht (siehe Kapitel 4)
{| class="wikitable options"
|-
! !! Arbeitsschitt !! 200-3 || Beschreibung
|-
| 1 || '''Gefährdungen ermitteln''' || Kapitel 4 ||
* Zusammenstellung einer Liste von möglichen elementaren Gefährdungen
* Zusammenstellung einer Liste von möglichen elementaren Gefährdungen
* Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben
* Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben
 
|-
; Schritt 2: Risikoeinstufung (siehe Kapitel 5)
| 2 || '''Risikoeinstufung''' || Kapitel 5 ||
* Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
* Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
* Risikobewertung (Ermittlung der Risikokategorie)
* Risikobewertung (Ermittlung der Risikokategorie)
 
|-
; Schritt 3: Risikobehandlung (siehe Kapitel 6)
| 3 || '''Risikobehandlung''' || Kapitel 6 ||
* Risikovermeidung
* Risikovermeidung
* Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen)
* Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen)
* Risikotransfer
* Risikotransfer
* Risikoakzeptanz
* Risikoakzeptanz
; Schritt 4: Konsolidierung des Sicherheitskonzepts (siehe Kapitel 7)
|-
| 4 || '''Konsolidierung''' || Kapitel 7 ||
* Konsolidierung des Sicherheitskonzepts
* Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen in das Sicherheitskonzept
* Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen in das Sicherheitskonzept
|}


; Abbildung 1: Integration der Risikoanalyse in den Sicherheitsprozess
<noinclude>
 
; In den internationalen Normen, insbesondere der ISO 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist.
* Daher findet sich im Anhang eine Tabelle, in der die wesent­lichen Begriffe aus ISO 31000 und dem 200-3 gegenübergestellt werden (siehe Tabelle 11).
 
=== Adressatenkreis ===
; Der Standard 200-2 Dokument richtet sich an
* Sicherheitsverantwortliche, -beauftragte, -experten, -berater und alle Interessierten, die mit dem Management von oder der Durchführung von Risikoanalysen für die Informationssicherheit betraut sind.
 
; Dieser Standard bietet sich an
* wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 (siehe [BSI2]) arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.
 
; Abhängig von den Rahmenbedin­gungen
* einer Institution und der Art des Informationsverbunds kann es jedoch zweckmäßig sein, alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik für die Analyse von Informationsrisiken zu verwenden.


=== Anwendungsweise ===
=== Anhang ===
; Dieses Dokument beschreibt eine Methodik zur Analyse von Risiken.
==== Siehe auch ====
* Diese kann benutzt werden, um ein IT-Grundschutz-Sicherheitskonzept zu ergänzen.
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
* Dabei wird die im IT-Grundschutz-Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet.
* Es wird empfohlen, die in den Kapiteln 2 bis 8 dargestellte Methodik Schritt für Schritt durchzuarbeiten.


; Im BSI-Standard 100-4 Notfallmanagement (siehe [BSI4]) ist für besonders kritische Ressourcen der Geschäftsprozesse der Institution ebenfalls eine Risikoanalyse vorgesehen, die sich von der hier beschriebenen nur in einigen Begriffen unterscheidet.
===== Links =====
* Beide Risikoanalysen können effizient aufeinander abgestimmt werden.
====== Weblinks ======
* Es ist sinnvoll, dass sich alle Rollen in einer Institution, die sich mit Risikomanagement für einen spezifischen Bereich beschäftigen, miteinander abstimmen und vergleichbare Vorgehensweisen wählen.


[[Kategorie:Grundschutz/Standard/200-3]]
[[Kategorie:BSI/200-3]]
</noinclude>

Aktuelle Version vom 17. Oktober 2024, 23:56 Uhr

Beschreibung

Vereinfachte Risikoanalysen

Notwendig, wenn es fraglich ist, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten

Anforderungen
Basis- und Standard-Anforderungen

Grundschutz-Bausteine bieten einen angemessenen und ausreichenden Schutz

  • Normalen Schutzbedarf
  • Typische Informationsverbünde
  • Anwendungsszenarien
  • Anforderungen
Hierfür wurde geprüft
  • Welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind
  • Wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann
Grundschutzansatz
Festlegung erforderlicher Sicherheitsmaßnahmen

Weniger aufwendigen Untersuchungen

  • in der Regel
  • für den weitaus größten Teil eines Informationsverbundes
Zusätzlicher Analysebedarf
Hoher/sehr hoher Schutzbedarf In mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit
Keine hinreichenden Bausteine Kein hinreichend passender Baustein im Grundschutz-Kompendium
Einsatzumgebung untypisch Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch
Risikoanalyse

Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen

Zielgruppe

Mit dem Management oder der Durchführung von Risikoanalysen für die Informationssicherheit betraute

  • Sicherheitsverantwortliche
  • Sicherheitsbeauftragte
  • Sicherheitsexperten
  • Sicherheitsberater
BSI 200-3 bietet sich an, wenn
  • bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 gearbeitet wird
  • möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse folgen soll
Je nach Rahmenbedin­gungen und Art des Informationsverbunds
  • kann es jedoch zweckmäßig sein
  • alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik für die Analyse von Informationsrisiken zu verwenden
BSI 200-3 beschreibt eine Methodik zur Analyse von Risiken
  • IT-Grundschutz-Sicherheitskonzept ergänzen
Elementaren Gefährdungen
  • Dabei wird die im IT-Grundschutz/Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet
  • Es wird empfohlen, die in den Kapiteln 2 bis 8 dargestellte Methodik Schritt für Schritt durchzuarbeiten
Notfallmanagement

Im BSI-Standard 100-4 Notfallmanagement ist für besonders kritische Ressourcen der Geschäftsprozesse der Institution ebenfalls eine Risikoanalyse vorgesehen, die sich von der hier beschriebenen nur in einigen Begriffen unterscheidet

  • Beide Risikoanalysen können effizient aufeinander abgestimmt werden
  • Es ist sinnvoll, dass sich alle Rollen in einer Institution, die sich mit Risikomanagement für einen spezifischen Bereich beschäftigen, miteinander abstimmen und vergleichbare Vorgehensweisen wählen

Überblick

BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz

  • Bündelung aller risikobezogenen Arbeitsschritte in BSI-Standard 200-3
  • Implementation eines Risikoentscheidungsprozesses
  • Keine Risikoakzeptanz bei den Basis-Anforderungen
  • Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf

Risikomanagementsystem

  • Angemessenes Risikomanagement
  • Richtlinie zum Umgang mit Risiken
  • Vorarbeiten und Priorisierung

Normen

Zusammenspiel mit ISO/IEC 31000 und ISO/IEC 27005
ISO/IEC 31000 ISO-Norm zum Risikomanagement
ISO/IEC 27005 Risikomanagement in der Informationssicherheit

Einordnung IT-Grundschutz

Wann MUSS eine Risikoanalyse durchgeführt werden?

In bestimmten Fällen muss explizit eine Risikoanalyse durchgeführt werden Beispielsweise, wenn der Informationsverbund Zielobjekte enthält, die

  • einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulich­keit, Integrität oder Verfügbarkeit haben oder
  • mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
  • in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grund­schutzes nicht vorgesehen sind

In diesen Fällen stellen sich folgende Fragen

  • Welchen Gefährdungen für Informationen ist durch die Umsetzung der relevanten IT-Grund­schutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen?
  • Müssen eventuell ergänzende Sicherheitsmaßnahmen, die über das IT-Grundschutz-Modell hin­ausgehen, eingeplant und umgesetzt werden?

BSI 200-3

  • Beschreibt, wie für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf besteht, um Informationssicherheitsrisiken zu reduzieren
  • Hierzu werden Risiken, die von elementaren Gefährdungen ausgehen, eingeschätzt und anhand einer Matrix bewertet
  • Die Einschätzung erfolgt über die zu erwartende Häufigkeit des Eintretens und die Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht
  • Aus diesen beiden Anteilen ergibt sich das Risiko

Zweistufige Risikoanalyse

  1. In einem ersten Schritt wird die in Kapitel 4 erstellte Gefährdungsübersicht systematisch abgearbeitet
  2. Dabei wird für jedes Zielobjekt und jede Gefährdung eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind (siehe Beispiele in Kapitel 5)

In der Regel wird es sich hierbei um Sicherheitsmaßnahmen handeln, die aus den Basis- und Standard-Anforderungen des IT-Grundschutz/Kompendiums abgeleitet worden sind

  • An die erste Bewertung schließt sich eine erneute Bewertung an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden (siehe Beispiele in Kapitel 6)
  • Durch einen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen, die zur Risikobehandlung eingesetzt worden sind

Risiken und Chancen

Chancen und Risiken sind die häufig auf Berechnungen beruhenden Vorhersagen eines möglichen Nutzens im positiven Fall bzw. Schadens im negativen Fall

  • Was als Nutzen oder Schaden aufgefasst wird, hängt von den Wertvorstellungen einer Institution ab

BSI 200-3 konzentriert sich auf die Betrachtung der negativen Auswirkungen von Risiken, mit dem Ziel, adäquate Maßnahmen zur Risikominimierung aufzuzeigen

  • In der Praxis werden im Rahmen des Risikomanagements meistens nur die negativen Auswirkungen betrachtet
  • Ergänzend hierzu sollten sich Institutionen jedoch auch mit den positiven Auswirkungen befassen

Risikoanalyse

Als Risikoanalyse wird IT-Grundschutz der komplette Prozess bezeichnet

  • Risiken beurteilen (identifizieren, einschätzen und bewerten) und behandeln

ISO 31000 und ISO 27005

Risikoanalyse bezeichnet aber nach den einschlägigen ISO-Normen ISO 31000 (siehe [31000]) und ISO 27005 (siehe [27005]) nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht

  • Identifikation von Risiken (Risk Identification)
  • Analyse von Risiken (Risk Analysis)
  • Evaluation oder Bewertung von Risiken (Risk Evaluation)

Deutscher Sprachgebrauch

Begriff „Risikoanalyse“ für den kompletten Pro­zess der Risikobeurteilung und Risikobehandlung etabliert

  • Daher wird im IT-Grundschutz weiter der Begriff „Risikoanalyse“ für den umfassenden Prozess benutzt

Internationalen Normen

In den internationalen Normen, insbesondere der ISO 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist

  • Daher findet sich im Anhang eine Tabelle, in der die wesent­lichen Begriffe aus ISO 31000 und dem 200-3 gegenübergestellt werden (siehe Tabelle 11)

Zielsetzung

Informationssicherheitsrisiken steuern
  • Anerkanntes Vorgehen
  • Angemessen
  • Zielgerichtet
  • Leicht anwendbar

Elementare Gefährdungen

Vorgehen basiert auf Elementaren Gefährdungen

  • Im IT-Grundschutz/Kompendium beschrieben
  • Basis für die Erstellung der IT-Grundschutz-Bausteine

Risikobewertung

In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt

  • Hierbei werden nur solche Gefährdungen betrachtet, die eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müssen
  • Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte
  • Dieser Ansatz hat den Vorteil, dass Anwender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedrohungs- und Schwachstellenanalyse durchführen müssen, weil diese bereits vorab vom BSI durchgeführt wurde

Übersicht

Schritte Risikoanalyse nach BSI-Standard 200-3
Integration der Risikoanalyse in den Sicherheitsprozess
Arbeitsschitt 200-3 Beschreibung
1 Gefährdungen ermitteln Kapitel 4
  • Zusammenstellung einer Liste von möglichen elementaren Gefährdungen
  • Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben
2 Risikoeinstufung Kapitel 5
  • Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
  • Risikobewertung (Ermittlung der Risikokategorie)
3 Risikobehandlung Kapitel 6
  • Risikovermeidung
  • Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen)
  • Risikotransfer
  • Risikoakzeptanz
4 Konsolidierung Kapitel 7
  • Konsolidierung des Sicherheitskonzepts
  • Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen in das Sicherheitskonzept


Anhang

Siehe auch

Links
Weblinks