BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen
K Textersetzung - „Kategorie:Grundschutz“ durch „Kategorie:IT-Grundschutz“ |
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“ |
||
(70 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
=== Beschreibung === | === Beschreibung === | ||
<!-- | |||
: Abb_7_04_Schritt_1.png (Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen | |||
--> | |||
Erster Schritt einer Risikoanalyse | |||
* Risiken identifizieren, denen ein [[Zielobjekt]] ausgesetzt ist | |||
; Beschreibung | |||
* Welchen Gefährdungen das Objekt unterliegt | |||
* Anhand der '''elementaren Gefährdungen als Ausgangspunkt''' | |||
=== Grundschutz Bausteine === | |||
; Abdeckung mit Grundschutz Bausteine | |||
{| class="wikitable options" | |||
|- | |||
! Abdeckung !! Beschreibung | |||
|- | |||
| Ausreichend || Alle Aspekte des Zielobjektes können vollständig mit [[IT-Grundschutz-Baustein]]en modelliert werden | |||
* Risikoanalysen für normalen Schutzbedarf in den Bausteinen enthalten | |||
* In den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird | |||
|- | |||
| Unzureichend || Keine ausreichende Abdeckung durch [[IT-Grundschutz-Baustein]]e | |||
* Vollständige Liste der elementaren Gefährdungen prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind | |||
|} | |||
=== Relevanz einer Gefährdung === | |||
Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen | |||
; Einwirkungen | |||
{| class="wikitable options" | |||
| direkt || unmittelbar | |||
|- | |||
| indirekt || über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend | |||
|} | |||
; Aufgabe | |||
Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können | |||
* Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen | |||
=== Erstellung einer Gefährdungsübersicht === | === Erstellung einer Gefährdungsübersicht === | ||
[[BSI | === Zusätzliche Gefährdungen === | ||
Ermittlung zusätzlicher Gefährdungen | |||
[[BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen]] | |||
=== | ==== Beispiel ==== | ||
[[ | ; Relevante [[IT-Grundschutz-Baustein]]e für ''Virtualisierungsserver S007'' | ||
* SYS.1.1 ''Allgemeiner Server'' | |||
* SYS.1.3 ''Server unter Unix'' | |||
* SYS.1.5 ''Virtualisierung'' | |||
= | ; Referenzierten elementaren Gefährdungen | ||
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen | |||
{| class="wikitable options" | |||
|- | |||
! Gefährdung !! Beschreibung | |||
|- | |||
| G 0.14 || Ausspähen von Informationen (Spionage) | |||
|- | |||
| G 0.15 || Abhören | |||
|- | |||
| G 0.18 || Fehlplanung oder fehlende Anpassung | |||
|- | |||
| G 0.19 || Offenlegung schützenswerter Informationen | |||
|- | |||
| G 0.21 || Manipulation von Hard- oder Software | |||
|- | |||
| G 0.22 || Manipulation von Informationen | |||
|- | |||
| G 0.23 || Unbefugtes Eindringen in IT-Systeme | |||
|- | |||
| G 0.25 || Ausfall von Geräten oder Systemen | |||
|- | |||
| G 0.26 || Fehlfunktion von Geräten oder Systemen | |||
|- | |||
| G 0.28 || Software-Schwachstellen oder -Fehler | |||
|- | |||
| G 0.30 || Unberechtigte Nutzung oder Administration von Geräten und Systemen | |||
|- | |||
| G 0.31 || Fehlerhafte Nutzung oder Administration von Geräten und Systemen | |||
|- | |||
| G 0.32 || Missbrauch von Berechtigungen | |||
|- | |||
| G 0.40 || Verhinderung von Diensten (Denial of Service) | |||
|- | |||
| G 0.43 || Einspielen von Nachrichten | |||
|- | |||
| G 0.45 || Datenverlust | |||
|- | |||
| G 0.46 || Integritätsverlust schützenswerter Informationen | |||
|} | |||
<noinclude> | <noinclude> | ||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | {{Special:PrefixIndex/{{BASEPAGENAME}}}} | ||
==== Links ==== | |||
===== | ===== Weblinks ===== | ||
[[Kategorie:BSI/200-3]] | |||
</noinclude> | </noinclude> |
Aktuelle Version vom 31. Oktober 2024, 13:36 Uhr
Beschreibung
Erster Schritt einer Risikoanalyse
- Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist
- Beschreibung
- Welchen Gefährdungen das Objekt unterliegt
- Anhand der elementaren Gefährdungen als Ausgangspunkt
Grundschutz Bausteine
- Abdeckung mit Grundschutz Bausteine
Abdeckung | Beschreibung |
---|---|
Ausreichend | Alle Aspekte des Zielobjektes können vollständig mit IT-Grundschutz-Bausteinen modelliert werden
|
Unzureichend | Keine ausreichende Abdeckung durch IT-Grundschutz-Bausteine
|
Relevanz einer Gefährdung
Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen
- Einwirkungen
direkt | unmittelbar |
indirekt | über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend |
- Aufgabe
Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
- Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen
Erstellung einer Gefährdungsübersicht
Zusätzliche Gefährdungen
Ermittlung zusätzlicher Gefährdungen BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen
Beispiel
- Relevante IT-Grundschutz-Bausteine für Virtualisierungsserver S007
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- SYS.1.5 Virtualisierung
- Referenzierten elementaren Gefährdungen
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen
Gefährdung | Beschreibung |
---|---|
G 0.14 | Ausspähen von Informationen (Spionage) |
G 0.15 | Abhören |
G 0.18 | Fehlplanung oder fehlende Anpassung |
G 0.19 | Offenlegung schützenswerter Informationen |
G 0.21 | Manipulation von Hard- oder Software |
G 0.22 | Manipulation von Informationen |
G 0.23 | Unbefugtes Eindringen in IT-Systeme |
G 0.25 | Ausfall von Geräten oder Systemen |
G 0.26 | Fehlfunktion von Geräten oder Systemen |
G 0.28 | Software-Schwachstellen oder -Fehler |
G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen |
G 0.31 | Fehlerhafte Nutzung oder Administration von Geräten und Systemen |
G 0.32 | Missbrauch von Berechtigungen |
G 0.40 | Verhinderung von Diensten (Denial of Service) |
G 0.43 | Einspielen von Nachrichten |
G 0.45 | Datenverlust |
G 0.46 | Integritätsverlust schützenswerter Informationen |
Anhang
Siehe auch
Links
Weblinks