BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen
Zeile 27: | Zeile 27: | ||
Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können | Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können | ||
; Einwirkungen | |||
Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung | Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung | ||
* Dabei ist zu unterscheiden, ob eine Gefährdung | * Dabei ist zu unterscheiden, ob eine Gefährdung | ||
unmittelbar (direkt) oder nur | unmittelbar (direkt) oder nur | ||
indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt | indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt | ||
Version vom 24. Mai 2024, 15:54 Uhr
Beschreibung
- Erster Schritt einer Risikoanalyse
- Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist
Beschreiben
- Welchen Gefährdungen das Objekt unterliegt
- Anhand der elementaren Gefährdungen als Ausgangspunkt
Grundschutz Bausteine
- Abdeckung mit Grundschutz Bausteine
Abdeckung | Beschreibung |
---|---|
Ausreichend | Alle Aspekte des Zielobjektes können vollständig mit Grundschutz-Bausteinen modelliert werden
|
Unzureichend | Keine ausreichende Abdeckung durch Grundschutz-Bausteine
|
Relevanz einer Gefährdung
Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
- Einwirkungen
Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung
- Dabei ist zu unterscheiden, ob eine Gefährdung
unmittelbar (direkt) oder nur
indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt
Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf
Gefährdungsübersicht
Erstellung einer Gefährdungsübersicht BSI/200-3/Elementaren Gefährdungen
Zusätzliche Gefährdungen
Ermittlung zusätzlicher Gefährdungen BSI/200-3/Gefährdungsübersicht/Zusätzliche Gefährdungen
Risikoanalyse-Meeting
Beispiel
- Relevante Grundschutz-Bausteine für Virtualisierungsserver S007
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- SYS.1.5 Virtualisierung
- Referenzierten elementaren Gefährdungen
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen
Gefährdung | Beschreibung |
---|---|
G 0.14 | Ausspähen von Informationen (Spionage) |
G 0.15 | Abhören |
G 0.18 | Fehlplanung oder fehlende Anpassung |
G 0.19 | Offenlegung schützenswerter Informationen |
G 0.21 | Manipulation von Hard- oder Software |
G 0.22 | Manipulation von Informationen |
G 0.23 | Unbefugtes Eindringen in IT-Systeme |
G 0.25 | Ausfall von Geräten oder Systemen |
G 0.26 | Fehlfunktion von Geräten oder Systemen |
G 0.28 | Software-Schwachstellen oder -Fehler |
G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen |
G 0.31 | Fehlerhafte Nutzung oder Administration von Geräten und Systemen |
G 0.32 | Missbrauch von Berechtigungen |
G 0.40 | Verhinderung von Diensten (Denial of Service) |
G 0.43 | Einspielen von Nachrichten |
G 0.45 | Datenverlust |
G 0.46 | Integritätsverlust schützenswerter Informationen |
Anhang
Siehe auch
Links
Weblinks