IT-Grundschutz/Risiko/Management: Unterschied zwischen den Versionen

Versionsgeschichte interaktiv durchsuchen

Zum nächsten Versionsunterschied →

VisuellWikitext

Version vom 6. März 2023, 22:05 Uhr

Themenfeld 8Risikoanalyse

Themenfeld 8Risikoanalyse

8.0 Grundlagen

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung

BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz

Bislang

IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge

Nun

Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3

Implementation eines Risikoentscheidungsprozesses

Keine Risikoakzeptanz bei den Basis-Anforderungen

Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf

8 Überblick

Vorgehensweise nach IT-GrundschutzZusammenfassung

RisikomanagementsystemNeufassung der Risikoanalyse

RisikomanagementsystemAngemessenes Risikomanagement

RisikomanagementsystemRichtlinie zum Umgang mit Risiken

RisikomanagementsystemVorarbeiten und Priorisierung

RisikomanagementsystemListe der betrachteten Zielobjekte

Themenfeld 8Risikoanalyse

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung

RisikomanagementsystemErstellung der Gefährdungsübersicht

Themenfeld 8Risikoanalyse

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung

RisikomanagementsystemErstellung der Gefährdungsübersicht

Ermittlung zusätzlicher Gefährdungen

Quellen

BSI-Gefährdungskataloge

Produktdokumentation

Publikationen über Schwachstellen im Internet

Auch Schwächen eingesetzter Komponenten und Protokolle

Anfrage bei Herstellern

Fachliteratur

Bewertungskriterien (z.B. Common Criteria)

eigene Bedrohungsanalysen

Weitere InformationsquellenSecurity Mailing List Archive: seclists.org

BSI-Standard 200-347. Elementargefährdung

G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe

Von Tätern nicht beabsichtigt Auswirkungen

nicht die unmittelbar angegriffenen Zielobjekte betreffen oder

unbeteiligte Dritte schädigen.

Beispiele

Für DDoS-Angriffe als Bots missbrauchte IT-Systeme

(IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden

Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen

BSI-Standard 200-3Neues Bewertungsverfahren

Lösungsansätze

Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.

Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.

Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.

Dadurch wird automatisch auch das Restrisiko dokumentiert.

Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)

BSI-Standard 200-3Bewertungsverfahren

BSI-Standard 200-3Risikobehandlungsoptionen

BSI-Standard 200-3Konsolidierung

Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?

Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?

Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?

Sind die Sicherheitsmaßnahmen benutzerfreundlich?

Sind die Sicherheitsmaßnahmen angemessen?

Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein

Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen

Ergänzende RisikoanalyseEin Restrisiko bleibt

Realisierung von IT-Sicherheitsmaßnahmen

Schritt 1: Sichtung der Untersuchungsergebnisse

Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?

Schritt 2: Konsolidierung der Maßnahmen

Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?

Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?

Schritt 3: Kosten- und Aufwandsschätzung

Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?

Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.

Schritt 4: Festlegung der Umsetzungsreihenfolge

Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?

Breitenwirkung beachten!

Schritt 5: Festlegung der Verantwortlichkeit

Wer setzt welche Maßnahme bis wann um?

Schritt 6: Realisierungsbegleitende Maßnahmen

Schulung der Mitarbeiter

Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen

Konsolidierung der Maßnahmen

Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge

zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse

=> zu realisierende Maßnahmen

Themenfeld 8Risikoanalyse

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung

@@ Zeile 196: / Zeile 196: @@
 '''8.3Beispiel für die Risikobewertung'''
-'''Quellen'''
-'''grundschutz@bsi.bund.de'''
-<div style="margin-left:0.265cm;margin-right:0cm;">Tel. +49 (0)22899-9582-5369</div>
-<div style="margin-left:0.265cm;margin-right:0cm;">Fax +49 (0)22899-10-9582-5369</div>
-'''Bundesamt für Sicherheit in der Informationstechnik'''
-<div style="margin-left:0.265cm;margin-right:0cm;">Referat „IT-Grundschutz“</div>
-<div style="margin-left:0.265cm;margin-right:0cm;">Godesberger Allee 185-189</div>
-<div style="margin-left:0.265cm;margin-right:0cm;">53175 Bonn</div>
-<div style="margin-left:0.265cm;margin-right:0cm;">www.bsi.bund.de</div>