|
|
| Zeile 2: |
Zeile 2: |
| | | |
| == Zielobjekte == | | == Zielobjekte == |
| ; Voraussetzung für die Durchführung von Risikoanalysen im Rahmen der Standard-Absicherung
| |
| bei der Strukturanalyse die Zielobjekte des Informationsverbundes
| |
| * zusammengestellt sind
| |
| * deren Schutzbedarf festgestellt ist und
| |
| * ihnen bei der Modellierung soweit möglich passende Grundschutz-Bausteine zugeordnet wurden.
| |
|
| |
| ; Risikoanalyse für solche Zielobjekte
| |
| * hoher oder sehr hoher Schutzbedarf
| |
| ** mindestens einer der drei Grundwerte (Vertraulichkeit, Integrität oder Verfügbarkeit)
| |
| * für die es keinen passenden Grundschutz-Baustein gibt
| |
| * die in Einsatzszenarien betrieben werden, die für den Grundschutz untypisch sind.
| |
|
| |
| Bei einer '''großen Zahl an Zielobjekten''', die eines diese Kriterien erfüllen, sollten Sie eine '''geeignete Priorisierung''' vornehmen.
| |
| * Bei der Vorgehensweise Standard-Absicherung bietet es sich an, zunächst übergeordnete Zielobjekte zu betrachten, etwa den gesamten Informationsverbund, bestimmte Teile des Informationsverbundes oder wichtige Geschäftsprozesse.
| |
| * Bei der Kern-Absicherung sollten Sie vorrangig diejenigen Zielobjekte mit dem höchsten Schutzbedarf untersuchen.
| |
|
| |
| === Liste der betrachteten Zielobjekte ===
| |
|
| |
| === Beispiel ===
| |
| ; Bei der RECPLAST wurde aufgrund der Schutzbedarfsfeststellung und der Modellierung eine Reihe von Zielobjekten ermittelt, für die eine Risikoanalyse durchzuführen ist.
| |
|
| |
| ; Dazu gehören unter anderem die folgenden Komponenten:
| |
| * die Anwendung A002 ''Lotus Notes'', die einen hohen Bedarf an Vertraulichkeit und einen sehr hohen Bedarf an Verfügbarkeit hat,
| |
| * die Netzkopplungselemente N001 ''Router Internet-Anbindung'' und N002 ''Firewall Internet-Eingang'', beide wegen der Vertraulichkeit der über sie übertragenen Daten,
| |
| * der Virtualisierungsserver S007, der in allen drei Grundwerten aufgrund der auf ihm betriebenen virtuellen Systeme einen hohen Schutzbedarf hat,
| |
| * die Alarmanlagen S200 an beiden Standorten in Bonn, deren korrektes Funktionieren als sehr wichtig eingestuft und deren Schutzbedarf bezüglich Integrität und Verfügbarkeit folglich mit „sehr hoch“ bewertet wurde.
| |
|
| |
| Nachfolgend werden die einzelnen Schritte der Risikoanalyse am Beispiel des über beide Standorte hinweg redundant ausgelegten Virtualisierungsservers S007 veranschaulicht.
| |
|
| |
|
| == Gefährdungen == | | == Gefährdungen == |