|
|
| Zeile 13: |
Zeile 13: |
| ===== Projekt ===== | | ===== Projekt ===== |
| ===== Weblinks ===== | | ===== Weblinks ===== |
|
| |
| = TMP =
| |
| === Beschreibung ===
| |
| [[File:1000020100000276000002008EAEFE8B1F52E3F6.png | mini | 500px]]
| |
|
| |
| ; Basis- und Standard-Anforderungen
| |
| Grundschutz-Bausteine wurden so festgelegt
| |
| * dass dazu passende Maßnahmen für '''normalen Schutzbedarf''' und für '''typische Informationsverbünde''' und '''Anwendungsszenarien''' einen angemessenen und ausreichenden Schutz bieten.
| |
|
| |
| Hierfür wurde vorab geprüft
| |
| * welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind und
| |
| * wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann.
| |
|
| |
| Als Anwender des Grundschutzes benötigen Sie daher in der Regel für den weitaus größten Teil eines Informationsverbundes keine aufwendigen Untersuchungen zur Festlegung erforderlicher Sicherheitsmaßnahmen.
| |
|
| |
| ; Zusätzlicher Analysebedarf
| |
| * Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
| |
| * Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im Grundschutz-Kompendium
| |
| * Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch
| |
|
| |
| ; Das grundlegende Verfahren zur Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen ist eine '''Risikoanalyse'''.
| |
| * [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html BSI-Standard 200-3: Risikomanagement] bietet hierfür eine effiziente Methodik
| |
|
| |
| ==== Adressatenkreis ====
| |
| ; Zielgruppe
| |
| Personen, die mit dem Management oder der Durchführung von Risikoanalysen für die Informationssicherheit betraut sind
| |
| * Sicherheitsverantwortliche
| |
| * Sicherheitsbeauftragte
| |
| * Sicherheitsexperten
| |
| * Sicherheitsberater
| |
|
| |
| ; BSI 200-3 bietet sich an, wenn
| |
| * bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 gearbeitet wird
| |
| * möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse folgen soll
| |
|
| |
| ; Je nach Rahmenbedingungen und Art des Informationsverbunds
| |
| * kann es jedoch zweckmäßig sein
| |
| * alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik für die Analyse von Informationsrisiken zu verwenden
| |
|
| |
| ==== Anwendungsweise ====
| |
| [[File:100000000000077B000003BCD0F57C921746BBC7.png | mini | 500px | Unterschiede zu BSI 100-3]]
| |
| ; BSI 200-3 beschreibt eine Methodik zur Analyse von Risiken
| |
| * IT-Grundschutz-Sicherheitskonzept ergänzen
| |
|
| |
| ; Liste von elementaren Gefährdungen
| |
| * Dabei wird die im IT-Grundschutz-Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet.
| |
| * Es wird empfohlen, die in den Kapiteln 2 bis 8 dargestellte Methodik Schritt für Schritt durchzuarbeiten.
| |
|
| |
| ; Notfallmanagement
| |
| Im BSI-Standard [[100-4]] Notfallmanagement ist für besonders kritische Ressourcen der Geschäftsprozesse der Institution ebenfalls eine Risikoanalyse vorgesehen, die sich von der hier beschriebenen nur in einigen Begriffen unterscheidet.
| |
| * Beide Risikoanalysen können effizient aufeinander abgestimmt werden.
| |
| * Es ist sinnvoll, dass sich alle Rollen in einer Institution, die sich mit Risikomanagement für einen spezifischen Bereich beschäftigen, miteinander abstimmen und vergleichbare Vorgehensweisen wählen.
| |
|
| |
| === Überblick===
| |
|
| |
| '''BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz'''
| |
| * Bündelung aller risikobezogenen Arbeitsschritte in [[BSI/Standard/200-3|BSI-Standard 200-3]]
| |
| * Implementation eines Risikoentscheidungsprozesses
| |
| * Keine Risikoakzeptanz bei den Basis-Anforderungen
| |
| * Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
| |
|
| |
| ; Risikomanagementsystem
| |
| * Angemessenes Risikomanagement
| |
| * Richtlinie zum Umgang mit Risiken
| |
| * Vorarbeiten und Priorisierung
| |
|
| |
| === Zielsetzung ===
| |
| ; Anerkanntes Vorgehen
| |
| Informationssicherheitsrisiken steuern
| |
| * angemessen
| |
| * zielgerichtet
| |
| * leicht anwendbar
| |
|
| |
| ; Vorgehen basiert elementaren Gefährdungen
| |
| * Im IT-Grundschutz-Kompendium beschrieben
| |
| * Basis für die Erstellung der IT-Grundschutz-Bausteine
| |
|
| |
| ; In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt.
| |
| * Hierbei werden nur solche Gefährdungen betrachtet, die eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müssen.
| |
| * Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte.
| |
| * Dieser Ansatz hat den Vorteil, dass Anwender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedrohungs- und Schwachstellenanalyse durchführen müssen, weil diese bereits vorab vom BSI durchgeführt wurde.
| |
|
| |
| === Abgrenzung, Begriffe und Einordnung in den IT-Grundschutz ===
| |
| ; In bestimmten Fällen muss explizit eine Risikoanalyse durchgeführt werden
| |
| Beispielsweise, wenn der Informationsverbund Zielobjekte enthält, die
| |
| * einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder
| |
| * mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
| |
| * in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.
| |
|
| |
| ; In diesen Fällen stellen sich folgende Fragen
| |
| * Welchen Gefährdungen für Informationen ist durch die Umsetzung der relevanten IT-Grundschutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen?
| |
| * Müssen eventuell ergänzende Sicherheitsmaßnahmen, die über das IT-Grundschutz-Modell hinausgehen, eingeplant und umgesetzt werden?
| |
|
| |
| ; BSI 200-3 beschreibt
| |
| * Wie für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf besteht, um Informationssicherheitsrisiken zu reduzieren.
| |
| * Hierzu werden Risiken, die von elementaren Gefährdungen ausgehen, eingeschätzt und anhand einer Matrix bewertet.
| |
| * Die Einschätzung erfolgt über die zu erwartende Häufigkeit des Eintretens und die Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht.
| |
| * Aus diesen beiden Anteilen ergibt sich das Risiko.
| |
|
| |
| ; Zweistufige Risikoanalyse
| |
| # In einem ersten Schritt wird die in Kapitel 4 erstellte Gefährdungsübersicht systematisch abgearbeitet.
| |
| # Dabei wird für jedes Zielobjekt und jede Gefährdung eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind (siehe Beispiele in Kapitel 5).
| |
|
| |
| In der Regel wird es sich hierbei um Sicherheitsmaßnahmen handeln, die aus den Basis- und Standard-Anforderungen des IT-Grundschutz-Kompendiums abgeleitet worden sind.
| |
| * An die erste Bewertung schließt sich eine erneute Bewertung an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden (siehe Beispiele in Kapitel 6).
| |
| * Durch einen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen, die zur Risikobehandlung eingesetzt worden sind.
| |
|
| |
| ; Chancen und Risiken sind die häufig auf Berechnungen beruhenden Vorhersagen eines möglichen Nutzens im positiven Fall bzw. Schadens im negativen Fall.
| |
| * Was als Nutzen oder Schaden aufgefasst wird, hängt von den Wertvorstellungen einer Institution ab.
| |
|
| |
| ; Risiken und Chancen
| |
| BSI 200-3 konzentriert sich auf die Betrachtung der negativen Auswirkungen von Risiken, mit dem Ziel, adäquate Maßnahmen zur Risikominimierung aufzuzeigen.
| |
| * In der Praxis werden im Rahmen des Risikomanagements meistens nur die negativen Auswirkungen betrachtet.
| |
| * Ergänzend hierzu sollten sich Institutionen jedoch auch mit den positiven Auswirkungen befassen.
| |
|
| |
| ==== Risikoanalyse ====
| |
| [[File:100000000000094A000005329D4160E12DB73ADD.jpg | mini | 500px]]
| |
| ; Als Risikoanalyse wird IT-Grundschutz der komplette Prozess bezeichnet
| |
| * Risiken beurteilen (identifizieren, einschätzen und bewerten) und behandeln
| |
|
| |
| ; ISO 31000 und ISO 27005
| |
| Risikoanalyse bezeichnet aber nach den einschlägigen ISO-Normen ISO 31000 (siehe [31000]) und ISO 27005 (siehe [27005]) nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht:
| |
| * Identifikation von Risiken (Risk Identification)
| |
| * Analyse von Risiken (Risk Analysis)
| |
| * Evaluation oder Bewertung von Risiken (Risk Evaluation)
| |
|
| |
| ; Deutscher Sprachgebrauch
| |
| * Begriff „Risikoanalyse“ für den kompletten Prozess der Risikobeurteilung und Risikobehandlung etabliert
| |
| * Daher wird im IT-Grundschutz weiter der Begriff „Risikoanalyse“ für den umfassenden Prozess benutzt
| |
|
| |
| == Risikoanalyse nach BSI 200-3 ==
| |
| ; Die Risikoanalyse nach BSI-Standard 200-3 sieht folgende Schritte vor
| |
| : siehe Abbildung 1
| |
|
| |
| ; Schritt 1: Erstellung einer Gefährdungsübersicht (siehe Kapitel 4)
| |
| * Zusammenstellung einer Liste von möglichen elementaren Gefährdungen
| |
| * Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben
| |
|
| |
| ; Schritt 2: Risikoeinstufung (siehe Kapitel 5)
| |
| * Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
| |
| * Risikobewertung (Ermittlung der Risikokategorie)
| |
|
| |
| ; Schritt 3: Risikobehandlung (siehe Kapitel 6)
| |
| * Risikovermeidung
| |
| * Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen)
| |
| * Risikotransfer
| |
| * Risikoakzeptanz
| |
| ; Schritt 4: Konsolidierung des Sicherheitskonzepts (siehe Kapitel 7)
| |
| * Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen in das Sicherheitskonzept
| |
|
| |
| ; Abbildung 1: Integration der Risikoanalyse in den Sicherheitsprozess
| |
|
| |
| ; In den internationalen Normen, insbesondere der [[ISO 31000]], werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist.
| |
| * Daher findet sich im Anhang eine Tabelle, in der die wesentlichen Begriffe aus [[ISO 31000]] und dem 200-3 gegenübergestellt werden (siehe Tabelle 11).
| |
|
| |
| === Beispiel ===
| |
| ; In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln.
| |
| * Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums.
| |
| * Als Methode für unter Umständen erforderliche Risikoanalysen wurde der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html -Standard 200-3] festgelegt.
| |
| * In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können.
| |
| * Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.
| |
|
| |
| ; Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet.
| |
| * Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt.
| |
|
| |
| ; Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt.
| |
| * Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.
| |
|
| |
| ==== Übung ====
| |
| ; Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus
| |
| * Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken?
| |
| * Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren?
| |
| * Wer ist für die Durchführung der Analysen verantwortlich?
| |
| * Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?
| |
|
| |
| == Beispiele ==
| |
| === Beispiel 1 ===
| |
| Im Folgenden wird anhand einer fiktiven Institution, der RECPLAST GmbH, beispielhaft dargestellt, wie Risiken eingeschätzt, bewertet und behandelt werden können.
| |
| * Zu beachten ist, dass die Struktur der RECPLAST GmbH im Hinblick auf Informationssicherheit keineswegs optimal ist.
| |
| Sie dient lediglich dazu, die Vorgehensweise bei der Durchführung von Risikoanalysen zu illustrieren.
| |
| Die RECPLAST GmbH ist eine fiktive Institution mit ca. 500 Mitarbeitern, von denen 130 an Bildschirmarbeitsplätzen arbeiten.
| |
| * Räumlich ist die RECPLAST GmbH aufgeteilt in zwei Standorte innerhalb Bonns, wo unter anderem die administrativen und produzierenden Aufgaben wahrgenommen werden, und drei Vertriebsstandorte in Deutschland.
| |
|
| |
| Das IT-Netz ist in mehrere Teilbereiche aufgeteilt.
| |
| * Für die Beispiele in dieser Risikoanalyse wird das Teilnetz A (vergleiche Abbildung 2 in Kapitel 4) näher betrachtet.
| |
| * Der Zugang zum Teilnetz A ist durch die Firewall N1 abgesichert.
| |
| * Die Server S1 (Virtualisierungsserver) und S5 werden durch einzelne Switches angebunden.
| |
| Der Virtualisierungsserver S1 stellt verschiedene Dienste zur Verfügung, z. B. werden dort in virtuellen Maschinen File- und E-Mail-Server betrieben.
| |
| * Diese Anwendungen haben teilweise einen hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit.
| |
| * Durch das Maximumprinzip gilt für den Virtualisierungsserver S1 der höchste Schutzbedarf der zur Verfügung gestellten virtuellen Maschinen bzw. IT-Anwendungen.
| |
| * Um die Stunden der Mitarbeiter zu erfassen, verwendet die RECPLAST GmbH eine Softwarelösung, die als Webanwendung implementiert ist.
| |
| * Für die Datenhaltung nutzt diese eine Datenbank, die im
| |
| Datenbankmanagementsystem (A1) auf dem Server S5 betrieben wird.
| |
|
| |
| Darüber hinaus betreibt die RECPLAST GmbH eine Reihe von Servern, die dazu eingesetzt wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen.
| |
|
| |
| === Beispiel 2 ===
| |
| Das fiktive Unternehmen MUSTERENERGIE GmbH betreibt eine Smart Meter Gateway Infrastruktur (intelligentes Netz).
| |
| * Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt.
| |
| * Das Smart Meter Gateway (SMGW) stellt dabei die zentrale Kommunikationseinheit dar.
| |
| * Es kommuniziert im lokalen Bereich beim Endkunden mit den elektronischen Zählern (Local Metrological Network, LMN-Bereich), mit Geräten aus dem Home Area Network (HAN-Bereich) und im Wide Area Network (WAN-Bereich) mit autorisierten Marktteilnehmern.
| |
| * Außerdem ermöglicht das SMGW die Verbindungsaufnahme von lokalen Geräten des HAN über das WAN mit autorisierten Marktteilnehmern.
| |
|
| |
| Für die Installation, Inbetriebnahme, den Betrieb, die Wartung und Konfiguration des SMGW ist der Smart-Meter-Gateway-Administrator (SMGW-Admin) verantwortlich.
| |
| * Da es sich hierbei teilweise um sensible Informationen handelt, ist der Schutz dieser Informationen wichtig.
| |
| * Daher muss sichergestellt sein, dass der IT-Betrieb beim SMGW-Admin sicher erfolgt.
| |
| * Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet.
| |
|
| |
|
| [[Kategorie:Grundschutz/Standard/200-3]] | | [[Kategorie:Grundschutz/Standard/200-3]] |
| </noinclude> | | </noinclude> |