BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 6: Zeile 6:
Risiken identifizieren, denen ein [[Zielobjekt]] ausgesetzt ist
Risiken identifizieren, denen ein [[Zielobjekt]] ausgesetzt ist


; Hierfür ist zu beschreiben
; Beschreiben
* Welchen Gefährdungen das Objekt oder der Sachverhalt unterliegt
* Welchen Gefährdungen das Objekt unterliegt
* Gemäß -Standard 200-3 verwenden Sie hierfür die '''elementaren Gefährdungen als Ausgangspunkt'''
* Anhand der '''elementaren Gefährdungen als Ausgangspunkt'''


; Hierbei sind zwei Fälle zu unterscheiden
; Hierbei sind zwei Fälle zu unterscheiden
* '''Es''' '''gibt''' '''für ein''' '''Zielobjekt (noch) keinen passenden Baustein.'''In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind
'''Es''' '''gibt''' '''für ein''' '''Zielobjekt (noch) keinen passenden Baustein.
* '''Es gibt einen passenden Baustein für das Zielobjekt.'''In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
* '''In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind
'''Es gibt einen passenden Baustein für das Zielobjekt.
* '''In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
* Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
* Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können


Version vom 21. Mai 2024, 11:49 Uhr

Beschreibung

Erster Schritt einer Risikoanalyse

Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist

Beschreiben
  • Welchen Gefährdungen das Objekt unterliegt
  • Anhand der elementaren Gefährdungen als Ausgangspunkt
Hierbei sind zwei Fälle zu unterscheiden

Es gibt für ein Zielobjekt (noch) keinen passenden Baustein.

  • In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind

Es gibt einen passenden Baustein für das Zielobjekt.

  • In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
  • Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung
  • Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt
  • Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf
Beispiel
Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant
SYS.1.1 Allgemeiner Server, SYS.1.3 Server unter Unix und SYS.1.5 Virtualisierung

Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen:

Gefährdung Beschreibung
G 0.14 Ausspähen von Informationen (Spionage)
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.21 Manipulation von Hard- oder Software
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.26 Fehlfunktion von Geräten oder Systemen
G 0.28 Software-Schwachstellen oder -Fehler
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
G 0.32 Missbrauch von Berechtigungen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.45 Datenverlust
G 0.46 Integritätsverlust schützenswerter Informationen

Erstellung einer Gefährdungsübersicht

BSI/200-3/Elementaren Gefährdungen

Ermittlung zusätzlicher Gefährdungen

BSI/200-3/Gefährdungsübersicht/Zusätzliche Gefährdungen

Risikoanalyse-Meeting

Risikoanalyse-Meeting


Anhang

Siehe auch

Links
Weblinks


Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-3/Gefährdungsübersicht&oldid=100886