BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 10: | Zeile 10: | ||
* Anhand der '''elementaren Gefährdungen als Ausgangspunkt''' | * Anhand der '''elementaren Gefährdungen als Ausgangspunkt''' | ||
; Hierbei sind zwei Fälle zu unterscheiden | ; Abdeckung durch Grundschutz Bausteine | ||
Hierbei sind zwei Fälle zu unterscheiden | |||
{| class="wikitable options" | |||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| Es gibt für ein Zielobjekt keinen passenden Baustein || In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind | |||
|- | |||
| Es gibt einen passenden Baustein für das Zielobjekt || In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird | |||
|} | |||
Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können | |||
; Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung | ; Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung | ||
| Zeile 22: | Zeile 29: | ||
===== Beispiel ===== | ===== Beispiel ===== | ||
Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant: SYS.1.1 ''Allgemeiner Server'', SYS.1.3 ''Server unter Unix'' und SYS.1.5 ''Virtualisierung'' | |||
; Referenzierten elementaren Gefährdungen | |||
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen: | Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen: | ||
{| class="wikitable sortable options" | {| class="wikitable sortable options" | ||
|- | |- | ||
! Gefährdung !! Beschreibung | ! Gefährdung !! Beschreibung | ||
|- | |- | ||
| G 0.14 || Ausspähen von Informationen (Spionage) | | G 0.14 || Ausspähen von Informationen (Spionage) | ||
Version vom 21. Mai 2024, 11:55 Uhr
Beschreibung
- Erster Schritt einer Risikoanalyse
Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist
- Beschreiben
- Welchen Gefährdungen das Objekt unterliegt
- Anhand der elementaren Gefährdungen als Ausgangspunkt
- Abdeckung durch Grundschutz Bausteine
Hierbei sind zwei Fälle zu unterscheiden
| Option | Beschreibung |
|---|---|
| Es gibt für ein Zielobjekt keinen passenden Baustein | In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind |
| Es gibt einen passenden Baustein für das Zielobjekt | In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird |
Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
- Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung
- Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt
- Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf
Beispiel
Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant: SYS.1.1 Allgemeiner Server, SYS.1.3 Server unter Unix und SYS.1.5 Virtualisierung
- Referenzierten elementaren Gefährdungen
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen:
| Gefährdung | Beschreibung |
|---|---|
| G 0.14 | Ausspähen von Informationen (Spionage) |
| G 0.15 | Abhören |
| G 0.18 | Fehlplanung oder fehlende Anpassung |
| G 0.19 | Offenlegung schützenswerter Informationen |
| G 0.21 | Manipulation von Hard- oder Software |
| G 0.22 | Manipulation von Informationen |
| G 0.23 | Unbefugtes Eindringen in IT-Systeme |
| G 0.25 | Ausfall von Geräten oder Systemen |
| G 0.26 | Fehlfunktion von Geräten oder Systemen |
| G 0.28 | Software-Schwachstellen oder -Fehler |
| G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen |
| G 0.31 | Fehlerhafte Nutzung oder Administration von Geräten und Systemen |
| G 0.32 | Missbrauch von Berechtigungen |
| G 0.40 | Verhinderung von Diensten (Denial of Service) |
| G 0.43 | Einspielen von Nachrichten |
| G 0.45 | Datenverlust |
| G 0.46 | Integritätsverlust schützenswerter Informationen |
Erstellung einer Gefährdungsübersicht
BSI/200-3/Elementaren Gefährdungen
Ermittlung zusätzlicher Gefährdungen
BSI/200-3/Gefährdungsübersicht/Zusätzliche Gefährdungen
Risikoanalyse-Meeting
Anhang
Siehe auch
Links
Weblinks