BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen
Zeile 26: | Zeile 26: | ||
=== Relevanz einer Gefährdung === | === Relevanz einer Gefährdung === | ||
Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können | Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können | ||
* Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen | |||
; Einwirkungen | ; Einwirkungen | ||
{| | |||
| direkt || unmittelbar | |||
|- | |||
indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt | | indirekt || über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend | ||
|} | |||
Nur Gefährdungen mit direkter Relevanz | '''Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen!''' | ||
== Gefährdungsübersicht == | == Gefährdungsübersicht == |
Version vom 24. Mai 2024, 15:59 Uhr
Beschreibung
- Erster Schritt einer Risikoanalyse
- Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist
Beschreiben
- Welchen Gefährdungen das Objekt unterliegt
- Anhand der elementaren Gefährdungen als Ausgangspunkt
Grundschutz Bausteine
- Abdeckung mit Grundschutz Bausteine
Abdeckung | Beschreibung |
---|---|
Ausreichend | Alle Aspekte des Zielobjektes können vollständig mit Grundschutz-Bausteinen modelliert werden
|
Unzureichend | Keine ausreichende Abdeckung durch Grundschutz-Bausteine
|
Relevanz einer Gefährdung
Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
- Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen
- Einwirkungen
direkt | unmittelbar |
indirekt | über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend |
Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen!
Gefährdungsübersicht
Erstellung einer Gefährdungsübersicht BSI/200-3/Elementaren Gefährdungen
Zusätzliche Gefährdungen
Ermittlung zusätzlicher Gefährdungen BSI/200-3/Gefährdungsübersicht/Zusätzliche Gefährdungen
Risikoanalyse-Meeting
Beispiel
- Relevante Grundschutz-Bausteine für Virtualisierungsserver S007
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- SYS.1.5 Virtualisierung
- Referenzierten elementaren Gefährdungen
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen
Gefährdung | Beschreibung |
---|---|
G 0.14 | Ausspähen von Informationen (Spionage) |
G 0.15 | Abhören |
G 0.18 | Fehlplanung oder fehlende Anpassung |
G 0.19 | Offenlegung schützenswerter Informationen |
G 0.21 | Manipulation von Hard- oder Software |
G 0.22 | Manipulation von Informationen |
G 0.23 | Unbefugtes Eindringen in IT-Systeme |
G 0.25 | Ausfall von Geräten oder Systemen |
G 0.26 | Fehlfunktion von Geräten oder Systemen |
G 0.28 | Software-Schwachstellen oder -Fehler |
G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen |
G 0.31 | Fehlerhafte Nutzung oder Administration von Geräten und Systemen |
G 0.32 | Missbrauch von Berechtigungen |
G 0.40 | Verhinderung von Diensten (Denial of Service) |
G 0.43 | Einspielen von Nachrichten |
G 0.45 | Datenverlust |
G 0.46 | Integritätsverlust schützenswerter Informationen |
Anhang
Siehe auch
Links
Weblinks