Kompendium/Elementaren Gefährdungen: Unterschied zwischen den Versionen
Zeile 34: | Zeile 34: | ||
* eine kurze produkt- und weitestgehend technikneutral formulierte Beschreibung und | * eine kurze produkt- und weitestgehend technikneutral formulierte Beschreibung und | ||
* eine Angabe dazu, welche der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität unmittelbar von ihr betroffen sein können | * eine Angabe dazu, welche der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität unmittelbar von ihr betroffen sein können | ||
=== Anhang === | === Anhang === |
Version vom 25. Juli 2024, 09:37 Uhr
Beschreibung
- 47 elementare Gefährdungen
Das BSI hat 47 elementare Gefährdungen herausgearbeitet
- aus vielen Einzelgefährdungen
- generellen Aspekten
Zielstellung
Bei der Erstellung der Übersicht der elementaren Gefährdungen wurden die im Folgenden beschriebenen Ziele verfolgt.
Verwendung bei der Risikoanalyse
- Elementare Gefährdungen sind für die Verwendung bei der Risikoanalyse optimiert, produktneutral (immer), technikneutral (möglichst, bestimmte Techniken prägen so stark den Markt, dass sie auch die abstrahierten Gefährdungen beeinflussen), kompatibel mit vergleichbaren internationalen Katalogen und Standards und nahtlos in den IT-Grundschutz integriert.
Effiziente Durchführung von Risikoanalysen
Da die elementaren Gefährdungen hauptsächlich die effiziente Durchführung von Risikoanalysen ermöglichen sollen, wurde der Fokus darauf gerichtet, tatsächliche Gefahren zu benennen.
- Gefährdungen, die überwiegend die fehlende oder unzureichende Umsetzung von Sicherheitsmaßnahmen thematisieren und somit auf indirekte Gefahren verweisen, wurden bewusst nicht benannt.
- Bei der Erarbeitung der Übersicht der elementaren Gefährdungen wurde mit betrachtet, welcher Grundwert der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) durch die jeweilige Gefährdung beschädigt würde.https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.pdf?__blob=publicationFile&v=4
- Da diese Information bei verschiedenen Schritten der Sicherheitskonzeption von Interesse ist, wird sie in der folgenden Tabelle mit aufgeführt.
- Nicht alle elementaren Gefährdungen lassen sich auf genau einen Grundwert abbilden, gleichwohl betreffen verschiedene Gefährdungen mehrere Grundwerte.
- Dabei ist dies so zu interpretieren, dass durch die jeweilige Gefährdung die dazu aufgeführten Grundwerte direkt beeinträchtigt werden.
- Bei vielen Gefährdungen lässt sich diskutieren, inwieweit alle drei Grundwerte betroffen sein könnten, weil sich auch indirekte Auswirkungen ableiten lassen.
- So wird z. B. zu G 0.1 Feuer als einziger betroffener Grundwert „Verfügbarkeit“ genannt.
- Natürlich könnte ein Feuer einen Datenträger auch so beschädigen, dass die abgespeicherten Informationen zwar noch vorhanden wären, aber deren Integrität verletzt wäre.
- Ein anderes Szenario könnte sein, dass bei einem Brand vertrauliche Unterlagen durch Rettungsmaßnahmen für Unbefugte zugänglich wären.
- Dies wären zwar indirekte Auswirkungen auf die Grundwerte Vertraulichkeit und Integrität, aber nur die Verfügbarkeit wäre unmittelbar beeinträchtigt.
- Hilfsmittel für Risikoanalysen
- enthält das Grundschutz-Kompendium eine Liste von insgesamt 47 elementaren Gefährdungen
- die kompatibel mit vergleichbaren Zusammenstellungen in internationalen Standards und Normen ist
- Gefährdungen
- werden durch eine eindeutige Kennung und Bezeichnung voneinander unterschieden
Zu jeder Gefährdung gibt es
- eine kurze produkt- und weitestgehend technikneutral formulierte Beschreibung und
- eine Angabe dazu, welche der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität unmittelbar von ihr betroffen sein können
Anhang
Siehe auch
Links
Weblinks