BSI/200-3/Einleitung/Beispiele: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 1: | Zeile 1: | ||
=== Beispiel 1 === | |||
; RECPLAST GmbH | ; RECPLAST GmbH | ||
Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können | Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können | ||
| Zeile 26: | Zeile 26: | ||
* die dazu eingesetzt, wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen. | * die dazu eingesetzt, wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen. | ||
=== Beispiel 2 === | |||
; Das fiktive Unternehmen MUSTERENERGIE GmbH betreibt eine Smart Meter Gateway Infrastruktur (intelligentes Netz). | ; Das fiktive Unternehmen MUSTERENERGIE GmbH betreibt eine Smart Meter Gateway Infrastruktur (intelligentes Netz). | ||
* Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt. | * Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt. | ||
| Zeile 38: | Zeile 38: | ||
* Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet. | * Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet. | ||
=== Beispiel 3 === | |||
; In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln. | ; In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln. | ||
* Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums. | * Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums. | ||
| Zeile 51: | Zeile 51: | ||
* Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden. | * Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden. | ||
=== Übung === | |||
; Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus | ; Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus | ||
* Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken? | * Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken? | ||
Version vom 20. August 2024, 16:43 Uhr
Beispiel 1
- RECPLAST GmbH
Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können
- Zu beachten ist, dass die Struktur der RECPLAST GmbH im Hinblick auf Informationssicherheit keineswegs optimal ist
- Sie dient lediglich dazu, die Vorgehensweise bei der Durchführung von Risikoanalysen zu illustrieren
- Die RECPLAST GmbH ist eine fiktive Institution
- ca. 500 Mitarbeitern
- von denen 130 an Bildschirmarbeitsplätzen arbeiten
- Räumlich ist die RECPLAST GmbH aufgeteilt in zwei Standorte
- Innerhalb Bonns, wo unter anderem die administrativen und produzierenden Aufgaben wahrgenommen werden, und drei Vertriebsstandorte in Deutschland.
- Das IT-Netz ist in mehrere Teilbereiche aufgeteilt
Für die Beispiele in dieser Risikoanalyse wird das Teilnetz A (vergleiche Abbildung 2 in Kapitel 4) näher betrachtet.
- Der Zugang zum Teilnetz A ist durch die Firewall N1 abgesichert.
- Die Server S1 (Virtualisierungsserver) und S5 werden durch einzelne Switches angebunden.
- Der Virtualisierungsserver S1 stellt verschiedene Dienste zur Verfügung, z. B. werden dort in virtuellen Maschinen File- und E-Mail-Server betrieben.
Diese Anwendungen haben teilweise einen hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit.
- Durch das Maximumprinzip gilt für den Virtualisierungsserver S1 der höchste Schutzbedarf der zur Verfügung gestellten virtuellen Maschinen bzw. IT-Anwendungen.
- Um die Stunden der Mitarbeiter zu erfassen, verwendet die RECPLAST GmbH eine Softwarelösung, die als Webanwendung implementiert ist.
- Für die Datenhaltung nutzt diese eine Datenbank, die im Datenbankmanagementsystem (A1) auf dem Server S5 betrieben wird.
- Ferner betreibt die RECPLAST GmbH eine Reihe von Servern
- die dazu eingesetzt, wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen.
Beispiel 2
- Das fiktive Unternehmen MUSTERENERGIE GmbH betreibt eine Smart Meter Gateway Infrastruktur (intelligentes Netz).
- Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt.
- Das Smart Meter Gateway (SMGW) stellt dabei die zentrale Kommunikationseinheit dar.
- Es kommuniziert im lokalen Bereich beim Endkunden mit den elektronischen Zählern (Local Metrological Network, LMN-Bereich), mit Geräten aus dem Home Area Network (HAN-Bereich) und im Wide Area Network (WAN-Bereich) mit autorisierten Marktteilnehmern.
- Außerdem ermöglicht das SMGW die Verbindungsaufnahme von lokalen Geräten des HAN über das WAN mit autorisierten Marktteilnehmern.
- Für die Installation, Inbetriebnahme, den Betrieb, die Wartung und Konfiguration des SMGW ist der Smart-Meter-Gateway-Administrator (SMGW-Admin) verantwortlich.
- Da es sich hierbei teilweise um sensible Informationen handelt, ist der Schutz dieser Informationen wichtig.
- Daher muss sichergestellt sein, dass der IT-Betrieb beim SMGW-Admin sicher erfolgt.
- Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet.
Beispiel 3
- In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln.
- Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums.
- Als Methode für unter Umständen erforderliche Risikoanalysen wurde der -Standard 200-3 festgelegt.
- In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können.
- Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.
- Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet.
- Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt.
- Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt.
- Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.
Übung
- Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus
- Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken?
- Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren?
- Wer ist für die Durchführung der Analysen verantwortlich?
- Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?