BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen

Aktuelle Version vom 31. Oktober 2024, 13:36 Uhr

Beschreibung

Erster Schritt einer Risikoanalyse

Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist

Beschreibung

Welchen Gefährdungen das Objekt unterliegt
Anhand der elementaren Gefährdungen als Ausgangspunkt

Grundschutz Bausteine

Abdeckung mit Grundschutz Bausteine

Abdeckung	Beschreibung
Ausreichend	Alle Aspekte des Zielobjektes können vollständig mit IT-Grundschutz-Bausteinen modelliert werden Risikoanalysen für normalen Schutzbedarf in den Bausteinen enthalten In den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
Unzureichend	Keine ausreichende Abdeckung durch IT-Grundschutz-Bausteine Vollständige Liste der elementaren Gefährdungen prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind

Relevanz einer Gefährdung

Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen

Einwirkungen

direkt	unmittelbar
indirekt	über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend

Aufgabe

Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können

Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen

Erstellung einer Gefährdungsübersicht

Zusätzliche Gefährdungen

Ermittlung zusätzlicher Gefährdungen BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen

Beispiel

Relevante IT-Grundschutz-Bausteine für Virtualisierungsserver S007

SYS.1.1 Allgemeiner Server
SYS.1.3 Server unter Unix
SYS.1.5 Virtualisierung

Referenzierten elementaren Gefährdungen

Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen

Gefährdung	Beschreibung
G 0.14	Ausspähen von Informationen (Spionage)
G 0.15	Abhören
G 0.18	Fehlplanung oder fehlende Anpassung
G 0.19	Offenlegung schützenswerter Informationen
G 0.21	Manipulation von Hard- oder Software
G 0.22	Manipulation von Informationen
G 0.23	Unbefugtes Eindringen in IT-Systeme
G 0.25	Ausfall von Geräten oder Systemen
G 0.26	Fehlfunktion von Geräten oder Systemen
G 0.28	Software-Schwachstellen oder -Fehler
G 0.30	Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.31	Fehlerhafte Nutzung oder Administration von Geräten und Systemen
G 0.32	Missbrauch von Berechtigungen
G 0.40	Verhinderung von Diensten (Denial of Service)
G 0.43	Einspielen von Nachrichten
G 0.45	Datenverlust
G 0.46	Integritätsverlust schützenswerter Informationen

Anhang

Siehe auch

BSI/200-3/Gefährdungsübersicht

Links

Weblinks

@@ Zeile 16: / Zeile 16: @@
 ! Abdeckung !! Beschreibung
 |-
-| Ausreichend || Alle Aspekte des Zielobjektes können vollständig mit [[Grundschutz-Baustein]]en modelliert werden
+| Ausreichend || Alle Aspekte des Zielobjektes können vollständig mit [[IT-Grundschutz-Baustein]]en modelliert werden
 * Risikoanalysen für normalen Schutzbedarf in den Bausteinen enthalten
 * In den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
 |-
-| Unzureichend || Keine ausreichende Abdeckung durch [[Grundschutz-Baustein]]e
+| Unzureichend || Keine ausreichende Abdeckung durch [[IT-Grundschutz-Baustein]]e
 * Vollständige Liste der elementaren Gefährdungen prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind
 |}
@@ Zeile 44: / Zeile 44: @@
 ==== Beispiel ====
-; Relevante [[Grundschutz-Baustein]]e für ''Virtualisierungsserver S007''
+; Relevante [[IT-Grundschutz-Baustein]]e für ''Virtualisierungsserver S007''
 * SYS.1.1 ''Allgemeiner Server''
 * SYS.1.3 ''Server unter Unix''