Bedrohungsbaum: Unterschied zwischen den Versionen
Der Seiteninhalt wurde durch einen anderen Text ersetzt: „=== Bedrohungsbaum === Möglicher Angriffspfad“ Markierung: Ersetzt |
Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
=== Bedrohungsbaum === | === Bedrohungsbaum === | ||
=== Entscheidungsbaum-Analyse (Fehleranalyse) === | |||
; Ziele | |||
* Wahrscheinlichkeitsbestimmung von möglichen Ergebnissen | |||
* Identifizierung von Risiken mit der höchsten Aufmerksamkeit | |||
* Realistischen Bestimmung von Kosten, Terminen und Umfangszielen | |||
* Bestimmung der besten Managemententscheidung, sollten einige Faktoren unbekannt sein | |||
Möglicher Angriffspfad | Möglicher Angriffspfad | ||
Entscheidungsbaum | |||
BSI-Standard 100-3 | |||
Inhalte | |||
1 Einleitung | |||
2 Vorarbeiten | |||
3 Erstellung der Gefährdungsübersicht | |||
4 Ermittlung zusätzlicher Gefährdungen | |||
5 Gefährdungsbewertung | |||
6 Behandlung von Risiken | |||
7 Konsolidierung des IT-Sicherheitskonzepts | |||
8 Rückführung in den IT-Sicherheitsprozess | |||
BSI-Standard 100-3 | |||
Ergänzende Sicherheitsanalyse | |||
Eine „Ergänzende Sicherheitsanalyse“ | |||
ist durchzuführen, wenn: | |||
hoher oder sehr hoher Schutzbedarf | |||
zusätzlicher Analysebedarf | |||
für bestimmte Aspekte kein geeigneter Grundschutz-Katalog | |||
Risikoanalyse | |||
Zweistufiges BSI-Modell | |||
(1) Für | |||
normalern Schutzbedarf | |||
übliche Einsatzszenarien | |||
existierende Bausteine | |||
qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten | |||
beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen | |||
(2) Für | |||
höheren Schutzbedarf | |||
unübliche Einsatzszenarien | |||
unzureichende Abdeckung mit Bausteinen | |||
durch Management festgestellten Bedarf | |||
vereinfachte Risikoanalyse und -bewertung nach BSI-Standard 100-3 | |||
Vorarbeiten | |||
Vor einer Risikoanalyse, sollten folgende Vorarbeiten abgeschlossen sein | |||
Initiierung des Informationssicherheitsprozess | |||
Definition des Geltungsbereiches für die Sicherheitskonzeption | |||
Strukturanalyse | |||
Schutzbedarfsfeststellung | |||
Modellierung | |||
Basis-Sicherheitscheck | |||
ergänzende Sicherheitsanalyse | |||
Erstellung der Gefährdungsübersicht | |||
Erstellung der Gefährdungsübersicht | |||
Vorgehen | |||
Ausgangspunkt | |||
relevante Gefährdungen au den IT-Grundschutz-Katalogen | |||
für betrachtete Zielobjekte | |||
Bedrohungen, Schwachstellen und Risiken werden nicht separat untersucht | |||
Ziel | |||
Übersicht der Gefährdungen, die auf die betrachteten Zielobjekte wirken | |||
Vorgehen | |||
Reduzierung des Informationsverbundes auf die betrachteten Komponenten | |||
Zielobjekte streichen, für die kein Bedarf einer Risikoanalyse besteht | |||
Bausteine streichen, für die kein Zielobjekt mehr übrig ist | |||
in der Regel nur in den Schichten 2 bis 5 | |||
Erstellung der Gefährdungsübersicht | |||
Vorgehen | |||
Bausteine der IT-Grundschutz-Katalogen verweisen auf Gefährdungen | |||
Je Zielobjekt werden Nummer und Titel dieser Gefährdungen aus den Bausteinen zusammengetragen | |||
und dem jeweiligen Zielobjekt zugeordnet | |||
Gefährdungen aus den Bausteinen der Schichten 1 separat behandeln | |||
spezielles Zielobjekt „gesamter Informationsverbund“ | |||
Ergebnis | |||
Tabelle, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen zuordnet | |||
doppelte oder mehrfach genannten Gefährdungen entfernen | |||
Gefährdungen pro Zielobjekt thematisch sortieren | |||
Einige Gefährdungen der Grundschutz-Kataloge | |||
behandeln ähnliche Sicherheitsprobleme oder | |||
unterschiedliche Ausprägungen der gleichen Bedrohung | |||
Beispiel | |||
G 1.2 Ausfall des IT-Systems und G 4.31 Ausfall oder Störung von Netzkomponenten | |||
Erstellung der Gefährdungsübersicht | |||
Vorgehen | |||
Zur Analyse in der Tabelle pro Zielobjekt Schutzbedarf vermerken | |||
Grundwerte | |||
Vertraulichkeit | |||
Integrität | |||
Verfügbarkeit | |||
Für übergeordnetes Zielobjekt | |||
gesamter Informationsverbund | |||
kann Zuordnung entfallen | |||
Ergebnis | |||
Gefährdungsübersicht für | |||
die betrachteten Zielobjekte | |||
dient als Ausgangspunkt | |||
für die nachfolgende Ermittlung | |||
zusätzlicher Gefährdungen. | |||
Ermittlung zusätzlicher Gefährdungen | |||
Ermittlung zusätzlicher Gefährdungen | |||
Moderiertes Brainstorming | |||
klarer Auftrag und Zeitbegrenzung | |||
Gefährdungen, die nicht in den Grundschutzkatalogen aufgeführt sind | |||
Realistische Gefährdungen mit nennenswerten Schäden | |||
Grundwerte berücksichtigen | |||
Schichtenmodell beachten | |||
Höhere Gewalt | |||
organisatorische Mängel | |||
menschliche Fehlhandlungen | |||
technisches Versagen | |||
Außen-/Innentäter | |||
Externe Quellen zu Rate ziehen | |||
Gefährdungsbewertung | |||
Gefährdungsbewertung | |||
Eignung | |||
Sind die IT-Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet? | |||
Zusammenwirken | |||
Wirken die IT-Sicherheitsmaßnahmen sinnvoll zusammen? | |||
Benutzerfreundlichkeit | |||
Sind die IT-Sicherheitsmaßnahmen einfach anzuwenden? | |||
Angemessenheit | |||
Sind die IT-Sicherheitsmaßnahmen angemessen? | |||
Gefährdungsbewertung | |||
Sind die vorgesehenen IT-Sicherheitsmaßnahmen ausreichend? | |||
Prüfung der identifizierten Gefährdungen pro Zielobjekt | |||
Prüfkriterien | |||
Vollständigkeit | |||
Mechanismenstärke | |||
Zuverlässigkeit | |||
Ergebnis: OK = Ja/Nein | |||
Maßnahmenauswahl | |||
Risikosteuerungsstrategien | |||
Risikosteuerungsstrategien | |||
Risikovermeidung | |||
Risikoverminderung | |||
Risikobegrenzung | |||
Risikoüberwälzung | |||
Risikoakzeptanz | |||
Konsolidierung der Maßnahmen |
Version vom 8. Juni 2023, 23:15 Uhr
Bedrohungsbaum
Entscheidungsbaum-Analyse (Fehleranalyse)
- Ziele
- Wahrscheinlichkeitsbestimmung von möglichen Ergebnissen
- Identifizierung von Risiken mit der höchsten Aufmerksamkeit
- Realistischen Bestimmung von Kosten, Terminen und Umfangszielen
- Bestimmung der besten Managemententscheidung, sollten einige Faktoren unbekannt sein
Möglicher Angriffspfad
Entscheidungsbaum
BSI-Standard 100-3 Inhalte 1 Einleitung 2 Vorarbeiten 3 Erstellung der Gefährdungsübersicht 4 Ermittlung zusätzlicher Gefährdungen 5 Gefährdungsbewertung 6 Behandlung von Risiken 7 Konsolidierung des IT-Sicherheitskonzepts 8 Rückführung in den IT-Sicherheitsprozess BSI-Standard 100-3 Ergänzende Sicherheitsanalyse Eine „Ergänzende Sicherheitsanalyse“ ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf zusätzlicher Analysebedarf für bestimmte Aspekte kein geeigneter Grundschutz-Katalog Risikoanalyse Zweistufiges BSI-Modell (1) Für normalern Schutzbedarf übliche Einsatzszenarien existierende Bausteine qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen (2) Für höheren Schutzbedarf unübliche Einsatzszenarien unzureichende Abdeckung mit Bausteinen durch Management festgestellten Bedarf vereinfachte Risikoanalyse und -bewertung nach BSI-Standard 100-3 Vorarbeiten Vor einer Risikoanalyse, sollten folgende Vorarbeiten abgeschlossen sein Initiierung des Informationssicherheitsprozess Definition des Geltungsbereiches für die Sicherheitskonzeption Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck ergänzende Sicherheitsanalyse Erstellung der Gefährdungsübersicht Erstellung der Gefährdungsübersicht Vorgehen Ausgangspunkt relevante Gefährdungen au den IT-Grundschutz-Katalogen für betrachtete Zielobjekte Bedrohungen, Schwachstellen und Risiken werden nicht separat untersucht Ziel Übersicht der Gefährdungen, die auf die betrachteten Zielobjekte wirken Vorgehen Reduzierung des Informationsverbundes auf die betrachteten Komponenten Zielobjekte streichen, für die kein Bedarf einer Risikoanalyse besteht Bausteine streichen, für die kein Zielobjekt mehr übrig ist in der Regel nur in den Schichten 2 bis 5 Erstellung der Gefährdungsübersicht Vorgehen Bausteine der IT-Grundschutz-Katalogen verweisen auf Gefährdungen Je Zielobjekt werden Nummer und Titel dieser Gefährdungen aus den Bausteinen zusammengetragen und dem jeweiligen Zielobjekt zugeordnet Gefährdungen aus den Bausteinen der Schichten 1 separat behandeln spezielles Zielobjekt „gesamter Informationsverbund“
Ergebnis Tabelle, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen zuordnet doppelte oder mehrfach genannten Gefährdungen entfernen Gefährdungen pro Zielobjekt thematisch sortieren Einige Gefährdungen der Grundschutz-Kataloge behandeln ähnliche Sicherheitsprobleme oder unterschiedliche Ausprägungen der gleichen Bedrohung Beispiel G 1.2 Ausfall des IT-Systems und G 4.31 Ausfall oder Störung von Netzkomponenten Erstellung der Gefährdungsübersicht Vorgehen Zur Analyse in der Tabelle pro Zielobjekt Schutzbedarf vermerken Grundwerte Vertraulichkeit Integrität Verfügbarkeit Für übergeordnetes Zielobjekt gesamter Informationsverbund kann Zuordnung entfallen Ergebnis Gefährdungsübersicht für die betrachteten Zielobjekte dient als Ausgangspunkt für die nachfolgende Ermittlung zusätzlicher Gefährdungen. Ermittlung zusätzlicher Gefährdungen Ermittlung zusätzlicher Gefährdungen Moderiertes Brainstorming klarer Auftrag und Zeitbegrenzung Gefährdungen, die nicht in den Grundschutzkatalogen aufgeführt sind Realistische Gefährdungen mit nennenswerten Schäden Grundwerte berücksichtigen Schichtenmodell beachten Höhere Gewalt organisatorische Mängel menschliche Fehlhandlungen technisches Versagen Außen-/Innentäter Externe Quellen zu Rate ziehen Gefährdungsbewertung Gefährdungsbewertung Eignung Sind die IT-Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet? Zusammenwirken Wirken die IT-Sicherheitsmaßnahmen sinnvoll zusammen? Benutzerfreundlichkeit Sind die IT-Sicherheitsmaßnahmen einfach anzuwenden? Angemessenheit Sind die IT-Sicherheitsmaßnahmen angemessen? Gefährdungsbewertung Sind die vorgesehenen IT-Sicherheitsmaßnahmen ausreichend? Prüfung der identifizierten Gefährdungen pro Zielobjekt Prüfkriterien Vollständigkeit Mechanismenstärke Zuverlässigkeit Ergebnis: OK = Ja/Nein Maßnahmenauswahl Risikosteuerungsstrategien Risikosteuerungsstrategien Risikovermeidung Risikoverminderung Risikobegrenzung Risikoüberwälzung Risikoakzeptanz Konsolidierung der Maßnahmen