BSI/200-3/Gefährdungsübersicht: Unterschied zwischen den Versionen
K Textersetzung - „Kategorie:Grundschutz“ durch „Kategorie:IT-Grundschutz“ |
|||
| Zeile 1: | Zeile 1: | ||
=== Beschreibung === | === Beschreibung === | ||
=== Gefährdungsübersicht === | |||
<!-- | |||
: Abb_7_04_Schritt_1.png (Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen | |||
--> | |||
; Der erste Schritt einer Risikoanalyse ist es, die Risiken zu identifizieren, denen ein Objekt oder ein Sachverhalt ausgesetzt ist. | |||
* Hierfür ist zunächst zu beschreiben, welchen Gefährdungen das Objekt oder der Sachverhalt unterliegt. | |||
; Gemäß -Standard 200-3 verwenden Sie hierfür die '''elementaren Gefährdungen als Ausgangspunkt'''. | |||
; Hierbei sind zwei Fälle zu unterscheiden: | |||
* '''Es''' '''gibt''' '''für ein''' '''Zielobjekt (noch) keinen passenden Baustein.'''In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind. | |||
* '''Es gibt einen passenden Baustein für das Zielobjekt.'''In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird. | |||
* Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können. | |||
; Die Relevanz einer Gefährdung bestimmen Sie mit Hilfe der möglichen Einwirkung einer Gefährdung. | |||
* Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt. | |||
* Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf. | |||
===== Beispiel ===== | |||
; Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant: SYS.1.1 ''Allgemeiner Server'', SYS.1.3 ''Server unter Unix'' und SYS.1.5 ''Virtualisierung''. | |||
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen: | |||
{| class="wikitable sortable options" | |||
|- | |||
! Gefährdung !! Beschreibung | |||
|- | |||
|- | |||
| G 0.14 || Ausspähen von Informationen (Spionage) | |||
|- | |||
| G 0.15 || Abhören | |||
|- | |||
| G 0.18 || Fehlplanung oder fehlende Anpassung | |||
|- | |||
| G 0.19 || Offenlegung schützenswerter Informationen | |||
|- | |||
| G 0.21 || Manipulation von Hard- oder Software | |||
|- | |||
| G 0.22 || Manipulation von Informationen | |||
|- | |||
| G 0.23 || Unbefugtes Eindringen in IT-Systeme | |||
|- | |||
| G 0.25 || Ausfall von Geräten oder Systemen | |||
|- | |||
| G 0.26 || Fehlfunktion von Geräten oder Systemen | |||
|- | |||
| G 0.28 || Software-Schwachstellen oder -Fehler | |||
|- | |||
| G 0.30 || Unberechtigte Nutzung oder Administration von Geräten und Systemen | |||
|- | |||
| G 0.31 || Fehlerhafte Nutzung oder Administration von Geräten und Systemen | |||
|- | |||
| G 0.32 || Missbrauch von Berechtigungen | |||
|- | |||
| G 0.40 || Verhinderung von Diensten (Denial of Service) | |||
|- | |||
| G 0.43 || Einspielen von Nachrichten | |||
|- | |||
| G 0.45 || Datenverlust | |||
|- | |||
| G 0.46 || Integritätsverlust schützenswerter Informationen | |||
|} | |||
=== Erstellung einer Gefährdungsübersicht === | === Erstellung einer Gefährdungsübersicht === | ||
[[BSI/Standard/200-3/Elementaren Gefährdungen]] | [[BSI/Standard/200-3/Elementaren Gefährdungen]] | ||
Version vom 27. Oktober 2023, 21:35 Uhr
Beschreibung
Gefährdungsübersicht
- Der erste Schritt einer Risikoanalyse ist es, die Risiken zu identifizieren, denen ein Objekt oder ein Sachverhalt ausgesetzt ist.
- Hierfür ist zunächst zu beschreiben, welchen Gefährdungen das Objekt oder der Sachverhalt unterliegt.
- Gemäß -Standard 200-3 verwenden Sie hierfür die elementaren Gefährdungen als Ausgangspunkt.
- Hierbei sind zwei Fälle zu unterscheiden
- Es gibt für ein Zielobjekt (noch) keinen passenden Baustein.In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind.
- Es gibt einen passenden Baustein für das Zielobjekt.In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird.
- Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können.
- Die Relevanz einer Gefährdung bestimmen Sie mit Hilfe der möglichen Einwirkung einer Gefährdung.
- Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt.
- Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf.
Beispiel
- Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant
- SYS.1.1 Allgemeiner Server, SYS.1.3 Server unter Unix und SYS.1.5 Virtualisierung.
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen:
| Gefährdung | Beschreibung |
|---|---|
| G 0.14 | Ausspähen von Informationen (Spionage) |
| G 0.15 | Abhören |
| G 0.18 | Fehlplanung oder fehlende Anpassung |
| G 0.19 | Offenlegung schützenswerter Informationen |
| G 0.21 | Manipulation von Hard- oder Software |
| G 0.22 | Manipulation von Informationen |
| G 0.23 | Unbefugtes Eindringen in IT-Systeme |
| G 0.25 | Ausfall von Geräten oder Systemen |
| G 0.26 | Fehlfunktion von Geräten oder Systemen |
| G 0.28 | Software-Schwachstellen oder -Fehler |
| G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen |
| G 0.31 | Fehlerhafte Nutzung oder Administration von Geräten und Systemen |
| G 0.32 | Missbrauch von Berechtigungen |
| G 0.40 | Verhinderung von Diensten (Denial of Service) |
| G 0.43 | Einspielen von Nachrichten |
| G 0.45 | Datenverlust |
| G 0.46 | Integritätsverlust schützenswerter Informationen |
Erstellung einer Gefährdungsübersicht
BSI/Standard/200-3/Elementaren Gefährdungen
Ermittlung zusätzlicher Gefährdungen
BSI/Standard/200-3/Gefährdungsübersicht/Zusätzliche Gefährdungen
Risikoanalyse-Meeting