Zum Inhalt springen

BSI/200-3/Einleitung

Aus Foxwiki

Beschreibung

Vereinfachte Risikoanalysen

Notwendig, wenn es fraglich ist, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten

Anforderungen

Basis- und Standard-Anforderungen

Grundschutz-Bausteine bieten einen angemessenen und ausreichenden Schutz

  • Normalen Schutzbedarf
  • Typische Informationsverbünde
  • Anwendungsszenarien
  • Anforderungen
Hierfür wurde geprüft
  • Welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind
  • Wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann

Grundschutzansatz

Festlegung erforderlicher Sicherheitsmaßnahmen

Weniger aufwendigen Untersuchungen

  • in der Regel
  • für den weitaus größten Teil eines Informationsverbundes

Zusätzlicher Analysebedarf

Datei:1000020100000276000002008EAEFE8B1F52E3F6.png
Schutzbedarf Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit
Keine hinreichenden Bausteine Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im Grundschutz-Kompendium
Einsatzumgebung untypisch Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch
Risikoanalyse

Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen

Zielgruppe

Mit dem Management oder der Durchführung von Risikoanalysen für die Informationssicherheit betraute

  • Sicherheitsverantwortliche
  • Sicherheitsbeauftragte
  • Sicherheitsexperten
  • Sicherheitsberater
BSI 200-3 bietet sich an, wenn
  • bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 gearbeitet wird
  • möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse folgen soll
Je nach Rahmenbedin­gungen und Art des Informationsverbunds
  • kann es jedoch zweckmäßig sein
  • alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik für die Analyse von Informationsrisiken zu verwenden
BSI 200-3 beschreibt eine Methodik zur Analyse von Risiken
  • IT-Grundschutz-Sicherheitskonzept ergänzen

Elementaren Gefährdungen

  • Dabei wird die im IT-Grundschutz/Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet
  • Es wird empfohlen, die in den Kapiteln 2 bis 8 dargestellte Methodik Schritt für Schritt durchzuarbeiten

Notfallmanagement

Im BSI-Standard 100-4 Notfallmanagement ist für besonders kritische Ressourcen der Geschäftsprozesse der Institution ebenfalls eine Risikoanalyse vorgesehen, die sich von der hier beschriebenen nur in einigen Begriffen unterscheidet

  • Beide Risikoanalysen können effizient aufeinander abgestimmt werden
  • Es ist sinnvoll, dass sich alle Rollen in einer Institution, die sich mit Risikomanagement für einen spezifischen Bereich beschäftigen, miteinander abstimmen und vergleichbare Vorgehensweisen wählen

Überblick

BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz

  • Bündelung aller risikobezogenen Arbeitsschritte in BSI-Standard 200-3
  • Implementation eines Risikoentscheidungsprozesses
  • Keine Risikoakzeptanz bei den Basis-Anforderungen
  • Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf

Risikomanagementsystem

  • Angemessenes Risikomanagement
  • Richtlinie zum Umgang mit Risiken
  • Vorarbeiten und Priorisierung

Zielsetzung

Informationssicherheitsrisiken steuern
  • Anerkanntes Vorgehen
  • Angemessen
  • Zielgerichtet
  • Leicht anwendbar

Elementare Gefährdungen

Vorgehen basiert auf Elementaren Gefährdungen

  • Im IT-Grundschutz/Kompendium beschrieben
  • Basis für die Erstellung der IT-Grundschutz-Bausteine

Risikobewertung

In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt

  • Hierbei werden nur solche Gefährdungen betrachtet, die eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müssen
  • Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte
  • Dieser Ansatz hat den Vorteil, dass Anwender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedrohungs- und Schwachstellenanalyse durchführen müssen, weil diese bereits vorab vom BSI durchgeführt wurde

Normen

Zusammenspiel mit ISO/IEC 31000 und ISO/IEC 27005
ISO/IEC 31000 ISO-Norm zum Risikomanagement
ISO/IEC 27005 Risikomanagement in der Informationssicherheit

Begriffe

Risiko

Übersicht

Schritte Risikoanalyse nach BSI-Standard 200-3
Abbildung 1: Integration der Risikoanalyse in den Sicherheitsprozess
Arbeitsschitt 200-3 Beschreibung
1 Gefährdungen ermitteln Kapitel 4
  • Zusammenstellung einer Liste von möglichen elementaren Gefährdungen
  • Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben
2 Risikoeinstufung Kapitel 5
  • Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
  • Risikobewertung (Ermittlung der Risikokategorie)
3 Risikobehandlung Kapitel 6
  • Risikovermeidung
  • Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen)
  • Risikotransfer
  • Risikoakzeptanz
4 Konsolidierung Kapitel 7
  • Konsolidierung des Sicherheitskonzepts
  • Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen in das Sicherheitskonzept


Anhang

Siehe auch

Links
Weblinks
Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-3/Einleitung&oldid=106441