BSI/200-3/Einleitung/Beispiele

Aus Foxwiki
Version vom 3. Oktober 2024, 09:15 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „BSI//“ durch „BSI/“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Beispiel 1

RECPLAST GmbH

Beispielhafte Darstellung, wie Risiken eingeschätzt, bewertet und behandelt werden können

  • Zu beachten ist, dass die Struktur der RECPLAST GmbH im Hinblick auf Informationssicherheit keineswegs optimal ist
  • Sie dient lediglich dazu, die Vorgehensweise bei der Durchführung von Risikoanalysen zu illustrie­ren

Die RECPLAST GmbH ist eine fiktive Institution

  • ca. 500 Mitarbeitern
  • von denen 130 an Bild­schirmarbeitsplätzen arbeiten
Lokationen

Räumlich ist die RECPLAST GmbH aufgeteilt in zwei Standorte

  • Innerhalb Bonns, wo unter anderem die administrativen und produzierenden Aufgaben wahrge­nommen werden, und drei Vertriebsstandorte in Deutschland.
Netzwerk

Das IT-Netz ist in mehrere Teilbereiche aufgeteilt Für die Beispiele in dieser Risikoanalyse wird das Teilnetz A (vergleiche Abbildung 2 in Kapitel 4) näher betrachtet.

  • Der Zugang zum Teilnetz A ist durch die Firewall N1 abgesichert.
  • Die Server S1 (Virtualisierungsserver) und S5 werden durch einzelne Switches angebunden.
Virtualisierung

Der Virtualisierungsserver S1 stellt verschiedene Dienste zur Verfügung, z. B. werden dort in vir­tuellen Maschinen File- und E-Mail-Server betrieben.

  • Diese Anwendungen haben teilweise einen hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit.
  • Durch das Maximumprinzip gilt für den Virtualisierungsserver S1 der höchste Schutzbedarf der zur Verfügung gestellten virtuellen Maschinen bzw. IT-Anwendungen.
  • Um die Stunden der Mitarbeiter zu erfassen, verwendet die RECPLAST GmbH eine Softwarelösung, die als Webanwendung implementiert ist.
  • Für die Datenhaltung nutzt diese eine Datenbank, die im Datenbankmanagementsystem (A1) auf dem Server S5 betrieben wird.
Server

Ferner betreibt die RECPLAST GmbH eine Reihe von Servern

  • die dazu eingesetzt, wer den, alle IT-Systeme und darauf betriebenen Anwendungen kontinuierlich zu überwachen.

Beispiel 2

Das fiktive Unternehmen MUSTERENERGIE GmbH betreibt eine Smart Meter Gateway Infrastruk­tur (intelligentes Netz).

  • Kernbausteine einer solchen Infrastruktur sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt.
  • Das Smart Meter Gateway (SMGW) stellt dabei die zentrale Kommunikationseinheit dar.
  • Es kommuniziert im lokalen Bereich beim Endkunden mit den elektronischen Zählern (Local Metrological Network, LMN-Bereich), mit Geräten aus dem Home Area Network (HAN-Bereich) und im Wide Area Network (WAN-Bereich) mit autorisierten Marktteilnehmern.
  • Außerdem ermöglicht das SMGW die Verbindungsaufnahme von lokalen Ge­räten des HAN über das WAN mit autorisierten Marktteilnehmern.
Für die Installation, Inbetriebnahme, den Betrieb, die Wartung und Konfiguration des SMGW ist der Smart-Meter-Gateway-Administrator (SMGW-Admin) verantwortlich.
  • Da es sich hierbei teil­weise um sensible Informationen handelt, ist der Schutz dieser Informationen wichtig.
  • Daher muss sichergestellt sein, dass der IT-Betrieb beim SMGW-Admin sicher erfolgt.
  • Für die Beispiele in dieser Risikoanalyse wird neben Teilnetz A der RECPLAST GmbH auch die Smart-Meter-Gateway-Administration der MUSTERENERGIE GmbH näher betrachtet.

Beispiel 3

Risikomanagement

In der RECPLAST wurde beschlossen, das Risikomanagement gemäß Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln.

  • Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des Grundschutz-Kompendiums.
  • Als Methode für unter Umständen erforderliche Risikoanalysen wurde der -Standard 200-3 festgelegt.
  • In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können.
  • Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.
Verantwortlichkeit

Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem, der hierfür spezialisierte Teams bildet.

  • Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der IT-Abteilung beteiligt.
Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt.
  • Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.

Übung

Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus
  • Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken?
  • Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren?
  • Wer ist für die Durchführung der Analysen verantwortlich?
  • Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?