IT-Grundschutz/Risiko/Management

Aus Foxwiki

topic - Kurzbeschreibung

BSI/Standard/200-3/Einleitung

Zielobjekte

Voraussetzung für die Durchführung von Risikoanalysen im Rahmen der Standard-Absicherung

bei der Strukturanalyse die Zielobjekte des Informationsverbundes

  • zusammengestellt sind
  • deren Schutzbedarf festgestellt ist und
  • ihnen bei der Modellierung soweit möglich passende Grundschutz-Bausteine zugeordnet wurden.
Risikoanalyse für solche Zielobjekte
  • hoher oder sehr hoher Schutzbedarf
    • mindestens einer der drei Grundwerte (Vertraulichkeit, Integrität oder Verfügbarkeit)
  • für die es keinen passenden Grundschutz-Baustein gibt
  • die in Einsatzszenarien betrieben werden, die für den Grundschutz untypisch sind.

Bei einer großen Zahl an Zielobjekten, die eines diese Kriterien erfüllen, sollten Sie eine geeignete Priorisierung vornehmen.

  • Bei der Vorgehensweise Standard-Absicherung bietet es sich an, zunächst übergeordnete Zielobjekte zu betrachten, etwa den gesamten Informationsverbund, bestimmte Teile des Informationsverbundes oder wichtige Geschäftsprozesse.
  • Bei der Kern-Absicherung sollten Sie vorrangig diejenigen Zielobjekte mit dem höchsten Schutzbedarf untersuchen.

Liste der betrachteten Zielobjekte

Beispiel

Bei der RECPLAST wurde aufgrund der Schutzbedarfsfeststellung und der Modellierung eine Reihe von Zielobjekten ermittelt, für die eine Risikoanalyse durchzuführen ist.
Dazu gehören unter anderem die folgenden Komponenten
  • die Anwendung A002 Lotus Notes, die einen hohen Bedarf an Vertraulichkeit und einen sehr hohen Bedarf an Verfügbarkeit hat,
  • die Netzkopplungselemente N001 Router Internet-Anbindung und N002 Firewall Internet-Eingang, beide wegen der Vertraulichkeit der über sie übertragenen Daten,
  • der Virtualisierungsserver S007, der in allen drei Grundwerten aufgrund der auf ihm betriebenen virtuellen Systeme einen hohen Schutzbedarf hat,
  • die Alarmanlagen S200 an beiden Standorten in Bonn, deren korrektes Funktionieren als sehr wichtig eingestuft und deren Schutzbedarf bezüglich Integrität und Verfügbarkeit folglich mit „sehr hoch“ bewertet wurde.

Nachfolgend werden die einzelnen Schritte der Risikoanalyse am Beispiel des über beide Standorte hinweg redundant ausgelegten Virtualisierungsservers S007 veranschaulicht.

Gefährdungen

BSI/Standard/200-3/Elementaren Gefährdungen

BSI/Standard/200-3/Gefährdungsübersicht

Risiken bewerten

BSI/Standard/200-3/Risikoeinstufung

Risiken behandeln

BSI/Standard/200-3/Risikobehandlung

Konsolidierung des Sicherheitskonzepts

BSI/Standard/200-3/Konsolidierung

Fortführung des Sicherheitsprozesses

BSI/Standard/200-3/Rückführung