Scribd Logo
Hochladen

Willkommen bei Scribd!

  • M010 Risikoanalysejdjss

    Hochgeladen von

    ythelfer
    8 Ansichten8 Seiten

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    8 Ansichten8 Seiten

    M010 Risikoanalysejdjss

    Hochgeladen von

    ythelfer

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 8

    LS11b/d – Arbeitsblatt BSI Grundschutz

    Zum Portfolio der SysIT GmbH, s. Firmenprofil LF9, gehört auch die Beratung und Unterstützung bei
    Einführung eines Informationssicherheitsmanagementsystem (ISMS). Der Kunde ChemTec GmbH,
    bekannt aus einem Projekt im zweiten Ausbildungsjahre, ist mit der Implementierung des Sicher-
    heitsprozesses gut vorangekommen. Initiierung, Erstellung einer Informationssicherheitsleitlinie und
    Aufbau einer Sicherheitsorganisation sind bereits abgeschlossen.

    Der Informationssicherheitsbeauftragte (ICS) des Kunden bittet Sie um Unterstützung beim Erstel-
    len einer Standard-Absicherung i.S. der IT-Grundschutz-Methodik.

    Die Ergebnisse der Strukturanalyse stehen Ihnen auszugsweise in tabellarischer Form im Anhang 1
    zur Verfügung:

    - Tabelle 1: Liste der Geschäftsprozesse


    - Tabelle 2: Liste der Anwendungen
    - Tabelle 3: Zuordnung von Anwendungen zu Geschäftsprozessen
    - Tabelle 4: Liste der IT-Systeme
    - Tabelle 5: Zuordnung der Anwendungen zu Netzkomponenten
    - Tabelle 6: Liste der Räume
    - Tabelle … (nicht beigefügt)
    - Abbildung 1: Bereinigter Netzplan

    Als nächster Prozessschritt steht die Schutzbedarfsfeststellung an.

    1. Ermitteln Sie den Schutzbedarf für die IT-Systeme N001 Internetrouter und N002 Firewall für
    jeden der drei Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit) und dokumentieren
    Sie diesen tabellarisch.
    Ergänzen Sie dazu im Anhang 2 die Tabelle 8: Schutzbedarf der IT-Systeme um Schutzbedarf
    und Begründung! Beachten Sie die Hilfestellung.

    2. Im nächsten Arbeitsschritt müssen Sie den Schutzbedarf für die Kommunikationsverbindun-


    gen K001 und K002 feststellen. Gehen Sie vor wie in Aufgabe 1.
    Ergänzen Sie dazu im Anhang 2 Tabelle 10: Schutzbedarf kritische Kommunikationsverbin-
    dungen um Schutzbedarf und Begründung!

    Der nächste Prozessschritt ist die Modellierung gemäß IT-Grundschutz.

    3. Bei der Modellierung wählen Sie diejenigen IT-Grundschutz-Bausteine aus dem IT-
    Grundschutz-Kompendium aus, die Sie für die Sicherheit des betrachteten Informationsver-
    bundes benötigen. Sehen Sie sich dazu die Bausteine der einzelnen Schichten an und ent-
    scheiden Sie, ob und auf welche Zielobjekte N001, N002, K001 bzw. K002 ein oder mehrere
    Bausteine angewendet werden können.
    Dokumentieren Sie Ihre vorgenommene Modellierung im Anhang 3 in Tabelle 12.

    Ein zusätzlicher Analysebedarf/Risikoanalyse besteht u.a., wenn ein Zielobjekt einen hohen oder
    sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und
    Verfügbarkeit hat. Dies trifft u.a. auf die Kommunikationsverbindung K001 in besonderem Maße zu!

    4. Der erste Schritt einer Risikoanalyse ist es, die Risiken zu identifizieren, denen ein Objekt
    oder ein Sachverhalt ausgesetzt ist. Verwenden Sie hierfür die elementaren Gefährdungen s.

    SEIB Seite 1 von 8


    LS11b/d – Arbeitsblatt BSI Grundschutz
    IT-Grundschutz-Bausteine als Ausgangspunkt.
    Erstellen Sie eine Übersicht relevanter Gefährdungen!

    5. Ein Risiko ist umso größer, je häufiger eine Gefährdung ist, umgekehrt sinkt es, je geringer
    der mögliche Schaden ist. Zur Darstellung von Eintrittshäufigkeiten, Schadensauswirkungen
    und Risiken ist eine Risikomatrix ein gebräuchliches und sehr anschauliches Instrument.
    Ordnen Sie die relevanter Gefährdungen aus Aufgabe 4 entsprechend zu!

    Hilfestellung:

    SEIB Seite 2 von 8


    LS11b/d – Arbeitsblatt BSI Grundschutz
    6. In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch
    das vorhandene Sicherheitskonzept ausreichend abgedeckt sind.
    Benennen Sie Risikobehandlungsoptionen für die von Ihnen als hoch und sehr hoch einge-
    stuften Risiken!

    Hilfestellung:

    Grundsätzlich können vier Möglichkeiten (Risikooptionen) unterschieden werden, mit Risiken


    umzugehen:

    A: Risikovermeidung durch Umstrukturierung der Geschäftsprozesse. Die Risiken können


    vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefähr-
    dung nicht mehr wirksam werden kann.

    B: Risikoreduktion (Risikomodifikation) durch weitere Sicherheitsmaßnahmen. Die Risiken


    können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden.

    C: Risikotransfer. Die Risiken werden verlagert. Durch Abschluss von Versicherungen oder
    durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum
    Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt wer-
    den.

    D: Risikoakzeptanz. Die Risiken können akzeptiert werden, sei es, weil die Gefährdung nur
    unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine
    hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für
    mögliche Schutzmaßnahmen unangemessen hoch ist.

    Sind alle Basis- und Standard-Anforderungen erfüllt? Haben Sie mit Hilfe von Risikoanalysen festge-
    stellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf
    haben? Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau erreicht, und können sich darauf
    konzentrieren, dieses zu erhalten und zu verbessern!

    SEIB Seite 3 von 8


    LS11b/d – Arbeitsblatt BSI Grundschutz
    Anhang 1 - Strukturanalyse

    Tabelle 1: Liste der Geschäftsprozesse (Auszug)

    Tabelle 2: Liste der Anwendungen (Auszug)

    SEIB Seite 4 von 8


    LS11b/d – Arbeitsblatt BSI Grundschutz

    Tabelle 3: Zuordnung von Anwendungen zu Geschäftsprozessen (Auszug)

    Abbildung 1: Bereinigter Netzplan

    SEIB Seite 5 von 8


    LS11b/d – Arbeitsblatt BSI Grundschutz

    Tabelle 4: Liste der IT-Systeme (Auszug)

    Tabelle 5: Zuordnung der Anwendungen zu Netzkomponenten (Auszug)

    Tabelle 6: Liste der Räume (Auszug)

    SEIB Seite 6 von 8


    LS11b/d – Arbeitsblatt BSI Grundschutz
    Anhang 2 – Schutzbedarfsfeststellung

    Tabelle 8: Schutzbedarf der IT-Systeme

    Tabelle 10: Schutzbedarf kritische Kommunikationsverbindungen

    SEIB Seite 7 von 8


    LS11b/d – Arbeitsblatt BSI Grundschutz
    Hilfestellung:

    Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn
    für ein Zielobjekt die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden.
    Dies wäre der Fall, wenn

    - vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben


    werden (Verletzung der Vertraulichkeit),
    - die Korrektheit der Informationen und der Funktionsweise von Systemen nicht mehr ge-
    geben ist (Verletzung der Integrität),
    - autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden (Ver-
    letzung der Verfügbarkeit).

    Die IT-Grundschutz-Methodik empfiehlt hierfür drei Schutzbedarfskategorien:

    - normal: Die Schadensauswirkungen sind begrenzt und überschaubar.


    - hoch: Die Schadensauswirkungen können beträchtlich sein.
    - sehr hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastropha-
    les Ausmaß erreichen.

    Bei der Abgrenzung der Schadenskategorien müssen Sie also die Besonderheiten der betrachte-
    ten Institution berücksichtigen, zum Beispiel

    - in Bezug auf das Szenario „finanzielle Auswirkungen“ die Höhe des Umsatzes oder des
    Gewinns eines Unternehmens oder die Höhe des bewilligten Budgets einer Behörde,
    - in Bezug auf das Szenario „Beeinträchtigung der Aufgabenerfüllung“ das Vorhandensein
    von Ausweichverfahren bei einem Ausfall eines Verfahrens.

    Anhang 3 – Modellierung gemäß IT-Grundschutz

    Tabelle 12: Dokumentation der IT-Grundschutz-Modellierung

    SEIB Seite 8 von 8

    Das könnte Ihnen auch gefallen