IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Schutzbedarfsanalyse<br />
Wird der Schutzbedarf in die Schutzklasse „normal“ eingestuft, reichen im Allgemeinen die<br />
Maßnahmen des <strong>IT</strong>-Grundschutzes aus. In allen anderen Fällen, also wenn das <strong>IT</strong>-Verfahren<br />
in die Schutzklasse „hoch“ oder „sehr hoch“ eingestuft wird, muss eine verfahrensspezifische<br />
Risikoanalyse durchgeführt werden. (Die Vorgehensweise bei einer Risikoanalyse wird<br />
in dem folgenden Kapitel 4 beschrieben.)<br />
Der folgende Ausschnitt aus Abbildung 1 „Modell des <strong>IT</strong>-Sicherheitsprozesses“ stellt diese<br />
unterschiedliche Vorgehensweise in Abhängigkeit des Ergebnisses der Schutzbedarfsanalyse<br />
grafisch dar.<br />
Abbildung 4:<br />
Vereinfachte Darstellung der Schutzbedarfsanalyse und der sich daraus ergebenden Konsequenzen.<br />
Die Dokumentation der Schutzbedarfsanalyse besteht aus dem Ergebnis der Bewertungstabelle<br />
und weiteren Angaben über den analysierten <strong>IT</strong>-Arbeitsprozess bzw. das analysierte<br />
<strong>IT</strong>-Verfahren. Zu Beginn ist die Fachaufgabe soweit <strong>zu</strong> skizzieren, wie es für das Verständnis<br />
der Beurteilung des Schutzbedarfs erforderlich ist. Daran anschließend sollten<br />
mögliche Schäden in den <strong>IT</strong>-Verfahren bzw. <strong>IT</strong>-Arbeitsprozessen dargestellt werden, die<br />
bezüglich der drei Grundbedrohungen gegliedert sind. Die Folgen dieser Schäden können<br />
dann auf Basis der obigen Bewertungstabelle bewertet werden. Daran kann sich eine kurze<br />
Beschreibung des Ist-Zustands der <strong>IT</strong>-Sicherheitsmaßnahmen anschließen. Gegebenenfalls<br />
wird auf wichtige Schwachstellen in den Sicherheitsmaßnahmen kurz hingewiesen. Diese<br />
beiden Aspekte sind nicht unmittelbar Gegenstand der Schutzbedarfsanalyse, sie sollten<br />
aber in unmittelbarem Zusammenhang mit der Abhandlung der Verfahren erfolgen, um<br />
den inhaltlichen Be<strong>zu</strong>g nicht <strong>zu</strong> verlieren.<br />
58 von 75