IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Risikoanalyse<br />
Bezeichnung der<br />
Bedrohung<br />
Grundbedrohung<br />
Bedrohtes Objekt bzw.<br />
Objektgruppe<br />
Schadenswert<br />
Häufigkeit<br />
Risikoklasse<br />
Verfahrensmaßnahmen<br />
Vertraul. Personenbezogene 2 selten U VM-17: Schredder<br />
Daten<br />
Verlust Verfügb. Systemdokumentation 1 sehr T<br />
selten<br />
–Personen–<br />
Ausfall Verfügb. Administratoren, Applikationsbetreuer<br />
2 sehr T VM-18: Vertretung<br />
selten<br />
Unkenntnis<br />
Verfügb. Administratoren, Applikationsbetreuer<br />
1 sehr T<br />
Integrit.<br />
Vertraul.<br />
selten<br />
Integrit.<br />
Vertraul.<br />
Anwender 1 sehr<br />
selten<br />
T<br />
Überlastung<br />
Fehlende Kontrollen<br />
und Regelungen<br />
Nachlässige Passworthandhabung<br />
Kriminelle Absicht<br />
Verfügb.<br />
Integrit.<br />
Vertraul.<br />
Integrit.<br />
Vertraul.<br />
Verfügb.<br />
Integrit.<br />
Vertraul.<br />
Integrit.<br />
Vertraul.<br />
Administratoren, Applikationsbetreuer<br />
2 sehr<br />
selten<br />
Anwender 1 sehr<br />
selten<br />
Administratoren, Applikationsbetreuer<br />
2 sehr<br />
selten<br />
Anwender 2 sehr<br />
selten<br />
Vertraul. Passwörter 2 sehr<br />
selten<br />
Verfügb. Administratoren, Applikationsbetreuer,<br />
2 sehr<br />
Integrit.<br />
Anwen-<br />
selten<br />
Vertraul. der<br />
Verfügb.<br />
Integrit.<br />
Vertraul.<br />
Externe 2 sehr<br />
selten<br />
T VM-15: Rollentrennung<br />
VM-18: Vertretung<br />
Tabelle 6: Fiktive Beispieltabelle für eine Bedrohungs- und Risikoanalyse.<br />
T<br />
T VM-19: Kontrolle der Akteure<br />
T VM-19: Kontrolle der Akteure<br />
T VM-20: Festlegung der Passwortregeln<br />
T VM-15: Rollentrennung<br />
VM-21: Kontrolle der Protokoll-Dateien<br />
T VM-11: Abgeschottetes Netz, Verschlüsselung<br />
VM-06: Zugangsschutz<br />
VM-14: Zugriffsschutz<br />
Die in der Tabelle rechts aufgeführten Maßnahmen müssen im Anschluss unter dem jeweiligen<br />
Stichwort (z.B.: „VM-14: Zugriffsschutz“) einzeln erläutert werden. Beispielhaft werden<br />
nachfolgend drei Maßnahmen wiedergegeben. Ebenso wie bei der obigen Tabelle handelt<br />
es sich um fiktive Beispiele.<br />
VM-01: Wartungsvertrag Produktivsystem und PDC<br />
Zur Gewährleistung der Verfügbarkeit des Produktivsystems wurde ein Servicevertrag mit<br />
dem Hersteller der Hardware, Firma XYZ, abgeschlossen. Dieser Vertrag sieht vor, dass innerhalb<br />
von 6 Stunden ein Fehler (Fixzeit) behoben werden muss. Die Unterlagen <strong>zu</strong> den<br />
genannten Verträgen sind im Fachbereich XY, in der Fachbereichsverwaltung abgelegt.<br />
64 von 75