Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
7 Ergänzende Risikoanalyse<br />
Immer dann, wenn e<strong>in</strong> Zielobjekt m<strong>in</strong>destens e<strong>in</strong>e der folgenden drei Charakteristiken aufweist, ist zu<br />
prüfen, ob die Standard-<strong>Sicherheit</strong>smaßnahmen der IT-Grundschutz-Kataloge h<strong>in</strong>reichend und<br />
angemessen s<strong>in</strong>d, um den vorhandenen Risiken zu begegnen:<br />
• <strong>Das</strong> Zielobjekt hat e<strong>in</strong>en hohen oder sehr hohen Schutzbedarf <strong>in</strong> m<strong>in</strong>destens e<strong>in</strong>em der drei<br />
Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben.<br />
• <strong>Das</strong> Zielobjekt kann mit den vorhandenen Bauste<strong>in</strong>en des IT-Grundschutzes nicht h<strong>in</strong>reichend<br />
abgebildet (modelliert) werden.<br />
• Es wird <strong>in</strong> e<strong>in</strong>er <strong>für</strong> das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder<br />
E<strong>in</strong>satzumgebung betrieben.<br />
Im Rahmen der IT-Grundschutz-Vorgehensweise wird <strong>in</strong> e<strong>in</strong>er ergänzenden <strong>Sicherheit</strong>sanalyse<br />
erwogen, welche Zielobjekte mit Hilfe e<strong>in</strong>er Risikoanalyse genauer untersucht werden sollen. Diese<br />
ergänzende Risikoanalyse umfasst die Schritte:<br />
1. Erstellung e<strong>in</strong>er Gefährdungsübersicht<br />
2. Ermittlung zusätzlicher Gefährdungen<br />
3. Bewertung der Gefährdungen<br />
4. Behandlung der Risiken und Maßnahmenauswahl<br />
5. Konsolidierung des IT-<strong>Sicherheit</strong>skonzepts<br />
Diese Schritte werden nachfolgend an e<strong>in</strong>em Beispiel veranschaulicht und zwar dem Zielobjekt C7,<br />
den Clients <strong>in</strong> der Entwicklungsabteilung, deren Schutzbedarf bezüglich Vertraulichkeit mit sehr hoch<br />
bewertet wurde. In diesem Zusammenhang s<strong>in</strong>d ebenfalls die Büroräume zu berücksichtigen, <strong>in</strong> denen<br />
diese IT-Systeme untergebracht s<strong>in</strong>d (Räume 2.14 – 2.20 <strong>in</strong> Bonn-Beuel).<br />
Weitere Informationen zur ergänzenden Risikoanalyse und zu ihrer E<strong>in</strong>ordnung <strong>in</strong> die IT-<br />
Grundschutz-Vorgehensweise f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.5 von BSI-Standard 100-2 sowie umfassend <strong>in</strong><br />
dem BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.<br />
Seite 54