Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Weitere Magazine

Empfehlungen

Info

Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 7 Ergänzende Risikoanalyse Immer dann, wenn ein Zielobjekt mindestens eine der folgenden drei Charakteristiken aufweist, ist zu prüfen, ob die Standard-Sicherheitsmaßnahmen der IT-Grundschutz-Kataloge hinreichend und angemessen sind, um den vorhandenen Risiken zu begegnen: • Das Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben. • Das Zielobjekt kann mit den vorhandenen Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden. • Es wird in einer für das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder Einsatzumgebung betrieben. Im Rahmen der IT-Grundschutz-Vorgehensweise wird in einer ergänzenden Sicherheitsanalyse erwogen, welche Zielobjekte mit Hilfe einer Risikoanalyse genauer untersucht werden sollen. Diese ergänzende Risikoanalyse umfasst die Schritte: 1. Erstellung einer Gefährdungsübersicht 2. Ermittlung zusätzlicher Gefährdungen 3. Bewertung der Gefährdungen 4. Behandlung der Risiken und Maßnahmenauswahl 5. Konsolidierung des IT-Sicherheitskonzepts Diese Schritte werden nachfolgend an einem Beispiel veranschaulicht und zwar dem Zielobjekt C7, den Clients in der Entwicklungsabteilung, deren Schutzbedarf bezüglich Vertraulichkeit mit sehr hoch bewertet wurde. In diesem Zusammenhang sind ebenfalls die Büroräume zu berücksichtigen, in denen diese IT-Systeme untergebracht sind (Räume 2.14 – 2.20 in Bonn-Beuel). Weitere Informationen zur ergänzenden Risikoanalyse und zu ihrer Einordnung in die IT- Grundschutz-Vorgehensweise finden Sie in Kapitel 4.5 von BSI-Standard 100-2 sowie umfassend in dem BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz. Seite 54
Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 7.1 Erstellung der Gefährdungsübersicht In einem ersten Schritt werden alle Zielobjekte gestrichen, für die gemäß ergänzender Sicherheitsanalyse kein Bedarf für eine Risikoanalyse besteht. Anschließend werden aus der Tabelle alle Bausteine gestrichen, für die keine Zielobjekte mehr übrig sind. Für die Clients in der Entwicklungsabteilung und die Räume, in denen sie untergebracht sind, ergibt sich damit nach diesen beiden Schritten der folgende Tabellenauszug. Nr. Titel des Bausteins Zielobjekt B 1.0 IT-Sicherheitsmanagement Gesamte Organisation B 1.1 Organisation Gesamte Organisation B 1.2 Personal Gesamte Organisation B 1.4 Datensicherungskonzept Gesamte Organisation B 1.6 Computer-Virenschutzkonzept Gesamte Organisation B 1.7 Kryptokonzept Gesamte Organisation B 1.8 Behandlung von Sicherheitsvorfällen Gesamte Organisation B 1.9 Hard- und Software-Management Gesamte Organisation B 1.10 Standardsoftware Gesamte Organisation B 1.13 Sicherheitssensibilisierung und -Schulung Gesamte Organisation B 2.3 Büroraum Räume 2.14 – 2.20 in Bonn-Beuel B 3.201 Allgemeiner Client C7 Clients in Entwicklungsabteilung B3.209 Windows 2000 Client C7 Clients in Entwicklungsabteilung Anmerkungen: Die meisten Bausteine der Schicht 1 gelten übergeordnet für beide Zielobjekte. Daher wurden sie nicht aus der Tabelle gestrichen. Die in diesen Bausteinen enthaltenen Gefährdungen sind folglich auch bei den nachfolgenden Schritten zu berücksichtigen. Damit die Darstellung übersichtlicher wird, wurde in den nachfolgenden Tabellen jedoch darauf verzichtet, die in den Bausteinen der Schicht 1 enthaltenen Gefährdungen aufzuführen. Anschließend werden den Zielobjekten die Gefährdungen aus den verbliebenen Bausteinen zugeordnet. Dabei wird darauf geachtet, dass für ein Zielobjekt keine Gefährdung doppelt aufgeführt wird. Ferner werden die Gefährdungen werden thematisch sortiert. In den resultierenden Gefährdungsübersichten für die einzelnen Zielobjekte sollte zusätzlich der jeweilige Schutzbedarf bezüglich der drei Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit vermerkt werden. Die folgenden Tabellen zeigen Auszüge der Gefährdungsübersichten für die ausgesuchten Zielobjekte. Zielobjekt: Räume B 2.14 – 2.20 in Bonn-Beuel Vertraulichkeit: Integrität: Verfügbarkeit: sehr hoch normal normal G 2.1 Fehlende oder unzureichende Regelungen G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen Seite 55
Seite 1 und 2:
Webkurs IT-Grundschutz Beschreibung
Seite 3 und 4:
Inhaltsverzeichnis Webkurs IT-Grund
Seite 5 und 6: Webkurs IT-Grundschutz - das Beispi
Seite 11 und 12: Vertriebsbüro Berlin Laptop Client
Seite 25 und 26: Schutzbedarf Clients Webkurs IT-Gru
Seite 29 und 30: 1 Vertriebsbüros C8: 3 Clients Ver
Seite 47 und 48: Maßnahme (erforderl. ab Stufe) M 4
Seite 49 und 50: Maßnahme (erforderl. ab Stufe) M 3
Seite 55: Maßnahme (erforderl. ab Stufe) M 4
Seite 69 und 70: Maßnahme (erforderlich ab Stufe) M
Seite 71 und 72: Maßnahme (erforderlich ab Stufe) M
Alle anzeigen

Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?