BSI Standard 200-3
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Der vorliegende Artikel beschreibt das Vorgehen für eine Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz".
Einleitung
Die Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz" zielt darauf ab, die Informationssicherheitsrisiken in Organisationen systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung festzulegen. Dieser Prozess basiert auf den im IT-Grundschutz-Kompendium beschriebenen elementaren Gefährdungen.
Regulatorscher Rahmen zum Vorgehen
Richtlinie zum Risikomanagement
Definition der Eintrittswahrscheinlichkeiten
Definition der Schadensklassen
Definition der Risikoschwellwerte
Definition des Gefährdungskatalogs
Grundlagenermittlung und Vorbereitung
Strukturanalyse
Erfasse in der Strukturanalyse des betrachteten Informationsverbundes die IT-Infrastruktur, Systeme, Anwendungen und Prozesse. Dies dient als Basis für die weitere Analyse.
Schutzbedarfsfeststellung
Bestimme den Schutzbedarf der Geschäftsprozesse und der zugehörigen Informationen. Dies beinhaltet eine Bewertung der möglichen Schäden bei Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit.
Modellierung nach IT-Grundschutz
Modelliere den Informationsverbund mithilfe des BSI IT-Grundschutz-Kompendium, um standardisierte Sicherheitsanforderungen auf die erfassten Komponenten anzuwenden. Für Bereiche, deren Einsatzscenario durch den IT-Grundschutz nicht vollständig abgedeckt ist oder Komponenten die nicht vollständig mdelliert werden können, weil es keine passenden Bausteine im Kompendium gibt muss eine Risikoanalyse durchgeführt werden.
Definition des Betrachtungsgegenstands
Der Betrachtungsgegenstand kann sich auf spezifische Prozesse, geschäftskritische Informationen, bestimmte Verfahren, Anwendungen oder IT-Systeme beziehen, die auf potenzielle Risiken hin bewertet werden sollen. Eine präzise Definition ermöglicht eine zielgerichtete und effektive Analyse, die relevante Sicherheitsbedrohungen und Schwachstellen identifiziert.
Auch die Perspektive oder der Betrachtungswinkel, aus der eine Risikoanalyse durchgeführt wird (z.B. Schutz von Informationen, Schutz der Infrastruktur, Datenschutz), kann einen signifikanten Einfluss auf das Ergebnis und die Wirksamkeit der daraus abgeleiteten Maßnahmen haben. Es sollten möglichst alle relevanten Perspektiven berücksichtigt werden und die Teilnehmer für eine Risikoanalyse entstprechend ausgewäht werden.
Risikoanalyse
Erstellung einer Gefährdungsübersicht
Die Gefährdungsübersicht dient dazu, potenzielle Gefährdungen (Risiken) für den Betrachtungsgegenstand zu erfassen, die für die folgende Risikobewertung relevant sind.
Ermittlung von elementaren Gefährdungen
Unter Nutzung des Gefährdungskatalogs des IT-Grundschutz-Kompendiums oder des erweiteren Katalogs der Organisation werden für jeden betrachteten Geschäftsprozess bzw. jedes betrachtete Zielobjekt relevante elementare Gefährdungen identifiziert. Dabei werden alle Gefährdungen berücksichtigt die durch den erhöhten Schutzbedarf einer der Grundwerte, eine hohe Eintrittshäufigkeit oder einschneidende Auswirkungen als erhöhte Gefährdung angesehen werden.
Beispiel: Besteht nur ein erhöhter Schutzbedarf für die Verfügbarkeit, müssen alle elementaren Gefährdungen, die auf die Verfügbarkeit (A) wirken auf ihre erhöhte Relevanz geprüft werden. Gefährdungen die nur auf die Vertraulichkeit (C) und Integrität (I) wirken, können dabei bereits als "nicht relevant" übersprungen werden.
Identifikation spezifischer Gefährdungen
Neben den elementaren Gefährdungen können bei Bedarf spezifische oder zusätzliche Gefährdungen identifiziert werden, die sich aus dem besonderen Einsatzszenario oder Anwendungsfall ergeben können.
- Systemspezifische Gefährdungen: Zusätzliche, nicht im Katalog aufgeführte Gefährdungen, die aufgrund besonderer organisatorischer, technologischer oder geografischer Bedingungen relevant sein könnten.
- Experteneinschätzungen: Ziehe ggf. Sicherheitsexperten hinzu, um die Vollständigkeit der Gefährdungsliste zu überprüfen und ggf. weitere spezifische Risiken zu identifizieren.
Bewertung der Gefährdungen
Bewerte die Risiken, indem du die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmaß betrachten. Dies beinhaltet die Berücksichtigung vorhandener Sicherheitsmaßnahmen und deren Effektivität.
Eintrittswahrscheinlichkeit
Schadensausmaß
Risikobewertung
Die Risikokategorien (z.B. gering, mittel, hoch) werden auf Basis der zuvor ermittelten Eintrittswahrscheinlichkeit und Schadenshöhe angand der Risikomatrix ermittelt. Darausergeben sich die Prioritäten für die Risikobehandlung und mögliche Behandlungsoptionen.
Riskobehandlung
Basierend auf der Risikokategorie und der Art des Risikos ergeben sich die Optionen zur Behandlung des Risikos:
Risikovermeidung
Risikominderung
Risikoübertragung
Risikoakzeptanz
Weitere Schritte und Nachbereitung
Umsetzungsplanung
Wähle für eine Risikominderung geeignete Sicherheitsmaßnahmen aus dem IT-Grundschutz-Kompendium (Maßnahmen für erhöhten Schutzbedarf) oder entwickle individuelle Maßnahmen, um die identifizierten Risiken zu reduzieren.
Priorisiere die Maßnahmen basierend auf der Risikobewertung und planen deren Umsetzung mit Zuständigkeiten und Zielterminen.
Realisierung und Überprüfung
Implementiere die geplanten Sicherheitsmaßnahmen.
Überprüfe regelmäßig die Wirksamkeit der Maßnahmen und passe diese bei Bedarf an, um auf neue Gefährdungen oder Änderungen in der IT-Landschaft zu reagieren.
Dokumentation und Berichterstattung
Dokumentiere alle Schritte der Risikoanalyse und die getroffenen Entscheidungen in einem einheitlichen Format.
Erstelle Berichte über die Risikosituation und die umgesetzten Maßnahmen für das Management und relevante Stakeholder.
