12 Systemsicherheitsanalyse

Transkript

1 Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr 12 Systemsicherheitsanalyse V-Modell XT Anwendung im Projekt <Datum> <Organisation> <Veranstaltungsort> <Vortragender> <Organisation>

2 Überblick Vorstellung des EP System spezifiziert Vorstellung seiner Produkte Gesamtsystemspezifikation Gefährdungs- und Sicherheitsanalyse Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 2

3 Systemsicherheit = Safety + Security Systemsicherheit im VM XT: Safety und Security Safety steht hierbei für die Verfahrens- oder Betriebssicherheit sowie die Aspekte Zuverlässigkeit, Fehlertoleranz und Korrektheit Security beschreibt den Zustand, der die Verfügbarkeit, die Integrität, die Verbindlichkeit und die Vertraulichkeit von Informationen beim Einsatz von IT gewährleistet Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 3

4 Überblick Gefährdungs- und Systemsicherheitsanalyse (SysSi) dokumentiert Gefährdungen und deren Ursachen bei der Erstellung und Nutzung des Systems beinhaltet die Bewertung der Gefährdungen und die Abschätzung der Wahrscheinlichkeit für ihren Eintritt legt die Risiken und die Maßnahmen zur Risikominderung fest hält die Ergebnisse der Sicherheitsanalyse für jedes als systemsicherheitskritisch eingestufte Systemelement fest Im Gegensatz zur Black-box-Betrachtung des AG wird die Gefährdungsanalyse durch den AN im Sinne einer White-box-Betrachtung durchgeführt Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 4

5 Themen der Sicherheitsanalyse Gefährdungs- und Systemsicherheitsanalyse Gefährdungsidentifikation und Schadensklassifikation Systemsicherheitsanalyseergebnisse Risikominderungsmaßnahmen Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 5

6 Vorgehen bei einer Gefährdungs- und Systemsicherheitsanalyse Neues Systemelement mit Sicherheitseinstufung Gefährdungs- u. Systemsicherheitsanalyse Gefährdungs- u. Systemsicherheitsanalyse Gefährdungsidentifikation u. Schadensklassifizierung Systemsicherheitsanalyse Risikomindernde Maßnahmen Gefährdungen identifizieren u. Schäden klassifizieren Nein Systemsicherheitsanalyse Ja (Risikobewertung) durchführen Risiko zu groß? Ja Risikomindernde Maßnahmen identifizieren Techn./ Wirtsch.? Nein Meldung/Verhandl. mit AG gibt vor gibt vor Risikoakzeptanz festlegen Anforderungen Risikoakzeptanz Projekthandbuch Vorgaben Ende Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 6

7 SysSi - ausgewählte Themen (1) Gefährdungsidentifikation und Schadensklassifikation Beschreibt Gefährdungen, die möglicherweise beim Einsatz des zu untersuchenden Systems zu Schadensereignissen führen Für jede Gefährdung wird die potenzielle Schadenshöhe je Schadenskategorie angegeben Für jede identifizierte Gefährdung wird die zugeordnete Schadensklasse je Schadenskategorie angegeben Systemsicherheitsanalyseergebnisse Für jede Gefährdung werden folgende Ergebnisse zusammengestellt: - Ursachen der Gefährdung - Eintrittswahrscheinlichkeit der Gefährdung - Bestimmung des Risikos (Eintrittwahrscheinlichkeit des Schadens mal Schadenshöhe) Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 7

8 SysSi - ausgewählte Themen (2) Risikominderungsmaßnahmen Ermittlung von Maßnahmen zur Risikominderung für alle in der Sicherheitsanalyse als nicht akzeptierbar bewerteten Risiken Bewertung der Auswirkungen der Maßnahmen (z. B. Grad der Minderung, Aufwand der Umsetzung, Auswirkungen auf Betrieb oder Bedienpersonal) hinsichtlich ihrer technischen und wirtschaftlichen Eignung Begründung der Entscheidung für die Auswahl der geeignetsten Maßnahmen Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 8

9 Vielen Dank für die Aufmerksamkeit Fragen Weitere Informationen unter Anwendungsschulung V-Modell XT, Version Systemsicherheitsanalyse 9