Risikomanagement kri.scher Geschä3sprozesse

Größe: px

Ab Seite anzeigen:

Download "Risikomanagement kri.scher Geschä3sprozesse"

Justus Haupt
vor 6 Jahren
Abrufe

1 Risikomanagement kri.scher Geschä3sprozesse Kai Wi8enburg, Geschä)sführer, ISO Audi9eamleiter (BSI) Ihre IT in sicheren Händen

2 Vorgehensweise BSI IT- Strukturanalyse Erfassen der IT und der IT- Anwendungen Gruppenbildung Schutzbedarfsfeststellung Defini;on der Schutzbedarfskategorien Schadenszenarien IT- Grundschutzanalyse Modellierung nach IT- Grundschutz Basis- Sicherheitscheck mit Soll- Ist- Vergleich Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf ca. 80 % ca. 20 % Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan

Iden.fika.on kri.scher Geschä3sprozesse Defini.

Schadensszenarien Ableiten des Schutzbedarfs für die

4 Iden.fika.on kri.scher Geschä3sprozesse Defini.on der Schutzbedarfskategorien 4 SchriKe Schutzbedarfsbes.mmung für IT- Anwendungen anhand verschiedener Schadensszenarien Ableiten des Schutzbedarfs für die einzelnen Systeme Ableiten des Schutzbedarfs für die Übertragungsmedien und Räume, die IT- Anwendungen zur Verfügung stehen

5 Schutzbedarfsfeststellung Defini.on der Schutzbedarfs- kategorien Normal Schadensauswirkungen sind begrenzt und überschaubar. Hoch Schadensauswirkungen können beträchtlich sein. Sehr hoch Schadensauswirkungen können ein existen;ell bedrohliches, katastrophales Ausmaß erreichen.

6 Kategorien

7 Kategorien

8 Kategorien

9 Schutzbedarfsfeststellung Nr. IT- Anwendung / Informa;onen Pers.- bez. Daten Grund- wert Schutz- bedarf Begründung Vertraulic hkeit normal Es handelt sich um frei zugängliche Daten, deren Bekanntwerden zu keinen Schaden führen würde. A1 BranchensoUware Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Wich;ge Informa;onen können aus anderen Quellen bezogen werden. Vertraulic hkeit hoch Es handelt sich um pers.- bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch;gen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.

10 Schutzbedarfsfeststellung Schutzbedarf/ Sicherheitsniveau Standardmaßnahmen, IT- Grundschutz A, B, C sehr hoch hoch normal Prozess1 Prozess2 Prozess3

11 Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

12 Iden;fika;on der Assets (CMDB) Vererbung des Schutzbedarfs Nr. IT- Anwendung / Informa;onen Pers.- bez. Daten IT- Systeme C1 C2 C3 C4 L1 S1 S2 N1 N2 TK1 A1 BranchensoUware X X X X X A2 Personalverwaltung X X X X A3 Onlinebanking X X X X X

13 Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht BSI Gefährdungsliste Reduziert: 46 elementare Gefährdungen Beispiele und Beschreibungen 3. ErmiKlung zusätzlicher Gefährdungen Workshop (Brainstorming) 4. Gefährdungsbewertung 5. Risikobehandlungsplan

14 Zuordnung zu Assets

15 Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung nach oder Häufigkeit Auswirkung 5. Risikobehandlungsplan

16 Bewertungskriterien

17 Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

18 Datenschutz Beispiel Personaldatenverwaltung Vertraulichkeit hoch Es handelt sich um pers.- bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch.gen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.

19 Datenschutz Beispiel Personaldatenverwaltung

20 Datenschutz Beispiel Personaldatenverwaltung

21 hoch Auswirkungen gering Flugzeugabsturz Brand Blitzschlag Stromschwankungen? Stau Erkältung Insektens;ch gering hoch Wahrscheinlichkeit

22 hoch Auswirkungen Schadens- besei;gung planen Akzep;eren und Versichern Höchste Priorität Vorbeugen gering gering Wahrscheinlichkeit hoch

neam IT- Services GmbH Technologiepark 8 D- 33100

23 neam IT- Services GmbH Technologiepark 8 D Paderborn h8p://

Ähnliche Dokumente

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie