Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium. AH 3.2: Kriterienkatalog für die Beurteilung des Restrisikos

Transkript

1 Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium AH 3.2: Kriterienkatalog für die Beurteilung des Restrisikos

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: Internet: Bundesamt für Sicherheit in der Informationstechnik 2013

3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Kriterienkatalog für die Beurteilung des Restrisikos Service-Level-Analyse Bewertung des Restrisikos...9 Abbildungsverzeichnis Tabellenverzeichnis Tabelle 1: Ermittlung der Anforderungsqualität...7 Tabelle 2: Ermittlung der Servicequalität(DatenblattService-Level-Analyse_Teil_1)...8 Tabelle 3: Delta-Berechnung...9 Tabelle 4: Restrisiko-Werte und Priorisierung der Handlungsbedarfe...9 Bundesamt für Sicherheit in der Informationstechnik 3

4 HV-Kompendium V 1.6 Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium 1 Einleitung Der Kriterienkatalog vergleicht die Ergebnisse der Anforderungsanalyse mit den Ergebnissen aus der Service-Level-Analyse als Ergebnis der Phase I. In der Phase S wurden kritische Geschäftsprozesse identifiziert (Phase S1) und deren Anforderungsqualität an die zu liefernden IT-Services ermittelt (Phase S2). Eine differnzierte Vorgehensweise für Identifikation und Analyse der Anforderungen wird in Band AH Kapitel 3.1 Leitfaden für die Identifikation und Analyse kritischer Geschäftsprozesse geliefert. Die Ergebnisse der Anforderungsanalyse sollten in den Datenblätern 5 zu Phase S1 und 6 zu Phase S 2 dokumentiert sein. Die zur Verfügung stehende Servicequalität wurde im Rahmen der Phase I bestimmt und sollte im Datenblatt 2 Teil1 Service Level Analyse dokumentiert sein (siehe Datenblatt 2 Teil 1 im Anhang Datenblätter Band AH, Kapitel 3.4). Auf dieser Grundlage kann im Rahmen der Restrisikoanalyse die entscheidende Frage beantwortet, inwieweit die Anforderungsqualität der kritischen Geschäftsprozesse mit den dazu aufgestellten Sicherheitszielen und den verfügbaren Services erreicht werden können. Wird die Servicequalität der Anforderungsqualität nicht gerecht, so liegt ein nicht mehr vernachlässigbares Restrisiko vor. Die Ergebnisse des HV-Assessments liefern weiteren Aufschluss über das Optimierungspotential und identifizieren jene Prozessgebiete, auf denen das Organistionspotential oder Technikptential einer Verbesserung bedarf. Der Auswirkung auf die Verfügbarkeit wird bei der Bewertung dabei Priorität eingeräumt. Die Anwendung des nachstehenden Kriterienkatalogs setzt voraus, dass die Datenblätter Datenblatt 2 Teil 1 Service Level Analyse Datenblatt 5 zu Phase S1 und Datenblatt 6 zu Phase S 2 ausgefüllt vorliegen. Bundesamt für Sicherheit in der Informationstechnik 5

5 Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium HV-Kompendium V Kriterienkatalog für die Beurteilung des Restrisikos Geschäftsprozess Bezeichnung Kritikalität Kernprozess oder zentraler Unterstützungsprozess Ja [ ] Impact (Auswirkung auf GP) Schadenshöhe bei Ausfall (Lt. Schutzbedarfsfeststellung) Der betrachtete Geschäftsprozess ist gemäß Kapitel des Bandes AH 3.1 (Phase S1)ein Kernprozess. Der Prozess dient der vollständigen oder teilweisen Erledigung folgender folgender zentraler Mission/ Fachaufgabe: Abhängige Geschäftsprozesse/Prozesskette: Der Geschäftsprozess muss gem in folgender/en Lage/n verfügbar sein: Entscheidungsrelevanz: aus Relevanz für Lagenbewältigung: aus Grad der IT Abhängigkeit: aus Portierbarkeit: aus Abhängige Prozesskette: höherer Ratingwert aus oder Maximale Prozessdauer: höchster Ratingwert aus Terminbindung: Ratingwert aus Priorität Notfall: Priorität Wiederanlauf: Priorität Priorität Qualität der Anwendungen / Services im Hinblick auf Grundwert Integrität Authentizität Vertraulichkeit Qualität der Informationen im Hinblick auf Grundwert Integrität Authentizität Vertraulichkeit Einschränkungen zu Gunsten Verfügbakeit hinnehmbar Integrität Authentizität Vertraulichkeit Stufe der Anforderungsqualität Maximalwert über alle Kriterien Wert 6 Bundesamt für Sicherheit in der Informationstechnik

6 Einleitung 1 Tabelle 1: Ermittlung der Anforderungsqualität 1.2 Service-Level-Analyse Für die Service-Level-Analyse liegt mit Datenblatt 2_Teil_1 eine Anleitung vor. Die Bewertungen erfolgen im wesentlichen auf den Bewertungskriterien aus den Kapiteln des HV-Kompendiums des BSI: Band M, Kapitel 1: Meta-Ebene, Verweise jeweils auf Maßnahmen-Nummer Band AH, Kapitel 2: Assessment & Benchmarking Bundesamt für Sicherheit in der Informationstechnik 7

7 Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium HV-Kompendium V 1.6 Service nach M Service-Modell VM 1.1 VM 1.2 VM 1.3 VM 1.4 VM 1.5 VM 1.6 VM 1.7 VM 1.8 VM 1.9 VM 1.10 VM 1.11 VM 1.12 Service-Potential Es gilt das Minimalprinzip, d.h. der niedrigste Wert bestimmt die gelieferte Service-Qualität. Potentialstufe des Service Potenziale nach HV-Assessment IT-Governance Service Level Management Service Continuity Management Monitoring Technik & Prozesse Incident Management & Service Desk IT-Operation & Facility Management Service Level Management Server Netze Speicher Ist-Wert Wert nach Minimalprinzip Soll-Wert aus Tabelle 1 Wert der Anforderungsqualität Delta Tabelle 2: Ermittlung der Servicequalität(DatenblattService Level Analyse_Teil_1) 8 Bundesamt für Sicherheit in der Informationstechnik

8 Einleitung Bewertung des Restrisikos Das Restrisiko erfolgt in 2 Schritten. Zunächst wird eine Delta-Berechnung durchgeführt, die sich aus der Differenz der Anforderungsqualität und der Service-Qualität ergibt. Anforderungsqualität lt. Tabelle 1 Service-Qualität lt. Tabelle 2 Differenz Potential Wert Restrisiko Basis Wert Tabelle 3: Delta Berechnung Der Restrisiko-Basis-Wert liefert die Basis für die Bewertung des Restrisikos und die Priorisierung von Handlungsbedarfen. Dazu werden zunächst die negativen Abweichungen vom Soll in den einzelnen Untersuchungsbereichen des HV-Assessments festgestellt. Die verfügbarkeitsrelevanten Prozessgebiete und Architekturen sind in Tabelle 4 mit einem Ranking versehen. Die Abweichung vom Soll wird mit dem Ranking-wert multipilziert und damit als Restrisiko-Wert ermittelt. Risiko-Potentiale Abweichung vom Soll (Sollwert - Istwert) IT-Governance 2 Service Level Management 3 Service Continuity Management 3 Monitoring Technik & Prozesse 3 Incident Management & Service Desk 3 IT-Operation & Facility Management 3 Service Level Management 2 Server 1 Netze 1 Speicher 1 Tabelle 4: Restrisiko Werte und Priorisierung der Handlungsbedarfe Ranking - Wert Restrisik o-wert Die Restrisikowerte identifizieren und priorisieren die Handlungsbedarfe und lassen eine differnzierte Sicht auf das Restrisiko zu. Aufgrund der Ausprägung(Restrisiko-Wert) können ToDos priorisiert und das Restrisiko im Hinblick auf Beeinträchtigung der Verfügbarkeit beurteilt werden. Bundesamt für Sicherheit in der Informationstechnik 9

9 Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium HV-Kompendium V 1.6 Ausprägung des Restrisiko und ToDos Wert Sicherheitsziele werden eingehalten 0 Sicherheitsziele werden in tolerierbaren Grenzen verletzt, Tolerierbarkeit und ihre Rahmenbedingungen sind mit den Aufgabenverantwortlichen abzustimmen. 1 Sicherheitsziele werden verletzt, es kann zur Überschreitung gesetzter Grenzen kommen. Innen und Außenwirkungen sind zu prüfen. Sicherheitsziele werden verletzt, es kann zur Überschreitung gesetzter Grenzen kommen. Optimierungswege und alternative Prozesswege sind zu erarbeiten, um auf ein tragbares Restrisiko zu kommen. Sicherheitsziele werden verletzt, gesetzte Grenzen können nicht gehalten werden. Notwendige Anstrengungen mit hoherpriorität angehen und Zeitrahmen festlegen. Tragbarkeit des Restrisikos prüfen. Sicherheitsziele werden verletzt, gesetzte Grenzen können nicht gehalten werden. Notwendige Anstrengungen auf Realisierbarkeit prüfen und Entscheidungsgrundlage mit Zeitrahmen für Optimierung oder Alternativen erarbeiten. Restrisiko so nicht tragbar, Tolerierbarkeit des Restrisikos im Zeitrahmen feststellen u. 6 Auf ein alternatives Serviceangebot ausweichen. Werte > 6 Tabelle 5: Restrisiko Beurteilung 10 Bundesamt für Sicherheit in der Informationstechnik