Risikomanagement kri.scher Geschä3sprozesse Kai Wi8enburg, Geschä)sführer, ISO27001- Audi9eamleiter (BSI) Ihre IT in sicheren Händen
Vorgehensweise BSI 100-2 IT- Strukturanalyse Erfassen der IT und der IT- Anwendungen Gruppenbildung Schutzbedarfsfeststellung Defini;on der Schutzbedarfskategorien Schadenszenarien IT- Grundschutzanalyse Modellierung nach IT- Grundschutz Basis- Sicherheitscheck mit Soll- Ist- Vergleich Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf ca. 80 % ca. 20 % Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan
Iden.fika.on kri.scher Geschä3sprozesse Defini.on der Schutzbedarfskategorien 4 SchriKe Schutzbedarfsbes.mmung für IT- Anwendungen anhand verschiedener Schadensszenarien Ableiten des Schutzbedarfs für die einzelnen Systeme Ableiten des Schutzbedarfs für die Übertragungsmedien und Räume, die IT- Anwendungen zur Verfügung stehen
Schutzbedarfsfeststellung Defini.on der Schutzbedarfs- kategorien Normal Schadensauswirkungen sind begrenzt und überschaubar. Hoch Schadensauswirkungen können beträchtlich sein. Sehr hoch Schadensauswirkungen können ein existen;ell bedrohliches, katastrophales Ausmaß erreichen.
Kategorien
Kategorien
Kategorien
Schutzbedarfsfeststellung Nr. IT- Anwendung / Informa;onen Pers.- bez. Daten Grund- wert Schutz- bedarf Begründung Vertraulic hkeit normal Es handelt sich um frei zugängliche Daten, deren Bekanntwerden zu keinen Schaden führen würde. A1 BranchensoUware Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Wich;ge Informa;onen können aus anderen Quellen bezogen werden. Vertraulic hkeit hoch Es handelt sich um pers.- bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch;gen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.
Schutzbedarfsfeststellung Schutzbedarf/ Sicherheitsniveau Standardmaßnahmen, IT- Grundschutz A, B, C sehr hoch hoch normal Prozess1 Prozess2 Prozess3
Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan
Iden;fika;on der Assets (CMDB) Vererbung des Schutzbedarfs Nr. IT- Anwendung / Informa;onen Pers.- bez. Daten IT- Systeme C1 C2 C3 C4 L1 S1 S2 N1 N2 TK1 A1 BranchensoUware X X X X X A2 Personalverwaltung X X X X A3 Onlinebanking X X X X X
Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht BSI Gefährdungsliste Reduziert: 46 elementare Gefährdungen Beispiele und Beschreibungen 3. ErmiKlung zusätzlicher Gefährdungen Workshop (Brainstorming) 4. Gefährdungsbewertung 5. Risikobehandlungsplan
Zuordnung zu Assets
Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung nach 100-3 oder Häufigkeit Auswirkung 5. Risikobehandlungsplan
Bewertungskriterien
Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan
Datenschutz Beispiel Personaldatenverwaltung Vertraulichkeit hoch Es handelt sich um pers.- bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch.gen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.
Datenschutz Beispiel Personaldatenverwaltung
Datenschutz Beispiel Personaldatenverwaltung
hoch Auswirkungen gering Flugzeugabsturz Brand Blitzschlag Stromschwankungen? Stau Erkältung Insektens;ch gering hoch Wahrscheinlichkeit
hoch Auswirkungen Schadens- besei;gung planen Akzep;eren und Versichern Höchste Priorität Vorbeugen gering gering Wahrscheinlichkeit hoch
neam IT- Services GmbH Technologiepark 8 D- 33100 Paderborn +49 5251 1652-0 +49 5251 1652-444 h8p://www.neam.de