Risikomanagement kri.scher Geschä3sprozesse Kai Wi8enburg, Geschä)sführer, ISO27001-‐Audi9eamleiter (BSI) Ihre IT in sicheren Händen Vorgehensweise BSI 100-‐2 IT-‐Strukturanalyse Erfassen der IT und der IT-‐Anwendungen Gruppenbildung Schutzbedarfsfeststellung Defini;on der Schutzbedarfskategorien Schadenszenarien IT-‐Grundschutzanalyse Modellierung nach IT-‐Grundschutz Basis-‐Sicherheitscheck mit Soll-‐Ist-‐Vergleich ca. 80 % Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan ca. 20 % Iden.fika.on kri.scher Geschä3sprozesse Defini.on der Schutzbedarfskategorien 4 SchriKe Schutzbedarfsbes.mmung für IT-‐Anwendungen anhand verschiedener Schadensszenarien Ableiten des Schutzbedarfs für die einzelnen Systeme Ableiten des Schutzbedarfs für die Übertragungsmedien und Räume, die IT-‐ Anwendungen zur Verfügung stehen Schutzbedarfsfeststellung • Normal Defini.on der Schutzbedarfs-‐ kategorien – Schadensauswirkungen sind begrenzt und überschaubar. • Hoch – Schadensauswirkungen können beträchtlich sein. • Sehr hoch – Schadensauswirkungen können ein existen;ell bedrohliches, katastrophales Ausmaß erreichen. Kategorien Kategorien Kategorien Schutzbedarfsfeststellung Nr. IT-‐Anwendung / Informa;onen Pers.-‐ bez. Daten A1 BranchensoUware A2 Personalverwaltung X Grund-‐ wert Schutz-‐ bedarf Begründung Vertraulic hkeit Es handelt sich um frei zugängliche Daten, normal deren Bekanntwerden zu keinen Schaden führen würde. Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Wich;ge Informa;onen können aus anderen Quellen bezogen werden. Es handelt sich um pers.-‐bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch;gen kann. Vertraulic hkeit hoch Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden. Schutzbedarf/ Sicherheitsniveau Schutzbedarfsfeststellung sehr hoch hoch normal Standardmaßnahmen, IT-‐Grundschutz A, B , C Prozess1 Prozess2 Prozess3 Individuelle Risikoanalyse § Prozesse mit (sehr) hohem Schutzbedarf 1. 2. 3. 4. 5. Assetliste des Prozesses Erstellung einer Gefährdungsübersicht ErmiKlung zusätzlicher Gefährdungen Gefährdungsbewertung Risikobehandlungsplan Individuelle Risikoanalyse § Iden;fika;on der Assets (CMDB) § Vererbung des Schutzbedarfs Nr. IT-‐Anwendung / Informa;onen Pers.-‐ bez. Daten A1 BranchensoUware IT-‐Systeme C1 X A2 Personalverwaltung X A3 Onlinebanking X C2 C3 C4 X X X L1 S1 S2 N1 N2 X X X X X X X X TK1 Individuelle Risikoanalyse § Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht • BSI Gefährdungsliste • Reduziert: 46 „elementare Gefährdungen“ • Beispiele und Beschreibungen 3. ErmiKlung zusätzlicher Gefährdungen • Workshop (Brainstorming) 4. Gefährdungsbewertung 5. Risikobehandlungsplan Individuelle Risikoanalyse § Zuordnung zu Assets Individuelle Risikoanalyse § Prozesse mit (sehr) hohem Schutzbedarf 1. 2. 3. 4. Assetliste des Prozesses Erstellung einer Gefährdungsübersicht ErmiKlung zusätzlicher Gefährdungen Gefährdungsbewertung nach 100-‐3 oder • Häufigkeit • Auswirkung 5. Risikobehandlungsplan Individuelle Risikoanalyse § Bewertungskriterien Individuelle Risikoanalyse § Prozesse mit (sehr) hohem Schutzbedarf 1. 2. 3. 4. 5. Assetliste des Prozesses Erstellung einer Gefährdungsübersicht ErmiKlung zusätzlicher Gefährdungen Gefährdungsbewertung Risikobehandlungsplan Individuelle Risikoanalyse Datenschutz § Beispiel Personaldatenverwaltung A2 Personalverwaltung X Vertraulichkeit hoch Es handelt sich um pers.-‐bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch.gen kann. Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden. Individuelle Risikoanalyse Datenschutz § Beispiel Personaldatenverwaltung Individuelle Risikoanalyse Datenschutz § Beispiel Personaldatenverwaltung Individuelle Risikoanalyse hoch Auswirkungen Flugzeugabsturz gering Brand Blitzschlag Stromschwankungen ? gering Stau Erkältung Insektens;ch Wahrscheinlichkeit hoch Individuelle Risikoanalyse Auswirkungen hoch Schadens-‐ besei;gung planen Höchste Priorität Akzep;eren und Versichern Vorbeugen gering gering Wahrscheinlichkeit hoch neam IT-‐Services GmbH Technologiepark 8 D-‐33100 Paderborn +49 5251 1652-‐0 +49 5251 1652-‐444 h8p://www.neam.de
© Copyright 2024 ExpyDoc