Preview only show first 10 pages with watermark. For full document please download

Risikomanagement Kritischer Geschäftsprozesse

   EMBED

Share

Transcript

Risikomanagement  kri.scher   Geschä3sprozesse   Kai  Wi8enburg,  Geschä)sführer,  ISO27001-­‐Audi9eamleiter  (BSI)     Ihre  IT  in  sicheren  Händen   Vorgehensweise  BSI  100-­‐2   IT-­‐Strukturanalyse   Erfassen  der  IT  und  der  IT-­‐Anwendungen   Gruppenbildung   Schutzbedarfsfeststellung   Defini;on  der  Schutzbedarfskategorien   Schadenszenarien   IT-­‐Grundschutzanalyse   Modellierung  nach  IT-­‐Grundschutz   Basis-­‐Sicherheitscheck  mit  Soll-­‐Ist-­‐Vergleich   ca.  80  %   Ergänzende  Sicherheitsanalyse   bei  hohem  Schutzbedarf   bei  zusätzlichem  Analysebedarf   Realisierungsplanung   Konsolidierung  der  Maßnahmen   Umsetzungsplan   ca.  20  %   Iden.fika.on  kri.scher   Geschä3sprozesse   Defini.on  der  Schutzbedarfskategorien   4  SchriKe   Schutzbedarfsbes.mmung  für  IT-­‐Anwendungen   anhand  verschiedener  Schadensszenarien   Ableiten  des  Schutzbedarfs  für  die  einzelnen  Systeme   Ableiten  des  Schutzbedarfs  für  die   Übertragungsmedien  und  Räume,  die  IT-­‐ Anwendungen  zur  Verfügung  stehen   Schutzbedarfsfeststellung   •  Normal   Defini.on  der   Schutzbedarfs-­‐ kategorien   –  Schadensauswirkungen  sind   begrenzt  und  überschaubar.   •  Hoch   –  Schadensauswirkungen  können   beträchtlich  sein.   •  Sehr  hoch   –  Schadensauswirkungen     können  ein  existen;ell     bedrohliches,  katastrophales     Ausmaß  erreichen.   Kategorien   Kategorien   Kategorien   Schutzbedarfsfeststellung   Nr.   IT-­‐Anwendung  /   Informa;onen   Pers.-­‐ bez.   Daten   A1   BranchensoUware   A2   Personalverwaltung   X   Grund-­‐ wert   Schutz-­‐ bedarf   Begründung   Vertraulic hkeit   Es  handelt  sich  um  frei  zugängliche  Daten,   normal   deren  Bekanntwerden  zu  keinen  Schaden   führen  würde.   Integrität   normal   Fehler  können  schnell  erkannt  und  korrigiert   werden.   Verfügbar keit   normal   Wich;ge  Informa;onen  können  aus  anderen   Quellen  bezogen  werden.   Es  handelt  sich  um  pers.-­‐bez.  Daten,  deren   bekanntwerden  den  Betroffen  erheblich   beeinträch;gen  kann.   Vertraulic hkeit   hoch   Integrität   normal   Fehler  können  schnell  erkannt  und  korrigiert   werden.   Verfügbar keit   normal   Ausfälle  können  mit  manuellen  Verfahren  bis   zu  einer  Woche  überbrückt  werden.   Schutzbedarf/  Sicherheitsniveau   Schutzbedarfsfeststellung   sehr  hoch   hoch   normal   Standardmaßnahmen,     IT-­‐Grundschutz  A,  B  ,  C   Prozess1   Prozess2   Prozess3   Individuelle  Risikoanalyse   §  Prozesse  mit  (sehr)  hohem  Schutzbedarf   1.  2.  3.  4.  5.  Assetliste  des  Prozesses   Erstellung  einer  Gefährdungsübersicht   ErmiKlung  zusätzlicher  Gefährdungen Gefährdungsbewertung   Risikobehandlungsplan     Individuelle  Risikoanalyse   §  Iden;fika;on  der  Assets  (CMDB)   §  Vererbung  des  Schutzbedarfs   Nr.   IT-­‐Anwendung  /   Informa;onen   Pers.-­‐ bez.   Daten   A1   BranchensoUware   IT-­‐Systeme   C1   X   A2   Personalverwaltung   X   A3   Onlinebanking   X   C2   C3   C4   X   X   X   L1   S1   S2   N1   N2   X   X   X   X   X   X   X   X   TK1   Individuelle  Risikoanalyse   §  Prozesse  mit  (sehr)  hohem  Schutzbedarf   1.  Assetliste  des  Prozesses   2.  Erstellung  einer  Gefährdungsübersicht   •  BSI  Gefährdungsliste   •  Reduziert:  46  „elementare  Gefährdungen“   •  Beispiele  und  Beschreibungen   3.  ErmiKlung  zusätzlicher  Gefährdungen •  Workshop  (Brainstorming)   4.  Gefährdungsbewertung   5.  Risikobehandlungsplan     Individuelle  Risikoanalyse   §  Zuordnung  zu  Assets   Individuelle  Risikoanalyse   §  Prozesse  mit  (sehr)  hohem  Schutzbedarf   1.  2.  3.  4.  Assetliste  des  Prozesses   Erstellung  einer  Gefährdungsübersicht   ErmiKlung  zusätzlicher  Gefährdungen Gefährdungsbewertung  nach  100-­‐3  oder   •  Häufigkeit   •  Auswirkung   5.  Risikobehandlungsplan     Individuelle  Risikoanalyse   §  Bewertungskriterien   Individuelle  Risikoanalyse   §  Prozesse  mit  (sehr)  hohem  Schutzbedarf   1.  2.  3.  4.  5.  Assetliste  des  Prozesses   Erstellung  einer  Gefährdungsübersicht   ErmiKlung  zusätzlicher  Gefährdungen Gefährdungsbewertung   Risikobehandlungsplan     Individuelle  Risikoanalyse   Datenschutz   §  Beispiel  Personaldatenverwaltung   A2   Personalverwaltung   X   Vertraulichkeit   hoch   Es  handelt  sich  um  pers.-­‐bez.  Daten,  deren   bekanntwerden  den  Betroffen  erheblich   beeinträch.gen  kann.   Integrität   normal   Fehler  können  schnell  erkannt  und  korrigiert   werden.   Verfügbarkeit   normal   Ausfälle  können  mit  manuellen  Verfahren  bis   zu  einer  Woche  überbrückt  werden.   Individuelle  Risikoanalyse   Datenschutz   §  Beispiel  Personaldatenverwaltung   Individuelle  Risikoanalyse   Datenschutz   §  Beispiel  Personaldatenverwaltung   Individuelle  Risikoanalyse   hoch   Auswirkungen   Flugzeugabsturz   gering   Brand   Blitzschlag   Stromschwankungen   ? gering   Stau   Erkältung   Insektens;ch   Wahrscheinlichkeit   hoch   Individuelle  Risikoanalyse   Auswirkungen   hoch   Schadens-­‐ besei;gung   planen   Höchste Priorität   Akzep;eren   und  Versichern   Vorbeugen   gering   gering   Wahrscheinlichkeit   hoch   neam  IT-­‐Services  GmbH   Technologiepark  8   D-­‐33100  Paderborn     +49  5251  1652-­‐0   +49  5251  1652-­‐444         h8p://www.neam.de