Zum Hauptinhalt springen

Einführung

Das Risikomanagement in grcproxy dient der systematischen Identifikation, Bewertung und transparenten Darstellung von Risiken im Informationsverbund. Ziel ist es, relevante Gefährdungen für Ressourcen frühzeitig zu erkennen, deren Risiko nachvollziehbar zu bewerten und den Einfluss vorhandener Sicherheitsmaßnahmen auf das Risiko sichtbar zu machen.

Die Risikobetrachtung unterstützt Organisationen dabei, den aktuellen Stand der Umsetzung von Sicherheitsmaßnahmen zu bewerten, verbleibende Risiken zu erkennen und Prioritäten für weitere Verbesserungen im Informationssicherheitsmanagement zu setzen.

Geltungsbereich

Die Risikobetrachtung umfasst die im Informationsverbund modellierten Ressourcen, insbesondere IT-Systeme, Anwendungen, Infrastrukturen und Services. Risiken werden für jede Ressource in Bezug auf konkrete Gefährdungen bewertet.

Das Risikomodell folgt dabei dem Prinzip einer asset- und gefährdungsspezifischen Bewertung. Für jede Kombination aus Ressource und relevanter Gefährdung wird das Risiko separat bestimmt. Dadurch entsteht eine differenzierte und realistische Einschätzung der Bedrohungslage im Informationsverbund.

Neben technischen Ressourcen werden auch organisatorische Maßnahmen berücksichtigt, die auf Ebene des gesamten Informationsverbunds wirken.

Die Risikobetrachtung basiert auf der jeweils aktuellen Revision der Strukturanalyse. Änderungen am Informationsverbund werden erst nach Erstellung einer neuen Revision berücksichtigt.

Methodische Grundlagen

Das Risikomanagement in grcproxy orientiert sich an den Methoden des BSI IT-Grundschutzes, insbesondere am BSI-Standard 200-3 (Risikomanagement).

Grundlage der Risikobetrachtung sind die im ISMS-Betrieb verwendeten IT-Grundschutz-Bausteine und Maßnahmen. Ressourcen im Informationsverbund werden entsprechenden Bausteinen zugeordnet. Über die im IT-Grundschutz-Kompendium definierten Referenzen zwischen Maßnahmen und Gefährdungen wird automatisch ermittelt, welche Gefährdungen für eine Ressource relevant sind.

Dieses Vorgehen folgt dem Grundprinzip des IT-Grundschutzes:

Baustein → Maßnahme → Gefährdung → Risiko

Dadurch wird sichergestellt, dass Risiken nicht isoliert betrachtet werden, sondern immer im Kontext der vorgesehenen Sicherheitsmaßnahmen stehen.

Aktualisierung der Bewertungsgrundlage

Die Risikobewertung basiert auf der jeweils aktuellen Revision der Strukturanalyse. Änderungen am Informationsverbund, wie das Hinzufügen oder Entfernen von Ressourcen oder Prozessen, werden erst nach Erstellung einer neuen Revision wirksam.

Mit der neuen Revision werden die betroffenen Objekte in den ISMS-Betrieb übernommen. Anschließend erfolgt automatisch die Zuordnung der passenden IT-Grundschutz-Bausteine und Maßnahmen. Über die im IT-Grundschutz-Kompendium definierten Referenzen zwischen Maßnahmen und Gefährdungen werden daraus die relevanten Gefährdungen ermittelt.

Dadurch werden neue oder geänderte Objekte automatisch auch im Risikomanagement berücksichtigt. Auf Basis der hinterlegten Standardwerte können neu hinzugefügte Objekte unmittelbar automatisch bewertet werden.