BSI/200-4/09 Risikoanalyse
BSI/200-4/09 Risikoanalyse
Beschreibung
- BCM-Prozessschritte der BCM-Risikoanalyse
Auswahl einer geeigneten Risikoanalyse-Methode (AS)
Die BCM-Risikoanalyse muss die folgenden Anforderungen erfüllen:
- Die Risikoanalyse sollte die Risikokriterien Eintrittshäufigkeit und Schadenshöhe berücksichtigen.
- Die Risikoeinschätzung sollte alle vorhandenen risikoreduzierenden Maßnahmen berücksichtigen. (Netto-Risikoeinschätzung)
- Der Detailgrad der betrachteten Ressourcen(cluster), der Gefährdungen und der resultierenden Risiken sollte so gewählt werden, dass geeignete BC-Strategien und -Lösungen dafür identifiziert werden können.
- Die Institution muss die identifizierten Risiken auf den weiteren Handlungsbedarf hin bewerten.
- Die Institution muss sicherstellen, dass vor der Risikoakzeptanz alle anderen Risikobehandlungsoptionen angemessen geprüft wurden.
- Die Ergebnisse der BCM-Risikoanalyse, insbesondere bestehende Restrisiken, sollten durch die Institutionsleitung zur Kenntnis genommen werden.
- Die bestehenden Restrisiken müssen durch die Institutionsleitung akzeptiert werden.
Vorarbeiten zur Risikoanalyse (AS)
Durch die BIA liegt bereits die Liste der zeitkritischen Ressourcen und damit der relevanten Zielobjekte für die BCM-Risikoanalyse vor
- Die Vorbereitung zur Risikoanalyse gemäß BSI-Standard 200-3 beschränkt sich daher auf eine geeignete Gruppenbildung dieser relevanten Zielobjekte
- In der BCM-Risikoanalyse kann auch auf die bereits definierten Ressourcen(cluster) gemäß BIA zurückgegriffen werden
- Aufgrund ihrer hohen Bedeutung sollten zusätzlich die in der BIA identifizierten SPoFs als eigenständige Zielobjekte in der BCM-Risikoanalyse betrachtet werden.
Analog zur BIA und dem Soll-Ist-Vergleich bieten sich für die BCM-Risikoanalyse ebenfalls Workshops an, um die Informationen zielgerichtet zu erheben
- Das Vorgehen, um
die Workshops vorzubereiten, kann analog zur Vorbereitung der BIA-Workshops erfolgen (siehe 7.1.4 Planung der BIA-Erhebung (R+AS))
- Auch der Einsatz von vorgegeben
Hilfsmitteln bietet sich in der BCM-Risikoanalyse an
- Insbesondere kann es hilfreich sein, eine Workshop-Präsentation vorzubereiten, in der auf die spezifischen Eigenschaften der BCM-Risikoanalyse eingegangen wird.
Erstellung einer Gefährdungsübersicht (AS)
- Ausgewählte elementare Gefährdungen des BSI mit Bezug auf das Schutzziel Verfügbarkeit (Beispiel)
Die Relevanz der Gefährdungen kann über folgende Stufen beschrieben werden (siehe BSI-Standard 200-3, Kapitel 4.1 Elementare Gefährdungen):
| Relevanz | Beschreibung |
|---|---|
| Direkt relevant | bedeutet hier, dass die jeweilige Gefährdung auf das betrachtete Zielobjekt einwirken kann und deshalb im Rahmen der Risikoanalyse behandelt werden muss. |
| Indirekt relevant | meint hier, dass die jeweilige Gefährdung zwar auf das betrachtete Zielobjekt einwirken kann, in ihrem Schadenspotenzial aber nicht über andere
(allgemeinere) Gefährdungen hinausgeht. In diesem Fall muss die jeweilige Gefährdung für dieses Zielobjekt nicht gesondert im Rahmen der Risikoanalyse behandelt werden |
| Nicht relevant | heißt hier, dass die jeweilige Gefährdung nicht auf das betrachtete Zielobjekt einwirken kann und deshalb für dieses Zielobjekt im Rahmen der Risiko
analyse nicht behandelt werden muss. |
- Zuordnung der Gefährdungen zu den Ressourcenkategorien (Beispiele)
Risikoeinschätzung (AS)
Wie hoch das Risiko ist, wird im BSI-Standard 200-3 und in vielen weiteren Methoden von zwei Parametern bestimmt
| Parameter | Beschreibung |
|---|---|
| Eintrittshäufigkeit | wie häufig sich eine Gefährdung auf eine zeitkritische Ressource schätzungsweise auswirkt. |
| Schadenshöhe | die zu erwartende Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht. |
- Netto-Risikoeinschätzung
Berücksichtigt alle vorhandenen risikoreduzierenden Maßnahmen
Risikobewertung (AS)
- Risikomatrix
- Risikokategorien
Risikobehandlung (AS)
Die Risikobehandlung im BCMS orientiert sich grundlegend an den vier Risikobehandlungsoptionen des BSI-Standard 200-3 (siehe BSI-Standard 200-3, Kapitel 6.1 Risikobehandlungsoptionen)
- Jedoch ist die Risikobehandlungsoption Transfer von Risiken im BCM nur bedingt geeignet
- Zum einen können aus dieser Option keine Maßnahmen zur Sicherstellung eines kontinuierlichen Geschäftsbetriebs abgeleitet werden
- Zum anderen bleibt die Erfüllung von gesetzlichen oder vertraglichen Vorgaben von dieser Risikobehandlungsoption unberührt
- Aus denselben Gründen muss auch genau geprüft werden, ob eine Risikoakzeptanz möglich ist
- Insbesondere Institutionen, die eine Versorgungssicherheit zu garantieren haben, z. B. im KRITIS-Umfeld, legen daher den Fokus darauf, Risiken, die die kritischen Dienstleistungen betreffen, zu vermeiden oder zu reduzieren, sofern Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind.
Anhang
Siehe auch
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang