RiLi-Risikoanalyse
{{SHORTDESC:Mustervorlage für eine "Richtlinie zur Risikoanalyse" Diese Richtlinie beschreibt den systematischen Ansatz zur Identifizierung, Bewertung und Behandlung von Risiken gemäß BSI-Standards. Sie umfasst Verantwortlichkeiten, Methodik, Anwendungsbereich, Dokumentation und die Erstellung eines Umsetzungsplans zur kontinuierlichen Verbesserung der Informationssicherheit.
Einleitung
Die Organisation hat ein Managementsystem für Informationssicherheit (ISMS) etabliert, das BSI Standard 200-1 und 200-2 (IT-Grundschutz) basiert. Zentraler Bestandteil eines ISMS ist auch die Durchführung von Risikoanalysen. Diese werden in der Organisation nach dem BSI-Standard 200-3 durchgeführt. Die vorliegende Richtlinie beschreibt die Vorgaben zur Durchführung einer Risikoanalyse.
Geltungsbereich
Die vorliegende Richtlinie gilt für die Risikoanalyse innerhalb ISMS der Organisation. Der Geltungsbereich ist damit der Geltungsbereich des ISMS und damit für alle Informationsverbünde. Die Richtlinie ist für alle beteiligten Mitarbeitenden verbindlich.
Zielsetzung
Das Risikomanagement ist ein zentraler Baustein, um Gefährdungen und Risiken sichtbar zu machen und zu zeigen, dass man sich als Organisation proaktiv darauf einstellt.
Ziel des Risikomanagements ist es
- rechtzeitig Risiken zu erkennen,
- die zugrundeliegenden Gefährdungen sichtbar zu machen und
- Maßnahmen zu entwickeln um erkannte Risiken zu beherrschen.
Risikomanagement ist auch im Interesse der Organisation. Damit sollen technische und wirtschaftliche Risiken sichtbar werden, die großen finanziellen rechtlichen oder Reputationsschaden zur Folge haben können.
Prozessbeschreibung
Verantwortlichkeiten
Verantwortlich für die Durchführung der Risikoanalyse ist der fachlich zuständige Bereich für die jeweilige Anwendung in Zusammenarbeit mit dem ISB oder dem Risikomanager.
Verantwortlich für die Risikoeinschätzung und Auswahl der Risikobehandlungsoptionen ist der jeweilige Risikoeigentümer, ggf. in Abstimmung mit dem Fachbereich und dem ISB.
Verantwortlich für die Übernahme der Restrisiken ist die Leitung der Organisation.
Methodik
Risikoanalyse werden in der Organisation nach BSI-Standard 200-3 durchgeführt.
Dabei werden Risikoanalysen in der Organisation verfahrens- bzw. anwendungsbezogen erstellt. Die sich daraus ergebenden zusätzlichen Anforderungen sind dann entsprechend der Schutzbedarfsvererbung sinngemäß auf allen nachfolgenden Systemen umzusetzen.
Die Risikoanalysen sind jährlich auf ihre Aktualität zu prüfen und ggf. anzupassen.
Anwendungsbereich
Eine Risikoanalyse ist mindestens für alle Verfahren erforderlich, die
- einen erhöhten Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder
- mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
- Eine oder mehrere Anforderungen des Grundschutzes nicht oder nur teilweise umgesetzt werden können oder
- in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.
Dokumentation
Risikoanalysen sind der in der Anlage enthaltenen Excel-Tabelle zu dokumentieren.
Altenativ ISMS-Tool oder ähnliches Hildsmittel
Risikobewertung
Die Risikobewertung setzt sich aus
- Eintrittshäufigkeiten und
- Schadenshöhe
zusammen, die jeweils für die einzelne Gefährdungen betrachtet werden. Um eine nachvollziehbare, reproduzierbare und plausible Risikobewertung durchführen zu können, werden die nachfolgenden Abstufungen definiert.
Eintrittshäufigkeiten
Für die Eintrittshäufigkeit werden die folgenden Stufen definiert:
| Stufe | Definition | |
|---|---|---|
| 1 | unwahrscheinlich | Die Gefährdung ist sehr abstrakt. Es erfordert ein sehr hohes Fachwissen, interne Kenntnisse und erheblichen Aufwand des Angreifers. Es ist praktisch noch nie vorgekommen und absehbar nicht zu erwarten oder erfordert ein Zusammentreffen mehrerer widriger Umstände. |
| 2 | möglich | Die Gefährdung ist möglich aber nicht zu erwarten. Ein Angriff erfordert interne Kenntnisse oder hohes Fachwissen. Ein Vorfall ist bisher nicht bekannt oder nur einmalig aufgetreten. |
| 3 | wahrscheinlich | Die Gefährdung ist realistisch und erwartbar. Ein Angriff ist mit üblichen Fachkenntnissen oder Hilfsmitteln und mäßigem Aufwand möglich. Entsprechende Vorfälle sind schon mehrfach eingetreten. |
| 4 | sehr wahrscheinlich | Die Gefährdung ist permanent/akut vorhanden. Ein Angriff ist auch ohne Vorkenntnisse oder Fachwissen mit geringem Aufwand möglich. Entsprechende Vorfälle treten regelmäßig auf. |
Es muss mindestens eine der unter Definition genannten Bedingungen erfüllt sein. Sind mehrere Bedingungen unterschiedlicher Stufen erfüllt, gilt die höchste betroffene Stufe.
Bei der Durchführung der Risikoanalyse ist für jeden einzelnen Sachverhalt darauf zu achten, dass die individuelle Einschätzung zur Eintrittshäufigkeit nachvollziehbar und reproduzierbar ist. Aus diesem Grund ist eine entsprechende Dokumentation (kurze Begründung der Einschätzung) erforderlich.
Schadenshöhe
Für die Schadenshöhe werden die folgenden Stufen definiert:
| Stufe | Definition | |
|---|---|---|
| 1 | vernachlässigbar | Es entsteht kein nennenswerter Schaden. Prozesse, Dienste oder Verfahren werden nicht beeinträchtigt. Es hat keine finanziellen Auswirkungen. |
| 2 | begrenzt | Der Schaden ist im Rahmen der betrieblichen Prozesse zu beheben. Prozesse, Dienste oder Verfahren werden nicht nennenswert bzw. nur kurzzeitig beeinträchtigt. Verträge und Servicelevel können noch eingehalten werden. Es hat nur geringe finanzielle Auswirkungen innerhalb des vorhandenen Budgets. |
| 3 | beträchtlich | Der Schaden kann nur durch Managementbeteiligung behoben werden. Prozesse und Verfahren können nicht mehr aufrechterhalten werden. Verträge, Servicelevel oder Gesetze (z.B. Ordnungswidrigkeiten) werden verletzt. Das Ansehen der Organisation leidet. Die finanziellen Auswirkungen sind erheblich und erfordern Budgetänderungen. |
| 4 | existenzbedrohend | Der Schaden ist existenzbedrohend. Verträge oder Gesetze werden massiv verletzt (z.B. Straftaten). Das Ansehen der gesamten Organisation wird erheblich und dauerhaft geschädigt. Die finanziellen Auswirkungen können existenzbedrohend sein. |
Es muss mindestens eine der unter Definition genannten Bedingungen erfüllt sein. Sind mehrere Bedingungen unterschiedlicher Stufen erfüllt, gilt die höchste betroffene Stufe.
Bei der Durchführung der Risikoanalyse ist für jeden einzelnen Sachverhalt darauf zu achten, dass die individuelle Einschätzung zur Schadenshöhe nachvollziehbar und reproduzierbar ist. Aus diesem Grund ist eine entsprechende Dokumentation (kurze Begründung der Einschätzung) erforderlich.
Risikobewertung
Ausgehend von der Eintrittshäufigkeit und der Schadenshöhe wird für jede Gefährdung anhand der nachfolgenden Matrix die Risikobewertung vorgenommen:
Die Risikokategorien sind dazu wie folgt definiert:
| gering: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten einen ausreichenden Schutz. Es sind keine weiteren Anforderungen an die Sicherheit erforderlich, Das Risiko kann ohne weitere Maßnahmen getragen werden. |
| mittel: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind möglicherweise nicht ausreichend. Das Risiko muss im weiteren näher betrachtet und ggf. behandelt oder getragen werden. |
| hoch: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind nicht aureichend. Das Risiko muss weiter behandet werden. Es kann nicht getragen werden. |
Risikobehandlung
Zur Risikobehandlung sind grundsätzlich die folgenden Optionen möglich:
| Reduktion: | Risiken werden durch die Umsetzung weiterer Maßnahmen reduziert; je nach Art der Maßnahme, kann die Eintrittshäufigkeit oder die Auswirkungen reduziert und damit das Risiko gesenkt werden. |
| Transfer: | Einige Risiken können auch transferiert werden, etwa an eine Versicherung. |
| Vermeidung: | Risiken können auch aus dem Geltungsbereich des Informationsverbundes ausgeschlossen werden. |
| Akzeptanz: | Risiken können von der Geschäftsführung akzeptiert werden; hierzu ist es erforderlich, dass die Geschäftsführung fundiert, vollständig, transparent und verständlich über die Restrisiken samt Folgen informiert wird. |
Eine Akzeptanz von Risiken, die aus der Nichterfüllung von Basis-Anforderungen resultieren, ist nicht zulässig.
Eine Akzeptanz von hohen Risiken ist ohne vorherige Reduktion auf ein mittleres oder geringes Risiko nicht zulässig.
Umsetzungsplan
Maßnahmen, die im Rahmen der Risikobehandlung umgesetzt werden sollen, werden in einem Umsetzungsplan nachverfolgt. Der Umsetzungsplan enthält insbesondere die folgenden Informationen:
- Maßnahme
- zugeordnetes Risiko aus der Risikoanalyse
- Verantwortlichkeiten
- Fristen
- Status
Maßnahmen gehen in das IT-Grundschutz-konforme Sicherheitskonzept ein, können also insbesondere zur Aktualisierung von Strukturanalyse und IT-Grundschutz-Check führen.
Schlussbemerkung
Behandlung von Ausnahmen
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
