Eine Risikoanalyse wird notwendig, wenn sich im Verlauf der Standardmaßnahmen der IT-Grundschutz-Kataloge herausstellt, dass für bestimmte Teile Ihres IT-Verbundes hinsichtlich mindestens eines der drei Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität ein hoher oder sehr hoher Schutzbedarf besteht. Diese Analyse sollte sich auf die gefährdeten Komponenten beschränken.
Der erste Teil der Risikoanalyse läuft nach folgendem Schema ab:
Nun folgt die so genannte Gefährdungsbewertung. Hierbei wird ermittelt, ob die Standard- Sicherheitsmaßnahmen bereits ausreichend sind. Ist dies für einzelne Gefährdungen nicht der Fall, muss entschieden werden, ob durch zusätzliche Maßnahmen die Gefahr beseitigt werden oder aber das Risiko in Kauf genommen werden muss, da entweder kein wirksamer Schutz möglich ist oder der Aufwand hierfür in keinem vertretbaren Verältnis zum möglichen Schaden steht.
Details können dem Dokument Risikoanalyse auf der Basis von IT-Grundschutz entnommen werden, welche Sie von der Webseite des BSI herunterladen können.
* (historisch, wird nicht mehr aktualisiert)