Der Risikobehandlungsplan bringt Struktur in den BSI-Grundschutz ODER wie die Menge der BSI-Maßnahmen auf die inakzeptablen Risiken reduziert werden kann

Die Masse der Maßnahmen ist oftmals ein gewichtiger Grund um sich vom an sich sehr guten BSI-Grundschutz abzuwenden.
Im BSI-Grundschutz sind bei mittlerem Schutzbedarf weder eine Risikoanalyse, noch eine Risikobehandlung - wie wir sie aus der ISO 27001 kennen - vorgesehen. Das hat Vorteile. Leider aber auch den Nachteil, dass in einem mittelgroßen IT-Verbund (20 bis 30 Elemente) mehrere tausend Maßnahmen vorzufinden und umzusetzen sind, denn viele Maßnahmen der 1300 BSI-Maßnahmen werden mehrfach bei verschiedenen Zielobjekten aufgelistet.

"Aber jetzt gibt es Abhilfe" verspricht Gerhard Kron von kronsoft. Mit Hilfe einer Risikoanalyse, die auf den kompletten IT-Verbund angewendet wird, kann eine Risikobehandlung zu den 650 BSI-Grundschutzgefährdungen erstellt werden. Dadurch sei es möglich, dass der Verantwortliche die 1300 BSI-Maßnahmen nach seiner Risikoakzeptanz betrachten kann. "Je höher die Risikofreudigkeit, desto weniger Maßnahmen sind zu realisieren", führt Kron aus. "Welche Risiken inakzeptabel (rot), ALARP (gelb) oder akzeptabel (grün) sind, entscheidet jetzt der Verantwortliche selbst" erklärt Kron weiterführend.

"Die Voraussetzungen zum Erstellen des Risiko-Behandlungsplanes muss der Verantwortliche aber in jedem Fall durch Festlegen der für ihn geltenden Eintrittswahrscheinlichkeiten von Risiken und der Schadenshöhen schaffen". "Erst dann sei es möglich die Risikomatrix zu erstellen, die Grundlage für das Einstufen der BSI-Gefährdungen ist" führt Kron weiter aus.

"Der Risikobehandlungsplan kann nicht nur bei der ISO 27001 - wo er gefordert wird - eine gute Grundlage für den PDCA-Zyklus sein, sondern jetzt auch endlich für den BSI-Grundschutz" meint Kron und verweist als Beispiel auf einen angefertigten Plan, den wir hier als Download bereitstellen können: Kennwort = 'opusi' http://www.kronsoft.de/download/pressedownload/03.zip

Beim geschilderten Vorgehen verbleibt allerdings doch noch ein Wermutstropfen: wer sich nach BSI-Grundschutz zertifizieren lassen möchte, kann mit dem Risiko-Behandlungsplan zwar planvoll vorgehen, ist aber letztendlich doch gezwungen alle vorgeschlagenen BSI-Grundschutz-Maßnahmen zu implementieren.

kronsoft e.K.
Schillerstraße 10
D 66564 Ottweiler

Pressekontakt: Gerhard Kron
Telefon: +49 6858 6370
Telefax: +49 6858 6371
Support: +49 6858 600237
eMail: Info@kronsoft.de
Internet: www.kronsoft.de / .com

Amtsgericht Saarbrücken HRA 8980
UST-ID: DE 138029324
STN: 030-124-06828