Ausgangspunkt und wesentliches Hilfsmittel für die Risikoanalyse und -behandlung ist die Liste der elementaren Gefährdungen im IT-Grundschutz des BSI. Die zuvor identifizierten Prozesse, Anwendungen, Räume und IT-Systeme sollten anhand der Variablen „mögliche Schadenshöhe“ und „Eintrittswahrscheinlichkeit eines Schadens“ im Hinblick auf die Gewährleistungsziele der Verfügbarkeit, Vertraulichkeit und Integrität untersucht werden.
Der BSI Standard 200-3 beruht auf vier Klassifikationen von Eintrittshäufigkeiten und vier Klassifikationen von Schadensauswirkungen. Mit Hilfe der Klassifikationen erfolgt eine Einstufung in die Risikokategorien mit der Bandbreite von gering bis sehr hoch.
Nach BSI Standard 200-3 sind folgende Schritte durchzuführen:
- Schritt: Erstellung einer Gefährdungsübersicht
Es werden elementare Gefährdungen und ggf. spezielle Gefährdungen, die sich aus spezifischen Szenarien ergeben können, ermittelt. - Schritt: Risikoeinstufung
Schadenshäufigkeiten und Schadenshöhe werden in einer Risikoeinschätzung ermittelt und in einer Risikobewertung kategorisiert. - Schritt: Risikobehandlung
Die Risikobehandlung hat das Ziel, Risiken auf ein vertretbares Restrisiko zu reduzieren. Die Risikobehandlung ist als iterativer Prozess zu verstehen, der unter Umständen mehrfach durchlaufen werden muss, um das gewünschte Ziel zu erreichen.
Änderungen in Prozessen und Anwendungen erfordern dabei häufig eine Neubewertung und Start des Prozesses von Analyse und Behandlung.