Notfallszenarien
Dieser Bereich listet alle Notfallszenarien mit einigen weiteren Informationen auf. Die Notfallszenarien werden gruppiert angezeigt. Um die jeweiligen Notfallszenarien schneller finden zu können, stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Dank der Gruppierung, welche Sie durch einen Klick auf das - bzw. + Symbol ein- und ausklappen können, lassen sich einzelne Notfallszenarien besser finden.
- Zeitkritische Geschäftsprozesse
- IT-Notfallmanagement
- Notfallmanagement gemäß BSI-Standard 200-4
- Notfall-relevante Sachverhalte der UVV
Durch einen Klick auf das Symbol neben der jeweiligen Bezeichnung können Sie die Ansicht aufklappen, und sich genauere Informationen zu den Szenarien anzeigen lassen.
ForumBCM bietet auch für die Notfallszenarien eine Vielzahl von Vorschlägen, welche Sie übernehmen können. Beachten Sie hierzu den Abschnitt „Übernehmen von Vorschlägen“.
Werden Notfallszenarien aus den Vorschlägen übernommen, so übernimmt ForumBCM automatisch auch ggf. zugehörige Notfallpläne in die Anwendung.
Notfallszenario anlegen
Bei der Erstellung bzw. der Bearbeitung eines Szenarios können verschiedene Verknüpfungen vorgenommen werden. Ein Notfallszenario wird üblicherweise mit den Gefährdungenverknüpft, auf welchen es aufbaut. Darunter versteht sich bspw. Höhere Gewalt, Kriminelle Ereignisse oder Technische Störungen. Weiterhin können die betroffenen Prozesse, Orga-Einheiten, Anwendungen, Infrastrukturprojekte bzw. Systeme angegeben werden.
Die Felder Bezeichnung und Verantwortung stehen am Anfang der Notfallszenario-Maske. Ebenfalls kann die Art und die Gruppe des Szenarios bestimmt werden. Die übrigen Felder sind zur besseren Übersicht in Reitern zusammengefasst. In den weiteren Reitern sind Auswirkungen, Maßnahmen und die Übungen zum Szenario zu bearbeiten.
Im Reiter Allgemein sind die Gefährdungen in der Ansicht an die erste Stelle gelangt, gefolgt von der Risikoanalyse, der Gruppe sowie der Art. Im Reiter der Verknüpfungen bekommen wir zugeordnete Geschäftsprozesse und deren verknüpfte Anwendungen angezeigt. Der Bereich der verknüpften Anwendungen(1) ist standardmäßig zugeklappt und kann über das Dreieckssymbol geöffnet werden. Im Auswahldialog zur Zuordnung von Geschäftsprozessen zu Notfallszenarien werden zudem die zeitkritischen Geschäftsprozesse zuerst (oben) angezeigt.
Zusätzlich ist das manuelle verknüpfen zu weiteren Schutzobjekten möglich.
Gefährdung
Über die Schaltfläche aus Liste wählen
können die Gefährdungen bequem dem Szenario zugeordnet werden. Die Bestätigung der Auswahl erfolgt über die Schaltfläche Übernehmen
. Der Gefährdungskatalog gemäß BSI-Grundschutzkompendium steht neben ursächlichen Gefährdungen ebenso zur Auswahl, wenn Sie in der Anwendung ForumNSR das BSI-Grundschutzkompendium als Standard nutzen.
Risikoanalyse
Zu jedem Notfallszenario kann eine Risc Impact Analyse (RIA) angelegt und durchgeführt werden.
Vereinfachte Risikoanalyse
Für die Bewertung von Notfallszenarien wird eine vereinfachte Risikobewertung mittels Eintrittswahrscheinlichkeit und Schadenspotential zur Verfügung gestellt. Die Funktion ist standardmäßig inaktiv und muss für die Verwendung in den Einstellungen der Anwendung global aktiviert werden.
Aktivieren Sie die vereinfachte Risikoanalyse, steht Ihnen in bereits durchgeführten und bestehen Risikoanalysen die bekannte Checkliste und die vereinfachte Bewertung zur Verfügung. Einen entsprechenden Hinweis bekommen Sie zur Löschung angezeigt:
Eine bestehende Checkliste können Sie über die Schaltfläche Checkliste entfernen
löschen.
In der vereinfachten Risikoanalyse wird die Betrachtung auf die Eintrittswahrscheinlichkeit und das Schadenspotential gerichtet. Die entsprechenden Hilfstexte zu den Einstellungen sind über das ?
aufrufbar und in den Einstellungen der Risikokriterien zu hinterlegen.
Wird der Funktionsbereich Vereinfachte Risikoanalyse genutzt, müssen Sie bei inaktivem Funktionsbereich Erfassung von Risiken die Einstellungen der Risikokriterien konfiguriert und freigeben werden, um diese innerhalb der Anwendung zu verwenden.
Risikoanalyse mit Checkliste und Scoring
Aktivieren Sie die vereinfachte Risikoanalyse, steht Ihnen in bereits durchgeführten und bestehen Risikoanalysen die bekannte Checkliste und die vereinfachte Bewertung zur Verfügung. Einen entsprechenden Hinweis bekommen Sie zur Löschung angezeigt:
Eine bestehende Checkliste können Sie über die Schaltfläche Checkliste entfernen
löschen.
Die Risikoanalyse mit Scoring bietet die Möglichkeit, verschiedene Kenngrößen des Szenarios zu klassifizieren und schlägt auf dieser Grundlage einen passenden Testturnus für das betreffende Szenario vor. Nachdem zu dem Szenario eine solche Risikoanalyse angelegt wurde, werden Ihnen in der Detailansicht die wichtigsten Daten angezeigt.
Über die Bezeichnung, wie in der vorherigen Abbildung zu erkennen, gelangen Sie in die detaillierte Aufschlüsselung aller Werte des Rankings und können diese auch anpassen.
Ein zum Szenario angelegtes Ranking kann nicht im Szenario gelöscht oder ausgetauscht werden. Dafür muss immer das Ranking geöffnet werden. Dann ist ein Löschen möglich. Anschließend kann ein neues Ranking zum Szenario angelegt werden.
Zeitkritische Aktivitäten müssen nach MaRisk AT 7.3 mindestens im jährlichen Turnus oder anlassbezogen geübt werden.
Notfallplan und Übung
Auf der Basis des Rankings ist es ggf. erforderlich, dem Szenario einen Notfallplan und / oder eine Übung hinzuzufügen. Folgen Sie dafür einfach den Bearbeitungsmasken. Der Fokus liegt dabei auf den zeitkritischen Geschäftsprozessen. Die Risikobewertung (Notfallranking) wird lediglich dazu genutzt, einen Turnus für die Übungen zu empfehlen.
Die Empfehlungen aus unserem Vorschlag im Grundlagendokument Kriterien zur Risikoanalyse und -bewertung:
- Bis 50 Punkte wird ein dreijähriger Übungsrhythmus empfohlen
- Ab 51 bis 70 Punkte wird ein jährliche Übungsrhythmus empfohlen
- Über 71 Punkte wird ein halbjährlicher Übungsrhythmus empfohlen
Diese Werte sind natürlich individuell anpassbar.
Auswirkungen
Sofern im Punkt „Betroffene Organisationseinheiten“ keine Einträge hinterlegt sind, wird das Szenario und der zugehörige Notfallplan als allgemeingültig (d.h. für alle Organisationseinheiten) betrachtet. Letztere erscheinen sowohl in der PDF-Version des unternehmensweiten Notfallhandbuchs als auch in den Handbüchern für gewählte Organisationseinheiten.
Über die Listenansicht stehen Ihnen die in der Anwendung zur Verfügung stehenden Organisationen über eine Listenauswahl zur Verfügung.
Notfallpläne
Im Reiter Notfallpläne kann ein bereits angelegter Notfallplan ausgewählt werden bzw. neu angelegt werden. Eine Mehrfachauswahl ist hier über die Listenauswahl möglich.
Übungen
Im Reiter Übungen kann ein bereits angelegte Übung ausgewählt werden bzw. neu angelegt werden.
Die Option, Übungen zuzuordnen, ermöglicht es, den eventuell eintretenden Notfall zu üben und die Ergebnisse der Übungen wiederum in die Planung einfließen zu lassen. Somit wird eine optimale Vorbereitung auf die jeweiligen Notfallszenarien ermöglicht.
Ein Notfallszenario kann nach Fertigstellung durch eine Freigabe mit Wiedervorlage versehen werden. Weitere Information zur Freigabe finden Sie unter der Rubrik Umgang mit der Freigabe.
Risikomanagement
Das Modellieren von Risiken ist möglich, wenn in den Einstellungen von ForumBCM das Erfassen von Risiken im Funktionsbereich aktiviert wurde.
Allgemein
Sofern sich an einem Notfallszenario, zum Beispiel durch einen Ausfall von Systemen, eine besondere Gefährdung ergibt, sind diese Szenarien einer Risikoanalyse zu unterziehen. Über die Schaltfläche Risiko anlegen...
können Sie ein neues Risiko anlegen bzw. im Bearbeitungsmodus ein bereits angelegtes Risiko über die Schaltfläche Risiken kopieren
auswählen.
Bitte geben Sie dem Risiko eine aussagekräftige Bezeichnung um eine weitere Bearbeitung in ForumBCM zu erleichtern. Die Herkunft wird bei der Bearbeitung aus einer Prüfungsfrage bereits vorgegeben. Bitte vergessen Sie nicht eine Verantwortung zu hinterlegen und gegebenenfalls Bedrohungen zu zuordnen.
Für die Auswahl von Bedrohungen steht in der Maske Dropdown Menü zur Verfügung.
Bewertung
Analog zur Methodik in ForumISM sind hier eine Schwachstellen- und Bedrohungsanalyse durchzuführen und Eintrittswahrscheinlichkeit und Schadenspotential des Abweichungsrisikos zu bewerten. Der Umgang mit dem Risiko bzw. Restrisiko (nach Maßnahmen) ist zu dokumentieren. Ist die Bedrohungs- und Schwachstelleneinstufung getroffen, können Sie über die Schaltfläche "Berechnen"
die Eintrittswahrscheinlichkeit berechnen lassen. Bitte hinterlegen Sie eine entsprechende Begründung für Ihre Entscheidung.
Sollten Änderungen an der Schwachstellen- bzw. Bedrohungseinstufungen vorgenommen werden, müssen eventuell hinterlegte Begründungen ebenfalls geändert werden.
Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.
Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung automatisch hinterlegt.
Ist die Eintrittswahrscheinlichkeit berechnet und das Schadenspotenzial gewählt, wird gemäß den Einstellungen vom System die Risikoklasse und Risikokategorie bestimmt.
Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung zur Verfügung:
1 - niedrig (Die Schadenswirkung ist minimal)
2 - mittel (Die Schadenswirkung ist gering)
3 - hoch (Die Schadenswirkung ist beträchtlich)
4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)
Umgang mit dem Risiko / Restrisiko
Wurde eine Bewertung des Risikos durchgeführt, bestehen verschiedene Optionen im Umgang mit dem Risiko. Diese Auswahl hat einen Einfluss auf die Bewertung das Restrisikos.
Auch für das verbleibende Restrisiko kann eine Handlungsempfehlung ausgesprochen werden, wenn sich beispielsweise zu einem Risiko keine (wirtschaftlich / organisatorisch) sinnvollen Maßnahmen zur Minimierung festlegen lassen oder das Restrisiko trotz getroffener Maßnahmen noch sehr hoch ist.
Risiko | |
---|---|
nicht bearbeitet | Es ist kein Umgang mit dem Risiko definiert. |
akzeptieren | Die Risikobewertung wird automatisch in die Restrisikobewertung übernommen. Es sind keine weiteren Maßnahmen notwendig. |
behandeln | Durch verschiedene Maßnahmen können die Risikowerte minimiert werden. |
vermeiden | Das Risiko kann vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann. |
übertragen | Risiken können zum Beispiel an eine Versicherung übertragen werden. |
Kopierfunktion von Risiken
Über die Schaltfläche "Risiken kopieren"
kann eine Kopie eines bereits bestehenden Risikos angelegt werden werden.
Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.
Maßnahme am Risiko
Im Reiter Bewertung können Sie Risiken durch Maßnahmen(1) durch das Betätigen der Schaltfläche "Maßnahme anlegen ..."
minimieren. Bitte geben Sie eine aussagekräftige Bezeichnung für die Maßnahme(2) an, um die weitere Bearbeitung bzw. das Auffinden des Dokuments zu erleichtern. Bitte denken Sie an die Vergabe der Verantwortung(3) und die Einstufung des Status(4). Das Risiko ist bereits übernommen und weitere Risiken können hinzugefügt werden(5). Über die Schaltfläche "Auswahl bearbeiten"
(6) können Sie die Auswahl bearbeiten bzw. über das Symbol des Mülleimers löschen. Über die Dropdown-Listen kann die Auswahl zur Risikoreduktion und den zu erwartenden Kosten(7) getroffen werden, auch hier kann eine Begründung optional hinterlegt werden.
Einer Maßnahme sollte für die spätere Bearbeitung eine Verantwortung zugeordnet werden.
Status
Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status der Bearbeitung stehen Ihnen folgende Staus zur Verfügung:
Status | Bedeutung |
---|---|
vorgesehen | Die Maßnahme ist geplant. |
in Bearbeitung | Die Maßnahme ist in Bearbeitung. |
in Prüfung | Die Maßnahme ist in Prüfung. |
implementiert | Die Maßnahme ist fertig bearbeitet. |
verworfen | Die Maßnahme wurde verworfen. |
Freigabe
Die neue Maßnahme können Sie zum Abschluss "Freigeben"
und es wird automatisch eine Wiedervorlage erstellt. Die Freigabe mit Wiedervorlage sollte in den Einstellungen von ForumBCM für Maßnahmen aktiv sein.
Im Menüpunkt Risikomanagement bekommen Sie in der Übersicht der Maßnahmen zur Risikobehandlung alle in ForumBCM angelegten Maßnahmen angezeigt.