ISRZ Informationssicherheit GmbH Auditierung Zertifzierung Schulung Beratung
ISRZ Informationssicherheit GmbHAuditierungZertifzierungSchulungBeratung

Begriffe

Georedundanz

Georedundanz für IKT[1]-Infrastrukturen soll deren Verfügbarkeit[2] auch in Großeinsatzlagen und Katastrophen sicherstellen. Zur Beurteilung, ob eine Infrastruktur die Verfügbarkeitsanforderungen der betreibenden Organisation erfüllt, ist der Begriff der Georedundanz mit der erforderlichen Trennschärfe zunächst abstrakt zu fassen. Hierzu wird ein risikoorientierter Ansatz gewählt, angelehnt an die Begrifflichkeiten der Normenfamilie ISO 27001.

Zunächst sind für jeweils beide IKT-Infrastruktur-Standorte die Bedrohungen und Schwachstellen, die Eintrittswahrscheinlichkeit und das Schadensausmaß zu bestimmen. Dabei sind mindestens die Bedrohungen und Schwachstellen zu bestimmen, die sich aus der räumlichen Lage der Standorte und ihrer Lage zueinander und ihrer Verbindungen ergeben. Im nächsten Schritt ist der Grenzwert der Eintrittswahrscheinlichkeit festzulegen, ab dem eine Gefährdung (Eine Bedrohung tritt an einer Schwachstelle ein und verursacht einen Schaden) nicht mehr akzeptiert wird.

Im Ergebnis erhält man eine Relation je Standort mit folgender Struktur:

Sj,i:=(B1,i, S1,i, E1,i, Sch1,i) und

Bj,i:=  i-te Bedrohung am Standort j

Sj,i:=  i-te Schwachstelle am Standort j

Ej,i:=  i-te Eintrittswahrscheinlichkeit am Standort j

Schj,i:=  i-tes Schadensausmaß am Standort j

Nun sind die Tupel an Hand ihrer Bedrohung und Schwachstellen zu bestimmen, die an den beteiligten Standorten zugleich oder in einem unmittelbaren zeitlichen oder ursächlichen Zusammenhang Schäden verursachen können. Enthält diese Schnittmenge keine Eintrittswahrscheinlichkeiten, die den festgelegten Grenzwert der Eintrittswahrscheinlichkeit überschreiten, sind die Standorte georedundant.

Organisationen, die sich mit der Thematik Georedundanz befassen müssen oder befassen, müssen daher lediglich über eine Risikoerhebung und Risikobewertung verfügen, welche die hier genannten Begriffe beinhalten. Diese sollten schon während der Standortbewertung erstellt worden sein, so dass die Beurteilung der Georedundanz lediglich eine zusätzliche Auswertung dieser Standort-Risikoanalysen darstellt.

Hinweise:

  • Für die Beurteilung der Georedundanz sind zumindest die elementaren Gefährdungen zu betrachten.
  • Zudem sollten folgende Bedrohungen oder Schwachstellen erwogen werden: Organisatorische Mängel, technisches Versagen, vorsätzliche Handlungen mit Bezug zur räumlichen Anordnung.
  • Gefährdungskataloge und Hinweise zur weiteren zu betrachtenden Aspekten finden sich z.B. in den Publikationen des BSI zu Verfügbarkeit, Redundanz Modularität Skalierbarkeit, Kriterien für die Standortwahl von Rechenzentren und weiteren Dokumenten
  • Ausgeschlossen werden sollten nur Ereignisse, deren Häufigkeit einmal in zweihundert Jahren nicht übersteigt.
  • Die in der Schnittmenge verbleibenden Risiken sind als vom Risikoeigentümer als Restrisikonachweislich zu akzeptieren.
 

[1] Informations- und Kommunikationstechnik

[2] Gemäß ISO/IEC 27000 bezeichnet Verfügbarkeit die „Eigenschaft zugänglich und nutzbar zu sein, wenn eine befugte Entität Bedarf hat.“

 

 

Hier finden Sie uns

Neuer Weg 33
26639 Wiesmoor

Kontakt

Rufen Sie an unter

 

04944 8430900

 

 

 

 

Druckversion Druckversion | Sitemap
© ISRZ Informationssicherheit GmbH