Risikoanalyse auf Geschäftsprozessebene

verinice – Einzelplatz und .PRO verinice 1.28
1

Hallo,
laut 200-3 kann eine Risikoanalyse statt auf Zielobjekten auch auf Geschäftsprozessebene durchgeführt werden. Dazu müssten die Gefährdungen dem Prozess zugeordnet werden können. Wie lässt sich das mit verinice realisieren und reporten?

VG ronk

2

Hallo @ronk,

Sie können die Risikoanalyse auch auf Geschäftsprozessebene durchführen.
Dazu können Sie wie folgt vorgehen:

  • Für die Geschäftsprozesse, wo eine Risikoanalyse notwendig ist können Sie die Checkbox „Risikoanalyse erforderlich“ (befindet sich direkt unterhalb des Schutzbedarfs) aktivieren. Somit werden die Geschäftsprozesse in den Report A.5 Risikoanalyse aufgenommen.
  • Die Gefährdungen werden bei der Bausteinmodellierung anhand der Kreuzreferenztabellen dem Geschäftsprozess automatisch zugeordent und können anschließend bewertet werden. Sollten Sie keine Bausteine am Geschäftsprozess modellieren, so können Sie die Gefährdungen mauell zuordnen. Klicken Sie dazu rechts auf den Geschäftsprozess und wählen Sie „Neue Gefährdungen-Gruppe…“. Unterhalb der Gruppe können Sie manuelle Gefährdungen anlegen oder z.B die Elementaren Gefährdungen aus dem Katalog kopieren. Bitte vergessen Sie nicht die Gefährdungen mit dem Geschäftsprozess zu verknüpfen und die korrekte Ausgabe im Report zu Gewährleisten.


    MfG
    tanisow
3

Ah, ich wollte keine Bausteine auf den Prozessen modellieren. Mit Gefährdungen kopieren und verknüpfen klappt es dann auch. Vielen Dank!

4

Hallo,

ich habe einen Geschäftsprozess, in dem drei Anwendungen (App.6, (3x14 Gefährdungen) und eine auch App.7 (1x10 Gefährdungen)) eine Relevanz haben.
Nun möchte ich die Risikoanalyse einmalig anhand des Prozesses durchführen, anstatt drei objektorientierte Risikoanalyse (mit 52 Gefährdungen).
Die Objekte sind mit Anforderungen und den Maßnahmen modelliert und haben jeweils ihre Verknüpfungen zu den „Objektgefährdungen“.
Kopiere ich nun die Gefährdungen aus den drei Objekt-Gefährdungsgruppen, und füge diese bei dem Prozess ein, habe ich alle Verknüpfungen im Prozess, aber jede Gefahr auch 3x.

Soll die Lösung hier wirklich sein eine neue Gefährdungsgruppe und Elementare Gefährdungen im Prozess zu erstellen und dann die entsprechenden Anforderungen und Maßnahmen händisch zu verknüpfen? Immerhin ist eine Gefährdung mit verschiedenen, bspw. 14, Anforderungen verknüpft.

Beste Grüße