Risikoanalyse nach 200-3

Hallo,
bei der Risikoanalyse nach 200-3 vermisse ich eine Möglichkeit bei nicht relevanten Gefährdungen den Grund (z.B. Indirekte Wirkung, …) für den Ausschluss zu dokumentieren.
Oder habe ich da etwas übersehen?

Prinzipiell ist es nicht gedacht nicht relevante Gefährdungen in verinice zu modellieren.
Soll die Gefährdung dennoch dokumentiert werden, würde ich vorschlagen,
die Risikobehandlungsoption auf Risikoakzeptanz zu setzen und den Grund in dem Textfeld
Erläuterung zur Risikobehandlung zu dokumentieren.

Hallo verinice Community,

als neuer verinice Nutzer will ich mich mal direkt mit einer Frage im Kontext der Risikoanalyse hier vorstellen.

In meinem Informationsverbund unterliegt jedes Zielobjekt aufgrund des Schutzbedarfes der Risikoanalyse. Nun habe ich aber das Problem (vielleicht ist es ja auch gar kein wirkliches), dass ich bei 100+ (gruppierten) Zielobjekten eine schier unfassbare Anzahl von elementaren Gefährdungen betrachten muss, auch falls diese nicht relevant sind. Ich möchte aber eigentlich gerne die einzelnen Gefährdungen auch über meinen gesamten Informationsverbund betrachten, andererseits ist es natürlich notwendig einzelne Gefährdungen IT-System bezogen zu betrachten.

Zusammengefasst: Ich will sicherstellen, dass jede elementare Gefährdung mindestens einmal aber ggf. auch mehrfach im Informationsverbund betrachtet wird, habt ihr hier vielleicht Tipps oder „Best Practice“ Ideen?

Mein erster Ansatz war, erstmal alle Bausteine mit dem Informationsverbund zu modellieren und dann ergänzend einzeln den Zielobjekten zuzuordnen (aber vielleicht verursacht das andere Probleme die ich im Moment nicht sehe).

Ich freue mich auf Antworten :smiley: und den gemeinsamen Austausch.

Gruß Carlo Cottin

Hallo Cotttin,

bei der Baustein-Modellierung sollten Sie die Modellierungshinweise des BSI beachten. Diese finden Sie im Baustein unter dem Punkt 1.3 Abgenzung und Modellierung (in verinice zu sehen im Objektbrowser).
Die Modellierungshinweise geben Ihnen also vor welche Bausteine für den gesamten Informationsverbund und welche auf einzelne Zielobjkete anzuwenden sind.

Wenn Bausteine (und/oder Anforderungen, Gefährdungen, Maßnahmen) in Ihrem Verbund dadurch mehrfach vorhanden sind, müssen Sie diese momentan mehrfach bearbeiten (mögliche Vereinfachung: Masseneditor). Aktuell arbeitet das verinice.TEAM daran den Konsolidator zu implementieren, dadurch wäre es in Zukunft möglich den Status bzw. die Inhalte einzelner Bausteine, Anforderungen, Maßnahmen und Gefährdungen auf gleiche Bausteine zu übertragen.


MfG
tanisow

1 Like

Moin,

vielen Dank für die Antwort. Mir ist schon klar wie ich korrekt nach GS modelliere, mir ging es darum wie ich es clever in verinice abbilde damit ich am Ende nicht mit 1000 Gefährdungen hantieren muss :smiley:

Ich bin dann mal gespannt auf den Konsolidator und wie sich dieser für die Gefährdungen nutzen lässt, diese Möglichkeit hört sich ja erstmal gut an. Als Übergangslösung habe ich „meine Lösung“ insofern angepasst, dass ich die Systembausteine auf die Ebene der Prozesse gehoben habe und von dort auch zusätzlich die relevanten Elemente (Anwendungen, IT-Systeme, Räume) verknüpfe. Dadurch wird die Risikoanalyse m.E. bereits sinnvoll reduziert ohne den Fokus (also die Zielobjekte) zu verlieren.

Gruß Carlo Cottin

Wäre der Masseneditor nicht auch eine Hilfe?