Hallo an das Forum,
ich stehe derzeit bei der Bestimmung des Risikos pro Asset und habe dazu eine Frage.
Mein Asset hat einen Business Impoact für Availability = 4
Das Szenario hat eine Wahrscheinlichkeit von 6
Daraus ergibt sich aus der Tabelle 14.6 Ein Risk Value von 10
Jetzt habe ich ein Control, welche das Szenario um 3 Stufen reduziert. Folge ich der Logik in der Tabelle, müsste der Risk Value mit Control bei 7 liegen, mein System gibt ihn aber mit 6 an.
sind Sie sich sicher, dass Sie sowohl die Werte als auch die Verknüpfungen richtig gesetzt haben? Ich habe Ihr Beispiel nachgebildet und erhalte folgende Werte:
Hallo,
leider darf ich hier nur einen Screenshot pro Kommentar posten.
Für mich schaut das alles sauber mit einander verknüpft aus
Asset erbt den Business Impact vom Prozess
Szenario ist mit dem Asset, der (zwei in diesem beispiel) Schwachstelle, Der Bedrohung (auch zwei) und einem noch nicht implementierten Control verknüpft.
Dabei kommt dann wie oben das Ergebnis raus.
Wenn ich das Control auf Implementiert setze, reduziert sich das Risiko nochmal und es kommt für Verfügbarkeit eine 3 raus.
anbei stelle ich mal meine Test Organisation als VNA Datei zur Verfügung. In dieser können Sie die Verknüpfungen zwischen den einzelnen Zielobjekten einsehen. Die Datei können Sie über den Import in Ihr verinice importieren.
Vergleichen Sie gerne die Verknüpfungen und die Inhalte (Business Impact, Einstufung der Schwachstelle, Eintrittshäufigkeit und Control-Level) der Zielobjekte. test_.vna (11,4 KB)
Hallo, ich habe meinen Fehler gefunden. Danke für die VNA.
Mein Controll ist im oben genannten Beispiel noch nicht implementiert, und hat demnach auch noch keine Auswirkung auf das A’. Da habe ich nicht drauf geachtet. Danke für die Unterstützung.
Gruß
Thorsten Bertram