Das verinice.TEAM vereinfacht in verinice 1.18.1 die Risikoanalyse nach BSI-Standard 200-3 erneut. Risikobewertung und Risikobehandlung werden nun nicht mehr in den einzelnen Anforderungen bzw. Maßnahmen sondern direkt in der jeweiligen Gefährdung dokumentiert:
Anwenderinnen können nun direkt in der Gefährdung das Risiko ohne sowie mit zusätzliche(n) Maßnahmen vor und nach ggfs. erforderlicher Risikobehandlung für ein Maßnahmenpaket bewerten und dokumentieren.
Der Wegfall der bisher separat je Maßnahme/Anforderung zu dokumentierenden Maßnahmenstärke und deren Berechnung in den Gefährdungen reduziert den Aufwand erheblich.
In Ergänzung mit weiteren Bugfixes und Detailverbesserungen steigert die neue Vorgehensweise die Performance deutlich.
Hallo Verinice-Team,
meine bisherige Denke war, dass aus der Risikoanalyse zusätzliche Maßnahmen (in einer neu angelegten Maßnahmengruppe) angelegt werden. Es ist aber in Maßnahmen nicht vorgesehen, dass eine „reduziert Eintrittshäufigkeit von“ Verknüpfung auf die entsprechende Gefährdung anzulegen. Somit macht dieser Weg - ohne Bezug - keinen Sinn…
Lt. diesem Beitrag, soll ich die (zusätzliche) Maßnahme direkt in die Gefährdung unter „Risikobehandlung“ eintragen. Wo wird denn nun aber dokumentiert, ob diese zusätzliche Maßnahme umgesetzt ist?
Vielen Dank!
wenn Sie ein Risiko weiter reduzieren möchten/müssen, legen Sie wie beschrieben mitigierende Maßnahmen an. Ob Sie dies in einer eigenen Gruppe oder separat abbilden bleibt Ihnen überlassen.
Entscheidend ist, dass Sie die Maßnahme mit der jeweiligen Anforderung und der Gefährdung verknüpfen! Sie sehen die zusätzliche Maßnahme inklusive des Umsetzungsstatus dann wie oben dargestellt in den Verküpfungen zur jeweiligen Gefährdung.
Die Risikoreduktion bewerten Sie aber nicht in der einzelnen Maßnahme, sondern wie oben beschrieben für das ganze „Maßnahmenpaket“.
Hallo Herr Flürenbrock,
vielen Dank für Ihre Antwort und sorry, dass ich mich jetzt erst wieder melde…
Sie schreiben „Entscheidend ist, dass Sie die Maßnahme mit der jeweiligen Anforderung und der Gefährdung verknüpfen!“
Das heißt also, für die zusätzliche Maßnahme muss erst eine zusätzliche Anforderung definiert werden, da nur die Anforderung das Risiko reduzieren kann (und entsprechend mit der Gefährdung verknüpft werden kann). Das eine (zusätzliche) Maßnahme ein Risiko - ohne Umweg einer anzulegenden Maßnahme - reduzieren kann, ist so nicht vorgesehen. Warum auch immer…
MfG Jens Wappler
korrekt. Natürlich ist diese derzeitige Umsetzung nicht in Stein gemeißelt und kann gerne diskutiert werden.
Zu berücksichtigen ist dabei, dass einige AnwenderInnen in vernice ohne den Objekttyp Maßnahmen arbeiten und dann in den Anforderungen die umgesetzte Maßnahme beschreiben. In diesem Szenario würde dann die die direkt Risikoreduktion aus einer Maßnahme heraus schwierig werden.
Wir werden das gerne weiter verfolgen und bei Bedarf verbessern.
Hallo Herr Flürenbrock,
ich hätte noch 2 weitere Frage zu diesem Thema:
#1 Ich habe ein Risiko, welches durch eine Risikobehandlung (Risikoreduktion) behandelt werden muss. Das Risiko wird mit einer zusätzlichen Maßnahme „tragbar“. Diese Maßnahme ist auch brav verknüpft und hat aber den Umsetzungsstand „unbearbeitet“. Im Report der Risikoanalyse ist unter dieser Gefährdung die zusätzliche Maßnahme zwar aufgeführt, die Risikokategorie leuchtet aber GRÜN und signalisiert damit beim Kunden: Alles gut! Aus meinem Verständnis müsste das ROT unterlegt sein (untragbar) solange die damit verknüpfte Maßnahme nicht umgesetzt ist. Oder habe ich etwas vergessen?
#2 Im Report „Risikomatrix“ ist zwar die Matrix (wie im Tool) hübsch abgedruckt, aber ich hätte erwartet, dass in den roten Feldern die entsprechenden Risiken auch auftauchen. Welchen Sinn sollte denn sonst diese Matrix (beim Kunden) haben? Oder habe ich etwas vergessen?
ad 1. Ich vermute, dass die Maßnahme zwar brav aber nicht vollständig verknüpft ist Um dies bewerten zu können stellen Sie uns optimaler Weise den Informationsverbund einmal zur Verfügung. Bitte kontaktieren Sie uns über verinice@sernet.de.
ad 2. Die Risikomatrix im Report dient in erster Linie dazu, dem Betrachter des Reports die Grundlage für das Verständnis des Risikomanagement bereitzustellen, sprich, welche Parameter liegen der Risikobetrachtung zugrunde. Ich nehme an, Sie vermissen eine etwa zahlenmäßige Darstellung der Risiken je Risikokategorie? Da die Referenzdokumente des IT-Grundschutz diese nicht fordern werden Sie im Report auch nicht dargestellt. Wir planen dazu aber einen graphischen Übersichtreport, die Anforderung nehme ich gerne dort auf.
Um dies bewerten zu können stellen Sie uns optimaler Weise den Informationsverbund einmal zur Verfügung. Bitte kontaktieren Sie uns über 
