Verinice/Risikoanalyse: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Risikoanalyse''' nach BSI 200-3 mit '''Verinice'''
'''Risikoanalyse''' nach [[BSI 200-3]] mit '''Verinice'''


== Beschreibung ==
== Beschreibung ==
=== Definition der Risikoparameter ===
== Risikoparameter ==
Im BSI IT-Grundschutz nach 200-x können je Informationsverbund unterschiedliche Parameter für die Risikoberechnung definiert werden. So wird beim Export eines Informationsverbundes von einem System und nach Import auf einem anderen System die jeweilige Risiko-Konfiguration mit übernommen!
; Definition der Risikoparameter
Im BSI IT-Grundschutz nach 200-x können je Informationsverbund unterschiedliche Parameter für die Risikoberechnung definiert werden.  
* So wird beim Export eines Informationsverbundes von einem System und nach Import auf einem anderen System die jeweilige Risiko-Konfiguration mit übernommen!
In der Risiko-Konfiguration stehen die vier Karteireiter Eintrittshäufigkeit, Auswirkung/Schadenshöhe, Risikokategorien und Risikomatrix zur Verfügung.
In der Risiko-Konfiguration stehen die vier Karteireiter Eintrittshäufigkeit, Auswirkung/Schadenshöhe, Risikokategorien und Risikomatrix zur Verfügung.
: Abbildung 35. Eintrittshäufigkeit
: Abbildung 35. Eintrittshäufigkeit
Zeile 16: Zeile 18:
: Abbildung 37. Risikokategorien
: Abbildung 37. Risikokategorien


Im Karteireiter Risikokategorien können Sie ähnlich der vorherigen Einstellungen Anzahl, Bezeichnung und Beschreibung der Risikokategorien festlegen. Zusätzlich können sie die Farbe für die einzelnen Risikokategorien durch doppelten Mausklick auf die farbigen Felder angeben bzw. ändern.
Im Karteireiter Risikokategorien können Sie ähnlich der vorherigen Einstellungen Anzahl, Bezeichnung und Beschreibung der Risikokategorien festlegen.  
* Zusätzlich können sie die Farbe für die einzelnen Risikokategorien durch doppelten Mausklick auf die farbigen Felder angeben bzw. ändern.
: Abbildung 38. Risikomatrix
: Abbildung 38. Risikomatrix


Im Karteireiter Risikomatrix können die Risikokategorien in einer Risikomatrix den einzelnen Kombinationen aus Auswirkung/Schadenshöhe und Eintrittshäufigkeit zugewiesen werden. Die Risikomatrix übernimmt alle zuvor angepassten Parameter sofort. Die Risikokategorien der einzelnen Felder können durch Mausklick erhöht und durch Umschalttaste+Mausklick reduziert werden. Damit können nun in verinice nicht lineare Verteilungen der Risikokategorien realisiert werden!
Im Karteireiter Risikomatrix können die Risikokategorien in einer Risikomatrix den einzelnen Kombinationen aus Auswirkung/Schadenshöhe und Eintrittshäufigkeit zugewiesen werden.  
* Die Risikomatrix übernimmt alle zuvor angepassten Parameter sofort.  
* Die Risikokategorien der einzelnen Felder können durch Mausklick erhöht und durch Umschalttaste+Mausklick reduziert werden.  
* Damit können nun in verinice nicht lineare Verteilungen der Risikokategorien realisiert werden!
: Abbildung 39. Risikokonfiguration geändert
: Abbildung 39. Risikokonfiguration geändert


Nach Schließen und Speichern der Risiko-Konfiguration informiert ein Dialog über die erfolgreiche Speicherung und eventuelle Änderungen in bereits berechneten Risikowerten:
Nach Schließen und Speichern der Risiko-Konfiguration informiert ein Dialog über die erfolgreiche Speicherung und eventuelle Änderungen in bereits berechneten Risikowerten:
Zu geänderten Risikowerten kann es kommen, wenn z. B.  Stufen der Eintrittshäufigkeit-, der Auswirkung/Schadenshöhe und/oder der Risikokategorie gelöscht wurden bzw. die Risikokategorien in der Risikomatrix nicht zugewiesen wurden. verinice korrigiert nach Änderung der Risiko-Konfiguration falsche bzw. undefinierte Werte, eine Prüfung durch den Anwender ist explizit erforderlich!
Zu geänderten Risikowerten kann es kommen, wenn z. B.  Stufen der Eintrittshäufigkeit-, der Auswirkung/Schadenshöhe und/oder der Risikokategorie gelöscht wurden bzw. die Risikokategorien in der Risikomatrix nicht zugewiesen wurden.  
* verinice korrigiert nach Änderung der Risiko-Konfiguration falsche bzw. undefinierte Werte, eine Prüfung durch den Anwender ist explizit erforderlich!


=== Berechnung der Risikowerte ===
=== Berechnung der Risikowerte ===
Zeile 29: Zeile 36:


Die Berechnung der Risikowerte veranschaulicht das folgende Schema, basierend auf der mit verinice 1.17 modifizierten Modellierung:
Die Berechnung der Risikowerte veranschaulicht das folgende Schema, basierend auf der mit verinice 1.17 modifizierten Modellierung:
Mit der neuen Modellierung werden Bausteine je Zielobjekte modelliert und damit ggfs. mehrfach je Zielverbund angelegt. Analog werden auch die Elementaren Gefährdungen entsprechend der Kreuzreferenztabellen je Zielobjekt angelegt. Daraus resultiert eine 1:1 Verknüpfung zwischen Zielobjekt und Elementarer Gefährdung, weshalb Auswirkung/Schadenshöhe, Eintrittshäufigkeit und das resultierende Risiko in der Elementaren Gefährdung bestimmt und berechnet werden:
* Mit der neuen Modellierung werden Bausteine je Zielobjekte modelliert und damit ggfs. mehrfach je Zielverbund angelegt.  
* Analog werden auch die Elementaren Gefährdungen entsprechend der Kreuzreferenztabellen je Zielobjekt angelegt.  
* Daraus resultiert eine 1:1 Verknüpfung zwischen Zielobjekt und Elementarer Gefährdung, weshalb Auswirkung/Schadenshöhe, Eintrittshäufigkeit und das resultierende Risiko in der Elementaren Gefährdung bestimmt und berechnet werden:
: Abbildung 41. Risikobewertung
: Abbildung 41. Risikobewertung


Dabei können drei verschiedene Risikowerte durch Angabe der Eintrittshäufigkeit und der Auswirkung bestimmt werden:
Dabei können drei verschiedene Risikowerte durch Angabe der Eintrittshäufigkeit und der Auswirkung bestimmt werden:
1. Risiko ohne Maßnahmen
# Risiko ohne Maßnahmen
Ohne Berücksichtigung jeglicher Maßnahmen. Dieser Risikowert ist nach der
#: Ohne Berücksichtigung jeglicher Maßnahmen. Dieser Risikowert ist nach der Vorgehensweise des BSI nicht erforderlich und deshalb optional.
Vorgehensweise des BSI nicht erforderlich und deshalb optional.
# Risiko ohne zusätzliche Maßnahmen
2. Risiko ohne zusätzliche Maßnahmen
#: Unter der Annahme, dass alle BASIS- und STANDARD-Maßnahmen umgesetzt wurden.
Unter der Annahme, dass alle BASIS- und STANDARD-Maßnahmen umgesetzt wurden.
# Risiko mit zusätzlichen Maßnahmen
3. Risiko mit zusätzlichen Maßnahmen
#: Unter Berücksichtigung zusätzlicher mitigierender Maßnahmen. Dieser Wert kann nur bestimmt werden, wenn als Risikobehandlungsoption Risikoreduktion gewählt wurde.
Unter Berücksichtigung zusätzlicher mitigierender Maßnahmen. Dieser Wert kann nur bestimmt werden, wenn als Risikobehandlungsoption Risikoreduktion gewählt wurde.


=== Risikoanalyse ===
== Risikoanalyse ==
: Abbildung 42. Risikoanalyse erforderlich
: Abbildung 42. Risikoanalyse erforderlich


Sofern eine Risikoanalyse erforderlich ist kann dies im Zielobjekt dokumentiert werden. Dies kann z. B.  erforderlich sein, wenn das Zielobjekt in einem der drei Schutzziele einen hohen oder sehr hohen Schutzbedarf aufweist.
Sofern eine Risikoanalyse erforderlich ist kann dies im Zielobjekt dokumentiert werden.  
* Dies kann z. B. erforderlich sein, wenn das Zielobjekt in einem der drei Schutzziele einen hohen oder sehr hohen Schutzbedarf aufweist.


=== Risikobehandlung ===
== Risikobehandlung ==
: Abbildung 43. Risikobehandlung
: Abbildung 43. Risikobehandlung


Je nach Höhe des Risiko kann bzw. muss eine der Optionen zur Risikobehandlung (Risikovermeidung, Risikoreduktion, Risikotransfer, Risikoakzeptanz) gewählt werden und eine Erläuterung angegeben werden.
Je nach Höhe des Risiko kann bzw. muss eine der Optionen zur Risikobehandlung (Risikovermeidung, Risikoreduktion, Risikotransfer, Risikoakzeptanz) gewählt werden und eine Erläuterung angegeben werden.


==== Risikoreduktion - Ergänzende Sicherheitsmaßnahmen ====
=== Risikoreduktion - Ergänzende Sicherheitsmaßnahmen ===
: Abbildung 44. Modellierungsoption
: Abbildung 44. Modellierungsoption
Bei gewählter Risikobehandlungsoption Risikoreduktion kann das Risiko durch Hinzufügen Ergänzender Sicherheitsmaßnahmen reduziert werden. Je nach gewählter Modellierungsoption für Maßnahmen können diese direkt als Maßnahmen in einer hinzuzufügenden Anforderung beschrieben werden oder explizit als Objekt vom Typ Maßnahme-/Umsetzungshinweis in verinice angelegt werden.
Bei gewählter Risikobehandlungsoption Risikoreduktion kann das Risiko durch Hinzufügen Ergänzender Sicherheitsmaßnahmen reduziert werden.  
* Je nach gewählter Modellierungsoption für Maßnahmen können diese direkt als Maßnahmen in einer hinzuzufügenden Anforderung beschrieben werden oder explizit als Objekt vom Typ Maßnahme-/Umsetzungshinweis in verinice angelegt werden.


=== Risikostatus ===
=== Risikostatus ===
==== Visualisierung des Risikostatus ====
; Visualisierung des Risikostatus
: Abbildung 45. Visualisierung des Risikostatus
: Abbildung 45. Visualisierung des Risikostatus


Sie erkennen auf einen Blick für welche Zielobjekte eine Risikoanalyse durchzuführen ist, wo welche Risiken in welcher Kategorie vorliegen und ggfs. noch zu behandeln sind.
Sie erkennen auf einen Blick für welche Zielobjekte eine Risikoanalyse durchzuführen ist, wo welche Risiken in welcher Kategorie vorliegen und ggfs. noch zu behandeln sind.
Ob die Icon Decorator angezeigt werden, kann über die Einstellungen ein- bzw. ausgeschalten werden: Bearbeiten > Einstellungen > Allgemeine Einstellungen > Zeige Icon-Overlay für Risikoanalysewerte nach BSI IT-Grundschutz 200-3
 
Ob die Icon Decorator angezeigt werden, kann über die Einstellungen ein- bzw. ausgeschalten werden:
: Bearbeiten > Einstellungen > Allgemeine Einstellungen > Zeige Icon-Overlay für Risikoanalysewerte nach BSI IT-Grundschutz 200-3
Die Visualisierung beruht auf den in der Risikokonfiguration definierten Werten und wird durch Icon Decorator für die Objekte Gefährdung, Gefährdungsgruppe und Zielobjekt wie folgt dargestellt.
Die Visualisierung beruht auf den in der Risikokonfiguration definierten Werten und wird durch Icon Decorator für die Objekte Gefährdung, Gefährdungsgruppe und Zielobjekt wie folgt dargestellt.
Zur besseren Verständlichkeit erfolgt die Beschreibung auf Grundlage der StandardRisikokonfiguration mit den Risikokategorien niedrig (grün), mittel (gelb), hoch (orange) und sehr hoch (rot)!
: Zur besseren Verständlichkeit erfolgt die Beschreibung auf Grundlage der StandardRisikokonfiguration mit den Risikokategorien niedrig (grün), mittel (gelb), hoch (orange) und sehr hoch (rot)!


Risikostatus der Zielobjekte:
; Risikostatus der Zielobjekte
* schwarz wenn für ein Zielobjekt eine Risikoanalyse erforderlich ist (Checkbox
* schwarz wenn für ein Zielobjekt eine Risikoanalyse erforderlich ist (Checkbox Risikoanalyse erforderlich aktiviert) oder unbearbeitete Risiken vorliegen, wenn mindestens eine unbearbeitete zugehörige Gefährdungen (Kindelemente) vorhanden ist
Risikoanalyse erforderlich aktiviert) oder unbearbeitete Risiken vorliegen
wenn mindestens eine unbearbeitete zugehörige Gefährdungen (Kindelemente)
vorhanden ist
* rot wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) sehr hoch ist
* rot wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) sehr hoch ist
* orange wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) hoch ist
* orange wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) hoch ist
Zeile 75: Zeile 84:
* grau wenn alle zugehörigen Gefährdungen (Kinderelemente) grau sind
* grau wenn alle zugehörigen Gefährdungen (Kinderelemente) grau sind


Risikowert der Gefährdungsgruppen
; Risikowert der Gefährdungsgruppen
* schwarz wenn mindestens eine unbearbeitete zugehörige Gefährdungen (Kindelemente) vorhanden ist
* schwarz wenn mindestens eine unbearbeitete zugehörige Gefährdungen (Kindelemente) vorhanden ist
* rot wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) sehr hoch ist
* rot wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) sehr hoch ist
Zeile 82: Zeile 91:
* grün wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) niedrig ist
* grün wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) niedrig ist
* grau wenn alle zugehörigen Gefährdungen (Kinderelemente) grau sind.
* grau wenn alle zugehörigen Gefährdungen (Kinderelemente) grau sind.
Bei verschachtelten Gefährdungsgruppen wird kein Icon Decorater dargestellt.
Bei verschachtelten Gefährdungsgruppen wird kein Icon Decorater dargestellt.


Risikowert der Gefährdungen
; Risikowert der Gefährdungen
Wenn die Risikobehandlungsoption:
Wenn die Risikobehandlungsoption:
*unbearbeitet ist, dann wird der Icon Decorator für Risiko ohne zusätzliche Maßnahmen anzeigen:
*unbearbeitet ist, dann wird der Icon Decorator für Risiko ohne zusätzliche Maßnahmen anzeigen:
Zeile 94: Zeile 104:
◦ ist dieses Risiko unbearbeitet, dann ist der Icon Decorator schwarz
◦ ist dieses Risiko unbearbeitet, dann ist der Icon Decorator schwarz
◦ ist dieses Risiko niedrig, mitttel, hoch oder sehr hoch, dann wird der Icon Decorator in der jeweiligen Farbe dargestellt.
◦ ist dieses Risiko niedrig, mitttel, hoch oder sehr hoch, dann wird der Icon Decorator in der jeweiligen Farbe dargestellt.
Die Gefährdungen müssen richtig modelliert werden (Kindelement zur
Die Gefährdungen müssen richtig modelliert werden (Kindelement zur Gefährdungsgruppe + Verknüpfung zum Zielobjekt)!
Gefährdungsgruppe + Verknüpfung zum Zielobjekt)!


<noinclude>
<noinclude>
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
Zeile 106: Zeile 116:
===== Projekt =====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====
 
[[Kategorie:Verinice/Anwendung]]
[[Kategorie:Verinice]]
[[Kategorie:Grundschutz/Risikoanalyse]]
</noinclude>
</noinclude>

Aktuelle Version vom 18. September 2023, 12:34 Uhr

Risikoanalyse nach BSI 200-3 mit Verinice

Beschreibung

Risikoparameter

Definition der Risikoparameter

Im BSI IT-Grundschutz nach 200-x können je Informationsverbund unterschiedliche Parameter für die Risikoberechnung definiert werden.

  • So wird beim Export eines Informationsverbundes von einem System und nach Import auf einem anderen System die jeweilige Risiko-Konfiguration mit übernommen!

In der Risiko-Konfiguration stehen die vier Karteireiter Eintrittshäufigkeit, Auswirkung/Schadenshöhe, Risikokategorien und Risikomatrix zur Verfügung.

Abbildung 35. Eintrittshäufigkeit

Im Karteireiter Eintrittshäufigkeit können die folgenden Parameter für die Eintrittshäufigkeit von Gefährdungen definiert werden:

  • Die Namen der einzelnen Stufen angegeben/geändert werden.
  • Die Kriterien für die einzelnen Stufen angegeben/geändert werden.
  • Neue Stufen hinzugefügt bzw. die jeweils höchste Stufe gelöscht werden.
Abbildung 36. Auswirkung

Im Karteireiter Auswirkung können die gleichen Einstellungen analog für die Auswirkung/Schadenshöhe vorgenommen werden:

Abbildung 37. Risikokategorien

Im Karteireiter Risikokategorien können Sie ähnlich der vorherigen Einstellungen Anzahl, Bezeichnung und Beschreibung der Risikokategorien festlegen.

  • Zusätzlich können sie die Farbe für die einzelnen Risikokategorien durch doppelten Mausklick auf die farbigen Felder angeben bzw. ändern.
Abbildung 38. Risikomatrix

Im Karteireiter Risikomatrix können die Risikokategorien in einer Risikomatrix den einzelnen Kombinationen aus Auswirkung/Schadenshöhe und Eintrittshäufigkeit zugewiesen werden.

  • Die Risikomatrix übernimmt alle zuvor angepassten Parameter sofort.
  • Die Risikokategorien der einzelnen Felder können durch Mausklick erhöht und durch Umschalttaste+Mausklick reduziert werden.
  • Damit können nun in verinice nicht lineare Verteilungen der Risikokategorien realisiert werden!
Abbildung 39. Risikokonfiguration geändert

Nach Schließen und Speichern der Risiko-Konfiguration informiert ein Dialog über die erfolgreiche Speicherung und eventuelle Änderungen in bereits berechneten Risikowerten: Zu geänderten Risikowerten kann es kommen, wenn z. B.  Stufen der Eintrittshäufigkeit-, der Auswirkung/Schadenshöhe und/oder der Risikokategorie gelöscht wurden bzw. die Risikokategorien in der Risikomatrix nicht zugewiesen wurden.

  • verinice korrigiert nach Änderung der Risiko-Konfiguration falsche bzw. undefinierte Werte, eine Prüfung durch den Anwender ist explizit erforderlich!

Berechnung der Risikowerte

Abbildung 40. Berechnung der Risikowerte

Die Berechnung der Risikowerte veranschaulicht das folgende Schema, basierend auf der mit verinice 1.17 modifizierten Modellierung:

  • Mit der neuen Modellierung werden Bausteine je Zielobjekte modelliert und damit ggfs. mehrfach je Zielverbund angelegt.
  • Analog werden auch die Elementaren Gefährdungen entsprechend der Kreuzreferenztabellen je Zielobjekt angelegt.
  • Daraus resultiert eine 1:1 Verknüpfung zwischen Zielobjekt und Elementarer Gefährdung, weshalb Auswirkung/Schadenshöhe, Eintrittshäufigkeit und das resultierende Risiko in der Elementaren Gefährdung bestimmt und berechnet werden:
Abbildung 41. Risikobewertung

Dabei können drei verschiedene Risikowerte durch Angabe der Eintrittshäufigkeit und der Auswirkung bestimmt werden:

  1. Risiko ohne Maßnahmen
    Ohne Berücksichtigung jeglicher Maßnahmen. Dieser Risikowert ist nach der Vorgehensweise des BSI nicht erforderlich und deshalb optional.
  2. Risiko ohne zusätzliche Maßnahmen
    Unter der Annahme, dass alle BASIS- und STANDARD-Maßnahmen umgesetzt wurden.
  3. Risiko mit zusätzlichen Maßnahmen
    Unter Berücksichtigung zusätzlicher mitigierender Maßnahmen. Dieser Wert kann nur bestimmt werden, wenn als Risikobehandlungsoption Risikoreduktion gewählt wurde.

Risikoanalyse

Abbildung 42. Risikoanalyse erforderlich

Sofern eine Risikoanalyse erforderlich ist kann dies im Zielobjekt dokumentiert werden.

  • Dies kann z. B. erforderlich sein, wenn das Zielobjekt in einem der drei Schutzziele einen hohen oder sehr hohen Schutzbedarf aufweist.

Risikobehandlung

Abbildung 43. Risikobehandlung

Je nach Höhe des Risiko kann bzw. muss eine der Optionen zur Risikobehandlung (Risikovermeidung, Risikoreduktion, Risikotransfer, Risikoakzeptanz) gewählt werden und eine Erläuterung angegeben werden.

Risikoreduktion - Ergänzende Sicherheitsmaßnahmen

Abbildung 44. Modellierungsoption

Bei gewählter Risikobehandlungsoption Risikoreduktion kann das Risiko durch Hinzufügen Ergänzender Sicherheitsmaßnahmen reduziert werden.

  • Je nach gewählter Modellierungsoption für Maßnahmen können diese direkt als Maßnahmen in einer hinzuzufügenden Anforderung beschrieben werden oder explizit als Objekt vom Typ Maßnahme-/Umsetzungshinweis in verinice angelegt werden.

Risikostatus

Visualisierung des Risikostatus
Abbildung 45. Visualisierung des Risikostatus

Sie erkennen auf einen Blick für welche Zielobjekte eine Risikoanalyse durchzuführen ist, wo welche Risiken in welcher Kategorie vorliegen und ggfs. noch zu behandeln sind.

Ob die Icon Decorator angezeigt werden, kann über die Einstellungen ein- bzw. ausgeschalten werden:

Bearbeiten > Einstellungen > Allgemeine Einstellungen > Zeige Icon-Overlay für Risikoanalysewerte nach BSI IT-Grundschutz 200-3

Die Visualisierung beruht auf den in der Risikokonfiguration definierten Werten und wird durch Icon Decorator für die Objekte Gefährdung, Gefährdungsgruppe und Zielobjekt wie folgt dargestellt.

Zur besseren Verständlichkeit erfolgt die Beschreibung auf Grundlage der StandardRisikokonfiguration mit den Risikokategorien niedrig (grün), mittel (gelb), hoch (orange) und sehr hoch (rot)!
Risikostatus der Zielobjekte
  • schwarz wenn für ein Zielobjekt eine Risikoanalyse erforderlich ist (Checkbox Risikoanalyse erforderlich aktiviert) oder unbearbeitete Risiken vorliegen, wenn mindestens eine unbearbeitete zugehörige Gefährdungen (Kindelemente) vorhanden ist
  • rot wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) sehr hoch ist
  • orange wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) hoch ist
  • gelb wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) mittel ist
  • grün wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) niedrig ist
  • grau wenn alle zugehörigen Gefährdungen (Kinderelemente) grau sind
Risikowert der Gefährdungsgruppen
  • schwarz wenn mindestens eine unbearbeitete zugehörige Gefährdungen (Kindelemente) vorhanden ist
  • rot wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) sehr hoch ist
  • orange wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) hoch ist
  • gelb wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) mittel ist
  • grün wenn mindestens eine der zugehörigen Gefährdungen (Kinderelemente) niedrig ist
  • grau wenn alle zugehörigen Gefährdungen (Kinderelemente) grau sind.

Bei verschachtelten Gefährdungsgruppen wird kein Icon Decorater dargestellt.

Risikowert der Gefährdungen

Wenn die Risikobehandlungsoption:

  • unbearbeitet ist, dann wird der Icon Decorator für Risiko ohne zusätzliche Maßnahmen anzeigen:

◦ ist dieses Risiko unbearbeitet, dann ist der Icon Decorator schwarz ◦ ist dieses Risiko niedrig, mitttel, hoch oder sehr hoch, dann wird der Icon Decorator in der jeweiligen Farbe dargestellt

  • Vermeidung, Transfer, Akzeptanz ist, dann wird der Icon Decorator grau dargestellt

(nichts mehr zu tun, aber auch nicht zwingend geringes Risiko)

  • Risikoreduktion ist, dann wird das Risiko mit zusätzlichen Maßnahmen farbig codiert dargestellt:

◦ ist dieses Risiko unbearbeitet, dann ist der Icon Decorator schwarz ◦ ist dieses Risiko niedrig, mitttel, hoch oder sehr hoch, dann wird der Icon Decorator in der jeweiligen Farbe dargestellt. Die Gefährdungen müssen richtig modelliert werden (Kindelement zur Gefährdungsgruppe + Verknüpfung zum Zielobjekt)!


Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt
Weblinks