Risikoanalyse und Risikobehandlung
Risikodefinition
Im Abschnitt Risikodefinition werden die Parameter für die Risikomatrix festgelegt. Navigieren Sie dazu im Menü zu Risikodefinitionenund anschließend DSRA. Hier können Sie die Kategorien mit einem Klick auf das Stift-Symbol bearbeiten. Dabei sind folgende Parameter individuell modifizierbar:
- Schadensauswirkung: Name und Definition der Kategorien
- Eintrittswahrscheinlichkeit: Name und Definition der Kategorien
- Risikokategorien: Name, Definition und Farbe der Kategorien
Risikoanalyse
Es besteht die Möglichkeit, für sämtliche Scope- und Prozess-Objekte eine Risikoanalyse durchzuführen. Hierfür gehen Sie bitte folgendermaßen vor:
- Wählen Sie für das betroffene Objekt z.B Verarbeitungstätigkeit im Objektumfeld den Reiter Risiken.
- Über das rote Plus-Icon können Sie nun ein Risiko für Ihre Verarbeitungstätigkeit hinzufügen.
- Treffen Sie eine passende Auswahl aus den Datenschutzgefährdungen.
Bei der Auflistung handelt es sich um die aus dem Katalog auf Ihre Unit manuell angewandten Gefährdungen. Zudem haben Sie die Möglichkeit, eigene individuelle Gefährdungen als Objekte über das Formular Gefährdungen anzulegen, um diese für Ihre Risikoanalyse zu verwenden.
Risikobewertung
Um die einzelnen Datenschutzgefährdungen bearbeiten zu können, klicken Sie auf die entsprechende Gefährdung. Im sich öffnenden Risikodialog kann eine spezifische Risikobewertung vorgenommen werden. Bewerten Sie hierzu folgende Parameter:
- Eintrittswahrscheinlichkeit und gegebenenfalls eine Erklärung.
- Schadensauswirkung pro Schutzziel und gegebenenfalls eine Erklärung.
Nachdem Sie Ihre Eingaben gespeichert haben, wird aus diesen beiden Werten automatisch das Bruttorisiko anhand der Risikomatrix berechnet.
Risikobehandlung
Für die Risikobehandlung stehen Ihnen die bekannten Optionen Risikovermeidung, Risikoreduktion, Risikotransfer und Risikoakzeptanz zur Verfügung, die jeweils mit einem Textfeld zwecks Erklärungen ausgestattet sind.
Bei gewählter Risikobehandlungsoption Risikoreduktion kann das Risiko durch hinzufügen Mitigierender Maßnahmen reduziert werden. verinice bietet Ihnen zwei Möglichkeiten Mitigierende Maßnahmen zu hinterlegen:
Mitigierende Maßnahme erstellen
Um eine neue Maßnahmen zu erstellen klicken Sie Mitigierende Maßnahmen hinzufügen und anschließend Mitigierende Maßnahme erstellen. Es öffnet sich ein Dialog, um die neue Maßnahme erstellen zu können. Nachdem Sie Ihre Daten zur Maßnahme gespeichert haben, wird die neue Maßnahme im vorherigen Risikodialog im Bereich Maßnahmen zur Risikoreduktion angezeigt.
Mitigierende Maßnahme verknüpfen
Sie können auch mitigierende Maßnahmen hinzufügen, indem Sie mit bereits vorhandenen Maßnahmen verknüpfen. Hierfür klicken Sie Mitigierende Maßnahmen hinzufügen und anschließend Mitigierende Maßnahme verknüpfen. Im sich öffnenden Dialog können Sie eine Auswahl aus bereits erfassten Maßnahmen für die Mitigation treffen. Nach Speicherung werden die von Ihnen ausgewählten Maßnahmen im Bereich Maßnahmen zur Risikoreduktion aufgelistet.
Abschließend muss das Nettorisiko und gegebenenfalls eine Erklärung manuell gesetzt werden. Denken Sie bitte daran, den Risikodialog zu speichern und zu schließen.
Mitigierende Maßnahmen bearbeiten
Um Mitigierende Maßnahmen bearbeiten zu können, navigieren Sie im Objektumfeld des betroffenen Zielobjektes zum Reiter Risiken. Hier werden die im Vorfeld identifizierten Risiken angezeigt. Über die Funktion Umsetzung anzeigen gelangen Sie zur Übersicht sämtlicher mitigierender Maßnahmen für das ausgewählte Risiko.
Hier können Sie nun jede einzelne Maßnahme mit Klick auf die jeweilige Maßnahme bearbeiten. In dem sich öffnenden Umsetzungsdialog können folgende Informationen eingesehen bzw. eingepflegt werden:
- Informationen zu Zielobjekt und TOM
- Anforderungsbeschreibung
- Informationen zur Umsetzung:
- Verantwortliche Person
- Umsetzung bis (Datum)
- Umsetzungsstatus (Unbearbeitet, Ja, Teilweise, Nein, Entbehrlich)
- Umsetzungsbeschreibung
Nachdem Sie die Daten eingetragen haben, schließen Sie den Dialog mit Speichern.