Dieses Tutorial erklärt Schritt für Schritt, wie die Risikogruppierung in GlobalSuite® konfiguriert und genutzt wird, auch bekannt als Risikotypen oder Risikotaxonomie.
In dieser Anleitung wird detailliert beschrieben, wie Risikokategorien innerhalb des Analyse-Katalogs erstellt und verknüpft werden, wie die automatische und manuelle Kategorisierung von Risiken in den Analysen durchgeführt wird und wie Berichte basierend auf den konfigurierten Typologien segmentiert werden können.
Außerdem wird erklärt, wie die Risikokataloge mit den Analysen verknüpft werden, wie die hierarchische Kategorisierung genutzt wird und wie die Ergebnisse aus der Risikokarte und der Risikoliste visualisiert werden können, um die Bewertung und Entscheidungsfindung zu erleichtern.
Einführung
GlobalSuite® ermöglicht die Analyse von Risiken, indem diese nach Risikotypen kategorisiert werden, um segmentierte Informationen basierend auf dieser Diskretisierung zu erhalten.
Es sei darauf hingewiesen, dass diese Funktionalität in GlobalSuite® unter verschiedenen Bezeichnungen erscheint, wie z. B.: „Risikogruppierung“, „Risikotypen“ und „Risikotaxonomie“, die alle auf dieselbe Option verweisen.
Es ist auch hervorzuheben, dass die Risikokategorisierung hierarchisch durchgeführt werden kann, mit der erforderlichen Struktur und den erforderlichen Ebenen. Zum Beispiel:
Konfiguration. Gruppierung und Verknüpfung mit dem Katalog.
Die Konfiguration dieser Funktionalität ist verfügbar unter Einstellungen > Vorlagen > Analyse-Kataloge , speziell im Tab „Risikotypen“, wie im Beispiel des folgenden Bildes gezeigt:
Um die Kategorisierung nutzen zu können, ist es erforderlich, die Risikokategorien zu erstellen und diese mit dem Risikokatalog zu verknüpfen, der in der Analyse verwendet werden soll.
Über diese Option können die Risiken auch nach Kategorie gruppiert werden. Auf diese Weise kategorisiert GlobalSuite® die Risiken automatisch aus einem Katalog in der Analyse gemäß dieser Konfiguration. Es sei darauf hingewiesen, dass die Risiken auch manuell in der Analyse kategorisiert werden können, wobei die einzige Voraussetzung ist, dass der verwendete Katalog diese Kategorien in der aktuellen Option zugeordnet hat.
Die Verknüpfung mit dem Katalog erfolgt durch Markieren der Kategorien auf der linken Seite des Bildschirms und des Katalogs (oder der Kataloge) auf der rechten Seite. Danach genügt es, auf die Schaltfläche „Verknüpfen“ zu klicken. Es können auch die Risiken kategorisiert werden. Durch Auswahl des Katalogs werden die Risiken in der unteren Tabelle angezeigt, und es können Kategorie und Risiken ausgewählt werden; durch Klicken auf die Schaltfläche „Verknüpfen“ in der Risikotabelle werden diese kategorisiert.
Zur Erinnerung: Die Verknüpfung von Katalogen mit einer Risikoanalyse erfolgt direkt in der Risikoanalyse, insbesondere im Tab „Allgemeine Informationen“. Im Abschnitt „Kataloge“ wird die Liste der verfügbaren Kataloge angezeigt, die für die Risikoanalyse verwendet werden können. Es ist obligatorisch, mindestens einen spezifischen Katalog zu verwenden, auch nur zu Informationszwecken, da die Software so eine Reihe von Risiken und Schwachstellen jedem Element entsprechend seiner definierten Kategorie zuordnen kann.
Um einen Katalog auszuwählen, muss einfach das „Häkchen“ neben jedem Katalog angeklickt werden.
Automatische Risikokategorisierung
Es ist möglich, die automatische Kategorisierung der Risiken einer Analyse zu nutzen, indem die vorhandenen Funktionen zur automatischen Risikoassoziation innerhalb der Analyse verwendet werden.
Zur Erinnerung: Innerhalb der Risikoanalyse gibt es unter anderem zwei verschiedene Möglichkeiten, Risiken aus den zugeordneten Katalogen zuzuweisen. In beiden Fällen kann die automatische Kategorisierung genutzt werden.
Sowohl bei der Nutzung der Funktion „Risiken aus Katalog vorschlagen oder hinzufügen“…
… als auch bei der Nutzung der Funktion „Risiken wiederherstellen“…
..., werden diese automatisch kategorisiert, wobei die im vorherigen Abschnitt vorgenommene Konfiguration berücksichtigt wird.
Manuelle Risikokategorisierung.
Innerhalb einer Risikoanalyse wird durch Auswahl eines der Risiken im unteren Bildschirmbereich im „Formular“-Format alle relevanten Informationen angezeigt.
Im ersten Tab „ Analyse“ befindet sich das Feld „ Risiken“, das über die zugeordneten Kategorien informiert und zudem die manuelle Kategorisierung ermöglicht.
Diskretisierung und Bewertung.
Über die Option Risikobewertung können Ergebnisberichte basierend auf der konfigurierten Kategorisierung erstellt werden. Der Tab „Risikokarte anzeigen“ ermöglicht die Erstellung von Berichten, die die Risiken nach Ebenen filtern, und bietet zudem eine Vielzahl von relevanten Informationen und Attributen; eines davon ist das Feld „ Risikogruppierung“, wie im folgenden Bild gezeigt:
Im Tab „Risikoliste anzeigen“ können die Risiken der Analyse sowohl in Tabellenform als auch grafisch nach Kategorie oder Element im Vergleich zu den ARL- und ZRN-Werten der Analyse eingesehen werden. Im folgenden Bild ist das erwähnte Diagramm zu sehen, bei dem der Filter basierend auf den Kategorien angewendet wurde:
Die im Diagramm angezeigten Kategorien können mit der Schaltfläche „ Gruppierung auswählen“ gefiltert werden, die in der oberen linken Ecke erscheint.
Sowohl das Diagramm des vorherigen Bildes als auch die nachfolgende Tabelle mit der Segmentierung der Risiken nach Kategorie werden durch Auswahl der Option „Risiken“ im Button „Ansicht“ erstellt, wie unten gezeigt.
