home *** CD-ROM | disk | FTP | other *** search
/ Collection of Tools & Utilities / Collection of Tools and Utilities.iso / dskut / risk10.zip / RISKIT.TXT < prev   
Text File  |  1994-03-26  |  79KB  |  2,338 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.                               
  10.                      R I S K I T  1.0   (TM)
  11.  
  12.  
  13.  
  14.                     Risk Assessment Software
  15.  
  16.  
  17.  
  18.                           Users Manual
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  Copyright (c) 1994 Brian Risman Associates All Rights Reserved
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.                        Table of Contents
  53.  
  54.  
  55. Order Form . . . . . . . . . . . . . . . . . . . . . . . . .    4
  56.  
  57. License Agreement  . . . . . . . . . . . . . . . . . . . . .    5
  58.  
  59. Limited Warranty . . . . . . . . . . . . . . . . . . . . . .    6
  60.  
  61. System Requirements  . . . . . . . . . . . . . . . . . . . .    7
  62.  
  63. Overview . . . . . . . . . . . . . . . . . . . . . . . . . .    8
  64.  
  65. What is Risk Management ?  . . . . . . . . . . . . . . . . .    9
  66.  
  67. Installation . . . . . . . . . . . . . . . . . . . . . . . .   10
  68.  
  69. General Commands . . . . . . . . . . . . . . . . . . . . . .   11
  70.  
  71. System Diagram . . . . . . . . . . . . . . . . . . . . . . .   12
  72.  
  73. Main Menu  . . . . . . . . . . . . . . . . . . . . . . . . .   13
  74.      Screen Layout . . . . . . . . . . . . . . . . . . . . .   13
  75.      Description . . . . . . . . . . . . . . . . . . . . . .   13
  76.      Screen Options  . . . . . . . . . . . . . . . . . . . .   13
  77.  
  78. Main Sub-Menu  . . . . . . . . . . . . . . . . . . . . . . .   15
  79.      Screen Layout . . . . . . . . . . . . . . . . . . . . .   15
  80.      Description . . . . . . . . . . . . . . . . . . . . . .   15
  81.      Screen Options  . . . . . . . . . . . . . . . . . . . .   15
  82.  
  83. Add Study  . . . . . . . . . . . . . . . . . . . . . . . . .   16
  84.      Description . . . . . . . . . . . . . . . . . . . . . .   16
  85.      Area of Weakness Selection Screen Layout  . . . . . . .   18
  86.      Description . . . . . . . . . . . . . . . . . . . . . .   18
  87.      Screen Options  . . . . . . . . . . . . . . . . . . . .   18
  88.      Potential Area of Threat Selection Screen Layout  . . .   20
  89.      Description . . . . . . . . . . . . . . . . . . . . . .   20
  90.      Screen Options  . . . . . . . . . . . . . . . . . . . .   21
  91.      Add Study Case Input Screen Layout  . . . . . . . . . .   22
  92.      Description . . . . . . . . . . . . . . . . . . . . . .   22
  93.      Screen Options
  94.  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .   22
  95.  
  96. Modify Study . . . . . . . . . . . . . . . . . . . . . . . .   24
  97.      Description . . . . . . . . . . . . . . . . . . . . . .   24
  98.      Area of Weakness Selection Screen Layout  . . . . . . .   26
  99.      Description . . . . . . . . . . . . . . . . . . . . . .   26
  100.      Screen Options  . . . . . . . . . . . . . . . . . . . .   26
  101.      Potential Area of Threat Selection Screen Layout  . . .   28
  102.      Description . . . . . . . . . . . . . . . . . . . . . .   28
  103.      Screen Options  . . . . . . . . . . . . . . . . . . . .   29
  104.      Modify Study Case Input Screen Layout . . . . . . . . .   30
  105.      Description . . . . . . . . . . . . . . . . . . . . . .   30
  106.      Screen Options  . . . . . . . . . . . . . . . . . . . .   30
  107.  
  108. Delete Study . . . . . . . . . . . . . . . . . . . . . . . .   32
  109.      Description . . . . . . . . . . . . . . . . . . . . . .   32
  110.      Area of Weakness Selection Screen Layout  . . . . . . .   34
  111.      Description . . . . . . . . . . . . . . . . . . . . . .   34
  112.      Screen Options  . . . . . . . . . . . . . . . . . . . .   34
  113.      Potential Area of Threat Selection Screen Layout  . . .   36
  114.      Description . . . . . . . . . . . . . . . . . . . . . .   36
  115.      Screen Options  . . . . . . . . . . . . . . . . . . . .   37
  116.      Delete Study Case Input Screen Layout . . . . . . . . .   38
  117.      Description
  118.  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .   38
  119.      Screen Options  . . . . . . . . . . . . . . . . . . . .   38
  120.  
  121. Print Risk Estimate Detail Sheet . . . . . . . . . . . . . .   40
  122.      Description . . . . . . . . . . . . . . . . . . . . . .   40
  123.      Report Layout . . . . . . . . . . . . . . . . . . . . .   43
  124.      Description . . . . . . . . . . . . . . . . . . . . . .   43
  125.      Screen Options  . . . . . . . . . . . . . . . . . . . .   43
  126.  
  127. Print Summary Report . . . . . . . . . . . . . . . . . . . .   44
  128.      Description . . . . . . . . . . . . . . . . . . . . . .   44
  129.      Report Layout . . . . . . . . . . . . . . . . . . . . .   47
  130.      Description . . . . . . . . . . . . . . . . . . . . . .   47
  131.      Screen Options  . . . . . . . . . . . . . . . . . . . .   47
  132.  
  133. Browse All Studies . . . . . . . . . . . . . . . . . . . . .   48
  134.      Description . . . . . . . . . . . . . . . . . . . . . .   48
  135.      Screen Layout . . . . . . . . . . . . . . . . . . . . .   51
  136.      Description . . . . . . . . . . . . . . . . . . . . . .   51
  137.      Screen Options  . . . . . . . . . . . . . . . . . . . .   51
  138.  
  139. Delete All Records (Exclusive Control) . . . . . . . . . . .   53
  140.      Description . . . . . . . . . . . . . . . . . . . . . .   53
  141.  
  142. Quit . . . . . . . . . . . . . . . . . . . . . . . . . . . .   54
  143.      Description . . . . . . . . . . . . . . . . . . . . . .   54
  144.  
  145. Index  . . . . . . . . . . . . . . . . . . . . . . . . . . .   55
  146.                         
  147.                          RISKIT 1.0 (TM)
  148.                            Order Form
  149.  
  150.  
  151. To register your copy of RISKIT 1.0 (TM), please send along the
  152. following form, or a reasonable facsimile, and certified cheque
  153. or money order for $ 99 in United States funds, to the following
  154. address :
  155.  
  156.                      Brian Risman Associates
  157.                     1 Canyon Avenue Suite 912
  158.                 North York Ontario CANADA M3H 4X8
  159.  
  160.  
  161.  
  162. Name : _______________________________________________________
  163.  
  164.  
  165. Company : ____________________________________________________
  166.  
  167.  
  168. Address : ____________________________________________________
  169.  
  170.  
  171. Day Phone : ____________________ Eve Phone : _________________
  172.  
  173.  
  174. Fax Number : ______________________
  175.  
  176.  
  177. Bulletin Board Address (Compuserve, Internet) :
  178.  
  179. ______________________________________________________________
  180.  
  181.  
  182.  
  183.  
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192.  
  193.  
  194.  
  195.  
  196.  
  197.  
  198.                         RISKIT 1.0  (TM)
  199.  
  200.                         License Agreement
  201.  
  202.  
  203.  
  204.  
  205. Brian Risman Associates provides these programs and licenses
  206. their use. You assume responsibility for selection of these
  207. programs for your purposes, and for the installation, use, and
  208. results from use of these programs. This software is licensed to
  209. you for use as follows :
  210.  
  211.     1. You may use the programs on a single machine.
  212.  
  213.     2. You may copy the programs for the sole purpose of backup  
  214.        in support of their use on a single machine.
  215.  
  216.     3. All copies made must include the copyright notice.
  217.  
  218.     4. You may transfer the programs and license to another party
  219.        if the other party agrees to accept the terms and         
  220.        conditions of this Agreement.
  221.  
  222.     5. If you transfer the program you must, at the same time,   
  223.        transfer all copies of the program or destroy any copies
  224.        not transferred.
  225.  
  226.     6. YOU MAY NOT USE, COPY, OR TRANSFER THE PROGRAMS OR ANY    
  227.        COPY IN WHOLE OR PART, EXCEPT AS EXPRESSLY PROVIDED FOR IN
  228.        THIS LICENSE. IF YOU TRANSFER POSSESSION OF ANY COPY
  229.        TO ANOTHER PARTY, YOUR LICENSE IS AUTOMATICALLY           
  230.        TERMINATED.
  231.  
  232.     7. This license shall be construed, interpreted, and governed
  233.        by the laws of the Province of Ontario and the Federal
  234.        Government of Canada as applied in the Province of       
  235.        Ontario.
  236.   
  237. This license is effective until terminated. You may terminate the
  238. license by destroying the programs together with all copies in
  239. any form. This license will also be terminated if you fail to
  240. comply with any term or condition of this license. You agree upon
  241. such termination to return the programs together will all the
  242. copies to Brian Risman
  243. Associates and the purchaser shall be liable for any and all
  244. damages suffered as a result of the violation or default. You may
  245. not sub-license, assign or transfer the programs or any rights
  246. under this license to any third party except as permitted under
  247. this license. Any attempt otherwise to sub-license, assign, or
  248. transfer the programs or any rights under the license is void.
  249.  
  250.                      R I S K I T  1.0  (TM)
  251.  
  252.                         Limited Warranty
  253.  
  254. These programs are a product of Brian Risman Associates.
  255.  
  256. The programs contained in this package are provided "AS IS"
  257. without warranty of any kind, either express or implied,
  258. including, but not limited to, the implied warranties of merchant
  259. ability and fitness for a particular purpose. The entire risk
  260. related to the quality and performance of the programs is on you.
  261. In the event there is any defect, you assume the entire cost of
  262. all necessary servicing, repair or correction. Some states do not
  263. allow the exclusion of implied warranties, so the above
  264. exclusions may not apply to you. This warranty gives you specific
  265. legal rights and you may also have other rights which vary from
  266. state to state.
  267.  
  268. Brian Risman Associates does not warrant that the functions
  269. contained within the programs will meet your requirements or that
  270. the operation of the programs will be uninterrupted or error-
  271. free. Brian Risman Associates warrants the diskettes on which the
  272. programs are furnished to be free from defects in the materials
  273. and workmanship under normal use for a period of thirty (30) days
  274. from the date of delivery to you as evidenced by a copy of your
  275. receipt. The entire liability of Brian Risman Associates and your
  276. exclusive remedy shall be replacement of any diskette which does
  277. not meet the Limited Warranty and which is returned to Brian
  278. Risman Associates.
  279.  
  280. IN NO EVENT WILL BRIAN RISMAN ASSOCIATES BE LIABLE TO YOU FOR ANY
  281. DAMAGES (INCLUDING ANY LOST PROFITS, LOST SAVINGS, OR OTHER
  282. INCIDENTAL OR CONSEQUENTIAL DAMAGES EVEN IF BRIAN RISMAN
  283. ASSOCIATES HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES)
  284. OR FOR ANY CLAIM BY ANY OTHER PARTY. SOME STATES DO NOT ALLOW THE
  285. LIMITATION OR EXCLUSION OF LIABILITY FOR INCIDENTAL OR
  286. CONSEQUENTIAL DAMAGES SO THE ABOVE LIMITATIONS OR EXCLUSION MAY
  287. NOT APPLY TO YOU.
  288.  
  289. This agreement constitutes the complete and exclusive statement
  290. of the terms of the agreement between you and Brian Risman
  291. Associates. This agreement supersedes and replaces any previous
  292. written or oral agreement and communications relating to this
  293. software. No oral or written information of advice given by Brian
  294. Risman Associates, its dealers, distributors, agents or employees
  295. will create any warranty or in any way increase the scope of the
  296. warranty provided in this agreement, you may not rely on any
  297. information or advice.
  298.  
  299.  
  300.                      R I S K I T  1.0   (TM)
  301.  
  302.                        System Requirements
  303.  
  304.  
  305. 1. IBM PC/XT/AT/386/486 or a compatible computer with a hard   
  306. disk with about 1 - 2 MB storage available.
  307.  
  308. 2. MS-DOS version 5.0 or higher is required.
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338.  
  339.  
  340.  
  341.  
  342.  
  343.  
  344.  
  345.  
  346.  
  347.  
  348.  
  349.  
  350.  
  351.                      R I S K I T  1.0   (TM)
  352.  
  353.                             Overview
  354.  
  355.  
  356. RISKIT 1.0 (TM) is a computer program run on the IBM PC and true
  357. compatibles, which lets computer (EDP) auditors to organize and
  358. assess their analysis of the potential risks in one or more
  359. computer installations.
  360.  
  361. RISKIT 1.0 (TM) is a tool for use by those (for example, EDP
  362. auditors) who are engaged in the assessment of the risks facing
  363. the EDP environment. Multiple studies, and sub-studies, can be
  364. carried out at the same time on RISKIT 1.0 (TM).
  365.  
  366. What is Risk Management ?
  367.  
  368. As we all know, no one can predict the future.
  369.  
  370. Companies and other organizations are no different. The
  371. management of uncertainty is possible only through a complete
  372. analysis of the risks facing the organization.
  373.  
  374. The first step in risk management is the analysis and measurement
  375. of the risks, called risk analysis.
  376.  
  377. Once the risks are analyzed and measured, the next step is to 
  378. control the risks by instituting an action plan containing
  379. countermeasures. Please note that an action plan should be
  380. simple and to the point, since in the event the plan is invoked, 
  381. people are only going to be able to implement the high-level
  382. principles. Rarely is the disaster so accommodating to let
  383. a detail plan to be executed without alteration.
  384.  
  385. RISKIT 1.0 (TM) seeks to aid in risk management. 
  386.  
  387. The basis of RISKIT 1.0 (TM) is to carry out a STUDY on, for
  388. example, the threat of Terrorism.
  389.  
  390. Within the STUDY, the SYSTEM to be examined is determined.
  391. Typically, the SYSTEM refers to an area of an organization. For
  392. an oil company, the areas may be Refining or Marketing. For a 
  393. Bank : Treasury, Investment Banking and Retail Banking may be
  394. the areas considered SYSTEMs.
  395.  
  396. And within the SYSTEM, a SUB-SYSTEM can be studied. The main
  397. lines of business -- for example, the accounts receivable package
  398. in the oil company's Marketing SYSTEM may be subject to a
  399. Terrorism STUDY.
  400.  
  401. The Probability of an Event happening, and the Cost of the Impact
  402. of the Event must be considered separately. An event may have a
  403. low probability, but its cost may be so high that the firm may be
  404. forced out of business. Therefore, an action plan of insurance,
  405. for example, may be in order. Equally, an Event may have high
  406. probability, but have little impact cost. Only a limited action
  407. plan may be required. 
  408. Installation
  409.  
  410. RISKIT 1.0 (TM) is initially in compressed mode, in a file called
  411. RISKIT10.EXE.
  412.  
  413. To decompress this file, type the following from the DOS prompt :
  414.  
  415.            RISKIT10
  416.  
  417. RISKIT 1.0 (TM) will then decompress, placing the following files
  418. on your disk in the directory you are currently using :
  419.  
  420.    RISKIT.EXE - the executable code for the RISKIT 1.0 (TM)
  421.                 application
  422.  
  423.    RISKIT.TXT - the user manual that you are reading currently
  424.  
  425.    RISKIT.DBF - the RISKIT 1.0 (TM) database.
  426. General Commands
  427.  
  428. To start the application, from the DOS prompt type the
  429. following :
  430.  
  431.  
  432.                  RISKIT
  433.  
  434.  
  435. On every screen, you can enter ESCape to return to the Main Menu.
  436.  
  437. On screens with a Next Record and Exit options, you can only
  438. enter "Y" or "N". The default for Next Record is "Y", and for
  439. Exit "N" -- though at the logical end of the browsing you will
  440. exit back to the Main Menu.
  441.  
  442. System Diagram
  443.  
  444. The following diagram shows the flow of screens in RISKIT 1.0
  445. (TM) :
  446.  
  447. -----------------------------------------------------------------
  448.  
  449.                        DOS prompt > RISKIT
  450.                                 v
  451.                                 v
  452.                                 v
  453.                             Main Menu
  454.                                 v
  455.                                 v
  456.                                 v
  457.  ----------------------------------------------------------------
  458.  v        v        v        v        v        v        v        v
  459.  v        v        v        v        v        v        v        v
  460.  v        v        v        v        v        v        v        v
  461. Main              Sub       -     Menu     Browse   Delete   Quit
  462.  v        v        v        v        v       All      All 
  463.  v        v        v        v        v     Records  Records
  464.  v        v        v        v        v
  465.  v        v        v        v        v
  466. Add    Modify    Delete   Print    Print
  467. Study   Study    Study    Risk    Summary
  468.                          Estimate  Report
  469.                           Detail
  470.                           Sheet  
  471.  
  472. -----------------------------------------------------------------
  473.   
  474.    
  475.    
  476.  
  477.     
  478. Main Menu
  479.  
  480.  
  481. Screen Layout
  482.  
  483.  
  484. -----------------------------------------------------------------
  485. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  486. . Main Menu                                                     .
  487. . mm/dd/yyyy   hh:mm:ss                                         .
  488. .                                                               .
  489. .      **** DATABASE ACTIVITY ****                              .
  490. .         Add Study                                             .
  491. .         Modify Study                                          .
  492. .         Delete Study                                          .
  493. .                                                               .
  494. .      **** PRINT/DISPLAY INFORMATION ****                      .
  495. .         Print Risk Estimate Detail Sheet                      .
  496. .         Print Summary Report                                  .
  497. .         Browse All Studies                                    .
  498. .                                                               .
  499. .      **** DELETE ALL RECORDS ****                             .
  500. .         Delete All Records(Exclusive Control)                 .
  501. .                                                               .
  502. .      **** EXIT ****                                           .
  503. .         Quit                                                  .
  504. -----------------------------------------------------------------
  505.  
  506.  
  507. Description
  508.  
  509. On the Main Menu, options for Database Activity,
  510. Printing/Displaying Information on the Database, Deleting all
  511. records, or Exiting the application are selected.
  512.  
  513.  
  514. Screen Options
  515.  
  516. Please note that options selected above can only be selected
  517. one at a time.
  518.  
  519. The 'Add Study' option adds areas of POTENTIAL RISK for a
  520. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  521. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  522.  
  523. The 'Modify Study' option modifies areas of POTENTIAL RISK for a
  524. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  525. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  526.  
  527. The 'Delete Study' option deletes areas of POTENTIAL RISK for a
  528. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  529. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  530.  
  531. The 'Print Risk Estimate Detail Sheet' option prints all areas of
  532. POTENTIAL RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM --
  533. and within those criteria, different area of WEAKNESSES and
  534. POTENTIAL THREATS.
  535.  
  536. The 'Print Summary Report' option prints all areas of POTENTIAL
  537. RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM -- and within
  538. those criteria, different area of WEAKNESSES and POTENTIAL
  539. THREATS. Average values for the PROBABILITY OF EVENT and the 
  540. COST OF IMPACT are calculated.
  541.  
  542. The 'Browse All Studies' option displays all areas of POTENTIAL
  543. RISK for all STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  544. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  545.  
  546. The 'Delete All Records' option physically removes all records
  547. from the database.
  548.  
  549. The 'Quit' option closes the application and returns to DOS.
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562.  
  563.  
  564.  
  565.  
  566.  
  567.  
  568.  
  569. Main Sub-Menu
  570.  
  571.  
  572. Screen Layout
  573.  
  574.  
  575. -----------------------------------------------------------------
  576. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  577. . Main Sub-Menu                                                 .
  578. . mm/dd/yyyy   hh:mm:ss                                         .
  579. .                                                               .
  580. .   Please enter the following information :                    .
  581. .                                                               .
  582. .   Study      :                                                .
  583. .                                                               .
  584. .   System     :                                                .
  585. .                                                               .
  586. .   Sub-System :                                                .
  587. -----------------------------------------------------------------
  588.  
  589.  
  590. Description
  591.  
  592. On the Main Sub-Menu, the area of STUDY, the SYSTEM name, and the
  593. SUB-SYSTEM being targeted are selected. All three fields are 
  594. mandatory.
  595.  
  596.  
  597. Screen Options
  598.  
  599. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
  600. Tornadoes, or Snowstorms. 
  601.  
  602. SYSTEM name refers to the area of the organization with related
  603. to the main lines of business. For an oil company, this would be
  604. typically Refining and Marketing; for a Bank, it may be Treasury,
  605. Investment Banking and Retail Banking.
  606.  
  607. SUB-SYSTEM name refers to the particular business applications
  608. within the main lines of business -- for example, the accounts
  609. receivable system in the Marketing area, or the Traders
  610. Information System in a Bank. For more information, please see
  611. the Main Sub-Menu section.
  612.  
  613.  
  614.  
  615.  
  616.  
  617.  
  618.  
  619.  
  620. Add Study
  621.  
  622.  
  623. Description
  624.  
  625.  
  626. The 'Add Study' option adds areas of POTENTIAL RISK for a
  627. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  628. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  629.  
  630. FIRST, the selection of the 'Add Study' option on the Main Menu
  631. is made. Please see the Main Menu section for further
  632. information.
  633.  
  634. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
  635. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
  636.  
  637. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
  638. Tornadoes, or Snowstorms. 
  639.  
  640. SYSTEM name refers to the area of the organization with related
  641. to the main lines of business. For an oil company, this would be
  642. typically Refining and Marketing; for a Bank, it may be Treasury,
  643. Investment Banking and Retail Banking.
  644.  
  645. SUB-SYSTEM name refers to the particular business applications
  646. within the main lines of business -- for example, the accounts
  647. receivable system in the Marketing area, or the Traders
  648. Information System in a Bank. For more information, please see
  649. the Main Sub-Menu section.
  650.  
  651. THIRD, the AREAS OF WEAKNESS Selection Menu is displayed. This
  652. menu focuses at the potential areas of weakness, such as the
  653. data, software or hardware. 
  654.  
  655. AREAS OF WEAKNESS can be distinguished from the potential threats
  656. in the that the former is passive and should be protected, while
  657. the latter is active and affects the former by its actions. On
  658. this Menu, only one selection can be made for each physical entry
  659. into Add Study, but different area of weaknesses can be selected
  660. at different physical entries into the Add Study option. 
  661.  
  662. FOURTH, the entry of data for the potential risk -- the actual
  663. information added to the RISKIT 1.0 (TM) database -- is
  664. performed.
  665.  
  666. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
  667. been entered in the Main Sub-Menu referred to above.
  668.  
  669.  
  670.  
  671.  
  672.  
  673. The TOPIC and SUB-TOPIC are first entered.
  674.  
  675. The TOPIC would typically cover the group representing a threat -
  676. - for example, computer hackers.
  677.  
  678. The SUB-TOPIC would typically cover potential actions by the
  679. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  680. hackers(TOPIC).
  681.  
  682. The PROBABILITY OF the EVENT is next examined. A value between 0
  683. and 99 should be entered (0 is the default, implying zero
  684. probability). This field looks at what is the likelihood that the
  685. event will occur ? Following is the description explaining WHY
  686. that probability level was chosen, followed by the corrective
  687. action to be taken, if any.
  688.  
  689. Finally, the COST OF the IMPACT of the event -- independent of
  690. the probability of the event happening -- is input in a method
  691. identical with that of the PROBABILITY OF EVENT shown above.
  692.  
  693. After this field is entered, press ENTER to add the record -- or
  694. ESCape to cancel record addition and return to the Main Menu. 
  695. Please note that ESCape can be entered at any time in the Data
  696. Entry screen to exit back to the Main Menu.    Add Study
  697.  
  698.  
  699. Area of Weakness Selection Screen Layout
  700.  
  701.  
  702. -----------------------------------------------------------------
  703. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  704. . Add Study                                                     .
  705. . mm/dd/yyyy   hh:mm:ss                                         .
  706. .                                                               .
  707. .     Data                                                      .
  708. .     Software                                                  .
  709. .     Hardware                                                  .
  710. .     Facilities                                                .
  711. .     Media & Supplies                                          .
  712. .     People                                                    .
  713. .     Communications                                            .
  714. .     Other                                                     .
  715. .     Return                                                    .
  716. -----------------------------------------------------------------
  717.  
  718.  
  719. Description
  720.  
  721.  
  722. AREAS OF WEAKNESS are inherent characteristics of a system that 
  723. could let a threat act upon an asset, causing a harmful 
  724. event. THREATS capitalize upon these AREAS OF WEAKNESS to breach
  725. safeguards and cause a loss.
  726.  
  727. Complex systems are more likely to have greater AREAS OF WEAKNESS
  728. than simple systems, due to the presence of more exposures not
  729. covered by existing security procedures.
  730.  
  731. Please note that while only one AREA OF WEAKNESS can be selected
  732. at a time, there is no reason that a user cannot enter 'Add
  733. Study' several times to enter different AREAS OF WEAKNESS.
  734.  
  735.  
  736. Screen Options
  737.  
  738. The following assets or corporate elements must be examined :
  739.  
  740.  
  741. DATA
  742.  
  743. These assets may be on storage media, input forms, or output
  744. listings.
  745.  
  746.  
  747. SOFTWARE
  748.  
  749. Software assets generally exceed hardware in value, and consist
  750. of both system and application programs.
  751.  
  752.  
  753. HARDWARE
  754.  
  755. These assets include terminals, computers, and associated
  756. equipment.
  757.  
  758.  
  759. FACILITIES
  760.  
  761. These are the physical entities of the environment, such as
  762. security alarms, utility back-ups, and real property.
  763.  
  764.  
  765. MEDIA & SUPPLIES
  766.  
  767. Stocks of blank forms, tapes and paper are examples of media
  768. assets.
  769.  
  770.  
  771. PEOPLE
  772.  
  773. Any of the stakeholders in the organization -- for example,
  774. employees, managers, executives, shareholders, government or
  775. even the public.
  776.  
  777.  
  778. COMMUNICATIONS
  779.  
  780. Corporate network and internal data processing links are examples
  781. of communications.
  782.  
  783.  
  784. OTHER
  785.  
  786. Other areas of weakness that you might want to add.
  787.  
  788.  
  789. RETURN
  790.  
  791. Return to Main Menu.
  792.  
  793.  
  794.  
  795.  
  796.  
  797.  
  798.  
  799.  
  800. Add Study
  801.  
  802.  
  803. Potential Area of Threat Selection Screen Layout
  804.  
  805.  
  806. -----------------------------------------------------------------
  807. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  808. . Add Study - area of weakness                                  .
  809. . mm/dd/yyyy   hh:mm:ss                                         .
  810. .                                                               .
  811. .     Natural Hazards                                           .
  812. .     Equipment Failure                                         .
  813. .     Human Error                                               .
  814. .     Theft                                                     .
  815. .     Fraud                                                     .
  816. .     Malice                                                    .
  817. .     Strategic Attack                                          .
  818. .     Other                                                     .
  819. .     Return                                                    .
  820. -----------------------------------------------------------------
  821.  
  822.  
  823. Description
  824.  
  825.  
  826. A THREAT is an aspect of the environment that, when given an
  827. opportunity, can cause a harmful event(a partial or complete loss
  828. of a corporate asset) by acting upon an asset.
  829.  
  830. THREATS fall into two main categories -- intentional and
  831. probabilistic.
  832.  
  833. Intentional THREATS are performed by people seeking to harm the
  834. organization by stealing or disrupting assets. THEFT, FRAUD,
  835. MALICE, and STRATEGIC ATTACK fall into this category.
  836.  
  837. Probabilistic THREATS may occur as a result of HUMAN ERROR
  838. precipitating threats involving procedures, programs, systems
  839. software, and also EQUIPMENT FAILURE encompassing computer or
  840. support equipment. Alternatively, NATURAL HAZARDS may also occur
  841. -- storms, power loss, earthquakes, flooding, water damage, and
  842. fire.
  843.  
  844. Please note that while only one THREAT can be entered at a time,
  845. there is no reason that more THREATs cannot be entered in 
  846. subsequent 'Add Study' entries.
  847.  
  848.  
  849.  
  850.  
  851.  
  852.  
  853. Screen Options
  854.  
  855.  
  856. NATURAL HAZARDS are probabilistic events such as hurricanes,
  857. floods, mud slides, cold weather that can have a harmful affect
  858. on an AREA OF WEAKNESS.
  859.  
  860. EQUIPMENT FAILURE covers probabilistic events such as hardware
  861. failures or sabotage. Damage to a mainframe by a disgruntled
  862. employee is an example of a harmful effect to an AREA OF
  863. WEAKNESS.
  864.  
  865. HUMAN ERROR is yet another probabilistic event that covers
  866. mistakes made by staff or others (for example, external
  867. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
  868.  
  869. THEFT is, on the other hand, an intentional event aimed at
  870. harming the organization through its AREA OF WEAKNESS. THEFT is
  871. defined as the act or crime of stealing.
  872.  
  873. FRAUD is also an intentional event aimed at harming the
  874. organization through its AREA OF WEAKNESS. FRAUD is defined as an
  875. act or instance of deception or trickery.
  876.  
  877. MALICE is also an intentional event aimed at harming the
  878. organization through its AREA OF WEAKNESS. MALICE is defined as a
  879. wilfully formed event designed to do another an injury.
  880.  
  881. STRATEGIC ATTACK is a more organized, broad-based assault by
  882. usually more than one person on the organization through its
  883. AREA OF WEAKNESS.
  884.  
  885.  
  886.  
  887.  
  888.  
  889.  
  890.  
  891.  
  892.  
  893.  
  894.  
  895.  
  896.  
  897.  
  898.  
  899.  
  900.  
  901.  
  902. Add Study
  903.  
  904.  
  905. Add Study Case Input Screen Layout
  906.  
  907.  
  908. -----------------------------------------------------------------
  909. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  910. . Add Study - area of weakness - threat                         .
  911. . mm/dd/yyyy   hh:mm:ss                                         .
  912. . Press ESC to cancel addition                                  .
  913. .                                                               .
  914. .     Study                           :                         .
  915. .     System                          :                         .
  916. .     Sub-System                      :                         .
  917. .     Topic                           :                         .
  918. .     Sub-Topic                       :                         .
  919. .     Probability of Event                                      .
  920. .       (00:Low; 50:Medium; 99:High)  :                         . 
  921. .     Event Probability Description   :                         .
  922. .     Action to be Taken              :                         .
  923. .     Cost of Impact                                            .
  924. .       (00:Low; 50:Medium; 99:High)  :                         .
  925. .     Cost of Impact Description      :                         .
  926. .     Action to be Taken              :                         .
  927. -----------------------------------------------------------------
  928.  
  929.  
  930. Description
  931.  
  932. In this panel, the details for a particular THREAT to an AREA OF
  933. WEAKNESS are entered.
  934.  
  935.  
  936. Screen Options
  937.  
  938. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
  939. been entered in the Main Sub-Menu referred to above.
  940.  
  941. The TOPIC and SUB-TOPIC are first entered.
  942.  
  943. The TOPIC would typically cover the group representing a threat -
  944. - for example, computer hackers.
  945.  
  946. The SUB-TOPIC would typically cover potential actions by the
  947. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  948. hackers(TOPIC).
  949.  
  950. The PROBABILITY OF the EVENT is next examined. A value between 0
  951. and 99 should be entered (0 is the default, implying zero
  952. probability). This field looks at what is the likelihood that the
  953. event will occur ? Following is the description explaining WHY
  954. that probability level was chosen, followed by the corrective
  955. action to be taken, if any.
  956.  
  957. Finally, the COST OF the IMPACT of the event -- independent of
  958. the probability of the event happening -- is input in a method
  959. identical with that of the PROBABILITY OF EVENT shown above.
  960.  
  961. After this field is entered, press ENTER to add the record -- or
  962. ESCape to cancel record addition and return to the Main Menu. 
  963. Please note that ESCape can be entered at any time in the Data
  964. Entry screen to exit back to the Main Menu.   
  965.  
  966. Modify Study
  967.  
  968.  
  969. Description
  970.  
  971.  
  972. The 'Modify Study' option modifies areas of POTENTIAL RISK for a
  973. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  974. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  975.  
  976. FIRST, the selection of the 'Modify Study' option on the Main
  977. Menu is made. Please see the Main Menu section for further
  978. information.
  979.  
  980. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
  981. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
  982.  
  983. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
  984. Tornadoes, or Snowstorms. 
  985.  
  986. SYSTEM name refers to the area of the organization with related
  987. to the main lines of business. For an oil company, this would be
  988. typically Refining and Marketing; for a Bank, it may be Treasury,
  989. Investment Banking and Retail Banking.
  990.  
  991. SUB-SYSTEM name refers to the particular business applications
  992. within the main lines of business -- for example, the accounts
  993. receivable system in the Marketing area, or the Traders
  994. Information System in a Bank. For more information, please see
  995. the Main Sub-Menu section.
  996.  
  997. THIRD, the AREAS OF WEAKNESS Selection Menu is displayed. This
  998. menu focuses at the potential areas of weakness, such as the
  999. data, software or hardware. 
  1000.  
  1001. AREAS OF WEAKNESS can be distinguished from the potential threats
  1002. in the that the former is passive and should be protected, while
  1003. the latter is active and affects the former by its actions. On
  1004. this Menu, only one selection can be made for each physical entry
  1005. into 'Modify Study', but different area of weaknesses can be
  1006. selected at different physical entries into the Modify Study
  1007. option. 
  1008.  
  1009. FOURTH, the modification of data for the potential risk -- the
  1010. actual information added to the RISKIT 1.0 (TM) database -- is
  1011. performed.
  1012.  
  1013. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
  1014. been entered in the Main Sub-Menu referred to above.
  1015.  
  1016.  
  1017.  
  1018.  
  1019.  
  1020. The TOPIC and SUB-TOPIC are first entered.
  1021.  
  1022. The TOPIC would typically cover the group representing a threat -
  1023. - for example, computer hackers.
  1024.  
  1025. The SUB-TOPIC would typically cover potential actions by the
  1026. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  1027. hackers(TOPIC).
  1028.  
  1029. The PROBABILITY OF the EVENT is next examined. A value between 0
  1030. and 99 should be entered (0 is the default, implying zero
  1031. probability). This field looks at what is the likelihood that the
  1032. event will occur ? Following is the description explaining WHY
  1033. that probability level was chosen, followed by the corrective
  1034. action to be taken, if any.
  1035.  
  1036. Finally, the COST OF the IMPACT of the event -- independent of
  1037. the probability of the event happening -- is input in a method
  1038. identical with that of the PROBABILITY OF EVENT shown above.
  1039.  
  1040. After this field is entered, press ENTER to modify the record --
  1041. or ESCape to cancel record modification and return to the Main
  1042. Menu. Please note that ESCape can be entered at any time in the
  1043. Data Entry screen to exit back to the Main Menu.    Modify Study
  1044.  
  1045.  
  1046. Area of Weakness Selection Screen Layout
  1047.  
  1048.  
  1049. -----------------------------------------------------------------
  1050. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  1051. . Modify Study                                                  . 
  1052. . mm/dd/yyyy   hh:mm:ss                                         .
  1053. .                                                               .
  1054. .     Data                                                      .
  1055. .     Software                                                  .
  1056. .     Hardware                                                  .
  1057. .     Facilities                                                .
  1058. .     Media & Supplies                                          .
  1059. .     People                                                    .
  1060. .     Communications                                            .
  1061. .     Other                                                     .
  1062. .     Return                                                    .
  1063. -----------------------------------------------------------------
  1064.  
  1065.  
  1066. Description
  1067.  
  1068.  
  1069. AREAS OF WEAKNESS are inherent characteristics of a system that 
  1070. could let a threat act upon an asset, causing a harmful 
  1071. event. THREATS capitalize upon these AREAS OF WEAKNESS to breach
  1072. safeguards and cause a loss.
  1073.  
  1074. Complex systems are more likely to have greater AREAS OF WEAKNESS
  1075. than simple systems, due to the presence of more exposures not
  1076. covered by existing security procedures.
  1077.  
  1078. Please note that while only one AREA OF WEAKNESS can be selected
  1079. at a time, there is no reason that a user cannot enter 'Modify
  1080. Study' several times to modify different AREAS OF WEAKNESS.
  1081.  
  1082.  
  1083. Screen Options
  1084.  
  1085. The following assets or corporate elements must be examined :
  1086.  
  1087.  
  1088. DATA
  1089.  
  1090. These assets may be on storage media, input forms, or output
  1091. listings.
  1092.  
  1093.  
  1094. SOFTWARE
  1095.  
  1096. Software assets generally exceed hardware in value, and consist
  1097. of both system and application programs.
  1098.  
  1099.  
  1100. HARDWARE
  1101.  
  1102. These assets include terminals, computers, and associated
  1103. equipment.
  1104.  
  1105.  
  1106. FACILITIES
  1107.  
  1108. These are the physical entities of the environment, such as
  1109. security alarms, utility back-ups, and real property.
  1110.  
  1111.  
  1112. MEDIA & SUPPLIES
  1113.  
  1114. Stocks of blank forms, tapes and paper are examples of media
  1115. assets.
  1116.  
  1117.  
  1118. PEOPLE
  1119.  
  1120. Any of the stakeholders in the organization -- for example,
  1121. employees, managers, executives, shareholders, government or
  1122. even the public.
  1123.  
  1124.  
  1125. COMMUNICATIONS
  1126.  
  1127. Corporate network and internal data processing links are examples
  1128. of communications.
  1129.  
  1130.  
  1131. OTHER
  1132.  
  1133. Other areas of weakness that you might want to modify.
  1134.  
  1135.  
  1136. RETURN
  1137.  
  1138. Return to Main Menu.
  1139.  
  1140.  
  1141.  
  1142.  
  1143.  
  1144.  
  1145.  
  1146.  
  1147. Modify Study
  1148.  
  1149.  
  1150. Potential Area of Threat Selection Screen Layout
  1151.  
  1152.  
  1153. -----------------------------------------------------------------
  1154. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  1155. . Modify Study - area of weakness                               .
  1156. . mm/dd/yyyy   hh:mm:ss                                         .
  1157. .                                                               .
  1158. .     Natural Hazards                                           .
  1159. .     Equipment Failure                                         .
  1160. .     Human Error                                               .
  1161. .     Theft                                                     .
  1162. .     Fraud                                                     .
  1163. .     Malice                                                    .
  1164. .     Strategic Attack                                          .
  1165. .     Other                                                     .
  1166. .     Return                                                    .
  1167. -----------------------------------------------------------------
  1168.  
  1169.  
  1170. Description
  1171.  
  1172.  
  1173. A THREAT is an aspect of the environment that, when given an
  1174. opportunity, can cause a harmful event(a partial or complete loss
  1175. of a corporate asset) by acting upon an asset.
  1176.  
  1177. THREATS fall into two main categories -- intentional and
  1178. probabilistic.
  1179.  
  1180. Intentional THREATS are performed by people seeking to harm the
  1181. organization by stealing or disrupting assets. THEFT, FRAUD,
  1182. MALICE, and STRATEGIC ATTACK fall into this category.
  1183.  
  1184. Probabilistic THREATS may occur as a result of HUMAN ERROR
  1185. precipitating threats involving procedures, programs, systems
  1186. software, and also EQUIPMENT FAILURE encompassing computer or
  1187. support equipment. Alternatively, NATURAL HAZARDS may also occur
  1188. -- storms, power loss, earthquakes, flooding, water damage, and
  1189. fire.
  1190.  
  1191. Please note that while only one THREAT can be modified at a time,
  1192. there is no reason that more THREATs cannot be modified in 
  1193. subsequent 'Modify Study' entries.
  1194.  
  1195.  
  1196.  
  1197.  
  1198.  
  1199.  
  1200. Screen Options
  1201.  
  1202.  
  1203. NATURAL HAZARDS are probabilistic events such as hurricanes,
  1204. floods, mud slides, cold weather that can have a harmful affect
  1205. on an AREA OF WEAKNESS.
  1206.  
  1207. EQUIPMENT FAILURE covers probabilistic events such as hardware
  1208. failures or sabotage. Damage to a mainframe by a disgruntled
  1209. employee is an example of a harmful effect to an AREA OF
  1210. WEAKNESS.
  1211.  
  1212. HUMAN ERROR is yet another probabilistic event that covers
  1213. mistakes made by staff or others (for example, external
  1214. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
  1215.  
  1216. THEFT is, on the other hand, an intentional event aimed at
  1217. harming the organization through its AREA OF WEAKNESS. THEFT is
  1218. defined as the act or crime of stealing.
  1219.  
  1220. FRAUD is also an intentional event aimed at harming the
  1221. organization through its AREA OF WEAKNESS. FRAUD is defined as an
  1222. act or instance of deception or trickery.
  1223.  
  1224. MALICE is also an intentional event aimed at harming the
  1225. organization through its AREA OF WEAKNESS. MALICE is defined as a
  1226. wilfully formed event designed to do another an injury.
  1227.  
  1228. STRATEGIC ATTACK is a more organized, broad-based assault by
  1229. usually more than one person on the organization through its
  1230. AREA OF WEAKNESS.
  1231.  
  1232.  
  1233.  
  1234.  
  1235.  
  1236.  
  1237.  
  1238.  
  1239.  
  1240.  
  1241.  
  1242.  
  1243.  
  1244.  
  1245.  
  1246.  
  1247.  
  1248.  
  1249. Modify Study
  1250.  
  1251.  
  1252. Modify Study Case Input Screen Layout
  1253.  
  1254.  
  1255. -----------------------------------------------------------------
  1256. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  1257. . Modify Study - area of weakness - threat                      .
  1258. . mm/dd/yyyy   hh:mm:ss                                         .
  1259. . Press ESC to cancel modification                              .
  1260. .     Next Record ?                   :                         .
  1261. .     Exit ?                          :                         .
  1262. .                                                               .
  1263. .     Study                           :                         .
  1264. .     System                          :                         .
  1265. .     Sub-System                      :                         .
  1266. .     Topic                           :                         .
  1267. .     Sub-Topic                       :                         .
  1268. .     Probability of Event                                      .
  1269. .       (00:Low; 50:Medium; 99:High)  :                         . 
  1270. .     Event Probability Description   :                         .
  1271. .     Action to be Taken              :                         .
  1272. .     Cost of Impact                                            .
  1273. .       (00:Low; 50:Medium; 99:High)  :                         .
  1274. .     Cost of Impact Description      :                         .
  1275. .     Action to be Taken              :                         .
  1276. -----------------------------------------------------------------
  1277.  
  1278.  
  1279. Description
  1280.  
  1281. In this panel, the details for a particular THREAT to an AREA OF
  1282. WEAKNESS are modified.
  1283.  
  1284.  
  1285. Screen Options
  1286.  
  1287. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
  1288. been entered in the Main Sub-Menu referred to above.
  1289.  
  1290. The TOPIC and SUB-TOPIC are first entered.
  1291.  
  1292. The TOPIC would typically cover the group representing a threat -
  1293. - for example, computer hackers.
  1294.  
  1295. The SUB-TOPIC would typically cover potential actions by the
  1296. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  1297. hackers(TOPIC).
  1298.  
  1299. The PROBABILITY OF the EVENT is next examined. A value between 0
  1300. and 99 should be entered (0 is the default, implying zero
  1301. probability). This field looks at what is the likelihood that the
  1302. event will occur ? Following is the description explaining WHY
  1303. that probability level was chosen, followed by the corrective
  1304. action to be taken, if any.
  1305.  
  1306. Finally, the COST OF the IMPACT of the event -- independent of
  1307. the probability of the event happening -- is input in a method
  1308. identical with that of the PROBABILITY OF EVENT before shown
  1309. above.
  1310.  
  1311. After this field is entered, press ENTER to modify the record -
  1312. - or ESCape to cancel record modification and return to the Main
  1313. Menu. 
  1314.  
  1315. Please note that ESCape can be entered at any time in the Data
  1316. Entry screen to exit back to the Main Menu.   
  1317. Delete Study
  1318.  
  1319.  
  1320. Description
  1321.  
  1322.  
  1323. The 'Delete Study' option deletes areas of POTENTIAL RISK for a
  1324. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  1325. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  1326.  
  1327. FIRST, the selection of the 'Delete Study' option on the Main
  1328. Menu is made. Please see the Main Menu section for further
  1329. information.
  1330.  
  1331. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
  1332. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
  1333.  
  1334. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
  1335. Tornadoes, or Snowstorms. 
  1336.  
  1337. SYSTEM name refers to the area of the organization with related
  1338. to the main lines of business. For an oil company, this would be
  1339. typically Refining and Marketing; for a Bank, it may be Treasury,
  1340. Investment Banking and Retail Banking.
  1341.  
  1342. SUB-SYSTEM name refers to the particular business applications
  1343. within the main lines of business -- for example, the accounts
  1344. receivable system in the Marketing area, or the Traders
  1345. Information System in a Bank. For more information, please see
  1346. the Main Sub-Menu section.
  1347.  
  1348. THIRD, the AREAS OF WEAKNESS Selection Menu is displayed. This
  1349. menu focuses at the potential areas of weakness, such as the
  1350. data, software or hardware. 
  1351.  
  1352. AREAS OF WEAKNESS can be distinguished from the potential threats
  1353. in the that the former is passive and should be protected, while
  1354. the latter is active and affects the former by its actions. On
  1355. this Menu, only one selection can be made for each physical entry
  1356. into Delete Study, but different area of weaknesses can be
  1357. selected at different physical entries into the Delete Study
  1358. option. 
  1359.  
  1360. FOURTH, the deletion of data for the potential risk -- the actual
  1361. information added to the RISKIT 1.0 (TM) database -- is
  1362. performed.
  1363.  
  1364. All fields are PROTECTED.
  1365.  
  1366.  
  1367.  
  1368.  
  1369.  
  1370. The TOPIC would typically cover the group representing a threat -
  1371. - for example, computer hackers.
  1372.  
  1373. The SUB-TOPIC would typically cover potential actions by the
  1374. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  1375. hackers(TOPIC).
  1376.  
  1377. The PROBABILITY OF the EVENT is next examined. A value between 0
  1378. and 99 should be entered (0 is the default, implying zero
  1379. probability). This field looks at what is the likelihood that the
  1380. event will occur ? Following is the description explaining WHY
  1381. that probability level was chosen, followed by the corrective
  1382. action to be taken, if any.
  1383.  
  1384. Finally, the COST OF the IMPACT of the event -- independent of
  1385. the probability of the event happening -- is viewed in a method
  1386. identical with that of the PROBABILITY OF EVENT before shown
  1387. above.
  1388.  
  1389. After this field is entered, press ENTER to delete the record --
  1390. or ESCape to cancel record deletion and return to the Main Menu. 
  1391. Please note that ESCape can be entered at any time in the Data
  1392. Entry screen to exit back to the Main Menu.    Delete Study
  1393.  
  1394.  
  1395. Area of Weakness Selection Screen Layout
  1396.  
  1397.  
  1398. -----------------------------------------------------------------
  1399. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  1400. . Delete Study                                                  .
  1401. . mm/dd/yyyy   hh:mm:ss                                         .
  1402. .                                                               .
  1403. .     Data                                                      .
  1404. .     Software                                                  .
  1405. .     Hardware                                                  .
  1406. .     Facilities                                                .
  1407. .     Media & Supplies                                          .
  1408. .     People                                                    .
  1409. .     Communications                                            .
  1410. .     Other                                                     .
  1411. .     Return                                                    .
  1412. -----------------------------------------------------------------
  1413.  
  1414.  
  1415. Description
  1416.  
  1417.  
  1418. AREAS OF WEAKNESS are inherent characteristics of a system that 
  1419. could let a threat act upon an asset, causing a harmful 
  1420. event. THREATS capitalize upon these AREAS OF WEAKNESS to breach
  1421. safeguards and cause a loss.
  1422.  
  1423. Complex systems are more likely to have greater AREAS OF WEAKNESS
  1424. than simple systems, due to the presence of more exposures not
  1425. covered by existing security procedures.
  1426.  
  1427. Please note that while only one AREA OF WEAKNESS can be deleted
  1428. at a time, there is no reason that a user cannot enter 'Delete
  1429. Study' several times to enter different AREAS OF WEAKNESS.
  1430.  
  1431.  
  1432. Screen Options
  1433.  
  1434. The following assets or corporate elements must be examined :
  1435.  
  1436.  
  1437. DATA
  1438.  
  1439. These assets may be on storage media, input forms, or output
  1440. listings.
  1441.  
  1442.  
  1443. SOFTWARE
  1444.  
  1445. Software assets generally exceed hardware in value, and consist
  1446. of both system and application programs.
  1447.  
  1448.  
  1449. HARDWARE
  1450.  
  1451. These assets include terminals, computers, and associated
  1452. equipment.
  1453.  
  1454.  
  1455. FACILITIES
  1456.  
  1457. These are the physical entities of the environment, such as
  1458. security alarms, utility back-ups, and real property.
  1459.  
  1460.  
  1461. MEDIA & SUPPLIES
  1462.  
  1463. Stocks of blank forms, tapes and paper are examples of media
  1464. assets.
  1465.  
  1466.  
  1467. PEOPLE
  1468.  
  1469. Any of the stakeholders in the organization -- for example,
  1470. employees, managers, executives, shareholders, government or
  1471. even the public.
  1472.  
  1473.  
  1474.  
  1475. COMMUNICATIONS
  1476.  
  1477. Corporate network and internal data processing links are examples
  1478. of communications.
  1479.  
  1480.  
  1481. OTHER
  1482.  
  1483. Other areas of weakness that you might want to deleted.
  1484.  
  1485.  
  1486. RETURN
  1487.  
  1488. Return to Main Menu.
  1489.  
  1490.  
  1491.  
  1492.  
  1493.  
  1494.  
  1495.  
  1496. Delete Study
  1497.  
  1498.  
  1499. Potential Area of Threat Selection Screen Layout
  1500.  
  1501.  
  1502. -----------------------------------------------------------------
  1503. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  1504. . Delete Study - area of weakness                               .
  1505. . mm/dd/yyyy   hh:mm:ss                                         .
  1506. .                                                               .
  1507. .     Natural Hazards                                           .
  1508. .     Equipment Failure                                         .
  1509. .     Human Error                                               .
  1510. .     Theft                                                     .
  1511. .     Fraud                                                     .
  1512. .     Malice                                                    .
  1513. .     Strategic Attack                                          .
  1514. .     Other                                                     .
  1515. .     Return                                                    .
  1516. -----------------------------------------------------------------
  1517.  
  1518.  
  1519. Description
  1520.  
  1521.  
  1522. A THREAT is an aspect of the environment that, when given an
  1523. opportunity, can cause a harmful event(a partial or complete loss
  1524. of a corporate asset) by acting upon an asset.
  1525.  
  1526. THREATS fall into two main categories -- intentional and
  1527. probabilistic.
  1528.  
  1529. Intentional THREATS are performed by people seeking to harm the
  1530. organization by stealing or disrupting assets. THEFT, FRAUD,
  1531. MALICE, and STRATEGIC ATTACK fall into this category.
  1532.  
  1533. Probabilistic THREATS may occur as a result of HUMAN ERROR
  1534. precipitating threats involving procedures, programs, systems
  1535. software, and also EQUIPMENT FAILURE encompassing computer or
  1536. support equipment. Alternatively, NATURAL HAZARDS may also occur
  1537. -- storms, power loss, earthquakes, flooding, water damage, and
  1538. fire.
  1539.  
  1540. Please note that while only one THREAT can be deleted at a time,
  1541. there is no reason that more THREATs cannot be deleted in 
  1542. subsequent 'Delete Study' entries.
  1543.  
  1544.  
  1545.  
  1546.  
  1547.  
  1548.  
  1549. Screen Options
  1550.  
  1551.  
  1552. NATURAL HAZARDS are probabilistic events such as hurricanes,
  1553. floods, mud slides, cold weather that can have a harmful affect
  1554. on an AREA OF WEAKNESS.
  1555.  
  1556. EQUIPMENT FAILURE covers probabilistic events such as hardware
  1557. failures or sabotage. Damage to a mainframe by a disgruntled
  1558. employee is an example of a harmful effect to an AREA OF
  1559. WEAKNESS.
  1560.  
  1561. HUMAN ERROR is yet another probabilistic event that covers
  1562. mistakes made by staff or others (for example, external
  1563. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
  1564.  
  1565. THEFT is, on the other hand, an intentional event aimed at
  1566. harming the organization through its AREA OF WEAKNESS. THEFT is
  1567. defined as the act or crime of stealing.
  1568.  
  1569. FRAUD is also an intentional event aimed at harming the
  1570. organization through its AREA OF WEAKNESS. FRAUD is defined as an
  1571. act or instance of deception or trickery.
  1572.  
  1573. MALICE is also an intentional event aimed at harming the
  1574. organization through its AREA OF WEAKNESS. MALICE is defined as a
  1575. wilfully formed event designed to do another an injury.
  1576.  
  1577. STRATEGIC ATTACK is a more organized, broad-based assault by
  1578. usually more than one person on the organization through its
  1579. AREA OF WEAKNESS.
  1580.  
  1581.  
  1582.  
  1583.  
  1584.  
  1585.  
  1586.  
  1587.  
  1588.  
  1589.  
  1590.  
  1591.  
  1592.  
  1593.  
  1594.  
  1595.  
  1596.  
  1597.  
  1598. Delete Study
  1599.  
  1600.  
  1601. Delete Study Case Input Screen Layout
  1602.  
  1603.  
  1604. -----------------------------------------------------------------
  1605. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  1606. . Delete Study - area of weakness - threat                      .
  1607. . mm/dd/yyyy   hh:mm:ss                                         .
  1608. . Press ESC to cancel deletion                                  .
  1609. .     Next Record ?                   :                         .
  1610. .     Exit ?                          :                         .
  1611. .                                                               .
  1612. .     Study                           :                         .
  1613. .     System                          :                         .
  1614. .     Sub-System                      :                         .
  1615. .     Topic                           :                         .
  1616. .     Sub-Topic                       :                         .
  1617. .     Probability of Event                                      .
  1618. .       (00:Low; 50:Medium; 99:High)  :                         . 
  1619. .     Event Probability Description   :                         .
  1620. .     Action to be Taken              :                         .
  1621. .     Cost of Impact                                            .
  1622. .       (00:Low; 50:Medium; 99:High)  :                         .
  1623. .     Cost of Impact Description      :                         .
  1624. .     Action to be Taken              :                         .
  1625. -----------------------------------------------------------------
  1626.  
  1627.  
  1628. Description
  1629.  
  1630. In this panel, the details for a particular THREAT to an AREA OF
  1631. WEAKNESS are deleted.
  1632.  
  1633.  
  1634. Screen Options
  1635.  
  1636. All fields are PROTECTED, having been entered in the Main Sub-
  1637. Menu referred to above.
  1638.  
  1639. The TOPIC would typically cover the group representing a threat -
  1640. - for example, computer hackers.
  1641.  
  1642. The SUB-TOPIC would typically cover potential actions by the
  1643. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  1644. hackers(TOPIC).
  1645.  
  1646. The PROBABILITY OF the EVENT is next examined. A value between 0
  1647. and 99 should be entered (0 is the default, implying zero
  1648. probability). This field looks at what is the likelihood that the
  1649. event will occur ? Following is the description explaining WHY
  1650. that probability level was chosen, followed by the corrective
  1651. action to be taken, if any.
  1652.  
  1653. Finally, the COST OF the IMPACT of the event -- independent of
  1654. the probability of the event happening -- is reviewed in a method
  1655. identical with that of the PROBABILITY OF EVENT before shown
  1656. above.
  1657.  
  1658. After this field is reviewed, press ENTER to delete the record --
  1659. or ESCape to cancel record deletion and return to the Main Menu. 
  1660. Please note that ESCape can be entered at any time in the Data
  1661. Entry screen to exit back to the Main Menu.   
  1662. Print Risk Estimate Detail Sheet
  1663.  
  1664.  
  1665. Description
  1666.  
  1667.  
  1668. The 'Print Risk Estimate Detail Sheet' option prints all areas of
  1669. POTENTIAL RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM --
  1670. and within those criteria, different area of WEAKNESSES and
  1671. POTENTIAL THREATS.
  1672.  
  1673. FIRST, the selection of the 'Print Risk Estimate Detail Sheet'
  1674. option on the Main Menu is made. Please see the Main Menu section
  1675. for further information.
  1676.  
  1677. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
  1678. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
  1679.  
  1680. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
  1681. Tornadoes, or Snowstorms. 
  1682.  
  1683. SYSTEM name refers to the area of the organization with related
  1684. to the main lines of business. For an oil company, this would be
  1685. typically Refining and Marketing; for a Bank, it may be Treasury,
  1686. Investment Banking and Retail Banking.
  1687.  
  1688. SUB-SYSTEM name refers to the particular business applications
  1689. within the main lines of business -- for example, the accounts
  1690. receivable system in the Marketing area, or the Traders
  1691. Information System in a Bank. For more information, please see
  1692. the Main Sub-Menu section.
  1693.  
  1694. Finally, the reports are printed. Information on the fields is
  1695. presented below. At the time of printing, a message stating that
  1696. the report is current printing appears on the screen.
  1697.  
  1698. The TOPIC would typically cover the group representing a threat -
  1699. - for example, computer hackers.
  1700.  
  1701. The SUB-TOPIC would typically cover potential actions by the
  1702. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  1703. hackers(TOPIC).
  1704.  
  1705. AREAS OF WEAKNESS can be distinguished from the potential threats
  1706. in the that the former is passive and should be protected, while
  1707. the latter is active and affects the former by its actions. AREAS
  1708. OF WEAKNESS are inherent characteristics of a system that could
  1709. let a threat act upon an asset, causing a harmful event. THREATS
  1710. capitalize upon these AREAS OF WEAKNESS to breach
  1711. safeguards and cause a loss. Complex systems are more likely to
  1712. have greater AREAS OF WEAKNESS than simple systems, due to the
  1713. presence of more exposures not covered by existing security
  1714. procedures.
  1715.  
  1716.  
  1717. AREAS OF WEAKNESS include the following :
  1718.  
  1719. DATA
  1720.  
  1721. These assets may be on storage media, input forms, or output
  1722. listings.
  1723.  
  1724.  
  1725. SOFTWARE
  1726.  
  1727. Software assets generally exceed hardware in value, and consist
  1728. of both system and application programs.
  1729.  
  1730.  
  1731. HARDWARE
  1732.  
  1733. These assets include terminals, computers, and associated
  1734. equipment.
  1735.  
  1736.  
  1737. FACILITIES
  1738.  
  1739. These are the physical entities of the environment, such as
  1740. security alarms, utility back-ups, and real property.
  1741.  
  1742.  
  1743. MEDIA & SUPPLIES
  1744.  
  1745. Stocks of blank forms, tapes and paper are examples of media
  1746. assets.
  1747.  
  1748.  
  1749. PEOPLE
  1750.  
  1751. Any of the stakeholders in the organization -- for example,
  1752. employees, managers, executives, shareholders, government or
  1753. even the public.
  1754.  
  1755.  
  1756. COMMUNICATIONS
  1757.  
  1758. Corporate network and internal data processing links are examples
  1759. of communications.
  1760.  
  1761.  
  1762. A THREAT is an aspect of the environment that, when given an
  1763. opportunity, can cause a harmful event(a partial or complete loss
  1764. of a corporate asset) by acting upon an asset.
  1765.  
  1766. THREATS fall into two main categories -- intentional and
  1767. probabilistic.
  1768.  
  1769. Intentional THREATS are performed by people seeking to harm the
  1770. organization by stealing or disrupting assets. THEFT, FRAUD,
  1771. MALICE, and STRATEGIC ATTACK fall into this category.
  1772.  
  1773. Probabilistic THREATS may occur as a result of HUMAN ERROR
  1774. precipitating threats involving procedures, programs, systems
  1775. software, and also EQUIPMENT FAILURE encompassing computer or
  1776. support equipment. Alternatively, NATURAL HAZARDS may also occur
  1777. -- storms, power loss, earthquakes, flooding, water damage, and
  1778. fire.
  1779.  
  1780. THREATS include the following :
  1781.  
  1782.  
  1783. NATURAL HAZARDS are probabilistic events such as hurricanes,
  1784. floods, mud slides, cold weather that can have a harmful affect
  1785. on an AREA OF WEAKNESS.
  1786.  
  1787. EQUIPMENT FAILURE covers probabilistic events such as hardware
  1788. failures or sabotage. Damage to a mainframe by a disgruntled
  1789. employee is an example of a harmful effect to an AREA OF
  1790. WEAKNESS.
  1791.  
  1792. HUMAN ERROR is yet another probabilistic event that covers
  1793. mistakes made by staff or others (for example, external
  1794. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
  1795.  
  1796. THEFT is, on the other hand, an intentional event aimed at
  1797. harming the organization through its AREA OF WEAKNESS. THEFT is
  1798. defined as the act or crime of stealing.
  1799.  
  1800. FRAUD is also an intentional event aimed at harming the
  1801. organization through its AREA OF WEAKNESS. FRAUD is defined as an
  1802. act or instance of deception or trickery.
  1803.  
  1804. MALICE is also an intentional event aimed at harming the
  1805. organization through its AREA OF WEAKNESS. MALICE is defined as a
  1806. wilfully formed event designed to do another an injury.
  1807.  
  1808. STRATEGIC ATTACK is a more organized, broad-based assault by
  1809. usually more than one person on the organization through its
  1810. AREA OF WEAKNESS.
  1811.  
  1812.  
  1813.  
  1814.  
  1815.  
  1816.  
  1817. Print Risk Estimate Detail Sheet
  1818.  
  1819.  
  1820. Report Layout
  1821.  
  1822.  
  1823. -----------------------------------------------------------------
  1824. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  1825. . Risk Estimate Detail Sheet                                    .
  1826. . mm/dd/yyyy   hh:mm:ss                                         .
  1827. .                                                               .
  1828. .                                                               .
  1829. .     Study                           :                         .
  1830. .     System                          :                         .
  1831. .     Sub-System                      :                         .
  1832. .     Topic                           :                         .
  1833. .     Sub-Topic                       :                         .
  1834. .     Probability of Event                                      .
  1835. .       (00:Low; 50:Medium; 99:High)  :                         . 
  1836. .     Event Probability Description   :                         .
  1837. .     Action to be Taken              :                         .
  1838. .     Cost of Impact                                            .
  1839. .       (00:Low; 50:Medium; 99:High)  :                         .
  1840. .     Cost of Impact Description      :                         .
  1841. .     Action to be Taken              :                         .
  1842. -----------------------------------------------------------------
  1843.  
  1844. Description
  1845.  
  1846. In this report, the details for a particular THREAT to an AREA OF
  1847. WEAKNESS are printed.
  1848.  
  1849. Screen Options
  1850.  
  1851. ALL fields are PROTECTED.
  1852.  
  1853. The TOPIC would typically cover the group representing a threat -
  1854. - for example, computer hackers.
  1855.  
  1856. The SUB-TOPIC would typically cover potential actions by the
  1857. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  1858. hackers(TOPIC).
  1859.  
  1860. The PROBABILITY OF the EVENT is next examined. A value between 0
  1861. and 99 should be entered (0 is the default, implying zero
  1862. probability). This field looks at what is the likelihood that the
  1863. event will occur ? Following is the description explaining WHY
  1864. that probability level was chosen, followed by the corrective
  1865. action to be taken, if any.
  1866.  
  1867. Finally, the COST OF the IMPACT of the event -- independent of
  1868. the probability of the event happening -- is reviewed in a method
  1869. identical with that of the PROBABILITY OF EVENT shown above.
  1870. Print Summary Report
  1871.  
  1872.  
  1873. Description
  1874.  
  1875.  
  1876. The 'Print Summary Report' option prints all areas of POTENTIAL
  1877. RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM -- and within
  1878. those criteria, different area of WEAKNESSES and POTENTIAL
  1879. THREATS. Average values for the PROBABILITY OF EVENT and the 
  1880. COST OF IMPACT are calculated.
  1881.  
  1882. FIRST, the selection of the 'Print Summary Report' option on the
  1883. Main Menu is made. Please see the Main Menu section for further
  1884. information.
  1885.  
  1886. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
  1887. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
  1888.  
  1889. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
  1890. Tornadoes, or Snowstorms. 
  1891.  
  1892. SYSTEM name refers to the area of the organization with related
  1893. to the main lines of business. For an oil company, this would be
  1894. typically Refining and Marketing; for a Bank, it may be Treasury,
  1895. Investment Banking and Retail Banking.
  1896.  
  1897. SUB-SYSTEM name refers to the particular business applications
  1898. within the main lines of business -- for example, the accounts
  1899. receivable system in the Marketing area, or the Traders
  1900. Information System in a Bank. For more information, please see
  1901. the Main Sub-Menu section.
  1902.  
  1903. Finally, the reports are printed. Information on the fields is
  1904. presented below. At the time of printing, a message stating that
  1905. the report is current printing appears on the screen.
  1906.  
  1907.  
  1908. AREAS OF WEAKNESS can be distinguished from the potential threats
  1909. in the that the former is passive and should be protected, while
  1910. the latter is active and affects the former by its actions. AREAS
  1911. OF WEAKNESS are inherent characteristics of a system that could
  1912. let a threat act upon an asset, causing a harmful event. THREATS
  1913. capitalize upon these AREAS OF WEAKNESS to breach
  1914. safeguards and cause a loss. Complex systems are more likely to
  1915. have greater AREAS OF WEAKNESS than simple systems, due to the
  1916. presence of more exposures not covered by existing security
  1917. procedures.
  1918.  
  1919.  
  1920. AREAS OF WEAKNESS include the following :
  1921.  
  1922. DATA
  1923.  
  1924. These assets may be on storage media, input forms, or output
  1925. listings.
  1926.  
  1927.  
  1928. SOFTWARE
  1929.  
  1930. Software assets generally exceed hardware in value, and consist
  1931. of both system and application programs.
  1932.  
  1933.  
  1934. HARDWARE
  1935.  
  1936. These assets include terminals, computers, and associated
  1937. equipment.
  1938.  
  1939.  
  1940. FACILITIES
  1941.  
  1942. These are the physical entities of the environment, such as
  1943. security alarms, utility back-ups, and real property.
  1944.  
  1945.  
  1946. MEDIA & SUPPLIES
  1947.  
  1948. Stocks of blank forms, tapes and paper are examples of media
  1949. assets.
  1950.  
  1951.  
  1952. PEOPLE
  1953.  
  1954. Any of the stakeholders in the organization -- for example,
  1955. employees, managers, executives, shareholders, government or
  1956. even the public.
  1957.  
  1958.  
  1959.  
  1960. COMMUNICATIONS
  1961.  
  1962. Corporate network and internal data processing links are examples
  1963. of communications.
  1964.  
  1965.  
  1966. A THREAT is an aspect of the environment that, when given an
  1967. opportunity, can cause a harmful event(a partial or complete loss
  1968. of a corporate asset) by acting upon an asset.
  1969.  
  1970. THREATS fall into two main categories -- intentional and
  1971. probabilistic.
  1972.  
  1973. Intentional THREATS are performed by people seeking to harm the
  1974. organization by stealing or disrupting assets. THEFT, FRAUD,
  1975. MALICE, and STRATEGIC ATTACK fall into this category.
  1976.  
  1977. Probabilistic THREATS may occur as a result of HUMAN ERROR
  1978. precipitating threats involving procedures, programs, systems
  1979. software, and also EQUIPMENT FAILURE encompassing computer or
  1980. support equipment. Alternatively, NATURAL HAZARDS may also occur
  1981. -- storms, power loss, earthquakes, flooding, water damage, and
  1982. fire.
  1983.  
  1984. THREATS include the following :
  1985.  
  1986.  
  1987. NATURAL HAZARDS are probabilistic events such as hurricanes,
  1988. floods, mud slides, cold weather that can have a harmful affect
  1989. on an AREA OF WEAKNESS.
  1990.  
  1991. EQUIPMENT FAILURE covers probabilistic events such as hardware
  1992. failures or sabotage. Damage to a mainframe by a disgruntled
  1993. employee is an example of a harmful effect to an AREA OF
  1994. WEAKNESS.
  1995.  
  1996. HUMAN ERROR is yet another probabilistic event that covers
  1997. mistakes made by staff or others (for example, external
  1998. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
  1999.  
  2000. THEFT is, on the other hand, an intentional event aimed at
  2001. harming the organization through its AREA OF WEAKNESS. THEFT is
  2002. defined as the act or crime of stealing.
  2003.  
  2004. FRAUD is also an intentional event aimed at harming the
  2005. organization through its AREA OF WEAKNESS. FRAUD is defined as an
  2006. act or instance of deception or trickery.
  2007.  
  2008. MALICE is also an intentional event aimed at harming the
  2009. organization through its AREA OF WEAKNESS. MALICE is defined as a
  2010. wilfully formed event designed to do another an injury.
  2011.  
  2012. STRATEGIC ATTACK is a more organized, broad-based assault by
  2013. usually more than one person on the organization through its
  2014. AREA OF WEAKNESS.
  2015.  
  2016.  
  2017. The average PROBABILITY OF EVENT, and the average COST OF IMPACT
  2018. are then printed.
  2019.  
  2020.  
  2021. Print Summary Report
  2022.  
  2023.  
  2024. Report Layout
  2025.  
  2026.  
  2027. -----------------------------------------------------------------
  2028. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  2029. . Summary Report                                                .
  2030. . mm/dd/yyyy   hh:mm:ss                                         .
  2031. .                                                               .
  2032. .                                                               .
  2033. .     Study                           :                         .
  2034. .     System                          :                         .
  2035. .     Sub-System                      :                         .
  2036. .     Weakness                        :                         .
  2037. .     Threat                          :                         .
  2038. .     Probability of Event                                      .
  2039. .       (00:Low; 50:Medium; 99:High)  :                         . 
  2040. .     Cost of Impact                                            .
  2041. .       (00:Low; 50:Medium; 99:High)  :                         .
  2042. -----------------------------------------------------------------
  2043.  
  2044. Description
  2045.  
  2046. In this report, the average values for a particular THREAT to an
  2047. AREA OF WEAKNESS are printed.
  2048.  
  2049. Screen Options
  2050.  
  2051. ALL fields are PROTECTED.
  2052.  
  2053. The TOPIC would typically cover the group representing a threat -
  2054. - for example, computer hackers.
  2055.  
  2056. The SUB-TOPIC would typically cover potential actions by the
  2057. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  2058. hackers(TOPIC).
  2059.  
  2060. The PROBABILITY OF the EVENT is next examined. A value between 0
  2061. and 99 is averaged (0 is the default, implying zero
  2062. probability). This field looks at what is the likelihood that the
  2063. event will occur ? 
  2064.  
  2065. Finally, the COST OF the IMPACT of the event -- independent of
  2066. the probability of the event happening -- is averaged in a method
  2067. identical with that of the PROBABILITY OF EVENT shown above.
  2068.  
  2069. Browse All Studies
  2070.  
  2071.  
  2072. Description
  2073.  
  2074.  
  2075. The 'Browse All Studies' option displays all areas of POTENTIAL
  2076. RISK for all STUDY, SYSTEM, and SUB-SYSTEM -- and within those
  2077. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
  2078.  
  2079. FIRST, the selection of the 'Browse All Studies' option on the
  2080. Main Menu is made. Please see the Main Menu section for further
  2081. information.
  2082.  
  2083. The information on the database is then displayed.
  2084.  
  2085. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
  2086. Tornadoes, or Snowstorms. 
  2087.  
  2088. SYSTEM name refers to the area of the organization with related
  2089. to the main lines of business. For an oil company, this would be
  2090. typically Refining and Marketing; for a Bank, it may be Treasury,
  2091. Investment Banking and Retail Banking.
  2092.  
  2093. SUB-SYSTEM name refers to the particular business applications
  2094. within the main lines of business -- for example, the accounts
  2095. receivable system in the Marketing area, or the Traders
  2096. Information System in a Bank. 
  2097.  
  2098. The TOPIC would typically cover the group representing a threat -
  2099. - for example, computer hackers.
  2100.  
  2101. The SUB-TOPIC would typically cover potential actions by the
  2102. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  2103. hackers(TOPIC).
  2104.  
  2105. AREAS OF WEAKNESS can be distinguished from the potential threats
  2106. in the that the former is passive and should be protected, while
  2107. the latter is active and affects the former by its actions. AREAS
  2108. OF WEAKNESS are inherent characteristics of a system that could
  2109. let a threat act upon an asset, causing a harmful event. THREATS
  2110. capitalize upon these AREAS OF WEAKNESS to breach
  2111. safeguards and cause a loss. Complex systems are more likely to
  2112. have greater AREAS OF WEAKNESS than simple systems, due to the
  2113. presence of more exposures not covered by existing security
  2114. procedures.
  2115.  
  2116.  
  2117. AREAS OF WEAKNESS include the following :
  2118.  
  2119. DATA
  2120.  
  2121. These assets may be on storage media, input forms, or output
  2122. listings.
  2123.  
  2124.  
  2125. SOFTWARE
  2126.  
  2127. Software assets generally exceed hardware in value, and consist
  2128. of both system and application programs.
  2129.  
  2130.  
  2131. HARDWARE
  2132.  
  2133. These assets include terminals, computers, and associated
  2134. equipment.
  2135.  
  2136.  
  2137. FACILITIES
  2138.  
  2139. These are the physical entities of the environment, such as
  2140. security alarms, utility back-ups, and real property.
  2141.  
  2142.  
  2143. MEDIA & SUPPLIES
  2144.  
  2145. Stocks of blank forms, tapes and paper are examples of media
  2146. assets.
  2147.  
  2148.  
  2149. PEOPLE
  2150.  
  2151. Any of the stakeholders in the organization -- for example,
  2152. employees, managers, executives, shareholders, government or
  2153. even the public.
  2154.  
  2155.  
  2156. COMMUNICATIONS
  2157.  
  2158. Corporate network and internal data processing links are examples
  2159. of communications.
  2160.  
  2161.  
  2162. A THREAT is an aspect of the environment that, when given an
  2163. opportunity, can cause a harmful event(a partial or complete loss
  2164. of a corporate asset) by acting upon an asset.
  2165.  
  2166. THREATS fall into two main categories -- intentional and
  2167. probabilistic.
  2168.  
  2169. Intentional THREATS are performed by people seeking to harm the
  2170. organization by stealing or disrupting assets. THEFT, FRAUD,
  2171. MALICE, and STRATEGIC ATTACK fall into this category.
  2172.  
  2173. Probabilistic THREATS may occur as a result of HUMAN ERROR
  2174. precipitating threats involving procedures, programs, systems
  2175. software, and also EQUIPMENT FAILURE encompassing computer or
  2176. support equipment. Alternatively, NATURAL HAZARDS may also occur
  2177. -- storms, power loss, earthquakes, flooding, water damage, and
  2178. fire.
  2179.  
  2180. THREATS include the following :
  2181.  
  2182.  
  2183. NATURAL HAZARDS are probabilistic events such as hurricanes,
  2184. floods, mud slides, cold weather that can have a harmful affect
  2185. on an AREA OF WEAKNESS.
  2186.  
  2187. EQUIPMENT FAILURE covers probabilistic events such as hardware
  2188. failures or sabotage. Damage to a mainframe by a disgruntled
  2189. employee is an example of a harmful effect to an AREA OF
  2190. WEAKNESS.
  2191.  
  2192. HUMAN ERROR is yet another probabilistic event that covers
  2193. mistakes made by staff or others (for example, external
  2194. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
  2195.  
  2196. THEFT is, on the other hand, an intentional event aimed at
  2197. harming the organization through its AREA OF WEAKNESS. THEFT is
  2198. defined as the act or crime of stealing.
  2199.  
  2200. FRAUD is also an intentional event aimed at harming the
  2201. organization through its AREA OF WEAKNESS. FRAUD is defined as an
  2202. act or instance of deception or trickery.
  2203.  
  2204. MALICE is also an intentional event aimed at harming the
  2205. organization through its AREA OF WEAKNESS. MALICE is defined as a
  2206. wilfully formed event designed to do another an injury.
  2207.  
  2208. STRATEGIC ATTACK is a more organized, broad-based assault by
  2209. usually more than one person on the organization through its
  2210. AREA OF WEAKNESS.
  2211.  
  2212.  
  2213.  
  2214.  
  2215.  
  2216.  
  2217.  
  2218.  
  2219.  
  2220.  
  2221.  
  2222.  
  2223.  
  2224. Browse All Records
  2225.  
  2226.  
  2227. Screen Layout
  2228.  
  2229.  
  2230. -----------------------------------------------------------------
  2231. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
  2232. . Browse All Records                                            .
  2233. . mm/dd/yyyy   hh:mm:ss                                         .
  2234. . Press ESC to exit                                             .
  2235. .     Next Record ?                   :                         .
  2236. .     Exit ?                          :                         .
  2237. .                                                               .
  2238. .     Study                           :                         .
  2239. .     System                          :                         .
  2240. .     Sub-System                      :                         .
  2241. .     Topic                           :                         .
  2242. .     Sub-Topic                       :                         .
  2243. .     Probability of Event                                      .
  2244. .       (00:Low; 50:Medium; 99:High)  :                         . 
  2245. .     Event Probability Description   :                         .
  2246. .     Action to be Taken              :                         .
  2247. .     Cost of Impact                                            .
  2248. .       (00:Low; 50:Medium; 99:High)  :                         .
  2249. .     Cost of Impact Description      :                         .
  2250. .     Action to be Taken              :                         .
  2251. -----------------------------------------------------------------
  2252.  
  2253. Description
  2254.  
  2255. In this report, the details for a particular THREAT to an AREA OF
  2256. WEAKNESS are printed.
  2257.  
  2258. Screen Options
  2259.  
  2260. ALL fields are PROTECTED.
  2261.  
  2262. The TOPIC would typically cover the group representing a threat -
  2263. - for example, computer hackers.
  2264.  
  2265. The SUB-TOPIC would typically cover potential actions by the
  2266. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
  2267. hackers(TOPIC).
  2268.  
  2269. The PROBABILITY OF the EVENT is next examined. A value between 0
  2270. and 99 should be entered (0 is the default, implying zero
  2271. probability). This field looks at what is the likelihood that the
  2272. event will occur ? Following is the description explaining WHY
  2273. that probability level was chosen, followed by the corrective
  2274. action to be taken, if any.
  2275.  
  2276.  
  2277. Finally, the COST OF the IMPACT of the event -- independent of
  2278. the probability of the event happening -- is reviewed in a method
  2279. identical with that of the PROBABILITY OF EVENT shown above.
  2280.  
  2281. Delete All Records (Exclusive Control)
  2282.  
  2283.  
  2284. Description
  2285.  
  2286.  
  2287. The 'Delete All Records' option physically removes all records
  2288. from the database.
  2289.  
  2290. Please note that exclusive control of the database is required
  2291. for this function to operate.
  2292.  
  2293. No screens are displayed, but the Main Menu is re-displayed after
  2294. the completion of the operation.
  2295.  
  2296.  
  2297. Quit
  2298.  
  2299.  
  2300. Description
  2301.  
  2302. The 'Quit' option closes the application and returns to DOS. 
  2303.                                 
  2304.  
  2305.                              Index
  2306. Add Study
  2307.      Description . . . . . . . . . . . . . . . . . . . . . . . 16
  2308. Commands
  2309.      general . . . . . . . . . . . . . . . . . . . . . . . . . 11
  2310. Description
  2311.      Add Study . . . . . . . . . . . . . . . . . . . . . . . . 16
  2312.      Main Menu . . . . . . . . . . . . . . . . . . . . . . . . 13
  2313.      Main Sub-Menu . . . . . . . . . . . . . . . . . . . . . . 15
  2314. Installation . . . . . . . . . . . . . . . . . . . . . . . . . 10
  2315. License Agreement  . . . . . . . . . . . . . . . . . . . . . .  5
  2316. Main Menu  . . . . . . . . . . . . . . . . . . . . . . . . . . 13
  2317.      Description . . . . . . . . . . . . . . . . . . . . . . . 13
  2318.      Screen Layout . . . . . . . . . . . . . . . . . . . . . . 13
  2319.      Screen Options  . . . . . . . . . . . . . . . . . . . . . 13
  2320. Main Sub-Menu
  2321.      Description . . . . . . . . . . . . . . . . . . . . . . . 15
  2322.      Screen Layout . . . . . . . . . . . . . . . . . . . . . . 15
  2323.      Screen Options  . . . . . . . . . . . . . . . . . . . . . 15
  2324. Order Form . . . . . . . . . . . . . . . . . . . . . . . . . .  4
  2325. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . .  8
  2326. Risk management
  2327.      definition  . . . . . . . . . . . . . . . . . . . . . . .  9
  2328. Screen Layout
  2329.      Main Menu . . . . . . . . . . . . . . . . . . . . . . . . 13
  2330.      Main Sub-Menu . . . . . . . . . . . . . . . . . . . . . . 15
  2331. Screen Options
  2332.      Main Menu . . . . . . . . . . . . . . . . . . . . . . . . 13
  2333.      Main Sub-Menu . . . . . . . . . . . . . . . . . . . . . . 15
  2334. System Diagram . . . . . . . . . . . . . . . . . . . . . . . . 12
  2335. System Requirements  . . . . . . . . . . . . . . . . . . . . .  7
  2336. Warranty, limited
  2337.        . . . . . . . . . . . . . . . . . . . . . . . . . . . .  6
  2338.