home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Tools & Utilities / Collection of Tools and Utilities.iso / dskut / risk10.zip / RISKIT.TXT

< prev

Wrap

Text File  |  1994-03-26  |  79KB  |  2,338 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9.                               
10.                      R I S K I T  1.0   (TM)
11.  
12.  
13.  
14.                     Risk Assessment Software
15.  
16.  
17.  
18.                           Users Manual
19.  
20.  
21.  
22.  
23.  
24.  
25.  
26.  
27.  
28.  
29.  
30.  
31.  Copyright (c) 1994 Brian Risman Associates All Rights Reserved
32.  
33.  
34.  
35.  
36.  
37.  
38.  
39.  
40.  
41.  
42.  
43.  
44.  
45.  
46.  
47.  
48.  
49.  
50.  
51.  
52.                        Table of Contents
53.  
54.  
55. Order Form . . . . . . . . . . . . . . . . . . . . . . . . .    4
56.  
57. License Agreement  . . . . . . . . . . . . . . . . . . . . .    5
58.  
59. Limited Warranty . . . . . . . . . . . . . . . . . . . . . .    6
60.  
61. System Requirements  . . . . . . . . . . . . . . . . . . . .    7
62.  
63. Overview . . . . . . . . . . . . . . . . . . . . . . . . . .    8
64.  
65. What is Risk Management ?  . . . . . . . . . . . . . . . . .    9
66.  
67. Installation . . . . . . . . . . . . . . . . . . . . . . . .   10
68.  
69. General Commands . . . . . . . . . . . . . . . . . . . . . .   11
70.  
71. System Diagram . . . . . . . . . . . . . . . . . . . . . . .   12
72.  
73. Main Menu  . . . . . . . . . . . . . . . . . . . . . . . . .   13
74.      Screen Layout . . . . . . . . . . . . . . . . . . . . .   13
75.      Description . . . . . . . . . . . . . . . . . . . . . .   13
76.      Screen Options  . . . . . . . . . . . . . . . . . . . .   13
77.  
78. Main Sub-Menu  . . . . . . . . . . . . . . . . . . . . . . .   15
79.      Screen Layout . . . . . . . . . . . . . . . . . . . . .   15
80.      Description . . . . . . . . . . . . . . . . . . . . . .   15
81.      Screen Options  . . . . . . . . . . . . . . . . . . . .   15
82.  
83. Add Study  . . . . . . . . . . . . . . . . . . . . . . . . .   16
84.      Description . . . . . . . . . . . . . . . . . . . . . .   16
85.      Area of Weakness Selection Screen Layout  . . . . . . .   18
86.      Description . . . . . . . . . . . . . . . . . . . . . .   18
87.      Screen Options  . . . . . . . . . . . . . . . . . . . .   18
88.      Potential Area of Threat Selection Screen Layout  . . .   20
89.      Description . . . . . . . . . . . . . . . . . . . . . .   20
90.      Screen Options  . . . . . . . . . . . . . . . . . . . .   21
91.      Add Study Case Input Screen Layout  . . . . . . . . . .   22
92.      Description . . . . . . . . . . . . . . . . . . . . . .   22
93.      Screen Options
94.  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .   22
95.  
96. Modify Study . . . . . . . . . . . . . . . . . . . . . . . .   24
97.      Description . . . . . . . . . . . . . . . . . . . . . .   24
98.      Area of Weakness Selection Screen Layout  . . . . . . .   26
99.      Description . . . . . . . . . . . . . . . . . . . . . .   26
100.      Screen Options  . . . . . . . . . . . . . . . . . . . .   26
101.      Potential Area of Threat Selection Screen Layout  . . .   28
102.      Description . . . . . . . . . . . . . . . . . . . . . .   28
103.      Screen Options  . . . . . . . . . . . . . . . . . . . .   29
104.      Modify Study Case Input Screen Layout . . . . . . . . .   30
105.      Description . . . . . . . . . . . . . . . . . . . . . .   30
106.      Screen Options  . . . . . . . . . . . . . . . . . . . .   30
107.  
108. Delete Study . . . . . . . . . . . . . . . . . . . . . . . .   32
109.      Description . . . . . . . . . . . . . . . . . . . . . .   32
110.      Area of Weakness Selection Screen Layout  . . . . . . .   34
111.      Description . . . . . . . . . . . . . . . . . . . . . .   34
112.      Screen Options  . . . . . . . . . . . . . . . . . . . .   34
113.      Potential Area of Threat Selection Screen Layout  . . .   36
114.      Description . . . . . . . . . . . . . . . . . . . . . .   36
115.      Screen Options  . . . . . . . . . . . . . . . . . . . .   37
116.      Delete Study Case Input Screen Layout . . . . . . . . .   38
117.      Description
118.  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .   38
119.      Screen Options  . . . . . . . . . . . . . . . . . . . .   38
120.  
121. Print Risk Estimate Detail Sheet . . . . . . . . . . . . . .   40
122.      Description . . . . . . . . . . . . . . . . . . . . . .   40
123.      Report Layout . . . . . . . . . . . . . . . . . . . . .   43
124.      Description . . . . . . . . . . . . . . . . . . . . . .   43
125.      Screen Options  . . . . . . . . . . . . . . . . . . . .   43
126.  
127. Print Summary Report . . . . . . . . . . . . . . . . . . . .   44
128.      Description . . . . . . . . . . . . . . . . . . . . . .   44
129.      Report Layout . . . . . . . . . . . . . . . . . . . . .   47
130.      Description . . . . . . . . . . . . . . . . . . . . . .   47
131.      Screen Options  . . . . . . . . . . . . . . . . . . . .   47
132.  
133. Browse All Studies . . . . . . . . . . . . . . . . . . . . .   48
134.      Description . . . . . . . . . . . . . . . . . . . . . .   48
135.      Screen Layout . . . . . . . . . . . . . . . . . . . . .   51
136.      Description . . . . . . . . . . . . . . . . . . . . . .   51
137.      Screen Options  . . . . . . . . . . . . . . . . . . . .   51
138.  
139. Delete All Records (Exclusive Control) . . . . . . . . . . .   53
140.      Description . . . . . . . . . . . . . . . . . . . . . .   53
141.  
142. Quit . . . . . . . . . . . . . . . . . . . . . . . . . . . .   54
143.      Description . . . . . . . . . . . . . . . . . . . . . .   54
144.  
145. Index  . . . . . . . . . . . . . . . . . . . . . . . . . . .   55
146.                         
147.                          RISKIT 1.0 (TM)
148.                            Order Form
149.  
150.  
151. To register your copy of RISKIT 1.0 (TM), please send along the
152. following form, or a reasonable facsimile, and certified cheque
153. or money order for $ 99 in United States funds, to the following
154. address :
155.  
156.                      Brian Risman Associates
157.                     1 Canyon Avenue Suite 912
158.                 North York Ontario CANADA M3H 4X8
159.  
160.  
161.  
162. Name : _______________________________________________________
163.  
164.  
165. Company : ____________________________________________________
166.  
167.  
168. Address : ____________________________________________________
169.  
170.  
171. Day Phone : ____________________ Eve Phone : _________________
172.  
173.  
174. Fax Number : ______________________
175.  
176.  
177. Bulletin Board Address (Compuserve, Internet) :
178.  
179. ______________________________________________________________
180.  
181.  
182.  
183.  
184.  
185.  
186.  
187.  
188.  
189.  
190.  
191.  
192.  
193.  
194.  
195.  
196.  
197.  
198.                         RISKIT 1.0  (TM)
199.  
200.                         License Agreement
201.  
202.  
203.  
204.  
205. Brian Risman Associates provides these programs and licenses
206. their use. You assume responsibility for selection of these
207. programs for your purposes, and for the installation, use, and
208. results from use of these programs. This software is licensed to
209. you for use as follows :
210.  
211.     1. You may use the programs on a single machine.
212.  
213.     2. You may copy the programs for the sole purpose of backup  
214.        in support of their use on a single machine.
215.  
216.     3. All copies made must include the copyright notice.
217.  
218.     4. You may transfer the programs and license to another party
219.        if the other party agrees to accept the terms and         
220.        conditions of this Agreement.
221.  
222.     5. If you transfer the program you must, at the same time,   
223.        transfer all copies of the program or destroy any copies
224.        not transferred.
225.  
226.     6. YOU MAY NOT USE, COPY, OR TRANSFER THE PROGRAMS OR ANY    
227.        COPY IN WHOLE OR PART, EXCEPT AS EXPRESSLY PROVIDED FOR IN
228.        THIS LICENSE. IF YOU TRANSFER POSSESSION OF ANY COPY
229.        TO ANOTHER PARTY, YOUR LICENSE IS AUTOMATICALLY           
230.        TERMINATED.
231.  
232.     7. This license shall be construed, interpreted, and governed
233.        by the laws of the Province of Ontario and the Federal
234.        Government of Canada as applied in the Province of       
235.        Ontario.
236.   
237. This license is effective until terminated. You may terminate the
238. license by destroying the programs together with all copies in
239. any form. This license will also be terminated if you fail to
240. comply with any term or condition of this license. You agree upon
241. such termination to return the programs together will all the
242. copies to Brian Risman
243. Associates and the purchaser shall be liable for any and all
244. damages suffered as a result of the violation or default. You may
245. not sub-license, assign or transfer the programs or any rights
246. under this license to any third party except as permitted under
247. this license. Any attempt otherwise to sub-license, assign, or
248. transfer the programs or any rights under the license is void.
249.  
250.                      R I S K I T  1.0  (TM)
251.  
252.                         Limited Warranty
253.  
254. These programs are a product of Brian Risman Associates.
255.  
256. The programs contained in this package are provided "AS IS"
257. without warranty of any kind, either express or implied,
258. including, but not limited to, the implied warranties of merchant
259. ability and fitness for a particular purpose. The entire risk
260. related to the quality and performance of the programs is on you.
261. In the event there is any defect, you assume the entire cost of
262. all necessary servicing, repair or correction. Some states do not
263. allow the exclusion of implied warranties, so the above
264. exclusions may not apply to you. This warranty gives you specific
265. legal rights and you may also have other rights which vary from
266. state to state.
267.  
268. Brian Risman Associates does not warrant that the functions
269. contained within the programs will meet your requirements or that
270. the operation of the programs will be uninterrupted or error-
271. free. Brian Risman Associates warrants the diskettes on which the
272. programs are furnished to be free from defects in the materials
273. and workmanship under normal use for a period of thirty (30) days
274. from the date of delivery to you as evidenced by a copy of your
275. receipt. The entire liability of Brian Risman Associates and your
276. exclusive remedy shall be replacement of any diskette which does
277. not meet the Limited Warranty and which is returned to Brian
278. Risman Associates.
279.  
280. IN NO EVENT WILL BRIAN RISMAN ASSOCIATES BE LIABLE TO YOU FOR ANY
281. DAMAGES (INCLUDING ANY LOST PROFITS, LOST SAVINGS, OR OTHER
282. INCIDENTAL OR CONSEQUENTIAL DAMAGES EVEN IF BRIAN RISMAN
283. ASSOCIATES HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES)
284. OR FOR ANY CLAIM BY ANY OTHER PARTY. SOME STATES DO NOT ALLOW THE
285. LIMITATION OR EXCLUSION OF LIABILITY FOR INCIDENTAL OR
286. CONSEQUENTIAL DAMAGES SO THE ABOVE LIMITATIONS OR EXCLUSION MAY
287. NOT APPLY TO YOU.
288.  
289. This agreement constitutes the complete and exclusive statement
290. of the terms of the agreement between you and Brian Risman
291. Associates. This agreement supersedes and replaces any previous
292. written or oral agreement and communications relating to this
293. software. No oral or written information of advice given by Brian
294. Risman Associates, its dealers, distributors, agents or employees
295. will create any warranty or in any way increase the scope of the
296. warranty provided in this agreement, you may not rely on any
297. information or advice.
298.  
299.  
300.                      R I S K I T  1.0   (TM)
301.  
302.                        System Requirements
303.  
304.  
305. 1. IBM PC/XT/AT/386/486 or a compatible computer with a hard   
306. disk with about 1 - 2 MB storage available.
307.  
308. 2. MS-DOS version 5.0 or higher is required.
309.  
310.  
311.  
312.  
313.  
314.  
315.  
316.  
317.  
318.  
319.  
320.  
321.  
322.  
323.  
324.  
325.  
326.  
327.  
328.  
329.  
330.  
331.  
332.  
333.  
334.  
335.  
336.  
337.  
338.  
339.  
340.  
341.  
342.  
343.  
344.  
345.  
346.  
347.  
348.  
349.  
350.  
351.                      R I S K I T  1.0   (TM)
352.  
353.                             Overview
354.  
355.  
356. RISKIT 1.0 (TM) is a computer program run on the IBM PC and true
357. compatibles, which lets computer (EDP) auditors to organize and
358. assess their analysis of the potential risks in one or more
359. computer installations.
360.  
361. RISKIT 1.0 (TM) is a tool for use by those (for example, EDP
362. auditors) who are engaged in the assessment of the risks facing
363. the EDP environment. Multiple studies, and sub-studies, can be
364. carried out at the same time on RISKIT 1.0 (TM).
365.  
366. What is Risk Management ?
367.  
368. As we all know, no one can predict the future.
369.  
370. Companies and other organizations are no different. The
371. management of uncertainty is possible only through a complete
372. analysis of the risks facing the organization.
373.  
374. The first step in risk management is the analysis and measurement
375. of the risks, called risk analysis.
376.  
377. Once the risks are analyzed and measured, the next step is to 
378. control the risks by instituting an action plan containing
379. countermeasures. Please note that an action plan should be
380. simple and to the point, since in the event the plan is invoked, 
381. people are only going to be able to implement the high-level
382. principles. Rarely is the disaster so accommodating to let
383. a detail plan to be executed without alteration.
384.  
385. RISKIT 1.0 (TM) seeks to aid in risk management. 
386.  
387. The basis of RISKIT 1.0 (TM) is to carry out a STUDY on, for
388. example, the threat of Terrorism.
389.  
390. Within the STUDY, the SYSTEM to be examined is determined.
391. Typically, the SYSTEM refers to an area of an organization. For
392. an oil company, the areas may be Refining or Marketing. For a 
393. Bank : Treasury, Investment Banking and Retail Banking may be
394. the areas considered SYSTEMs.
395.  
396. And within the SYSTEM, a SUB-SYSTEM can be studied. The main
397. lines of business -- for example, the accounts receivable package
398. in the oil company's Marketing SYSTEM may be subject to a
399. Terrorism STUDY.
400.  
401. The Probability of an Event happening, and the Cost of the Impact
402. of the Event must be considered separately. An event may have a
403. low probability, but its cost may be so high that the firm may be
404. forced out of business. Therefore, an action plan of insurance,
405. for example, may be in order. Equally, an Event may have high
406. probability, but have little impact cost. Only a limited action
407. plan may be required. 
408. Installation
409.  
410. RISKIT 1.0 (TM) is initially in compressed mode, in a file called
411. RISKIT10.EXE.
412.  
413. To decompress this file, type the following from the DOS prompt :
414.  
415.            RISKIT10
416.  
417. RISKIT 1.0 (TM) will then decompress, placing the following files
418. on your disk in the directory you are currently using :
419.  
420.    RISKIT.EXE - the executable code for the RISKIT 1.0 (TM)
421.                 application
422.  
423.    RISKIT.TXT - the user manual that you are reading currently
424.  
425.    RISKIT.DBF - the RISKIT 1.0 (TM) database.
426. General Commands
427.  
428. To start the application, from the DOS prompt type the
429. following :
430.  
431.  
432.                  RISKIT
433.  
434.  
435. On every screen, you can enter ESCape to return to the Main Menu.
436.  
437. On screens with a Next Record and Exit options, you can only
438. enter "Y" or "N". The default for Next Record is "Y", and for
439. Exit "N" -- though at the logical end of the browsing you will
440. exit back to the Main Menu.
441.  
442. System Diagram
443.  
444. The following diagram shows the flow of screens in RISKIT 1.0
445. (TM) :
446.  
447. -----------------------------------------------------------------
448.  
449.                        DOS prompt > RISKIT
450.                                 v
451.                                 v
452.                                 v
453.                             Main Menu
454.                                 v
455.                                 v
456.                                 v
457.  ----------------------------------------------------------------
458.  v        v        v        v        v        v        v        v
459.  v        v        v        v        v        v        v        v
460.  v        v        v        v        v        v        v        v
461. Main              Sub       -     Menu     Browse   Delete   Quit
462.  v        v        v        v        v       All      All 
463.  v        v        v        v        v     Records  Records
464.  v        v        v        v        v
465.  v        v        v        v        v
466. Add    Modify    Delete   Print    Print
467. Study   Study    Study    Risk    Summary
468.                          Estimate  Report
469.                           Detail
470.                           Sheet  
471.  
472. -----------------------------------------------------------------
473.   
474.    
475.    
476.  
477.     
478. Main Menu
479.  
480.  
481. Screen Layout
482.  
483.  
484. -----------------------------------------------------------------
485. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
486. . Main Menu                                                     .
487. . mm/dd/yyyy   hh:mm:ss                                         .
488. .                                                               .
489. .      **** DATABASE ACTIVITY ****                              .
490. .         Add Study                                             .
491. .         Modify Study                                          .
492. .         Delete Study                                          .
493. .                                                               .
494. .      **** PRINT/DISPLAY INFORMATION ****                      .
495. .         Print Risk Estimate Detail Sheet                      .
496. .         Print Summary Report                                  .
497. .         Browse All Studies                                    .
498. .                                                               .
499. .      **** DELETE ALL RECORDS ****                             .
500. .         Delete All Records(Exclusive Control)                 .
501. .                                                               .
502. .      **** EXIT ****                                           .
503. .         Quit                                                  .
504. -----------------------------------------------------------------
505.  
506.  
507. Description
508.  
509. On the Main Menu, options for Database Activity,
510. Printing/Displaying Information on the Database, Deleting all
511. records, or Exiting the application are selected.
512.  
513.  
514. Screen Options
515.  
516. Please note that options selected above can only be selected
517. one at a time.
518.  
519. The 'Add Study' option adds areas of POTENTIAL RISK for a
520. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
521. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
522.  
523. The 'Modify Study' option modifies areas of POTENTIAL RISK for a
524. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
525. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
526.  
527. The 'Delete Study' option deletes areas of POTENTIAL RISK for a
528. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
529. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
530.  
531. The 'Print Risk Estimate Detail Sheet' option prints all areas of
532. POTENTIAL RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM --
533. and within those criteria, different area of WEAKNESSES and
534. POTENTIAL THREATS.
535.  
536. The 'Print Summary Report' option prints all areas of POTENTIAL
537. RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM -- and within
538. those criteria, different area of WEAKNESSES and POTENTIAL
539. THREATS. Average values for the PROBABILITY OF EVENT and the 
540. COST OF IMPACT are calculated.
541.  
542. The 'Browse All Studies' option displays all areas of POTENTIAL
543. RISK for all STUDY, SYSTEM, and SUB-SYSTEM -- and within those
544. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
545.  
546. The 'Delete All Records' option physically removes all records
547. from the database.
548.  
549. The 'Quit' option closes the application and returns to DOS.
550.  
551.  
552.  
553.  
554.  
555.  
556.  
557.  
558.  
559.  
560.  
561.  
562.  
563.  
564.  
565.  
566.  
567.  
568.  
569. Main Sub-Menu
570.  
571.  
572. Screen Layout
573.  
574.  
575. -----------------------------------------------------------------
576. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
577. . Main Sub-Menu                                                 .
578. . mm/dd/yyyy   hh:mm:ss                                         .
579. .                                                               .
580. .   Please enter the following information :                    .
581. .                                                               .
582. .   Study      :                                                .
583. .                                                               .
584. .   System     :                                                .
585. .                                                               .
586. .   Sub-System :                                                .
587. -----------------------------------------------------------------
588.  
589.  
590. Description
591.  
592. On the Main Sub-Menu, the area of STUDY, the SYSTEM name, and the
593. SUB-SYSTEM being targeted are selected. All three fields are 
594. mandatory.
595.  
596.  
597. Screen Options
598.  
599. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
600. Tornadoes, or Snowstorms. 
601.  
602. SYSTEM name refers to the area of the organization with related
603. to the main lines of business. For an oil company, this would be
604. typically Refining and Marketing; for a Bank, it may be Treasury,
605. Investment Banking and Retail Banking.
606.  
607. SUB-SYSTEM name refers to the particular business applications
608. within the main lines of business -- for example, the accounts
609. receivable system in the Marketing area, or the Traders
610. Information System in a Bank. For more information, please see
611. the Main Sub-Menu section.
612.  
613.  
614.  
615.  
616.  
617.  
618.  
619.  
620. Add Study
621.  
622.  
623. Description
624.  
625.  
626. The 'Add Study' option adds areas of POTENTIAL RISK for a
627. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
628. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
629.  
630. FIRST, the selection of the 'Add Study' option on the Main Menu
631. is made. Please see the Main Menu section for further
632. information.
633.  
634. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
635. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
636.  
637. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
638. Tornadoes, or Snowstorms. 
639.  
640. SYSTEM name refers to the area of the organization with related
641. to the main lines of business. For an oil company, this would be
642. typically Refining and Marketing; for a Bank, it may be Treasury,
643. Investment Banking and Retail Banking.
644.  
645. SUB-SYSTEM name refers to the particular business applications
646. within the main lines of business -- for example, the accounts
647. receivable system in the Marketing area, or the Traders
648. Information System in a Bank. For more information, please see
649. the Main Sub-Menu section.
650.  
651. THIRD, the AREAS OF WEAKNESS Selection Menu is displayed. This
652. menu focuses at the potential areas of weakness, such as the
653. data, software or hardware. 
654.  
655. AREAS OF WEAKNESS can be distinguished from the potential threats
656. in the that the former is passive and should be protected, while
657. the latter is active and affects the former by its actions. On
658. this Menu, only one selection can be made for each physical entry
659. into Add Study, but different area of weaknesses can be selected
660. at different physical entries into the Add Study option. 
661.  
662. FOURTH, the entry of data for the potential risk -- the actual
663. information added to the RISKIT 1.0 (TM) database -- is
664. performed.
665.  
666. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
667. been entered in the Main Sub-Menu referred to above.
668.  
669.  
670.  
671.  
672.  
673. The TOPIC and SUB-TOPIC are first entered.
674.  
675. The TOPIC would typically cover the group representing a threat -
676. - for example, computer hackers.
677.  
678. The SUB-TOPIC would typically cover potential actions by the
679. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
680. hackers(TOPIC).
681.  
682. The PROBABILITY OF the EVENT is next examined. A value between 0
683. and 99 should be entered (0 is the default, implying zero
684. probability). This field looks at what is the likelihood that the
685. event will occur ? Following is the description explaining WHY
686. that probability level was chosen, followed by the corrective
687. action to be taken, if any.
688.  
689. Finally, the COST OF the IMPACT of the event -- independent of
690. the probability of the event happening -- is input in a method
691. identical with that of the PROBABILITY OF EVENT shown above.
692.  
693. After this field is entered, press ENTER to add the record -- or
694. ESCape to cancel record addition and return to the Main Menu. 
695. Please note that ESCape can be entered at any time in the Data
696. Entry screen to exit back to the Main Menu.   Add Study
697.  
698.  
699. Area of Weakness Selection Screen Layout
700.  
701.  
702. -----------------------------------------------------------------
703. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
704. . Add Study                                                     .
705. . mm/dd/yyyy   hh:mm:ss                                         .
706. .                                                               .
707. .     Data                                                      .
708. .     Software                                                  .
709. .     Hardware                                                  .
710. .     Facilities                                                .
711. .     Media & Supplies                                          .
712. .     People                                                    .
713. .     Communications                                            .
714. .     Other                                                     .
715. .     Return                                                    .
716. -----------------------------------------------------------------
717.  
718.  
719. Description
720.  
721.  
722. AREAS OF WEAKNESS are inherent characteristics of a system that 
723. could let a threat act upon an asset, causing a harmful 
724. event. THREATS capitalize upon these AREAS OF WEAKNESS to breach
725. safeguards and cause a loss.
726.  
727. Complex systems are more likely to have greater AREAS OF WEAKNESS
728. than simple systems, due to the presence of more exposures not
729. covered by existing security procedures.
730.  
731. Please note that while only one AREA OF WEAKNESS can be selected
732. at a time, there is no reason that a user cannot enter 'Add
733. Study' several times to enter different AREAS OF WEAKNESS.
734.  
735.  
736. Screen Options
737.  
738. The following assets or corporate elements must be examined :
739.  
740.  
741. DATA
742.  
743. These assets may be on storage media, input forms, or output
744. listings.
745.  
746.  
747. SOFTWARE
748.  
749. Software assets generally exceed hardware in value, and consist
750. of both system and application programs.
751.  
752.  
753. HARDWARE
754.  
755. These assets include terminals, computers, and associated
756. equipment.
757.  
758.  
759. FACILITIES
760.  
761. These are the physical entities of the environment, such as
762. security alarms, utility back-ups, and real property.
763.  
764.  
765. MEDIA & SUPPLIES
766.  
767. Stocks of blank forms, tapes and paper are examples of media
768. assets.
769.  
770.  
771. PEOPLE
772.  
773. Any of the stakeholders in the organization -- for example,
774. employees, managers, executives, shareholders, government or
775. even the public.
776.  
777.  
778. COMMUNICATIONS
779.  
780. Corporate network and internal data processing links are examples
781. of communications.
782.  
783.  
784. OTHER
785.  
786. Other areas of weakness that you might want to add.
787.  
788.  
789. RETURN
790.  
791. Return to Main Menu.
792.  
793.  
794.  
795.  
796.  
797.  
798.  
799.  
800. Add Study
801.  
802.  
803. Potential Area of Threat Selection Screen Layout
804.  
805.  
806. -----------------------------------------------------------------
807. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
808. . Add Study - area of weakness                                  .
809. . mm/dd/yyyy   hh:mm:ss                                         .
810. .                                                               .
811. .     Natural Hazards                                           .
812. .     Equipment Failure                                         .
813. .     Human Error                                               .
814. .     Theft                                                     .
815. .     Fraud                                                     .
816. .     Malice                                                    .
817. .     Strategic Attack                                          .
818. .     Other                                                     .
819. .     Return                                                    .
820. -----------------------------------------------------------------
821.  
822.  
823. Description
824.  
825.  
826. A THREAT is an aspect of the environment that, when given an
827. opportunity, can cause a harmful event(a partial or complete loss
828. of a corporate asset) by acting upon an asset.
829.  
830. THREATS fall into two main categories -- intentional and
831. probabilistic.
832.  
833. Intentional THREATS are performed by people seeking to harm the
834. organization by stealing or disrupting assets. THEFT, FRAUD,
835. MALICE, and STRATEGIC ATTACK fall into this category.
836.  
837. Probabilistic THREATS may occur as a result of HUMAN ERROR
838. precipitating threats involving procedures, programs, systems
839. software, and also EQUIPMENT FAILURE encompassing computer or
840. support equipment. Alternatively, NATURAL HAZARDS may also occur
841. -- storms, power loss, earthquakes, flooding, water damage, and
842. fire.
843.  
844. Please note that while only one THREAT can be entered at a time,
845. there is no reason that more THREATs cannot be entered in 
846. subsequent 'Add Study' entries.
847.  
848.  
849.  
850.  
851.  
852.  
853. Screen Options
854.  
855.  
856. NATURAL HAZARDS are probabilistic events such as hurricanes,
857. floods, mud slides, cold weather that can have a harmful affect
858. on an AREA OF WEAKNESS.
859.  
860. EQUIPMENT FAILURE covers probabilistic events such as hardware
861. failures or sabotage. Damage to a mainframe by a disgruntled
862. employee is an example of a harmful effect to an AREA OF
863. WEAKNESS.
864.  
865. HUMAN ERROR is yet another probabilistic event that covers
866. mistakes made by staff or others (for example, external
867. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
868.  
869. THEFT is, on the other hand, an intentional event aimed at
870. harming the organization through its AREA OF WEAKNESS. THEFT is
871. defined as the act or crime of stealing.
872.  
873. FRAUD is also an intentional event aimed at harming the
874. organization through its AREA OF WEAKNESS. FRAUD is defined as an
875. act or instance of deception or trickery.
876.  
877. MALICE is also an intentional event aimed at harming the
878. organization through its AREA OF WEAKNESS. MALICE is defined as a
879. wilfully formed event designed to do another an injury.
880.  
881. STRATEGIC ATTACK is a more organized, broad-based assault by
882. usually more than one person on the organization through its
883. AREA OF WEAKNESS.
884.  
885.  
886.  
887.  
888.  
889.  
890.  
891.  
892.  
893.  
894.  
895.  
896.  
897.  
898.  
899.  
900.  
901.  
902. Add Study
903.  
904.  
905. Add Study Case Input Screen Layout
906.  
907.  
908. -----------------------------------------------------------------
909. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
910. . Add Study - area of weakness - threat                         .
911. . mm/dd/yyyy   hh:mm:ss                                         .
912. . Press ESC to cancel addition                                  .
913. .                                                               .
914. .     Study                           :                         .
915. .     System                          :                         .
916. .     Sub-System                      :                         .
917. .     Topic                           :                         .
918. .     Sub-Topic                       :                         .
919. .     Probability of Event                                      .
920. .       (00:Low; 50:Medium; 99:High)  :                         . 
921. .     Event Probability Description   :                         .
922. .     Action to be Taken              :                         .
923. .     Cost of Impact                                            .
924. .       (00:Low; 50:Medium; 99:High)  :                         .
925. .     Cost of Impact Description      :                         .
926. .     Action to be Taken              :                         .
927. -----------------------------------------------------------------
928.  
929.  
930. Description
931.  
932. In this panel, the details for a particular THREAT to an AREA OF
933. WEAKNESS are entered.
934.  
935.  
936. Screen Options
937.  
938. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
939. been entered in the Main Sub-Menu referred to above.
940.  
941. The TOPIC and SUB-TOPIC are first entered.
942.  
943. The TOPIC would typically cover the group representing a threat -
944. - for example, computer hackers.
945.  
946. The SUB-TOPIC would typically cover potential actions by the
947. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
948. hackers(TOPIC).
949.  
950. The PROBABILITY OF the EVENT is next examined. A value between 0
951. and 99 should be entered (0 is the default, implying zero
952. probability). This field looks at what is the likelihood that the
953. event will occur ? Following is the description explaining WHY
954. that probability level was chosen, followed by the corrective
955. action to be taken, if any.
956.  
957. Finally, the COST OF the IMPACT of the event -- independent of
958. the probability of the event happening -- is input in a method
959. identical with that of the PROBABILITY OF EVENT shown above.
960.  
961. After this field is entered, press ENTER to add the record -- or
962. ESCape to cancel record addition and return to the Main Menu. 
963. Please note that ESCape can be entered at any time in the Data
964. Entry screen to exit back to the Main Menu.   
965.  
966. Modify Study
967.  
968.  
969. Description
970.  
971.  
972. The 'Modify Study' option modifies areas of POTENTIAL RISK for a
973. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
974. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
975.  
976. FIRST, the selection of the 'Modify Study' option on the Main
977. Menu is made. Please see the Main Menu section for further
978. information.
979.  
980. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
981. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
982.  
983. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
984. Tornadoes, or Snowstorms. 
985.  
986. SYSTEM name refers to the area of the organization with related
987. to the main lines of business. For an oil company, this would be
988. typically Refining and Marketing; for a Bank, it may be Treasury,
989. Investment Banking and Retail Banking.
990.  
991. SUB-SYSTEM name refers to the particular business applications
992. within the main lines of business -- for example, the accounts
993. receivable system in the Marketing area, or the Traders
994. Information System in a Bank. For more information, please see
995. the Main Sub-Menu section.
996.  
997. THIRD, the AREAS OF WEAKNESS Selection Menu is displayed. This
998. menu focuses at the potential areas of weakness, such as the
999. data, software or hardware. 
1000.  
1001. AREAS OF WEAKNESS can be distinguished from the potential threats
1002. in the that the former is passive and should be protected, while
1003. the latter is active and affects the former by its actions. On
1004. this Menu, only one selection can be made for each physical entry
1005. into 'Modify Study', but different area of weaknesses can be
1006. selected at different physical entries into the Modify Study
1007. option. 
1008.  
1009. FOURTH, the modification of data for the potential risk -- the
1010. actual information added to the RISKIT 1.0 (TM) database -- is
1011. performed.
1012.  
1013. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
1014. been entered in the Main Sub-Menu referred to above.
1015.  
1016.  
1017.  
1018.  
1019.  
1020. The TOPIC and SUB-TOPIC are first entered.
1021.  
1022. The TOPIC would typically cover the group representing a threat -
1023. - for example, computer hackers.
1024.  
1025. The SUB-TOPIC would typically cover potential actions by the
1026. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
1027. hackers(TOPIC).
1028.  
1029. The PROBABILITY OF the EVENT is next examined. A value between 0
1030. and 99 should be entered (0 is the default, implying zero
1031. probability). This field looks at what is the likelihood that the
1032. event will occur ? Following is the description explaining WHY
1033. that probability level was chosen, followed by the corrective
1034. action to be taken, if any.
1035.  
1036. Finally, the COST OF the IMPACT of the event -- independent of
1037. the probability of the event happening -- is input in a method
1038. identical with that of the PROBABILITY OF EVENT shown above.
1039.  
1040. After this field is entered, press ENTER to modify the record --
1041. or ESCape to cancel record modification and return to the Main
1042. Menu. Please note that ESCape can be entered at any time in the
1043. Data Entry screen to exit back to the Main Menu.   Modify Study
1044.  
1045.  
1046. Area of Weakness Selection Screen Layout
1047.  
1048.  
1049. -----------------------------------------------------------------
1050. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
1051. . Modify Study                                                  . 
1052. . mm/dd/yyyy   hh:mm:ss                                         .
1053. .                                                               .
1054. .     Data                                                      .
1055. .     Software                                                  .
1056. .     Hardware                                                  .
1057. .     Facilities                                                .
1058. .     Media & Supplies                                          .
1059. .     People                                                    .
1060. .     Communications                                            .
1061. .     Other                                                     .
1062. .     Return                                                    .
1063. -----------------------------------------------------------------
1064.  
1065.  
1066. Description
1067.  
1068.  
1069. AREAS OF WEAKNESS are inherent characteristics of a system that 
1070. could let a threat act upon an asset, causing a harmful 
1071. event. THREATS capitalize upon these AREAS OF WEAKNESS to breach
1072. safeguards and cause a loss.
1073.  
1074. Complex systems are more likely to have greater AREAS OF WEAKNESS
1075. than simple systems, due to the presence of more exposures not
1076. covered by existing security procedures.
1077.  
1078. Please note that while only one AREA OF WEAKNESS can be selected
1079. at a time, there is no reason that a user cannot enter 'Modify
1080. Study' several times to modify different AREAS OF WEAKNESS.
1081.  
1082.  
1083. Screen Options
1084.  
1085. The following assets or corporate elements must be examined :
1086.  
1087.  
1088. DATA
1089.  
1090. These assets may be on storage media, input forms, or output
1091. listings.
1092.  
1093.  
1094. SOFTWARE
1095.  
1096. Software assets generally exceed hardware in value, and consist
1097. of both system and application programs.
1098.  
1099.  
1100. HARDWARE
1101.  
1102. These assets include terminals, computers, and associated
1103. equipment.
1104.  
1105.  
1106. FACILITIES
1107.  
1108. These are the physical entities of the environment, such as
1109. security alarms, utility back-ups, and real property.
1110.  
1111.  
1112. MEDIA & SUPPLIES
1113.  
1114. Stocks of blank forms, tapes and paper are examples of media
1115. assets.
1116.  
1117.  
1118. PEOPLE
1119.  
1120. Any of the stakeholders in the organization -- for example,
1121. employees, managers, executives, shareholders, government or
1122. even the public.
1123.  
1124.  
1125. COMMUNICATIONS
1126.  
1127. Corporate network and internal data processing links are examples
1128. of communications.
1129.  
1130.  
1131. OTHER
1132.  
1133. Other areas of weakness that you might want to modify.
1134.  
1135.  
1136. RETURN
1137.  
1138. Return to Main Menu.
1139.  
1140.  
1141.  
1142.  
1143.  
1144.  
1145.  
1146.  
1147. Modify Study
1148.  
1149.  
1150. Potential Area of Threat Selection Screen Layout
1151.  
1152.  
1153. -----------------------------------------------------------------
1154. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
1155. . Modify Study - area of weakness                               .
1156. . mm/dd/yyyy   hh:mm:ss                                         .
1157. .                                                               .
1158. .     Natural Hazards                                           .
1159. .     Equipment Failure                                         .
1160. .     Human Error                                               .
1161. .     Theft                                                     .
1162. .     Fraud                                                     .
1163. .     Malice                                                    .
1164. .     Strategic Attack                                          .
1165. .     Other                                                     .
1166. .     Return                                                    .
1167. -----------------------------------------------------------------
1168.  
1169.  
1170. Description
1171.  
1172.  
1173. A THREAT is an aspect of the environment that, when given an
1174. opportunity, can cause a harmful event(a partial or complete loss
1175. of a corporate asset) by acting upon an asset.
1176.  
1177. THREATS fall into two main categories -- intentional and
1178. probabilistic.
1179.  
1180. Intentional THREATS are performed by people seeking to harm the
1181. organization by stealing or disrupting assets. THEFT, FRAUD,
1182. MALICE, and STRATEGIC ATTACK fall into this category.
1183.  
1184. Probabilistic THREATS may occur as a result of HUMAN ERROR
1185. precipitating threats involving procedures, programs, systems
1186. software, and also EQUIPMENT FAILURE encompassing computer or
1187. support equipment. Alternatively, NATURAL HAZARDS may also occur
1188. -- storms, power loss, earthquakes, flooding, water damage, and
1189. fire.
1190.  
1191. Please note that while only one THREAT can be modified at a time,
1192. there is no reason that more THREATs cannot be modified in 
1193. subsequent 'Modify Study' entries.
1194.  
1195.  
1196.  
1197.  
1198.  
1199.  
1200. Screen Options
1201.  
1202.  
1203. NATURAL HAZARDS are probabilistic events such as hurricanes,
1204. floods, mud slides, cold weather that can have a harmful affect
1205. on an AREA OF WEAKNESS.
1206.  
1207. EQUIPMENT FAILURE covers probabilistic events such as hardware
1208. failures or sabotage. Damage to a mainframe by a disgruntled
1209. employee is an example of a harmful effect to an AREA OF
1210. WEAKNESS.
1211.  
1212. HUMAN ERROR is yet another probabilistic event that covers
1213. mistakes made by staff or others (for example, external
1214. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
1215.  
1216. THEFT is, on the other hand, an intentional event aimed at
1217. harming the organization through its AREA OF WEAKNESS. THEFT is
1218. defined as the act or crime of stealing.
1219.  
1220. FRAUD is also an intentional event aimed at harming the
1221. organization through its AREA OF WEAKNESS. FRAUD is defined as an
1222. act or instance of deception or trickery.
1223.  
1224. MALICE is also an intentional event aimed at harming the
1225. organization through its AREA OF WEAKNESS. MALICE is defined as a
1226. wilfully formed event designed to do another an injury.
1227.  
1228. STRATEGIC ATTACK is a more organized, broad-based assault by
1229. usually more than one person on the organization through its
1230. AREA OF WEAKNESS.
1231.  
1232.  
1233.  
1234.  
1235.  
1236.  
1237.  
1238.  
1239.  
1240.  
1241.  
1242.  
1243.  
1244.  
1245.  
1246.  
1247.  
1248.  
1249. Modify Study
1250.  
1251.  
1252. Modify Study Case Input Screen Layout
1253.  
1254.  
1255. -----------------------------------------------------------------
1256. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
1257. . Modify Study - area of weakness - threat                      .
1258. . mm/dd/yyyy   hh:mm:ss                                         .
1259. . Press ESC to cancel modification                              .
1260. .     Next Record ?                   :                         .
1261. .     Exit ?                          :                         .
1262. .                                                               .
1263. .     Study                           :                         .
1264. .     System                          :                         .
1265. .     Sub-System                      :                         .
1266. .     Topic                           :                         .
1267. .     Sub-Topic                       :                         .
1268. .     Probability of Event                                      .
1269. .       (00:Low; 50:Medium; 99:High)  :                         . 
1270. .     Event Probability Description   :                         .
1271. .     Action to be Taken              :                         .
1272. .     Cost of Impact                                            .
1273. .       (00:Low; 50:Medium; 99:High)  :                         .
1274. .     Cost of Impact Description      :                         .
1275. .     Action to be Taken              :                         .
1276. -----------------------------------------------------------------
1277.  
1278.  
1279. Description
1280.  
1281. In this panel, the details for a particular THREAT to an AREA OF
1282. WEAKNESS are modified.
1283.  
1284.  
1285. Screen Options
1286.  
1287. The STUDY, SYSTEM, and SUB-SYSTEM fields are PROTECTED, having
1288. been entered in the Main Sub-Menu referred to above.
1289.  
1290. The TOPIC and SUB-TOPIC are first entered.
1291.  
1292. The TOPIC would typically cover the group representing a threat -
1293. - for example, computer hackers.
1294.  
1295. The SUB-TOPIC would typically cover potential actions by the
1296. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
1297. hackers(TOPIC).
1298.  
1299. The PROBABILITY OF the EVENT is next examined. A value between 0
1300. and 99 should be entered (0 is the default, implying zero
1301. probability). This field looks at what is the likelihood that the
1302. event will occur ? Following is the description explaining WHY
1303. that probability level was chosen, followed by the corrective
1304. action to be taken, if any.
1305.  
1306. Finally, the COST OF the IMPACT of the event -- independent of
1307. the probability of the event happening -- is input in a method
1308. identical with that of the PROBABILITY OF EVENT before shown
1309. above.
1310.  
1311. After this field is entered, press ENTER to modify the record -
1312. - or ESCape to cancel record modification and return to the Main
1313. Menu. 
1314.  
1315. Please note that ESCape can be entered at any time in the Data
1316. Entry screen to exit back to the Main Menu.   
1317. Delete Study
1318.  
1319.  
1320. Description
1321.  
1322.  
1323. The 'Delete Study' option deletes areas of POTENTIAL RISK for a
1324. particular STUDY, SYSTEM, and SUB-SYSTEM -- and within those
1325. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
1326.  
1327. FIRST, the selection of the 'Delete Study' option on the Main
1328. Menu is made. Please see the Main Menu section for further
1329. information.
1330.  
1331. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
1332. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
1333.  
1334. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
1335. Tornadoes, or Snowstorms. 
1336.  
1337. SYSTEM name refers to the area of the organization with related
1338. to the main lines of business. For an oil company, this would be
1339. typically Refining and Marketing; for a Bank, it may be Treasury,
1340. Investment Banking and Retail Banking.
1341.  
1342. SUB-SYSTEM name refers to the particular business applications
1343. within the main lines of business -- for example, the accounts
1344. receivable system in the Marketing area, or the Traders
1345. Information System in a Bank. For more information, please see
1346. the Main Sub-Menu section.
1347.  
1348. THIRD, the AREAS OF WEAKNESS Selection Menu is displayed. This
1349. menu focuses at the potential areas of weakness, such as the
1350. data, software or hardware. 
1351.  
1352. AREAS OF WEAKNESS can be distinguished from the potential threats
1353. in the that the former is passive and should be protected, while
1354. the latter is active and affects the former by its actions. On
1355. this Menu, only one selection can be made for each physical entry
1356. into Delete Study, but different area of weaknesses can be
1357. selected at different physical entries into the Delete Study
1358. option. 
1359.  
1360. FOURTH, the deletion of data for the potential risk -- the actual
1361. information added to the RISKIT 1.0 (TM) database -- is
1362. performed.
1363.  
1364. All fields are PROTECTED.
1365.  
1366.  
1367.  
1368.  
1369.  
1370. The TOPIC would typically cover the group representing a threat -
1371. - for example, computer hackers.
1372.  
1373. The SUB-TOPIC would typically cover potential actions by the
1374. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
1375. hackers(TOPIC).
1376.  
1377. The PROBABILITY OF the EVENT is next examined. A value between 0
1378. and 99 should be entered (0 is the default, implying zero
1379. probability). This field looks at what is the likelihood that the
1380. event will occur ? Following is the description explaining WHY
1381. that probability level was chosen, followed by the corrective
1382. action to be taken, if any.
1383.  
1384. Finally, the COST OF the IMPACT of the event -- independent of
1385. the probability of the event happening -- is viewed in a method
1386. identical with that of the PROBABILITY OF EVENT before shown
1387. above.
1388.  
1389. After this field is entered, press ENTER to delete the record --
1390. or ESCape to cancel record deletion and return to the Main Menu. 
1391. Please note that ESCape can be entered at any time in the Data
1392. Entry screen to exit back to the Main Menu.   Delete Study
1393.  
1394.  
1395. Area of Weakness Selection Screen Layout
1396.  
1397.  
1398. -----------------------------------------------------------------
1399. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
1400. . Delete Study                                                  .
1401. . mm/dd/yyyy   hh:mm:ss                                         .
1402. .                                                               .
1403. .     Data                                                      .
1404. .     Software                                                  .
1405. .     Hardware                                                  .
1406. .     Facilities                                                .
1407. .     Media & Supplies                                          .
1408. .     People                                                    .
1409. .     Communications                                            .
1410. .     Other                                                     .
1411. .     Return                                                    .
1412. -----------------------------------------------------------------
1413.  
1414.  
1415. Description
1416.  
1417.  
1418. AREAS OF WEAKNESS are inherent characteristics of a system that 
1419. could let a threat act upon an asset, causing a harmful 
1420. event. THREATS capitalize upon these AREAS OF WEAKNESS to breach
1421. safeguards and cause a loss.
1422.  
1423. Complex systems are more likely to have greater AREAS OF WEAKNESS
1424. than simple systems, due to the presence of more exposures not
1425. covered by existing security procedures.
1426.  
1427. Please note that while only one AREA OF WEAKNESS can be deleted
1428. at a time, there is no reason that a user cannot enter 'Delete
1429. Study' several times to enter different AREAS OF WEAKNESS.
1430.  
1431.  
1432. Screen Options
1433.  
1434. The following assets or corporate elements must be examined :
1435.  
1436.  
1437. DATA
1438.  
1439. These assets may be on storage media, input forms, or output
1440. listings.
1441.  
1442.  
1443. SOFTWARE
1444.  
1445. Software assets generally exceed hardware in value, and consist
1446. of both system and application programs.
1447.  
1448.  
1449. HARDWARE
1450.  
1451. These assets include terminals, computers, and associated
1452. equipment.
1453.  
1454.  
1455. FACILITIES
1456.  
1457. These are the physical entities of the environment, such as
1458. security alarms, utility back-ups, and real property.
1459.  
1460.  
1461. MEDIA & SUPPLIES
1462.  
1463. Stocks of blank forms, tapes and paper are examples of media
1464. assets.
1465.  
1466.  
1467. PEOPLE
1468.  
1469. Any of the stakeholders in the organization -- for example,
1470. employees, managers, executives, shareholders, government or
1471. even the public.
1472.  
1473.  
1474.  
1475. COMMUNICATIONS
1476.  
1477. Corporate network and internal data processing links are examples
1478. of communications.
1479.  
1480.  
1481. OTHER
1482.  
1483. Other areas of weakness that you might want to deleted.
1484.  
1485.  
1486. RETURN
1487.  
1488. Return to Main Menu.
1489.  
1490.  
1491.  
1492.  
1493.  
1494.  
1495.  
1496. Delete Study
1497.  
1498.  
1499. Potential Area of Threat Selection Screen Layout
1500.  
1501.  
1502. -----------------------------------------------------------------
1503. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
1504. . Delete Study - area of weakness                               .
1505. . mm/dd/yyyy   hh:mm:ss                                         .
1506. .                                                               .
1507. .     Natural Hazards                                           .
1508. .     Equipment Failure                                         .
1509. .     Human Error                                               .
1510. .     Theft                                                     .
1511. .     Fraud                                                     .
1512. .     Malice                                                    .
1513. .     Strategic Attack                                          .
1514. .     Other                                                     .
1515. .     Return                                                    .
1516. -----------------------------------------------------------------
1517.  
1518.  
1519. Description
1520.  
1521.  
1522. A THREAT is an aspect of the environment that, when given an
1523. opportunity, can cause a harmful event(a partial or complete loss
1524. of a corporate asset) by acting upon an asset.
1525.  
1526. THREATS fall into two main categories -- intentional and
1527. probabilistic.
1528.  
1529. Intentional THREATS are performed by people seeking to harm the
1530. organization by stealing or disrupting assets. THEFT, FRAUD,
1531. MALICE, and STRATEGIC ATTACK fall into this category.
1532.  
1533. Probabilistic THREATS may occur as a result of HUMAN ERROR
1534. precipitating threats involving procedures, programs, systems
1535. software, and also EQUIPMENT FAILURE encompassing computer or
1536. support equipment. Alternatively, NATURAL HAZARDS may also occur
1537. -- storms, power loss, earthquakes, flooding, water damage, and
1538. fire.
1539.  
1540. Please note that while only one THREAT can be deleted at a time,
1541. there is no reason that more THREATs cannot be deleted in 
1542. subsequent 'Delete Study' entries.
1543.  
1544.  
1545.  
1546.  
1547.  
1548.  
1549. Screen Options
1550.  
1551.  
1552. NATURAL HAZARDS are probabilistic events such as hurricanes,
1553. floods, mud slides, cold weather that can have a harmful affect
1554. on an AREA OF WEAKNESS.
1555.  
1556. EQUIPMENT FAILURE covers probabilistic events such as hardware
1557. failures or sabotage. Damage to a mainframe by a disgruntled
1558. employee is an example of a harmful effect to an AREA OF
1559. WEAKNESS.
1560.  
1561. HUMAN ERROR is yet another probabilistic event that covers
1562. mistakes made by staff or others (for example, external
1563. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
1564.  
1565. THEFT is, on the other hand, an intentional event aimed at
1566. harming the organization through its AREA OF WEAKNESS. THEFT is
1567. defined as the act or crime of stealing.
1568.  
1569. FRAUD is also an intentional event aimed at harming the
1570. organization through its AREA OF WEAKNESS. FRAUD is defined as an
1571. act or instance of deception or trickery.
1572.  
1573. MALICE is also an intentional event aimed at harming the
1574. organization through its AREA OF WEAKNESS. MALICE is defined as a
1575. wilfully formed event designed to do another an injury.
1576.  
1577. STRATEGIC ATTACK is a more organized, broad-based assault by
1578. usually more than one person on the organization through its
1579. AREA OF WEAKNESS.
1580.  
1581.  
1582.  
1583.  
1584.  
1585.  
1586.  
1587.  
1588.  
1589.  
1590.  
1591.  
1592.  
1593.  
1594.  
1595.  
1596.  
1597.  
1598. Delete Study
1599.  
1600.  
1601. Delete Study Case Input Screen Layout
1602.  
1603.  
1604. -----------------------------------------------------------------
1605. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
1606. . Delete Study - area of weakness - threat                      .
1607. . mm/dd/yyyy   hh:mm:ss                                         .
1608. . Press ESC to cancel deletion                                  .
1609. .     Next Record ?                   :                         .
1610. .     Exit ?                          :                         .
1611. .                                                               .
1612. .     Study                           :                         .
1613. .     System                          :                         .
1614. .     Sub-System                      :                         .
1615. .     Topic                           :                         .
1616. .     Sub-Topic                       :                         .
1617. .     Probability of Event                                      .
1618. .       (00:Low; 50:Medium; 99:High)  :                         . 
1619. .     Event Probability Description   :                         .
1620. .     Action to be Taken              :                         .
1621. .     Cost of Impact                                            .
1622. .       (00:Low; 50:Medium; 99:High)  :                         .
1623. .     Cost of Impact Description      :                         .
1624. .     Action to be Taken              :                         .
1625. -----------------------------------------------------------------
1626.  
1627.  
1628. Description
1629.  
1630. In this panel, the details for a particular THREAT to an AREA OF
1631. WEAKNESS are deleted.
1632.  
1633.  
1634. Screen Options
1635.  
1636. All fields are PROTECTED, having been entered in the Main Sub-
1637. Menu referred to above.
1638.  
1639. The TOPIC would typically cover the group representing a threat -
1640. - for example, computer hackers.
1641.  
1642. The SUB-TOPIC would typically cover potential actions by the
1643. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
1644. hackers(TOPIC).
1645.  
1646. The PROBABILITY OF the EVENT is next examined. A value between 0
1647. and 99 should be entered (0 is the default, implying zero
1648. probability). This field looks at what is the likelihood that the
1649. event will occur ? Following is the description explaining WHY
1650. that probability level was chosen, followed by the corrective
1651. action to be taken, if any.
1652.  
1653. Finally, the COST OF the IMPACT of the event -- independent of
1654. the probability of the event happening -- is reviewed in a method
1655. identical with that of the PROBABILITY OF EVENT before shown
1656. above.
1657.  
1658. After this field is reviewed, press ENTER to delete the record --
1659. or ESCape to cancel record deletion and return to the Main Menu. 
1660. Please note that ESCape can be entered at any time in the Data
1661. Entry screen to exit back to the Main Menu.   
1662. Print Risk Estimate Detail Sheet
1663.  
1664.  
1665. Description
1666.  
1667.  
1668. The 'Print Risk Estimate Detail Sheet' option prints all areas of
1669. POTENTIAL RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM --
1670. and within those criteria, different area of WEAKNESSES and
1671. POTENTIAL THREATS.
1672.  
1673. FIRST, the selection of the 'Print Risk Estimate Detail Sheet'
1674. option on the Main Menu is made. Please see the Main Menu section
1675. for further information.
1676.  
1677. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
1678. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
1679.  
1680. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
1681. Tornadoes, or Snowstorms. 
1682.  
1683. SYSTEM name refers to the area of the organization with related
1684. to the main lines of business. For an oil company, this would be
1685. typically Refining and Marketing; for a Bank, it may be Treasury,
1686. Investment Banking and Retail Banking.
1687.  
1688. SUB-SYSTEM name refers to the particular business applications
1689. within the main lines of business -- for example, the accounts
1690. receivable system in the Marketing area, or the Traders
1691. Information System in a Bank. For more information, please see
1692. the Main Sub-Menu section.
1693.  
1694. Finally, the reports are printed. Information on the fields is
1695. presented below. At the time of printing, a message stating that
1696. the report is current printing appears on the screen.
1697.  
1698. The TOPIC would typically cover the group representing a threat -
1699. - for example, computer hackers.
1700.  
1701. The SUB-TOPIC would typically cover potential actions by the
1702. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
1703. hackers(TOPIC).
1704.  
1705. AREAS OF WEAKNESS can be distinguished from the potential threats
1706. in the that the former is passive and should be protected, while
1707. the latter is active and affects the former by its actions. AREAS
1708. OF WEAKNESS are inherent characteristics of a system that could
1709. let a threat act upon an asset, causing a harmful event. THREATS
1710. capitalize upon these AREAS OF WEAKNESS to breach
1711. safeguards and cause a loss. Complex systems are more likely to
1712. have greater AREAS OF WEAKNESS than simple systems, due to the
1713. presence of more exposures not covered by existing security
1714. procedures.
1715.  
1716.  
1717. AREAS OF WEAKNESS include the following :
1718.  
1719. DATA
1720.  
1721. These assets may be on storage media, input forms, or output
1722. listings.
1723.  
1724.  
1725. SOFTWARE
1726.  
1727. Software assets generally exceed hardware in value, and consist
1728. of both system and application programs.
1729.  
1730.  
1731. HARDWARE
1732.  
1733. These assets include terminals, computers, and associated
1734. equipment.
1735.  
1736.  
1737. FACILITIES
1738.  
1739. These are the physical entities of the environment, such as
1740. security alarms, utility back-ups, and real property.
1741.  
1742.  
1743. MEDIA & SUPPLIES
1744.  
1745. Stocks of blank forms, tapes and paper are examples of media
1746. assets.
1747.  
1748.  
1749. PEOPLE
1750.  
1751. Any of the stakeholders in the organization -- for example,
1752. employees, managers, executives, shareholders, government or
1753. even the public.
1754.  
1755.  
1756. COMMUNICATIONS
1757.  
1758. Corporate network and internal data processing links are examples
1759. of communications.
1760.  
1761.  
1762. A THREAT is an aspect of the environment that, when given an
1763. opportunity, can cause a harmful event(a partial or complete loss
1764. of a corporate asset) by acting upon an asset.
1765.  
1766. THREATS fall into two main categories -- intentional and
1767. probabilistic.
1768.  
1769. Intentional THREATS are performed by people seeking to harm the
1770. organization by stealing or disrupting assets. THEFT, FRAUD,
1771. MALICE, and STRATEGIC ATTACK fall into this category.
1772.  
1773. Probabilistic THREATS may occur as a result of HUMAN ERROR
1774. precipitating threats involving procedures, programs, systems
1775. software, and also EQUIPMENT FAILURE encompassing computer or
1776. support equipment. Alternatively, NATURAL HAZARDS may also occur
1777. -- storms, power loss, earthquakes, flooding, water damage, and
1778. fire.
1779.  
1780. THREATS include the following :
1781.  
1782.  
1783. NATURAL HAZARDS are probabilistic events such as hurricanes,
1784. floods, mud slides, cold weather that can have a harmful affect
1785. on an AREA OF WEAKNESS.
1786.  
1787. EQUIPMENT FAILURE covers probabilistic events such as hardware
1788. failures or sabotage. Damage to a mainframe by a disgruntled
1789. employee is an example of a harmful effect to an AREA OF
1790. WEAKNESS.
1791.  
1792. HUMAN ERROR is yet another probabilistic event that covers
1793. mistakes made by staff or others (for example, external
1794. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
1795.  
1796. THEFT is, on the other hand, an intentional event aimed at
1797. harming the organization through its AREA OF WEAKNESS. THEFT is
1798. defined as the act or crime of stealing.
1799.  
1800. FRAUD is also an intentional event aimed at harming the
1801. organization through its AREA OF WEAKNESS. FRAUD is defined as an
1802. act or instance of deception or trickery.
1803.  
1804. MALICE is also an intentional event aimed at harming the
1805. organization through its AREA OF WEAKNESS. MALICE is defined as a
1806. wilfully formed event designed to do another an injury.
1807.  
1808. STRATEGIC ATTACK is a more organized, broad-based assault by
1809. usually more than one person on the organization through its
1810. AREA OF WEAKNESS.
1811.  
1812.  
1813.  
1814.  
1815.  
1816.  
1817. Print Risk Estimate Detail Sheet
1818.  
1819.  
1820. Report Layout
1821.  
1822.  
1823. -----------------------------------------------------------------
1824. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
1825. . Risk Estimate Detail Sheet                                    .
1826. . mm/dd/yyyy   hh:mm:ss                                         .
1827. .                                                               .
1828. .                                                               .
1829. .     Study                           :                         .
1830. .     System                          :                         .
1831. .     Sub-System                      :                         .
1832. .     Topic                           :                         .
1833. .     Sub-Topic                       :                         .
1834. .     Probability of Event                                      .
1835. .       (00:Low; 50:Medium; 99:High)  :                         . 
1836. .     Event Probability Description   :                         .
1837. .     Action to be Taken              :                         .
1838. .     Cost of Impact                                            .
1839. .       (00:Low; 50:Medium; 99:High)  :                         .
1840. .     Cost of Impact Description      :                         .
1841. .     Action to be Taken              :                         .
1842. -----------------------------------------------------------------
1843.  
1844. Description
1845.  
1846. In this report, the details for a particular THREAT to an AREA OF
1847. WEAKNESS are printed.
1848.  
1849. Screen Options
1850.  
1851. ALL fields are PROTECTED.
1852.  
1853. The TOPIC would typically cover the group representing a threat -
1854. - for example, computer hackers.
1855.  
1856. The SUB-TOPIC would typically cover potential actions by the
1857. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
1858. hackers(TOPIC).
1859.  
1860. The PROBABILITY OF the EVENT is next examined. A value between 0
1861. and 99 should be entered (0 is the default, implying zero
1862. probability). This field looks at what is the likelihood that the
1863. event will occur ? Following is the description explaining WHY
1864. that probability level was chosen, followed by the corrective
1865. action to be taken, if any.
1866.  
1867. Finally, the COST OF the IMPACT of the event -- independent of
1868. the probability of the event happening -- is reviewed in a method
1869. identical with that of the PROBABILITY OF EVENT shown above.
1870. Print Summary Report
1871.  
1872.  
1873. Description
1874.  
1875.  
1876. The 'Print Summary Report' option prints all areas of POTENTIAL
1877. RISK for a particular STUDY, SYSTEM, and SUB-SYSTEM -- and within
1878. those criteria, different area of WEAKNESSES and POTENTIAL
1879. THREATS. Average values for the PROBABILITY OF EVENT and the 
1880. COST OF IMPACT are calculated.
1881.  
1882. FIRST, the selection of the 'Print Summary Report' option on the
1883. Main Menu is made. Please see the Main Menu section for further
1884. information.
1885.  
1886. SECOND, the Main Sub-Menu is displayed, where the area of STUDY,
1887. the SYSTEM name, and the SUB-SYSTEM being targeted are selected.
1888.  
1889. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
1890. Tornadoes, or Snowstorms. 
1891.  
1892. SYSTEM name refers to the area of the organization with related
1893. to the main lines of business. For an oil company, this would be
1894. typically Refining and Marketing; for a Bank, it may be Treasury,
1895. Investment Banking and Retail Banking.
1896.  
1897. SUB-SYSTEM name refers to the particular business applications
1898. within the main lines of business -- for example, the accounts
1899. receivable system in the Marketing area, or the Traders
1900. Information System in a Bank. For more information, please see
1901. the Main Sub-Menu section.
1902.  
1903. Finally, the reports are printed. Information on the fields is
1904. presented below. At the time of printing, a message stating that
1905. the report is current printing appears on the screen.
1906.  
1907.  
1908. AREAS OF WEAKNESS can be distinguished from the potential threats
1909. in the that the former is passive and should be protected, while
1910. the latter is active and affects the former by its actions. AREAS
1911. OF WEAKNESS are inherent characteristics of a system that could
1912. let a threat act upon an asset, causing a harmful event. THREATS
1913. capitalize upon these AREAS OF WEAKNESS to breach
1914. safeguards and cause a loss. Complex systems are more likely to
1915. have greater AREAS OF WEAKNESS than simple systems, due to the
1916. presence of more exposures not covered by existing security
1917. procedures.
1918.  
1919.  
1920. AREAS OF WEAKNESS include the following :
1921.  
1922. DATA
1923.  
1924. These assets may be on storage media, input forms, or output
1925. listings.
1926.  
1927.  
1928. SOFTWARE
1929.  
1930. Software assets generally exceed hardware in value, and consist
1931. of both system and application programs.
1932.  
1933.  
1934. HARDWARE
1935.  
1936. These assets include terminals, computers, and associated
1937. equipment.
1938.  
1939.  
1940. FACILITIES
1941.  
1942. These are the physical entities of the environment, such as
1943. security alarms, utility back-ups, and real property.
1944.  
1945.  
1946. MEDIA & SUPPLIES
1947.  
1948. Stocks of blank forms, tapes and paper are examples of media
1949. assets.
1950.  
1951.  
1952. PEOPLE
1953.  
1954. Any of the stakeholders in the organization -- for example,
1955. employees, managers, executives, shareholders, government or
1956. even the public.
1957.  
1958.  
1959.  
1960. COMMUNICATIONS
1961.  
1962. Corporate network and internal data processing links are examples
1963. of communications.
1964.  
1965.  
1966. A THREAT is an aspect of the environment that, when given an
1967. opportunity, can cause a harmful event(a partial or complete loss
1968. of a corporate asset) by acting upon an asset.
1969.  
1970. THREATS fall into two main categories -- intentional and
1971. probabilistic.
1972.  
1973. Intentional THREATS are performed by people seeking to harm the
1974. organization by stealing or disrupting assets. THEFT, FRAUD,
1975. MALICE, and STRATEGIC ATTACK fall into this category.
1976.  
1977. Probabilistic THREATS may occur as a result of HUMAN ERROR
1978. precipitating threats involving procedures, programs, systems
1979. software, and also EQUIPMENT FAILURE encompassing computer or
1980. support equipment. Alternatively, NATURAL HAZARDS may also occur
1981. -- storms, power loss, earthquakes, flooding, water damage, and
1982. fire.
1983.  
1984. THREATS include the following :
1985.  
1986.  
1987. NATURAL HAZARDS are probabilistic events such as hurricanes,
1988. floods, mud slides, cold weather that can have a harmful affect
1989. on an AREA OF WEAKNESS.
1990.  
1991. EQUIPMENT FAILURE covers probabilistic events such as hardware
1992. failures or sabotage. Damage to a mainframe by a disgruntled
1993. employee is an example of a harmful effect to an AREA OF
1994. WEAKNESS.
1995.  
1996. HUMAN ERROR is yet another probabilistic event that covers
1997. mistakes made by staff or others (for example, external
1998. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
1999.  
2000. THEFT is, on the other hand, an intentional event aimed at
2001. harming the organization through its AREA OF WEAKNESS. THEFT is
2002. defined as the act or crime of stealing.
2003.  
2004. FRAUD is also an intentional event aimed at harming the
2005. organization through its AREA OF WEAKNESS. FRAUD is defined as an
2006. act or instance of deception or trickery.
2007.  
2008. MALICE is also an intentional event aimed at harming the
2009. organization through its AREA OF WEAKNESS. MALICE is defined as a
2010. wilfully formed event designed to do another an injury.
2011.  
2012. STRATEGIC ATTACK is a more organized, broad-based assault by
2013. usually more than one person on the organization through its
2014. AREA OF WEAKNESS.
2015.  
2016.  
2017. The average PROBABILITY OF EVENT, and the average COST OF IMPACT
2018. are then printed.
2019.  
2020.  
2021. Print Summary Report
2022.  
2023.  
2024. Report Layout
2025.  
2026.  
2027. -----------------------------------------------------------------
2028. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
2029. . Summary Report                                                .
2030. . mm/dd/yyyy   hh:mm:ss                                         .
2031. .                                                               .
2032. .                                                               .
2033. .     Study                           :                         .
2034. .     System                          :                         .
2035. .     Sub-System                      :                         .
2036. .     Weakness                        :                         .
2037. .     Threat                          :                         .
2038. .     Probability of Event                                      .
2039. .       (00:Low; 50:Medium; 99:High)  :                         . 
2040. .     Cost of Impact                                            .
2041. .       (00:Low; 50:Medium; 99:High)  :                         .
2042. -----------------------------------------------------------------
2043.  
2044. Description
2045.  
2046. In this report, the average values for a particular THREAT to an
2047. AREA OF WEAKNESS are printed.
2048.  
2049. Screen Options
2050.  
2051. ALL fields are PROTECTED.
2052.  
2053. The TOPIC would typically cover the group representing a threat -
2054. - for example, computer hackers.
2055.  
2056. The SUB-TOPIC would typically cover potential actions by the
2057. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
2058. hackers(TOPIC).
2059.  
2060. The PROBABILITY OF the EVENT is next examined. A value between 0
2061. and 99 is averaged (0 is the default, implying zero
2062. probability). This field looks at what is the likelihood that the
2063. event will occur ? 
2064.  
2065. Finally, the COST OF the IMPACT of the event -- independent of
2066. the probability of the event happening -- is averaged in a method
2067. identical with that of the PROBABILITY OF EVENT shown above.
2068.  
2069. Browse All Studies
2070.  
2071.  
2072. Description
2073.  
2074.  
2075. The 'Browse All Studies' option displays all areas of POTENTIAL
2076. RISK for all STUDY, SYSTEM, and SUB-SYSTEM -- and within those
2077. criteria, different area of WEAKNESSES and POTENTIAL THREATS.
2078.  
2079. FIRST, the selection of the 'Browse All Studies' option on the
2080. Main Menu is made. Please see the Main Menu section for further
2081. information.
2082.  
2083. The information on the database is then displayed.
2084.  
2085. Areas of STUDY may include Vandalism, Terrorism, Earthquakes,
2086. Tornadoes, or Snowstorms. 
2087.  
2088. SYSTEM name refers to the area of the organization with related
2089. to the main lines of business. For an oil company, this would be
2090. typically Refining and Marketing; for a Bank, it may be Treasury,
2091. Investment Banking and Retail Banking.
2092.  
2093. SUB-SYSTEM name refers to the particular business applications
2094. within the main lines of business -- for example, the accounts
2095. receivable system in the Marketing area, or the Traders
2096. Information System in a Bank. 
2097.  
2098. The TOPIC would typically cover the group representing a threat -
2099. - for example, computer hackers.
2100.  
2101. The SUB-TOPIC would typically cover potential actions by the
2102. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
2103. hackers(TOPIC).
2104.  
2105. AREAS OF WEAKNESS can be distinguished from the potential threats
2106. in the that the former is passive and should be protected, while
2107. the latter is active and affects the former by its actions. AREAS
2108. OF WEAKNESS are inherent characteristics of a system that could
2109. let a threat act upon an asset, causing a harmful event. THREATS
2110. capitalize upon these AREAS OF WEAKNESS to breach
2111. safeguards and cause a loss. Complex systems are more likely to
2112. have greater AREAS OF WEAKNESS than simple systems, due to the
2113. presence of more exposures not covered by existing security
2114. procedures.
2115.  
2116.  
2117. AREAS OF WEAKNESS include the following :
2118.  
2119. DATA
2120.  
2121. These assets may be on storage media, input forms, or output
2122. listings.
2123.  
2124.  
2125. SOFTWARE
2126.  
2127. Software assets generally exceed hardware in value, and consist
2128. of both system and application programs.
2129.  
2130.  
2131. HARDWARE
2132.  
2133. These assets include terminals, computers, and associated
2134. equipment.
2135.  
2136.  
2137. FACILITIES
2138.  
2139. These are the physical entities of the environment, such as
2140. security alarms, utility back-ups, and real property.
2141.  
2142.  
2143. MEDIA & SUPPLIES
2144.  
2145. Stocks of blank forms, tapes and paper are examples of media
2146. assets.
2147.  
2148.  
2149. PEOPLE
2150.  
2151. Any of the stakeholders in the organization -- for example,
2152. employees, managers, executives, shareholders, government or
2153. even the public.
2154.  
2155.  
2156. COMMUNICATIONS
2157.  
2158. Corporate network and internal data processing links are examples
2159. of communications.
2160.  
2161.  
2162. A THREAT is an aspect of the environment that, when given an
2163. opportunity, can cause a harmful event(a partial or complete loss
2164. of a corporate asset) by acting upon an asset.
2165.  
2166. THREATS fall into two main categories -- intentional and
2167. probabilistic.
2168.  
2169. Intentional THREATS are performed by people seeking to harm the
2170. organization by stealing or disrupting assets. THEFT, FRAUD,
2171. MALICE, and STRATEGIC ATTACK fall into this category.
2172.  
2173. Probabilistic THREATS may occur as a result of HUMAN ERROR
2174. precipitating threats involving procedures, programs, systems
2175. software, and also EQUIPMENT FAILURE encompassing computer or
2176. support equipment. Alternatively, NATURAL HAZARDS may also occur
2177. -- storms, power loss, earthquakes, flooding, water damage, and
2178. fire.
2179.  
2180. THREATS include the following :
2181.  
2182.  
2183. NATURAL HAZARDS are probabilistic events such as hurricanes,
2184. floods, mud slides, cold weather that can have a harmful affect
2185. on an AREA OF WEAKNESS.
2186.  
2187. EQUIPMENT FAILURE covers probabilistic events such as hardware
2188. failures or sabotage. Damage to a mainframe by a disgruntled
2189. employee is an example of a harmful effect to an AREA OF
2190. WEAKNESS.
2191.  
2192. HUMAN ERROR is yet another probabilistic event that covers
2193. mistakes made by staff or others (for example, external
2194. consultants or vendors) adversely affecting an AREA OF WEAKNESS.
2195.  
2196. THEFT is, on the other hand, an intentional event aimed at
2197. harming the organization through its AREA OF WEAKNESS. THEFT is
2198. defined as the act or crime of stealing.
2199.  
2200. FRAUD is also an intentional event aimed at harming the
2201. organization through its AREA OF WEAKNESS. FRAUD is defined as an
2202. act or instance of deception or trickery.
2203.  
2204. MALICE is also an intentional event aimed at harming the
2205. organization through its AREA OF WEAKNESS. MALICE is defined as a
2206. wilfully formed event designed to do another an injury.
2207.  
2208. STRATEGIC ATTACK is a more organized, broad-based assault by
2209. usually more than one person on the organization through its
2210. AREA OF WEAKNESS.
2211.  
2212.  
2213.  
2214.  
2215.  
2216.  
2217.  
2218.  
2219.  
2220.  
2221.  
2222.  
2223.  
2224. Browse All Records
2225.  
2226.  
2227. Screen Layout
2228.  
2229.  
2230. -----------------------------------------------------------------
2231. . RISKIT 1.0 TM (C) Copyright 1994 Brian Risman Associates      .
2232. . Browse All Records                                            .
2233. . mm/dd/yyyy   hh:mm:ss                                         .
2234. . Press ESC to exit                                             .
2235. .     Next Record ?                   :                         .
2236. .     Exit ?                          :                         .
2237. .                                                               .
2238. .     Study                           :                         .
2239. .     System                          :                         .
2240. .     Sub-System                      :                         .
2241. .     Topic                           :                         .
2242. .     Sub-Topic                       :                         .
2243. .     Probability of Event                                      .
2244. .       (00:Low; 50:Medium; 99:High)  :                         . 
2245. .     Event Probability Description   :                         .
2246. .     Action to be Taken              :                         .
2247. .     Cost of Impact                                            .
2248. .       (00:Low; 50:Medium; 99:High)  :                         .
2249. .     Cost of Impact Description      :                         .
2250. .     Action to be Taken              :                         .
2251. -----------------------------------------------------------------
2252.  
2253. Description
2254.  
2255. In this report, the details for a particular THREAT to an AREA OF
2256. WEAKNESS are printed.
2257.  
2258. Screen Options
2259.  
2260. ALL fields are PROTECTED.
2261.  
2262. The TOPIC would typically cover the group representing a threat -
2263. - for example, computer hackers.
2264.  
2265. The SUB-TOPIC would typically cover potential actions by the
2266. TOPIC -- for example, password breaking (SUB-TOPIC) by computer
2267. hackers(TOPIC).
2268.  
2269. The PROBABILITY OF the EVENT is next examined. A value between 0
2270. and 99 should be entered (0 is the default, implying zero
2271. probability). This field looks at what is the likelihood that the
2272. event will occur ? Following is the description explaining WHY
2273. that probability level was chosen, followed by the corrective
2274. action to be taken, if any.
2275.  
2276.  
2277. Finally, the COST OF the IMPACT of the event -- independent of
2278. the probability of the event happening -- is reviewed in a method
2279. identical with that of the PROBABILITY OF EVENT shown above.
2280.  
2281. Delete All Records (Exclusive Control)
2282.  
2283.  
2284. Description
2285.  
2286.  
2287. The 'Delete All Records' option physically removes all records
2288. from the database.
2289.  
2290. Please note that exclusive control of the database is required
2291. for this function to operate.
2292.  
2293. No screens are displayed, but the Main Menu is re-displayed after
2294. the completion of the operation.
2295.  
2296.  
2297. Quit
2298.  
2299.  
2300. Description
2301.  
2302. The 'Quit' option closes the application and returns to DOS. 
2303.                                 
2304.  
2305.                              Index
2306. Add Study
2307.      Description . . . . . . . . . . . . . . . . . . . . . . . 16
2308. Commands
2309.      general . . . . . . . . . . . . . . . . . . . . . . . . . 11
2310. Description
2311.      Add Study . . . . . . . . . . . . . . . . . . . . . . . . 16
2312.      Main Menu . . . . . . . . . . . . . . . . . . . . . . . . 13
2313.      Main Sub-Menu . . . . . . . . . . . . . . . . . . . . . . 15
2314. Installation . . . . . . . . . . . . . . . . . . . . . . . . . 10
2315. License Agreement  . . . . . . . . . . . . . . . . . . . . . .  5
2316. Main Menu  . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2317.      Description . . . . . . . . . . . . . . . . . . . . . . . 13
2318.      Screen Layout . . . . . . . . . . . . . . . . . . . . . . 13
2319.      Screen Options  . . . . . . . . . . . . . . . . . . . . . 13
2320. Main Sub-Menu
2321.      Description . . . . . . . . . . . . . . . . . . . . . . . 15
2322.      Screen Layout . . . . . . . . . . . . . . . . . . . . . . 15
2323.      Screen Options  . . . . . . . . . . . . . . . . . . . . . 15
2324. Order Form . . . . . . . . . . . . . . . . . . . . . . . . . .  4
2325. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . .  8
2326. Risk management
2327.      definition  . . . . . . . . . . . . . . . . . . . . . . .  9
2328. Screen Layout
2329.      Main Menu . . . . . . . . . . . . . . . . . . . . . . . . 13
2330.      Main Sub-Menu . . . . . . . . . . . . . . . . . . . . . . 15
2331. Screen Options
2332.      Main Menu . . . . . . . . . . . . . . . . . . . . . . . . 13
2333.      Main Sub-Menu . . . . . . . . . . . . . . . . . . . . . . 15
2334. System Diagram . . . . . . . . . . . . . . . . . . . . . . . . 12
2335. System Requirements  . . . . . . . . . . . . . . . . . . . . .  7
2336. Warranty, limited
2337.        . . . . . . . . . . . . . . . . . . . . . . . . . . . .  6
2338.