Documentatie - Controls selecteren
Nadat de dreigingen zijn geïdentificeerd, moet voor iedere dreiging passende controls worden gekozen. De beschikbare controls zijn afkomstig uit de voor deze casus gekozen standaard, bijvoorbeeld de NEN-ISO/IEC 27002. Het is raadzaam om voor deze stap de gekozen standaard erbij te houden. Het is verstandig om deze stap uit te voeren met of door iemand met voldoende kennis van de gekozen standaard.
Een control kan kans-verlagend, impact-verlagend of beide zijn. Afhankelijk van de gekozen aanpak voor een dreiging, zijn controls daarmee in lijn of niet. Indien men bijvoorbeeld heeft gekozen voor een ontwijkende aanpak (het verlagen van de kans), dan zijn de impact verlagende controls daarmee niet in lijn. Deze kunnen alsnog worden geselecteerd, maar de tekst van de controls is doorgestreept om het niet-in-lijn-zijn van de control duidelijk te maken.
Bovenaan de contorlslijst staat de naam van de norm waar deze controls uit afkomst zijn. Rechts daarvan staat een kruis-symbool. Indien men daarop klikt, dan verschijnt een pulldown met daarin de in RAVIB aanwezige dreigingen-templates. Het selecteren van een van deze dreigingen, zorgt ervoor dat de volgens RAVIB mitigerende controls worden geaccentueerd. De selectie wordt dus niet aangepast.
Een uitroepteken-icoontje geeft een conflict aan. Dit is als u controls selecteert voor een dreiging die u geaccepteerd heeft of als u bij een dreiging die u niet geaccpeteerd heeft nog geen controls heeft geselecteerd.