Maßnahmen
Die Maßnahmen der BSI-Checklisten sind in dieser Übersicht kategorisiert gelistet. Über die Dreieckssymbole(1) bzw. über die Schaltflächen + und - (2) kann die Ansicht auf- und zugeklappt werden. Zusätzlich wird Ihnen der Status der Maßnahme angezeigt.
Einzelansicht Maßnahmen
Im Bearbeitungsmodus empfehlen wir im Feld der Umsetzung (Ist)(2) eine Beschreibung zu hinterlegen. Bitte denken Sie an die Vergabe der Zuständigkeit(3). Für die Auswahl des Refegrads(4) steht Ihn die Einstufung nicht relevant, nicht umgesetzt, teilweise umgesetzt und vollständig umgesetzt zur Verfügung. Über die Schaltfläche Risiko anlegen ...(5) können Sie ein noch nicht in ForumNSR angelegtes Risiko neu anlegen. Die getroffene bzw. bestehende Auswahl von Risiken kann über die Schaltfläche Auswahl bearbeiten(6) geändert werden. Sie können weitere Objekte zuordnen oder über das Symbol 
Wird der Reifegrad mit teilweise umgesetzt oder nicht umgesetzt eingestuft, wird zusätzlich die Zeile Abweichung für eine Beschreibung für die Abweichung eingeblendet.
Weitere Informationen zum Reifegrad finden Sie im Kapitel Reifegrad.
Das Feld URL (1) verweist Sie in der Anwendung ForumNSR auf einen Link der Maßnahme (Bundesamt für Sicherheit in der Informationstechnik (BSI)), um die Aktualität der Maßnahme in Ihrer Anwendung zu wahren.
Eine bereits in ForumNSR erfasste Umsetzung kann über das Symbol 
Bevor die erfasst Umsetzung entfernt wird, müssen Sie den Löschvorgang bestätigen.
Eine neue Umsetzung erfassen Sie über die Schaltfläche Umsetzung erfassen ....
Zu Abschluss kann die Bearbeitung beendet werden und durch die Schaltfläche Speichern und Schließen beendet werden.
Hinweis auf fehlenden Umsetzungsstand
Es wird nun für Prüfungsfragen bzw. Maßnahmen ein Hinweis angezeigt, sofern das übergeordnete Kapitel bzw. der übergeordnete Baustein als relevant markiert ist und noch kein Umsetzungsstand dokumentiert wurde.
Risiken
Allgemein
Sofern sich zwischen Sollanforderung und der tatsächlichen Umsetzung eine Abweichung ergibt, sind diese einer Risikoanalyse zu unterziehen. Über die Schaltfläche Risiko anlegen...können Sie ein neues Risiko anlegen bzw. im Bearbeitungsmodus ein bereits angelegtes Risiko über die Schaltfläche Risiken duplizieren(3) auswählen oder über die Schaltfläche Auswahl bearbeiten(2) ein bereits hinzugefügtes Risiko über das Mülleimersymbol entsorgen.
Bitte geben Sie dem Risiko eine aussagekräftige Bezeichnung(1), um eine weitere Bearbeitung in ForumNSR zu erleichtern. Die Herkunft(2) wird bei der Bearbeitung aus einer Prüfungsfrage bereits vorgegeben. Bitte vergessen Sie nicht eine Verantwortung(3) zu hinterlegen und gegebenenfalls Bedrohungen(4) zu zuordnen.
Für die Auswahl von Bedrohungen steht in der Maske über die Schaltfläche Aus Liste wählen...(5) ein Auswahldialog zur Verfügung.
Bewertung
Analog zur Methodik des ISMS sind hier eine Schwachstellen- und Bedrohungsanalyse durchzuführen und Eintrittswahrscheinlichkeit und Schadenspotential des Abweichungsrisikos zu bewerten. Der Umgang mit dem Risiko bzw. Restrisiko (nach Maßnahmen) ist zu dokumentieren. Ist die Bedrohungs- und Schwachstelleneinstufung getroffen, können Sie über die Schaltflächeberechnen(1) die Eintrittswahrscheinlichkeit(2) berechnen lassen. Bitte hinterlegen Sie eine entsprechende Begründung(3) für Ihre Entscheidung.
Sollten Änderungen an der Schwachstellen- bzw. Bedrohungseinstufungen vorgenommen werden, müssen eventuell hinterlegte Begründungen ebenfalls geändert werden.
Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.
Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung hinterlegt.
Ist die Eintrittswahrscheinlichkeit berechnet und das Schadenspotenzial gewählt, wird automatisch vom System die Risikoklasse und Risikokategorie bestimmt.
Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung gemäß dem Standard für die Ordnungsmäßigkeit der IT-Verfahren (SOIT) zur Verfügung:
1 - niedrig (Die Schadenswirkung ist minimal)
2 - mittel (Die Schadenswirkung ist gering)
3 - hoch (Die Schadenswirkung ist beträchtlich)
4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)
Kopierfunktion von Risiken
Über die Schaltfläche Duplizeiren kann eine Kopie eines bereits bestehenden Risikos angelegt werden werden.
Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.
Maßnahme am Risiko
Im Reiter Bewertung können Sie Risiken durch Maßnahmen(1) durch das Betätigen der Schaltfläche Maßnahme anlegen ...minimieren. Bitte geben Sie eine aussagekräftige Bezeichnung für die Maßnahme(2) an, um die weitere Bearbeitung bzw. das Auffinden des Dokuments zu erleichtern. Bitte denken Sie an die Vergabe der Verantwortung(3) und die Einstufung des Status(4). Das Risiko ist bereits übernommen und weitere Risiken können hinzugefügt werden(5). Über die Schaltfläche Auswahl bearbeiten(6) können Sie die Auswahl bearbeiten bzw. über das Symbol des Mülleimers löschen. Über die Dropdown-Listen kann die Auswahl zur Risikoreduktion und den zu erwartenden Kosten(7) getroffen werden, auch hier kann eine Begründung optional hinterlegt werden
Einer Maßnahme sollte für die spätere Bearbeitung eine Verantwortung zugeordnet werden.
Status
Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status der Bearbeitung stehen Ihnen folgende Staus zur Verfügung:
| Status | Bedeutung |
|---|---|
| vorgesehen | Die Maßnahme ist geplant. |
| in Bearbeitung | Die Maßnahme ist in Bearbeitung. |
| in Prüfung | Die Maßnahme ist in Prüfung. |
| implementiert | Die Maßnahme ist fertig bearbeitet. |
| verworfen | Die Maßnahme wurde verworfen. |
Freigabe
Die neue Maßnahme können Sie zum Abschluss freigeben und es wird automatisch eine Wiedervorlage erstellt. Im Menüpunkt Risikomanagement bekommen Sie in der Übersicht der Maßnahmen zur Risikobehandlung alle in ForumNSR angelegten Maßnahmen angezeigt.
Gesperrte Überarbeitung nach Freigabe
Ist das übergeordnete Objekt freigegeben, kann eine Änderungen erst durchgeführt werden, wenn das übergeordnete Objekt überarbeitet wird.
