Spezifische Sollmaßnahmenprofile
Sollmaßnahmenprofil anlegen und bearbeiten
Bei der Erstellung bzw. der Bearbeitung eines Spezifischen Sollmaßnahmenprofiles können verschiedene Verknüpfungen vorgenommen werden. Ein Spezifisches Sollmaßnahmenprofil wird üblicherweise mit der betroffenen Schutzobjektklasse verknüpft. Die Felder Bezeichnung
und Verantwortung
stehen am Anfang der Sollmaßnahmenprofil-Maske.
Ebenfalls können die einzelnen IKT-Assets oder Leistungen der jeweiligen Schutzobjektklasse, eine Beschreibung des Spezifischen Sollmaßnahmenprofiles, die Auswahl der Schutzziele und eine Sortierung bestimmt werden. In den Sollmaßnahmenprofilen ist es möglich, mehrere Schutzobjektklassen zu zuordnen.
Die vier Schutzziele und dazugehörige Schadensklassen werden in Reitern dargestellt, um die Übersichtlichkeit zu wahren.
Sie haben nun die Möglichkeit allgemeine oder auch spezielle Profile für die betreffende Schutzobjektklasse anzulegen.
Im Bearbeitungsmodus haben Sie jederzeit die Möglichkeit das Schema der Schutzziele zu wählen oder entsprechend anzupassen.
Maßnahmen, Profilmaßnahmen und Inhaltsbeschreibungen
Die einzelnen Felder der Beschreibung können Sie im Bearbeitungsmodus mit Mouseover bearbeiten.
Verknüpfung mit Standards aus ForumNSR
Sie können den Inhalt bearbeiten, Maßnahmen verknüpfen, Profilmaßnahmen verknüpfen bzw. Profilmaßnahmen anlegen. Über den Link Maßnahmen verknüpfen
können Sie auf Maßnahmen der in ForumNSR hinterlegten Standards verweisen. Diese Maßnahmen können Sie für das betreffende Spezifische Sollmaßnahmenprofil in den jeweiligen Schutzzielen und Schadensklassen hinterlegen.
Am nachfolgenden Beispiel bearbeiten wir den Inhalt. Über den Link Inhalt bearbeiten
gelangen Sie in eine neue Ansicht zur Bearbeitung des Rich-Text-Feldes. Die Bearbeitung beenden Sie über die Schaltfläche ok
.
Der Vorteil an dieser Vorgehensweise - Sie können im Freitextfeld verschiedene Maßnahmen zusammenfassen, die für die Umsetzung als eine einzige Frage dargestellt werden und mit einer einzigen Aktion als "umgesetzt" markiert werden können.
Wenn Sie kein ForumNSR einsetzen oder auch unabhängig davon eigene Maßnahmen erstellen wollen, können Sie dies über den Link "Profilmaßnahmen anlegen" umsetzen. So können Sie sich auch einen eigenen Maßnahmenkatalog erarbeiten.
Bereits erstellte Profilmaßnahmen können Sie über die Funktion "Profilmaßnahme verknüpfen" auswählen. Die Abwahl einer entsprechende Maßnahme erfolgt in umgekehrter Reihenfolge einer Zuordnung.
Sind Spezifische Sollmaßnahmenprofile mit Maßnahmen aus ForumNSRverknüpft, lassen sich diese nun direkt aus der Maske über die Schaltfläche entfernen
im Bearbeitungsmodus wieder entfernen.
Als Nutzer von ForumISM besteht auch in den Sepzifischen Sollmaßnahmenprofilen eine vereinfachte Möglichkeit zur Erfassung von Sollmaßnahmenprofilen.
Es ist möglich, an Spezifischen Sollmaßnahmenprofilen Maßnahmen (Profilmaßnahmen, Maßnahmen aus Standards aus ForumNSR) auch ohne eine Zuordnung in die jeweiligen ACIN bzw. AACIN Klassen zu verknüpfen.
Verknüpfung mit IKT-Assets oder Leistungen
Spezifischen Sollmaßnahmenprofile können direkt aus einem entsprechenden Schutzobjekt verknüpft werden. Aus der Bearbeitungsansicht eines IKT-Assets im Reiter Schutzniveau können Sie über die Schaltfläche Aus Liste wählen...
aus bereits angelegten Spezifischen Sollmaßnahmenprofilen wählen und eine Zuordnung im Reiter Schutzniveau hinzufügen oder abwählen.
Ebenso können Sie über die Schaltfläche Baustein wählen Sollmaßnahmen aus Standards wählen, wenn Sie die Anwendung ForumNSR nutzen, wie im nachfolgenden Beispiel zu sehen.
Ein Standard muss in der Anwendung ForumNSR als Vorschlag im produktiven Bereich übernommen sein, um ihn in ForumISM als Sollmaßnahme zu verwenden.
Da es sich um eine Anwendung handelt, wählen Sie den Cluster Anwendungen und bestätigen die Auswahl über die Schaltfläche übernehmen
.
Nachdem ein Spezifische Sollmaßnahmenprofil mit dem Schutzobjekt verknüpft wurde, muss das Schutzobjekt mindestens einmal gespeichert werden, damit die Verknüpfung für die Schutzniveaubestimmung wirksam ist.
Über die Schaltfläche Details
am Schutzniveau gelangen Sie in den Reiter Schutzniveau in die Einzelansicht des Schutzniveaus und über den Reifegrad der Maßnahmen gelangen Sie in den Reiter Spezifische Sollmaßnahmen des Schutzniveaus. In unserem Beispiel ist der Weg über den Reifegrad gewählt wurden
Umsetzung der Maßnahmen
Über die Schaltfläche Details
am Schutzniveau gelangen Sie in die Einzelansicht Schutzniveau in die Einzelansicht des Schutzniveaus des gewählten IKT-Assets und über den Reiter Spezifische Sollmaßnahmen in die Einzelansicht der gewählten Maßnahmen. Über den Klick auf den Reifegrad oder das Fragezeichen vor dem Wort Reifegrad gelangen Sie in die Einzelansicht der jeweiligen Spezifischen Sollmaßnahme.
Über die Dreieckssymbole können Sie auch die Detailansicht des betreffenden Profils öffnen. Hinter den jeweiligen Profilen gelangen Sie über die Schaltfläche in die Detailansicht des Profils oder den gewählten Standard. Wechseln Sie aus dem Lesemodus in den Bearbeitungsstand werden die Schaltflächen >>Massen Vorbelegung
, Umsetzung zurücksetzen
und die Checkbox nicht bearbeitbare Maßnahmen einblenden angezeigt.
Im Reifegrad werden Ihnen zudem die Anzahl der gewählten Reifegrade angezeigt.
Eine Bearbeitung des Reifegrades von Spezifische Sollmaßnahmen für das effektive Schutzniveau ist nicht möglich. Bitte übertragen Sie ggf. hier erfasste Werte in den entsprechenden Bereich des regulären Schutzniveaus.
Checkbox
nicht bearbeitbare Maßnahmen einblenden -
Maßnahmen, deren Umsetzung durch einen Verweis auf eine andere Maßnahme referenzieren, können nicht bearbeitet werden und über die Auswahl entsprechend eingeblendet werden.Über das Fragezeichen vor dem Reifegrad erhalten sie bei aktiver Checkbox folgenden Hinweis:
Es kann zu Differenzen in der Anzahl der Maßnahmen kommen, da Maßnahmen, welche nicht bearbeitbar sind, nicht in der Zählung einbezogen werden.
Im Lesemodus werden aus Gründen der Revisionssicherheit alle Maßnahmen angezeigt, also auch verknüpfte organisationsrelevante Maßnahmen.
>> Massen Vorbelegung -
sind in dem gewählten Standard Umsetzungen und Reifegrade in der Anwendung ForumNSR dokumentiert, können diese über diese Schaltfläche in die Umsetzung nach ForumISM migriert werden, folgender Hinweis erscheint als PopupDurch Ausführung dieser Aktion werden in ForumNSR vorhandene Umsetzungsdokumentationen übernommen. Hierbei werden nur unbearbeitete Maßnahmen berücksichtigt. Möchten Sie fortsetzen?
Werden in einem Spezifischen Sollmaßnahmenprofil verknüpfte Profilmaßnahmen verwendet, werden diese ebenso über die
Massen Vorbelegung
mit übernommen. Werden in der Bearbeitungszeit am Spezifischen Sollmaßnahmenprofil Änderungen an den Profilmaßnahmen vollzogen, wird Ihnen dies im blauen Rahmen angezeigt. Die Umsetzung der Maßnahme bezieht sich also auf eine frühere Version der Maßnahme. Sie können über entsprechende SchaltflächenÄnderungen bestätigen
oderÄnderungen prüfen
.Abbildung: Hinweis auf Änderungen an ProfilmaßnahmeUmsetzung zurücksetzen -
die vorab beschrieben Aktion kann über diese Schaltfläche rückgängig gemacht werden, folgender Hinweis erscheint als PopupSollen sämtliche Eingaben zurückgesetzt werden?
Excel-Export der Sollmaßnahmen bei aktivem ForumOSM
Ist die Anwendung ForumOSM aktiv, kann am Schutzobjekt im Reiter Sollmaßnahmen der Excel-Export der Maßnahmen durchgeführt werden.
Abwahl einer Sollmaßnahme
Die Abwahl der Spezifischen Sollmaßnahmenprofile erfolgt nun bequem über die Schaltfläche Auswahl bearbeiten
und dem Mülleimersymbol zum Lösen der Verknüpfung.
Schutzziele am Spezifischen Sollmaßnahmenprofil
In Spezifischen Sollmaßnahmenprofilen kann die Zuordnung von Schutzzielen (Verfügbarkeit (Service- und Datenverfügbarkeit), Vertraulichkeit, Integrität und Authentizität) getroffen werden, welche in der Ansicht der IKT-Assets entsprechend angezeigt wird. Im nachfolgenden Beispiel wurde aus einem Standard die Anforderung (SOLL) Für jedes IT-Asset ist mindestens festzulegen, ob rechnungslegungs-,steuerungsrelevante oder personenbezogene Information Assets verarbeitet werden. Die bei der Verarbeitung eingesetzten IT-Assets sind entsprechend zu klassifizieren (Vererbung). im Sollmaßnahmenprofil den Schutzzielen Integrität und Authentizität in jeweils Stufe 2 zugeteilt.
Bitte denken Sie an das Hinterlegen einer entsprechenden Begründung der gewählten Einschätzung.
GAP-Risiken anlegen
Es ist möglich für nicht umgesetzte Sollmaßnahmen GAP-Risiken anzulegen oder bereits bestehende Risiken zu kopieren. Sobald eine Maßnahme nicht mehr den Status "unbearbeitet" hat, erscheinen die Button Risiko erfassen(1) und Risiko kopieren...(2).
Die erfassten Risiken werden anschließend unterhalb des Bemerkungsfeldes aufgeführt.
IKT-Assets - Anzeige nicht umgesetzter Sollmaßnahmen
Im Reiter des Schutzniveaus wird in den jeweiligen IKT-Assets für den Nutzer sofort erkenntlich dargestellt, welchen Stand die im Rahmen der Schutzniveaubestimmung gewählten Sollmaßnahmen aufweisen. Im Reifegrad der Zusammenfassung werden Ihnen je nach gesetzter Filteroption die Summen der entsprechenden Reifegrade aufgezeigt (vollständig umgesetzt, teilweise umgesetzt, nicht umgesetzt und unbearbeitet).
Im Reifegrad werden alle Maßnahmen am Schutzobjekt berücksichtigt, auch aus organisatorischem Cluster 00 des bankenindividuellen SiMaKat.
Aktualisieren-Funktion bei überarbeiteten Profilmaßnahmen
Wird die Umsetzung von NSR-Maßnahmen, die in ForumISM verknüpft sind, in ForumNSR überarbeitet, so können diese Änderungen in ForumISM übernommen werden. Damit bei gleichzeitiger Arbeit in ForumISM und ForumNSR solche Änderungen in ForumISM sichtbar werden, wurde in der Umsetzungs-Maske von ForumISM ein neuer Button Aktualisieren
geschaffen, der zwischenzeitliche Änderungen in beiden Anwendungen nachlädt.
Im nachfolgendem Beispiel wurden Maßnahmen aus dem bankenindividuellen SiMaKat aus dem Cluster 13 IT-Anwendungen mit einem Schutzobjekt verknüpft. Alle Maßnahmen sind unbearbeitet (Teilbild 1). Bevor die Massen Vorbelegung aktiviert wird, kann eine Aktualisierung gestartet werden. Im Teilbild 1 ist zu erkennen, dass an den Maßnahmen A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie und A.6.1.4-1 Kontakt mit speziellen Interessensgruppen keine Bearbeitung in ForumNSR erfolgte. An der Maßnahme A.6.2.1-1 Richtlinie zu Mobilgeräten ist über die Schaltfläche >> zu erkennen, dass eine Bearbeitung in ForumNSR erfolgte.
Damit die Inhalte von Maßnahmen des Clusters 13 IT-Anwendungen aus ForumNSR für die Bearbeitung an weiteren IKT-Assets zur Verfügen stehen, lohnt sich an dieser Stelle die direkte Bearbeitung der Maßnahmen in ForumNSR.
Der Wechsel zu ForumNSR kann über das Anklicken der Bezeichnung A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie erfolgen und die Bearbeitung im neuen Tab in ForumNSR starten.
Im Teilbild 2 wird nun nach Aktivierung der Schaltfläche Aktualisieren
ersichtlich, dass eine Bearbeitung an der Maßnahme A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie in ForumNSRgetätigt wurde.
Abweichungen zu Vorbelegungen aus ForumNSR und aus Profilmaßnahmen anzeigen lassen
Abweichungen zu Vorbelegungen aus ForumNSR und Profilmaßnahmen anzeigen(1)
- Änderungen der Umsetzungsdokumentation in ForumNSR sowie der Profilmaßnahmen können in ForumISM transparent dargestellt werden. Per blauer Rahmung(2) werden Änderungen an den Maßnahmen und Profilmaßnahmen angezeigt. Per Klick auf den Doppelpfeil(3) >> kann die Änderung einzeln übernommen werden. Bereits getätigte Erfassungen werden dabei überschrieben.
Massen-Übernahme geänderter Vorbelegungen(4)
- Änderungen der Umsetzungsdokumentation in ForumNSR sowie der Profilmaßnahmen können per Massenübernahme in einem Rutsch übernommen werden. Bereits getätigte Erfassungen werden dabei überschrieben.
Nicht relevante Maßnahmen ausblenden / Nicht bearbeitbare Maßnahmen einblenden
Am Schutzniveau eines speziellen IKT-Assets können im Bearbeiten-Modus die nicht bearbeitbaren Maßnahmen(2) (i.d.R. die organisationsrelevanten Maßnahmen aus dem BASI) eingeblendet werden, sowie die nicht relevanten Maßnahmen(1) ausgeblendet werden. Dazu muss im Schutzniveau im Reiter Sollmaßnahmen die betreffende Checkbox angehakt werden.
Die Funktion "nicht bearbeitbare Maßnahmen einblenden" erscheint nur, wenn in den Einstellungen der Schalter unter Schutzbedarf/Schutzniveau "Ausblendung nicht bearbeitbarer Sollmaßnahmen" aus ist, sowie am Schutzobjekt (welche die Bank selbst betreibt) Sollmaßnahmen aus dem Standard BASI (aus ForumNSR) verknüpft sind.
Ausblenden der nicht bearbeitbaren Sollmaßnahmen über die Einstellungen
Das Ausblenden der nicht bearbeitbaren Maßnahmen (i.d.R. die organisationsspezifische Maßnahmen aus dem BASI) kann global eingestellt werden, so dass diese Maßnahmen nicht mehr in das Sollmaßnahmen-Cockpit, die Statistik zum Reifegrad am Schutzobjekt sowie im Lesen-Modus bei Anzeige der Sollmaßnahmen am Schutzniveau einfließen.
Durch eine zentrale Einstellung über einen Schalter im Bereich Schutzbedarf/Schutzniveau im Reiter Sollmaßnahmen ist es möglich, die Anzeige der Reifegrade am Schutzobjekt und die Ergebnisse des Sollmaßnahmen-Cockpits zu beeinflussen, damit dort die organisationsrelevanten (nicht bearbeitbaren) Maßnahmen nicht mehr angezeigt werden.
Nach Aktivierung des Schalters erscheint sowohl am Schutzobjekt im Reiter Schutzniveau am Fragezeichen des Reifegrades als auch im Sollmaßnahmen-Cockpit ein Hinweis, der klarstellt, dass die nicht bearbeitbaren Maßnahmen gemäß Einstellungen ausgeblendet sind.
Wurde in den Einstellungen der Schalter "Ausblendung nicht bearbeitbarer Sollmaßnahmen" getätigt, jedoch am Schutzobjekt die Checkbox "Bearbeitung aller Sollmaßnahmen erlauben" angehakt, so gewinnt letztere Funktion. Damit werden alle Maßnahmen am Schutzobjekt bearbeitbar.
Sollmaßnahmenprofile für Leistungen in ForumISM und ForumOSM
Als Nutzer der Anwendung ForumOSM können Sie nun in ForumISM auf die Leistungen zugreifen. Im Menü Strukturanalyse werden nun die Leistungen entsprechend angezeigt, wenn in den Einstellungen der Funktionsbereich Leistungen aus ForumOSM berücksichtigen aktiviert wurde.
Alle Leistungen aus ForumOSM können nun über den Reiter Strukturanalyse und Leistungen eingesehen werden.