Skip to main content
Skip table of contents

Infrastruktur

Im Bereich Infrastruktur befindet sich eine Übersicht aller erfassten Infrastrukturobjekte.
Die Objekte sind unter verschiedenen Kategorien gruppiert, die Sie nach Bedarf mittels eines Klicks auf die jeweilige Kategorie ein- bzw. aufklappen können.

Je nachdem, in welcher Anwendung der ForumSuite Sie sich befinden, werden Informationen ein- oder ausgeblendet.

Es ist möglich, bereits vordefinierte Bereiche aus den Vorschlägen zu übernehmen und auf Ihre Bedürfnisse anzupassen.

Weitere Informationen zum Umgang mit Vorschlägen entnehmen Sie bitte dem Abschnitt „Übernehmen von Vorschlägen“.

Ist das ITR-Bundle im Einsatz, so entfällt die Anzeige des Schutzniveaus in der Übersicht. 

Abbildung: Ansicht der Infrastrukturobjekte am Beispiel ForumISM

Unterschiedliche Darstellung in den Anwendungen der ForumSuite


Ist das ITR-Bundle im Einsatz, so entfällt die Anzeige des Schutzniveaus in der Übersicht. 

Infrastruktur in ForumISM


Infrastruktur in ForumBCM


Infrastruktur in ForumNSR

Für die Erfassung von IKT-Assets stehen in ForumISM verschiedene Möglichkeiten zur Verfügung:

  • die Übernahme von IKT-Assets aus den Vorschlägen
  • das manuelle Erfassen
  • das Kopieren von bereits bestehenden IKT-Assets

Übernahme der IKT-Assets aus den Vorschlägen

Die mit ForumISM ausgelieferten IKT-Assets aus den Vorschlägen können unter Umgang mit Vorschlägen beschrieben in den Produktivbereich übernommen werden und stehen dann zur Bearbeitung zur Verfügung.

Erfassen von IKT-Assets

IKT-Assets können manuell erfasst werden. Gehen Sie dazu wie folgt vor (Felder mit einem roten Sternchen sind Pflichtfelder):

  1. Klicken Sie in der Ansicht Assetmanagement → IKT-Assets → <IKT-Asset Typ>  auf <IKT-Asset> anlegen.

  2. Geben Sie den Namen des neuen IKT-Assets ein.

  3. Ordnen Sie das neue IKT-Asset einer vorhandenen oder neuen Kategorie zu: Beim Klick auf die List-Box öffnet sich eine Auswahlliste. Wählen Sie hier eine vorhandene Kategorie aus oder erstellen Sie durch Klick auf das Dokumentensymbol rechts in der List-Box eine neue Kategorie ein und bestätigen Sie danach mit Speichern und schließen.

  4. Hinterlegen Sie entsprechend Verantwortliche für die Technische und/oder die Fachliche Zuständigkeit durch Auswahl aus der jeweiligen List-Box.
    Neue Verantwortungen können durch Klick auf das Dokumentensymbol rechts in der List-Box erstellt werden.
    Durch Speichern und schließen wird die neu erstelle Verantwortung in das jeweiligen IKT-Assetdokumentes übernommen.

  5. Geben Sie optional einen Sortierschlüssel ein (empfohlen dreistellige Zahl)

  6. Hinterlegen Sie eine Asset-ID

  7. Bestätigen Sie Ihre Eingaben mit Speichern und schließen .

  8. Nach vollständiger Bearbeitung empfiehlt sich eine Freigabe mit Wiedervorlage für die regelmäßige Überprüfung des Objektes.

Details

Alle IKT-Assets, unabhängig ob aus Vorschlägen übernommen oder manuell erfasst, werden anhand des Feldes Bezeichnung unter der Registerkarte Details näher beschrieben.
Felder mit einem roten Sternchen sind Pflichtfelder.

Weitere Dokumentationen (nur IKT-Assets vom Typ Anwendungen)

Reiter "Dokumentation"

In diesem Bereich können Sie umfangreiche zusätzliche Daten zu Ihren Anwendungen hinterlegen. Hier hinterlegen Sie Beschreibungen, Trägersysteme der Anwendung und weitere Informationen.

Anwendung Reiter "Dokumentation"

Zur Begrifflichkeit: 

IKT-Altsytem: ist ein Begriff aus der DORA. Definition siehe DORA Artikel 3: "„IKT-Altsystem“ ein IKT-System, das das Ende seines Lebenszyklus (Ende seiner Lebensdauer) erreicht hat, aus technologischen oder wirtschaftlichen Gründen nicht für Upgrades oder Fehlerbehebungen in Frage kommt oder nicht mehr von seinem Anbieter oder einem IKT-Drittdienstleister unterstützt wird, das allerdings weiterhin genutzt wird und die Funktionen des Finanzunternehmens unterstützt."

Adminkontrolle: Das sind IKT-Assets, die im Rahmen eines Administrationskontrollkonzeptes einer besonderen Kontrolle hinsichtlich der Admintätigkeiten unterliegen.

Siehe hierzu auch LFI Kapitel 6.7.6 Administrationskontrollkonzept: "Das Konzept zur Kontrolle administrativer Tätigkeiten besteht aus den vom Vorstand angeordneten Anweisungen und Maßnahmen, die dazu dienen, einen ordnungsgemäßen betrieblichen Ablauf sicherzustellen. Die organisatorischen und technischen Kontrollmaßnahmen der internen Kontrolle sind in die Betriebsabläufe integriert, sie erfolgen arbeitsbegleitend oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert. Eine Aufgabe des internen IT-Kontrollsystems ist die systematische, regelmäßige und anlassunabhängige sowie anlassabhängige Auswertung von administrativen Tätigkeiten an IKT-Systemen. Hierdurch können Fehler oder Unregelmäßigkeiten aufgedeckt und die Zuverlässigkeit und Vollständigkeit der Rechnungslegung sichergestellt werden. Art und Umfang der administrativen Kontrollen müssen risikoorientiert nach Maßgabe des Schutzbedarfs festgelegt werden. Die Durchführbarkeit hängt von verschiedenen Faktoren ab wie z.B. dem Umfang und der Auswertbarkeit der zur Verfügung stehenden Log-Dateien mit Bezug zu den zugrundeliegenden Arbeitsaufträgen.
Zunächst ist eine Bewertung durchzuführen, welche IKT-Systeme im Administrationskontrollkonzept zu berücksichtigen sind oder nach entsprechender Risikoabwägung nicht zu berücksichtigen sind. (...)"

Trägersystem: Angaben zum Trägersystem ist vor allem bei Eigenentwicklungen (IDV) zu betrachten. Hier gibt es z.B. Excel oder auch Notes als Trägersystem für die Eigenentwicklung. Das kann auch bei virtuellen Maschinen auf einem Server eine Rolle spielen.

Reiter "Relevanz"


Anwendung Reiter "Relevanz"

Die Relevanzen aus mit dem Asset verknüpften Informationsklassen (indirekt verknüpft über die Geschäftsprozesse oder im Ausnahmefall auch direkt verknüpft) werden automatisiert an das Asset weitergegeben.

Falls ein mit einer hohen Abhängigkeit verknüpfter Geschäftsprozess eine kritische oder wichtige Funktion ist, wird auch dieser Wert an das Asset übrtragen.

In diesem Reiter kann dokumentiert werden, ob die Anwendung MaRisk, GoB oder eine spezielle Patch-Relevanz hat.

In den jeweiligen Bemerkungsfeldern können die gewählten Relevanzen näher beschrieben bzw. begründet werden.

Erweitert (nur IKT-Assets vom Typ System)

Die Ansicht öffnen Sie bitte über das Dreieckssymbol. Hier können zusätzliche Informationen zum System hinterlegt werden.



Abbildung: Weitere Informationen unter Erweitert

Betrieb und Hersteller

Zusätzliche Informationen

Beschreiben Sie die „Betriebsart“ des IKT-Assets und die sich daraus ergebende Aufgabenverteilung.
Bei Wahl der Betriebsart „Teilweise ausgelagerter Betrieb“ erscheinen zwei zusätzliche Auswahlboxen, in welchen die Verteilung hinterlegt werden kann.

Bedeutung der einzelnen Betriebsarten für Anwendungen und Systeme

Vollständig eigener Betrieb

Das Schutzobjekt wird ausschließlich vom Unternehmen selbst betrieben.

Teilweise ausgelagerter Betrieb an einen Dienstleister

Ist der Betrieb des IKT-Assets nur teilweise ausgelagert, wählen Sie Punkt 3. Hier ist zunächst analog zu Vollständig ausgelagerter Betrieb der Dienstleister zu wählen.

Für den Unternehmensnamen steht die gleiche Auswahlliste wie oben beschrieben zur Verfügung.

Zusätzlich erscheint eine Übersicht für die Aufgabenverteilung.

Dahinter verbirgt sich eine Auswahlliste, in der die Aufgabenverteilung zwischen Unternehmen und Dienstleister dargestellt wird.

Es müssen nicht alle aufgeführten Punkte ausgefüllt werden.

Sollte in einigen Punkten Aufgabenteilung bestehen, so sind auch Doppelnennungen möglich.

Sollten Sie Aufgabenbereiche weder dem Unternehmen noch dem Dienstleister zuordnen können, da diese evtl. für das Schutzobjekt nicht zutreffend sind, lassen Sie die Auswahl an den betreffenden Stellen einfach leer.
Nicht zugeordnete Aufgaben werden unterhalb der Box zur Aufgabenverteilung aufgeführt.

Vollständig ausgelagerter Betrieb

Der Betrieb ist vollständig ausgelagert.
ForumISM gibt dem Anwender die Möglichkeit, den entsprechenden Dienstleister zu wählen. An oberster Stelle in der Auswahlmöglichkeit erscheint, falls zugeordnet, immer die Rechenzentrale.

Komplexe Outsourcing-Situation

Existiert für das Schutzobjekt eine Betriebsart, die durch die ersten drei Punkte nicht beschrieben werden kann (z.B. ein System, dessen Betrieb an mehrere Dienstleister ausgelagert ist), so ist Punkt 4 auszuwählen.
Die bestehende Outsourcing-Situation kann dann in einem Textfeld Beschreibung der Situation beschrieben werden.


Hersteller

Geben Sie an, ob es sich bei dem IKT-Assets um eine Eigenentwicklung oder die eines Fremdherstellers handelt.
Der Name des Entwicklers bzw. Fremdherstellers kann optional angegeben werden.
Darüber hinaus haben Sie die Möglichkeit, den Einsatzstatus und das Einsatzdatum (Beginn der produktiven Nutzung) zu hinterlegen.

Das Setzen des Einsatzstatus hat Einfluss auf die Sichtbarkeit des Objektes bzw. damit verknüpfter Risiken in verschiedenen Auswertungen.

Bedeutung der Einsatzstatus

nicht festgelegt
in Einführungdas Objekt wird für den produktiven Einsatz vorbereitet
produktivdas Objekt wird im täglichen Betrieb genutzt
außer Betriebdas Objekt wird nicht mehr im täglichen Betrieb, steht aber aus Revisionsgründen noch zur Verfügung
liquidiertdas Objekt wurde gelöscht/entsorgt

IKT-Assets, die als „in Einführung“, „außer Betrieb“ bzw. „liquidiert“ gekennzeichnet sind sowie deren IKT-Asset-Maßnahmen und Risiken werden in Auswertungen nicht berücksichtigt.

Auswirkung der Einsatzstatus auf die Berücksichtigung in Auswertungen

Status

Auswertung

nicht festgelegtin Einführungproduktivaußer Betriebliquidiert
Filterung im Widget auf der Startseitex

-

x--
Risiko-Cockpitx-x--
Risiko Auswertungenx-x--
GAP-Risikenx-x--
Meldung der Restrisikenx-x--

Verknüpfungen

Ordnen Sie dem IKT-Asset eine Abhängigkeit zum Geschäftsprozesse sowie IKT-Assets zu. Klicken Sie dazu auf Aus Liste wählen... und markieren Sie die Objekte in der Auswahlliste (Mehrfachauswahl ist möglich).


Abbildung: Abhängigkeitsgrad bei neuen Verknüpfungen

Die Optionswahl(1) hilft bei der Übersichtlichkeit, um Verknüpfungen zu lösen oder neu hinzuzufügen sowie zu überprüfen.

Verknüpfungen werden nun in Abhängigkeitsgraden eins, zwei, drei und vier dargestellt.

AbhängigkeitsgradHilfstext
1Im Falle einer Unterbrechung der Dienste werden die unterstützten Funktionen nicht beeinträchtigt.
2Im Falle einer Unterbrechung der Dienste werden die unterstützten Funktionen nicht wesentlich beeinträchtigt (keine Unterbrechung, kein größerer Schaden) oder die Unterbrechung kann schnell und mit minimalen Auswirkungen auf die unterstützte(n) Funktion(en) behoben werden.
3Im Falle einer Unterbrechung der Dienste würden die unterstützten Funktionen erheblich beeinträchtigt, wenn die Unterbrechung länger als ein paar Minuten/ein paar Stunden dauert, und die Unterbrechung kann zu Schäden führen, die aber noch überschaubar sind.
4Im Falle einer Unterbrechung der Dienste würden die unterstützten Funktionen sofort und für einen langen Zeitraum stark unterbrochen/beschädigt.

Dienstleistungen

Nutzen Sie die Anwendungen ForumISM und ForumOSM werden Ihnen hier zum betreffenden IKT-Asset zugeordnete Dienstleistungen angezeigt. Über die Schaltfläche Aus Liste wählen.. können im Bearbeitungsmodus weitere Dienstleistungen hinzugefügt werden bzw. auch abgewählt werden. Weitere Informationen zur Bearbeitung und Auswirkungen finden Sie im Handbuch von ForumISM im Bereich der Sollmaßnahmenprofile.

Die Funktionen im Bereich Dienstleistungen in ForumISM zur Abbildung von IKT-Dienstleistungen sind auch ohne ein lizenziertes ForumOSM möglich.


Abbildung: Ansicht Leistungen in ForumISM

Weitere Verknüpfungen

In diesem Bereich können Sie bei Bedarf der Anwendung manuell weitere Informationsklassen zuordnen.

Sofern die Anwendung für einzelne aus zugeordneten Geschäftsprozessen verknüpften Informationsklassen nicht relevant ist, können diese manuell abgewählt werden. Die Begründung der Abwahl kann in der nächsten Zeile erfasst werden.

Abbildung: Ansicht Informationsklassen in ForumISM


Schutzbedarf

Um das IT-Risikoprofil des Unternehmens ermitteln und daraus abgeleitet angemessene IT-Sicherheitsmaßnahmen modellieren zu können, muss der Schutzbedarf der einzelnen IKT-Assets mit dem Schutzbedarf der Geschäftsprozesse abgeglichen werden.

Schutzbedarf

An dieser Stelle wird der maximale Schutzbedarf der Geschäftsprozesse angezeigt, die dieses IKT-Asset direkt oder indirekt benötigen. Außerdem werden die direkt verknüpften Informationsklassen berücksichtigt.


Abbildung: Schutzbedarf

Diese Werte können als Basis für die tatsächlichen Werte RTA und RPA in der Ansicht des Schutzniveaus im neuen Reiter Tatsächlicher Wert herangezogen werden. Hier wird es in einer weiteren Ausbaustufe auch eine Vererbung aus dem Minimalitätsprinzip geben.


Abbildung: Neuer Reiter Tatsächliche Werte

Anzeige der Sicherheitsrelevanz am Schutzniveau

Wird ein IKT-Asset als nicht sicherheitsrelevant eingestuft, kann kein Schutzniveau angelegt werden. Wurde ein Schutzniveau angelegt, kann das Schutzobjekt nicht mehr als nicht sicherheitsrelevant markiert werden.


Abbildung: Sicherheitsrelevanz eines Schutzobjektes

Sollmaßnahmenprofile

An dieser Stelle werden verknüpfte Sollmaßnahmenprofile angezeigt.
Die Erfassung und Zuordnung dieser Profile erfolgt unter Schutzbedarf → spezifische Sollmaßnahmenprofile.

Schutzniveau anlegen

Die Erfassung eines Schutzniveaus bei Anwendungen ist nur möglich, wenn das Objekt als sicherheitsrelevant eingestuft wurde.

Eine Umstellung in der Schutzbedarfsklassifizierung teilt die Bewertung der Schutzziele zwischen Prozessen und Informationsklassen auf. Während der Verfügbarkeits-Wert „A“ an den Geschäftsprozessen ermittelt wird, werden die Werte der Vertraulichkeit, Integrität und Authentizität, also die CIN-Werte, an den Informationsklassen erhoben und im Maximalitätsprinzip an die verknüpften Prozesse weitergegeben.

Wurde das AACIN-Schema genutzt, wird in der Maske für die Schutzbedarfsanalyse ein Hinweis auf das nicht mehr unterstützte AACIN-Schema integriert und zum Wechsel auf das ACIN-Schema aufgefordert.


Abbildung: Schutzbedarf - Hinweis bei Nutzung des alten AACIN-Schemas

Bei der aktiven Bestätigung der Umschaltung wird der Wert für die Datenverfügbar entfernt.

Bitte füllen Sie die entsprechenden Bemerkungsfelder, um zu einem späteren Zeitpunkt die Nachvollziehbarkeit zu gewährleisten. Das Ergebnis des CIN Wertes können Sie durch das Sätzen des Häkchens zusammengefasst anzeigen lassen.

Abbildung: Zusammenfassung CIN

Schutzniveauvorschlag übernehmen

Es ist möglich, dass für ein aus den Vorschlägen übernommenes Schutzobjekt bereits ein Vorschlag für ein Schutzniveau hinterlegt wurde. Ist ein solcher vorhanden, so wird er Ihnen von ForumISM angezeigt.

Abbildung: Schutzniveau-Vorschlag übernhemen

Diesen Vorschlag können Sie als Grundlage für Ihre eigene Analyse nutzen.

Die mitgelieferten Vorschläge sollten nicht einfach 1:1 von den Nutzern übernommen werden, sondern lediglich als Basis für eine eigene Einschätzung im Unternehmen dienen. Möglicherweise kann sich die Einschätzung in Ihrem Unternehmen von den Vorschlägen unterscheiden.

Durchführung einer Schutzniveaubestimmung

Führen Sie eine Schutzniveaubestimmung für das IKT-Asset wie folgt durch:

  • Öffnen Sie das Objekt im Bearbeiten-Modus.
  • Aktivieren Sie die Registerkarte „Schutzniveau“.
  • Betätigen Sie die Schaltfläche „Schutzniveau erfassen…“

Die Erfassung der für die Schutzniveaubestimmung benötigten Informationen erfolgt über einen Dialog. Die Analyse kann jederzeit über Abbrechen  nach Bestätigung einer Sicherheitsabfrage abgebrochen werden.
Die Eingaben sind unterteilt nach den jeweils erreichbaren Stufen der Sicherheitsziele.

Abbildung: Schutzniveaubestimmung

In der Zusammenfassung des Schutzniveaus wirkt das Minimalitätsprinzip – der geringste Wert bestimmt das angebotene Schutzniveau. Bei unterschiedlichen Werten empfiehlt es sich daher, die Zusammenfassung nicht zu nutzen, um Abweichungen vom geforderten Schutzbedarf möglichst gering zu halten.

Bei nachträglicher Änderung des Bewertungsschemas auf A

Die hinterlegten CIN-Werte werden entfernt und erhalten bleibt nur noch der A-Wert.

Kopieren des Schutzniveaus eines anderen Objektes

Soll das Schutzniveau von einem anderen IKT-Asset als Basis für die Bearbeitung übernommen werden, wechseln Sie im IKT-Asset in den Bearbeiten-Modus und nutzen dann die Schaltfläche  Schutzniveau kopieren von....

IKT-Assets - Schutzniveau Detailanzeige

An den IKT-Assets wird unter dem Reiter Schutzniveau in den Details der Abgleich zum Schutzbedarf angezeigt. Bestehende Daten zur Verfügbarkeit aus der Bemerkungen werden aus ForumISM 3.6.5 durch Migration in die Serviceverfügbarkeit übertragen. Die fehlende Bearbeitung der Datenverfügbarkeit und ein nachträglicher Abgleich zwischen Schutzbedarf und Schutzniveau wird durch ein fehlendes Schutzziel neutral dargestellt - wie im nachfolgenden Screenshot zu sehen.

Abweichungen

Abweichungen werden nur für IKT-Assets mit Einsatzstatus produktiv angezeigt.

An dieser Stelle wird die Abweichung zwischen dem maximale Schutzbedarf der wesentlichen Geschäftsprozesse und dem ermittelten Schutzniveau des IKT-Assets angezeigt.

Abbildung: Delta Schutzbedarf <> Schutzniveau

Service- und Datenverfügbarkeit nach Migration in ForumISM

  • Bestehende Daten werden aus ForumISM 3.6.X in die Serviceverfügbarkeit übertragen.
  • Die Bearbeitung der Datenverfügbarkeit und ein nachträglicher Abgleich zwischen Schutzbedarf und Schutzniveau wird durch ein fehlendes Schutzziel neutral dargestellt – kein GAP

Abbildung: Service- und Datenverfügbarkeit nach Migration

GAP-Risiko

Das GAP-Risiko dient der Bewertung des Risikos aus der Abweichung zwischen Schutzbedarf und Schutzniveau.

Schnittstellen

Für alle IKT-Assets wurden im Reiter Schnittstellen die Möglichkeit zur Modellierung von ein- und ausgehenden Datenströmen geschaffen. Angelehnt an die Datenstromanalyse aus der Notes-Version von ForumISM Version 3.6.X  wird somit die Möglichkeit zur Dokumentation von Datenflüssen geschaffen.

Abbildung: Schnittstelle an der Anwendung ForumSuite

Im Bearbeitungsmodus kann eine Schnittstelle an dem betreffenden IKT-Asset angelegt bzw. aus einem bestehenden Objekt kopiert werden. Die Art der Schnittstelle kann in

  • Hardwareschnittstelle
  • Softwareschnittstelle
  • Netzwerkschnittstelle
  • Datenschnittstelle
  • Benutzerschnittstelle

eingeteilt werden. Für eine Schnittstelle kann neben dem Sortierschlüssel und der Bemerkung auch die Richtung eingehend, ausgehend oder ein- und ausgehend definiert werden. Nach definierter Richtung sollten im betreffenden Bereich Eingehende Daten oder Ausgehende Daten die gewünschten IKT-Assets verknüpft werden. Werden externen Daten importiert oder Daten an externe Ziele exportiert, besteht hier die Möglichkeit zur Dokumentation.

Abbildung: Schnittstelle Detailansicht

Risikomanagement

Im Reiter Risikomanagement haben Sie die Möglichkeit, Risiken und Maßnahmen anzulegen und zu kopieren. Hierfür stehen Ihnen die entsprechenden Schaltflächen Risiko anlegen, Risiko kopieren von, Maßnahme anlegen und Maßnahme kopieren von zur Verfügung.

Abbildung: Reiter Risikomanagement

Anlegen eines Risikos

Allgemein

Zum Anlegen eines Risikos nutzen Sie bitte die Schaltfläche Risiko anlegen.

Abbildung: Schaltflächen Risikomanagement

Bei der Erstellung bzw. der Bearbeitung eines Risikos können verschiedene Verknüpfungen vorgenommen werden. Ein Risiko wird üblicherweise mit der Verantwortung(2) und der Bedrohung(3) verknüpft, auf welchen es aufbaut. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für das Risiko an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Bezieht sich auf(4) ist das Schutzobjekt ersichtlich, an welchem Sie gerade das Risiko anlegen.

Die übrigen Felder sind zur besseren Übersicht in Reitern(5) zusammengefasst. In der Abbildung ist der Reiter Allgemein aufgeklappt. Der aktive Reiter wird durch einen farbigen Balken hervorgehoben.

Abbildung: Anlegen eines neuen Risikos

Bewertung

Zu jedem Risiko kann eine Bewertung hinterlegt werden. Die Bewertung bietet die Möglichkeit, verschiedene Kenngrößen des Risikos zu klassifizieren. Beim Erstellen einer Bewertung können Sie verschiedene Einstufungen vergeben.
Die Eintrittswahrscheinlichkeit sowohl des Risikos als auch des Restrisikos kann im Reiter Bewertung nach Auswahl der Bedrohungseinstufung(1) und der Schwachstelleneinstufung(1) berechnet(2) werden.

Abbildung: Risiko und das Berrechnen der Eintrittswahrscheinlichkeit

Die Einstufung kann in 4 verschiedenen Stufen(1) gesetzt werden (sehr gering, gering, hoch und sehr hoch).

Die Werte für Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß sollten dabei als Kern-Indikatoren dienen.


Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.

Abbildung: Matrix Eintrittswahrscheinlichkeit

Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung zur Verfügung:

    1 - niedrig (Die Schadenswirkung ist minimal)

    2 - mittel (Die Schadenswirkung ist gering)

    3 - hoch (Die Schadenswirkung ist beträchtlich)

    4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)

Maßnahme am Risiko

Maßnahmen, welche zur Minderung des Risikos führen, können aus dem Sicherheitskonzept des Auslagerungsnehmers stammen oder vom Bearbeiter festgelegt werden. Es können Maßnahmen in beliebiger Anzahl angelegt werden. Welche oder wie viele Maßnahmen empfohlen werden, hängt von den Anforderungen des Objekts ab.

Zum Anlegen einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahme anlegen(1).

Abbildung: Schaltfläche Maßnahme anlegen

Beim Erstellen einer Maßnahme aus einem Risiko, wird das betreffende Risiko sofort in diese Maßnahme mit übernommen(1). Die Verknüpfung mit einem Risiko ist bei Anlage einer Maßnahme erforderlich. Bitte geben Sie eine aussagekräftige Bezeichnung(2)  für die Maßnahme an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern.

Abbildung: Anlegen einer Maßnahme

Möchten Sie die die Auswahl der Risiken bearbeiten, nutzen Sie bitte die Schaltfläche Auswahl bearbeiten(3) .

Achten Sie auch auf die Vergabe einer Verantwortung.

Status

Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status stehen Ihnen folgende Status zur Verfügung:

StatusBedeutung
vorgesehenDie verfahrensspezifische Maßnahme ist vorgesehen.
in BearbeitungDie verfahrensspezifische Maßnahme ist in Bearbeitung.
in PrüfungDie verfahrensspezifische Maßnahme ist in Prüfung.
implementiertDie verfahrensspezifische Maßnahme ist fertig bearbeitet.
verworfenDie verfahrensspezifische Maßnahme wurde verworfen.

Die neue Maßnahme können Sie zum Abschluss freigeben und es wird automatisch eine Wiedervorlage erstellt.

Kopierfunktion von Risiken

Über die Schaltfläche Risiken kopieren von kann eine Kopie eines bereits bestehenden Risikos angelegt werden.

Abbildung: Reiter Risikomanagement

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Risiken zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl ein Risiko oder auch mehrere Risiken auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Risiken auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Dialog Risiken kopieren

Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Risiken aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Es ist notwendig die einzelnen Risiken aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Risiko) und zu speichern. Natürlich können Sie im Risiko selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Risiken verknüpft wurden, dann werden diese mit gespeichert.

Abbildung: Reiter Risikomanagement

Unter den Risiken werden automatisch die am Risiko verknüpften Maßnahmen mit übernommen(3). Im Beispiel handelt es sich um die Maßnahme am ersten Risiko(4).

Abbildung: Reiter Risikomanagement

Anlegen einer Maßnahme

Allgemein

Zum Anlegen einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahme anlegen.

Abbildung: Maßnahmen Schaltflächen

Bei der Erstellung bzw. der Bearbeitung einer Maßnahme können verschiedene Verknüpfungen vorgenommen werden. Eine Maßnahme wird üblicherweise mit der Verantwortung(2) verknüpft, welche für diese Maßnahme zuständig ist. Unter Risiken können Sie ein neues Risiko anlegen(3) oder bereits vorhandene Risiken(4) (an diesem Schutzobjekt) verknüpfen. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für das Risiko an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Schutzobjekt(5) ist das entsprechende Schutzobjekt ersichtlich, an welchem Sie gerade die Maßnahme anlegen.

Abbildung: Maßnahme anlegen

Eine Übersicht aller Maßnahmen befindet sich im Menü unter Risikomanagement → Schutzobjektmaßnahmen.

Übergreifende Maßnahmen

An der neuen Maßnahme haben Sie außerdem die Möglichkeit Übergreifende Maßnahmen(6) zu verknüpfen, dies macht die Schaltfläche Aus Liste wählen möglich. 

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Übergreifenden Maßnahmen zu treffen, welche Sie verknüpfen möchten. Sie können über die Auswahl eine Übergreifende Maßnahme oder auch mehrere Übergreifende Maßnahmen auswählen, welche Sie über die Schaltfläche Übernehmen der betreffenden Maßnahme zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Übergreifenden Maßnahmen auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Übergreifende Maßnahmen Dialog

Es handelt sich hierbei um eine Verknüpfung zu den bereits bestehenden Übergreifenden Maßnahmen, nicht um Kopien.

Abbildung: Übergreifende Maßnahmen

Möchten Sie die Verknüpfung der Übergreifenden Maßnahmen an der Maßnahme wieder aufheben, ist dies erneut über die Schaltfläche Aus Liste wählen(1) möglich. Das Dialog-Fenster zur Auswahl öffnet sich erneut und Sie können die Übergreifenden Maßnahmen einfach wieder abwählen.

Eine Übersicht aller Übergreifenden Maßnahmen befindet sich im Menü unter Risikomanagement - Übergreifende Maßnahmen. Hier besteht auch die Möglichkeit Übergreifende Maßnahmen anzulegen.

Kopierfunktion von Maßnahmen

Zum Kopieren einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahmen kopieren von.

Abbildung: Maßnahmen Schaltflächen

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Maßnahmen zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl eine Maßnahme oder auch mehrere Maßnahmen auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Maßnahmen auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Maßnahmen kopieren Dialog

Der Dialog stellt alle Maßnahmen vom jeweiligen Schutzobjekt zum Kopieren zur Verfügung.

Sofern eine Maßnahme gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Maßnahmen aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Abbildung: kopierte Maßnahmen

Bitte beachten Sie, dass hier die Kopien der Maßnahmen keinen Status mehr haben. Ersichtlich ist dies in der Tabelle als (nicht festgelegt)(3), in der Spalte des Status. Diesen können Sie aber manuell ganz einfach nachtragen.

Es ist notwendig die einzelnen Maßnahmen aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Maßnahme) und zu speichern. Natürlich können Sie in der Maßnahmen selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Maßnahmen verknüpft wurden, dann werden diese mit gespeichert.

Change-Management

Ein Änderungsdokument wird direkt aus einem Schutzobjekt unter dem Reiter Change-Management heraus angelegt. Sie haben die Möglichkeit ein neues Dokument anzulegen oder die Inhalte aus einem bestehenden Dokument zu kopieren.

Mit der Schaltfläche kopieren... ist es möglich, Änderungsdokumente nur aus dem aktuellen Objekt zu duplizieren. Hierdurch werden Aufrufzeiten der zur Auswahl stehenden Objekte deutlich verringert. Über die Schaltfläche aus Allen kopieren... werden Ihnen alle Änderungsdokumente zur Auswahl für das Kopieren aufgerufen. Dieser Vorgang kann bei einer großen Anzahl von Änderungsdokumenten Wartezeiten verursachen.


Abbildung: Reiter Change-Management

Anlegen eines Änderungsdokuments

Zum Anlegen eines Änderungsdokuments nutzen Sie bitte die Schaltfläche Änderungsdokument anlegen.

Grundlagen

Bei der Erstellung bzw. der Bearbeitung eines Änderungsdokuments können verschiedene Verknüpfungen vorgenommen werden. Ein Änderungsdokument wird üblicherweise mit der Verantwortung(2) verknüpft, welche für dieses Änderungsdokument zuständig ist. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für das Änderungsdokument an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Bezieht sich auf(3) ist das entsprechende Schutzobjekt ersichtlich, an welchem Sie gerade das Änderungsdokument anlegen.

Abbildung: Änderungsdokument anlegen

Unter Sicherheitstechnische Freigabe durch Rechenzentrale und Softwarebescheinigung nach IDW PS880 können Sie entsprechende Angaben machen. Ändern Sie die Drop-Down Option auf liegt vor, kommen automatisch zwei weitere Felder hinzu, welche entsprechend auszufüllen sind.

Auswirkungsanalyse

Im Reiter Auswirkungsanalyse können Angaben zur Vorabbewertung gemacht werden, als auch zur Wesentlichkeitsprüfung. Im Bereich der Wesentlichkeitsprüfung besteht die Möglichkeit Checklisten einzubinden, dies ermöglicht die Schaltfläche Checkliste übernehmen(1).

Abbildung: Änderungsdokument anlegen - Auswirkungsanalyse

Um Checklisten einbinden zu können, müssen entsprechende Vorschläge eingespielt sein. Dies können Sie im Menü unter Verwaltung - Vorschläge vornehmen.

Binden Sie Checklisten an Ihrem Änderungsdokument ein, haben Sie diverse Möglichkeiten für Ihre Eingaben. Die Checklisten lassen sich jederzeit über die Schaltfläche Checkliste entfernen(1) (mit Papierkorb Icon) wieder entfernen. Unter dieser Schaltfläche befindet sich eine Zählung(2) der einzelnen Checklisten-Inhalte, um einen Überblick zu geben welche Schritte bereits ausgefüllt wurden. Unter den Checklisten befinden sich Zählungen der Anzahl der gewählten Optionen, unter Einschätzungen, in Form von farblich hervorgehobenen Leisten(3). Die Zahlen in der Leiste verdeutlichen die Anzahl, während die Aufteilung der Farben wie folgt dargestellt wird:

FarbeEinschätzung
rothoch
orangemittel
grünniedrig

Abbildung: Wesentlichkeitsprüfung am Änderungsdokument

Test- und Freigabeverfahren

Im Reiter Test- und Freigabeverfahren besteht die Möglichkeit fachliche und technische Tests, als auch fachliche und technische Abnahmen am Änderungsdokument einzupflegen. 

Bestätigen Sie, dass eine oder mehrere dieser Optionen erforderlich sind, erscheint eine zusätzliche Schaltfläche, die es ermöglicht, einen Test oder eine Abnahme hinzuzufügen.

Abbildung: Fachliche Abnahme am Änderungsdokument

Maßnahmen am Änderungsdokument

Im Reiter Maßnahmen besteht die Möglichkeit Maßnahmen anzulegen und zu kopieren. Dafür stehen die Schaltflächen Maßnahmen anlegen und Maßnahmen kopieren von zur Verfügung.

Abbildung: Maßnahmen am Änderungsdokument
Anlegen von Maßnahmen am Änderungsdokument

Zum Anlegen einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahme anlegen.

Bei der Erstellung bzw. der Bearbeitung einer Maßnahme können verschiedene Verknüpfungen vorgenommen werden. Eine Maßnahme wird üblicherweise mit der Verantwortung(2) verknüpft, welche für diese Maßnahme zuständig ist. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für die Maßnahme an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Änderungsdokument(3) ist das entsprechende Änderungsdokument ersichtlich, an welchem Sie gerade die Maßnahme anlegen.

Abbildung: Neue Maßnahme am Änderungsdokument

Jede Maßnahme kann verschiedene Status-Zustände annehmen. Für den Status(4) stehen Ihnen folgende Status zur Verfügung:

StatusBedeutung
vorgesehenDie verfahrensspezifische Maßnahme ist vorgesehen.
in BearbeitungDie verfahrensspezifische Maßnahme ist in Bearbeitung.
in PrüfungDie verfahrensspezifische Maßnahme ist in Prüfung.
implementiertDie verfahrensspezifische Maßnahme ist fertig bearbeitet.
verworfenDie verfahrensspezifische Maßnahme wurde verworfen.
Kopierfunktion von Maßnahmen am Änderungsdokument

Zum Kopieren einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahmen kopieren von.

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Maßnahmen zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl eine Maßnahme oder auch mehrere Maßnahmen auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Maßnahmen auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Kopieren von Maßnahmen am Änderungsdokument

Der Dialog stellt alle Maßnahmen an Änderungsdokumenten von allen IKT-Assets und den Geschäftsprozessen zum Kopieren zur Verfügung.

Sofern eine Maßnahme gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Maßnahmen aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Abbildung: kopierte Maßnahmen am Änderungsdokument

Bitte beachten Sie, dass hier die Kopien der Maßnahmen den Status(3) der Original-Maßnahmen übernehmen. Diesen können Sie aber manuell ganz einfach ändern.

Es ist notwendig die einzelnen Maßnahmen aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Maßnahme) und zu speichern. Natürlich können Sie in der Maßnahmen selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Maßnahmen verknüpft wurden, dann werden diese mit gespeichert.

Kopierfunktion eines Änderungsdokuments

Zum Kopieren eines Änderungsdokuments nutzen Sie bitte die Schaltfläche Änderungsdokumente kopieren von.

Abbildung: Änderungsdokument kopieren Schaltfläche

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Änderungsdokumenten zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl ein Änderungsdokument oder auch mehrere Änderungsdokumente auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Änderungsdokumente auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Änderungsdokument kopieren Dialog

Der Dialog stellt alle Änderungsdokumente vom jeweiligen Schutzobjekt zum Kopieren zur Verfügung.

Sofern ein Änderungsdokument gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Änderungsdokumente aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Abbildung: kopierte Änderungsdokumente

Bitte beachten Sie, dass hier die Kopien der Änderungsdokumente den Status in Planung(3). Diesen können Sie aber manuell ganz einfach ändern.

Es ist notwendig die einzelnen Änderungsdokumente aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Änderungsdokument) und zu speichern. Natürlich können Sie im Änderungsdokument selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Änderungsdokumente verknüpft wurden, dann werden diese mit gespeichert.

Kopierfunktion für IKT-Assets

IKT-Assets (Anwendungen, Systeme und Infrastruktur-Objekte) können inklusive der verknüpften Modelle dupliziert werden. Die Funktion kann am jeweiligen Objekt über das Extras-Menü rechts oben aufgerufen werden.

Wir hier beispielhaft an einer Anwendung dargestellt:


Abbildung: Kopierfunktion für Schutzobjekte
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.