Spezifische Sollmaßnahmenprofile

Die Kategorien können über die Dreiecksymbole links neben der Bezeichnung auf- und zugeklappt⁽¹⁾ werden. Um alle Kategorien auf- bzw. zuzuklappen nutzen Sie die Symbole +⁽²⁾ bzw. -⁽²⁾ im Bereich rechts oberhalb der Tabelle.

Abbildung: Übersicht Sollmaßnahmenprofile

Nutzer der Anwendung ForumOSM können auch Sollmaßnahmenprofile für Leistungen angelegen.

Sollmaßnahmenprofil anlegen und bearbeiten

Bei der Erstellung bzw. der Bearbeitung eines Spezifischen Sollmaßnahmenprofiles können verschiedene Verknüpfungen vorgenommen werden. Ein Spezifisches Sollmaßnahmenprofil wird üblicherweise mit der betroffenen Schutzobjektklasse verknüpft. Die Felder Bezeichnung und Verantwortung stehen am Anfang der Sollmaßnahmenprofil-Maske.

Ebenfalls können die einzelnen Schutzobjekte oder Leistungen der jeweiligen Schutzobjektklasse, eine Beschreibung des Spezifischen Sollmaßnahmenprofiles, die Auswahl der Schutzziele und eine Sortierung bestimmt werden. In den Sollmaßnahmenprofilen ist es möglich, mehrere Schutzobjektklassen zu zuordnen.

Abbildung: Mehrfachzuordnung bei „Betroffene Schutzobjektklasse“

Die vier Schutzziele und dazugehörige Schadensklassen werden in Reitern dargestellt, um die Übersichtlichkeit zu wahren.

Abbildung: Detailansicht eines Sollmaßnahmenprofiles

Sie haben nun die Möglichkeit allgemeine oder auch spezielle Profile für die betreffende Schutzobjektklasse anzulegen.

Abbildung: Ansicht allgemeines und spezielles Profil

Im Bearbeitungsmodus haben Sie jederzeit die Möglichkeit das Schema der Schutzziele zu wählen oder entsprechend anzupassen.

Abbildung: Schema umschalten

Maßnahmen, Profilmaßnahmen und Inhaltsbeschreibungen

Die einzelnen Felder der Beschreibung können Sie im Bearbeitungsmodus mit Mouseover bearbeiten.

Abbildung: Bearbeitung eines Sollmaßnahmenprofiles

Verknüpfung mit Standards aus ForumNSR

Sie können den Inhalt bearbeiten, Maßnahmen verknüpfen, Profilmaßnahmen verknüpfen bzw. Profilmaßnahmen anlegen. Über den Link Maßnahmen verknüpfen können Sie auf Maßnahmen der in ForumNSR hinterlegten Standards verweisen. Diese Maßnahmen können Sie für das betreffende Spezifische Sollmaßnahmenprofil in den jeweiligen Schutzzielen und Schadensklassen hinterlegen.

Abbildung: Bearbeiten der Inhaltsfelder

Am nachfolgenden Beispiel bearbeiten wir den Inhalt. Über den Link Inhalt bearbeiten gelangen Sie in eine neue Ansicht zur Bearbeitung des Rich-Text-Feldes. Die Bearbeitung beenden Sie über die Schaltfläche ok.

Der Vorteil an dieser Vorgehensweise - Sie können im Freitextfeld verschiedene Maßnahmen zusammenfassen, die für die Umsetzung als eine einzige Frage dargestellt werden und mit einer einzigen Aktion als "umgesetzt" markiert werden können.

Abbildung: Ansicht des Bearbeitungsfeldes Inhalt

Wenn Sie kein ForumNSR einsetzen oder auch unabhängig davon eigene Maßnahmen erstellen wollen, können Sie dies über den Link "Profilmaßnahmen anlegen" umsetzen. So können Sie sich auch einen eigenen Maßnahmenkatalog erarbeiten.

Bereits erstellte Profilmaßnahmen können Sie über die Funktion "Profilmaßnahme verknüpfen" auswählen. Die Abwahl einer entsprechende Maßnahme erfolgt in umgekehrter Reihenfolge einer Zuordnung.

Sind Spezifische Sollmaßnahmenprofile mit Maßnahmen aus ForumNSRverknüpft, lassen sich diese nun direkt aus der Maske über die Schaltfläche entfernen im Bearbeitungsmodus wieder entfernen.

Abbildung: Maßnahmen entfernen

Als Nutzer von ForumISM besteht auch in den Sepzifischen Sollmaßnahmenprofilen eine vereinfachte Möglichkeit zur Erfassung von Sollmaßnahmenprofilen.

Es ist möglich, an Spezifischen Sollmaßnahmenprofilen Maßnahmen (Profilmaßnahmen, Maßnahmen aus Standards aus ForumNSR) auch ohne eine Zuordnung in die jeweiligen ACIN bzw. AACIN Klassen zu verknüpfen.

Annildung: Spezifische Sollmaßnahmenprofile

Verknüpfung mit Schutzobjekten oder Leistungen

Spezifischen Sollmaßnahmenprofile können direkt aus einem entsprechenden Schutzobjekt verknüpft werden. Aus der Bearbeitungsansicht eines Schutzobjektes im Reiter Schutzniveau können Sie über die Schaltfläche Aus Liste wählen... aus bereits angelegten Spezifischen Sollmaßnahmenprofilen wählen und eine Zuordnung im Reiter Schutzniveau hinzufügen oder abwählen.

Ebenso können Sie über die Schaltfläche Baustein wählen Sollmaßnahmen aus Standards wählen, wenn Sie die Anwendung ForumNSR nutzen, wie im nachfolgenden Beispiel zu sehen.

Ein Standard muss in der Anwendung ForumNSR als Vorschlag im produktiven Bereich übernommen sein, um ihn in ForumISM als Sollmaßnahme zu verwenden.

Auswahl Sollmaßnahmen aus Standards

Da es sich um eine Anwendung handelt, wählen Sie den Cluster Anwendungen und bestätigen die Auswahl über die Schaltfläche übernehmen.

Abbildung: Auswahl des Clusters „Anwendungen“ im BASI

Nachdem ein Spezifische Sollmaßnahmenprofil mit dem Schutzobjekt verknüpft wurde, muss das Schutzobjekt mindestens einmal gespeichert werden, damit die Verknüpfung für die Schutzniveaubestimmung wirksam ist.

Über die Schaltfläche Details am Schutzniveau gelangen Sie in den Reiter Schutzniveau in die Einzelansicht des Schutzniveaus und über den Reifegrad der Maßnahmen gelangen Sie in den Reiter Spezifische Sollmaßnahmen des Schutzniveaus. In unserem Beispiel ist der Weg über den Reifegrad gewählt wurden

Abbildung: Einzelansicht Reiter Sollmaßnahmen im Schutzniveau

Umsetzung der Maßnahmen

Über die Schaltfläche Details am Schutzniveau gelangen Sie in die Einzelansicht Schutzniveau in die Einzelansicht des Schutzniveaus des gewählten Schutzobjektes und über den Reiter Spezifische Sollmaßnahmen in die Einzelansicht der gewählten Maßnahmen. Über den Klick auf den Reifegrad oder das Fragezeichen vor dem Wort Reifegrad gelangen Sie in die Einzelansicht der jeweiligen Spezifischen Sollmaßnahme.

Abbildung: Einzelansicht Reiter Sollmaßnahmen im Schutzniveau

Über die Dreieckssymbole können Sie auch die Detailansicht des betreffenden Profils öffnen. Hinter den jeweiligen Profilen gelangen Sie über die Schaltfläche

in die Detailansicht des Profils oder den gewählten Standard. Wechseln Sie aus dem Lesemodus in den Bearbeitungsstand werden die Schaltflächen >>Massen Vorbelegung, Umsetzung zurücksetzen und die Checkbox nicht bearbeitbare Maßnahmen einblenden angezeigt.
Im Reifegrad werden Ihnen zudem die Anzahl der gewählten Reifegrade angezeigt.

Eine Bearbeitung des Reifegrades von Spezifische Sollmaßnahmen für das effektive Schutzniveau ist nicht möglich. Bitte übertragen Sie ggf. hier erfasste Werte in den entsprechenden Bereich des regulären Schutzniveaus.

Abbildung: Ansicht Reiter Sollmaßnahmen im Bearbeitungsmodus

Checkbox nicht bearbeitbare Maßnahmen einblenden - Maßnahmen, deren Umsetzung durch einen Verweis auf eine andere Maßnahme referenzieren, können nicht bearbeitet werden und über die Auswahl entsprechend eingeblendet werden.
Über das Fragezeichen vor dem Reifegrad erhalten sie bei aktiver Checkbox folgenden Hinweis:

Es kann zu Differenzen in der Anzahl der Maßnahmen kommen, da Maßnahmen, welche nicht bearbeitbar sind, nicht in der Zählung einbezogen werden.

Im Lesemodus werden aus Gründen der Revisionssicherheit alle Maßnahmen angezeigt, also auch verknüpfte organisationsrelevante Maßnahmen.
>> Massen Vorbelegung - sind in dem gewählten Standard Umsetzungen und Reifegrade in der Anwendung ForumNSR dokumentiert, können diese über diese Schaltfläche in die Umsetzung nach ForumISM migriert werden, folgender Hinweis erscheint als Popup

Durch Ausführung dieser Aktion werden in ForumNSR vorhandene Umsetzungsdokumentationen übernommen. Hierbei werden nur unbearbeitete Maßnahmen berücksichtigt. Möchten Sie fortsetzen?

Werden in einem Spezifischen Sollmaßnahmenprofil verknüpfte Profilmaßnahmen verwendet, werden diese ebenso über die Massen Vorbelegung mit übernommen. Werden in der Bearbeitungszeit am Spezifischen Sollmaßnahmenprofil Änderungen an den Profilmaßnahmen vollzogen, wird Ihnen dies im blauen Rahmen angezeigt. Die Umsetzung der Maßnahme bezieht sich also auf eine frühere Version der Maßnahme. Sie können über entsprechende Schaltflächen Änderungen bestätigen oder Änderungen prüfen.

Abbildung: Hinweis auf Änderungen an Profilmaßnahme
Umsetzung zurücksetzen - die vorab beschrieben Aktion kann über diese Schaltfläche rückgängig gemacht werden, folgender Hinweis erscheint als Popup

Sollen sämtliche Eingaben zurückgesetzt werden?

Excel-Export der Sollmaßnahmen bei aktivem ForumOSM

Ist die Anwendung ForumOSM aktiv, kann am Schutzobjekt im Reiter Sollmaßnahmen der Excel-Export der Maßnahmen durchgeführt werden.

Abbildung: Excel-Export der Sollmaßnahmen am Schutzobjekt bei aktivem ForumOSM auch in ForumISM möglich

Abwahl einer Sollmaßnahme

Die Abwahl der Spezifischen Sollmaßnahmenprofile erfolgt nun bequem über die Schaltfläche Auswahl bearbeiten und dem Mülleimersymbol zum Lösen der Verknüpfung.

Abbildung: Abwahl eines Sollmaßnahmenprofils

Schutzziele am Spezifischen Sollmaßnahmenprofil

In Spezifischen Sollmaßnahmenprofilen kann die Zuordnung von Schutzzielen (Verfügbarkeit (Service- und Datenverfügbarkeit), Vertraulichkeit, Integrität und Authentizität) getroffen werden, welche in der Ansicht der Schutzobjekte entsprechend angezeigt wird. Im nachfolgenden Beispiel wurde aus einem Standard die Anforderung (SOLL) Für jedes IT-Asset ist mindestens festzulegen, ob rechnungslegungs-,steuerungsrelevante oder personenbezogene Information Assets verarbeitet werden. Die bei der Verarbeitung eingesetzten IT-Assets sind entsprechend zu klassifizieren (Vererbung). im Sollmaßnahmenprofil den Schutzzielen Integrität und Authentizität in jeweils Stufe 2 zugeteilt.

Abbildung: Anzeige der Zuordnung von Schutzzielen

Bitte denken Sie an das Hinterlegen einer entsprechenden Begründung der gewählten Einschätzung.

GAP-Risiken anlegen

Es ist möglich für nicht umgesetzte Sollmaßnahmen GAP-Risiken anzulegen oder bereits bestehende Risiken zu kopieren. Sobald eine Maßnahme nicht mehr den Status "unbearbeitet" hat, erscheinen die Button Risiko erfassen⁽¹⁾ und Risiko kopieren...⁽²⁾.

Die erfassten Risiken werden anschließend unterhalb des Bemerkungsfeldes aufgeführt.

Abbildung: GAP-Risiko-Erfassung für nicht umgesetzte Sollmaßnahmen

Schutzobjekte - Anzeige nicht umgesetzter Sollmaßnahmen

Im Reiter des Schutzniveaus wird in den jeweiligen Schutzobjekten für den Nutzer sofort erkenntlich dargestellt, welchen Stand die im Rahmen der Schutzniveaubestimmung gewählten Sollmaßnahmen aufweisen. Im Reifegrad der Zusammenfassung werden Ihnen je nach gesetzter Filteroption die Summen der entsprechenden Reifegrade aufgezeigt (vollständig umgesetzt, teilweise umgesetzt, nicht umgesetzt und unbearbeitet).

Abbildung: Anzeige der umgesetzten Sollmaßnahmen

Im Reifegrad werden alle Maßnahmen am Schutzobjekt berücksichtigt, auch aus organisatorischem Cluster 00 des bankenindividuellen SiMaKat.

Aktualisieren-Funktion bei überarbeiteten Profilmaßnahmen

Wird die Umsetzung von NSR-Maßnahmen, die in ForumISM verknüpft sind, in ForumNSR überarbeitet, so können diese Änderungen in ForumISM übernommen werden. Damit bei gleichzeitiger Arbeit in ForumISM und ForumNSR solche Änderungen in ForumISM sichtbar werden, wurde in der Umsetzungs-Maske von ForumISM ein neuer Button Aktualisieren geschaffen, der zwischenzeitliche Änderungen in beiden Anwendungen nachlädt.

Abbildung: Aktualisieren-Funktion

Im nachfolgendem Beispiel wurden Maßnahmen aus dem bankenindividuellen SiMaKat aus dem Cluster 13 IT-Anwendungen mit einem Schutzobjekt verknüpft. Alle Maßnahmen sind unbearbeitet (Teilbild 1). Bevor die Massen Vorbelegung aktiviert wird, kann eine Aktualisierung gestartet werden. Im Teilbild 1 ist zu erkennen, dass an den Maßnahmen A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie und A.6.1.4-1 Kontakt mit speziellen Interessensgruppen keine Bearbeitung in ForumNSR erfolgte. An der Maßnahme A.6.2.1-1 Richtlinie zu Mobilgeräten ist über die Schaltfläche >> zu erkennen, dass eine Bearbeitung in ForumNSR erfolgte.

Damit die Inhalte von Maßnahmen des Clusters 13 IT-Anwendungen aus ForumNSR für die Bearbeitung an weiteren Schutzobjekten zur Verfügen stehen, lohnt sich an dieser Stelle die direkte Bearbeitung der Maßnahmen in ForumNSR.

Der Wechsel zu ForumNSR kann über das Anklicken der Bezeichnung A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie erfolgen und die Bearbeitung im neuen Tab in ForumNSR starten.

Im Teilbild 2 wird nun nach Aktivierung der Schaltfläche Aktualisieren ersichtlich, dass eine Bearbeitung an der Maßnahme A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie in ForumNSRgetätigt wurde.

Abbildung: Bearbeitung durch Aktualisieren

Abweichungen zu Vorbelegungen aus ForumNSR und aus Profilmaßnahmen anzeigen lassen

Abweichungen zu Vorbelegungen aus ForumNSR und Profilmaßnahmen anzeigen⁽¹⁾ - Änderungen der Umsetzungsdokumentation in ForumNSR sowie der Profilmaßnahmen können in ForumISM transparent dargestellt werden. Per blauer Rahmung⁽²⁾ werden Änderungen an den Maßnahmen und Profilmaßnahmen angezeigt. Per Klick auf den Doppelpfeil⁽³⁾ >> kann die Änderung einzeln übernommen werden. Bereits getätigte Erfassungen werden dabei überschrieben.

Massen-Übernahme geänderter Vorbelegungen⁽⁴⁾ - Änderungen der Umsetzungsdokumentation in ForumNSR sowie der Profilmaßnahmen können per Massenübernahme in einem Rutsch übernommen werden. Bereits getätigte Erfassungen werden dabei überschrieben.

Abbildung: Abweichungen zu Vorbelegungen aus ForumNSR

Nicht relevante Maßnahmen ausblenden / Nicht bearbeitbare Maßnahmen einblenden

Am Schutzniveau eines speziellen Schutzobjektes können im Bearbeiten-Modus die nicht bearbeitbaren Maßnahmen⁽²⁾(i.d.R. die organisationsrelevanten Maßnahmen aus dem BASI) eingeblendet werden, sowie die nicht relevanten Maßnahmen⁽¹⁾ ausgeblendet werden. Dazu muss im Schutzniveau im Reiter Sollmaßnahmen die betreffende Checkbox angehakt werden.

Die Funktion "nicht bearbeitbare Maßnahmen einblenden" erscheint nur, wenn in den Einstellungen der Schalter unter Schutzbedarf/Schutzniveau "Ausblendung nicht bearbeitbarer Sollmaßnahmen" aus ist, sowie am Schutzobjekt (welche die Bank selbst betreibt) Sollmaßnahmen aus dem Standard BASI (aus ForumNSR) verknüpft sind.

Abbildung: Ausblenden nicht bearbeitbarer Sollmaßnahmen

Abbildung: Nichtrelevante Maßnahmen ausblenden / nicht bearbeitbare Maßnahmen einblenden

Ausblenden der nicht bearbeitbaren Sollmaßnahmen über die Einstellungen

Das Ausblenden der nicht bearbeitbaren Maßnahmen (i.d.R. die organisationsspezifische Maßnahmen aus dem BASI) kann global eingestellt werden, so dass diese Maßnahmen nicht mehr in das Sollmaßnahmen-Cockpit, die Statistik zum Reifegrad am Schutzobjekt sowie im Lesen-Modus bei Anzeige der Sollmaßnahmen am Schutzniveau einfließen.

Durch eine zentrale Einstellung über einen Schalter im Bereich Schutzbedarf/Schutzniveau im Reiter Sollmaßnahmen ist es möglich, die Anzeige der Reifegrade am Schutzobjekt und die Ergebnisse des Sollmaßnahmen-Cockpits zu beeinflussen, damit dort die organisationsrelevanten (nicht bearbeitbaren) Maßnahmen nicht mehr angezeigt werden.

Abbildung: globales Ausblenden der nicht bearbeitbaren Sollmaßnahmen

Nach Aktivierung des Schalters erscheint sowohl am Schutzobjekt im Reiter Schutzniveau am Fragezeichen des Reifegrades als auch im Sollmaßnahmen-Cockpit ein Hinweis, der klarstellt, dass die nicht bearbeitbaren Maßnahmen gemäß Einstellungen ausgeblendet sind.

Abbildung: Hinweise zu den ausgeblendeten nicht bearbeitbaren Sollmaßnahmen

Wurde in den Einstellungen der Schalter "Ausblendung nicht bearbeitbarer Sollmaßnahmen" getätigt, jedoch am Schutzobjekt die Checkbox "Bearbeitung aller Sollmaßnahmen erlauben" angehakt, so gewinnt letztere Funktion. Damit werden alle Maßnahmen am Schutzobjekt bearbeitbar.

Sollmaßnahmenprofile für Leistungen in ForumISM und ForumOSM

Als Nutzer der Anwendung ForumOSM können Sie nun in ForumISM auf die Leistungen zugreifen. Im Menü Strukturanalyse werden nun die Leistungen entsprechend angezeigt, wenn in den Einstellungen der Funktionsbereich Leistungen aus ForumOSM berücksichtigen aktiviert wurde.

Abbildung: Aktivierung der Funktion in den Einstellungen

Alle Leistungen aus ForumOSM können nun über den Reiter Strukturanalyse und Leistungen eingesehen werden.

Abbildung: Anzeige Übersicht Leistungen in ForumISM