Skip to main content
Skip table of contents

Version 2022-09

Versionsnummer2022-09
Releasedatum

 

In den nachfolgenden Abschnitten werden die wichtigsten Neuerungen und Anpassungen in ForumISM Version 2022-09 beschrieben.

Wie Sie an ein Update zu ForumISM gelangen.

Der verantwortliche Ansprechpartner in Ihrem Unternehmen wird per E-Mail informiert. In dieser E-Mail stellen wir das Update per Link zum Download zur Verfügung.

Falls Ihnen das Update nicht zur Verfügung steht, wenden Sie sich bitte an unseren technischen Support

Verbesserung in ForumISM

Leistungen in ForumISM

Nutzen Sie neben ForumISM auch die Anwendung ForumOSM, können Sie sich nun die Leistungen aus ForumOSM in ForumISM als Schutzobjekte anzeigen lassen. Dazu muss in den Einstellungen der Bereich Leistungen aus ForumOSM berücksichtigen aktiviert sein.


Abbildungen: Leistungen aus ForumOSM berücksichtigen

Die Leistungen stehen Ihnen anschließend im Reiter > Strukturanalyse > Leistungen zur Verfügung.


Abbildung: Leistungen als Schutzobjekte

Unter → StammdatenDienstleister wird Ihnen nun  - neben dem Unterreiter Allgemein  - der zusätzliche Reiter Schutzbedarf angezeigt. Dieser enthält den maximalen Schutzbedarf aus den verknüpften Leistungen. 


Allgemein: Schutzbedarf am Dienstleister aus den verknüpften Leistungen


In der Einzelansicht einer Leistung in ForumISM werden die Reiter Allgemein und Sollmaßnahmen aufgelistet. Im Reiter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Leistung 1:1 wie in ForumOSM, ausgenommen sind die Informationen für das Auslagerungsregister (EBA).

Im Reiter der Sollmaßnahmen wird der Schutzbedarf einer Leistung von den mit den Leistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt.

Über den Button In ForumOSM öffnen können Sie jederzeit in die Anwendung ForumOSM wechseln und dort weitere Bearbeitungen an der Leistung vornehmen.


Abbildung: Leistung als Schutzobjekt

Über die Schaltflächen Aus Liste wählen können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche  Bausteine wählen nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.


Die Zuordnung zu Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards ist nur möglich, wenn die betreffende Leistung in ForumOSM nicht freigegeben ist.


Wenn die betreffende Leistung freigegeben ist, kann die direkte Zuordnung von Sollmaßnahmenprofilen auch direkt über das betreffende Sollmaßnahmenprofil getroffen werden. Ordnen Sie dem Profil über Leistung verknüpfen ... die gewünschte Leistung zu.

An Leistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Leistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Leistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.

Abbildung: Konkreter Schutzbedarf anlegen

Folgende Voraussetzungen sind zu erfüllen, um einen konkreten Schutzbedarf an Leistungen in ForumISM anzulegen bzw. aus bestehenden Dokumenten zu kopieren:

  • Zur Erfassung eines konkreten Schutzbedarfs für Leistungen müssen zuvor in den Einstellungen von ForumISM die bereits aktiven SBA-Schemata zunächst Überarbeitet und anschließend erneut Freigegeben werden.
  • Anschließend aktualisieren Sie die Anwendung über die Funktionstaste F5.
  • Die betreffende Leistung in ForumOSM darf nicht freigegeben sein.

Die Anzeige einer zugeordneten Leistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.

Abbildung: Anzeige einer Leistung im Schutzobjekt und einem Geschäftsprozess

In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen zuzuordnende Leistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.

Zur weiteren Bearbeitung der Sollmaßnahmen lesen Sie bitte unser Changelog für ForumOSM Version 2022-09.


GAP-Risiken an Sollmaßnahmen anlegen

Es ist möglich für nicht umgesetzte Sollmaßnahmen GAP-Risiken anzulegen oder bereits bestehende Risiken zu kopieren. Sobald eine Maßnahme nicht mehr den Status "unbearbeitet" hat, erscheinen die Button Risiko erfassen(1) und Risiko kopieren...(2).  

Die erfassten Risiken werden anschließend unterhalb des Bemerkungsfeldes aufgeführt. 


Abbildung: GAP-Risiken an Sollmaßnahmen erfassen


Schwachstellennummer

Bei Sicherheitsvorfällen und bei sicherheitsrelevanten Ereignissen kann jetzt eine Schwachstellennummer (CVE) gepflegt werden. Die CVE-Nummer wird in den Auswertungen zu diesen Objekten mit angezeigt.


Abbildung: Feld Schwachstellennummer


Auswertungen

Auswertungen für Aktivitäten

Im Bereich Reporting → Auswertungen wurde für die Aktivitäten ein eigener Reiter mit zugehörigen Auswertungen geschaffen.

Sie finden hier folgende Auswertungen:

  • Sicherheitsvorfälle nach Schwachstellennummer

  • Sicherheitsvorfälle nach Status

  • Sicherheitsvorfälle nach Schweregrad

  • Meldepflichtige Sicherheitsvorfälle

  • Sicherheitsrelevante Ereignisse nach Schwachstellennummer

  • Sicherheitsrelevante Ereignisse nach Status

  • Sicherheitsrelevante Ereignisse nach Relevanz


Abbildung: Auswertungen, Reiter "Aktivitäten"

Auswertung Geschäftsprozesse und Schutzobjekte mit Soll-Ist-Abgleich <> Schutzniveau

Im Menü Schutzbedarf > Abweichungen ist nun die Auswertung "Geschäftsprozesse und verknüpfte Schutzobjekte" zu finden, welche es in der Notes-Version gab. 

In den Auswertungen wurde unter den "Geschäftsprozessen" eine entsprechende Bezeichnung "Geschäftsprozesse und Schutzobjekte mit Soll-Ist-Abgleich Schutzbedarf <> Schutzniveau" ergänzt, welche auf dieselbe Auswertung in den "Abweichungen" verlinkt.

Abbildung: Auswertung "Geschäftsprozesse mit Schutzobjekten mit Soll-Ist-Abgleich Schutzbedarf - Schutzniveau"


Überprüfung des Schutzniveaus: Filterung nach Datum  

In der Überprüfungen des Schutzniveaus ist in der Spalte letzte Freigabe nun eine Filterung nach Startdatum und Enddatum möglich.


Abbildung: Filterung in Spalte „Letzte Freigabe“

Schnittstellen

Für alle Schutzobjekte wurden im Reiter Schnittstellen die Möglichkeit zur Modellierung von ein- und ausgehenden Datenströmen geschaffen. Angelehnt an die Datenstromanalyse aus der Notes-Version von ForumISM Version 3.6.X  wird somit die Möglichkeit zur Dokumentation von Datenflüssen geschaffen werden.

Abbildung: Schnittstelle an der Anwendung ForumSuite

Im Bearbeitungsmodus kann eine Schnittstelle an dem betreffenden Schutzobjekt angelegt bzw. aus einem bestehenden Objekt kopiert werden. Die Art der Schnittstelle kann in

  • Hardwareschnittstelle
  • Softwareschnittstelle
  • Netzwerkschnittstelle
  • Datenschnittstelle
  • Benutzerschnittstelle

eingeteilt werden. Für eine Schnittstelle kann neben dem Sortierschlüssel und der Bemerkung auch die Richtung eingehend oder ausgehend definiert werden. Nach definierter Richtung sollten im betreffenden Bereich Eingehende Daten oder Ausgehende Daten die gewünschten Schutzobjekte verknüpft werden. Werden Daten aus externen Daten importiert oder an externe Ziele exportiert, besteht hier die Möglichkeit zur Dokumentation.

Abbildung: Schnittstelle Detailansicht

Für Schnittstellen ist unter dem Menüpunkt Reporting und Auswertungen im Reiter der Schutzobjekte eine Auswertung Alle Schnittstellen geschaffen wurden.


Abbildung: Auswertung „Alle Schnittstellen“

Sollmaßnahmen-Cockpit

Das Cockpit wurde in der Zusammenfassung und die Anzeige der Abweichungen und GAP-Risiken erweitert.


Abbildung: Anzeige Abweichungen und GAP-Risiken

Im oberen Bild sind 7 teilweise umgesetzte Maßnahmen und 7 nicht umgesetzte Maßnahmen ohne ein modelliertes GAP-Risiko. Im unteren Bild sind 7 teilweise umgesetzte Maßnahmen ohne ein modelliertes GAP-Risiko und 7 nicht umgesetzte Maßnahmen mit 1 modellierten GAP-Risiko.


Abbildung: Anzeige Abweichungen und GAP-Risiken

GAP-Risiken aus Abweichungen zwischen Schutzbedarf und Schutzniveau am Schutzobjekt werden im Reifegrad nicht berücksichtigt. In der Zählung der GAP-Risken in der Übersichtsseite (letzte Spalte) werden Sie mit berücksichtigt.


Aus diesem Grund bekommen Sie über die neue Optionswahl nur teilweise bzw. nicht umgesetzte Maßnahmen ohne zugeordnete GAP-Risiken anzeigen in der nachfolgenden Beispiel trotzdem die Anwendung geno.HR angezeigt. Hier liegt eine Abweichungen zwischen Schutzbedarf und Schutzniveau vor und eine teilweise umgesetzte Maßnahme hat kein GAP-Risiko.


Abbildung: Anzeige Abweichungen und GAP-Risiken

Erweiterung der Wesentlichkeitskriterien 

Es kommt immer wieder vor, dass sich Nutzer in den 4 vorgegebenen Wesentlichkeitskriterien am Geschäftsprozess nicht wiederfinden. Daher wurden die vier fest vorgegebenen Begriffe um einen weiteren Auswahlpunkt erweitert: strategisch wesentlich.

Wie bisher sind die benötigten Kriterien einzeln zu aktivieren und die Definitionen anzupassen. Die Bezeichnungen der einzelnen Kriterien können nicht geändert werden.


Abbildung: Erweiterung der Wesentlichkeitskriterien um "strategisch wesentlich"


Angaben zu RTO, RPO und MTA in der Business Impact Analyse

In der Business Impact Analysen können nun Angaben zu den Werten RTO (Recovery Time Objective), RPO (Recovery Point Objective) und MTA (Maximal tolerierbare Ausfallzeit) sowie entsprechende Bemerkungen hinterlegt werden. Die Angaben zu diesen Werten können in ForumISM oder ForumBCM hinterlegt werden.


Abbildung: Werte zu RTO, RPO und MTA an der BIA

Diese hinterlegten Informationen werden in der IT-Notfallplanung im Reiter Parameter unter Schutzbedarf der an den zugehörigen Notfallszenarien verknüpften Geschäftsprozesse angezeigt und können an dieser Stelle als Werte zur weiteren Bearbeitung herangezogen werden.


Abbildung: Anzeige der Werte RTO, RPO und MTA in der IT-Notfallplanung

Aktualisieren-Funktion bei überarbeiteten Profilmaßnahmen

Wird die Umsetzung von NSR-Maßnahmen, die in ForumISM verknüpft sind, in ForumNSR überarbeitet, so können diese Änderungen in ForumISM übernommen werden. Damit bei gleichzeitiger Arbeit in ForumISM und ForumNSR solche Änderungen in ForumISM sichtbar werden, wurde in der Umsetzungs-Maske von ForumISM ein neuer Button Aktualisieren geschaffen, der zwischenzeitliche Änderungen in beiden Anwendungen nachlädt.


Abbildung: Aktualisieren-Funktion


Im nachfolgendem Beispiel wurden Maßnahmen aus dem bankenindividuellen SiMaKat aus dem Cluster 13 IT-Anwendungen mit einem Schutzobjekt verknüpft. Alle Maßnahmen sind unbearbeitet (Teilbild 1). Bevor die Massen Vorbelegung aktiviert wird, kann eine Aktualisierung gestartet werden. Im Teilbild 1 ist zu erkennen, dass an den Maßnahmen A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie und A.6.1.4-1 Kontakt mit speziellen Interessensgruppen keine Bearbeitung in ForumNSR erfolgte. An der Maßnahme A.6.2.1-1 Richtlinie zu Mobilgeräten ist über die Schaltfläche >> zu erkennen, dass eine Bearbeitung in ForumNSR erfolgte.

Damit die Inhalte von Maßnahmen des Clusters 13 IT-Anwendungen aus ForumNSR für die Bearbeitung an weiteren Schutzobjekten zur Verfügen stehen, lohnt sich an dieser Stelle die direkte Bearbeitung der Maßnahmen in ForumNSR.

Der Wechsel zu ForumNSR kann über das Anklicken der Bezeichnung A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie erfolgen und die Bearbeitung im neuen Tab in ForumNSR starten.

Im Teilbild 2 wird nun nach Aktivierung der Schaltfläche Aktualisieren ersichtlich, dass eine Bearbeitung an der Maßnahme A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie in ForumNSRgetätigt wurde.


Abbildung: Bearbeitung durch Aktualisieren

Neue Funktionen und Verbesserungen in der ForumSuite 2022-09

Allgemein

Workflow - Beschreibungsfeld als Rich-Text-Feld gestaltet

Das Beschreibungsfeld in Workflows sowie Workflow-Vorlagen wurde in ein Rich-Text-Feld umgewandelt.

Abbildung: Ritchtextfeld am Workflow
Überarbeiten von Auswahldialogen

In der ForumSuite wurde in einigen Bereichen der Auswahldialog durch neue Schaltflächen weiter vereinheitlicht. Im Beispiel in einem Grundlagendokument im Notfallmanagement in ForumBCM für die Neuanlage einer Kategorie als Kategorie anlegen oder Kategorie wählen für die Auswahl aus bestehenden Kategorien. Hauptsächlich betrifft es die Schaltflächen für Gefährdungen, Bedrohungen, Kategorien oder Änderungsdokumente an Geschäftsprozesse bzw. Schutzobjekte kopieren.

Abbildung: Verbesserter Auswahldialog

IBM/HCL Domino Plattform

Neue und geänderte Funktionen, die nur die HCL Domino Plattform betreffen.

  • keine

Java Plattform

Neue und geänderte Funktionen, die nur die Java Plattform betreffen.

  • keine

Fehlerbehebungen in ForumISM

  • Ein Problem bei der Migration von ForumISM in die ForumSuite wurde behoben, durch welches einige Risiken nicht korrekt mit den korrespondierenden Vorschlägen verknüpft wurden.

  • Ein Problem beim Löschen von Schutzobjekten, welche auch verknüpfte Bausteine zum Löschen angeboten haben, wurde behoben.
  • In der Auswertungsansicht „Schutzobjekte ohne Risiken“ wurden in der Spalte „Schutzniveau“ keine Inhalte angezeigt. Das Problem wurde korrigiert.
  • Im Risiko-Cockpit von ForumISM wurde die Bezeichnung für den Bankindividuellen SiMaKat ergänzt.

Fehlerbehebungen in der ForumSuite 2022-09

Allgemein

  • Ein Fehler beim Abbruch der Bearbeitung eines Objektes wurde behoben, welcher eine gelbe Hinweismeldung anzeigte und die Rückkehr zur Startseite der jeweilig genutzten Applikation verursachte.
  • Nicht abgeschlossene Worksflows können nun auch vom Anwendungsadministrator der betreffenden Applikation abgeschlossen werden (z.B. für ausgeschiedene Mitarbeiter etc.)
  • Ein Problem bei der Massen-Aktualisierung von Risiken mit abweichendem Schema wurde korrigiert.
  • Ein Problem beim Versand von E-Mails in Zusammenhang mit speziellen SMTP-Servern wurde behoben.
  • Sortierschlüssel werden nun in den Verträgen und Geschäftsprozessen berücksichtigt.
  • Wird ein Verantwortlicher ersetzt, wird dieser auch in den Workflows nachvollziehbar ersetzt. 
  • Die Darstellung und Berechnung von zusammengefassten Schutzzielen funktioniert fehlerfrei.
  • Hinweis auf geänderte Parameter in den Risiken werden wieder richtig angezeigt.

PDF-Ausgabe

  • Der Reifegrad der Umsetzung von Sollmaßnahmen für Schutzobjekte wird nun in der PDF-Ausgabe berücksichtigt.
  • Die PDF-Ausgabe für migrierte Modelle mit DocLink-Symbolen funktioniert wieder.

IBM/HCL Domino Plattform

  • keine

Java Plattform

  • Die Beschränkung für fehlerhafte Login-Versuche funktioniert wieder korrekt.
  • Ein Problem beim Import von Mitarbeitern aus dem Active Directory über die Paging-Funktion wurde behoben.
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close