Version 2024-08
| Versionsnummer | 2024-08 |
|---|---|
| Releasedatum |
In den nachfolgenden Abschnitten werden die wichtigsten Neuerungen und Anpassungen in ForumISM beschrieben.
Wie Sie an ein Update zu ForumISM gelangen.
Der verantwortliche Ansprechpartner in Ihrem Unternehmen wird per E-Mail informiert. In dieser E-Mail stellen wir das Update per Link zum Download zur Verfügung.
Falls Ihnen das Update nicht zur Verfügung steht, wenden Sie sich bitte an unseren technischen Support
Verbesserung in ForumISM
Umbenennungen gemäß DORA
Im Produkt erfolgte eine umfassende Umstrukturierung und Anpassung an den Sprachgebrauch sowie die Logik der DORA.
Um die Begrifflichkeiten der DORA in der ForumSuite abzubilden, wurden toolübergreifend Umbenennungen vorgenommen und auch anwendungspezifisch in ForumISM Anpassungen vollzogen.
- Menüeintrag "Strukturanalyse" in "Assetmanagement"
- In der Maske der Geschäftsprozesse wurde der Reiter "Business Impact" in "Kritische oder wichtige Funktionen"
- Der Reiter "Schutzniveau" an den IKT-Assets in "Schutzbedarf"
Umstrukturierungen gemäß DORA werden im Einzelnen nachfolgend gezeigt.
Analyse der kritischen oder wichtigen Funktion - ehemals Business Impact Analyse
In der Anwendung ForumISM wurde die Business Impact Analyse in "Analyse der kritischen oder wichtigen Funktion" umbenannt. In den Einstellung für die Business Impact Analyse wurde die nicht weiter verwendete Spalte für das Mapping der Zeiträume auf die Schadensklassen der Verfügbarkeit entfernt.
Die Texte für das Ergebnis einer Analyse zu Kritische oder wichtige Funktionen wurden entsprechend der DORA-Verordnung angepasst. Eine ermittelte Zeitkritikalität resultiert direkt in einer Einstufung des Prozesses als „kritische oder wichtige Funktion“.
Die Vererbung der Eigenschaft "kritische oder wichtige Funktion" und der Zeitkritikalität aus Prozessen erfolgt nun auf Basis eines 4-stufigen Abhängigkeitsgrades. Die bisherige Unterscheidung nach benötigt und unterstützend ist entfallen und wird auf den neuen Abhängigkeitsgrad vollautomatische migriert.
Statt der bisher einfachen Unterscheidung zwischen "benötigt" und "unterstützend" wird ein vierstufiger Abhängigkeitsgrad zwischen Prozessen, IKT-Assets und Leistungen genutzt werden. Die Vererbung der Eigenschaft "kritische oder wichtige Funktion" und der Zeitkritikalität aus Prozessen soll auf Basis eines 4-stufigen Abhängigkeitsgrades erfolgen.
Stufen:
- 1 - nicht signifikante Abhängigkeit
- 2 - geringe Abhängigkeit
- 3 - erhebliche Abhängigkeit
- 4 - vollständige Abhängigkeit
Dabei kann die für die Vererbung bestimmter Merkmale genutzte Stufe der Abhängigkeit (normalerweise Stufe 3 oder 4) festgelegt werden.
Der Abhängigkeitsgrad soll auch bei Verknüpfungen der IKT-Assets untereinander und bei der Verknüpfung von Leistungen berücksichtigt werden. Wir benötigen die gleiche Logik daher auch bei der Verknüpfung von Anwendungen mit Systemen und bei der Verknüpfung von Systemen mit Infrastruktur, sowie bei der Verknüpfung von Prozessen mit Leistungen oder IKT-Assets mit Leistungen.
Die Informationsklassen (ehemals Datenklassen) sind nicht von dieser neuen Logik betroffen. Bei neuen Verknüpfungen soll im Dialog zu Verknüpfung der Abhängigkeitsgrad abgefragt werden. In diesem Verknüpfungsdialog soll auch nachträglich der Abhängigkeitsgrad änderbar sein.
Abhängigkeitsgrad
Die bisherige Möglichkeit zur Verknüpfung von IKT-Assets in die Unterscheidung nach benötigt und unterstützend entfällt. Verknüpfungen werden nun in Abhängigkeitsgraden eins, zwei, drei und vier dargestellt.
| Abhängigkeitsgrad | Hilfstext |
|---|---|
| 1 | Im Falle einer Unterbrechung der Dienste werden die unterstützten Funktionen nicht beeinträchtigt. |
| 2 | Im Falle einer Unterbrechung der Dienste werden die unterstützten Funktionen nicht wesentlich beeinträchtigt (keine Unterbrechung, kein größerer Schaden) oder die Unterbrechung kann schnell und mit minimalen Auswirkungen auf die unterstützte(n) Funktion(en) behoben werden. |
| 3 | Im Falle einer Unterbrechung der Dienste würden die unterstützten Funktionen erheblich beeinträchtigt, wenn die Unterbrechung länger als ein paar Minuten/ein paar Stunden dauert, und die Unterbrechung kann zu Schäden führen, die aber noch überschaubar sind. |
| 4 | Im Falle einer Unterbrechung der Dienste würden die unterstützten Funktionen sofort und für einen langen Zeitraum stark unterbrochen/beschädigt. |
Mit diesem Release wurde eine Migrationsroutine der bisherigen Einstufung von Verknüpfungen in „benötigt“ bzw. „unterstützend“ zum neuen vierstufigen Abhängigkeitsgrad implementiert. Dabei werden benötigte Verknüpfungen in den höchsten Abhängigkeitsgrad (Stufe 4) und unterstützende in die geringste Stufe 1 migriert.
Für Verknüpfungen zwischen IKT-Assets sowie Geschäftsprozessen zu Dienstleistungen, bei denen bisher keine Unterscheidung erfolgte, wird für die Migration die höchste Abhängigkeit angenommen.
Ordnen Sie dem IKT-Asset eine Abhängigkeit zum Geschäftsprozesse sowie IKT-Assets zu. Klicken Sie dazu auf Aus Liste wählen... und markieren Sie die Objekte in der Auswahlliste (Mehrfachauswahl ist möglich).
Die Optionswahl(1) hilft bei der Übersichtlichkeit, um Verknüpfungen zu lösen oder neu hinzuzufügen sowie zu überprüfen.
Änderung Einstellungen Schutzbedarfsvererbung
Der Wegfall der bisherigen Unterscheidung nach benötigt und unterstützend sowie der neuen Sichtweise auf den neuen Abhängigkeitsgrad, erfordern eine Umstellung der Einstellung in der Vererbung des Schutzbedarfes. Aktiv ist standardmäßig die Schutzbedarfsvererbung aus Informationsklassen inaktiv.
Nutzen Sie einen zentralen Verfahrenslieferanten, belassen Sie bitte die standardmäßigen Einstellungen wie im nachfolgenden Screenshot.
Schutzbedarf: ACIN als Schema
Eine Umstellung in der Schutzbedarfsklassifizierung teilt die Bewertung der Schutzziele zwischen Prozessen und Informationsklassen auf. Während der Verfügbarkeits-Wert „A“ an den Geschäftsprozessen ermittelt wird, werden die Werte der Vertraulichkeit, Integrität und Authentizität, also die CIN-Werte, an den Informationsklassen erhoben und im Maximalitätsprinzip an die verknüpften Prozesse weitergegeben.
Wurde das AACIN-Schema genutzt, wird in der Maske für die Schutzbedarfsanalyse ein Hinweis auf das nicht mehr unterstützte AACIN-Schema integriert und zum Wechsel auf das ACIN-Schema aufgefordert.
Bei der aktiven Bestätigung der Umschaltung wird der Wert für die Datenverfügbar entfernt.
Ausblendung der Angaben zu RTO und RPO sowie MTA
Zur besseren Übersicht werden die Werte zu RTO (Geforderte Wiederanlaufzeit), RPO (Maximal zulässiger Datenverlust) und MTA (Maximal tolerierbare Ausfallzeit) bei aktiver Nutzung der Anwendung ForumBCM in ForumISM an den nachfolgend benannten Stellen nicht mehr angezeigt bzw. stehen zur Bearbeitung zur Verfügung:
- an Kritische oder wichtige Informationen am Geschäftsprozesse
- an IKT-Assets im Reiter "Schutzniveau" im Abschnitte "Schutzbedarf"
- an Dienstleistungen Reiter "Sollmaßnahmen", Abschnitt "Schutzbedarf"
- in der Übersicht "Kritische oder wichtige Funktionen" im Menüpunkt Schutzbedarf
- in Auswertungen unter Reiter Geschäftsprozesse "nach Analyse der kritischen oder wichtigen Funktion"
- in Auswertung unter Reiter IKT-Assets "IKT-Assets nach abweichendem Schutzbedarf"
- in der Auswertung unter Reiter IKT-Assets "IKT-Assets nach Schutzbedarf"
Neuer Reiter "Details" an Informationsklassen
An Informationsklassen (ehemals Datenklassen) wurde ein neuer Reiter Details hinzugefügt, um wichtige Angaben zur Informationsklasse festhalten zu können. So können Aufbewahrungsfristen angeben werden sowie deren Beginn, eine Begründung dafür, vorgesehene Maßnahmen sowie Aussagen zu Datenklassen gemäß MVP-Portal.
In der Maske der Informationsklasse wurde ein neues Feld Informations-ID hinzugefügt, damit im Nachgang eine eindeutige Zuordnung möglich ist.
ForumISM: Dienstleistungen immer sichtbar
Die Funktionen im Bereich Dienstleistungen in ForumISM wurden so angepasst, dass die Abbildung von IKT-Dienstleistungen auch ohne ein lizenziertes ForumOSM möglich ist. In den Einstellungen ist unter Funktionsbereiche daher der Schalter "Leistungen aus ForumOSM berücksichtigen" entfallen.
Die Darstellung der IKT-Dienstleistungen orientiert sich dabei weitestgehend an der Darstellung der IKT-Assets.
Im Feld Asset-ID sollte zur eindeutigen Zuordnung eine Kennung vergeben werden. Wenn die Dienstleistung auf einem Vorschlag basiert und das Feld Asset-ID im Vorschlag gesetzt ist, dann ist dieser Bereich nicht änderbar.
Im Feld Art der IKT-Dienstleistung stehen 20 Werte per Dropdown zur Auswahl. Eine IKT-Dienstleistung kann jeweils nur eine Dienstleistungs-Art haben.
Die Maske der Dienstleistungen untergliedert sich in die Reiter Details, Verknüpfungen, Risikomanagement und Soll-/Soll- & Soll-/Ist-Abgleich. Der Reiter "Sollmaßnahmen" wurde in ForumISM in "Soll-/Soll- & Soll-/Ist-Abgleich" unbenannt, die Inhalte bleiben ansonsten unverändert.
Bei aktiviertem ForumOSM werden die Asset-ID und die Dienstleistungs-Art ebenfalls auf dem Reiter "Allgemein" an gleicher Stelle wie in ForumISM angezeigt.
Ist ForumOSM aktiviert, wird in ForumISM im Reiter "Details" unter "Allgemein" der Bereich Klassifizierung angezeigt.
Umstrukturierung der Reiter in den IKT-Assets
Im Reiter Details erfolgte eine umfassende Umstrukturierung und Anpassung an die Logik der DORA.
Schnittstellen: weitere Auswahlmöglichkeit "ein- und ausgehend"
An IKT-Assets steht in der Maske einer Schnittstelle im Feld Richtung nun der Eintrag "ein- und ausgehend" zur Verfügung. Da viele Schnittstellen bidirektional arbeiten, wurde diese Auswahlmöglichkeit ergänzt.
PDF-Ausgabe
In den Sicherheitsrelevanten Ereignissen werden die Farben der Ergebnisse „Relevanz“ im PDF-Dokument nun farblich angezeigt.
Neue Funktionen und Verbesserungen in der ForumSuite 2024-08
Umbenennungen und Umstrukturierung gemäß DORA
In den Anwendungen der ForumSuite erfolgten umfassende Umstrukturierung und Anpassungen an den Sprachgebrauch sowie die Logik der DORA.
Um die Begrifflichkeiten der DORA in der ForumSuite abzubilden, wurden toolübergreifend folgende Umbenennungen vorgenommen:
- Datenklassen → Informationsklassen (auch in ForumDSM Änderung Datenklassen → in Informationsklassen)
- Schutzobjekte → IKT-Assets
- Schutzobjekt-Risiken → IKT-Asset-Risiken
- Schutzobjekt-Maßnahmen → IKT-Asset-Maßnahmen
- Leistungen → Dienstleistungen
- Strukturanalyse → Assetmanagement
Analyse der kritischen oder wichtigen Funktion - ehemals Business Impact Analyse
In der Anwendung ForumISM wurde die Business Impact Analyse in "Analyse der kritischen oder wichtigen Funktion" umbenannt. In den Einstellung für die Business Impact Analyse wurde die nicht weiter verwendete Spalte für das Mapping der Zeiträume auf die Schadensklassen der Verfügbarkeit entfernt.
Die Texte für das Ergebnis einer Analyse zu Kritische oder wichtige Funktionen wurden entsprechend der DORA-Verordnung angepasst. Eine ermittelte Zeitkritikalität resultiert direkt in einer Einstufung des Prozesses als „kritische oder wichtige Funktion“.
Die Vererbung der Eigenschaft "kritische oder wichtige Funktion" und der Zeitkritikalität aus Prozessen erfolgt nun auf Basis eines 4-stufigen Abhängigkeitsgrades. Die bisherige Unterscheidung nach benötigt und unterstützend ist entfallen und wird auf den neuen Abhängigkeitsgrad vollautomatische migriert.
Statt der bisher einfachen Unterscheidung zwischen "benötigt" und "unterstützend" wird ein vierstufiger Abhängigkeitsgrad zwischen Prozessen, IKT-Assets und Leistungen genutzt werden. Die Vererbung der Eigenschaft "kritische oder wichtige Funktion" und der Zeitkritikalität aus Prozessen soll auf Basis eines 4-stufigen Abhängigkeitsgrades erfolgen.
Stufen:
- 1 - nicht signifikante Abhängigkeit
- 2 - geringe Abhängigkeit
- 3 - erhebliche Abhängigkeit
- 4 - vollständige Abhängigkeit
Dabei kann die für die Vererbung bestimmter Merkmale genutzte Stufe der Abhängigkeit (normalerweise Stufe 3 oder 4) in den Einstellungen festgelegt werden.
Der Abhängigkeitsgrad soll auch bei Verknüpfungen der IKT-Assets untereinander und bei der Verknüpfung von Leistungen berücksichtigt werden. Wir benötigen die gleiche Logik daher auch bei der Verknüpfung von Anwendungen mit Systemen und bei der Verknüpfung von Systemen mit Infrastruktur, sowie bei der Verknüpfung von Prozessen mit Leistungen oder IKT-Assets mit Leistungen.
Die Informationsklassen (ehemals Datenklassen) sind nicht von dieser neuen Logik betroffen. Bei neuen Verknüpfungen soll im Dialog zu Verknüpfung der Abhängigkeitsgrad abgefragt werden. In diesem Verknüpfungsdialog soll auch nachträglich der Abhängigkeitsgrad änderbar sein.
Neue Startseite
Die Anwendungen der ForumSuite werden auf einer modernen Kacheloberfläche zur Auswahl angeboten:
Restrisiko-Widget auf den jeweiligen Startseiten
Nutzen Sie in den Anwendungen der ForumSuite das Risiko-Widget auf der Startseite der betreffenden Anwendung, können Sie durch die Auswahl einer Restrisikoklasse durch die direkte Verlinkung in die Übersicht des Risiko-Cockpits gelangen. In der Übersicht werden Ihnen alle Risiken der gewählten Risikoklasse ausgegeben.
HCL Domino Plattform
Neue und geänderte Funktionen, welche nur die HCL Domino Plattform betreffen.
Mit diesem Release ist es zwingend notwendig, Vorschlagsdatenbanken in den Anwendungen der ForumSuite neu zu hinterlegen. Eine Änderung der Verfahrensweise zum vereinfachten Einspielen von Vorschlägen erfordert in den Produkten ForumBCM, ForumDSM, ForumISM, ForumNSR und ForumOSM dieses Vorgehen. Bitte nutzen Sie unsere Hinweise im Handbuch unter Aktualisierung Vorschläge HCL Domino ab Version 2024-08 für den unkomplizierten Eingriff.
Java Plattform
Neue und geänderte Funktionen, die nur die Java Plattform betreffen.
- keine
Fehlerbehebungen in ForumISM
- Die fehlende Anzeige von Katalogen bei der Zuordnung von Sollmaßnahmen aus Standards an IKT-Assets und Dienstleistungen wurde behoben.
Fehlerbehebungen in der ForumSuite 2024-08
- Ein Problem im Zusammenhang mit dem Download von Anhängen und Thumbnails wurde in der Java-Plattform behoben.