Version 2024-11
Versionsnummer | 2024-11 |
---|---|
Releasedatum |
In den nachfolgenden Abschnitten werden die wichtigsten Neuerungen und Anpassungen in ForumISM beschrieben.
Wie Sie an ein Update zu ForumISM gelangen.
Der verantwortliche Ansprechpartner in Ihrem Unternehmen wird per E-Mail informiert. In dieser E-Mail stellen wir das Update per Link zum Download zur Verfügung.
Falls Ihnen das Update nicht zur Verfügung steht, wenden Sie sich bitte an unseren technischen Support
Verbesserung in ForumISM
Kopierfunktion für die Umsetzung von Sollmaßnahmen an Dienstleistungen
Für IKT-Dienstleistungen wurde eine Kopierfunktion für die Umsetzung der Sollmaßnahmen implementiert, um eine Erleichterung bei der Bewertung von Sollmaßnahmen zu ermöglichen.
Wurden Bausteine mit Sollmaßnahmen an einem Asset hinzugefügt, kann per Button "Bewertung übernehmen..." die bereits an anderen Dienstleistungen getroffene Bewertung der Sollmaßnahmen übernommen werden. Dazu öffnet sich ein Auswahldialog, über den die betreffenden Dienstleistungen und deren verknüpften Sollmaßnahmen per Anhaken übernommen werden können. Im Anschluss sollte nochmals eine Bestätigung neuer und entfallener Maßnahmen durchgeführt werden.
Die Kopie ist nur von gleichen Assets (von Dienstleistung zu Dienstleistung) möglich. Die Funktion steht im Bearbeiten-Modus zur Verfügung.
Erweiterung des Sollmaßnahmen-Cockpits
Neben den bisher bereits angezeigten Sollmaßnahmen der IKT-Assets (Anwendungen, Systeme, Infrastrukturobjekte) werden nun auch die Sollmaßnahmen der Dienstleistungen mit im Cockpit angezeigt und können in die generelle Betrachtung der noch durchzuführenden Maßnahmen einbezogen werden.
Erweiterung der Felder an Bedrohungen
An Bedrohungen wurden einige neue Felder ergänzt.
Unter Bedrohungsart stehen zwei Arten zur Auswahl:
- Bedrohung ohne Vorsatz
- Bedrohung mit Vorsatz
Der Bedrohungsfaktor (1-niedrig, 2-mittel, 3-hoch, 4-sehr hoch) ist nur sichtbar bei einer Bedrohung ohne Vorsatz.
Bei einer Bedrohung mit Vorsatz erscheinen die Felder Bedrohungsfaktor Fähigkeiten, Bedrohungsfaktor Ressourcen und Bedrohungsfaktor Motivation.
Die Bewertung erfolgt jeweils nach dem Schema 1-niedrig, 2-mittel, 3-hoch, 4-sehr hoch.
Das Bedrohungsergebnis wird bei beiden Bedrohungsarten automatisch aus den Angaben abgeleitet.
Beschreibung der "Art der IKT-Dienstleistung"
Für eine Beschreibung der möglichen Arten von IKT-Dienstleistungen wurden umfangreiche Hilfstexte hinterlegt, die auch mit Beispielen angereichert sind, um eine einfache Zuordnung zu ermöglichen.
Kategorisierung der Dienstleistungen nach "Art der IKT-Dienstleistung"
In der Anwendung ForumISM wurden die Dienstleistungen zusätzlich nach Ihrer Art gruppiert, wodurch die Ansicht übersichtlicher wird. Die Bezeichnung der Art wurde um ein Präfix erweitert.
Zuordnung bearbeiteter Sollmaßnahmen aus dem BASI auf die Umsetzung des BaSo an IKT-Assets
Diese Änderung betrifft ausschließlich Kunden des Verfahrenslieferanten aus dem Geno-Umfeld.
Wurden IKT-Assets mit Maßnahmen aus dem "Bankindividuellen SiMaKat" (BASI) verknüpft und am Asset bearbeitet, können diese mit Version 2024-11 der ForumSuite auf die zugehörigen Maßnahmen aus dem Banken Sollmaßnahmenkatalog (BaSo) des Verfahrenslieferanten übertragen werden.
Ausblenden der Spalte "Schutzniveau" im Assetmanagement
Diese Änderung betrifft ausschließlich Kunden des Verfahrenslieferanten aus dem Geno-Umfeld.
Als Vorgriff auf den geplanten Rückbau des Schutzniveaus wird im Reiter "Assetmanagement" die Spalte "Schutzniveau" für folgende IKT-Assets ausgeblendet:
- Anwendungen
- Systeme
- Infrastruktur
Umbenennung des Reiters "Schutzniveau" in "Soll-/Ist-Abgleich"
In den IKT-Assets Anwendungen, Systeme und Infrastruktur wurde im Reiter Schutzbedarf der Bereich "Schutzniveau" in "Soll-/Ist-Abgleich" umbenannt werden.
Übertragung der Relevanzwerte aus verknüpften Informationsklassen und Geschäftsprozessen
Sind IKT-Assets (Anwendungen, Systeme, Infrastrukturobjekte, Dienstleistungen) mit einer hohen Abhängigkeit mit Geschäftsprozessen verknüpft, so werden sowohl die Bewertung für die "kritische oder wichtige Funktion", als auch die Relevanzen der Informationsklassen des Geschäftsprozesses (steuerungsrelevant, datenschutzrelevant, rechnungslegungsrelevant) an das Asset übertragen.
Schutzbedarf an Geschäftsprozessen
Sofern noch kein Schutzbedarf festgelegt wurde und ein Vorschlag dafür existiert, kann dieser Vorschlag als Grundlage für eine eigene Bewertung verwendet werden. Veraltete Werte für Vertraulichkeit (C), Integrität (I) und Authentizität (N) können mit der Schaltfläche "veraltete Werte entfernen" gelöscht werden. Dann bleibt nur der Wert für Verfügbarkeit (A) erhalten. Die Werte für Vertraulichkeit (C), Integrität (I) und Authentizität (N) ergeben sich aus dem Schutzbedarf der direkt oder indirekt verknüpften Informationsklassen mit Schutzbedarf nach dem Maximalprinzip.
IKT-Assets Anwendungen
Weitere Verknüpfungen
In diesem Bereich können Sie bei Bedarf der Anwendung manuell weitere Informationsklassen zuordnen.
Sofern die Anwendung für einzelne aus zugeordneten Geschäftsprozessen verknüpften Informationsklassen nicht relevant ist, können diese manuell abgewählt werden. Die Begründung der Abwahl kann in der nächsten Zeile erfasst werden.
Wegfall Eingabefelder
In ISM wurden die Felder für Anfang und Ende der Dienstleistung entfernt
Spezifisches Sollmaßnahmenprofil: Sollmaßahmen für Leistungen
Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:
"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)
Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.
Neue Funktionen und Verbesserungen in der ForumSuite 2024-11
Unterscheidung GENO-Kunden mit Nutzung des Verfahrenslieferanten (ITR-Bundle) und Nicht-GENO-Kunden
Verschiedene Funktionen und Einstellungen wurden nur für Nutzer des Genossenschaftlichen Umfelds mit Nutzung der Vorschläge des Verfahrenslieferanten zur Verfügung gestellt. Diese Einstellungen und Sonderfeatures werden entsprechend im Handbuch mit dem Hinweis ITR-BUNDLE markiert. Diese Funktionen unterscheiden sich zum Teil für Nutzer aus dem Nicht-Geno-Umfeld.
Sobald das ITR-Bundle mit den Vorschlägen des Verfahrenslieferanten genutzt wird, werden im Hintergrund die entsprechenden Einstellungen aktiviert.
Für Geno-Kunden mit Nutzung des ITR-Bundles wurde bereits als Vorgriff auf den Rückbau des Schutzniveaus in ForumISM in den folgenden drei Ansichten im Reiter "Assetmanagement" die Spalte "Schutzniveau" ausgeblendet: Anwendungen, Systeme, Infrastruktur.
ITR-BUNDLE Erfassen der Schwachstelleneinstufung an Maßnahmen des BaSo-Katalogs
Die Nutzung des BaSo-Katalogs ist nur im Zusammenhang der Verwendung des ITR-Bundles möglich. Die BaSo-Maßnahmen wurden um Felder und eine Berechnungslogik zur Bewertung möglicher Schwachstellen ergänzt. Die Angaben werden durch die Vorschläge vorgegeben.
ITR-BUNDLE BASO-ID
Zur eindeutigen Identifikation der BaSo-Maßnahmen wurde außerdem eine BASO-ID vergeben, welche auch in ForumISM an den Sollmaßnahmen angezeigt wird.
ITR-BUNDLE Risikokriterien - Neue Einstellungen zur Ermittlung von Risikoempfehlungen
Der neue Bereich der Risikoempfehlungen ist nur relevant, wenn das ITR-Bundle mit dem BaSo-Katalog im Einsatz ist. Die Funktion gilt also nur für betroffene BaSo-Maßnahmen.
Unter Einstellungen wurde im Bereich der Risikokriterien eine neue Funktion zur Risikoempfehlung implementiert. In diesem Zusammenhang wurde der Bereich in drei Reiter aufgeteilt, um die Übersichtlichkeit zu verbessern.
Der berechnete Gesamtwert der JRE (Jährliche Risiko-Eintrittswahrscheinlichkeit) aus allen Bedrohungen mitsamt der Schwachstelleneinstufungen muss auf eine Stufe der Eintrittswahrscheinlichkeit (EW) gemappt werden.
Hierzu dient die Tabelle in den Einstellungen unter Risikoempfehlung. Die Schwellwerte zur JRE sind bereits vorgegeben, können kundenseitig aber geändert werden. (Die Werte werden als Float-Zahlen gespeichert, und müssen aufsteigend definiert sein sowie größer oder gleich Null sein.)
An den Bedrohungen kann auf Basis ein "Bedrohungsergebnis" ermittelt werden, das Werte von 1-4 annehmen kann (Float). Anhand einer Tabelle wird in 4 Stufen ein Mapping zu einer entsprechenden Auftrittshäufigkeit in Jahren erfasst. Dazu wird das JRE-Verfahren verwendet, wobei für jede Stufe definiert wird, welcher statistische Erwartungswert in Jahren damit verbunden ist.
Die Stufe der Eintrittswahrscheinlichkeit ist vorgegeben und kann nicht geändert werden.
Bei nicht vollständig umgesetzten Sollmaßnahmen wird damit aus Bedrohung, Schwachstelle und Schadenspotential automatisch ein Risikovorschlag ermittelt, der dem User die weitere Bearbeitung erleichtern soll.
Automatische Risikoermittlung bei Abweichungen von Sollmaßnahmen
Bei BaSo-Sollmaßnahmen, deren Umsetzungsstatus "teilweise umgesetzt" oder "nicht umgesetzt" ist, wird bei Erstellung eines GAP-Risikos nach Auswahl einer Bedrohung (+Speichern) in der Bewertung des Risikos eine automatische Risikoermittlung angezeigt.
Massenaktualisierung von abweichenden Risiken
Die Risiken mit abweichendem Bewertungsschema werden im Risiko-Cockpit in einem eigenen Bereich angezeigt.
Es kann für die geänderten Risiken eine Massen-Aktualisierung durchgeführt werden.
Export von Sollmaßnahmen auch ohne Nutzung ForumOSM
Die Sollmaßnahmen an IKT-Dienstleistungen können nun auch als Export zur Verfügung gestellt werden, auch wenn der Kunde kein ForumOSM aktiviert hat.
Erweiterung der möglichen Vorschlagswerte für die Einstellungen
Im Bereich der Einstellungen wurden weitere Bereiche für die Hinterlegung von Vorschlagstexten vorbereitet, die in weiteren Vorschlagsupdates dann übermittelt werden können.
Sofern es für die Einstellungen Analyse kritische oder wichtige Funktion (ForumISM) bzw. Business Impact Analyse (ForumBCM) einen Vorschlag gibt, erscheinen Hinweistexte und Button zur Übernahme des Vorschlages.
HCL Domino Plattform
Neue und geänderte Funktionen, welche nur die HCL Domino Plattform betreffen.
- keine
Java Plattform
Neue und geänderte Funktionen, die nur die Java Plattform betreffen.
- keine
Fehlerbehebungen in ForumISM
- Nach Umbau der Vererbung des Schutzbedarfs wurde dessen Anzeige in den Geschäftsprozess-Grid-Spalten nicht berücksichtigt (z.B. Maske IKT-Dienstleistung). Diese fehlerhafte Anzeige des Schutzbedarfs wurde in den betreffenden Ansichten bereinigt.
Fehlerbehebungen in der ForumSuite 2024-11
- Ein Problem bei der PDF-Ausgabe von Aufgaben wurde behoben. Wurde eine Aufgabe, die im edit ist, als PDF ausgegeben, wurde das Feld "Fälligkeitsdatum" geleert. Nun müssen Aufgaben erstmalig gespeichert werden, damit ein PDF ausgegeben werden kann. Somit wird die Leerung des Feldes umgangen.
- Beim Abgleich mit Vorschlag unter "Inhalte aktualisieren" im Abschnitt "Anhänge" funktioniert keine der drei Auswahlmöglichkeiten "Alle, Keine, Invertieren". Dieses Problem wurde behoben.
- Ein Problem beim Autofokus von Input-Feldern wurde behoben.
- Im Zuge von Anpassungsmaßnahmen wurde die Funktion zur Benachrichtigung geänderter Vorschläge deaktiviert.
- Das Löschen von IKT-Assets bzw. Geschäftsprozessen ist nun auch bei Verknüpfungen zu NSR-Bausteinen möglich.