Die Prüfungsfragen des Leitfaden Ordnungsmäßigkeit (LFO) (ehemals SOIT) sind in dieser Übersicht kategorisiert gelistet. Über die Dreieckssymbole(1) bzw. über die Schaltflächen + und - (2) kann die Ansicht auf- und zugeklappt werden. Den Status der Umsetzung bekommen Sie ebenfalls in der Übersicht angezeigt.
Abbildung: Prüfungsfragen Übersicht
Es werden nur Kapitel angezeigt, in denen auch Prüfungsfragen hinterlegt sind.
Einzelansicht Prüfungsfragen
Unter der Bezeichnung werden die Nutzer aufgelistet, die (ggf. durch Vererbung) für das Objekt verantwortlich sind. Um alle Nutzer einzusehen, klicken Sie auf das Dreieckssymbol(1). Soll die Verantwortung entsprechend anders vergeben werden, kann dies durch die Auswahl im Feld Umsetzungsverantwortliche(2) geschehen. Im Bearbeitungsmodus empfehlen wir im Feld der Umsetzung (Ist)(3) eine Beschreibung zu hinterlegen. Für die Auswahl des Reifegrads(4) steht Ihn die Einstufung nicht relevant, nicht umgesetzt, teilweise umgesetzt und vollständig umgesetzt zur Verfügung. Über die Schaltfläche Risiko anlegen ...(5) können Sie ein noch nicht in ForumNSR angelegtes Risiko neu anlegen. Die getroffene bzw. bestehende Auswahl von Risiken kann über die Schaltfläche Auswahl bearbeiten(6) geändert werden. Sie können weitere Objekte zuordnen oder über das Symbol 
Abbildung: Einzelansicht Prüfungsfragen
Wird der Reifegrad mit teilweise umgesetzt oder nicht umgesetzt eingestuft, wird zusätzlich die Zeile Abweichung für eine Beschreibung der Abweichung eingeblendet.
Die Auswahl nicht relevant können Sie in der Zeile Begründung näher erläutern.
Weitere Informationen zum Reifegrad finden Sie im Kapitel Reifegrad .
Bedrohungen an Sollhinweisen
An Prüfungsaufgaben oder Sicherheitsmaßnahmen (etc.) können nun im Bearbeitungsmodus Bedrohungen hinterlegt werden.
Abbildung: Bedrohungen an Sollhinweisen
Anzeige von GAP-Risiken aus ForumISM
Werden an Schutzobjekten in ForumISM Risiken für nicht vollständig umgesetzte Sollhinweise von Sollmaßnahmen aus Standrads angelegt, werden diese als GAP Risiko bezeichnet und im betreffenden Sollhinweis aufgeführt.
Abbildung: GAP-Risiken an Sollhinweisen
Sonderansicht Sollmaßnahmen Banken Sollmaßnahmenkatalog (BaSo)
Diese Anpassung betrifft ausschließlich Kunden des Verfahrenslieferanten aus dem Geno-Umfeld, die das ITR-Bundle im Einsatz haben.
An den Sollmaßnahmen des BaSo können zusätzlich die von der jeweiligen Maßnahme betroffenen Schutzziele sowie die möglichen Auswirkungen auf das jeweilige Schutzziel in einer Klassifizierung hinterlegt werden. Diese Einstufungen stehen Ihnen direkt über die Vorschläge zur Verfügung.
Abbildung: Schutzziele an den Sollmaßnahmen
Außerdem stehen verschiedene vertiefende Informationen zu den einzelnen Maßnahmen bereit. So wird auch darauf hingewiesen, in welchem Kontext die Maßnahme für BAIT, MaRisk und auch DORA relevant wird. Auch die Zuordnung zu den Konzepten der Cybersicherheit, den Sicherheitsdomänen sowie den IKT-Asset- und IKT-Dienstleister-Clustern ist bereits hinterlegt.
Sonderansicht Maßnahmen im BSI IT-Grundschutz-Kompendium
Im Bearbeitungsmodus empfehlen wir im Feld der Umsetzung (Ist)(2) eine Beschreibung zu hinterlegen. Bitte denken Sie an die Vergabe der Zuständigkeit(3). Für die Auswahl des Refegrads(4) steht Ihn die Einstufung nicht relevant, nicht umgesetzt, teilweise umgesetzt und vollständig umgesetzt zur Verfügung. Über die Schaltfläche Risiko anlegen ...(5) können Sie ein noch nicht in ForumNSR angelegtes Risiko neu anlegen. Die getroffene bzw. bestehende Auswahl von Risiken kann über die Schaltfläche Auswahl bearbeiten(6) geändert werden. Sie können weitere Objekte zuordnen oder über das Symbol
Abbildung: Einzelansicht einer Maßnahme
Das Feld URL (1) verweist Sie in der Anwendung ForumNSR auf einen Link der Maßnahme (Bundesamt für Sicherheit in der Informationstechnik (BSI)), um die Aktualität der Maßnahme in Ihrer Anwendung zu wahren.
Umsetzung (IST) entfernen
Eine bereits in ForumNSR erfasste Umsetzung kann im Bearbeitungsmodus über das Symbol 
Abbildung: Löschen einer Umsetzung
Bevor die erfasst Umsetzung entfernt wird, müssen Sie den Löschvorgang bestätigen.
Abbildung: Bestätigung der Löschung von einer Umsetzung
Eine neue Umsetzung erfassen Sie über die Schaltfläche Umsetzung erfassen ....
Abbildung: Umsetzung neu erfassen
Hinweis auf fehlenden Umsetzungsstand
Es wird nun für Prüfungsfragen bzw. Maßnahmen ein Hinweis angezeigt, sofern das übergeordnete Kapitel bzw. der übergeordnete Baustein als relevant markiert ist und noch kein Umsetzungsstand dokumentiert wurde.
Abbildung: Hinweis auf fehlenden Reifegrad
Verantwortung aus Kapitel übernehmen
Im Bearbeitungsmodus einer Prüfungsfrage besteht über die Schaltfläche Verantwortung aus Kapitel übernehmen die Möglichkeit, eine bereits gesetzte Verantwortung aus dem übergeordneten Objekt zu übernehmen.
Abbildung: Verantwortung aus Kapitel übernehmen
Referenz auf andere Maßnahmen
Maßnahmen mit Referenzen auf andere Maßnahmen sind nicht bearbeitbar. Hauptsächlich wird Ihnen dies im Bankindividuellen Sollmaßnahmenkatalog (BASI) begegnen. In den Clustern 01 bis Cluster 13 wird an den betreffenden Maßnahmen im Feld Inhalt mit Bewertung erfolgt in übergeordnetem Cluster "Organisation" angezeigt und eine weitere Bearbeitung ist in diesen Fällen nicht möglich.
Abbildung: Einzelansicht einer unbearbeitbaren Maßnahme
Sie haben keine Schaltfläche für die Bearbeitung und erhalten den Hinweis:
Diese Maßnahme kann nicht bearbeitet werden, da die Umsetzung durch einen Verweis auf eine andere Maßnahme bestimmt wird.
Risiken
Allgemein
Sofern sich zwischen Sollanforderung und der tatsächlichen Umsetzung eine Abweichung ergibt, sind diese einer Risikoanalyse zu unterziehen.
Über die Schaltfläche Risiko anlegen... können Sie ein neues Risiko anlegen bzw. im Bearbeitungsmodus ein bereits angelegtes Risiko über die Schaltfläche Risiken duplizieren(3) auswählen oder über die Schaltfläche Auswahl bearbeiten(2) ein bereits hinzugefügtes Risiko über das Mülleimersymbol entsorgen.
Abbildung: Anlegen eines Risikos
Bitte geben Sie dem Risiko eine aussagekräftige Bezeichnung(1), um eine weitere Bearbeitung in ForumNSR zu erleichtern.
Die Herkunft(2) wird bei der Bearbeitung aus einer Prüfungsfrage bereits vorgegeben. Bitte vergessen Sie nicht eine
Verantwortung
(3) zu hinterlegen und gegebenenfalls
Bedrohungen
(4) zu zuordnen.
Erfassen Sie eine Beschreibung(5) und vergeben Sie gemäß Ihren internen Anforderungen z.B. analog ForumISM eine Risiko-Nr sowie einen Sortierschlüssel(6).
Die Risiko-Nr. und der Sortierschlüssel werden in den Risikoreports in ForumISM berücksichtigt.
Abbildung: Ansicht Allgemein am Risiko (Beispiel aus dem LFO)
Für die Auswahl von Bedrohungen steht in der Maske über die Schaltfläche Aus Liste wählen...(5) ein Auswahldialog zur Verfügung.
Abbildung: Auswahldialog Bedrohungen
Bewertung
Analog zur Methodik des ISMS sind hier eine Schwachstellen- und Bedrohungsanalyse durchzuführen und Eintrittswahrscheinlichkeit und Schadenspotential des Abweichungsrisikos zu bewerten.
Der Umgang mit dem Risiko bzw. Restrisiko (nach Maßnahmen) ist zu dokumentieren. Ist die Bedrohungs- und Schwachstelleneinstufung getroffen, können Sie über die Schaltfläche Berechnen(1) die Eintrittswahrscheinlichkeit(2) berechnen lassen.
Bitte hinterlegen Sie eine entsprechende Begründung (3) für Ihre Entscheidung.
Sollten Änderungen an der Schwachstellen- bzw. Bedrohungseinstufungen vorgenommen werden, müssen eventuell hinterlegte Begründungen ebenfalls geändert werden.
Abbildung: Bewertung eines Risikos
Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.
Abbildung: Matrix Eintrittswahrscheinlichkeit
Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung hinterlegt.
Ist die Eintrittswahrscheinlichkeit berechnet und das Schadenspotenzial gewählt, wird automatisch vom System die Risikoklasse und Risikokategorie bestimmt.
Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung gemäß dem Standard für die Ordnungsmäßigkeit der IT-Verfahren (SOIT) zur Verfügung:
1 - niedrig (Die Schadenswirkung ist minimal)
2 - mittel (Die Schadenswirkung ist gering)
3 - hoch (Die Schadenswirkung ist beträchtlich)
4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)
Abbildung: Beispiel für ein bearbeitetes Risiko
Umgang mit dem Risiko / Restrisiko
Wurde eine Bewertung des Risikos durchgeführt, bestehen verschiedene Option im Umgang mit dem Risiko. Diese Auswahl hat einen Einfluss auf die Bewertung das Restrisikos.
Auch für das verbleibende Restrisiko kann eine Handlungsempfehlung ausgesprochen werden, wenn sich beispielsweise zu einem Risiko keine (wirtschaftlich / organisatorisch) sinnvollen Maßnahmen zur Minimierung festlegen lassen oder das Restrisiko trotz getroffener Maßnahmen noch sehr hoch ist.
Abbildung: Umgang mit dem Risiko
|
Risiko |
|
|---|---|
|
nicht bearbeitet |
Es ist kein Umgang mit dem Risiko definiert. |
|
akzeptieren |
Die Risikobewertung wird automatisch in die Restrisikobewertung übernommen. Es sind keine sinnvollen Maßnahmen umsetzbar. |
|
behandeln |
Durch verschiedene Maßnahmen können die Risikowerte minimiert werden. |
|
vermeiden |
Das Risiko kann vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann. |
|
übertragen |
Risiken können zum Beispiel an eine Versicherung übertragen werden. |
Kopierfunktion von Risiken
Über die Schaltfläche Duplizieren kann eine Kopie eines bereits bestehenden Risikos angelegt werden werden.
Abbildung: Anischt Risikobewertung
Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.
Maßnahme am Risiko
Im Reiter Bewertung können Sie Risiken durch Maßnahmen(1) durch das Betätigen der Schaltfläche Maßnahme anlegen ...minimieren. Bitte geben Sie eine aussagekräftige Bezeichnung für die Maßnahme(2) an, um die weitere Bearbeitung bzw. das Auffinden des Dokuments zu erleichtern. Bitte denken Sie an die Vergabe der Verantwortung(3) und die Einstufung des Status(4). Das Risiko ist bereits übernommen und weitere Risiken können hinzugefügt werden(5). Über die Schaltfläche Auswahl bearbeiten(6) können Sie die Auswahl bearbeiten bzw. über das Symbol des Mülleimers löschen. Über die Dropdown-Listen kann die Auswahl zur Risikoreduktion und den zu erwartenden Kosten(7) getroffen werden, auch hier kann eine Begründung optional hinterlegt werden
Abbildung: Anlegen einer Maßnahme
Einer Maßnahme sollte für die spätere Bearbeitung eine Verantwortung zugeordnet werden.
Status
Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status der Bearbeitung stehen Ihnen folgende Staus zur Verfügung:
|
Status |
Bedeutung |
|---|---|
|
vorgesehen |
Die Maßnahme ist geplant. |
|
in Bearbeitung |
Die Maßnahme ist in Bearbeitung. |
|
in Prüfung |
Die Maßnahme ist in Prüfung. |
|
implementiert |
Die Maßnahme ist fertig bearbeitet. |
|
verworfen |
Die Maßnahme wurde verworfen. |
Freigabe
Die neue Maßnahme können Sie zum Abschluss freigeben und es wird automatisch eine Wiedervorlage erstellt. Im Menüpunkt Risikomanagement bekommen Sie in der Übersicht der Maßnahmen zur Risikobehandlung alle in ForumNSR angelegten Maßnahmen angezeigt.
Abbildung: Freigabe der Maßnahme