Kritikalität einer Organisationseinheit feststellen

Wie kritisch eine Organisationseinheit tatsächlich ist wird im Rahmen der Schutzbedarfsanalyse sichtbar. Als Schutzbedarfe werden jene IT-Risiken bezeichnet, welche aus der Perspektive des IT-Leistungsempfängers auftreten und dadurch das Business und somit die Umsetzung der Unternehmensziele gefährden.

Um dies zu erkennen werden in der Regel strukturierte Interviews mit dem Business geführt.

Zur Durchführung einer Schutzbedarfsanalyse muss entweder ein Expert oder Professional ein Interview mit einem Fachbereichsverantwortlichen führen und Daten zu folgenden Fragestellungen erfassen können.

1. Welche Daten verarbeiten sie in Ihrer Abteilung?
2. Wie klassifizieren sie diese Daten?
3. Welche Business Services(Prozesse) benötigen Sie für das tägliche business?
4. Wie klassifizieren sie diese Business Services?
5. Wie lange können Sie ohne die Daten auskommen, im Falle eines Systemausfalls und wie viel Datenverlust auf einer zeitlichen Achse zurück in die Zukunft wäre verkraftbar?
6. Welche Verarbeitungsprozesse durchlaufen Ihre Abteilung?

Die Datenarten welche in der Organisationseinheit verwendet werden müssen ermittelt werden. Dies könnten z.B. Buchhaltungsdaten,Kundendaten oder Personaldaten sein. Für diese Daten müssen Verantwortliche ermittelt und erfasst werden. Meist finden sich die Verantwortlichen innerhalb des Fachbereichs bzw. in einem übergeordneten Vorgesetzten. Manchmal kann es aber auch vorkommen, dass ein anderer Fachbereich genannt wird, da Daten für diesen bearbeitet werden.

Datenarten können von unterschiedlichen Organisationseinheiten verwendet werden. Die Datenklassifikation der Datenarten sollte im gesamten Unternehmen einheitlich sein (z.b Geheim,Intern oder Vertraulich). Pro Datenart kann nur ein Verantwortlicher definiert werden. Auch Hierarchien unter den Daten sind machbar. Z.B. kann der Überbegriff Finanzdaten auch in Kostenrechnungs-, Bilanz-, Abrechnungs-, Lohndaten etc. unterteilt werden. Die Verantwortlichen dieser Daten können andere Personen sein, als der Verantwortliche der Finanzdaten. Weil dieser z.B. die Verantwortlichkeit delegiert hat.

Die Klassifizierung zielt auf die Schutzziele der Daten ab:

• Wie klassifizieren Sie diese Daten hinsichtlich Ihrer Vertraulichkeit? --> Datenklasse und daraus ergibt sich das zugehörige mögliche Schadensausmaße. Weiters sollten Sie mögliche Szenarien für einen Schaden erfassen und zusätzliche konkrete Schadensangabe (wenn möglich) in EUR machen bzw. den Schaden auch klassifizieren wenn er nicht rein monetärer Natur ist (z.B Imageschaden).

• Die Sensibilität der Daten im Rahmen des Interviews zu erfassen ist vor allem bei personenbezogenen Daten sinnvoll.

• Die Aufbewahrungsdauer für die Daten kann hier ebenfalls ermittelt werden.

• Business Anwendungen (ERP, DMS, Finanzbuchhaltung etc.)
• Klinische administrative Anwendungen (Patientenadministration, Therapieplanung, Patientendokumentation etc.)
• Medizinische Systeme unter Einbindung von Medizinprodukten
• Kommunikationssysteme (Mail, Intranet, Internet, Skype, Telefonie, Fax etc.)
• Datenablage-Services (File-Share, Kollaborations-Plattformen, Cloud Services etc.)
• und welche Daten stehen mit diesen Applikationen in Zusammenhang (erstellt, bearbeitet, eingesehen, …)

Hier erfolgt die Klassifizierung für die Schutzziele die auf Systeme abzielen:

• Wie klassifizieren Sie einen Integritäts- bzw. Authentizitätsverlust?
• Wie klassifizieren Sie einen Verfügbarkeitsverlust bzgl. der Applikation:

- kurzweiligen untertägigen Verfügbarkeitsverlust in den Geschäftszeiten? (2-4h)

nicht arbeitsfähig | eingeschränkt arbeitsfähig

Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

- ganztägigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (8-24h)

nicht arbeitsfähig | eingeschränkt arbeitsfähig

Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

- einen längerfristigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (>1 Tag; bis zu 2 Tage oder mehr)

nicht arbeitsfähig | eingeschränkt arbeitsfähig

Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

• etc

Vor allem hier werden Business Services von unterschiedlichen Fachbereichen verwendet. Es muss daher ausgewertet werden welcher Fachbereich welche Anforderungen an den jeweiligen Service stellt. Es zieht die Anforderung des Fachbereichs mit dem größten Gefahrenpotential je Schutzziel für den Service. Nach dieser Anforderung muss der IT-Betrieb ausgerichtet werden.

Services die von sehr vielen bzw. allen Abteilungen genutzt werden (auch wenn sie nur wenig kritisch für die jeweilige Abteilung sind), dann als gewichtiger betrachtet werden und auch danach ausgerichtet werden, als wenn sie z.B. nur von einer oder von einer sehr geringen Anzahl an Abteilungen verwendet werden und dabei als sehr kritisch eingestuft werden. Wesentlich ist dabei auch die Gewichtung der Tätigkeit der Abteilung auf das operative Betriebsergebnis wenn es sich um eine unterstützende Abteilung wie z.B. Qualitätsmanagement oder die Produktionsleitung handelt.

Zuletzt sollten Sie auch RPO / RTO / Reaktionszeiten für die Applikationen ermitteln:

• Recovery Time Objective (RTO) - Wie lange darf ein Geschäftsprozess/System ausfallen? Bei der RTO handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur - Daten - Nacharbeitung von Daten - Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage (in Einzelfällen Wochen) betragen.

• Recovery Point Objective (RPO) - Wie viel Datenverlust kann in Kauf genommen werden? Bei der RPO handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.

• Welche Daten werden darin verarbeitet (personenbezogene Daten)?
• Welche Applikationen werden dafür verwendet?
• Welche anderen Abteilungen nehmen daran teil? Von welchen anderen Fachbereichen sind sie in ihrer Arbeit abhängig (liefern, erhalten, bidirektional)

• Abhängigkeit zwischen Fachbereich –Systeme – Daten - Verarbeitungstätigkeiten
• Welche Daten werden in welchen Applikationen verarbeitet
• Welche Daten werden über welche Kommunikationssysteme ausgetauscht Welche Daten werden wo abgelegt
• Reihung der Datenarten nach Schutzzielen und Risikoeinstufung
• Reihung von Verarbeitungstätigkeiten nach Schutzzielen und Risikoeinstufungen
• Reihung der Business IT Services nach Schutzzielen und Risikoeinstufung
• Reihung der Med. adm. Services nach Schutzzielen und Risikoeinstufung
• Reihung der Med. klin. Services nach Schutzzielen und Risikoeinstufung
• Reihung der Kommunikationsservices nach Schutzzielen und Risikoeinstufung
• Reihung der Datenablagen nach Schutzzielen und Risikoeinstufung
• Kennzahlen für Backup und Notfallplanung

Diese Informationen können in weiterer Folge hilfreich sein um:

• Risikoanalysen zielgerichtet abhängig von Schutzzielen / Risikoeinstufungen durchzuführen
• Richtlinien zu erstellen
• Schulungsprogramme zu erstellen
• Notfallplanung und Business Continuity Management

Eine Schutzbedarfsanalyse hat unterschiedliche Stati, wie andere Überprüfungen auch. Abhängig vom Stati wird die Schutzbedarfsanalyse unterschiedlich im Graphen dargestellt.

• Bei Bewertung „aktiviert“ werden dünne Striche mit default-Wert 0 der Abhängigkeit im Graph dargestellt.
• Bei Bewertung „abgeschlossen“ werden die Striche entsprechend der prozentuellen Wertung der Schadensausmaßklasse in der Risikopolitik dargestellt.