HITGuard Release Oktober 2020

Da es aufgrund der neuen Features zum Datenschutz-Modul notwendig wurde, Gefährdungslagen in HITGuard nach unterschiedlichen Schadensausmaßklassifikationen (1) zu beurteilen, wurde Risikomanagement > Risikopolitik um einige Konfigurationsmöglichkeiten erweitert.

1: Für das Informationssicherheitsmanagement ist die Bewertung des Schadens aus betrieblicher Sicht vorrangig interessant. Für die Risikoabschätzung im Datenschutz ist allerdings der Schaden aus Sicht des Betroffenen zu bewerten.

Möchten Sie in einem oder mehreren Managementsystemen unterschiedliche Schadensausmaßklassen verwenden, dann legen Sie hierfür eine zusätzliche Schadensausmaßklassifikation an. Für diese Schadensausmaßklassifikation können Sie anschließend neue Schadensausmaßklassen erstellen.

Klassen und Klassifikationen können vom Experten durch klicken auf das Plus neben den Klassen / Klassifikationen definiert werden:

Nicht vergessen: Weisen Sie die neu erstellte Schadensausmaßklassifikation unter "Administration > Managementsysteme" dem gewünschten Managementsystem unter "Allgemeine Einstellungen" als Klassifikation zu.

Neu ist der Menüpunkt Schutzzielausprägungen, der nur dann sichtbar ist, wenn mehrere Schadensausmaßklassifikationen gepflegt werden. Da Schutzziele in verschiedenen Schadensausmaßklassifikationen andere Bedeutungen haben können, ist es möglich diese für die jeweiligen Klassifikationen konkret zu benennen. Z.B. kann das Schutzziel "Vertraulichkeit" im Kontext der Datenschutz Klassifikation als Privatsphäre interpretiert werden (siehe Abbildung). Dadurch wird immer dann, wenn das Schutzziel der Vertraulichkeit im Datenschutz zur Anwendung kommt, die Schutzzielausprägung „Privatsphäre“ angezeigt.

Für die Darstellung im Managementsystem zum Informationssicherheitsmanagement, in welchem die Standard-Schadensausmaßklassifikation für betriebliche Risikobewertungen genutzt wird, kann das Schutzziel weiterhin mit Vertraulichkeit eingeblendet werden oder alternativ z.B. mit betrieblicher Vertraulichkeit (siehe Abbildung) benannt werden.

Neu ist auch, dass für jede Schadensausmaßklassifikation eine eigene Risikomatrix konfiguriert werden kann. Wechseln Sie dafür zwischen den jeweiligen Schadensausmaßklassifikationen, um die Farben der jeweiligen Risikomatrix zu pflegen.

Die neuen Schutzzielausprägungen finden sich nun auch in der Strukturanalyse. Hier kann gewählt werden, nach welcher Schadensklassifikation der Graph dargestellt werden soll. Abhängig davon werden die Schutzzielausprägungen für die jeweilige Schadensausmaßklassifikation sichtbar bzw. auch die differenziert durchgeführten Bewertungen und Einstufungen im Graph:

Eine Gefährdungslage wird mit Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Wenn eine Gefährdungslage als Privat gekennzeichnet wurde, dann ist sie nach der Schadensausmaßklassifikation zu bewerten, die für das Managementsystem standardmäßig vorgesehen ist. Wenn die Gefährdungslage nicht als privat gekennzeichnet wird, also mit anderen Managementsystemen geteilt wird, dann ist diese Gefährdungslage auch für Managementsysteme sichtbar in denen ggf. eine andere Schadensausmaßklassifikation gilt. In jenen Managementsystemen wird die Gefährdungslage dann auch sichtbar, ist aber vorerst noch nicht bewertet. Sie muss dort erst mit der Schadensausmaßklasse belegt werden, die in der Einstufung der jeweiligen Klassifikation passend ist.

In der letzten Release wurde die Erweiterung der zeitlichen Historie zur Veränderung der Gefährdungslage bereits als neues Feature vorgestellt:

In dieser Release neu dazugekommen ist (neben der Möglichkeit diese Historie auch manuell zu ergänzen) die Darstellung der Risikoentwicklung am Risikomanagement Dashboard (Menüpunkt Risikomanagement) über einen Zeitstreifen. Zwischen den Zeitpunkten an denen es Änderungen gab, kann man sich per Mausklick bewegen und so die Veränderung der Gefährdungslagen nachvollziehen:

Dargestellt werden alle Gefährdungslagen Ihres Managementsystems und all jene Gefährdungslagen anderer Managementsysteme, die nicht privat gekennzeichnet wurden und daher für Sie sichtbar sind.

Wie auch schon in der Darstellung 1.4. der zeitlichen Entwicklung der Gefährdungslagen am Dashboard erklärt, wurde in der letzten Release die Erweiterung der zeitlichen Historie zur Veränderung der Gefährdungslage als neues Feature vorgestellt.

Hier gab es nun eine weitere Ergänzung: Die historischen Einträge können manuell ergänzt werden. Dies hat den Sinn auch nachträglich vergangene Veränderungen zur – bisher nicht historischen – Gefährdungslage erfassen zu können.

ACHTUNG! Wenn Sie die in Darstellung 1.4. der zeitlichen Entwicklung der Gefährdungslagen am Dashboard beschriebenen Effekte nutzen wollen und die Entwicklung der Gefährdungslagen über die Zeit darstellen wollen, dann müssen Sie für Ihre bereits vorhandenen Gefährdungslagen die zeitlichen Entwicklungen nachtragen. Seit der letzten Release wird nun aber jede neue Änderung an der Gefährdungslage historisch dokumentiert.

Beachten Sie weiters, dass durch die Erweiterung zu den differenzierbaren Schadensausmaßklassen in HITGuard Ihre Historie hinsichtlich der Veränderungen an den Schadensausmaßklassen einer Gefährdungslage nur für jene Managementsysteme als Protokolleintrag sichtbar wird, die dieselbe Schadensausmaßklassifikation verwenden.

Unter Risikomanagement > Berichte > Standards und Normen finden sich neue Auswertungsmöglichkeiten.

Eine neue Auswertungsmöglichkeit ist der Statement of Applicability (SOA)-Bericht. Der SOA Bericht stellt dar, welche Kapitel der Norm anwendbar oder nicht anwendbar sind inkl. Begründung und welche Maßnahmen und Kontrollen mit diesen Kapiteln verknüpft sind. Die Erfassung dieser Informationen ist neu und wird im Kapitel 4.1 Pflege des Geltungsbereichs und der Anwendbarkeit zu einem/r Standard/Norm beschrieben.

Eine bereits bekannte Auswertungsmöglichkeit, die Management Summary zu Standards und Normen, findet sich nun auch hier. Dieser Bericht war bisher nur direkt über die Administration für Experten aufrufbar. Die Auswertung bietet einen Management-Überblick über die Summe, Art und Status von Maßnahmen und Kontrollen die einem/r bestimmten Standard/Norm zugewiesen wurden. Die Auswertung aggregiert standardmäßig die Ergebnisse auf der ersten Kapitelebene des/der Standards/Norm für einen besseren Überblick zur Gesamtsituation. Der Bericht kann wahlweise über die Checkbox „Nur die unterste Kapitelebene andrucken“ auch auf eine granularere Darstellung der Ergebnisse angepasst werden.

Sie können nun mehrere Gefährdungslagen selektieren und gemeinsam in einem Bericht darstellen. Zur Auswahl stehen Ihnen alle Gefährdungslagen Ihres Managementsystems und all jene Gefährdungslagen anderer Managementsysteme, die nicht privat gekennzeichnet wurden und daher für Sie sichtbar sind.

Über den Menüpunkt Kontrollen öffnet sich das Kontrollen-Dashboard. Hier gibt es eine Neuerung. Wenn Sie einsehen möchten, welche der z.B. fehlgeschlagenen oder abgeschlossenen Kontrollen sich hinter der prozentuellen Angabe an Kontrollen in der Tortendarstellung verbirgt, dann öffnet sich per Doppelklick auf das Tortenstück ein Dialog. Dieser zeigt Ihnen die betreffenden Kontrollen und ermöglicht es Ihnen per Doppelklick weiter auf das Log zur Kontrolle zu springen.

Aus praktischen Anwendungsfällen heraus haben wir mit diesem Feature einen Kundenwunsch umgesetzt. Im Kontext einer Überprüfung wird nun bei der Anlage einer Maßnahme das „Erkannt am Ereignis“ mit dem Titel der Überprüfung und das „Erkannt am“-Datum mit dem Beginn Datum der Überprüfung besetzt.

Wir haben von unseren Kunden die Anregung erhalten, dass es für Experten manchmal schwer zu erkennen ist, welche Kontrollen von ihnen persönlich durchzuführen bzw. zu prüfen sind. Die orangen Kennzeichner gaben in diesem Fall zu wenig Information. Daher haben wir zwei Spalten ergänzt, die in der Practitioner Ansicht eingeblendet werden können. Diese Spalten heißen „von mir durchzuführen“ und „von mir zu prüfen“. Eine Reihung der Tabelle nach diesen Spalten gibt schnell Aufschluss darüber, wo noch Arbeit für den Experten zu erledigen ist.

Die Datenschutz-Folgenabschätzung (DSFA) findet sich im, für das Modul Datenschutz freigeschalteten Managementsystem, unter Datenschutz > DSFA.

Für eine Verarbeitungstätigkeit (VT) bzw. eine Gruppe von VTs mit ähnlichem Risiko kann hier dokumentiert nachgewiesen werden, ob eine DSFA durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung.

Der Assistent, der in HITGuard unter der DSFA aufgerufen werden kann, kombiniert die DSFA-Erforderlichkeitsprüfung und die folgende tatsächliche DSFA. Zuerst wird die Erforderlichkeitsprüfung erstellt und anschließend, je nach Prüfergebnis, kann der Dokumentationsschritt beendet werden oder die DSFA in HITGuard durchgeführt werden.

Um einzuschätzen ob eine DSFA notwendig ist, werden drei Fälle in der Erforderlichkeitsprüfung unterschieden:

1. Es handelt sich um eine Ausnahme von der DSFA
2. Die Erforderlichkeit der DSFA ist vorgegeben
3. Es wird eine Schwellwertanalyse durchgeführt, um festzustellen, ob eine DSFA nötig ist

Wenn im Fall 1, eine Ausnahme von der DSFA erkannt wird, kann die Dokumentation abgeschlossen werden. Wenn im Fall 2 eine Erforderlichkeit zur DSFA als gesetzlich vorgegeben erkannt wird, ist die DSFA jedenfalls durchzuführen. Und im Schritt 3 ist eine Schwellwertanalyse erfassbar, um anhand dieser die nachvollziehbare Entscheidung fällen zu können, ob eine DSFA nötig ist.

Wenn eine DSFA nötig ist, kann der Anwender eine bereits in Form eines Berichts erstellte DSFA zur Ablage hochladen. Wenn noch keine DSFA vorliegt, ist diese anhand der weiteren Assistentenschritte durchzuführen.

Dabei erfassen Sie Informationen zur Verarbeitung. Diese Informationen können von Daten, Betriebsmitteln, Prozessen, Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie den Persönlichkeitsrechten der Betroffenen handeln. Außerdem können Sie dort die Risikobewertung und die dazu erstellte Maßnahmenplanung dokumentieren sowie auch die Konsultationen, die durchgeführt wurden.

Eine ausführliche Beschreibung zur DSFA finden Sie in der HITGuard Onlinehilfe.

Damit schnell ersichtlich wird ob eine Datenschutz-Folgenabschätzung (DSFA) bzw. die dazu benötigte Erforderlichkeitsprüfung für eine Verarbeitungstätigkeit (VT) vorliegt, wurde die VT im Schritt 6 angepasst. Sie können hier auf einen Blick erkennen, ob eine verknüpfte DSFA existiert und in welchem Bearbeitungsstatus sich diese aktuell befindet:

Zusätzlich können in der Übersicht der VTs die Spalte „DSFA“ und „DSFA Status“ eingeblendet werden. Dadurch ist schnell ersichtlich, ob eine DSFA bzw. Erforderlichkeitsprüfung zur VT bereits durchgeführt wurde oder ob es hier noch Dokumentationsarbeit bedarf:

Dieser Bericht enthält neben den Eckdaten zur Erstellung der DSFA, Name der Verarbeitungstätigkeit, Zweck der Verarbeitung, eine detaillierte Darstellung der Verarbeitungstätigkeit, Angaben zur Einhaltung des Code of Conduct, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung hinsichtlich seines Zwecks, den Standpunkt der Betroffenen, Informationen zur Risikobewertung bzw. dazugehöriger Maßnahmenplanung, den Rat des Datenschutzbeauftragten sowie etwaige Informationen zur Konsultation der Datenschutzbehörde.

Neben den Informationen aus dem eben beschriebenen Standardbericht zur DSFA, werden hier noch Kontaktinformationen rund um die Verantwortlichen, Auftragsverarbeiter und gemeinsamen Verarbeiter angedruckt.

Für Standards und Normen kann nun der Geltungsbereich im Kontext des gewählten Managementsystems als Text erfasst werden, für den der jeweilige Standard/die jeweilige Norm Anwendung findet:

Außerdem kann für jedes Kapitel der Norm inkl. der Angabe einer Begründung definiert werden, ob es im Geltungsbereich anwendbar oder nicht anwendbar ist.

Wenn Sie selbst Wissensdatenbanken pflegen bzw. Benutzeranpassungen von Herstellerdatenbanken verwalten, dann werden Sie sich schon öfter gefragt haben, wie Sie erkennen können ob eine Prüffrage, Maßnahme oder Kontrolle bereits an einer anderen Stelle Verwendung findet. Um dies einfach ersichtlich zu machen finden Sie nun in der Titelleiste einer Prüffrage, Maßnahme oder Kontrolle die Anzeige ihrer Verknüpfungen. Wenn Sie auf den Link klicken stellt sich auch eine Auflistung der Verknüpfungen dar.

Unter Administration > Managementsystem kann je Managementsystem eingestellt werden, welche Schadensausmaßklassifikation standardmäßig verwendet wird. Diese Einstellung findet sich am unteren Ende des ersten Konfigurations-TAB unter „Allgemeine Einstellungen“: