Schwachstellen

Was ist eine Überprüfung?

Unter einer Überprüfung wird in HITGuard die Erfassung von Abweichungen zu einem Soll-Zustand verstanden. Beispielsweise kann eine Überprüfung ein Audit durch einen externen Auditor darstellen. Die Erkenntnisse, die Ihnen vom Auditor eventuell in Form eines Berichts ausgehändigt wurden, können Sie als sogenanntes "Prüfergebnis" in HITGuard einpflegen.

Prüfergebnisse können auch durch eine Kontrolle mit HITGuard entstehen. Dies geschieht durch die Verwendung von Wissensdatenbanken in den "Abweichungsanalysen". Dabei wird eine Überprüfung durch strukturierte Fragebögen geleitet, mit deren Hilfe Abweichungen zum gewünschten Zielzustand ermittelt werden.

Der Zielzustand wird in HITGuard als Target Score bezeichnet und ist für jedes Managementsystem separat einstellbar. Nur Experten oder Administratoren können unter "Administration → Managementsysteme" den Target Score einstellen und verändern.

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Professionals und Experten alle Überprüfungen, die im Managementsystem angelegt wurden. Es werden alle Überprüfungen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Hier können ebenso neue Überprüfungen erstellt bzw. angefordert werden. Weiters können die Überprüfungen auch als PDF oder Word heruntergeladen werden.

Prüfergebnis:

• Unter einem Prüfergebnis versteht man z.B. die Erkenntnisse, die im Zuge eines Audits vom Auditor eventuell in Form eines Berichtes ausgehändigt wurden.
• Diese Erkenntnisse können über "Prüfergebnisse einpflegen" Button eingepflegt werden, der sich im Dropdown des "Plus" Buttons befindet.

Abweichungsanalyse:

• Abweichungsanalysen sind fragebogengestützte Überprüfungen (WDB) zu bestimmten Themen. Durch diese Fragebögen lässt sich z.B. der Erfüllungsgrad einer Norm bestimmen. Zusätzlich zu den Fragebogenthemen können auch sonstige Prüfergebnisse erfasst werden.
• Ist eine Übersetzung der WDB in der aktuell ausgewählten Sprache (Flagge rechts oben, neben dem "Abmelden" Button) vorhanden, so wird diese angewandt.
• Um eine Abweichungsanalyse zu erstellen, klicken Sie auf den "Plus" Button.

Im Ablauf unterscheiden sich die beiden Überprüfungsmöglichkeiten nur darin, dass ein Prüfergebnis keine Prüfobjekte auf Basis von Wissensdatenbanken behandeln kann.

Zum Bearbeiten einer Überprüfung doppelklickt man in der Übersicht darauf.

Für mehr Informationen zum Erstellen oder Bearbeiten einer Überprüfung, egal ob Abweichungsanalyse oder Prüfergebnis, siehe Überprüfung erstellen/bearbeiten.

Es kann auf Knopfdruck eine Kopie einer Überprüfung erstellt werden. Für diese wird die Struktur der Prüfobjekte aus dem Original übernommen, aber nicht die Antworten oder etwaige verknüpfte Elemente (Maßnahmen, Kontrollen,...). Kopien werden mit "- Kopie" in der Bezeichnung im Status Entwurf erstellt. Das Original kann sich dafür in jedem beliebigen Status befinden.

Es kann auf Knopfdruck eine Neubewertung einer Überprüfung erstellt werden. Für diese wird nicht nur die Struktur der Prüfobjekte aus dem Original übernommen, sondern man kann entscheiden ob man auch die Antworten bzw. die Begründungen mit übernehmen möchte. Neubewertungen werden mit "- Neubewertung" in der Bezeichnung im Status Entwurf erstellt. Das Original muss sich dafür im Status "Geschlossen" befinden.

Im folgendem Abschnitt wird erklärt, wie die Navigation im Überprüfungs-Assistent funktioniert.

Die Navigation im Assistent zur Durchführung von Überprüfungen funktioniert wie folgt:

• Durch Klicken auf "Weiter" kommt man zum nächsten Schritt bzw. zur nächsten Prüffrage.

• Durch Klicken auf "Zurück" kommt man zum vorherigen Schritt bzw. zur vorherigen Prüffrage.

• Durch Klicken im Navigationsbaum auf der linken Seite kommt man zur gewünschten Stelle.

• Unten links auf der Navigations-Maske können die Prüffragen im Navigationsbaum über eine Checkbox "Prüffragen" eingeblendet werden. Der Assistent merkt sich, ob die Checkbox selektiert oder deselektiert ist und behält das gewünschte Verhalten bei.

• Blendet man die Prüffragen ein, kann auch über den Baum zu diesen navigiert werden. Gleichermaßen wird zur Prüffrage/zum Prüfergebnis zurück navigiert, wenn man die Überprüfung durch das Erstellen einer Maßnahmen oder Kontrolle verlassen hat. Allgemein zeigt der linke Teil auch immer die Prüffragen/-ergebnisse, die im rechten Teil gerade sichtbar sind.

• "Speichern" und "Schließen" verhalten sich selbsterklärend.

Unabhängig davon, welche Art der Überprüfung Sie durchführen (Abweichungsanalyse mittels einer Wissensdatenbank oder Erfassung von Prüfergebnissen) die Bearbeitungsschritte im Assistent zur Durchführung von Überprüfungen sind im wesentlichen immer dieselben:

1. Überprüfung erstellen und speichern
2. Themen bzw. Prüfobjekte hinzufügen und Überprüfung aktivieren
3. Beantwortung der Prüfobjekte bzw. Möglichkeit zur Anforderung einer Beantwortung im "Self Assessment" durch den Interviewpartner
4. Beantwortungen bzw. erkannte Abweichungen überprüfen
5. Überprüfung abschließen

Eine Überprüfung kann von einem Experten oder Professional durchgeführt werden. Dabei hat er aber auch die Möglichkeit, die Beantwortung der Überprüfung von seinem Interviewpartner in HITguard anzufordern. Via Workflow-Unterstützung erhält der Interviewpartner dazu eine Aufforderung und kann die Beantwortung durchführen, um Sie anschließend an den Experten zu retournieren. Dieser prüft die Ergebnisse und kann die Überprüfung als abgeschlossen kennzeichnen und archivieren. Die Behandlung der Abweichungen aus der Überprüfung ist jederzeit möglich, auch wenn eine Überprüfung bereits abgeschlossen ist. Ebenso können Maßnahmen und Kontrollen jederzeit verknüpft werden.

Eine Überprüfung kann sich in verschiedenen Status befinden. Sind die E-Mailbenachrichtigungen im Managementsystem aktiv, werden bei Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies wäre z.B. der Interviewpartner, wenn ein Auditor eine Beantwortung anfordert oder der Auditor selbst, falls die Beantwortung retourniert wurde.

Der Status der Überprüfung kann über den blauen Butten rechts oben gewechselt werden.

Entwurf

• Wird die Überprüfung das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet Sie sich im Status "Entwurf".
• "Entwurf" heißt, dass die Überprüfung noch nicht aktiv ist und vom System noch niemand über die Überprüfung informiert wurde.
• Aus diesem Status kann die Überprüfung aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung

• Wird die Überprüfung aktiviert, wird Sie in den Status "In Bearbeitung" gesetzt. Dadurch sehen Interviewpartner und Auditoren diese unter "Meine Aufgaben".
• Jetzt ist es Zeit für den Lead-Auditor die Kontrolle durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von Interviewpartnern einzuholen (nur bei Typ Self Assessment).
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" gesetzt werden.
• Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" gesetzt werden.

Angefordert (nur bei Typ Self Assessments)

• Wird die Überprüfung durch den Lead-Auditor angefordert, wird Sie in den Status "Angefordert" gesetzt. Die Interviewpartner werden über eine E-Mail aufgefordert die Überprüfung durchzuführen.
• Der Interviewpartner kann nach der Durchführung durch Klicken auf "Überprüfung absenden" den Status auf "beantwortet" setzen.
• Angeforderte Self Assessments sind mit einem Badge gekennzeichnet.

Beantwortet (nur bei Typ Self Assessments)

• Wird die Überprüfung durch den Interviewpartner mit "Überprüfung absenden" retourniert, wird Sie in den Status "Beantwortet" gesetzt. Die Auditoren werden durch eine E-Mail aufgefordert die Beantwortung zu kontrollieren.
• Beantwortete Self Assessments sind mit einem Badge gekennzeichnet.
• Sie kann durch "Beantwortung anfordern" wieder in den Status "Angefordert" versetzt werden. Der Interviewpartner muss seine Beantwortung überarbeiten.
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden (Nur die Auditoren werden darüber informiert).
• Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

Geschlossen

• Wird die Überprüfung durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt, ist sie schreibgeschützt und sie kann nicht mehr bearbeitet werden.
• Achtung: Ein Self Assessment kann nur abgeschlossen werden, wenn zumindest ein Interviewpartner hinterlegt ist.
• Ausnahme: Auch bei bereits abgeschlossenen Überprüfungen können Maßnahmen, Kontrollen und Bedrohungen zu den Prüffragen hinzugefügt oder wieder entfernt werden.

Löschen einer Überprüfung

• Mit "Überprüfung Löschen" können Sie Überprüfungen, die noch nicht abgeschlossen sind, löschen.
• Achtung: Durch das Löschen werden die über diese Überprüfung angelegten Prüfobjekte sowie bereits zu Risiken zugewiesene Abweichungen ebenfalls gelöscht!

Der Typ der Überprüfung kann nur im Status "Entwurf" geändert werden. Wird der Typ auf "Self Assessment" geändert, ändert sich das Enddatum auf die Beantwortungsfrist.

Wurde der falsche Typ eingestellt und die Überprüfung aktiviert, muss die Überprüfung zuerst durch "Überprüfung deaktivieren" in den Status "Entwurf" zurückgesetzt werden.

• Diese Form der Analyse ist ein mächtiges Werkzeug in HITGuard. Es stellt einen zentralen Punkt der Risikoidentifikation und -behandlung dar. Erkannte Abweichungen können bereits in dieser Analyse mit Maßnahmen zur Beseitigung und/oder Kontrollen zur Überwachung versehen werden.
• Der entscheidende Vorteil, dies gemeinsam durchzuführen, ist, dass Abweichungen, Maßnahmen und Kontrollen dem identifizierten Risiko zugewiesen werden können. Wird das Prüfobjekt auch einem Strukturelement, wie einer Applikation zugewiesen, so sind diese Informationen auch in den Detailinformation des Strukturelements nachvollziehbar.
• Neubewertung statt neuer Bewertung. Von Zeit zu Zeit, meist regelmäßig wiederkehrend sollte der Ist-Zustand neu erhoben werden. Dazu bietet HITGuard die Neubewertung von Analysen an, um die vorangegangen Analysen zu aktualisieren anstatt eine komplett neue Analyse durchführen zu müssen. Dabei können alte Antworten und Begründungen eingesehen und gegebenenfalls auch übernommen werden. Die Entwicklung eines Prüfobjekts wird damit deutlich dargestellt.
  

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüfobjekte, die im Zuge von Überprüfungen im aktuellen Managementsystem angelegt wurden.

Durch Klicken auf ein Prüfobjekt, öffnet sich die Detailansicht.

Hier sehen Sie, wie das Prüfobjekt beantwortet wurde. Ebenso kann, wenn mehrere Versionen des Prüfobjektes vorhanden sind, angesehen werden, wie sich die Beurteilung des Prüfobjektes von einer Version zur nächsten entwickelt hat. Nur die Kopfdaten eines Prüfobjektes sind über diese Maske bearbeitbar. Das heißt diese Maske kann nicht zum Beantworten eines Prüfobjektes verwendet werden.

Durch die Umsetzung von Maßnahmen, kann es passieren, dass Prüfobjekte zur Teil-Automatischen Neubewertung vorgeschlagen werden. Dies geschieht immer dann, wenn die Maßnahme entweder im Zuge einer Überprüfung für ein Prüfobjekt angelegt wurde oder mit einem Prüfobjekt verknüpft, der "nachher" Wert der Schwachstellenreduktion gesetzt wurde und die Maßnahme umgesetzt wird. Wird eine Maßnahme umgesetzt, werden die verknüpften Prüfobjekte mit "Neubewertung empfohlen" markiert.

Damit nicht ständig, wenn eine Maßnahme umgesetzt wurde, eine neue Überprüfung durchgeführt werden muss, bietet HITGuard die Möglichkeit eben diese markierten Prüfobjekte einer teil-automatischen Neubewertung zu unterziehen. D.h. es wird von HITGuard automatisch ein Update der Abweichung der jeweiligen Prüffragen der Prüfobjekte vorgenommen. Es wird dabei für jede vorkommende Organisationseinheit eine eigene Überprüfung erstellt. Dabei werden die Prüffragen, die durch die Umsetzung von Maßnahmen betroffen sind, auf den "nachher" Wert der Schwachstellenreduktion gesetzt.

Durchführung:

1. Prüfobjekt auswählen.
2. Orangen Pfeil "Teil-Automatische Neubewertung initiieren" klicken.
3. Abweichungen, die zu aktualisieren sind, auswählen.
4. Orangen Pfeil "Neubewertung für ausgewählte Abweichungen durchführen" klicken.

Prüfobjekte können mehrmals in einer Analyse bewertet werden. Bsp.: Das IT Grundschutz Kompendium bietet einen Baustein „Web Anwendungen“. Werden im Unternehmen mehrere Web Anwendungen betrieben, sollte dieser Baustein für jede Web Anwendung beantwortet werden. Somit sollte dieser Baustein mehrmals in einer oder mehreren Überprüfungen ausgewählt und mit der jeweiligen Anwendung verknüpft werden. Zusätzlicher Tipp: Vergeben Sie für diese Prüfobjekte sprechende Namen wie z. B. „Web Anwendung 123_Cloud“. Dadurch können bei Neubewertungen die Prüfobjekte einfach durch eine Suche gefunden werden.

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Abweichungen, die bei der Durchführung von Überprüfungen festgestellt wurden.

Durch die Spalten "Maßnahme fehlt", "Zielwert fehlt", "Zielwert zu niedrig" lässt sich herausfinden, gegen welche Abweichungen noch nichts oder zu wenig unternommen wurde. Diese Abweichungen werden im Raster mit einem Tag versehen. Hat eine Abweichung keinen Tag, heißt das, dass versucht wird die Abweichung zu beheben.

Hier haben Sie die Möglichkeit Abweichungen, die noch keinem Risiko zugewiesen wurden, einem solchen zuzuweisen.

Durch Doppelklicken auf eine Abweichung öffnet sich die Überprüfung an der Stelle, wo die Abweichung festgestellt wurde. Hier können nun Maßnahmen und Kontrollen zur Abweichung festgelegt werden. Mehr dazu unter Prüffragen beantworten.

Optional kann man eine Spalte einblenden, die anzeigt, ob es sich um eine Prüffrage (aus einer Wissensdatenbank) oder ein Prüfergebnis (frei angelegt) handelt. Das gibt Experten die Möglichkeit, ihre selbst entwickelten Wissensdatenbanken dann um Prüfergebnisse zu erweitern, die bei Überprüfungen öfter extra hinzugefügt werden.

Mit dem Filter kann festgelegt werden, welche Art von Abweichungen angezeigt wird:

• negative: Prüffragen/Prüfergebnisse, die < dem Target Score bewertet wurden
• keine: Prüffragen/Prüfergebnisse, die = dem Target Score bewertet wurden
• positive: Prüffragen/Prüfergebnisse, die > dem Target Score bewertet wurden

Was der Target Score ist und wo er eingestellt wird, finden Sie unter Managementsysteme. Überall dort wo Abweichungen vorkommen, gibt es eine zusätzliche Form der Sortierung: Die Target Score Gewichtung. Dies ist beispielsweise unter "Risikomanagement → Schwachstellen → Abweichungen" möglich.

Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Target Score Gewichtung. Je größer die Abweichung vom Target Score und je größer die Gewichtung des Schutzzieles ist, desto größer ist die Target Score Gewichtung: Target Score Gewichtung = Abweichungsgrad * Gewichtung des Schutzzieles.

Anmerkung: Eine Beantwortung mit "Nein" entspricht Score 1, "Teilweise" entspricht Score 3.

Beispiele zur Veranschaulichung: Gewichtung des Schutzzieles: Mittel (3)

• Score der Abweichung = 2, Target Score = 4 => Abweichungsgrad = 2, Target Score Gewichtung = 2 * 3 = 6.
• Score der Abweichung = 4, Target Score = 4 => Abweichungsgrad = 0, Target Score Gewichtung = 0 * 3 = 0.

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüffragen / Prüfergebnisse, die im Zuge einer Überprüfung mit "Abklärungsbedarf" gekennzeichnet wurden.

Diese Kennzeichnung ist in der Praxis notwendig, wenn Sie bei der Beantwortung einer Prüffrage noch nicht abklären können, wie die Frage zu beantworten ist. Dies kann vorkommen, wenn Sie beispielsweise noch eine andere Person hinzuziehen oder die Information anderweitig nachrecherchieren müssten. Im Anschluss an eine Reihe von Überprüfungen wird ausgewertet, welche Fragen noch recherchiert werden müssen. Genau dazu dient die Ansicht „Abklärungsbedarf“.

Wird auf eine Prüffrage/Prüfergebnis geklickt, wird man zu dieser weitergeleitet.

Es ist ebenso möglich, eine Auflistung alle abklärungsbedürftigen Prüffragen/Ergebnisse über den Export Button zu exportieren (neben der Suchleiste). Dadurch erhält man eine einfach verwendbare Auflistung der abklärungsbedürftigen Prüffragen.