Standards und Normen

Es gibt unterschiedlichste Normen mit deren Inhalten Wissensdatenbanken in Beziehung stehen können, hinsichtlich Prüffragen oder Bedrohungen, Maßnahmen bzw. Kontrollen. Beispiele für Normen: BSI, ISO 27001, EU-DSGVO usw.

Standards und Normen gliedern sich in Kapitel, die wiederum Sub-Kapitel enthalten können. Diese Kapitel (bzw. Sub-Kapitel) können andere Kapitel (und Sub-Kapitel) referenzieren, wobei grundsätzlich eine Referenz unidirektional ist (bidirektionale Referenzen können erstellt werden). Ebenso können Kapitel auf Kapitel und Sub-Kapitel anderer Normen referenzieren. Dies ermöglicht es eine Norm von einer anderen abzuleiten. Weiters bedeutet dies, dass z.B. eine Prüffrage, die auf ein solches Normkapitel referenziert automatisch auch mit dem Kapitel einer anderen Norm in Beziehung steht.

Wissensdatenbanken können Prüffragen, Kontrollen, Bedrohungen oder Maßnahmen auf Standards und Normen mappen. Dieses Mapping führt dazu, dass gewisse Auswertungen gegen Standards und Normen z.B. über bereits umgesetzte Maßnahmen und Kontrollen gemacht werden können. Damit wird ersichtlich in welchen Normbereichen besonders viele Aktivitäten durch ein Unternehmen gesetzt werden. Dadurch lassen sich Aussagen über Erfüllungsgrad der Norm und Score des Managementsystems in diesem Bereich ableiten.

Die von TogetherSecure gelieferten Normen und Standards können von Benutzern nicht verändert werden. Eine Referenzierung dieser "Hersteller-Kapitel" von eigens erstellten Normen und Standards ist zulässig.

Es kann aber für jedes Managementsystem eine "Definition des Geltungsbereichs" zu jedem Standard bzw. Norm erfasst werden. Im Zuge dessen lässt sich zusätzlich für jedes Normkapitel begründet auswählen, ob es für das aktuelle Managementsystem anwendbar ist oder nicht. Durch diese Information lässt sich unter "Risikomanagement → Berichte → Standards und Normen" ein "Statement of Applicability"-Bericht generieren.

HITGuard stellt standardmäßig folgende Standards und Normen zur Verfügung:

• B3S Gesundheit V1.2
• BDSG
• CSC_V6.1
• DSG Österreich
• DSG Schweiz
• DSG-EKD
• DSGVO
• EN IEC 62443-2-1:2024
• ISO 9000-2015
• ISO 9001-2015
• ISO 14001-2015
• ISO 27001-2013
• ISO 27001-2022
• ISO 27002-2013
• ISO 27002-2022
• ISO 50001-2018
• IT-Grundschutz-Kompendium 2019
• IT-Grundschutz-Kompendium 2020
• IT-Grundschutz-Kompendium 2021
• IT-Grundschutz-Kompendium 2022
• IT-Grundschutz-Kompendium 2023
• NIS-2 Richtlinie
• PCI DSS v3.2.1
• PCI DSS v4.0

Diese werden aber nicht automatisch installiert!

Die gewünschten Standards oder Normen können allerdings ganz einfach unter "Administration → Standards und Normen" importiert werden. Dafür muss nur auf den "Standard importieren" Button geklickt werden und der gewünschte Standard bzw. Norm ausgewählt werden.

Standards und Normen können von Experten unter "Administration → Standards und Normen" erfasst und bearbeitet werden. Das Ziel beim Erfassen einer Norm oder eines Standards ist es, die Struktur der Norm ohne Inhalt zu erfassen.

Hier werden die Kopfdaten der Norm oder des Standards erfasst.

Kurzbezeichnung: Die Kurzbezeichnung der Norm oder des Standards z.B. ISO/IEC 27001:2017.

Langbezeichnung: Die Langbezeichnung der Norm oder des Standards z.B. Information technology - Security techniques - Information security management systems - Requirements.

Beschreibung: Beschreibung der Norm.

Stand: Stand der Norm.

Definition des Geltungsbereichs: Hier kann für das aktuelle Managementsystem eine "Definition des Geltungsbereichs" erfasst werden. Diese ist pro Managementsystem konfigurierbar.

Hier wird die Kapitelstruktur der Norm erfasst. Auf der linken Seite wird die Struktur hierarchisch angezeigt. Über den Plus-Button werden neue Kapitel erstellt. Auf der rechten Seite geben Sie die Kopfdaten, übergeordnete Kapitel und ausgehende Mappings an.

Übergeordnetes Kapitel: Handelt es sich um ein Unterkapitel, muss hier das übergeordnete Kapitel angegeben werden. Hiermit wird die Struktur der Norm nachgebaut.

Gliederung: Hier wird eine Gliederung für die Kapitel vergeben. Die Gliederung entspricht im Normalfall der der Norm z.B. 01 Kap. I, 02 Kap II,etc.

Kurzbezeichnung: Die Bezeichnung des Kapitels laut Norm oder Standard.

Beschreibung: Die Beschreibung des Kapitels laut Norm.

Nicht anwendbar: Hier kann erfasst werden ob ein Kapitel für das aktuelle Managementsystem anwendbar ist oder nicht. (Konfigurierbar pro Managementsystem) Beachten Sie bitte auch das Verhalten hinsichtlich der übergeordneten Kapitel. Wenn ein übergeordnetes Kapitel auf "nicht anwendbar" gesetzt wird, dann übernimmt das System diese Einstellung automatisch auch für die, diesem Kapitel zugeordneten Unterkapitel. Zusätzlich erscheint eine Frage, ob auch der Begründungstext übernommen werden soll. Wenn ein übergeordnetes Kapitel auf "anwendbar" geändert wird, dann überschreibt dies allerdings NICHT automatisch die Einstellungen der zugeordneten Unterkapitel. Hier müssen Sie selbst überprüfen ob tatsächlich jedes der Unterkapitel nun auch anwendbar ist.

Begründung: Hier kann eine Begründung für die Anwendbarkeit erfasst werden. (Konfigurierbar pro Managementsystem)

Eingehende Mappings: Hier werden alle Normen oder Standard-Kapitel angeführt, die auf dieses Kapitel mappen.

Achtung: Es werden hier nur Mappings von anderen Standards/Normen angezeigt. Alle anderen eingehenden Mappings wie z.b von einer Maßnahme, Risiko oder Wissensdatenbank werden hier nicht angezeigt.

Ausgehende Mappings: Hier kann das Norm/Standard-Kapitel auf ein Norm/Standard Kapitel anderer Normen/Standards gemappt werden. Es kann nur auf andere Normen oder Standard Kapitel gemapped werden.

Bei eingehenden und ausgehenden Mappings wird zusätzlich zu Gliederung und Name des jeweiligen Kapitels immer auch die Bezeichnung des Standards selbst angezeigt.

Auf dieser Seite können die Verknüpfungen der Kapitel einzelner Standards und Normen eingesehen werden.

Jede Kapitelebene zeigt in der Spalte "#" die Anzahl ihrer Verknüpfungen sowie die aller darunterliegenden Kapitelebenen. Klappt man die Ebenen auf, sieht man die einzelnen verknüpften Elemente in der nächsten Spalte.

Verfügbare Verknüpfungen:

• Risiken (rot)
• Maßnahmen (grün)
• Kontrolldefinitionen (violett)
• Dokumente (blau)

Bewegt man den Mauszeiger auf eines der Elemente, gibt ein Tooltip Einblick in dessen Inhalt. Jedes Element verfügt zudem über einen Linkbutton, mit dem man es öffnen kann. Man kann die Dokumente entweder direkt einsehen oder, bei vorhandener Lizenz, im Doku-Management anzeigen. Verknüpfungen können auf dieser Seite eingesehen aber nicht bearbeitet werden.

Mit der Checkbox "Gemappte Normkapitel inkludieren" kann die Anzeige der verknüpften Elemente um jene erweitert werden, die über weitere Mappings mit dem Standard/der Norm verwandt sind.

Die hier angezeigten Dokumente sind jene, die unter Doku-Management → Dokumente hochgeladen wurden.

Sie können auf weitere Normen referenzieren: z. B. bei Aktualisierungen von Standards sollte vom aktuellen Standard auf die vorherige Version gemappt werden. Dies ermöglicht bereits vor der ersten Analyse nach dem neuen Standard eine Übersicht der bereits behandelten Normpunkte und zeigt Lücken durch neuen Anforderungen auf, die ggf. zu erst betrachtet werden sollten.