Strukturanalyse: Unterschied zwischen den Versionen

Es gibt in der Strukturanalyse mehrere Sichten, um den User nicht mit einem überdimensionalen und unübersichtlichen Graphen zu konfrontieren. Daher gibt es folgende 4 Betrachtungsbereiche:

• Organisationssicht

Die Organisationssicht stellt die Aufbauorganisation des Unternehmens / Konzerns / Verbandes in den Fokus. Ziel ist es aus dieser Betrachtungsperspektive heraus Antworten auf Fragen, wie "Von welchen Systemen ist die Organisationseinheit am stärksten hinsichtlich Verfügbarkeit abhängig“, „Wie groß ist das Risiko hinsichtlich der Vertraulichkeit für die OrgEh über alle Systeme“ (klassisch die Ergebnisse aus Business Impact Analysen), „Welche Datenarten werden in der Organisationseinheit verarbeitet“, „Welche Verarbeitungstätigkeiten erfolgen in der Organisationseinheit “.

• Systemsicht

Die Systemsicht stellt die Techniklandschaft dar, welche IT-Systeme, Medizinprodukte, Gebäudesicherheit etc. abbildet. Über diese Darstellung erfolgt auch die Risikoanalyse. Hier werden Abweichungen in der Risikobewertung im technischen wie organisatorischen Bereich erkennbar und daraus sind Maßnahmen zur Behebung der Abweichungen zu planen.

• Datensicht

Die Datensicht lässt erkennen in welchen Organisationseinheiten welche Daten verarbeitet werden, wer die Data Owner sind und wie die Daten klassifiziert sind (Datenklassen bzw. Unterscheidung ob personenbezogene oder nicht personenbezogene Daten). Weiters lässt die Darstellung erkennen durch welche Verarbeitungstätigkeiten die Daten laufen und in welchen Applikationen sie verarbeitet werden.

• Prozesssicht

Der Aufbau der Organisationsstruktur wird in Organisationseinheiten beschrieben.

Ein Unternehmen besteht aus Organisationseinheiten welche sich an den einzelnen Verarbeitungsprozessen beteiligen, die wiederum in einer bis mehreren Organisationseinheiten stattfinden. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT gestützt unter Verwendung von IT-Systemen.

Annahme: Je kritischer die Organisationseinheit, desto größer der potenzielle Schaden, umso größer die Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität der Daten bzw. Systeme.

Daher müssen jedenfalls folgende Informationen erhoben werden:

• Modellierung der Organisationsstruktur
• Erhebung des Business Impacts der Business IT-Services auf die tägliche Arbeit des Fachbereichs

Wie kritisch eine Organisationseinheit tatsächlich ist wird im Rahmen der Business Impact Analyse sichtbar. Als Business Impact werden jene IT-Risiken bezeichnet, welche aus der Perspektive des IT-Leistungsempfängers auftreten und dadurch das Business und somit die Umsetzung der Unternehmensziele gefährden.

Um dies zu erkennen werden in der Regel strukturierte Interviews mit dem Business geführt. Dabei sind folgende Informationen zu erheben:

Zur Durchführung einer Business Impact Analyse (bzw. einer kombinierten Business Impact Analyse mit Erhebung der Verarbeitungstätigkeiten im Sinne der neuen EU-DSGVO für das Verarbeitungsregister) muss entweder ein Expert oder Professional ein Interview mit einem Fachbereichsverantwortlichen führen und Daten zu folgenden Fragestellungen erfassen können oder (in der Endausbaustufe) kümmert sich ein Toolassistent um die Erhebung dieser Informationen (natürlich wieder workflowgestützt wie beim Progress Monitor).

Die Datenarten werden ermittelt wie z.B. Buchhaltungsdaten. Für diese Daten werden Verantwortliche ermittelt und erfasst. Meist finden sich die Verantwortlichen innerhalb des Fachbereichs bzw. in einem übergeordneten Vorgesetzten. Manchmal kann es aber auch vorkommen, dass ein anderer Fachbereich genannt wird, da Daten für diesen bearbeitet werden.

Datenarten werden von unterschiedlichen Organisationseinheiten verwendet. Die Datenklassifikation der Datenarten sollte im gesamten Unternehmen einheitlich sein. Weiters sollte auch nur ein DataOwner je Datenart definiert werden. Dies bedeutet, dass unterschiedliche Klassifizierungen bzw. unterschiedliche Nennungen von Data Ownern durch eine übergeordnete Organisationseinheit entschieden werden müssen.

Auch Hierarchien unter den Daten sind denkbar. Z.B. kann der Überbegriff Finanzdaten auch in Kostenrechnungs-, Bilanz-, Abrechnungs-, Lohndaten etc. unterteilt werden. Die Data Owner dieser Daten können andere Personen sein, als der Data Owner der Finanzdaten. Weil dieser z.B. die Verantwortlichkeit delegiert hat. Aber an sich müsste auch hier das Ergebnis dieser Datenlandkarte von einer übergeordneten Stelle geprüft und freigegeben werden.

Die Klassifizierung zielt auf die Schutzziele der Daten ab:

• Wie klassifizieren Sie diese Daten hinsichtlich Ihrer Vertraulichkeit? --> Datenklassifikation und daraus ergibt sich das zugehörige mögliche Schadensausmaß (siehe XY); zusätzlich: Erfassung möglicher Szenarien und zusätzliche konkrete Schadensangabe (wenn möglich) in EUR bzw. jedenfalls die Klassifizierung ob der Schaden aufgrund des Images oder des monetären Schadens. Vor allem bei personenbezogenen Daten ist es sinnvoll gleich im Rahmen dieses Interviews die Sensibilität der Daten abzuklären.
• Die Aufbewahrungsdauer für die Daten kann hier ebenfalls ermittelt werden.

• Business Anwendungen (ERP, DMS, Finanzbuchhaltung etc.)
• Klinische administrative Anwendungen (Patientenadministration, Therapieplanung, Patientendokumentation etc.)
• Medizinische Systeme unter Einbindung von Medizinprodukten
• Kommunikationssysteme (Mail, Intranet, Internet, Skype, Telefonie, Fax etc.)
• Datenablage-Services (File-Share, Kollaborations-Plattformen, Cloud Services etc.)
• und welche Daten stehen mit diesen Applikationen in Zusammenhang (erstellt, bearbeitet, eingesehen, …)

Hier erfolgt die Klassifizierung für die Schutzziele die auf Systeme abzielen:

• Wie klassifizieren Sie einen Integritäts- bzw. Authentizitätsverlust?
• Wie klassifizieren Sie einen Verfügbarkeitsverlust bzgl. der Applikation:
  • kurzweiligen untertägigen Verfügbarkeitsverlust in den Geschäftszeiten? (2-4h)
  • nicht arbeitsfähig | eingeschränkt arbeitsfähig
  • Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)
  • ganztägigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (8-24h)
  • nicht arbeitsfähig | eingeschränkt arbeitsfähig
  • Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)
  • einen längerfristigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (>1 Tag; bis zu 2 Tage oder mehr)
  • nicht arbeitsfähig | eingeschränkt arbeitsfähig
  • Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

Vor allem hier werden Business Services von unterschiedlichen Fachbereichen verwendet. Es muss auswertbar sein welcher Fachbereich welche Anforderungen an den jeweiligen Service stellt. Es zieht die Anforderung des Fachbereichs mit dem größten Gefahrenpotential je Schutzziel für den Service. Nach dieser Anforderung muss der IT-Betrieb ausgerichtet werden.

Ganz wesentlich ist aber auch nicht zu übersehen, dass Services die von sehr vielen bzw. allen Abteilungen genutzt werden (auch wenn sie nur wenig kritisch für die jeweilige Abteilung sind), dann als gewichtiger betrachtet werden und auch danach ausgerichtet werden, als wenn sie z.B. nur von einer oder von einer sehr geringen Anzahl an Abteilungen verwendet werden und dabei als sehr kritisch eingestuft werden. Wesentlich ist dabei auch die Gewichtung der Tätigkeit der Abteilung auf das operative Betriebsergebnis. Handelt es sich um eine unterstützende Abteilung (wie z.B. Qualitätsmanagement) oder z.B. um die Produktionsleitung.

Zuletzt werden auch RPO / RTO / Reaktionszeiten für die Applikationen ermittelt

• Welche Daten werden darin verarbeitet (personenbezogene Daten)?
• Welche Applikationen werden dafür verwendet?
• Welche anderen Abteilungen nehmen daran teil? Von welchen anderen Fachbereichen sind sie in ihrer Arbeit abhängig (liefern, erhalten, bidirektional)

• Abhängigkeit zwischen Fachbereich –Systeme – Daten - Verarbeitungstätigkeiten
• Welche Daten werden in welchen Applikationen verarbeitet
• Welche Daten werden über welche Kommunikationssysteme ausgetauscht Welche Daten werden wo abgelegt
• Reihung der Datenarten nach Schutzzielen und Risikoeinstufung
• Reihung von Verarbeitungstätigkeiten nach Schutzzielen und Risikoeinstufungen
• Reihung der Business IT Services nach Schutzzielen und Risikoeinstufung
• Reihung der Med. adm. Services nach Schutzzielen und Risikoeinstufung
• Reihung der Med. klin. Services nach Schutzzielen und Risikoeinstufung
• Reihung der Kommunikationsservices nach Schutzzielen und Risikoeinstufung
• Reihung der Datenablagen nach Schutzzielen und Risikoeinstufung
• Kennzahlen für Backup und Notfallplanung

Diese Informationen können in weiterer Folge hilfreich sein um:

• Risikoanalysen zielgerichtet abhängig von Schutzzielen / Risikoeinstufungen durchzuführen
• Richtlinien zu erstellen
• Schulungsprogramme zu erstellen
• Notfallplanung und Business Continuity Management

Eine BIA hat unterschiedliche Stati, wie andere Assessments auch. Abhängig vom Stati wird die BIA unterschiedlich im Graphen dargestellt.

• Bei Bewertung „aktiviert“ dünne Striche mit default-Wert 0 der Abhängigkeit im Graph
• Bei Bewertung „abgeschlossen“ dann die Striche entsprechend der %uellen Wertung der Schadensausmaßklasse in der Risikopolitik

Die Verarbeitungstätigkeitssicht (sofern das EU-DSGVO Modul gekauft wurde) zeigt an, welche Daten, aus welchen Organisationseinheiten in welcher Applikation (eigentlich nicht erforderlich lt. Gesetzgebung) verarbeitet werden und die daran hängenden Controls und Maßnahmen (auch nicht notwendig lt. GG) können ebenfalls ausgewertet werden.