Schutzbedarf/de: Unterschied zwischen den Versionen

Was ist eine Schutzbedarfsanalyse?

Im Rahmen der Schutzbedarfsanalyse wird der Schutzbedarf für Daten oder Ressourcen (IT-Systeme, Gebäude, Software, etc.) von Organisationseinheiten oder Prozessen ermittelt. Die Ergebnisse dieser Analyse, der Schutzbedarf der Daten und Prozesse, können zum Beispiel in der Strukturanalyse untersucht werden, um Risiken zu identifizieren und entsprechende Maßnahmen sowie Kontrollen zu erstellen.

Wie in der Abbildung oben zu sehen ist, finden Professionals und Experten unter "Risikomanagement → Schutzbedarf" Schutzbedarfsanalysen, die im aktuellen Managementsystem angelegt wurden. Es werden alle Schutzbedarfsanalysen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Ebenso können hier Schutzbedarfsanalysen erstellt und neubewertet sowie Workflowpläne erstellt werden.

Sie können einen Bericht über eine oder mehrere Schutzbedarfsanalysen als PDF herunterladen. Dieser enthält alle markierten Schutzbedarfsanalysen.

Erstellen:

• Schutzbedarfsanalysen können unter "Risikomanagement → Schutzbedarf" über den "Plus" Button erstellt werden.

Bearbeiten:

• Um eine Schutzbedarfsanalyse zu bearbeiten wird unter "Risikomanagement → Schutzbedarf" die gewünschte Schutzbedarfsanalyse mittels Doppelklick geöffnet.
• Abgeschlossene Schutzbedarfsanalysen können zwar eingesehen, aber nicht mehr bearbeitet werden!

Im nachfolgenden Abschnitt wird die Abbildung näher beschrieben:

Auswahl OrgEh/Prozess:

• Bei einer Schutzbedarfsanalyse können entweder Organisationseinheiten oder Prozesse analysiert werden. Was analysiert werden soll, wird über den Punkt Audit ausgewählt.
• Diese Auswahl kann nur geändert werden, solange in Schritt 2 keine Ressourcen zugeordnet wurden. Um die Auswahl ändern zu können müssen zuvor die zugeordneten Ressourcen in Schritt 2 entfernt werden.

Hinweis: Wenn eine Organisationseinheit oder ein Prozess bereits über eine Beziehung in der Strukturanalyse mit Ressourcen und/oder Datenkategorien in Verbindung stehen, werden diese automatisch in Schritt 2 zum Hinzufügen vorgeschlagen. Auch bereits durchgeführte Schutzbedarfsanalysen werden hierfür benötigt. Zusätzlich besteht die Möglichkeit, per Knopfdruck die Ergebnisse der letzten Schutzbedarfsanalyse zu übernehmen. Die Ergebnisse können auch später pro Ressource/Datenkategorie übernommen werden.

Achtung: Ressourcen bzw. Datenkategorien, für die es zu der Organisationseinheit oder dem Prozess eine noch nicht abgeschlossene Schutzbedarfsanalyse gibt, werden nicht automatisch vorgeschlagen und können auch nicht manuell hinzugefügt werden. Dafür müssen etwaige offene Schutzbedarfsanalysen der betroffenen Konstellation erst abgeschlossen werden.

Audit:

• Wird diese Schutzbedarfsanalyse im Zuge eines Audits durchgeführt, können Sie hier das Audit mit der Schutzbedarfsanalyse in Verbindung setzen. Entsteht die Schutzbedarfsanalyse aufgrund eines Audits, werden die Felder Lead-Auditor, Interviewpartner sowie Beginn und Enddatum des Audits besetzt. Alternativ können über den Button rechts daneben, die Stammdaten des Audits geladen werden und die Felder damit vor besetzt werden. (Für mehr über Audits siehe Auditplanung).

OrgEh/Prozess:

• Je nachdem ob eine OrgEh oder ein Prozess analysiert wird, wird hier entweder die Organisationseinheit oder der Prozess ausgewählt.
• Das kann nicht mehr geändert werden, sobald Ressourcen und/oder Datenkategorien zugewiesen sind!

Funktion:

• Wird nur angezeigt, wenn sie unter "Auditmanagement → Einstellungen" aktiviert wurde.
• Anhand von Funktionen kann der Kontext einer Überprüfung optional noch genauer definiert werden.
• Funktionen können unter "Auditmanagement → Funktionen" erstellt und verwaltet werden.

Bezeichnung:

• Hier wird eingetragen, wie die Schutzbedarfsanalyse bezeichnet werden soll.

Beschreibung:

• Hier sollte der Zweck der Schutzbedarfsanalyse beschrieben werden.

Lead-Auditor:

• Hier wird der hauptverantwortliche Auditor der Schutzbedarfsanalyse eingetragen. Er wählt die Ressourcen und/oder Daten aus, die im Zuge der Schutzbedarfsanalyse analysiert werden. Er bestimmt weitere Auditoren, Begleiter und Interviewpartner.

Co-Auditor(en)/Begleitung:

• Das sind Personen, die als Experten der Themengebiete für die Prüfung der Schutzbedarfsanalyse mit einbezogen werden.

Interviewpartner:

• Mit diesen Personen werden im Verlauf einer Schutzbedarfsanalyse Interviews über die Ressourcen und Daten geführt. Im Zuge eines Self Assessments werden sie mit der Feststellung möglicher Schäden beauftragt (siehe Typ). Der Interviewpartner ist daher ein Pflichtfeld sobald die Überprüfung nicht mehr im Status "Entwurf" ist.
• Die Benutzer werden mit dem Verantwortlichen der gewählten Organisationseinheit bzw. des gewählten Prozesses vorbesetzt.

Beginn und Enddatum:

• Hier wird die geplante Zeitspanne der Schutzbedarfsanalyse eingetragen.

Typ:

• Interview: Die Schutzbedarfsanalyse wird gemeinsam mit dem Interviewpartner durchgeführt. Der Interviewpartner selbst kann an der Schutzbedarfsanalyse nichts ändern, hat aber Einsicht in die Analyse.
• Self Assessment: Der Interviewpartner wird damit beauftragt, mögliche Schäden bei Verletzungen von Schutzzielen festzustellen. Der Lead-Auditor fordert über den "Beantwortung anfordern"-Button (sofern die Schutzbedarfsanalyse aktiviert wurde) eine Beantwortung an und überprüft diese nach Beantwortung.

Workflow Pläne:

• Hier wird angezeigt, in wie vielen Workflowplänen die Schutzbedarfsanalyse aktiv oder pausiert vorkommt. Man kann hier Verknüpfungen neu setzen oder aufheben bzw. bestehende Verknüpfungen auch pausieren.

Erstellt durch Workflowplan:

• Wurde die Schutzbedarfsanalyse im Zuge eines Workflows erstellt, dann wird der jeweilige Workflow hier angezeigt. Man kann mit einem einfachen Klick in den Workflow navigieren und sich die Details dazu ansehen.

Änderungsprotokoll:

• Hier wird mit aufgezeichnet zu welchem Zeitpunkt die Schutzbedarfsanalyse bearbeitet wurde, wann der Status gewechselt hat und wann sie abgeschlossen wurde.

Eine Schutzbedarfsanalyse kann sich in verschiedenen Status-Variationen befinden. Sind die E-Mail-Benachrichtigungen im Managementsystem aktiv, werden beim Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde z.b. der Interviewpartner sein, wenn ein Auditor eine Beantwortung anfordert oder der Auditor selbst, wenn er die Beantwortung retourniert.

Entwurf

• Wird die Schutzbedarfsanalyse das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet sie sich im Status "Entwurf". Von hier aus kann die Schutzbedarfsanalyse aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung

• Wird die Überprüfung aktiviert, wird sie in den Status "in Bearbeitung" versetzt. Jetzt ist es Zeit für den Lead-Auditor die Schutzbedarfsanalyse durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von den Interviewpartnern einzuholen (nur bei Typ Self Assessment).
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

Angefordert (nur bei Typ Self Assessments)

• Wird die Schutzbedarfsanalyse durch den Lead-Auditor angefordert, wird sie in den Status "angefordert" versetzt. Die Interviewpartner werden jetzt über ein E-Mail aufgefordert die Schutzbedarfsanalyse durchzuführen.
• Sie kann durch "Überprüfung absenden" in den Status "beantwortet" versetzt werden.

Beantwortet (nur bei Typ Self Assessment)

• Wird die Schutzbedarfsanalyse durch den Interviewpartner mit "Überprüfung absenden" retourniert, wird sie in den Status "beantwortet" versetzt. Die Auditoren werden jetzt durch ein E-Mail aufgefordert die Beantwortung zu kontrollieren.
• Sie kann durch "Beantwortung anfordern" wieder in den Status "angefordert" versetzt werden. Der Interviewpartner soll dann seine Beantwortung überarbeiten.
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden. Die Auditoren werden darüber informiert.
• Sie kann durch "Überprüfung abschließen" in den Status "geschlossen" versetzt werden.

Geschlossen

• Wird die Schutzbedarfsanalyse durch "Überprüfung abschließen" in den Status "geschlossen" versetzt, wird die Schutzbedarfsanalyse schreibgeschützt und sie kann nicht mehr bearbeitet werden. Dadurch werden die Verbindungen zwischen den Ressourcen und/oder Daten zu der OrgEh oder dem Prozess in der Strukturanalyse gesetzt und gewichtet.

Löschen einer Schutzbedarfsanalyse

• Durch "Überprüfung löschen" können Sie Schutzbedarfsanalysen, die noch nicht abgeschlossen sind löschen. Abgeschlossene Schutzbedarfsanalysen können nicht gelöscht werden!

Im zweiten Schritt werden die Ressourcen und/oder Daten ausgewählt, die in der Schutzbedarfsanalyse analysiert werden.

Um verbundene Ressourcen bzw. Daten zur Analyse hinzuzufügen und eventuell auch ihre historischen Ergebnisse zu übernehmen, muss der erste Button geklickt werden. Um neue Ressourcen bzw. Daten zur Analyse hinzuzufügen, muss der zweite Button geklickt werden. Im Anschluss öffnet sich ein Dialog, in dem die Ressourcen bzw. Daten, die analysiert werden sollen, ausgewählt werden können.

Über den Reiter kann zwischen Ressourcen und Daten gewechselt werden.

Tipp:

Änderungen (Neuanlage/Update/Löschen) an Ressourcen und Datenkategorien führen zur automatischen Aktualisierung von geöffneten Schutzbedarfsanalysen. Daher ist es möglich, Ressourcen oder Datenkategorien in einem separaten Tab zu erstellen oder zu verändern, die man dann gleich in der SBA verwenden kann, ohne diese neu laden zu müssen.

Die nachfolgende Abbildung zeigt den dritten Schritt der Schutzbedarfsanalyse (z.B. 2.1 oder 2.2).

In diesem Schritt werden die Ressourcen und/oder Daten auf mögliche Schäden analysiert, die im Falle der Verletzung eines Schutzzieles auftreten können. Bewertet werden Verletzungen durch Schadensausmaße. Gibt es Ergebnisse aus früheren Bewertungen, können die Begründungen mit einem Doppelklick in die jeweilige Zeile übernommen werden. Mit dem Button rechts oben kann man alle Ergebnisse auf einmal übernehmen.

Durch die hier gewählten Schadensausmaße werden in der Strukturanalyse Verbindungen zwischen der OrgEh oder dem Prozess und der bewerteten Ressource bzw. den Daten gesetzt und ihre Schutzziele gewichtet. Dadurch ist es in der Strukturanalyse möglich, die Organisationseinheit oder den Prozess auf Abhängigkeiten zu untersuchen und Risiken zu erkennen.

Um alle Ressourcen und Daten zu bewerten, muss über den linken Balken oder den "Weiter" Button zwischen den hinzugefügten Ressourcen und Daten gewechselt werden.

Die zu bewertenden Schutzziele werden vom Managementsystem vorgegeben und können unter "Administration → Managementsysteme → verwendete Schutzziele" von Experten konfiguriert werden.

Schadensausmaße können unter "Risikomanagement → Risikopolitik → Schadensausmaße" von Experten erstellt und verwaltet werden.

Eine Schutzbedarfsanalyse kann neubewertet werden, wenn...
... sie abgeschlossen ist.
... sie die jüngste (also jene mit dem neuesten Beginndatum) Schutzbedarfsanalyse für die enthaltenen Ressourcen und/oder Datenkategorien ist.

Für Neubewertungen gibt es verschiedene Möglichkeiten der Erstellung:

1. Plus Button: Erstellen einer neuen Schutzbedarfsanalyse für eine Organisationseinheit/einen Prozess, für die/den es bereits eine abgeschlossene Schutzbedarfsanalyse gibt. In diesem Fall werden vom Tool die bewerteten Ressourcen und/oder Datenkategorien automatisch übernommen. Etwaige Ergebnisse können optional übernommen werden.
2. Neubewerten Button: Erstellen einer Neubewertung über den Neubewerten Button in der Übersicht der Schutzbedarfsanalysen. In diesem Fall erstellt das Tool eine neue Schutzbedarfsanalyse auf Basis der vorherigen. Auch hier kann man frühere Ergebnisse übernehmen. Als Datum wird das aktuelle Datum genommen, für die Uhrzeit wird die Beginn- und Endzeit der originalen Schutzbedarfsanalyse kopiert.

Ergebnisse übernehmen:

• Wenn aktiviert, werden bei der Erstellung der Neubewertung die Ergebnisse der zugrunde liegenden Schutzbedarfsanalyse übernommen. Es handelt sich dabei um die Bewertungen der Schutzziele, die erfasst wurden.
  

Ein Klick auf den lila Button oberhalb der Übersicht der Schutzbedarfsanalysen öffnet eine Liste aller erstellten Workflowpläne.

Mit dem "Plus" Button kann ein neuer Workflowplan erstellt werden.
Mit dem "Kopieren" Button kann ein bestehender Workflowplan kopiert werden.
Bestehende Workflowpläne können mit einem Doppelklick geöffnet werden.

Status:

• Standardmäßig sind Workflowpläne aktiv. Man kann sie mit diesem Auswahlfeld auch deaktivieren.

Bezeichnung:

• Geben Sie hier die Bezeichnung Ihres Workflowplanes ein.

Beschreibung:

• Geben Sie hier an, was der Zweck des Workflowplanes ist.

Verantwortliche:

• Der Verantwortliche wird eine Woche bevor der Workflow auslöst per E-Mail informiert. Sollte es zu diesem Zeitpunkt Probleme oder Konflikte geben, werden diese im E-Mail beschrieben und können daher rechtzeitig beseitigt werden. Der Verantwortliche wird auch beim Auslösen des Workflows darüber informiert, was durchgeführt wurde und ob es Probleme oder Konflikte gegeben hat.

Managementsystem Verantwortliche informieren:

• Ist dieses Häkchen gesetzt, werden zusätzlich zum Verantwortlichen des Workflowplans auch die Verantwortlichen des Managementsystems per E-Mail über den bevorstehenden bzw. den durchgeführten Workflow informiert.

Nächste Durchführung:

• Legen Sie hier fest, wann der Workflowplan das nächste Mal auslösen soll. Zu diesem Zeitpunkt werden dann auf Basis der verknüpften Schutzbedarfsanalysen neue Schutzbedarfsanalysen als Self Assessment angelegt und zur Beantwortung an die Interviewpartner geschickt.

Wiederkehrender Workflow:

• Wenn der Workflowplan regelmäßig auslösen soll, kann dies hier eingestellt werden.

Dieser Tab zeigt alle vergangenen Workflows des Plans an, die bereits durchgeführt worden sind. Hier wird dargestellt, ob der Workflow funktioniert hat oder fehlgeschlagen ist und was etwaige Probleme waren.

Dieser Tab zeigt alle verknüpften Schutzbedarfsanalysen. Dies umfasst die Schutzbedarfsanalysen, die als Vorlage gedient haben, sowie auch die daraus erstellten neuen Schutzbedarfsanalysen. An dieser Stelle können einzelne Schutzbedarfsanalysen im Workflowplan pausiert oder wieder aktiviert werden. Für einzelne Schutzbedarfsanalysen kann manuell sofort eine Neubewertung ausgelöst werden. Pausierte Schutzbedarfsanalyse setzen einen Zyklus aus, sind danach aber wieder aktiv. Wenn es Probleme oder Konflikte mit einer Schutzbedarfsanalyse gibt, wird dies hier ebenfalls dargestellt.

Gelbe Warndreiecke: Besteht ein Konflikt innerhalb der Schutzbedarfsanalyse selbst, wird dies mit einem gelben Warndreieck dargestellt. Details zum Konflikt finden sich im Tooltip, wenn man mit der Maus über dem Dreieck hovert. Beispiel: die Überprüfung ist nicht im Status abgeschlossen oder sie hat keinen Interviewpartner hinterlegt.

Rote Warndreiecke: Besteht ein Konflikt mit einer anderen Schutzbedarfsanalyse im selben oder einem anderen Managementsystem, wird dies mit einem roten Warndreieck dargestellt. Details zum Konflikt finden sich im Tooltip, wenn man mit der Maus über dem Dreieck hovert. Zusätzlich wird ein Link zur konfliktierenden SBA angeboten. Beispiel: es gibt eine Schutzbedarfsanalyse mit einem jüngeren Startdatum für die selben Ressourcen/Datenkategorien.

Was passiert bei der Durchführung des Workflowplans?

Wenn der Workflowplan durchgeführt wird, werden für die verknüpften Schutzbedarfsanalysen Neubewertungen erstellt und die jeweiligen Interviewpartner zur Beantwortung aufgefordert. Eine Neubewertung bewertet dieselben Ressourcen und Datenkategorien für die selbe Organisationseinheit oder den selben Prozess wie die ursprüngliche Schutzbedarfsanalyse.

Wann wird keine Neubewertung angefordert?
Es wird keine Neubewertung erstellt und angefordert, wenn eine der folgenden Bedingungen zutrifft:

• Die Neubewertung der Schutzbedarfsanalyse ist pausiert.
• Die Schutzbedarfsanalyse ist nicht abgeschlossen.
• Die Schutzbedarfsanalyse hat keine Interviewpartner.
• Es existiert bereits eine andere Schutzbedarfsanalyse für dieselbe Organisationseinheit oder denselben Prozess, die:
  • noch nicht abgeschlossen ist, oder
  • bereits abgeschlossen wurde, aber ein neueres Startdatum hat und zumindest eine gleiche Ressource oder Datenkategorie bewertet.

Achtung: Der letzte Fall ist besonders relevant, wenn Sie mehrere Managementsysteme betreiben. Falls Sie eine Schutzbedarfsanalyse per Workflow geplant haben, aber ein Kollege in einem anderen Managementsystem eine andere Schutzbedarfsanalyse anlegt, die dieselben Bedingungen erfüllt, wird die neue Schutzbedarfsanalyse den Workflow blockieren.

Was passiert mit pausierten Schutzbedarfsanalysen?
Wenn eine Schutzbedarfsanalyse pausiert wurde, wird bei der nächsten Durchführung keine Neubewertung erstellt. Stattdessen wird die Schutzbedarfsanalyse für die darauffolgende Durchführung wieder aktiviert.

Beziehungen in der Strukturanalyse führen standardmäßig zum höchsten Schutzbedarf. Diese Abhängigkeiten können mit einer Schutzbedarfsanalyse reduziert werden. Es sollte daher mit der Analyse der für das Unternehmen wichtigsten Assets/Ressourcen/Services begonnen und diese damit hinsichtlich der Anforderungen des Managementsystems bewertet werden.