Schutzbedarf: Unterschied zwischen den Versionen
Weitere Optionen
Faha (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Faha (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 148: | Zeile 148: | ||
<!--T:38--> | <!--T:38--> | ||
Über den Reiter kann zwischen Ressourcen und Daten gewechselt werden. | Über den Reiter kann zwischen Ressourcen und Daten gewechselt werden. | ||
<u>Hinweis</u>: Änderungen (Neuanlage/Update/Löschen) an Ressourcen & Datenkategorien in einem anderen Tab führen zur automatischen Aktualisierung von geöffneten BIAs. Dadurch ist es möglich Ressourcen oder Datenkategorien in einem anderen Tab zu erstellen und in der BIA verwenden ohne die BIA neu laden zu müssen. | |||
<!--T:39--> | <!--T:39--> | ||
Version vom 24. Oktober 2022, 06:36 Uhr
Was ist eine Schutzbedarfsanalyse?
Im Rahmen der Schutzbedarfsanalyse wird der Schutzbedarf für Daten oder Ressourcen (IT-Systeme, Gebäude, Software, etc.) von Organisationseinheiten oder Prozessen ermittelt. Die Ergebnisse dieser Analyse, der Schutzbedarf der Daten und Prozesse, können zum Beispiel in der Strukturanalyse untersucht werden, um Risiken zu identifizieren und entsprechende Maßnahmen sowie Kontrollen zu erstellen.
Wie in der Abbildung oben zu sehen ist, finden Professionals und Experten unter "Risikomanagement → Schutzbedarf" Schutzbedarfsanalysen, die im aktuellen Managementsystem angelegt wurden. Es werden alle Schutzbedarfsanalysen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Ebenso können hier Schutzbedarfsanalysen erstellt werden.
Sie können einen Bericht über eine oder mehrere Schutzbedarfsanalysen als PDF herunterladen. Dieser enthält alle markierten Schutzbedarfsanalysen.
Schutzbedarfsanalyse erstellen / bearbeiten
erstellen:
- Schutzbedarfsanalysen können unter "Risikomanagement → Schutzbedarf" über den "Plus Button" erstellt werden.
bearbeiten:
- Um eine Schutzbedarfsanalyse zu bearbeiten wird unter "Risikomanagement → Schutzbedarf" die gewünschte Schutzbedarfsanalyse mittels Doppelklick geöffnet.
- Abgeschlossene Schutzbedarfsanalysen können zwar eingesehen, aber nicht mehr bearbeitet werden!
Kopfdaten der Schutzbedarfsanalyse
Im nachfolgenden Abschnitt wird die Abbildung näher beschrieben:
Auswahl OrgEh / Prozess:
- Bei einer Schutzbedarfsanalyse können entweder Organisationseinheiten oder Prozesse analysiert werden. Was analysiert werden soll, wird über den Punkt Audit ausgewählt.
- Diese Auswahl kann nur geändert werden, solange in Schritt 2 keine Ressourcen zugeordnet wurden. Um die Auswahl ändern zu können müssen zuvor die zugeordneten Ressourcen in Schritt 2 entfernt werden.
Audit:
- Wird diese Schutzbedarfsanalyse im Zuge eines Audits durchgeführt, können Sie hier das Audit mit der Schutzbedarfsanalyse in Verbindung setzen. Entsteht die Schutzbedarfsanalyse aufgrund eines Audits, werden die Felder Lead-Auditor, Interviewpartner sowie Beginn und Enddatum des Audits besetzt. Alternativ können über den Button rechts daneben, die Stammdaten des Audits geladen werden und die Felder damit vor besetzt werden. (Für mehr über Audits siehe Auditplanung)
OrgEh / Prozess:
- Je nachdem ob eine OrgEh oder ein Prozess analysiert wird, wird hier entweder die Organisationseinheit oder der Prozess ausgewählt.
- Das kann nach dem ersten Speichern nicht mehr geändert werden!
Funktion:
- Wird nur angezeigt, wenn sie unter "Auditmanagement → Einstellungen" aktiviert wurde.
- Anhand von Funktionen kann der Kontext einer Überprüfung optional noch genauer definiert werden.
- Funktionen können unter "Auditmanagement → Funktionen" erstellt und verwaltet werden.
Bezeichnung:
- Hier wird eingetragen, wie die Schutzbedarfsanalyse bezeichnet werden soll.
Beschreibung:
- Hier sollte der Zweck der Schutzbedarfsanalyse beschrieben werden.
Lead-Auditor:
- Hier wird der hauptverantwortliche Auditor der Schutzbedarfsanalyse eingetragen. Er wählt die Ressourcen und/oder Daten aus, die im Zuge der Schutzbedarfsanalyse analysiert werden. Er bestimmt weitere Auditoren, Begleiter und Interviewpartner.
Co-Auditor(en)/Begleitung:
- Das sind Personen, die als Experten der Themengebiete für die Prüfung der Schutzbedarfsanalyse mit einbezogen werden.
Interviewpartner:
- Mit diesen Personen werden im Verlauf einer Schutzbedarfsanalyse Interviews über die Ressourcen und Daten geführt. Im Zuge eines Self Assessments werden sie mit der Feststellung möglicher Schäden beauftragt. (siehe Typ)
Beginn und Enddatum:
- Hier wird die geplante Zeitspanne der Schutzbedarfsanalyse eingetragen.
Typ:
- Interview: Die Schutzbedarfsanalyse wird gemeinsam mit dem Interviewpartner durchgeführt. Der Interviewpartner selbst kann an der Schutzbedarfsanalyse nichts ändern, hat aber Einsicht in die Analyse.
- Self Assessment: Der Interviewpartner wird damit beauftragt, mögliche Schäden bei Verletzungen von Schutzzielen festzustellen. Der Lead-Auditor fordert über den "Beantwortung anfordern"-Button (sofern die Schutzbedarfsanalyse aktiviert wurde) eine Beantwortung an und überprüft diese nach Beantwortung.
Änderungsprotokoll:
- Hier wird mit aufgezeichnet zu welchem Zeitpunkt die Schutzbedarfsanalyse bearbeitet wurde, wann der Status gewechselt hat und wann sie abgeschlossen wurde.
Status und Löschen einer Schutzbedarfsanalyse
Eine Schutzbedarfsanalyse kann sich in verschiedenen Status-Variationen befinden. Sind die E-Mail-Benachrichtigungen im Managementsystem aktiv, werden beim Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde z.b. der Interviewpartner sein, wenn ein Auditor eine Beantwortung anfordert oder der Auditor selbst, wenn er die Beantwortung retourniert.
Entwurf
- Wird die Schutzbedarfsanalyse das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet sie sich im Status "Entwurf". Von hier aus kann die Schutzbedarfsanalyse aktiviert, also in den Status "In Bearbeitung" gesetzt werden.
In Bearbeitung
- Wird die Überprüfung aktiviert, wird sie in den Status "in Bearbeitung" versetzt. Jetzt ist es Zeit für den Lead-Auditor die Schutzbedarfsanalyse durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von den Interviewpartnern einzuholen (nur bei Typ Self Assessment).
- Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
- Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.
Angefordert (nur bei Typ Self Assessments)
- Wird die Schutzbedarfsanalyse durch den Lead-Auditor angefordert, wird sie in den Status "angefordert" versetzt. Die Interviewpartner werden jetzt über ein E-Mail aufgefordert die Schutzbedarfsanalyse durchzuführen.
- Sie kann durch "Überprüfung absenden" in den Status "beantwortet" versetzt werden.
Beantwortet (nur bei Typ Self Assessments)
- Wird die Schutzbedarfsanalyse durch den Interviewpartner mit "Überprüfung absenden" retourniert, wird sie in den Status "beantwortet" versetzt. Die Auditoren werden jetzt durch ein E-Mail aufgefordert die Beantwortung zu kontrollieren.
- Sie kann durch "Beantwortung anfordern" wieder in den Status "angefordert" versetzt werden. Der Interviewpartner soll dann seine Beantwortung überarbeiten.
- Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden. Die Auditoren werden darüber informiert.
- Sie kann durch "Überprüfung abschließen" in den Status "geschlossen" versetzt werden.
Geschlossen
- Wird die Schutzbedarfsanalyse durch "Überprüfung abschließen" in den Status "geschlossen" versetzt, wird die Schutzbedarfsanalyse schreibgeschützt und sie kann nicht mehr bearbeitet werden. Dadurch werden die Verbindungen zwischen den Ressourcen und/oder Daten zu der OrgEh oder dem Prozess in der Strukturanalyse gesetzt und gewichtet.
Löschen einer Schutzbedarfsanalyse
- Durch "Überprüfung löschen" können Sie Schutzbedarfsanalysen, die noch nicht abgeschlossen sind löschen. Abgeschlossene Schutzbedarfsanalysen können nicht gelöscht werden!
Ressourcen und/oder Daten zur Analyse wählen
Im zweiten Schritt werden die Ressourcen und/oder Daten ausgewählt, die in der Schutzbedarfsanalyse analysiert werden.
Um Ressourcen bzw. Daten zur Analyse hinzuzufügen, muss der "Ressourcen/Daten auswählen"-Button geklickt werden. Im Anschluss öffnet sich ein Dialog, indem die Ressourcen bzw. Daten, die analysiert werden sollen, ausgewählt werden können.
Über den Reiter kann zwischen Ressourcen und Daten gewechselt werden.
Hinweis: Änderungen (Neuanlage/Update/Löschen) an Ressourcen & Datenkategorien in einem anderen Tab führen zur automatischen Aktualisierung von geöffneten BIAs. Dadurch ist es möglich Ressourcen oder Datenkategorien in einem anderen Tab zu erstellen und in der BIA verwenden ohne die BIA neu laden zu müssen.
Mögliche Schäden analysieren
Die nachfolgende Abbildung zeigt den dritten Schritt der Schutzbedarfsanalyse.
In diesem Schritt werden die Ressourcen und/oder Daten auf mögliche Schäden analysiert, im Falle der Verletzung eines Schutzzieles auftreten können. Bewertet werden Verletzungen durch Schadensausmaße.
Durch die hier gewählten Schadensausmaße werden in der Strukturanalyse Verbindungen zwischen der OrgEh oder dem Prozess und der bewerteten Ressource bzw. den Daten gesetzt und ihre Schutzziele gewichtet. Dadurch ist es in der Strukturanalyse möglich, die Organisationseinheit oder den Prozess auf Abhängigkeiten zu untersuchen und Gefährdungslagen zu erkennen.
Um alle Ressourcen und Daten zu bewerten, muss durch den Reiter zwischen den hinzugefügten Ressourcen und Daten gewechselt werden.
Die zu bewertenden Schutzziele werden vom Managementsystem vorgegeben und können unter "Administration → Managementsysteme → verwendete Schutzziele" von Experten konfiguriert werden.
Schadensausmaße können unter "Risikomanagement → Risikopolitik → Schadensausmaße" von Experten erstellt und verwaltet werden.