Suche aufrufen
Menü aufrufen
47
1377
10
35.978
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Risikobewertung: Unterschied zwischen den Versionen

Aus HITGuard User Guide
Weitere Optionen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Chha (Diskussion | Beiträge)
Administratoren, translater, tsuser
206 Bearbeitungen
Chha (Diskussion | Beiträge)
Administratoren, translater, tsuser
206 Bearbeitungen
Zeile 150: Zeile 150:
== <span id="time_dev"></span> Zeitliche Entwicklung ==
== <span id="time_dev"></span> Zeitliche Entwicklung ==


Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes und/oder Status, muss derjenige der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Dieses Änderungsprotokoll scheint anschließend in der zeitlichen Entwicklung der Gefährdungslage auf.
Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes und/oder Status, muss derjenige der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Dieses Änderungsprotokoll scheint anschließend in der zeitlichen Entwicklung der Gefährdungslage auf. Veränderungen an der Schadensausmaßbeurteilung scheinen nur in den Managementsystemen auf, die dieselbe Schadensausmaßklassifikation verwenden.


[[Datei:Gefährdungslage zeitl entwicklung übersicht.PNG|left|thumb|802px|Zeitliche Entwicklung]]
[[Datei:Gefährdungslage zeitl entwicklung übersicht.PNG|left|thumb|802px|Zeitliche Entwicklung]]

Version vom 9. Oktober 2020, 12:09 Uhr

In dieser Übersicht werden alle Gefährdungslagen aus den unterschiedlichen Managementsystemen angezeigt. Es ist möglich nur die Gefährdungslagen des aktuellen Managementsystems anzuzeigen. Weiters können Gefährdungslagen auf privat gestellt werden, sodass sie nur mehr in dem Managementsystem angezeigt werden, indem sie auch angelegt wurden.

Wird eine Gefährdungslage angeklickt, können Sie dieses bearbeiten oder ansehen welche Abweichungen, Maßnahmen oder Kontrollen dieser Gefährdungslage zugewiesen sind.

Achtung:

  • Eine Gefährdungslage die nicht Privat ist kann für jedes Managementsystem, dass andere Schadensausmaßklassifikationen verwendet separat bewertet werden. D.h. Bewertungen gelten nur für Managementsysteme die die selben Schadensausmaßklassifikationen verwenden.
Gefährdungslagen
Risikokennzahl


Gefährdungslage

Eine Gefährdungslage kann eine Sammlung aus Abweichungen, die eine konkrete Gefahr für die verknüpften Entitäten bilden, sein.

Abweichungen entstehen im Zuge einer Überprüfung. Sie entstehen dann, wenn z.B. Prüffragen von Prüfobjekten "negativ" oder unter Ziel-Reifegrad beantwortet werden. Anschließend können die Abweichungen Gefährdungslagen zugewiesen werden.

Die Prüfobjekte, in welchen sich die Prüffragen befinden, wiederum können mit Entitäten (Ressorucen, Datenkategorien, Prozessen und oder Organisationseinheiten) verknüpft werden. Durch diese Zuweisung entsteht bei den betroffenen Entitäten eine konkrete Gefährdungslage welche auch in der Strukturanalyse ersichtlich ist.

Gefährdungslagen können aber auch frei erfasst werden.

Frei erfasste Gefährdungslagen haben im Normalfall keine verknüpften Abweichungen, solche könnten ihnen aber auch zugewiesen werden. Bei frei erfassten Gefährdungslagen kann es sich z.b. um eine Liste an Risiken handeln, die schon vor der Verwendung von HITGuard, z.b. mit Excel, gepflegt wurde. Solche Listen können mithilfe des Datenimporters importiert werden.

Gefährdungslagen können im Anschluss bewertet werden, in dem eine Eintrittswahrscheinlichkeit und ein Schadensausmaß ausgewählt wird. Dadurch ergibt sich die Risikokennzahl nach welcher die Gefährdungslage z.b. im Risikomanagement Dashboard angezeigt wird. Diese Bewertung erfolgt nach Schadensausmaßklassifikation. D.h wurde eine Gefährdungslage in einem Managementsystem mit Klassifikation "Standard" bewertet, kann sie in einem anderen Managementsystem mit der Klassifikation "Datenschutz" anders bewertet werden. (solange sie nicht als "Privat" gekennzeichnet ist)

In der Gefährdungslage selbst werden:

  • die Eckdaten dargestellt
  • alle Abweichungen, die der Gefährdungslage zugeweisen sind, angezeigt.
  • die Maßnahmen/Kontrollen, welche den Abweichungen zugewiesen sind, aufgelistet.
  • die Maßnahmen/Kontrollen, welche der Gefährdungslage manuell zugewiesen sind, aufgelistet.

Weiters wird jede Änderung der Gefährdungslage / Risikobewertung protokolliert. Diese Dokumentation ist im Menüpunkt "Zeitl. Entwicklung" zu finden. Mehr dazu findet sich unter Zeitliche Entwicklung.

Gefährdungslage Menüführung


Gefährdungslage erfassen / bearbeiten

Maske zum erfassen / bearbeiten von Gefährdungslagen


Kürzel:

  • Beim Kürzel tragen Sie den abgekürzten Titel der Gefährdungslage ein.

Status:

  • Aktiv: Die Gefährdungslage besteht noch.
  • Geschlossen: Die Gefährdungslage wurde behoben.
  • Akzeptiert: Sie sind sich der Gefährdungslage bewusst, werden diese aber aus unterschiedlichen Gründen derzeit nicht beheben.
  • Änderungen hier werden Protokolliert (Zeitliche Entwicklung)

Privat:

  • Stellen Sie die Gefährdungslage auf privat, so wird die Gefährdungslage nur noch im angelegtem Managementsystem angezeigt. Anderenfalls, ist sie in jedem Managementsystem sichtbar und kann für jede Schadensausmaßklassifikation einmal bewertet werden.
  • Maßnahmen, Kontrollen und Abweichungen, sind allerdings nur in den jeweiligen Managementsystemen ersichtlich, in denen diese erstellt wurden, unabhängig davon ob die Gefährdungslage als privat gekennzeichnet wurde.


Bezeichnung und Beschreibung:

  • Bei der Bezeichnung muss eingetragen werden wie die Gefährdungslage benannt werden soll.
  • Bei der Beschreibung sollten Sie die Gefährdungslage beschreiben/erklären.

Eintrittswahrscheinlichkeit:

Schadensausmaß:

  • Hier können Sie eintragen wie groß der potentielle Schaden ist, welcher durch die Gefährdungslage entstehen kann.
  • Es stehen nur Schadensausmaße der Klassifikation des aktuellen Managementsystems zur Verfügung.
  • Änderungen hier werden Protokolliert (Zeitliche Entwicklung)

Verantwortlich und Sachbearbeiter:

  • Die verantwortliche Person ist der primäre Ansprechpartner für die Gefährdungslage
  • Die Sachbearbeiter sind für die Risikobehandlung zuständig

Zugewiesene Schutzziele und Gewichtungen:

  • Hier können Sie festhalten welche Schutzziele wie stark betroffen sind, wenn die Gefährdungslage eintritt.
    Beispiel:
Gefährdungslage: Einbruch in den Serverraum
Schutzziel Gewichtung Erklärung
Vertraulichkeit 4 Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit 4 Der Einbrecher könnte etwas zerstören
Integrität 3 Er könnte auch am System etwas ändern

Norm-Mapping:

  • Beschäftigt sich die Gefährdungslage mit einem oder mehreren Normkapiteln sollten diese hier eingetragen werden.

Betroffene Strukturelemente:

  • Hier werden alle Strukturelemente angeführt, welche durch die Abweichungen mit der Gefährdungslage in Beziehung stehen.*
  • Durch öffnen des Dropdowns können Strukturelemente mit der Gefährdungslage verknüpft werden. Weiters wird hier ersichtlich, von welchem Prüfobjekt die automatisch gesetzten Verknüpfungen kommen.
  • Beispiel:
Die Gefährdungslage "Temperaturprobleme in Serverräumen" wird z.b. über eine Abweichung beim überprüfen der Serverräume mit dem Strukturelement Serverraum verknüpft.

Zugewiesene Abweichungen

In diesem Reiter werden alle Abweichungen gelistet welche der Gefährdungslage zugewiesen sind. Dies ist im Normalfall das Resultat der Abweichungsbehandlung einer Überprüfung. Sie können aber auch hier existierende Abweichungen zur Gefährdungslage zuweisen.

Zielreifegrad-Gewichtung:

  • Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Zielreifegrad-Gewichtung. Je größer die Abweichung vom Zielreifegrad und je größer die Gewichtung des Schutzzieles desto größer ist die Zielreifegrad-Gewichtung. Mehr zur Zielreifegrad-Gewichtung finden Sie hier.

Achtung: Es werden nur Abweichungen des aktuellen Managementsystems angezeigt. Nur weil die Gefährdungslage in diesem Managementsystem keine Abweichnugnen hat, heißt das nicht, dass sie sonst keine Abweichungen hat.

Zugewiesene Abweichungen


Darstellung der Abweichungen:

  • Schwarz: Abweichungen die dieser Gefährdungslage aktuell zugewiesen sind und nicht behoben wurden.
  • Grün: Abweichungen die dieser Gefährdungslage aktuell zugewiesen sind und behoben (ja oder min. Zielreifegrad) wurden.
  • Grau: Historische Abweichungen. Diese wurden in früheren Überprüfungen erkannt und der Gefährdungslage damals zugewiesen. Zwischenzeitlich wurden die Prüfgegenstände dieser Überprüfungen schon einer Neubewertung unterzogen.
  • Zu Gefährdungslage xx verschoben: Die Abweichung wurde ursprünglich der aktuell dargestellten Gefährdungslage zugewiesen. In einem weiteren Schritt änderte sich die Zuweisung zu einer anderen Gefährdungslage, der Gefährdungslage xx.

Abweichungen zuweisen

Klicken sie auf "Abweichungen zuweisen" öffnet sich eine Maske zum zuordnen von Abweichungen.

Maske zum zuweisen von Abweichungen


Maßnahmen / Kontrollen

In dem jeweiligen Reiter werden alle Maßnahmen / Kontrollen gelistet, welche der Gefährdungslage zugewiesen sind. Die Maßnahmen / Kontrollen kommen entweder direkt aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (Blauer Button), oder werden hier speziell für die Gefährdungslage erstellt.

Kommen die Maßnahmen / Kontrollen von einer Abweichung, kann die Verknüpfung zur Gefährdungslage nicht aufgehoben werden.

Ist eine Abweichung ausgegraut, kann dies Zwei Ursachen haben:

  1. Das Prüfobjekt wurde einer Neubewertung unterzugen und die Abweichung hat sich als behoben herausgestellt.
  2. Die Abweichung wurde einer anderen Gefährdungslage zugewiesen.

Achtung: Es werden nur Maßnahmen / Kontrollen des aktuellen Managementsystems angezeigt. Nur weil die Gefährdungslage in diesem Managementsystem keine Maßnahmen / Kontrollen hat, heißt das nicht, dass sie in anderen Managementsystemen keine Maßnahmen / Kontrollen hat.

Maßnahme erstellen
Kontrolle erstellen

Zugewiesene Maßnahmen


Maske zum zuweisen von Kontrollen


Zeitliche Entwicklung

Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes und/oder Status, muss derjenige der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Dieses Änderungsprotokoll scheint anschließend in der zeitlichen Entwicklung der Gefährdungslage auf. Veränderungen an der Schadensausmaßbeurteilung scheinen nur in den Managementsystemen auf, die dieselbe Schadensausmaßklassifikation verwenden.

Zeitliche Entwicklung


Einträge in dieser Übersicht können durch Doppelklick auf den jeweiligen Eintrag bearbeitet werden.

Begründung anpassen


Zeitliche Entwicklungen können auch manuell ein- bzw. nachgetragen werden. Dafür in der Übersicht auf den "Plus"-Button klicken.

Änderungseintrag erstellen


Abgerufen von „https://userguide.hitguard.de/index.php?title=Risikobewertung&oldid=5891
Zuletzt geändert
Diese Seite wurde zuletzt am 9. Oktober 2020 um 12:09 Uhr bearbeitet.