Determine criticality of an organizational unit

The protection needs analysis reveals how critical an organizational unit actually is. Protection needs are defined as those IT risks that occur from the perspective of the IT service recipient and thus jeopardize the business and the implementation of the company's goals.

To identify this, structured interviews are usually conducted with the business.

To conduct a protection needs assessment, either an Expert or Professional must be able to conduct an interview with a functional area manager and collect data on the following questions:

1. What data do they process in your department?
2. How do you classify this data?
3. What business services (processes) do you need for daily business?
4. How do you classify these business services?
5. How long can you get along without the data in case of a system failure and how much data loss on a time axis back into the future would be tolerable?
6. What processing does your department go through?

The types of data used in the organizational unit must be determined. This could be, for example, accounting data, customer data or personnel data. Responsible persons must be identified and recorded for this data. Usually the responsible persons are found within the department or in a superior superior. Sometimes, however, it can happen that another department is named because data is processed for it.

Data types can be used by different organizational units. The data classification of the data types should be uniform throughout the company (e.g. Secret, Internal or Confidential). Only one responsible person can be defined per data type. Hierarchies among the data are also feasible. For example, the umbrella term financial data can also be subdivided into cost accounting data, balance sheet data, accounting data, wage data, etc. The persons responsible for this data can be other persons. The persons responsible for these data can be other persons than the person responsible for the financial data. Because the latter has delegated the responsibility, for example.

Die Klassifizierung zielt auf die Schutzziele der Daten ab:

• Wie klassifizieren Sie diese Daten hinsichtlich Ihrer Vertraulichkeit? --> Datenklasse und daraus ergibt sich das zugehörige mögliche Schadensausmaße. Weiters sollten Sie mögliche Szenarien für einen Schaden erfassen und zusätzliche konkrete Schadensangabe (wenn möglich) in EUR machen bzw. den Schaden auch klassifizieren wenn er nicht rein monetärer Natur ist (z.B Imageschaden).

• Die Sensibilität der Daten im Rahmen des Interviews zu erfassen ist vor allem bei personenbezogenen Daten sinnvoll.

• Die Aufbewahrungsdauer für die Daten kann hier ebenfalls ermittelt werden.

• Business Anwendungen (ERP, DMS, Finanzbuchhaltung etc.)
• Klinische administrative Anwendungen (Patientenadministration, Therapieplanung, Patientendokumentation etc.)
• Medizinische Systeme unter Einbindung von Medizinprodukten
• Kommunikationssysteme (Mail, Intranet, Internet, Skype, Telefonie, Fax etc.)
• Datenablage-Services (File-Share, Kollaborations-Plattformen, Cloud Services etc.)
• und welche Daten stehen mit diesen Applikationen in Zusammenhang (erstellt, bearbeitet, eingesehen, …)

Hier erfolgt die Klassifizierung für die Schutzziele die auf Systeme abzielen:

• Wie klassifizieren Sie einen Integritäts- bzw. Authentizitätsverlust?
• Wie klassifizieren Sie einen Verfügbarkeitsverlust bzgl. der Applikation:

- kurzweiligen untertägigen Verfügbarkeitsverlust in den Geschäftszeiten? (2-4h)

nicht arbeitsfähig | eingeschränkt arbeitsfähig

Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

- ganztägigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (8-24h)

nicht arbeitsfähig | eingeschränkt arbeitsfähig

Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

- einen längerfristigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (>1 Tag; bis zu 2 Tage oder mehr)

nicht arbeitsfähig | eingeschränkt arbeitsfähig

Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

• etc

Vor allem hier werden Business Services von unterschiedlichen Fachbereichen verwendet. Es muss daher ausgewertet werden welcher Fachbereich welche Anforderungen an den jeweiligen Service stellt. Es zieht die Anforderung des Fachbereichs mit dem größten Gefahrenpotential je Schutzziel für den Service. Nach dieser Anforderung muss der IT-Betrieb ausgerichtet werden.

Services die von sehr vielen bzw. allen Abteilungen genutzt werden (auch wenn sie nur wenig kritisch für die jeweilige Abteilung sind), dann als gewichtiger betrachtet werden und auch danach ausgerichtet werden, als wenn sie z.B. nur von einer oder von einer sehr geringen Anzahl an Abteilungen verwendet werden und dabei als sehr kritisch eingestuft werden. Wesentlich ist dabei auch die Gewichtung der Tätigkeit der Abteilung auf das operative Betriebsergebnis wenn es sich um eine unterstützende Abteilung wie z.B. Qualitätsmanagement oder die Produktionsleitung handelt.

Zuletzt sollten Sie auch RPO / RTO / Reaktionszeiten für die Applikationen ermitteln:

• Recovery Time Objective (RTO) - Wie lange darf ein Geschäftsprozess/System ausfallen? Bei der RTO handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur - Daten - Nacharbeitung von Daten - Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage (in Einzelfällen Wochen) betragen.

• Recovery Point Objective (RPO) - Wie viel Datenverlust kann in Kauf genommen werden? Bei der RPO handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.

• Welche Daten werden darin verarbeitet (personenbezogene Daten)?
• Welche Applikationen werden dafür verwendet?
• Welche anderen Abteilungen nehmen daran teil? Von welchen anderen Fachbereichen sind sie in ihrer Arbeit abhängig (liefern, erhalten, bidirektional)

• Abhängigkeit zwischen Fachbereich –Systeme – Daten - Verarbeitungstätigkeiten
• Welche Daten werden in welchen Applikationen verarbeitet
• Welche Daten werden über welche Kommunikationssysteme ausgetauscht Welche Daten werden wo abgelegt
• Reihung der Datenarten nach Schutzzielen und Risikoeinstufung
• Reihung von Verarbeitungstätigkeiten nach Schutzzielen und Risikoeinstufungen
• Reihung der Business IT Services nach Schutzzielen und Risikoeinstufung
• Reihung der Med. adm. Services nach Schutzzielen und Risikoeinstufung
• Reihung der Med. klin. Services nach Schutzzielen und Risikoeinstufung
• Reihung der Kommunikationsservices nach Schutzzielen und Risikoeinstufung
• Reihung der Datenablagen nach Schutzzielen und Risikoeinstufung
• Kennzahlen für Backup und Notfallplanung

Diese Informationen können in weiterer Folge hilfreich sein um:

• Risikoanalysen zielgerichtet abhängig von Schutzzielen / Risikoeinstufungen durchzuführen
• Richtlinien zu erstellen
• Schulungsprogramme zu erstellen
• Notfallplanung und Business Continuity Management

Eine Schutzbedarfsanalyse hat unterschiedliche Stati, wie andere Überprüfungen auch. Abhängig vom Stati wird die Schutzbedarfsanalyse unterschiedlich im Graphen dargestellt.

• Bei Bewertung „aktiviert“ werden dünne Striche mit default-Wert 0 der Abhängigkeit im Graph dargestellt.
• Bei Bewertung „abgeschlossen“ werden die Striche entsprechend der prozentuellen Wertung der Schadensausmaßklasse in der Risikopolitik dargestellt.