Maßnahmen Einstellungen
Weitere Optionen
Aufwandsklassen
Der Aufwand beschreibt wie viel Ressourcen (monetär, Zeit) es bedarf um eine Feststellung zu schließen bzw. die damit verbundene Maßnahme umzusetzen. Die Aufwandsklassen können definiert werden können (z.B. gross, mittel, klein). Die Anzahl der Klassen, der Name der Klassen sowie deren Eigenschaften (monetär / personeller Aufwand) ist dabei frei konfigurierbar.
Kriterien für Auswirkungsklassen
Ein Auswirkungen sind nicht zwingend monetärer Natur. Sie können z.B. zu Effektivitätsverlust, Imageschaden oder Patientenschaden führen. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Auswirkungen frei zu konfigurieren. Diese Kriterien können dann wiederum auf Auswirkungsklassen gemapped werden.
Erstellt werden diese unter "Security Assessor → Risikopolitik → Kriterien für Schadensausmaße".
Auswirkungsklassen
Auswirkungen werden in Klassen unterteilt. Die Auswirkungsklassen orientieren sich dabei an der Risikotragfähigkeit des Unternehmens. Die höchste Auswirkungsklasse sollte sich daher an dem maximalen für das Unternehmen tragbaren Schaden orientieren. Klassen können von Administratoren und Experten definiert werden.
Monetärer Schaden:
- Hier wird definiert wie hoch ein monetärer Schaden in einer Klasse ausfällt.
Kriterium hinzufügen:
- Hier können die bereits erstellten Kriterien auf eine Auswirkungsklasse gemapped werden. Zudem sollten Sie im Kontext der Klasse Beschreiben welcher Schaden auftreten muss um ein Kriterium zu erfüllen.
Beispiele für Auswirkungsklassen:
| Auswirkungsklasse | Definition |
|---|---|
| Gering | Monetärer Schaden: > 5T EUR und <= 25EUR |
| Patientenschaden: geringe und kurzzeitige Unannehmlichkeiten | |
| Effektivitätsverlust: kein oder sehr begrenzter Einfluss auf Operationen/Prozeduren | |
| Daten- und Systemsicherheit: Bekanntwerden einer entsprechenden Bedrohung oder Schwachstelle hat vernachlässigbaren Einfluss | |
| Moderat | Monetärer Schaden: > 25T EUR und <= 100T EUR |
| Patientenschaden: zeitlich begrenzte und geringere Verletzungen, medizinische Intervention erforderlich | |
| Effektivitätsverlust: sehr begrenzter oder belästigender Effekt auf Operationen/Maßnahmen | |
| Daten- und Systemsicherheit: Offenlegung sensibler Informationen könnte negative (finanzielle) Folgen haben und möglicherweise Ressour-cenaufwand zur Beseitigung bedingen | |
| Katastrophal | Monetärer Schaden: > 10Mio EUR |
| Patientenschaden: Tod | |
| Effektivitätsverlust: geplante Operationen/Prozeduren nicht mehr durchführbar | |
| Daten- und Systemsicherheit: Kann zu vollständiger Offenlegung sensibler Informationen führen |
