Suche aufrufen
Menü aufrufen
47
1.3K
10
34.8K
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Knowledge bases

Aus HITGuard User Guide
Weitere Optionen
Version vom 19. Januar 2021, 13:06 Uhr von Sala (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=== Norm or standard ===“)

What is a knowledge base?

  • Knowledge databases contain portable know-how for risk identification (through topics, audit questions, threats) and risk treatment (measures and controls).
  • This makes it possible to perform deviation analyses guided by this know-how and thus to check and document compliance / fulfillment of requirements.
  • In addition to questions on risk identification, they also contain measures and control proposals to reduce, control or eliminate these very risk situations.
  • Furthermore, knowledge databases on a norm or standard basis can be used to check compliance requirements.

Difference to standards and norms: .

  • Standards and norms provide no usable know-how and are pure "tables of contents" of a standard.
  • They are used to evaluate the impact of risks, test results, measures and controls on a norm or standard.

Options:



Types of knowledge bases

Norm or standard

Norm oder Standard-Wissensdatenbanken können nur importiert werden, nicht exportiert.

Sie sind enthalten Copyright geschützten Inhalt und können nicht verändert werden!

Die Prüffragen dieser Wissensdatenbanken mappen auf die jeweilige Norm bzw. den Standard. Dadurch kann der Erfüllungsgrad einer Norm bzw. eines Standards ermittelt werden. Der Erfüllungsgrad kann unter "Risikomanagement Dashboard → Compliance Deckung" oder in Compliance Berichten eingesehen werden.

Hersteller

Diese Wissensdatenbanken enthalten Copyright geschützten Inhalt! Sie können nur importiert werden, nicht exportiert.

Obwohl der Inhalt geschützt ist, können Benutzeranpassungen durchgeführt werden!

Bei der Benutzeranpassung können die vom Hersteller definierte Prüffragen nicht angepasst werden! Möchten Sie diese nicht behandeln, so muss die Prüffrage auf "entbehrlich" gestellt werden. Die Wissensdatenbank kann aber ohne Einschränkungen um eigene Themen und Prüffragen erweitert werden.

Anpassen einer Wissensdatenbank macht also dann Sinn, wenn gewisse Themen oder Fragen nicht behandelt werden, die für Ihr Unternehmen wichtig oder interessant wären, oder Sie gewisse Themen der Wissensdatenbank nicht behandeln möchten.

Hersteller- und Norm- oder Standard-Wissensdatenbanken können durch den Besitz einer Herstellerlizenz erstellt und exportiert werden.

Eigenentwicklung

Hier handelt es sich um Wissensdatenbanken, die von Ihnen erstellt wurden. In diesen können Sie den Inhalt selbst pflegen und aufbereiten. Sie könnten z.B. Datenbanken für interne Audits oder zum Einholen von Antworten auf Fragebögen erstellen und verwalten.

Diese Wissensdatenbanken können, solange sie nicht veröffentlicht sind, ohne weiteres angepasst werden. Einmal veröffentlicht, muss zum Bearbeiten eine Nachfolge-Version erstellt werden.

Weitere Eigenschaften

Sprachen

Wissensdatenbanken können in verschieden Sprachen übersetzt werden. Diese Sprachversionen können im Zuge von Schwachstellenanalysen und folglich in Berichten verwendet werden. Dabei wird jene Sprache verwendet, die rechts oben (gleich neben dem Abmelde-Button) vom User eingestellt wurde.

Zum Übersetzen siehe Übersetzen von Wissensdatenbanken.

Versionierung

Bei der Versionisierung wird zwischen Eigenentwicklung und Benutzeradaptionen von Hersteller-Wissensdatenbanken unterschieden.

Eigenentwicklung

Sie können mehrere Versionen von eigenentwickelten Wissensdatenbanken führen.

Entspricht eine Eigenentwicklung nicht mehr Ihren Anforderungen, so kann eine neue, auf die Anforderungen angepasste, Version erstellt werden. Dazu klicken Sie in der Maske zum Einsehen der Wissensdatenbank auf "Nachfolgeversion erstellen". Mehr dazu unter Nachfolgeversionen von Wissensdatenbanken.

Eigenentwickelte Wissensdatenbanken bestehen aus nur einer Zahl. Nachfolgeversionen erhöhen diese Nummer um 1.

Hersteller-Wissensdatenbank

Die Versionsnummer X.Y bei importierten Wissensdatenbanken verhält sich folgend:

  • X: importierte Wissensdatenbanken haben immer eine Zahl. Zum Beispiel 1, 2 oder 3 aber nicht 1.1,2.1 oder 3.3
  • Y: wird eine Eigenanpassung einer importierten Wissensdatenbank erstellt, so wird die Zahl nach dem Punkt um 1 erhöht.

In der Übersicht wird angezeigt: WDB Z in Version 5 und WDB W in Version 2.3. In der Wissensdatenbank selber sehen Sie dann WDB W in der Version 2 Eigenanpassung Nr. 3.

Favorisieren

Liegen mehrere Versionen einer Wissensdatenbank vor, so besteht die Möglichkeit eine Version als bevorzugte Version zu setzen.

Die Wissensdatenbank muss veröffentlicht sein, dann befindet sich in der Maske zum Einsehen der Wissensdatenbank ein Button mit der Aufschrift "Als bevorzugte Version setzen".

In der Übersicht der Wissensdatenbanken werden Bevorzugte mit einem Herz gekennzeichnet.

Wichtig!

  • In Abweichungsanalysen können nur bevorzugte Versionen ausgewählt werden!

Exportieren

Eigenentwickelte Wissensdatenbanken können frei exportiert werden. Dadurch können sie diese z.B. auf einem Testsystem einspielen und verwenden.

Zum Exportieren wird in der Maske zum Einsehen der Wissensdatenbank auf "Exportieren" geklickt.

Sind Wissensdatenbanken mit einem Copyright versehen, wird dieses bei den Maßnahmen, Kontrollen und Prüffragen der Wissensdatenbank angezeigt. Weiters sind diese auch in den Berichten mit einem Copyright versehen.

Aktualisieren von Wissensdatenbanken

Wird eine neuere Version einer bestehenden Wissensdatenbank importiert, so können alle Prüfobjekte, die mit der älteren Version angelegt wurden, teil-automatisch auf die neuere Version aktualisiert werden. Mehr dazu findet sich unter Aktualisieren von Prüfobjekten.

Elemente einer Wissensdatenbank

Die Wissensdatenbank unterteilt sich in fünf zentrale Elemente:

  • Themen
  • Prüffragen
  • Bedrohungen
  • Maßnahmen
  • Kontrollen

Diese Elemente stehen wie folgt miteinander in Beziehung:

  • Eine Wissensdatenbank enthält eine Menge an Themen. Diese Themen können untereinander hierarchisch strukturiert sein. Ein Thema muss keine Prüffragen enthalten, wenn es z.B. nur der Strukturierung von Themen dienen soll. Die Themen jeder Hierarchie-Ebene können aber Prüffragen enthalten.
  • Die Prüffragen dienen bei der Beantwortung (ja/nein, teilweise, entbehrlich, Reifegrad) dazu, zu erkennen, ob eine potenzielle Schwachstelle in diesem Bereich vorliegt. Abweichungen (Antworten mit nein, teilweise oder Reifegrad-Abweichung) müssen im Risikobewertungsschritt genauer untersucht werden.
  • Wenn eine Abweichung erkannt wird, dann wird diese in der Regel von einer speziellen Bedrohung mehr oder weniger stark adressiert. Daher sollte Sie mit Maßnahmen behandelt bzw. mit Kontrollen langfristig abgesichert werden. Daher sind einer Prüffrage im Rahmen der Wissensdatenbank eine oder mehrere Bedrohungen, Maßnahmen und Kontrollen zugewiesen.

Verknüpfungen

Um das Auffinden der bisherigen Verwendung einer Prüffrage, Maßnahme, Kontrolle oder Bedrohung ersichtlich zu machen, gibt es bei dem jeweiligen Element in der Bearbeiten-Maske den Link "Verknüpfungen", sofern das Element zumindest eine Verknüpfung hat.

Verknüpfungstab


Verknüpfungen


Themen

In der Wissensdatenbank enthaltene Themen dienen zur Strukturierung einer Wissensdatenbank. Sie sind die Einheiten innerhalb einer Schicht (z.B. IT-Systeme, Netze). Sie beschreiben technische Komponenten (wie Verkabelung) oder organisatorische Verfahren (wie Notfallvorsorge-Konzept).

Jedem Thema können Prüffragen zugeteilt werden.

Zum Erstellen von Themen siehe Themen erstellen

Prüffragen

Prüffragen dienen dazu, im Rahmen einer Überprüfung, mögliche Schwachstellen festzustellen. Eine Prüffrage kann mehreren Themen zugeteilt sein. Prüffragen können durch die Verwendung von Strukturfragen hierarchisch aufgebaut werden.

Zum Erstellen einer Prüffrage siehe Prüffrage erstellen

Einer Prüffrage können Maßnahmen, Kontrollen und Bedrohungen zugeordnet werden. Das sorgt dafür, dass bei einer Abweichung der beantworteten Frage vom gewünschten Zielzustand, Maßnahmen und Kontrollen zur Behandlung des damit verbundenen potenziellen Risikos vorgeschlagen werden.

Strukturfragen

  • Prüffragen die Themen zugewiesen sind können in der Wissensdatenbank um Unterfragen erweitert werden. Hat eine Frage eine oder mehrere Unterfragen so wird die Oberfrage zur Strukturfrage und dient lediglich zur Strukturierung. Das heißt: Eine mit "Nein" oder "Teilweise" beantwortete Strukturfrage stellt keine Abweichung dar!
  • Abhängig von der Beantwortung der Strukturfrage können verschiedene Prüffragen angezeigt werden. Es können z.B. im Falle einer Beantwortung mit "Ja" zwei spezifische Prüffragen und im Falle der Beantwortung mit "Nein" drei andere spezifische Prüffragen angezeigt werden. Eine negative Beantwortung von Unterfragen führt jedoch zu Abweichungen.
Unterfrage Optionen
Sieht je nach Art der Frage anders aus (Bei Technikfragen würde Ja/Nein/Teilweise/Entbehrlich angezeigt werden)


Wird eine übergeordnete Frage angelegt so stehen die Optionen "Wird angezeigt wenn" und "Antwort wenn nicht angezeigt" zur Verfügung.

  • Die Option "Wird angezeigt wenn" definiert welche Beantwortung die Überfrage erfahren muss, damit die Unterfrage zur Beantwortung angeboten wird. Das heißt: Wenn bei der Prüffrage unter "Wird angezeigt wenn" nur die Option "Ja" ausgewählt wird, so wird diese Unterfrage nur zur Beantwortung angezeigt, wenn die Oberfrage mit "Ja" beantwortet wird.
  • Die Option "Antwort wenn nicht angezeigt" definiert welche Beantwortung die Unterfrage erfahren soll, wenn sie nicht zur Beantwortung angezeigt wird. Wird hier keine Auswahl getroffen, wird die Prüffrage in diesem Fall nicht automatisch beantwortet.

Maßnahmen

Maßnahmen einer Wissensdatenbank sind mögliche Maßnahmen, die aufgrund der, im Rahmen einer Überprüfung festgestellten Abweichung, im Kontext der zu behandelnden Risiken zur Wahl stehen. Sie sollen dabei helfen eine oder mehrere Abweichungen zu reduzieren bzw. zu beheben. Mögliche Maßnahmen können in laufende Maßnahmen überführt werden.

Zum Erstellen einer Prüffrage siehe Maßnahme erstellen

Kontrollen

Kontrollen einer Wissensdatenbank sind mögliche Kontrollen die aufgrund der festgestellten Abweichung für das zugewiesene Risiko zur Wahl stehen. Sie sollen dabei helfen das Risiko zu überwachen bzw. die Durchführung umgesetzter Maßnahmen zu kontrollieren. Mögliche Kontrollen können in laufende Kontrollen überführt werden.

Zum Erstellen einer Prüffrage siehe Kontrolle erstellen

Bedrohungen

Bedrohungen werden hauptsächlich für Analysen verwendet. Es kann z.B. ein Bericht generiert werden bei dem zu einer Bedrohung alle abweichenden Prüffragen aufgelistet werden.

Zum Erstellen einer Prüffrage siehe Bedrohung erstellen

Abgerufen von „https://userguide.hitguard.de/index.php?title=Wissensdatenbanken/en&oldid=8804
Zuletzt geändert
Diese Seite wurde zuletzt am 19. Januar 2021 um 13:06 Uhr bearbeitet.