Suche aufrufen
Menü aufrufen
47
1330
10
34.806
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Risikobewertung

Aus HITGuard User Guide
Weitere Optionen

In dieser Übersicht werden alle Gefährdungslagen aus den unterschiedlichen Managementsystemen angezeigt. Es ist zudem möglich nur die Gefährdungen des aktuellen Managementsystems anzuzeigen. Weiters können Gefährdungslagen auf privat gestellt werden, sodass sie nur mehr in jenem Managementsystem angezeigt werden, in dem sie angelegt wurden.

Wird eine Gefährdungslage angeklickt, können Sie diese bearbeiten oder ansehen. Dann ist es möglich anzusehen welche Abweichungen, Maßnahmen oder Kontrollen dieser Gefährdungslage zugewiesen sind.

Achtung:

  • Eine Gefährdungslage, die nicht "privat" ist, kann für jedes Managementsystem, das andere Schadensausmaßklassifikationen verwendet, separat bewertet werden. Das heißt: Bewertungen gelten nur für Managementsysteme, die die selben Schadensausmaßklassifikationen verwenden.
Gefährdungslagen
Risikokennzahl


Gefährdungslage

Eine Gefährdungslage kann eine Sammlung aus Abweichungen, die eine konkrete Gefahr für die verknüpften Entitäten bilden, sein.

Abweichungen entstehen im Zuge einer Überprüfung. Das ist dann der Fall, wenn z.B. Prüffragen von Prüfobjekten "negativ" oder unter Target Score beantwortet werden. Anschließend können die Abweichungen Gefährdungslagen zugewiesen werden.

Die Prüfobjekte, in denen sich die Prüffragen befinden, können mit Entitäten (Ressourcen, Datenkategorien, Prozessen und/oder Organisationseinheiten) verknüpft werden. Durch diese Zuweisung entsteht bei den betroffenen Entitäten eine konkrete Gefährdungslage, die in der Strukturanalyse ersichtlich ist.

Gefährdungslagen können auch frei erfasst werden.

Frei erfasste Gefährdungslagen haben im Normalfall keine verknüpften Abweichungen, solche können ihnen aber zugewiesen werden. Bei frei erfassten Gefährdungslagen kann es sich z.B. um eine Liste an Risiken handeln, die schon vor der Verwendung von HITGuard, z.B. mit Excel, gepflegt wurde. Solche Listen können mit Hilfe des Datenimporters eingeholt werden.

Gefährdungslagen können im Anschluss bewertet werden, indem eine Eintrittswahrscheinlichkeit und ein Schadensausmaß ausgewählt werden. Dadurch ergibt sich die Risikokennzahl, nach der die Gefährdungslage z.B. im Risikomanagement Dashboard angezeigt wird. Diese Bewertung erfolgt nach der Schadensausmaßklassifikation. Das heißt: wurde eine Gefährdungslage in einem Managementsystem mit der Klassifikation "Standard" bewertet, kann sie in einem anderen Managementsystem mit der Klassifikation "Datenschutz" anders bewertet werden (solange sie nicht als "Privat" gekennzeichnet ist).

Die Bewertung/Überprüfung von Gefährdungslagen kann an die eingetragen Sachbearbeiter delegiert werden (siehe Workflow Button). Diese finden die Gefährdungslage dann unter ihren Aufgaben zum Bewerten/Überprüfen.

In der Gefährdungslage selbst werden:

  • die Eckdaten dargestellt.
  • alle Abweichungen, die der Gefährdungslage zugewiesen sind, angezeigt.
  • die Maßnahmen/Kontrollen, die den Abweichungen zugewiesen sind, aufgelistet.
  • die Maßnahmen/Kontrollen, die der Gefährdungslage manuell zugewiesen sind, aufgelistet.

Weiters wird jede Änderung der Gefährdungslage/Risikobewertung protokolliert. Diese Dokumentation ist im Menüpunkt "Zeitliche Entwicklung" zu finden.

Wichtig: Diese sollten für Gefährdungslagen die vor HITGuard Release Oktober 2020 erstellt wurden, nachdokumentiert werden. Mehr dazu findet sich unter Zeitliche Entwicklung.

Gefährdungslage Menüführung


Gefährdungslage erfassen/bearbeiten

Maske zum erfassen/bearbeiten von Gefährdungslagen


Kürzel:

  • Beim Kürzel tragen Sie den abgekürzten Titel der Gefährdungslage ein.

Status:

  • Aktiv: Die Gefährdungslage besteht noch.
  • Geschlossen: Die Gefährdungslage wurde behoben.
  • Akzeptiert: Sie sind sich der Gefährdungslage bewusst, werden diese aber aus unterschiedlichen Gründen derzeit nicht beheben.
  • Änderungen hier werden protokolliert (Zeitliche Entwicklung)

Privat:

  • Stellen Sie die Gefährdungslage auf privat, so wird die Gefährdungslage nur noch im aktuellen Managementsystem angezeigt. Andernfalls ist sie in jedem Managementsystem sichtbar und kann für jede Schadensausmaßklassifikation bewertet werden.
  • Maßnahmen, Kontrollen und Abweichungen sind allerdings nur in den jeweiligen Managementsystemen zu sehen, in denen diese erstellt wurden, unabhängig davon, ob die Gefährdungslage als privat gekennzeichnet wurde.

Workflow Button:

  • Überprüfung anfordern
Damit kann von den Sachbearbeitern eine Überprüfung/Neubewertung der Gefährdungslage angefordert werden. Die Sachbearbeiter finden angeforderte Überprüfungen unter ihren Aufgaben in "Meine Aufgaben → Gefährdungslage".
  • Überprüfung akzeptieren
Wird die Überprüfung vom Sachbearbeiter retourniert, kann sie hier akzeptiert werden. Sollten die Überprüfung nicht passen, kann sie auch erneut angefordert werden.

Bezeichnung und Beschreibung:

  • Bei der Bezeichnung muss eingetragen werden wie die Gefährdungslage benannt werden soll.
  • Bei der Beschreibung sollten Sie die Gefährdungslage beschreiben/erklären.

Anmerkungen:

  • Hier kann erklärt werden wie es zu der Bewertung der Gefährdungslage gekommen ist.

Bewältigungsstrategie:

  • Diese Option sollte beschreiben, wie mit der Gefahrensituation umgegangen werden soll.
    • Undefiniert (es wurde noch nicht festgelegt, wie damit umzugehen ist)
    • Risikovermeidung (Verzicht auf die Tätigkeit; eigentlich sollte die Gefährdungslage dann auch geschlossen werden)
    • Risikoverminderung (Eintrittswahrscheinlichkeit wird durch Maßnahmen reduziert)
    • Transfer (Auslagerung des Risikos; zB durch Überwälzung des Risikos)
    • Akzeptanz

Eintrittswahrscheinlichkeit:

Schadensausmaß:

  • Hier können Sie eintragen wie groß der potenzielle Schaden ist, der durch die Gefährdungslage entstehen kann.
  • Es stehen nur Schadensausmaße der Klassifikation des aktuellen Managementsystems zur Verfügung.
  • Änderungen hier werden protokolliert (Zeitliche Entwicklung)

Verantwortlichkeit und Sachbearbeiter:

  • Die verantwortliche Person ist der primäre Ansprechpartner für die Gefährdungslage
  • Die Sachbearbeiter sind für die Risikobehandlung zuständig. Wird eine Überprüfung der Gefährdungslage angefordert, sind die Sachbearbeiter für die Überprüfung zuständig.

Zugewiesene Schutzziele und Gewichtungen:

  • Hier können Sie festhalten welche Schutzziele wie stark betroffen sind, wenn die Gefährdungslage eintritt.
    Beispiel:
Gefährdungslage: Einbruch in den Serverraum
Schutzziel Gewichtung Erklärung
Vertraulichkeit 4 Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit 4 Der Einbrecher könnte etwas zerstören
Integrität 3 Er könnte auch am System etwas ändern

Norm-Mapping:

  • Beschäftigt sich die Gefährdungslage mit einem oder mehreren Normkapiteln sollten diese hier eingetragen werden.

Betroffene Strukturelemente:

  • Hier werden alle Strukturelemente angeführt, die durch die Abweichungen mit der Gefährdungslage in Beziehung stehen.
  • Durch Öffnen des Dropdown-Menüs können Strukturelemente mit der Gefährdungslage verknüpft werden. Weiters wird hier ersichtlich, von welchem Prüfobjekt die automatisch gesetzten Verknüpfungen kommen.
  • Beispiel:
Die Gefährdungslage "Temperaturprobleme in Serverräumen" wird z.B. über eine Abweichung beim Überprüfen der Serverräume mit dem Strukturelement "Serverraum" verknüpft.

ID in Drittsystemen:

Durch diese ID kann die Gefährdungslage durch einen Import einer Gefährdungslage aktualisiert werden. Dafür muss die ID mit der ID der Gefährdungslage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Gefährdungslage eigentlich aus einem Drittsystem stammt, aber die Gefährdungslage vor einem Import bereits manuell angelegt wurde und die Gefährdungslage in Zukunft durch Imports aktualisiert werden soll.

Zugewiesene Abweichungen

In diesem Reiter werden alle Abweichungen gelistet, die der Gefährdungslage zugewiesen sind. Dies ist im Normalfall das Resultat der Abweichungsbehandlung einer Überprüfung. Sie können aber auch hier existierende Abweichungen zur Gefährdungslage zuweisen.

Target Score Gewichtung:

  • Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Target Score Gewichtung. Je größer die Abweichung vom Target Score und je größer die Gewichtung des Schutzzieles desto größer ist die Target Score Gewichtung. Mehr zur Target Score Gewichtung finden Sie hier.

Achtung: Es werden nur Abweichungen des aktuellen Managementsystems angezeigt. Nur weil die Gefährdungslage in diesem Managementsystem keine Abweichungen hat, heißt das nicht, dass keine existieren.

Zugewiesene Abweichungen


Darstellung der Abweichungen:

  • Schwarz: Abweichungen, die dieser Gefährdungslage zugewiesen sind und nicht behoben wurden.
  • Grün: Abweichungen, die dieser Gefährdungslage zugewiesen sind und behoben oder mit mindestens dem Target Score angegeben wurden.
  • Grau: Hier handelt es sich um historische Abweichungen. Diese wurden in früheren Überprüfungen erkannt und der Gefährdungslage zugewiesen. Zwischenzeitlich wurden die Prüfgegenstände dieser Überprüfungen schon einer Neubewertung unterzogen.
  • Zu Gefährdungslage xx verschoben: Die Abweichung wurde ursprünglich der aktuell dargestellten Gefährdungslage zugewiesen. In einem weiteren Schritt änderte sich die Zuweisung zu einer anderen Gefährdungslage, der Gefährdungslage xx.

Abweichungen zuweisen

Klicken Sie auf "Abweichungen zuweisen" öffnet sich eine Maske zum Zuordnen von Abweichungen.

Maske zum zuweisen von Abweichungen


Maßnahmen / Kontrollen

In dem jeweiligen Reiter werden alle Maßnahmen/Kontrollen gelistet, die der Gefährdungslage zugewiesen sind. Die Maßnahmen/Kontrollen kommen entweder direkt aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (blauer Button) oder werden hier speziell für die Gefährdungslage erstellt.

Kommen die Maßnahmen/Kontrollen von einer Abweichung, kann die Verknüpfung zur Gefährdungslage nicht aufgehoben werden.

Ist eine Abweichung grau, kann dies zwei Ursachen haben:

  1. Das Prüfobjekt wurde einer Neubewertung unterzogen und die Abweichung hat sich als behoben herausgestellt.
  2. Die Abweichung wurde einer anderen Gefährdungslage zugewiesen.

Achtung: Es werden nur Maßnahmen/Kontrollen des aktuellen Managementsystems angezeigt. Nur weil die Gefährdungslage in diesem Managementsystem keine Maßnahmen/Kontrollen hat, heißt das nicht, dass sie in anderen Managementsystemen keine Maßnahmen/Kontrollen hat.

Maßnahme erstellen
Kontrolle erstellen

Zugewiesene Maßnahmen


Maske zum zuweisen von Kontrollen


Zeitliche Entwicklung

Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes und/oder Status, muss derjenige, der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Ein Protokoll scheint anschließend in der zeitlichen Entwicklung der Gefährdungslage auf. Veränderungen an der Schadensausmaßbeurteilung scheinen nur in den Managementsystemen auf, die dieselbe Schadensausmaßklassifikation verwenden.

Wichtig: Zeitliche Entwicklungen können auch manuell nachgetragen werden. Dafür in der Übersicht auf den "Plus"-Button klicken.

Zeitliche Entwicklung


Einträge in dieser Übersicht können durch Doppelklick auf den jeweiligen Eintrag bearbeitet werden.

Begründung anpassen


Änderungseintrag manuell erstellen


Abgerufen von „https://userguide.hitguard.de/index.php?title=Risikobewertung&oldid=21536
Zuletzt geändert
Diese Seite wurde zuletzt am 11. August 2022 um 08:19 Uhr bearbeitet.