HITGuard Release October 2020

Since the new features to the data protection module made it necessary to assess hazard situations in HITGuard according to different damage extent classifications (1), Risk Management > Risk Policy was extended by some configuration options.

1: For information security management, the assessment of damage from an operational perspective is of primary interest. For risk assessment in data protection, however, the damage must be assessed from the perspective of the data subject.

If you want to use different damage extent classes in one or more management systems, then create an additional damage extent classification for this purpose. You can then create new damage extent classes for this damage extent classification.

Classes and classifications can be defined by the expert by clicking on the plus next to the classes / classifications:

Don't forget: Assign the newly created damage extent classification under "Administration > Management systems" to the desired management system under "General settings" as classification.

The menu item Protection target characteristics is new and is only visible if several damage extent classifications are maintained. Since protection goals can have different meanings in different damage extent classifications, it is possible to name them specifically for the respective classifications. For example, the protection goal "confidentiality" can be interpreted as privacy in the context of the data protection classification (see figure). This means that whenever the protection goal of confidentiality is used in data protection, the protection goal "privacy" is displayed.

For the representation in the management system for information security management, in which the standard damage extent classification is used for operational risk assessments, the protection goal can still be mapped in with confidentiality or alternatively named, e.g., operational confidentiality (see figure).

Another new feature is that a separate risk matrix can be configured for each extent of damage classification. To do this, switch between the respective extent of damage classifications to maintain the colors of the respective risk matrix.

Die neuen Schutzzielausprägungen finden sich nun auch in der Strukturanalyse. Hier kann gewählt werden, nach welcher Schadensklassifikation der Graph dargestellt werden soll. Abhängig davon werden die Schutzzielausprägungen für die jeweilige Schadensausmaßklassifikation sichtbar bzw. auch die differenziert durchgeführten Bewertungen und Einstufungen im Graph:

A hazard situation is evaluated with probability of occurrence and extent of damage. If a hazard situation has been marked as private, then it is to be evaluated according to the damage extent classification, which is provided for the management system by default. If the hazard situation is not marked as private, i.e. it is shared with other management systems, then this hazard situation is also visible for management systems in which a different extent of damage classification may apply. In those management systems, the hazard situation is then also visible, but is not yet evaluated for the time being. It must first be assigned the damage extent class that is appropriate in the classification of the respective classification.

In the last release, the extension of the temporal history for the change of the hazard situation was already introduced as a new feature:

A new feature in this release (in addition to the possibility of adding this history manually) is the display of the risk development on the risk management dashboard (menu item Risk management) via a time strip. You can move between the points in time at which there were changes with a mouse click and thus track the change in the risk situation:

All hazard layers of your management system and all those hazard layers of other management systems that have not been privately marked and are therefore visible to you are displayed.

Wie auch schon in der Darstellung 1.4. der zeitlichen Entwicklung der Gefährdungslagen am Dashboard erklärt, wurde in der letzten Release die Erweiterung der zeitlichen Historie zur Veränderung der Gefährdungslage als neues Feature vorgestellt.

Hier gab es nun eine weitere Ergänzung: Die historischen Einträge können manuell ergänzt werden. Dies hat den Sinn auch nachträglich vergangene Veränderungen zur – bisher nicht historischen – Gefährdungslage erfassen zu können.

ACHTUNG! Wenn Sie die in Darstellung 1.4. der zeitlichen Entwicklung der Gefährdungslagen am Dashboard beschriebenen Effekte nutzen wollen und die Entwicklung der Gefährdungslagen über die Zeit darstellen wollen, dann müssen Sie für Ihre bereits vorhandenen Gefährdungslagen die zeitlichen Entwicklungen nachtragen. Seit der letzten Release wird nun aber jede neue Änderung an der Gefährdungslage historisch dokumentiert.

Beachten Sie weiters, dass durch die Erweiterung zu den differenzierbaren Schadensausmaßklassen in HITGuard Ihre Historie hinsichtlich der Veränderungen an den Schadensausmaßklassen einer Gefährdungslage nur für jene Managementsysteme als Protokolleintrag sichtbar wird, die dieselbe Schadensausmaßklassifikation verwenden.

Unter Risikomanagement > Berichte > Standards und Normen finden sich neue Auswertungsmöglichkeiten.

Eine neue Auswertungsmöglichkeit ist der Statement of Applicability (SOA)-Bericht. Der SOA Bericht stellt dar, welche Kapitel der Norm anwendbar oder nicht anwendbar sind inkl. Begründung und welche Maßnahmen und Kontrollen mit diesen Kapiteln verknüpft sind. Die Erfassung dieser Informationen ist neu und wird im Kapitel 4.1 Pflege des Geltungsbereichs und der Anwendbarkeit zu einem/r Standard/Norm beschrieben.

Eine bereits bekannte Auswertungsmöglichkeit, die Management Summary zu Standards und Normen, findet sich nun auch hier. Dieser Bericht war bisher nur direkt über die Administration für Experten aufrufbar. Die Auswertung bietet einen Management-Überblick über die Summe, Art und Status von Maßnahmen und Kontrollen die einem/r bestimmten Standard/Norm zugewiesen wurden. Die Auswertung aggregiert standardmäßig die Ergebnisse auf der ersten Kapitelebene des/der Standards/Norm für einen besseren Überblick zur Gesamtsituation. Der Bericht kann wahlweise über die Checkbox „Nur die unterste Kapitelebene andrucken“ auch auf eine granularere Darstellung der Ergebnisse angepasst werden.

Sie können nun mehrere Gefährdungslagen selektieren und gemeinsam in einem Bericht darstellen. Zur Auswahl stehen Ihnen alle Gefährdungslagen Ihres Managementsystems und all jene Gefährdungslagen anderer Managementsysteme, die nicht privat gekennzeichnet wurden und daher für Sie sichtbar sind.

Über den Menüpunkt Kontrollen öffnet sich das Kontrollen-Dashboard. Hier gibt es eine Neuerung. Wenn Sie einsehen möchten, welche der z.B. fehlgeschlagenen oder abgeschlossenen Kontrollen sich hinter der prozentuellen Angabe an Kontrollen in der Tortendarstellung verbirgt, dann öffnet sich per Doppelklick auf das Tortenstück ein Dialog. Dieser zeigt Ihnen die betreffenden Kontrollen und ermöglicht es Ihnen per Doppelklick weiter auf das Log zur Kontrolle zu springen.

Aus praktischen Anwendungsfällen heraus haben wir mit diesem Feature einen Kundenwunsch umgesetzt. Im Kontext einer Überprüfung wird nun bei der Anlage einer Maßnahme das „Erkannt am Ereignis“ mit dem Titel der Überprüfung und das „Erkannt am“-Datum mit dem Beginn Datum der Überprüfung besetzt.

Wir haben von unseren Kunden die Anregung erhalten, dass es für Experten manchmal schwer zu erkennen ist, welche Kontrollen von ihnen persönlich durchzuführen bzw. zu prüfen sind. Die orangen Kennzeichner gaben in diesem Fall zu wenig Information. Daher haben wir zwei Spalten ergänzt, die in der Practitioner Ansicht eingeblendet werden können. Diese Spalten heißen „von mir durchzuführen“ und „von mir zu prüfen“. Eine Reihung der Tabelle nach diesen Spalten gibt schnell Aufschluss darüber, wo noch Arbeit für den Experten zu erledigen ist.

Die Datenschutz-Folgenabschätzung (DSFA) findet sich im, für das Modul Datenschutz freigeschalteten Managementsystem, unter Datenschutz > DSFA.

Für eine Verarbeitungstätigkeit (VT) bzw. eine Gruppe von VTs mit ähnlichem Risiko kann hier dokumentiert nachgewiesen werden, ob eine DSFA durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung.

Der Assistent, der in HITGuard unter der DSFA aufgerufen werden kann, kombiniert die DSFA-Erforderlichkeitsprüfung und die folgende tatsächliche DSFA. Zuerst wird die Erforderlichkeitsprüfung erstellt und anschließend, je nach Prüfergebnis, kann der Dokumentationsschritt beendet werden oder die DSFA in HITGuard durchgeführt werden.

Um einzuschätzen ob eine DSFA notwendig ist, werden drei Fälle in der Erforderlichkeitsprüfung unterschieden:

1. Es handelt sich um eine Ausnahme von der DSFA
2. Die Erforderlichkeit der DSFA ist vorgegeben
3. Es wird eine Schwellwertanalyse durchgeführt, um festzustellen, ob eine DSFA nötig ist

Wenn im Fall 1, eine Ausnahme von der DSFA erkannt wird, kann die Dokumentation abgeschlossen werden. Wenn im Fall 2 eine Erforderlichkeit zur DSFA als gesetzlich vorgegeben erkannt wird, ist die DSFA jedenfalls durchzuführen. Und im Schritt 3 ist eine Schwellwertanalyse erfassbar, um anhand dieser die nachvollziehbare Entscheidung fällen zu können, ob eine DSFA nötig ist.

Wenn eine DSFA nötig ist, kann der Anwender eine bereits in Form eines Berichts erstellte DSFA zur Ablage hochladen. Wenn noch keine DSFA vorliegt, ist diese anhand der weiteren Assistentenschritte durchzuführen.

Dabei erfassen Sie Informationen zur Verarbeitung. Diese Informationen können von Daten, Betriebsmitteln, Prozessen, Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie den Persönlichkeitsrechten der Betroffenen handeln. Außerdem können Sie dort die Risikobewertung und die dazu erstellte Maßnahmenplanung dokumentieren sowie auch die Konsultationen, die durchgeführt wurden.

Eine ausführliche Beschreibung zur DSFA finden Sie in der HITGuard Onlinehilfe.

Damit schnell ersichtlich wird ob eine Datenschutz-Folgenabschätzung (DSFA) bzw. die dazu benötigte Erforderlichkeitsprüfung für eine Verarbeitungstätigkeit (VT) vorliegt, wurde die VT im Schritt 6 angepasst. Sie können hier auf einen Blick erkennen, ob eine verknüpfte DSFA existiert und in welchem Bearbeitungsstatus sich diese aktuell befindet:

Zusätzlich können in der Übersicht der VTs die Spalte „DSFA“ und „DSFA Status“ eingeblendet werden. Dadurch ist schnell ersichtlich, ob eine DSFA bzw. Erforderlichkeitsprüfung zur VT bereits durchgeführt wurde oder ob es hier noch Dokumentationsarbeit bedarf:

Dieser Bericht enthält neben den Eckdaten zur Erstellung der DSFA, Name der Verarbeitungstätigkeit, Zweck der Verarbeitung, eine detaillierte Darstellung der Verarbeitungstätigkeit, Angaben zur Einhaltung des Code of Conduct, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung hinsichtlich seines Zwecks, den Standpunkt der Betroffenen, Informationen zur Risikobewertung bzw. dazugehöriger Maßnahmenplanung, den Rat des Datenschutzbeauftragten sowie etwaige Informationen zur Konsultation der Datenschutzbehörde.

Neben den Informationen aus dem eben beschriebenen Standardbericht zur DSFA, werden hier noch Kontaktinformationen rund um die Verantwortlichen, Auftragsverarbeiter und gemeinsamen Verarbeiter angedruckt.

Für Standards und Normen kann nun der Geltungsbereich im Kontext des gewählten Managementsystems als Text erfasst werden, für den der jeweilige Standard/die jeweilige Norm Anwendung findet:

Außerdem kann für jedes Kapitel der Norm inkl. der Angabe einer Begründung definiert werden, ob es im Geltungsbereich anwendbar oder nicht anwendbar ist.

Wenn Sie selbst Wissensdatenbanken pflegen bzw. Benutzeranpassungen von Herstellerdatenbanken verwalten, dann werden Sie sich schon öfter gefragt haben, wie Sie erkennen können ob eine Prüffrage, Maßnahme oder Kontrolle bereits an einer anderen Stelle Verwendung findet. Um dies einfach ersichtlich zu machen finden Sie nun in der Titelleiste einer Prüffrage, Maßnahme oder Kontrolle die Anzeige ihrer Verknüpfungen. Wenn Sie auf den Link klicken stellt sich auch eine Auflistung der Verknüpfungen dar.

Unter Administration > Managementsystem kann je Managementsystem eingestellt werden, welche Schadensausmaßklassifikation standardmäßig verwendet wird. Diese Einstellung findet sich am unteren Ende des ersten Konfigurations-TAB unter „Allgemeine Einstellungen“: