HITGuard Release October 2020

Since the new features to the data protection module made it necessary to assess hazard situations in HITGuard according to different damage extent classifications (1), Risk Management > Risk Policy was extended by some configuration options.

1: For information security management, the assessment of damage from an operational perspective is of primary interest. For risk assessment in data protection, however, the damage must be assessed from the perspective of the data subject.

If you want to use different damage extent classes in one or more management systems, then create an additional damage extent classification for this purpose. You can then create new damage extent classes for this damage extent classification.

Classes and classifications can be defined by the expert by clicking on the plus next to the classes / classifications:

Don't forget: Assign the newly created damage extent classification under "Administration > Management systems" to the desired management system under "General settings" as classification.

The menu item Protection target characteristics is new and is only visible if several damage extent classifications are maintained. Since protection goals can have different meanings in different damage extent classifications, it is possible to name them specifically for the respective classifications. For example, the protection goal "confidentiality" can be interpreted as privacy in the context of the data protection classification (see figure). This means that whenever the protection goal of confidentiality is used in data protection, the protection goal "privacy" is displayed.

For the representation in the management system for information security management, in which the standard damage extent classification is used for operational risk assessments, the protection goal can still be mapped in with confidentiality or alternatively named, e.g., operational confidentiality (see figure).

Another new feature is that a separate risk matrix can be configured for each extent of damage classification. To do this, switch between the respective extent of damage classifications to maintain the colors of the respective risk matrix.

Die neuen Schutzzielausprägungen finden sich nun auch in der Strukturanalyse. Hier kann gewählt werden, nach welcher Schadensklassifikation der Graph dargestellt werden soll. Abhängig davon werden die Schutzzielausprägungen für die jeweilige Schadensausmaßklassifikation sichtbar bzw. auch die differenziert durchgeführten Bewertungen und Einstufungen im Graph:

A hazard situation is evaluated with probability of occurrence and extent of damage. If a hazard situation has been marked as private, then it is to be evaluated according to the damage extent classification, which is provided for the management system by default. If the hazard situation is not marked as private, i.e. it is shared with other management systems, then this hazard situation is also visible for management systems in which a different extent of damage classification may apply. In those management systems, the hazard situation is then also visible, but is not yet evaluated for the time being. It must first be assigned the damage extent class that is appropriate in the classification of the respective classification.

In the last release, the extension of the temporal history for the change of the hazard situation was already introduced as a new feature:

A new feature in this release (in addition to the possibility of adding this history manually) is the display of the risk development on the risk management dashboard (menu item Risk management) via a time strip. You can move between the points in time at which there were changes with a mouse click and thus track the change in the risk situation:

All hazard layers of your management system and all those hazard layers of other management systems that have not been privately marked and are therefore visible to you are displayed.

As already explained in the presentation 1.4. of the temporal development of the hazard situations on the dashboard, the extension of the temporal history for the change of the hazard situation was introduced as a new feature in the last release.

There is now a further addition: the historical entries can be supplemented manually. The purpose of this is to be able to subsequently record past changes to the - previously non-historical - hazard situation.

CAUTION! If you want to use the effects described in representation 1.4. of the temporal development of the hazard layers on the dashboard and want to represent the development of the hazard layers over time, then you must add the temporal developments for your already existing hazard layers. However, since the last release, each new change to the hazard layer is now historically documented.

Furthermore, note that due to the extension to differentiable damage extent classes in HITGuard, your history regarding changes to the damage extent classes of a hazard situation will only be visible as a log entry to those management systems that use the same damage extent classification.

New evaluation options can be found under Risk Management > Reports > Standards and norms.

A new evaluation option is the Statement of Applicability (SOA) report. The SOA report presents which chapters of the standard are applicable or not applicable incl. justification and which measures and controls are linked to these chapters. The collection of this information is new and is described in chapter 4.1 Maintaining the scope and applicability to a standard(s).

An already known evaluation option, the management summary on standards and norms, can now also be found here. Until now, this report was only available directly via the administration for experts. The report provides a management overview of the total, type and status of measures and controls assigned to a specific standard. By default, the report aggregates the results on the first chapter level of the standard(s) for a better overview of the overall situation. The report can optionally be adapted to a more granular presentation of the results via the checkbox "Print only the lowest chapter level".

You can now select multiple hazard layers and display them together in one report. You can select all the hazard layers of your management system and all those hazard layers of other management systems that have not been marked private and are therefore visible to you.

The Controls dashboard opens via the Controls menu item. There is a new feature here. If you want to see which of the e.g. failed or completed controls is hidden behind the percentage of controls in the pie chart, then a dialog opens by double-clicking on the pie slice. This shows you the relevant controls and allows you to jump to the control log by double-clicking.

Based on practical use cases, we have implemented a customer request with this feature. In the context of a review, the "Detected on event" is now populated with the title of the review and the "Detected on" date with the start date of the review when a task is created.

We have received the suggestion from our customers that it is sometimes difficult for experts to recognize which controls are to be carried out or checked by them personally. In this case, the orange flags gave too little information. Therefore, we have added two columns that can be displayed in the Practitioner view. These columns are called "to be performed by me" and "to be checked by me". Ranking the table according to these columns quickly provides information about where there is still work for the expert to do.

The data protection impact assessment (DPIA) can be found in the management system activated for the Data Protection module under Data Protection > DPIA.

For a processing activity (VT) or a group of VTs with a similar risk, it can be documented here whether a DPIA must be performed. This is done in the course of a so-called DPIA requirement test.

Der Assistent, der in HITGuard unter der DSFA aufgerufen werden kann, kombiniert die DSFA-Erforderlichkeitsprüfung und die folgende tatsächliche DSFA. Zuerst wird die Erforderlichkeitsprüfung erstellt und anschließend, je nach Prüfergebnis, kann der Dokumentationsschritt beendet werden oder die DSFA in HITGuard durchgeführt werden.

Um einzuschätzen ob eine DSFA notwendig ist, werden drei Fälle in der Erforderlichkeitsprüfung unterschieden:

1. Es handelt sich um eine Ausnahme von der DSFA
2. Die Erforderlichkeit der DSFA ist vorgegeben
3. Es wird eine Schwellwertanalyse durchgeführt, um festzustellen, ob eine DSFA nötig ist

Wenn im Fall 1, eine Ausnahme von der DSFA erkannt wird, kann die Dokumentation abgeschlossen werden. Wenn im Fall 2 eine Erforderlichkeit zur DSFA als gesetzlich vorgegeben erkannt wird, ist die DSFA jedenfalls durchzuführen. Und im Schritt 3 ist eine Schwellwertanalyse erfassbar, um anhand dieser die nachvollziehbare Entscheidung fällen zu können, ob eine DSFA nötig ist.

Wenn eine DSFA nötig ist, kann der Anwender eine bereits in Form eines Berichts erstellte DSFA zur Ablage hochladen. Wenn noch keine DSFA vorliegt, ist diese anhand der weiteren Assistentenschritte durchzuführen.

Dabei erfassen Sie Informationen zur Verarbeitung. Diese Informationen können von Daten, Betriebsmitteln, Prozessen, Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie den Persönlichkeitsrechten der Betroffenen handeln. Außerdem können Sie dort die Risikobewertung und die dazu erstellte Maßnahmenplanung dokumentieren sowie auch die Konsultationen, die durchgeführt wurden.

Eine ausführliche Beschreibung zur DSFA finden Sie in der HITGuard Onlinehilfe.

Damit schnell ersichtlich wird ob eine Datenschutz-Folgenabschätzung (DSFA) bzw. die dazu benötigte Erforderlichkeitsprüfung für eine Verarbeitungstätigkeit (VT) vorliegt, wurde die VT im Schritt 6 angepasst. Sie können hier auf einen Blick erkennen, ob eine verknüpfte DSFA existiert und in welchem Bearbeitungsstatus sich diese aktuell befindet:

Zusätzlich können in der Übersicht der VTs die Spalte „DSFA“ und „DSFA Status“ eingeblendet werden. Dadurch ist schnell ersichtlich, ob eine DSFA bzw. Erforderlichkeitsprüfung zur VT bereits durchgeführt wurde oder ob es hier noch Dokumentationsarbeit bedarf:

Dieser Bericht enthält neben den Eckdaten zur Erstellung der DSFA, Name der Verarbeitungstätigkeit, Zweck der Verarbeitung, eine detaillierte Darstellung der Verarbeitungstätigkeit, Angaben zur Einhaltung des Code of Conduct, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung hinsichtlich seines Zwecks, den Standpunkt der Betroffenen, Informationen zur Risikobewertung bzw. dazugehöriger Maßnahmenplanung, den Rat des Datenschutzbeauftragten sowie etwaige Informationen zur Konsultation der Datenschutzbehörde.

Neben den Informationen aus dem eben beschriebenen Standardbericht zur DSFA, werden hier noch Kontaktinformationen rund um die Verantwortlichen, Auftragsverarbeiter und gemeinsamen Verarbeiter angedruckt.

Für Standards und Normen kann nun der Geltungsbereich im Kontext des gewählten Managementsystems als Text erfasst werden, für den der jeweilige Standard/die jeweilige Norm Anwendung findet:

Außerdem kann für jedes Kapitel der Norm inkl. der Angabe einer Begründung definiert werden, ob es im Geltungsbereich anwendbar oder nicht anwendbar ist.

Wenn Sie selbst Wissensdatenbanken pflegen bzw. Benutzeranpassungen von Herstellerdatenbanken verwalten, dann werden Sie sich schon öfter gefragt haben, wie Sie erkennen können ob eine Prüffrage, Maßnahme oder Kontrolle bereits an einer anderen Stelle Verwendung findet. Um dies einfach ersichtlich zu machen finden Sie nun in der Titelleiste einer Prüffrage, Maßnahme oder Kontrolle die Anzeige ihrer Verknüpfungen. Wenn Sie auf den Link klicken stellt sich auch eine Auflistung der Verknüpfungen dar.

Unter Administration > Managementsystem kann je Managementsystem eingestellt werden, welche Schadensausmaßklassifikation standardmäßig verwendet wird. Diese Einstellung findet sich am unteren Ende des ersten Konfigurations-TAB unter „Allgemeine Einstellungen“: