Schutzbedarfsfeststellung für IDV-Anwendungen mit survbit
Prinzipiell müssen alle Daten im Unternehmen geschützt werden. Jedoch sind manche Daten wichtiger als andere und verlangen unterschiedliche Maßnahmen, die bei Ausfall oder Missbrauch angewendet werden müssen. Um diese Unterschiede zu Ermitteln müssen im Unternehmen regelmäßig die Schutzbedarfe über die sogenannte Schutzbedarfsfeststellung ermittelt werden.
Regulatorische Anforderungen
Aus Sicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) ist es notwendig, IDV-Anwendungen1), die in Fachbereichen entwickelt bzw. betrieben werden, in Schutzbedarfsklassen einzuteilen. Dies schafft Transparenz über Risiken, welche aus dem Umgang mit den Anwendungen resultieren. Auf Grundlage der festgestellten Schutzbedarfe sind Soll-Maßnahmen festzulegen und diese mit umgesetzten Maßnahmen abzugleichen.
1) IDV-Anwendung: umfasst sowohl typische Büroanwendungen wie Textverarbeitung und Tabellenkalkulation als auch Anwendungssoftware
Die drei Grundwerte der IT-Sicherheit
Vertraulichkeit (Confidentiality)
Lediglich autorisierte Benutzer dürfen Daten lesen und modifizieren.
Dies gilt sowohl für den Zugriff als auch während der Datenübertragung.
Integrität (Integrity)
Daten dürfen nicht verändert werden, ohne dass diese Änderungen nachträglich nachvollzogen werden können.
Verfügbarkeit (Availability)
Die Verfügbarkeit beschreibt die Zeit, in der das System ohen Fehler funktioniert.
Der Zugriff auf die Daten muss in diesem Zeitrahmen gewährleistet sein.
Anforderung (Kundenprojekt)
Für die Fachabteilung ISM (Information Security Management) sollte eine zentrale, revisionssichere Plattform zur Schutzbedarfsfeststellung von IDV-Anwendungen mit folgenden Merkmalen entwickelt werden:
- Feststellung des Schutzbedarfes über Fragenkataloge (C.I.A)
- Mehrsprachigkeit
- Zentrale Benutzerverwaltung
- Revisor-Funktion (Lesezugriff der Revision zur Plausibilisierung)
- Benachrichtigungs-Funktion (Wiedervorlage-Mail, Ergebnis-Mail)
- Berichtswesen (Anbindung an BI-Portal survbit analytics)
- Schnittstellen zu vor- / nachgelagerten Kernsystemen
- Feststellung von personenbezogenen Daten (P)
Lösung (Kundenprojekt)
Für die Anforderung wurde gemeinsam mit dem Kunden folgendes umgesetzt:
- Aufbau der zentralen, webbasierten Plattform survbit (survey und analytics)
- Erstellen von mehrsprachigen Fragenkatalogen (auf Basis interner Audits)
- Automatisierte Aufforderung per Mail an die verantwortlichen Personen (Anwendungsbetreuer),
zur Erstellung einer Schutzbedarfsfeststellung ihrer Anwendungen - Benachrichtigungsfunktion an die Revision als Kontrollorgan nach Durchführung der
Schutzbedarfsfestellung einer IDV-Anwendung - KPI-Reporting für die Fachverantwortlichen und deren Vorgesetzte
- Formularanwendung zur Plausibilisierung der Schutzbedarfsfeststellung
- Ausrollen der Entwicklungs-, Schulungs- und Produktionsumgebung
- Personalisierter Zugriff auf die Plattform über Single Sign-on
survbit surveys
Für die Umsetzung der Anforderungen kam unsere Plattform survbit surveys zum Einsatz, das sowohl in der Cloud als auch
im Intranet betrieben werden kann.
Für die Erstellung der Fragenkataloge stehen alle wichtigen Abfragetypen zur Verfügung wie z.B. ein- und mehrzeilige Texteingaben, Radio-Buttons, Mehrfachselektoren, Listen-, UploadFuntionen und vieles mehr.
Kern Merkmale
- Bedienung der Plattform über Browser
- Integriertes Berechtigungskonzept
- Großer Funktionsumfang der Fragetypen
- Verzweigungen und Sprünge möglich
- Mail-Benachrichtigungs-Funktion
- Integriertes BI-Portal survbit analytics
Mehr Informationen
Sie möchten Informationsmaterial erhalten oder einen Demo-Zugang freigeschaltet bekommen?
Bitte füllen Sie das nachfolgende Formular aus:
Anforderung (Kundenprojekt)
Für die Fachabteilung ISM (Information Security Management) sollte eine zentrale, revisionssichere Plattform zur Schutzbedarfsfeststellung von IDV-Anwendungen mit folgenden Merkmalen entwickelt werden:
- Feststellung des Schutzbedarfes über Fragenkataloge (C.I.A)
- Mehrsprachigkeit
- Zentrale Benutzerverwaltung
- Revisor-Funktion (Lesezugriff der Revision zur Plausibilisierung)
- Benachrichtigungs-Funktion (Wiedervorlage-Mail, Ergebnis-Mail)
- Berichtswesen (Anbindung an BI-Portal survbit analytics)
- Schnittstellen zu vor- / nachgelagerten Kernsystemen
- Feststellung von personenbezogenen Daten (P)
Lösung (Kundenprojekt)
Für die Anforderung wurde gemeinsam mit dem Kunden folgendes umgesetzt:
- Aufbau der zentralen, webbasierten Plattform survbit (survey und analytics)
- Erstellen von mehrsprachigen Fragenkatalogen (auf Basis interner Audits)
- Automatisierte Aufforderung per Mail an die verantwortlichen Personen (Anwendungsbetreuer),
zur Erstellung einer Schutzbedarfsfeststellung ihrer Anwendungen - Benachrichtigungsfunktion an die Revision als Kontrollorgan nach Durchführung der
Schutzbedarfsfestellung einer IDV-Anwendung - KPI-Reporting für die Fachverantwortlichen und deren Vorgesetzte
- Formularanwendung zur Plausibilisierung der Schutzbedarfsfeststellung
- Ausrollen der Entwicklungs-, Schulungs- und Produktionsumgebung
- Personalisierter Zugriff auf die Plattform über Single Sign-on
survbit surveys
Für die Umsetzung der Anforderungen kam unsere Plattform survbit surveys zum Einsatz, das sowohl in der Cloud als auch
im Intranet betrieben werden kann.
Für die Erstellung der Fragenkataloge stehen alle wichtigen Abfragetypen zur Verfügung wie z.B. ein- und mehrzeilige Texteingaben, Radio-Buttons, Mehrfachselektoren, Listen-, UploadFuntionen und vieles mehr.
Kern Merkmale
- Bedienung der Plattform über Browser
- Integriertes Berechtigungskonzept
- Großer Funktionsumfang der Fragetypen
- Verzweigungen und Sprünge möglich
- Mail-Benachrichtigungs-Funktion
- Integriertes BI-Portal
Mehr Informationen
Sie möchten Informationsmaterial erhalten oder einen Demo-Zugang freigeschaltet bekommen?
Bitte füllen Sie das nachfolgende Formular aus: