Schritt 7 » IT-Struktur analysieren

Assets werden in xmera Omnia als Objekte erfasst. Diese Objekte können hierarchisch strukturiert werden. So können über den Hierarchiebaum beispielsweise die Aufbauorganisation und damit Verantwortlichkeiten der Organisation abgebildet werden. Alternativ könnten Assets mit gleichem Schutzbedarf analog zu räumlichen Sicherheitszonen im Hierarchiebaum zusammengefasst werden.

Den Assets können Mitarbeiter zugeordnet werden. Jeder Mitarbeiter kann in der für ein spezifisches Asset passenden Rolle hinzugefügt werden. Dabei stehen die Rollen zur Verfügung, die über das Berechtigungsmanagement vom Administrator angelegt wurden. In der Demo sind das beispielsweise der Objektverantwortliche, Aufgabenverantwortliche, Risikoverantwortliche oder Beobachter.

Neben den hierarchischen Strukturen können auch logische Verknüpfungen (Zusammenhänge zwischen den Objekten) abgebildet werden.

Objektverknüpfungen bilden die Basis für die Vererbung des Schutzbedarfs, der in der Schutzbedarfsanalyse auf Ebene der Informationsobjekte oder Geschäftsprozesse ermittelt wird.

Über die logischen Strukturen lassen sich so Abhängigkeitsketten von der Information zu all den für die Informationsverarbeitung notwendigen Assets (Objekten) abbilden.

Der Schutzbedarf der sekundären Assets, wie z.B. Anwendungen, Desktop-PC’s, Server oder auch Serverräume und Gebäude, ist abhängig von den in ihnen verarbeiteten Informationen.

Über die Struktur der logischen Verknüpfungen im Assetregister lassen sich die Schutzbedarfe der primären Assets (Prozesse und Informationen) auf die sekundären Assets übertragen. Somit haben die Verantwortlichen dieser Assets jederzeit einen Überblick über den Schutzbedarf, der in ihnen verarbeiteten Informationen.

Der Schutzbedarf des Assets wird mit dem Maximalprinzip ermittelt und kann im Rahmen der Schutzbedarfsfeststellung der Assets übernommen werden.

Wenn wegen dem Kumulations- oder Verteilungseffekt vom sonst üblichen Maximumprinzip vom automatisch übertragenen Schutzbedarf abgewichen werden muss, dann ist das in xmera Omnia an jeder Stelle in der Vererbungskette möglich.

Die Maßnahmenzuordnung kann auf drei Wegen erfolgen:

In der Demo haben wir die Synchronisation vorbereitet.

Die Zuordnung von umzusetzenden Sicherheitsanforderungen und Maßnahmen zu den betroffenen Objekten erfolgt über eine Synchronisationsfunktion. Dazu werden ihnen vorbereitend die jeweils relevanten Objektklassen (Zielobjekte) zugeordnet.

In einem weiteren Schritt können Synchronisationsobjekte definiert werden. Um nicht für jedes Objekt eine eigene (zu bearbeitende) Maßnahmenliste zu erzeugen, kann ein Strukturobjekt im Hierarchiebaum gewählt werden, das alle unterlagerten Objekte zusammenfasst.

Bei der Synchronisation wird analysiert, welche Objektklasse(n) dem vorliegenden Objekt zugeordnet sind (eigene Objektklasse und ggf. hierarchisch unterlagerte Objektklassen). Anhand dieser Auswertung werden die Maßnahmen des zentralen Katalogs entweder auf Ebene des Strukturobjekts oder auf Einzelobjektebene synchronisiert.