1.
2.
3.
4.
5.
Vorgehensweise mit VIVA
IT-Grundschutz-Kataloge verwalten
Kataloge importieren
Der erste Schritt hin zur Dokumentation ist der Import der aktuellen IT-Grundschutz-Kataloge. Dazu wird bereits beim ersten Aufruf von VIVA unter Extras aufgefordert. Es stehen verschiedene Kataloge zur Auswahl:
VIVA
Ergänzungslieferung (EL) 15 von 2016 in Deutsch EL 14 von 2014 in Deutsch
EL 13 von 2013 in Deutsch EL 13 von 2013 in Englisch EL 12 von 2011 in Deutsch und EL 11 von 2009 in Deutsch.
Die Kataloge stehen auf der Website des BSI als Download zur Verfügung. Je nach EL sind gegebenenfalls kleinere Zwischenschritte nötig, um die Kataloge in das richtige Dateiformat zu konvertieren.
Für den Import sind Zwischenschritte nötig, weil das vom BSI angebotene Format nicht direkt von VIVA verarbeitet werden kann. Auf der BSI-Website stehen die Kataloge zum Download. Die weiteren Schritte:
Nach dem Download: ZIP-Datei entpacken Selbstextrahierendes Archiv (.exe) entpacken
In Ordner GSHB wechseln; dort ist der Unterordner DE vorhanden Ordner DE in el15de umbenennen
Ordner el15de im ZIP-Format packen
Die ZIP-Datei kann nun von VIVA verarbeitet werden. Im Menüpunkt Kataloge ist der Button Importieren anzuklicken. Es erscheint ein Dialogfeld, in dem die gewünschte EL und die entsprechende ZIP-Datei auszuwählen sind. Bestätigt wird die Auswahl durch Klick auf Import starten. Der Import kann mehrere Minuten in Anspruch nehmen und solte nicht unterbrochen werden.
Nach dem erfolgreichen Import erscheint die EL auf der geladenen Seite und kann verwendet werden. Sollen weitere ELs genutzt werden, sind die letzten Schritte zu wiederholen.
Kataloge anpassen
IT-Grundschutz-Kataloge können individuell angepasst werden. So können neue Bausteine, Gefährdungen und Maßnahmen angelegt, bestehende angepasst oder gelöscht werden.
1.
2.
3.
4.
5.
Ebenso ist die Zuordnung von Gefährdungen und Maßnahmen zu Bausteinen möglich. Die Angabe einer Qualifizierungsstufe bei einer zugeordneten Maßnahme wird berücksichtigt. Weiterhin können Sie die zu den jeweiligen Maßnahmen passenden Prüffragen einsehen, ergänzen und bearbeiten.
Informationsverbünde modellieren
Unter dem Menüpunkt Informationsverbünde können einer oder mehrere Informationsverbünde angelegt werden. Sie stellen den Ausgangspunkt für die tiefer greifende Dokumentation dar. Beim Anlegen ist darauf zu achten, welche IT-Grundschutz-Kataloge auf den Informationsverbund angewendet werden sollen.
Durch das Anlegen eines neuen Informationsverbunds wird automatisch eine Zielgruppe mit derselben Bezeichnung und passendem Zielobjekt angelegt.
Auf diese Zielgruppe werden die Bausteine der Schicht 1 Übergreifende Aspekte angewendet. Ebenso werden die Schutzbedarfskategorien mit den Beispielen aus dem BSI-Standard 100-2 ausgefüllt.
Zielgruppen anlegen
In Zielgruppen werden sich ähnelnde Zielobjekte zu Gruppen zusammengefasst. Dieser Vorgang gehört zur Strukturanalyse (Siehe BSI-Standard 100-2, Kapitel 4.2.). Zielgruppen erscheinen im Menübaum unterhalb der fünf Schichten eines Informationsverbunds. Jede Zielgruppe wird beim Anlegen zunächst einer der folgenden Schichten zugeordnet:
Übergreifende Aspekte, Infrastruktur,
IT-Systeme, Netze und Anwendungen.
Die Schichtzugehörigkeit kann durch Zuordnen von Bausteinen aus anderen Schichten erweitert werden. Der Informationsverbund selbst ist der 1. Schicht zugeordnet, was automatisch beim Anlegen eines neuen Informationsverbunds geschieht. Eine Ausnahme bildet der Wechsel vom alten Modul (Migration): Dort wird die Schichtzuordnung anhand der zugeordneten Bausteine vorgenommen.
Es sind die Hinweise im BSI-Standard 100-2 zu beachten, falls von den mitgelieferten Katalogen abgewichen wird.
Zielgruppen der Schichten 4 Netze und 5 Anwendungen verhalten sich unterschiedlich zu denjenigen der übrigen Schichten: Zielgruppen der Schicht 4 enthalten keine Zielobjekte, sondern bestehen aus der Verknüpfung aus zwei Zielgruppen, was im Punkt Kommunikationsverbindung dokumentiert wird.
Anstatt zwei Zielgruppen zu verknüpfen, kann alternativ eine Gruppe mit etwas außerhalb des Informationsverbunds stehendem verknüpft werden.
Beispiel: Die Zielgruppe ist mit dem Internet verknüpft.
Zielgruppen der Schicht 5 werden um die Art der Information, die sie verarbeiten, erweitert. VIVA bringt bereits einige Arten mit, die nachbearbeitet werden können (und auch sollten). Wichtig ist hier die Angabe, ob personenbezogene Daten verarbeitet werden, weil diese Information im weiteren Verlauf immer wieder Verwendung findet. Diese Art ist daher auch nicht entfernbar.
Zielobjekte zuordnen
Innerhalb von Zielgruppen werden Zielobjekte bestimmt. Eine Ausnahme stellen die Zielgruppen der Schicht 4 Netze dar. Dies ist Teil der Strukturanalyse.
VIVA ist an dieser Stelle eng mit den CMDB-Daten aus i-doit verzahnt. Über den aus i-doit bekannten Objekt-Browser werden neue Zielobjekte ausgewählt.
Die Verzahnung mit den CMDB-Daten spiegelt sich an weiteren Stellen wieder. Überall dort, wo es sinnvoll erscheint, können beispielsweise Kontakte (Personen, Personengruppen, Organisationen) verknüpft werden.
Zielgruppenvererbung
Zielobjekte erben automatisch die Eigenschaften ihrer Zielgruppe, sodass keine weiteren Anpassungen nötig sind. Soweit die Theorie. Die Praxis hat jedoch gezeigt, dass einige Eigenschaften nicht immer synchron zu allen Zielobjekten gleichzeitig passen.
Das betrifft vor allem die Umsetzung von Maßnahmen. Daher können innerhalb eines Zielobjekts einige wenige von der Zielgruppe abweichende Eigenschaften festgehalten werden, um beispielsweise das Datum der Umsetzung, das gegebenenfalls differieren darf, zu dokumentieren.
Schutzbedarfskategorien definieren
Unterhalb eines Informationsverbunds erscheint im Menübaum der Punkt Schutzbedarfskategorien. Laut BSI-Standard 100-2, Kapitel 4.3.1 werden an dieser Stelle die Schadensszenarien mit Hilfe der Schutzbedarfskategorien definiert. Beim Anlegen eines Informationsverbunds werden die Beispiele, die im Standard genannt werden, übernommen und sollten an die eigene Organisation angepasst werden.
Schutzbedarf festlegen
Als Teil der Schutzbedarfsfeststellung wird der Schutzbedarf der einzelnen Zielgruppen festgestellt. (Siehe BSI-Standard 100-2, Kapitel 4.3.2 bis 4.3.5.) Daher sind die entsprechenden Formularfelder innerhalb einer Zielgruppe zu finden.
Die Referenzdokumente beachten die Vererbung nicht, sondern ziehen die Informationen aus den Zielgruppen und nicht aus den Zielobjekten.
Eine Besonderheit gilt in der Schicht 4 Netze: Der Schutzbedarf der Kommunikationsverbindungen richtet sich nach der zugewiesenen Kritikalität.
Bausteine zuordnen
Den Zielgruppen werden Bausteine aus den IT-Grundschutz-Katalogen zugeordnet. (Siehe BSI-Standard 100-2, Kapitel 4.4.) Bausteine enthalten Gefährdungen und Maßnahmen inklusive derer Qualifizierungsstufen, die VIVA automatisch bei einer Bausteinzuordnung berücksichtigt.
Werden Bausteine aus einer anderen Schicht als der der Zielgruppe zugeordneten Schicht ausgewählt, führt dies dazu, dass diese Zielgruppe auch dieser anderen Schicht zugeordnet wird. Im Menübaum taucht diese Gruppe somit in mehreren Schichten gleichzeitig auf.
Beim Anlegen eines neuen Informationsverbunds werden der automatisch miterstellten Zielgruppe sämtliche Bausteine der Schicht 1 Übergreifende zugeordnet.
Aspekte
Maßnahmen umsetzen
Maßnahmen sind per Definition darauf ausgerichtet, umgesetzt zu werden, um identifizierten Gefährdungen entgegen zu wirken. Anhand der Qualifizierungsstufe, die jede verknüpfte Maßnahme erhält, ist eine Priorisierung möglich. (Siehe BSI-Standard 100-2, Kapitel 4.4 und 4.5.)
Bei einem Klick auf eine verknüpfte Maßnahme unterhalb von einem einer Zielgruppe zugeordneten Baustein, kann der Status ihrer Umsetzung im Detail dokumentiert werden.
Prüffragen beantworten
In der Regel gehören zu Maßnahmen eine Reihe von Prüffragen, die als Checkliste zum Abhaken zu verstehen sind. Alle Fragen können entweder mit "ja"
oder mit "nein" beantwortet werden.
Die in den Katalogen mitgelieferten Prüffragen werden bereits beim Import berücksichtigt und werden innerhalb der Maßnahmen angezeigt. Zudem können diese bearbeitet, gelöscht oder durch neue ergänzt werden.
Die Checklisten, die sich aus den Prüffragen zusammensetzen, sind innerhalb von Zielgruppen zugeordneten Maßnahmen verfügbar.
Ergänzende Sicherheitsanalyse durchführen
Die ergänzende Sicherheitsanalyse (Siehe BSI-Standard 100-2, Kapitel 4.6.) wird für jede Zielgruppe durchgeführt. Ob dieser Schritt überhaupt nötig ist, erkennt VIVA selbstständig anhand der Daten aus der Schutzbedarfsfeststellung (der Kommunikationsverbindungen) und der Angabe, ob über diese Angaben hinaus eine ergänzende Sicherheitsanalyse nötig ist.