• Keine Ergebnisse gefunden

Vorgehensweise mit VIVA

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Vorgehensweise mit VIVA"

Copied!
7
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 7 Seite )

Volltext

(1)

1.

2.

3.

4.

5.

Vorgehensweise mit VIVA

IT-Grundschutz-Kataloge verwalten

Kataloge importieren

Der erste Schritt hin zur Dokumentation ist der Import der aktuellen IT-Grundschutz-Kataloge. Dazu wird bereits beim ersten Aufruf von VIVA unter Extras aufgefordert. Es stehen verschiedene Kataloge zur Auswahl:

VIVA

Ergänzungslieferung (EL) 15 von 2016 in Deutsch EL 14 von 2014 in Deutsch

EL 13 von 2013 in Deutsch EL 13 von 2013 in Englisch EL 12 von 2011 in Deutsch und EL 11 von 2009 in Deutsch.

Die Kataloge stehen auf der Website des BSI als Download zur Verfügung. Je nach EL sind gegebenenfalls kleinere Zwischenschritte nötig, um die Kataloge in das richtige Dateiformat zu konvertieren.

Für den Import sind Zwischenschritte nötig, weil das vom BSI angebotene Format nicht direkt von VIVA verarbeitet werden kann. Auf der BSI-Website stehen die Kataloge zum Download. Die weiteren Schritte:

Nach dem Download: ZIP-Datei entpacken Selbstextrahierendes Archiv (.exe) entpacken

In Ordner GSHB wechseln; dort ist der Unterordner DE vorhanden Ordner DE in el15de umbenennen

Ordner el15de im ZIP-Format packen

Die ZIP-Datei kann nun von VIVA verarbeitet werden. Im Menüpunkt Kataloge ist der Button Importieren anzuklicken. Es erscheint ein Dialogfeld, in dem die gewünschte EL und die entsprechende ZIP-Datei auszuwählen sind. Bestätigt wird die Auswahl durch Klick auf Import starten. Der Import kann mehrere Minuten in Anspruch nehmen und solte nicht unterbrochen werden.

Nach dem erfolgreichen Import erscheint die EL auf der geladenen Seite und kann verwendet werden. Sollen weitere ELs genutzt werden, sind die letzten Schritte zu wiederholen.

Kataloge anpassen

IT-Grundschutz-Kataloge können individuell angepasst werden. So können neue Bausteine, Gefährdungen und Maßnahmen angelegt, bestehende angepasst oder gelöscht werden.

(2)

1.

2.

3.

4.

5.

Ebenso ist die Zuordnung von Gefährdungen und Maßnahmen zu Bausteinen möglich. Die Angabe einer Qualifizierungsstufe bei einer zugeordneten Maßnahme wird berücksichtigt. Weiterhin können Sie die zu den jeweiligen Maßnahmen passenden Prüffragen einsehen, ergänzen und bearbeiten.

Informationsverbünde modellieren

Unter dem Menüpunkt Informationsverbünde können einer oder mehrere Informationsverbünde angelegt werden. Sie stellen den Ausgangspunkt für die tiefer greifende Dokumentation dar. Beim Anlegen ist darauf zu achten, welche IT-Grundschutz-Kataloge auf den Informationsverbund angewendet werden sollen.

Durch das Anlegen eines neuen Informationsverbunds wird automatisch eine Zielgruppe mit derselben Bezeichnung und passendem Zielobjekt angelegt.

Auf diese Zielgruppe werden die Bausteine der Schicht 1 Übergreifende Aspekte angewendet. Ebenso werden die Schutzbedarfskategorien mit den Beispielen aus dem BSI-Standard 100-2 ausgefüllt.

Zielgruppen anlegen

In Zielgruppen werden sich ähnelnde Zielobjekte zu Gruppen zusammengefasst. Dieser Vorgang gehört zur Strukturanalyse (Siehe BSI-Standard 100-2, Kapitel 4.2.). Zielgruppen erscheinen im Menübaum unterhalb der fünf Schichten eines Informationsverbunds. Jede Zielgruppe wird beim Anlegen zunächst einer der folgenden Schichten zugeordnet:

Übergreifende Aspekte, Infrastruktur,

IT-Systeme, Netze und Anwendungen.

Die Schichtzugehörigkeit kann durch Zuordnen von Bausteinen aus anderen Schichten erweitert werden. Der Informationsverbund selbst ist der 1. Schicht zugeordnet, was automatisch beim Anlegen eines neuen Informationsverbunds geschieht. Eine Ausnahme bildet der Wechsel vom alten Modul (Migration): Dort wird die Schichtzuordnung anhand der zugeordneten Bausteine vorgenommen.

Es sind die Hinweise im BSI-Standard 100-2 zu beachten, falls von den mitgelieferten Katalogen abgewichen wird.

(3)

Zielgruppen der Schichten 4 Netze und 5 Anwendungen verhalten sich unterschiedlich zu denjenigen der übrigen Schichten: Zielgruppen der Schicht 4 enthalten keine Zielobjekte, sondern bestehen aus der Verknüpfung aus zwei Zielgruppen, was im Punkt Kommunikationsverbindung dokumentiert wird.

Anstatt zwei Zielgruppen zu verknüpfen, kann alternativ eine Gruppe mit etwas außerhalb des Informationsverbunds stehendem verknüpft werden.

Beispiel: Die Zielgruppe ist mit dem Internet verknüpft.

Zielgruppen der Schicht 5 werden um die Art der Information, die sie verarbeiten, erweitert. VIVA bringt bereits einige Arten mit, die nachbearbeitet werden können (und auch sollten). Wichtig ist hier die Angabe, ob personenbezogene Daten verarbeitet werden, weil diese Information im weiteren Verlauf immer wieder Verwendung findet. Diese Art ist daher auch nicht entfernbar.

Zielobjekte zuordnen

Innerhalb von Zielgruppen werden Zielobjekte bestimmt. Eine Ausnahme stellen die Zielgruppen der Schicht 4 Netze dar. Dies ist Teil der Strukturanalyse.

VIVA ist an dieser Stelle eng mit den CMDB-Daten aus i-doit verzahnt. Über den aus i-doit bekannten Objekt-Browser werden neue Zielobjekte ausgewählt.

(4)

Die Verzahnung mit den CMDB-Daten spiegelt sich an weiteren Stellen wieder. Überall dort, wo es sinnvoll erscheint, können beispielsweise Kontakte (Personen, Personengruppen, Organisationen) verknüpft werden.

Zielgruppenvererbung

Zielobjekte erben automatisch die Eigenschaften ihrer Zielgruppe, sodass keine weiteren Anpassungen nötig sind. Soweit die Theorie. Die Praxis hat jedoch gezeigt, dass einige Eigenschaften nicht immer synchron zu allen Zielobjekten gleichzeitig passen.

Das betrifft vor allem die Umsetzung von Maßnahmen. Daher können innerhalb eines Zielobjekts einige wenige von der Zielgruppe abweichende Eigenschaften festgehalten werden, um beispielsweise das Datum der Umsetzung, das gegebenenfalls differieren darf, zu dokumentieren.

Schutzbedarfskategorien definieren

Unterhalb eines Informationsverbunds erscheint im Menübaum der Punkt Schutzbedarfskategorien. Laut BSI-Standard 100-2, Kapitel 4.3.1 werden an dieser Stelle die Schadensszenarien mit Hilfe der Schutzbedarfskategorien definiert. Beim Anlegen eines Informationsverbunds werden die Beispiele, die im Standard genannt werden, übernommen und sollten an die eigene Organisation angepasst werden.

Schutzbedarf festlegen

Als Teil der Schutzbedarfsfeststellung wird der Schutzbedarf der einzelnen Zielgruppen festgestellt. (Siehe BSI-Standard 100-2, Kapitel 4.3.2 bis 4.3.5.) Daher sind die entsprechenden Formularfelder innerhalb einer Zielgruppe zu finden.

Die Referenzdokumente beachten die Vererbung nicht, sondern ziehen die Informationen aus den Zielgruppen und nicht aus den Zielobjekten.

(5)

Eine Besonderheit gilt in der Schicht 4 Netze: Der Schutzbedarf der Kommunikationsverbindungen richtet sich nach der zugewiesenen Kritikalität.

Bausteine zuordnen

Den Zielgruppen werden Bausteine aus den IT-Grundschutz-Katalogen zugeordnet. (Siehe BSI-Standard 100-2, Kapitel 4.4.) Bausteine enthalten Gefährdungen und Maßnahmen inklusive derer Qualifizierungsstufen, die VIVA automatisch bei einer Bausteinzuordnung berücksichtigt.

Werden Bausteine aus einer anderen Schicht als der der Zielgruppe zugeordneten Schicht ausgewählt, führt dies dazu, dass diese Zielgruppe auch dieser anderen Schicht zugeordnet wird. Im Menübaum taucht diese Gruppe somit in mehreren Schichten gleichzeitig auf.

(6)

Beim Anlegen eines neuen Informationsverbunds werden der automatisch miterstellten Zielgruppe sämtliche Bausteine der Schicht 1 Übergreifende zugeordnet.

Aspekte

Maßnahmen umsetzen

Maßnahmen sind per Definition darauf ausgerichtet, umgesetzt zu werden, um identifizierten Gefährdungen entgegen zu wirken. Anhand der Qualifizierungsstufe, die jede verknüpfte Maßnahme erhält, ist eine Priorisierung möglich. (Siehe BSI-Standard 100-2, Kapitel 4.4 und 4.5.)

Bei einem Klick auf eine verknüpfte Maßnahme unterhalb von einem einer Zielgruppe zugeordneten Baustein, kann der Status ihrer Umsetzung im Detail dokumentiert werden.

Prüffragen beantworten

In der Regel gehören zu Maßnahmen eine Reihe von Prüffragen, die als Checkliste zum Abhaken zu verstehen sind. Alle Fragen können entweder mit "ja"

oder mit "nein" beantwortet werden.

Die in den Katalogen mitgelieferten Prüffragen werden bereits beim Import berücksichtigt und werden innerhalb der Maßnahmen angezeigt. Zudem können diese bearbeitet, gelöscht oder durch neue ergänzt werden.

(7)

Die Checklisten, die sich aus den Prüffragen zusammensetzen, sind innerhalb von Zielgruppen zugeordneten Maßnahmen verfügbar.

Ergänzende Sicherheitsanalyse durchführen

Die ergänzende Sicherheitsanalyse (Siehe BSI-Standard 100-2, Kapitel 4.6.) wird für jede Zielgruppe durchgeführt. Ob dieser Schritt überhaupt nötig ist, erkennt VIVA selbstständig anhand der Daten aus der Schutzbedarfsfeststellung (der Kommunikationsverbindungen) und der Angabe, ob über diese Angaben hinaus eine ergänzende Sicherheitsanalyse nötig ist.

Referenzen

Jetzt herunterladen ( PDF - 7 Seite - 436.13 KB )

ÄHNLICHE DOKUMENTE

DIE G SCHICHT VOM GUGLHUPF

Das bayrische Café im Herzen Münchens Guglhupf Passage am Marienplatz. Kaufingerstraße 5 80331 München Telefon 089 / 260

Scheerfestigkeit in der neutralen Schicht.

Da in einem gebogenen Stabe auf der Zugseite lauter Zug- kräfte, auf der Druckseite lauter Druckkräfte zwischen den Faser- molekülen wirken, erfährt die neutrale Schicht

. . . . . . Tagesdämpfung in der D-Schicht TI235

"Während der Tagesstunden können nur relativ geringe Entfernungen überbrückt werden, weil die Wellen von der D-Schicht stark absorbiert werden.. Im Winter sind die

. . . . . . Tagesdämpfung in der D-Schicht TI237

Diese Dämpfung stellt einen Verbrauch von Wellenenergie in der

Schicht-, Ketten- und Leiterstrukturen

Abschließend noch einige Bemerkungen zur Kon- formation von L 2a und L 2b : L 2b hat eine sattelf¨ormige Struktur mit einem Diederwinkel von 68.9 ◦ zwischen den Phenylringen.

Gleichzeitigen Bestimmung von Schicht- dicke und Schallgeschwindigkeit

Die unterschiedlichen gemessenen Schall- laufzeiten zwischen den Wandlern und den Grenzfl¨ achen der Probe (Oberfl¨ ache und R¨ uckwand) sowie die bekann- te Schallgeschwindigkeit

Anzunehmen ist, dass die Schicht an beiden Körpern haftet (Abb)

Eine Möglichkeit ist, dass an der festen Ober- fläche nicht mehr die Haftbedingung sondern eine Gleitbedin- gung angenommen wird.. Das bedeutet, dass die Flüssigkeit an der Grenze

mit strukturierter (Ti, Nb)ON-Schicht

Dies wird verständlich, wenn berücksichtigt wird, dass die kritische Spannung für die Rissausbreitung in einer harten Schicht auf einem im Vergleich dazu weichen Substrat von