Zum Inhalt

Arbeitsablauf mit VIVA#

Die Möglichkeiten der IT-Dokumentation sind bereits in i-doit vielfältig und lassen sich an die Vorgaben und Bedürfnisse der jeweiligen (Organisations-)Umgebung anpassen. Das Add-on VIVA stellt hier keine Ausnahme dar: Auch wenn die zugrunde liegenden Standards des IT-Grundschutzes viele Vorgaben machen, sind sie an zahlreichen Stellen interpretationsfähig. Dem versucht VIVA gerecht zu werden. Trotz alledem haben sich einige Arbeitsabfolgen in der Praxis etabliert, die in diesem Kapitel näher beschrieben werden. Das Beispiel stellt weder Anspruch auf Vollständigkeit noch Verbindlichkeit. Weitere (Zwischen-)Schritte wie Anpassung der Dokumentation sind wahrscheinlich nötig.

Schrittweiser Arbeitsablauf in Anlehnung an das Wasserfallmodell mit Rückkopplung

Ziel dieses Arbeitsablaufs ist es, eine solide Dokumentationsbasis zu schaffen, um später eine Auditierung und Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz zu unterstützen.

  1. Vorbereitung der VIVA-Installation: In der IT-Dokumentation von i-doit befinden sich Objekte (inklusive Standort- und Softwarezuweisung sowie Portanschlüssen, wenn möglich), die zu Services modelliert sind und vom IT-Grundschutz erfasst werden sollen.
  2. IT-Grundschutz-Kataloge verwalten
    1. IT-Grundschutz-Kataloge EL 15 von 2016 importieren
    2. Bausteine, Maßnahmen und Gefährdungen anpassen (optional)
  3. Informationverbund mit Zielgruppen und -objekten modellieren
    1. Informationsverbund anlegen
    2. IT-Service-Assistenten (Schicht 5 Anwendungen) ausführen; danach:
    3. Anwendungs-Assistent (Schicht 3 IT-Systeme)
    4. IT-System-Assistent (Schicht 2 Infrastruktur)
    5. IT-System-Assistent (Schicht 4 Netze)
  4. Schutzbedarf feststellen
    1. Schutzbedarfskategorien anpassen
    2. Schutzbedarf der Zielgruppen in Schicht 5 Anwendungen feststellen; danach Assistenten ausführen:
    3. Schutzbedarfs-Assistenten (Schicht 3 IT-Systeme)
    4. Schutzbedarfs-Assistenten (Schicht 2 Infrastruktur)
  5. Bausteine zuordnen und Maßnahmen umsetzen
    1. Pro Zielgruppe die nötigen Bausteine zuordnen
    2. Pro Zielgruppe die Umsetzung der Maßnahmen dokumentieren
    3. Prüffragen beantworten
  6. Risikoanalyse durchführen
    1. Ergänzende Sicherheitsanalyse durchführen
    2. Gegebenenfalls Risikoanalyse durchführen
  7. Audit erstellen
    1. Reports überprüfen und gegebenenfalls Schritte 2-5 wiederholen, bis Reports keine unvermeidbar negativen Ergebnisse mehr liefern
    2. Informationen zu Referenenzdokumenten A.0 und A.1 hinterlegen
    3. Audits erstellen
    4. Ausgabe nachbearbeiten