Einleitung zu VIVA#
VIVA steht für Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und ist als Add-on verfügbar.
VIVA unterstützt als essentieller Teil eines Information Security Management System (ISMS) die Dokumentation aller IT-Sicherheits-relevanten Prozesse. Die Dokumentation gilt als Grundlage für die Erreichung der in Standards wie ISO 27001 oder IT-Grundschutz gesteckten Ziele. Mit Hilfe von VIVA werden sämtliche Daten festgehalten, die für die Vorgehensweise nach IT-Grundschutz und eine Risikoanalyse gefordert sind. Durch die strukturierte, teils automatisierte Aufbereitung der Daten, der kontinuierlichen Qualitätsanalyse sowie umfangreicher Berichterstellung begleitet VIVA die Vorgehensweise von Anfang an.
VIVA integriert sich nahtlos in i-doit pro_. Im Vordergrund steht die sinnvolle Wiederverwendung von Daten, die lediglich an einer Stelle gepflegt und stets aktuell in den Kontext der IT-Sicherheit gesetzt werden. Viele dieser Daten können dabei aus Discovery-/Inventory-Tools und LDAP/AD stammen, womit ein manueller Pflegeaufwand minimiert wird. Ebenso wird die Verwendung der Daten für weitere Bereiche wie Monitoring, Help Desk, Change Management oder Reporting unterstützt. Automatismen und Assistenten erleichtern weitere Arbeitsschritte. Abgerundet wird VIVA durch ein umfangreiches Customizing und die Verwaltung gleich mehrerer IT-Grundschutz-Kataloge, Informationsverbünde und Audits.
Die folgenden Kapitel geben einen ausführlichen Einblick in die Funktionsweise von VIVA.
IT-Grundschutz#
Eine ausführliche Einführung in das Thema IT-Grundschutz bietet die Website vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Dort stehen alle Informationen rund um die BSI-Standards 100-x, die IT-Grundschutz-Kataloge und Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz bereit.
VIVA umfasst alle Themen aus den beiden BSI-Standards 100-2 "IT-Grundschutz-Vorgehensweise" und 100-3 "Risikoanalyse auf Basis von IT-Grundschutz". Welche IT-Grundschutz-Kataloge unterstützt werden, steht im Artikel Kataloge importieren.
An wen sich dieses Dokument richtet#
Der Inhalt dieses Dokuments richtet sich an jene Personen, die in einer Organisation die Sicherheit der IT verantworten und/oder betreuen. In unserer Knowledge Base wird diese Rolle durchgehend Security Manager bezeichnet. Es wird der sichere Umgang mit i-doit vorausgesetzt.
Aufbau dieser Dokumentation#
Damit es leichter fällt, sich in VIVA zurechtzufinden, wird an dieser Stelle der Aufbau der folgenden Kapitel beschrieben. Ebenso wird darauf eingegangen, welche Kapitel in welchem BSI-Standard referenziert werden.
| BSI-Standard | Kapitel |
|---|---|
| 100-2, Kapitel 4.1 Definition des Geltungsbereichs | Informationsverbünde modellieren |
| 100-2, Kapitel 4.2 Strukturanalyse | Zielgruppen anlegen, Zielobjekte zuordnen |
| 100-2, Kapitel 4.3 Schutzbedarfsfeststellung | Schutzbedarfskategorien definieren, Schutzbedarf festlegen |
| 100-2, Kapitel 4.4 Auswahl und Anpassung von Maßnahmen | Bausteine zuordnen, Maßnahmen umsetzen |
| 100-2, Kapitel 4.5 Basis-Sicherheitscheck | Maßnahmen umsetzen |
| 100-2, Kapitel 4.6 Ergänzende Sicherheitsanalyse | Ergänzende Sicherheitsanalyse durchführen |
| 100-2, Kapitel 5.3 Kosten- und Aufwandsschätzung | Maßnahmen umsetzen |
| 100-3, Kapitel 3 Erstellung der Gefährdungsübersicht | Gefährdungen bewerten |
| 100-3, Kapitel 4 Ermittlung zusätzlicher Gefährdungen | Gefährdungen bewerten |
| 100-3, Kapitel 5 Gefährdungsbewertung | Gefährdungen bewerten |