Aller au contenu

Flux de travail avec VIVA#

Les options de documentation informatique sont déjà diverses dans i-doit et peuvent être adaptées aux spécifications et aux besoins de l'environnement (organisationnel) respectif. L'add-on VIVA ne fait pas exception : même si les normes sous-jacentes d'IT-Grundschutz fournissent de nombreuses spécifications, elles sont ouvertes à l'interprétation à de nombreux endroits. VIVA tente de rendre justice à cela. Malgré tout cela, certains séquences de travail se sont établies dans la pratique et sont décrites plus en détail dans ce chapitre. L'exemple ne prétend pas être complet ou contraignant. D'autres étapes (intermédiaires) telles que l'adaptation de la documentation sont probablement nécessaires.

L'objectif de ce flux de travail est de créer une base de documentation solide pour soutenir ultérieurement l'audit et la certification selon ISO 27001 basée sur IT-Grundschutz.

  1. Préparation de l'installation VIVA : La documentation informatique d'i-doit contient des objets (y compris l'emplacement et l'attribution de logiciels ainsi que les connexions de port, si possible) qui sont modélisés en tant que services et doivent être couverts par IT-Grundschutz.
  2. Gérer les catalogues IT-Grundschutz
    1. Importer les catalogues IT-Grundschutz EL 15 de 2016
    2. Adapter les blocs de construction, les mesures et les dangers (facultatif)
  3. Modéliser la fédération d'informations avec des groupes cibles et des objets
    1. Créer une fédération d'informations
    2. Exécuter l'assistant de service informatique (applications de couche 5) ; puis :
    3. Assistant d'application (systèmes informatiques de couche 3)
    4. Assistant de système informatique (infrastructure de couche 2)
    5. Assistant de système informatique (réseaux de couche 4)
  4. Déterminer les exigences de protection
    1. Adapter les catégories d'exigences de protection
    2. Déterminer les besoins de protection des groupes cibles dans la couche 5 Applications ; puis exécuter les assistants :
    3. Assistant des besoins de protection (systèmes informatiques de couche 3)
    4. Assistants d'exigences de protection (infrastructure de couche 2)
  5. Attribuer des modules et mettre en œuvre des mesures
    1. Attribuer les modules nécessaires à chaque groupe cible
    2. Documenter la mise en œuvre des mesures pour chaque groupe cible
    3. Répondre aux questions de test
  6. Effectuer une analyse des risques
    1. Effectuer une analyse de sécurité supplémentaire
    2. Effectuer une analyse des risques si nécessaire
  7. Créer un audit
    1. Examiner les rapports et répéter les étapes 2-5, si nécessaire, jusqu'à ce que les rapports ne fournissent plus de résultats négatifs inévitables
    2. Enregistrer les informations sur les documents de référence A.0 et A.1
    3. Créer des audits
    4. Post-traiter la sortie