Erstellen einer Wissensdatenbank/de: Unterschied zwischen den Versionen

Von TogetherSecure werden Wissensdatenbanken erstellt und ausgeliefert. Aber auch jeder Risikomanagement Expert ist in der Lage, eine Wissensdatenbank zu erstellen bzw. bestehende zu modifizieren. Die Wissensdatenbank kann also von jedem Expert erstellt und überarbeitet werden.

Dies bedeutet, dass man die Themen anlegen und auch hierarchisch reihen kann. Den Themen werden dann Prüffragen zugeteilt, indem sie zum Thema angelegt werden oder aus dem vorhandenen Pool der Prüffragen verknüpft werden. Zu den Prüffragen können im nächsten Schritt Bedrohungen, Begründungsvorlagen, Maßnahmen und/oder Kontrollen neu angelegt oder aus bestehenden zugeteilt werden. Werden beispielsweise schon Bedrohungen und Maßnahmen/Kontrollen mitgeliefert, dann ist das (wie im BSI IT-Grundschutz vorgesehen) so zu sehen, dass für die angebotenen Gefährdungen bereits adäquate Maßnahmen bzw. Kontrollen überlegt wurden. Dem User ist aber ans Herz zu legen, weitere Gefährdungen in der eigenen Konstellation zu überdenken und ggf. zusätzliche Maßnahmen und/oder Kontrollen, zur Behandlung dieser weiteren Gefährdungen zu erfassen.

Um eine Wissensdatenbank zu erstellen oder zu bearbeiten müssen Sie zum Menüpunkt "Administration → Wissensdatenbanken" navigieren.

In diesem Reiter werden alle Wissensdatenbanken angezeigt egal ob veröffentlicht oder nicht. Nur veröffentlichte Wissensdatenbanken können für Überprüfungen verwendet werden. Veröffentlichte Wissensdatenbanken sind durch ein grünes Häkchen gekennzeichnet. Gibt es von einer Wissensdatenbank mehrere Versionen kann eine als bevorzugt deklariert werden (siehe bearbeiten). Dies wird durch das rote Herz erkennbar gemacht.

Erstellen:

• Zum Erstellen einer neuen WDB auf den "neue Wissensdatenbank erstellen" Button klicken. Im Anschluss müssen Sie Kopfdaten eintragen, Themen erstellen und diesen Prüffragen zuteilen. Dann werden den Prüffragen Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen zugeteilt.
  

Bearbeiten:

• Zum Bearbeiten einer WDB müssen Sie auf die gewünschte WDB klicken. Veröffentlichte Wissensdatenbanken sind schreibgeschützt und können deshalb nicht mehr verändert werden. Wurde eine WDB bereits veröffentlicht, müssen Sie, um die WDB zu bearbeiten, eine Nachfolgeversion oder eine Benutzeradaptionen (von Hersteller-WDB) erstellen. Sie können in dieser Maske auch, falls von der WDB mehrere Versionen existieren, festlegen, ob diese Version die bevorzugte Version ist.
  
• Die Nachfolge Version ist unveröffentlicht und kann daher bearbeitet werden.

In den Kopfdaten sollten Sie kurz den Zweck der Wissensdatenbank beschreiben. Weiters müssen Sie, je nachdem ob es sich um eine eigens kreierte oder eine Wissensdatenbank nach Norm handelt, den Typ dementsprechend einstellen, den aktuellen Stand angeben und den Hersteller eintragen (z.B. Benutzer oder Firma). Achtung: nur WDBs vom Typ Hersteller oder Standard/Norm können exportiert werden.

Typ Hersteller und Standard oder Norm

Um WDBs vom Typ Hersteller oder Standard/Norm zu erstellen, müssen Sie im Besitz einer Hersteller Lizenz sein! Diese WDBs sind auch die einzigen, welche exportiert werden können.

In selbst erstellten Wissensdatenbanken können Sie anhand der Checkboxen entscheiden, ob die Kurzform des Copyrights im Überprüfungsassistenten und bei der Prüffrage in Berichten angezeigt/angedruckt werden soll.

In diesem Reiter werden alle Themen, die in einer WDB enthalten sind, hierarchisch aufgelistet. Themen erfüllen den Zweck, eine Wissensdatenbank sinnvoll zu strukturieren.

Um ein neues Thema zu erstellen, müssen Sie auf die "Themen" Maske navigieren und auf "neues Thema erstellen" klicken. Dann ist die angezeigte Maske auszufüllen.

Gliederung und Titel: Hier legen Sie die Gliederung und den Titel fest. Als Gliederung sollten Sie etwas nehmen, das bei der Strukturierung der WDB Sinn ergibt, z.B. 1, 1.1, 1.2, etc. Der Titel sollte aussagekräftig sein, sodass man sofort weiß, welche Frage in diesem Thema behandelt wird. Hinweis: Die Reihung der Themen erfolgt automatisch alphabetisch bzw. aufsteigend nach Nummerierung. Bei einer größeren Anzahl numerisch bezeichneter Themen empfiehlt sich eine führende Null, damit die Reihenfolge der Erwartung entspricht (d.h. 01, 02, 03 ... 10, 11 etc.).

Beschreibung: Hier sollten Sie beschreiben, welchen Zweck das Thema erfüllt. Dieses Textfeld unterstützt HTML Texte.

Nachweisdokumente: Hier können Sie Referenzen oder Links auf Dokumente hinterlegen, die für die Auditvorbereitung hinsichtlich dieses Themas relevant sind. Wird das Thema in einer Überprüfung nach Wissensdatenbank verwendet, werden die Nachweisdokumente im Überprüfungsassistenten angezeigt. Die Nachweisdokumente werden auch beim Prüfobjekt im jeweiligen Bericht zu Audit oder Überprüfung angegeben.

Übergeordnetes Thema: Handelt es sich bei dem Thema um ein untergeordnetes, müssen Sie hier das übergeordnete Thema angeben, damit die Strukturierung der WDB richtig ist.

Stand: Beim Stand sollten Sie das Datum der letzten Änderung eintragen.

Haben sie ein Thema erstellt, müssen Sie diesem noch Prüffragen zuweisen. Dafür können sie dem Thema bereits existierende Prüffragen zuordnen oder neue Prüffragen anlegen. Wollen Sie eine hierarchische Struktur der Prüffragen, müssen Sie Unterfragen konfigurieren. Haben Sie eine Prüffrage zugeordnet, sollten Sie dieser auch noch Maßnahmen, Kontrollen und Bedrohungen zuordnen.

Normalerweise werden die Prüffragen nach der Sortierreihenfolge sortiert (ausgeblendete Spalte). Das ist auch die Reihenfolge wie sie dann in Abweichungsanalysen angeführt werden. Die Pfeile neben dem Plus Button können verwendet werden um die Sortierreihenfolge der Prüffragen anzupassen.

Um Prüffragen hierarchisch zu gliedern, müssen Sie auf die Prüffrage, welche untergeordnet werden soll, doppelklicken und die übergeordnete Strukturfrage auswählen (es wird nur eine Ebene unterstützt, d.h. Unterfragen können keine weiteren Unterfragen haben). Anschließend können Sie, je nachdem wie die Strukturfrage beantwortet wird, auswählen, wie sich die untergeordnete Frage verhalten soll.

In Berichten werden Strukturfragen kursiv dargestellt und ihre dazugehörigen untergeordneten Fragen sind darunter eingerückt.

Maßnahmen und Kontrollen, die einer Frage zugeordnet sind, werden bei der Risikobehandlung vorgeschlagen, wenn diese bei einer Überprüfung eine Abweichung aufweisen. Begründungsvorlagen können als Begründung für eine Antwort verwendet werden. Werden Bedrohungen zugeteilt, wird diese Prüffrage unter diesen Bedrohungen für Analysezwecke gelistet.

zuordnen oder neu erstellen:

• Die Masken zum Zuordnen von existierenden Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen sind bis auf den Inhalt ident mit der Maske zum Zuordnen von Prüffragen.
• Zum Erstellen siehe Maßnahme erstellen, Kontrolle erstellen, Begründungsvorlage erstellen und Bedrohung erstellen.

bearbeiten und Zuordnung aufheben:

• Doppelklicken Sie, wie in der oben gezeigten Maske, auf ein Element, wird die Bearbeiten Maske des jeweiligen Elements aufgerufen und Sie können die Eigenschaften dieses Elements bearbeiten. Ebenso können Sie in dieser Maske die Zuordnung zur Prüffrage aufheben.

In diesem Reiter werden alle Prüffragen, welche in der WDB existieren, aufgelistet. Sie haben in diesem Reiter aber keine Hierarchie, diese existiert nur bei den Themen. Dieser Reiter bietet auch die Option, neue Prüffragen zu erstellen.

Um eine Prüffrage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Prüffrage erstellen" Button klicken. Um eine Prüffrage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Prüffrage doppelklicken. Anschließend kann die Prüffrage über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol). Das Verhalten von Unterfragen ist nur bei den Themen änderbar.

Eigenschaften:

• Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden, z.B. Abkürzung des Themas + laufende Nummer (DSO_01.00). Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Frage geht.

• Fragestellung: Hier sollten Sie eine klar formulierte Frage stellen.

• Beschreibung: Hier sollten Sie, falls nötig, die Frage genauer beschreiben, d.h. beispielsweise erklären, welche Rahmenbedingungen mindestens erfüllt sein müssen, damit eine Frage als positiv erfüllt zu sehen ist.

• Hinweis für Prüfer: Hier können Informationen für den Prüfer hinterlegt werden. Dabei könnte es sich beispielsweise um Links zu Dokumenten, mit denen die Ausarbeitung verglichen werden soll, oder eine Checkliste mit zu überprüfenden Schritten handeln. Diese Information wird nur bei Abweichungsanalysen angezeigt, welche entweder unter "Risikomanagement → Schwachstellen" oder aus einem Audit heraus geöffnet werden. (Sie wird nicht angezeigt, wenn die Abweichungsanalysen im Kontext von "Meine Aufgaben" geöffnet wird.)

• Art der Frage: Hier müssen Sie auswählen, ob es sich bei einer Frage um eine Technikfrage, eine Prozessfrage oder eine Informationserhebung handelt. Technikfragen können mit Ja, Nein oder Teilweise beantwortet werden und Prozessfragen mit Reifegraden.

Hinweis: Informationserhebungen gelten in Überprüfungen als beantwortet, wenn der Kommentar ausgefüllt und/oder mindestens eine Datei als Evidenz hochgeladen wurde.

• Antwortmöglichkeiten und Entbehrlich: Mit dieser Option können Sie die Antwortmöglichkeiten der Frage begrenzen. Dies ist nur bei Technikfragen erlaubt. Die Option "Entbehrlich" bestimmt, ob eine Frage beantwortet werden muss oder nicht. Zu beachten ist dabei, dass, falls eine Strukturfrage als Entbehrlich gekennzeichnet ist, sich das auf deren Unterfragen auswirken kann, da bei Unterfragen das Verhalten bei einer entbehrlichen Strukturfrage eingestellt werden kann. Informationserhebungen werden keiner Bewertung unterzogen, können aber als Entbehrlich markiert werden.

• Zugewiesene Schutzziele und Gewichtungen (nicht bei Informationserhebungen):
  

Hier sollten Sie auswählen, welche Schutzziele betroffen sind, wenn bei der Frage eine Abweichung auftritt.
Beispiel:

Prüffrage zur Serverraumsicherheit

• Wurde die Türe mit einem Sicherheitsschloss ausgestattet?

Wird diese Frage mit Nein beantwortet, können große Risiken im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch und Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

• Norm-Mapping: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

• Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• Notizen des Autors: Durch Klicken auf "Notiz hinzufügen" kann der Autor Notizen für sich selbst erfassen. Er könnte z.B. TODOs oder Links auf externe Quellen erfassen. Diese Information ist nur hier für den Bearbeiter der WDB ersichtlich. Sie hat keinerlei Auswirkungen auf Überprüfungen und ist rein redaktioneller Natur. Sie wird auch nicht exportiert, wenn die WDB exportiert wird, oder importiert, falls eine WDB importiert wird.

• ID in Drittsystemen: Durch diese ID kann die Prüffrage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Prüffrage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Prüffrage eigentlich aus einem Drittsystem stammt, aber die Prüffrage vor einem Import bereits manuell angelegt wurde und die Prüffrage in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Maßnahmen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Maßnahmen zu erstellen.

Um eine Maßnahme zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Maßnahme erstellen" Button klicken. Um eine Maßnahme zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Maßnahme doppelklicken. Anschließend kann die Maßnahme über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

Eigenschaften:

• Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Maßnahme geht.

• Beschreibung: Hier sollten Sie die Maßnahme genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Maßnahme genau zu erledigen ist.

• Norm-Mapping: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

• Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen: Durch diese ID kann die Maßnahme durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Maßnahme des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Maßnahme eigentlich aus einem Drittsystem stammt, aber die Maßnahme vor einem Import bereits manuell angelegt wurde und die Maßnahme in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Kontrollen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Kontrollen zu erstellen.

Um eine Kontrolle zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Kontrolle erstellen" Button klicken. Um eine Kontrolle zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Kontrolle Doppelklicken. Anschließend kann die Kontrolle über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

Eigenschaften:

• Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein damit klar ist, was die Kontrolle kontrolliert.

• Beschreibung: Hier sollten Sie die Kontrolle genauer beschreiben, d.h. erklären Sie, was bei der Durchführung der Kontrolle genau zu erledigen ist.

• Wiederkehrende Kontrolle: Hier kann ein Intervall festgelegt werden, welches dafür sorgt, dass diese Kontrolle alle x Jahre/Monate/etc. durchgeführt werden soll.

• Norm-Mapping: Beschäftigt sich die Kontrolle mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Dadurch lässt sich ein Managementsystem auf Compliance Deckung analysieren.

• Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen: Durch diese ID kann die Kontrolle durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Kontrolle des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Kontrolle eigentlich aus einem Drittsystem stammt, aber die Kontrolle vor einem Import bereits manuell angelegt wurde und die Kontrolle in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Begründungsvorlagen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Begründungsvorlagen zu erstellen.

Um eine Begründungsvorlage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Begründungsvorlage erstellen" Button klicken. Um eine Begründungsvorlage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Begründungsvorlage doppelklicken. Anschließend kann die Begründungsvorlage über die Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

Eigenschaften:

• Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist, welchem Zweck die Begründungsvorlage dient.

• Beschreibung: Hier können Sie einen Text eingeben, der in Abweichungsanalysen als Vorlage für eine Begründung verwendet werden kann.

• Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen: Durch diese ID kann die Begründungsvorlage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Begründungsvorlage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Begründungsvorlage eigentlich aus einem Drittsystem stammt, aber die Begründungsvorlage vor einem Import bereits manuell angelegt wurde und die Begründungsvorlage in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Bedrohungen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Bedrohungen zu erstellen.

Um eine Bedrohung zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Bedrohung erstellen" Button klicken. Um eine Bedrohung zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Bedrohung doppelklicken. Anschließend kann die Bedrohung über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

Eigenschaften:

• Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist was die Bedrohung ist, z.B. fehlende oder unzureichende Absicherung bei der Verarbeitung personenbezogener Daten.

• Beschreibung: Hier sollten Sie die Bedrohung genauer beschreiben, d.h. erklären, was genau die Bedrohung ist.

• Zugewiesene Schutzziele und Gewichtungen:
  

Hier sollten Sie auswählen, welche Schutzziele betroffen wären, wenn diese Bedrohung auftreten würde.
Beispiel:

Bedrohung Einbruch

• Ein Einbrecher könnte in den Serverraum vordringen, um dort eine Festplatte mit sensiblen Informationen zu entwenden.

Geschieht dies, können große Schäden im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch und Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

• Norm-Mapping: Beschäftigt sich die Bedrohung mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

• Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen: Durch diese ID kann die Bedrohung durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Bedrohung des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Bedrohung eigentlich aus einem Drittsystem stammt, aber die Bedrohung vor einem Import bereits manuell angelegt wurde und die Bedrohung in Zukunft durch Imports aktualisiert werden soll.