Suche aufrufen
Menü aufrufen
47
1.3K
10
34.8K
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Creating a knowledge base

Aus HITGuard User Guide
Weitere Optionen
Version vom 2. Juni 2022, 10:08 Uhr von Isan (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Creating a knowledge base“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Von TogetherSecure werden Wissensdatenbanken erstellt und ausgeliefert. Aber auch jeder Risikomanagement Expert ist in der Lage eine Wissensdatenbank zu erstellen bzw. bestehende zu modifizieren. Die Wissensdatenbank kann also von jedem Expert erstellt und überarbeitet werden.

Dies bedeutet, dass er die Themen anlegen und auch hierarchisch reihen kann. Den Themen werden dann Prüffragen zugeteilt indem sie zum Thema angelegt werden oder aus dem vorhandenen Pool der Prüffragen zugeteilt werden. Zu den Prüffragen können im nächsten Schritt Bedrohungen, Maßnahmen und/oder Kontrollen neu angelegt oder aus bestehenden zugeteilt werden. Werden schon Bedrohungen und Maßnahmen mitgeliefert, dann ist das (wie im BSI IT-Grundschutz vorgesehen) so zu sehen, dass für die angebotenen Gefährdungen bereits adäquate Maßnahmen bzw. Kontrollen überlegt wurden. Dem User ist aber ans Herz zu legen, dass er weitere Gefährdungen in seiner Konstellation überdenkt und ggf. zusätzliche Maßnahmen und/oder Kontrollen, zur Behandlung dieser weiteren Gefährdungen erfasst.

Wissensdatenbank erstellen/bearbeiten

Um eine Wissensdatenbank zu erstellen oder zu bearbeiten müssen Sie zum Reiter "Wissensdatenbanken" navigieren. Diesen Reiter finden Sie unter "Administration → Wissensdatenbanken".

In diesem Reiter werden alle Wissensdatenbanken angezeigt egal ob veröffentlicht oder nicht. Nur veröffentlichte Wissensdatenbanken können für Überprüfungen verwendet werden. Veröffentlichte Wissensdatenbanken sind durch ein blaues Häkchen gekennzeichnet. Gibt es von einer Wissensdatenbank mehrere Versionen kann eine als bevorzugt deklariert werden (siehe bearbeiten). Dies wird durch das rote Herz erkennbar gemacht.

erstellen:

  • Zum erstellen einer neuen WDB auf den "neue Wissensdatenbank erstellen" Button klicken. Im Anschluss müssen Sie Kopfdaten eintragen, Themen erstellen und diesen Prüffragen zuteilen, den Prüffragen Maßnahmen, Kontrollen und Bedrohungen zuteilen.
Reiter Wissensdatenbanken


bearbeiten:

  • Zum bearbeiten einer WDB müssen Sie auf die gewünschte WDB klicken. Veröffentlichte Wissensdatenbanken sind Schreibgeschützt und können deshalb nicht mehr verändert werden. Wurde eine WDB bereits veröffentlicht müssen Sie um die WDB zu bearbeiten eine Nachfolgeversion oder eine Benutzeradaptionen(von Hersteller-WDB) erstellen. Sie können in dieser Maske auch, falls von der WDB mehrere Versionen existieren, festlegen ob diese Version die bevorzugte Version ist.
  • Die Nachfolge Version ist unveröffentlicht und kann daher bearbeitet werden.
Maske zum bearbeiten einer Wissensdatenbank
Bei importierten WDB würde Benutzeradaption erstellen statt Nachfolge Version erstellen stehen


Kopfdaten

In den Kopfdaten sollten Sie kurz den Zweck einer Wissensdatenbank beschreiben. Weiters müssen Sie, je nach dem ob es sich um eine eigens kreierte oder einer Wissensdatenbank nach Norm handelt, den Typ dementsprechend einstellen, den aktuellen Stand dieser angeben und den Hersteller eintragen (z.B. Benutzer oder Firma). Achtung nur WDBs vom Typ Hersteller oder Standard/Norm können exportiert werden. Ebenso kann ein Copyright angegeben werden. Dieses Copyright wird dann bei jeder Maßnahme, Kontrolle und Frage der Wissensdatenbank angezeigt. (auch in Berichten)

Typ Hersteller und Standard oder Norm

Um WDBs vom Type Hersteller oder Standard oder Norm zu erstellen, müssen Sie im Besitz einer Hersteller Lizenz sein! Diese WDBs sind auch die einzigen, welche exportiert werden können.

Maske der Kopfdaten zum erstellen einer WDB


Themen

In diesem Reiter werden alle Themen die in einer WDB enthalten sind hierarchisch aufgelistet. Themen erfüllen den Zweck eine Wissensdatenbank sinnvoll zu strukturieren.

Thema erstellen/bearbeiten

Um ein neues Thema zu erstellen müssen Sie auf die "Themen" Maske navigieren und auf "neues Thema erstellen" klicken. Und die angezeigte Maske ausfüllen.

neues Thema erstellen


Maske zum erstellen eines neuen Themas


Gliederung und Titel:
Hier legen Sie die Gliederung und den Titel fest. Als Gliederung sollten Sie etwas nehmen, dass bei der Strukturierung der WDB sinn ergibt z.B. 1, 1.1, 1.2, 2.1,etc. Der Titel sollte aussagekräftig sein, so dass man sofort weis, welche Fragen in diesem Thema behandelt wird.
Beschreibung:
Hier sollten Sie beschreiben welchen Zweck das Thema erfüllt. Dieses Textfeld unterstützt HTML Texte.
Nachweisdokumente:
Hier können sie Referenzen oder Links auf Dokumente hinterlegen, die für die Auditvorbereitung hinsichtlich dieses Themas relevant sind.
Übergeordnetes Thema:
Handelt es sich bei dem Thema um ein untergeordnetes, müssen Sie hier das übergeordnete Thema angeben, damit die Strukturierung der WDB richtig ist.
Stand:
Beim Stand sollten Sie das Datum der letzten Änderung eintragen

Prüffragen zuordnen

Haben sie ein Thema erstellt müssen Sie diesem noch Prüffragen zuweisen. Dafür können sie dem Thema bereits existierende Prüffragen zuordnen oder neue Prüffragen anlegen. Wollen Sie eine hierarchische Struktur der Prüffragen müssen Sie Unterfragen konfigurieren. Haben Sie eine Prüffrage zugeordnet sollten sie dieser auch noch Maßnahmen, Kontrollen und Bedrohungen zuordnen.

Navigation: Prüffragen zum Thema zuordnen


Maske zum zuordnen von bereits existierenden Prüffragen


Unterfragen konfigurieren:

Um Prüffragen hierarchisch zu gliedern müssen Sie auf die Prüffrage welche untergeordnet werden soll Doppelklicken und die übergeordnete Strukturfrage auswählen (Es wird nur eine Ebene unterstützt d.h. Unterfragen können keine Unterfragen haben). Anschließend können Sie, je nachdem wie die Strukturfrage beantwortet wird, auswählen wie sich die untergeordnete Frage verhalten soll.

Beispiel: Prüffragen-Hierarchie


Beispiel: Unterfrage Konfigurieren


Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen zu Prüffragen zuordnen und bearbeiten

Maßnahmen und Kontrollen die einer Frage zugeordnet sind, werden bei der Risikobehandlung vorgeschlagen wenn diese bei einer Überprüfung eine Abweichung aufweisen. Begründungsvorlagen können als Begründung für eine Antwort verwendet werden. Werden Bedrohungen zugeteilt wird diese Prüffrage unter diesen Bedrohungen für Analysezwecke gelistet.

zuordnen oder neu erstellen:


Prüffrage Maßnahmen, Kontrollen und Bedrohungen zuordnen



bearbeiten und Zuordnung aufheben:

  • Doppelklicken Sie, wie in der oben gezeigten Maske, auf ein Element wird die bearbeiten Maske des jeweiligen Elementes aufgerufen und Sie könne die Eigenschaften dieses Elementes bearbeiten. Ebenso können Sie in dieser Maske die Zuordnung zur Prüffrage aufheben


Maske zum bearbeiten einer Kontrolle


Prüffragen

In diesem Reiter werden alle Prüffragen welche in der WDB existieren aufgelistet. Sie haben in diesem Reiter aber keine Hierarchie, diese existiert nur bei den Themen. Dieser Reiter bietet auch die Option neue Prüffragen zu erstellen.

Wissensdatenbank Reiter Prüffragen


Prüffrage erstellen, bearbeiten und löschen

Um eine Prüffrage zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Prüffrage erstellen" Button klicken. Um eine Prüffrage zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Prüffrage Doppelklicken. Anschließend kann die Prüffrage über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol). Das Verhalten von Unterfragen ist nur bei den Themen änderbar.

Eigenschaften:

  • Gliederung und Titel:
Die Gliederung sollte logisch und nachvollziehbar gewählt werden z.B. Abkürzung des Themas + Nummerierung (DSO_01.00)
Der Titel sollte schlagkräftig sein damit klar ist um was es bei der Frage geht.
  • Fragestellung:
Hier sollten Sie eine klar formulierte Frage stellen.
  • Beschreibung:
Hier sollten Sie falls nötig die Frage genauer beschreiben, d.h. z.B. erklären welche Rahmenbedingungen mindestens erfüllt sein müssen damit eine Frage als positiv erfüllt zu sehen ist.
  • Hinweis für Prüfer:
Hier können Information für den Prüfer hinterlegt werden. Dabei könnte es sich beispielsweise um Links zu Dokumenten, mit denen die Ausarbeitung verglichen werden soll oder eine Checkliste mit zu überprüfenden Schritten handeln.
Diese Information wird nur bei Abweichungsanalysen angezeigt, welche entweder unter "Risikomanagement → Schwachstellen" oder aus einem Audit heraus geöffnet wird. (Sie wird nicht angezeigt wenn die Abweichungsanalysen im Kontext von "Meine Aufgaben" geöffnet wird.)
  • Art der Frage:
Hier müssen Sie auswählen ob es sich bei einer Frage um eine Technikfrage oder um eine Prozessfrage handelt. Technikfragen können mit Ja,Nein oder Teilweise beantwortet werden und Prozessfragen mit Reifegraden
  • Antwortmöglichkeiten und Entbehrlich:
Mit dieser Option können Sie die Antwortmöglichkeiten der Frage begrenzen. Dies ist nur bei Technikfragen erlaubt. Die Option "Entbehrlich" bestimmt, ob eine Frage beantwortet werden muss oder nicht. Zu beachten ist dabei, dass falls eine Strukturfrage als Entbehrlich gekennzeichnet ist sich das auf deren Unterfragen auswirken kann, da bei Unterfragen das Verhalten bei einer entbehrlichen Strukturfrage eingestellt werden kann.
  • Zugewiesene Schutzziele und Gewichtungen:
Hier sollten Sie auswählen welche Schutzziele betroffen sind wenn bei der Frage eine Abweichung auftritt.
Beispiel:
Prüffrage zur Serverraumsicherheit
  • Wurde die Türe mit einem Sicherheitsschloss ausgestattet?
Wird diese Frage mit nein beantwortet können große Risiken im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
Schutzziel Gewichtung Erklärung
Vertraulichkeit 4 Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit 4 Der Einbrecher könnte etwas zerstören
Integrität 3 Er könnte auch am System etwas ändern
  • Norm-Mapping:
Beschäftigt sich die Frage mit einem oder mehreren Normen Kapitel sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.
  • Stand:
Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.
  • Notizen des Autors:
Durch klicken auf "Notiz hinzufügen" kann der Autor Notizen für sich selbst erfassen. Er könnte z.B. TODOs oder Links auf externe Quellen erfassen. Diese Information ist nur hier für den Bearbeiter der WDB ersichtlich. Sie hat keinerlei Auswirkungen auf Überprüfungen und ist rein redaktioneller Natur. Sie werden auch nicht exportiert wenn die WDB exportiert wird, oder importiert falls eine WDB importiert wird.
  • ID in Drittsystemen:
Durch diese ID kann die Prüffrage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Prüffrage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Prüffrage eigentlich aus einem Drittsystem stammt, aber die Prüffrage vor einem Import bereits manuell angelegt wurde und die Prüffrage in Zukunft durch Imports aktualisiert werden soll.
Maske zum erstellen einer Prüffrage


Maßnahmen

In diesem Reiter werden alle Maßnahmen welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option neue Maßnahmen zu erstellen.

WDB Reiter Maßnahmen


Maßnahme erstellen, bearbeiten und löschen

Um eine Maßnahme zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Maßnahme erstellen" Button klicken. Um eine Maßnahme zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Maßnahme Doppelklicken. Anschließend kann die Maßnahme über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

Maske zum erstellen einer Maßnahme


Eigenschaften:

  • Gliederung und Titel:
Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein damit klar ist um was es bei der Maßnahme geht.
  • Beschreibung:
Hier sollten Sie die Maßnahme genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Maßnahme genau zu erledigen ist.
  • Norm-Mapping:
Beschäftigt sich die Frage mit einem oder mehreren Normen Kapitel sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.
  • Stand:
Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.
  • ID in Drittsystemen:
Durch diese ID kann die Maßnahme durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Maßnahme des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Maßnahme eigentlich aus einem Drittsystem stammt, aber die Maßnahme vor einem Import bereits manuell angelegt wurde und die Maßnahme in Zukunft durch Imports aktualisiert werden soll.

Kontrollen

In diesem Reiter werden alle Kontrollen welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option neue Kontrollen zu erstellen.

WDB Reiter Kontrollen


Kontrolle erstellen, bearbeiten und löschen

Um eine Kontrolle zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Kontrolle erstellen" Button klicken. Um eine Kontrolle zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Kontrolle Doppelklicken. Anschließend kann die Kontrolle über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

Maske zum erstellen einer Kontrolle


Eigenschaften:

  • Gliederung und Titel:
Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein damit klar ist was die Kontrolle kontrolliert.
  • Beschreibung:
Hier sollten Sie die Kontrolle genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Kontrolle genau zu erledigen ist.


  • Wiederkehrende Kontrolle:
Hier kann ein Intervall festgelegt werden, welches dafür sorgt, dass diese Kontrolle alle x Jahre/monate/etc durchgeführt werden soll wenn sie erstellt wird.
  • Norm-Mapping:
Beschäftigt sich die Kontrolle mit einem oder mehreren Normen Kapitel sollte dies hier eingetragen werden. Dadurch lässt sich ein Managementsystem auf Compliance Deckung analysieren.
  • Stand:
Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


  • ID in Drittsystemen:
Durch diese ID kann die Kontrolle durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Kontrolle des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Kontrolle eigentlich aus einem Drittsystem stammt, aber die Kontrolle vor einem Import bereits manuell angelegt wurde und die Kontrolle in Zukunft durch Imports aktualisiert werden soll.

Begründungsvorlagen

In diesem Reiter werden alle Begründungsvorlagen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Begründungsvorlagen zu erstellen.

WDB Reiter Begründungsvorlagen


Begründungsvorlage erstellen, bearbeiten und löschen

Um eine Begründungsvorlage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Begründungsvorlage erstellen" Button klicken. Um eine Begründungsvorlage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Begründungsvorlage doppelklicken. Anschließend kann die Begründungsvorlage über die Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

Maske zum Erstellen einer Begründungsvorlage


Eigenschaften:

  • Gliederung und Titel:
Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein, damit klar ist für welchen Zweck die Begründungsvorlage ist.
  • Beschreibung:
Hier können Sie einen Text eingeben, der in Abweichungsanalysen als Vorlage für eine Begründung verwendet werden kann.
  • Stand:
Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.
  • ID in Drittsystemen:
Durch diese ID kann die Begründungsvorlage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Begründungsvorlage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Begründungsvorlage eigentlich aus einem Drittsystem stammt, aber die Begründungsvorlage vor einem Import bereits manuell angelegt wurde und die Begründungsvorlage in Zukunft durch Imports aktualisiert werden soll.

Bedrohungen

In diesem Reiter werden alle Bedrohungen welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option neue Bedrohungen zu erstellen.

WDB Reiter Bedrohungen


Bedrohung erstellen, bearbeiten und löschen

Um eine Bedrohung zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Bedrohung erstellen" Button klicken. Um eine Bedrohung zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Bedrohung Doppelklicken. Anschließend kann die Bedrohung über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

Maske zum Erstellen einer Bedrohung


Eigenschaften:

  • Gliederung und Titel:
Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein damit klar ist was die Bedrohung ist z.B. fehlende oder unzureichende Absicherung bei der Verarbeitung personenbezogener Daten
  • Beschreibung:
Hier sollten Sie die Bedrohung genauer beschreiben, d.h. erklären was die Bedrohung im Detail ist.


  • Zugewiesene Schutzziele und Gewichtungen:
Hier sollten Sie auswählen welche Schutzziele betroffen sind wenn diese Bedrohung auftreten würde.
Beispiel:
Bedrohung Einbruch
  • Ein Einbrecher könnte in den Serverraum vordingen um dort eine Festplatte mit sensiblen Informationen zu entwenden.
Geschieht dies, können große Schäden im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
Schutzziel Gewichtung Erklärung
Vertraulichkeit 4 Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit 4 Der Einbrecher könnte eetwas zerstören
Integrität 3 Er könnte auch am System etwas ändern
  • Norm-Mapping:
Beschäftigt sich die Bedrohung mit einem oder mehreren Norm Kapitel sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.
  • Stand:
Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.
  • ID in Drittsystemen:
Durch diese ID kann die Bedrohung durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Bedrohung des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Bedrohung eigentlich aus einem Drittsystem stammt, aber die Bedrohung vor einem Import bereits manuell angelegt wurde und die Bedrohung in Zukunft durch Imports aktualisiert werden soll.
Abgerufen von „https://userguide.hitguard.de/index.php?title=Erstellen_einer_Wissensdatenbank/en&oldid=19466
Zuletzt geändert
Diese Seite wurde zuletzt am 2. Juni 2022 um 10:08 Uhr bearbeitet.