Creating a knowledge base

TogetherSecure creates and provides knowledge bases. Also, any user with the expert role in risk management is able to create a new knowledge base or modify an existing one. In other words, a a knowledge base can be created or changed by any expert.

This means, experts can add and hierarchically sort topics. Topics are then assigned review questions, either newly created or from an existing pool of questions. In the next step, threats, justification templates, measures, and/or controls can be created or assigned from existing ones. If, for example, a knowledge base already includes measures and controls (as is the case with BSI IT-Grundschutz), that means appropriate measures and controls have already been thought up for the offered threats. Users are encouraged, however, to evaluate their respective scenarios and create additional measures and/or controls for the treatment of the threats.

To create or edit a knowledge base, navigate to "Administration → Knowledge bases".

Here, all knowledge bases are listed, whether they have been published or not. Only published knowledge bases can be used for reviews. Published knowledge bases are marked with a green tick. If there are multiple versions of a knowledge base, one can be declared the default version (see: edit). It is then marked with a red heart.

create:

edit:

• To edit a KB, click on the desired KB. Published knowledge bases are read-only and can therefore no longer be modified. If a KB has been published, you need to create a superseding version or a user adaptation (of a vendor knowledge base). In the same interface, you can also set a KB as the default version if multiple versions of the KB exist.
  
• The superseding version is unpublished and can therefore be edited.

In den Kopfdaten sollten Sie kurz den Zweck einer Wissensdatenbank beschreiben. Weiters müssen Sie, je nachdem ob es sich um eine eigens kreierte oder eine Wissensdatenbank nach Norm handelt, den Typ dementsprechend einstellen, den aktuellen Stand dieser angeben und den Hersteller eintragen (z.B. Benutzer oder Firma). Achtung: nur WDBs vom Typ Hersteller oder Standard/Norm können exportiert werden. Ebenso kann ein Copyright angegeben werden. Dieses Copyright wird dann bei jeder Maßnahme, Kontrolle und Prüffrage der Wissensdatenbank angezeigt (auch in Berichten).

Typ Hersteller und Standard oder Norm

Um WDBs vom Typ Hersteller oder Standard oder Norm zu erstellen, müssen Sie im Besitz einer Hersteller Lizenz sein! Diese WDBs sind auch die einzigen, welche exportiert werden können.

In diesem Reiter werden alle Themen, die in einer WDB enthalten sind, hierarchisch aufgelistet. Themen erfüllen den Zweck, eine Wissensdatenbank sinnvoll zu strukturieren.

Um ein neues Thema zu erstellen, müssen Sie auf die "Themen" Maske navigieren und auf "neues Thema erstellen" klicken. Dann ist die angezeigte Maske auszufüllen.

Gliederung und Titel:

Hier legen Sie die Gliederung und den Titel fest. Als Gliederung sollten Sie etwas nehmen, dass bei der Strukturierung der WDB Sinn ergibt z.B. 1, 1.1, 1.2, 2.1, etc. Der Titel sollte aussagekräftig sein, sodass man sofort weiß, welche Frage in diesem Thema behandelt wird.

Beschreibung:

Hier sollten Sie beschreiben, welchen Zweck das Thema erfüllt. Dieses Textfeld unterstützt HTML Texte.

Nachweisdokumente:

Hier können Sie Referenzen oder Links auf Dokumente hinterlegen, die für die Auditvorbereitung hinsichtlich dieses Themas relevant sind.

Übergeordnetes Thema:

Handelt es sich bei dem Thema um ein untergeordnetes, müssen Sie hier das übergeordnete Thema angeben, damit die Strukturierung der WDB richtig ist.

Stand:

Beim Stand sollten Sie das Datum der letzten Änderung eintragen.

Haben sie ein Thema erstellt, müssen Sie diesem noch Prüffragen zuweisen. Dafür können sie dem Thema bereits existierende Prüffragen zuordnen oder neue Prüffragen anlegen. Wollen Sie eine hierarchische Struktur der Prüffragen müssen Sie Unterfragen konfigurieren. Haben Sie eine Prüffrage zugeordnet, sollten Sie dieser auch noch Maßnahmen, Kontrollen und Bedrohungen zuordnen.

Um Prüffragen hierarchisch zu gliedern, müssen Sie auf die Prüffrage, welche untergeordnet werden soll, doppelklicken und die übergeordnete Strukturfrage auswählen (es wird nur eine Ebene unterstützt, d.h. Unterfragen können keine weiteren Unterfragen haben). Anschließend können Sie, je nachdem wie die Strukturfrage beantwortet wird, auswählen, wie sich die untergeordnete Frage verhalten soll.

Maßnahmen und Kontrollen, die einer Frage zugeordnet sind, werden bei der Risikobehandlung vorgeschlagen, wenn diese bei einer Überprüfung eine Abweichung aufweisen. Begründungsvorlagen können als Begründung für eine Antwort verwendet werden. Werden Bedrohungen zugeteilt, wird diese Prüffrage unter diesen Bedrohungen für Analysezwecke gelistet.

zuordnen oder neu erstellen:

• Die Masken zum Zuordnen von existierenden Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen sind bis auf den Inhalt ident mit der Maske zum Zuordnen von Prüffragen.
• Zum Erstellen siehe Maßnahme erstellen,Kontrolle erstellen, Begründungsvorlage erstellen und Bedrohung erstellen.

bearbeiten und Zuordnung aufheben:

• Doppelklicken Sie, wie in der oben gezeigten Maske, auf ein Element, wird die Bearbeiten Maske des jeweiligen Elements aufgerufen und Sie können die Eigenschaften dieses Elements bearbeiten. Ebenso können Sie in dieser Maske die Zuordnung zur Prüffrage aufheben.

In diesem Reiter werden alle Prüffragen, welche in der WDB existieren, aufgelistet. Sie haben in diesem Reiter aber keine Hierarchie, diese existiert nur bei den Themen. Dieser Reiter bietet auch die Option, neue Prüffragen zu erstellen.

Um eine Prüffrage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Prüffrage erstellen" Button klicken. Um eine Prüffrage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Prüffrage doppelklicken. Anschließend kann die Prüffrage über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol). Das Verhalten von Unterfragen ist nur bei den Themen änderbar.

Eigenschaften:

• Gliederung und Titel:
  

Die Gliederung sollte logisch und nachvollziehbar gewählt werden, z.B. Abkürzung des Themas + laufende Nummer (DSO_01.00)
Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Frage geht.

• Fragestellung:
  

Hier sollten Sie eine klar formulierte Frage stellen.

• Beschreibung:
  

Hier sollten Sie, falls nötig, die Frage genauer beschreiben, d.h. beispielsweise erklären, welche Rahmenbedingungen mindestens erfüllt sein müssen, damit eine Frage als positiv erfüllt zu sehen ist.

• Hinweis für Prüfer:
  

Hier können Informationen für den Prüfer hinterlegt werden. Dabei könnte es sich beispielsweise um Links zu Dokumenten, mit denen die Ausarbeitung verglichen werden soll, oder eine Checkliste mit zu überprüfenden Schritten handeln.

Diese Information wird nur bei Abweichungsanalysen angezeigt, welche entweder unter "Risikomanagement → Schwachstellen" oder aus einem Audit heraus geöffnet werden. (Sie wird nicht angezeigt, wenn die Abweichungsanalysen im Kontext von "Meine Aufgaben" geöffnet wird.)

• Art der Frage:
  

Hier müssen Sie auswählen, ob es sich bei einer Frage um eine Technikfrage oder um eine Prozessfrage handelt. Technikfragen können mit Ja, Nein oder Teilweise beantwortet werden und Prozessfragen mit Reifegraden.

• Antwortmöglichkeiten und Entbehrlich:
  

Mit dieser Option können Sie die Antwortmöglichkeiten der Frage begrenzen. Dies ist nur bei Technikfragen erlaubt. Die Option "Entbehrlich" bestimmt, ob eine Frage beantwortet werden muss oder nicht. Zu beachten ist dabei, dass, falls eine Strukturfrage als Entbehrlich gekennzeichnet ist, sich das auf deren Unterfragen auswirken kann, da bei Unterfragen das Verhalten bei einer entbehrlichen Strukturfrage eingestellt werden kann.

• Zugewiesene Schutzziele und Gewichtungen:
  

Hier sollten Sie auswählen, welche Schutzziele betroffen sind, wenn bei der Frage eine Abweichung auftritt.
Beispiel:

Prüffrage zur Serverraumsicherheit

• Wurde die Türe mit einem Sicherheitsschloss ausgestattet?

Wird diese Frage mit Nein beantwortet, können große Risiken im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch und Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

• Norm-Mapping:
  

Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

• Stand:
  

Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• Notizen des Autors:
  

Durch Klicken auf "Notiz hinzufügen" kann der Autor Notizen für sich selbst erfassen. Er könnte z.B. TODOs oder Links auf externe Quellen erfassen. Diese Information ist nur hier für den Bearbeiter der WDB ersichtlich. Sie hat keinerlei Auswirkungen auf Überprüfungen und ist rein redaktioneller Natur. Sie wird auch nicht exportiert, wenn die WDB exportiert wird, oder importiert, falls eine WDB importiert wird.

• ID in Drittsystemen:

Durch diese ID kann die Prüffrage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Prüffrage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Prüffrage eigentlich aus einem Drittsystem stammt, aber die Prüffrage vor einem Import bereits manuell angelegt wurde und die Prüffrage in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Maßnahmen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Maßnahmen zu erstellen.

Um eine Maßnahme zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Maßnahme erstellen" Button klicken. Um eine Maßnahme zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Maßnahme doppelklicken. Anschließend kann die Maßnahme über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

Eigenschaften:

• Gliederung und Titel:
  

Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Maßnahme geht.

• Beschreibung:
  

Hier sollten Sie die Maßnahme genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Maßnahme genau zu erledigen ist.

• Norm-Mapping:
  

Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

• Stand:
  

Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen:

Durch diese ID kann die Maßnahme durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Maßnahme des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Maßnahme eigentlich aus einem Drittsystem stammt, aber die Maßnahme vor einem Import bereits manuell angelegt wurde und die Maßnahme in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Kontrollen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Kontrollen zu erstellen.

Um eine Kontrolle zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Kontrolle erstellen" Button klicken. Um eine Kontrolle zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Kontrolle Doppelklicken. Anschließend kann die Kontrolle über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

Eigenschaften:

• Gliederung und Titel:
  

Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein damit klar ist, was die Kontrolle kontrolliert.

• Beschreibung:
  

Hier sollten Sie die Kontrolle genauer beschreiben, d.h. erklären Sie, was bei der Durchführung der Kontrolle genau zu erledigen ist.

• Wiederkehrende Kontrolle:
  

Hier kann ein Intervall festgelegt werden, welches dafür sorgt, dass diese Kontrolle alle x Jahre/Monate/etc. durchgeführt werden soll.

• Norm-Mapping:
  

Beschäftigt sich die Kontrolle mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Dadurch lässt sich ein Managementsystem auf Compliance Deckung analysieren.

• Stand:
  

Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen:

Durch diese ID kann die Kontrolle durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Kontrolle des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Kontrolle eigentlich aus einem Drittsystem stammt, aber die Kontrolle vor einem Import bereits manuell angelegt wurde und die Kontrolle in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Begründungsvorlagen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Begründungsvorlagen zu erstellen.

Um eine Begründungsvorlage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Begründungsvorlage erstellen" Button klicken. Um eine Begründungsvorlage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Begründungsvorlage doppelklicken. Anschließend kann die Begründungsvorlage über die Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

Eigenschaften:

• Gliederung und Titel:
  

Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein, damit klar ist, welchem Zweck die Begründungsvorlage dient.

• Beschreibung:
  

Hier können Sie einen Text eingeben, der in Abweichungsanalysen als Vorlage für eine Begründung verwendet werden kann.

• Stand:
  

Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen:

Durch diese ID kann die Begründungsvorlage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Begründungsvorlage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Begründungsvorlage eigentlich aus einem Drittsystem stammt, aber die Begründungsvorlage vor einem Import bereits manuell angelegt wurde und die Begründungsvorlage in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Bedrohungen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Bedrohungen zu erstellen.

Um eine Bedrohung zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Bedrohung erstellen" Button klicken. Um eine Bedrohung zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Bedrohung doppelklicken. Anschließend kann die Bedrohung über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

Eigenschaften:

• Gliederung und Titel:
  

Die Gliederung sollte logisch und nachvollziehbar gewählt werden.
Der Titel sollte schlagkräftig sein, damit klar ist was die Bedrohung ist, z.B. fehlende oder unzureichende Absicherung bei der Verarbeitung personenbezogener Daten.

• Beschreibung:
  

Hier sollten Sie die Bedrohung genauer beschreiben, d.h. erklären, was genau die Bedrohung ist.

• Zugewiesene Schutzziele und Gewichtungen:
  

Hier sollten Sie auswählen, welche Schutzziele betroffen wären, wenn diese Bedrohung auftreten würde.
Beispiel:

Bedrohung Einbruch

• Ein Einbrecher könnte in den Serverraum vordringen, um dort eine Festplatte mit sensiblen Informationen zu entwenden.

Geschieht dies, können große Schäden im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch und Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

• Norm-Mapping:
  

Beschäftigt sich die Bedrohung mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

• Stand:
  

Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

• ID in Drittsystemen:

Durch diese ID kann die Bedrohung durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Bedrohung des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Bedrohung eigentlich aus einem Drittsystem stammt, aber die Bedrohung vor einem Import bereits manuell angelegt wurde und die Bedrohung in Zukunft durch Imports aktualisiert werden soll.