BSI IT-Grundschutz mit i-doit VIVA

1
Quelle: Bundesamt für Sicherheit in der Informationstechnik

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Fast jedes Unternehmen ist heute darauf angewiesen, in irgendeiner Form an der Dokumentation der Infrastruktur zu arbeiten. Dabei ist es mittlerweile unerlässlich, auch gewisse Standards für die IT-Sicherheit abzubilden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu die IT-Grundschutz-Kataloge zusammengestellt. Der Blogbeitrag beschreibt, wie diese sich mit dem VIVA-Modul der Dokumentationssoftware i-doit umsetzen lassen.

Für den BSI IT-Grundschutz enthält i-doit das sogenannte VIVA-Modul. Das Modul basiert auf dem BSI IT-Grundschutz oder der internationalen Norm ISO/IEC 27001. Mit VIVA lässt sich aus den bereits vorhandenen Daten in der CMDB (Configuration Management Database)von i-doit ein Informationssicherheitsmanagementsystem (ISMS) aufbauen. Dabei handelt es sich um eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche die Informationssicherheit dauerhaft definieren, steuern, kontrollieren, aufrechterhalten und fortlaufend weiterentwickeln.

Grundschutzkatalog des BSI
i-doit bietet über das VIVA-Modul die Möglichkeit, den aktuellen Maßnahmenkatalog des BSI in die CMDB zu importieren (wenn diese mit i-doit umgesetzt wurde). Das heißt, dass sich die komplette Sicherheitsdokumentation direkt in i-doit realisieren lässt und die bereits vorhandenen Datensätze verwendet werden können.

Gefährdungen und Lösungsansätze
Mit dem VIVA-Modul können die durch das BSI erfassten Gefährdungen und empfohlenen Maßnahmen geplant und dokumentiert werden. Dazu zählen zum Beispiel die Gefährdungspotenziale für einen Serverraum durch Strom oder unbefugtes Eindringen und die damit verbundenen Empfehlungen, eine zweite Stromversorgung zu realisieren oder Fingerabdruck-Scanner zu installieren. Im Modul können auch eigene Gefährdungen und Lösungen bzw. Maßnahmen festgelegt werden. Sind erst einmal die notwendigen Daten erfasst, kann man in VIVA auch eine Risikoanalyse für die eigene IT-Struktur erstellen. Eine solche Analyse kann als Grundlage für Notfallpläne dienen, die sich in i-doit hinterlegen lassen.

IT-Grundschutz-Zertifizierung
Ist der IT-Grundschutz im VIVA-Modul umgesetzt, gibt es die Möglichkeit, sich den Grundschutz zertifizieren zu lassen. Zur Auswahl stehen dabei die IT-Grundschutz „Einstiegsstufe“ und die IT-Grundschutz „Aufbaustufe“. Bei der Einstiegsstufe handelt es sich um eine initiale Zertifizierung, die Aufbaustufe stellt die Erneuerung des Zertifikats dar.

Prüfung durch einen Auditor
Die Zertifizierung wird immer durch einen Grundschutz-Auditor durchgeführt. Beim Audittermin werden die Referenzdokumente in Augenschein genommen, die vom Unternehmen erstellt wurden, gefolgt von einer Prüfung vor Ort und der Erstellung des Auditberichts. Der Bericht wird nach der Prüfung an das BSI weitergegeben, damit das Amt die Zertifizierung bestätigen und ausstellen kann.

Fazit: Das VIVA-Modul wird Ihnen helfen
Wer eine Zertifizierung des IT-Grundschutzes bzw. nach der ISO-Norm 27001 anstrebt, ist meiner Meinung nach bei i-doit gut aufgehoben. Mit dem VIVA-Modul können sich i-doit-Anwender optimal auf einen Audit vorbereiten. Alle wichtigen Informationen lassen sich dabei aus der CMDB von i-doit übernehmen. Das hilft, Zeit und Geld zu sparen, und erhöht die Chancen für ein erfolgreiches Audit.

Übrigens: wer sich i-doit und das VIVA-Modul vor Ort anschauen will, kann dies auf dem „Praxis-Workshop ITSM“ am 8. November in Wien tun.

Was für das i-doit Modul spricht: VIVA …

  • ist eigens als ISMS-Modul der Dokumentationssoftware i-doit konzipiert.
  • wird mit i-doit zum essentiellen Teil eines Information Security Management Systems (ISMS).
  • basiert auf dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).
  • deckt die BSI-Standards 100-2 (Vorgehensweise) und 100-3 (Risikoanalyse) ab.
  • gestattet eine enge Integration mit CMDB-Modul von i-doit.
  • ermöglicht den Datenaustausch mit Discovery/Inventory, Monitoring, Help Desk, Change Management.
  • hat eine Reporting-Funktionalität.
  • bietet Mehrbenutzerfähigkeit, Nutzerauthentifizierung durch LDAP/AD und Rechtemanagement.
  • begleitet den Zertifizierungsprozess nach ISO 27001 auf Basis von IT-Grundschutz.
  • liefert Assistenten für verschiedene Workflows während der IT-Strukturanalyse.
  • enthält Assistenten zur Vererbung des Schutzbedarfs.
  • gestattet einen Automatismus zur Anwendung von übergreifenden Bausteinen auf den Informationsverbund.
  • kann mehrere IT-Grundschutz-Kataloge, Informationsverbünde und Auditberichte parallel verwalten.
  • lässt die Anpassung/Erweiterung von Bausteinen, Gefährdungen, Maßnahmen und Prüffragen zu.

Diese Artikel könnten Sie auch interessieren:

Tags: , ,

Als staatlich geprüfter Techniker für IT-Sicherheitsmanagement kommt Christian Piazzi aus der IT-Security. Bei der it-novum ist Christian Teil des IT-Servicemanagement- und openITCOCKPIT-Teams und berät Kunden bei der Einführung von i-doit, OTRS und openITCOCKPIT. Christian schreibt gerne über sein Wissen und betreibt einen eigenen Blog.
Webprofile von Christian: Blog, Twitter, Google+, XING.

Ein Gedanke zu „BSI IT-Grundschutz mit i-doit VIVA

  1. Pingback: i-doit 1.8 - was ist neu?

Kommentar schreiben

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.