Prozesse Prozessorganisation in Bookstack Alles klar, dann passe ich nur den Teil „Struktur der Prozessorganisation“ so an, dass er explizit als Kapitel „Prozessorganisation in BookStack“ verwendbar ist. Prozessorganisation in BookStack 1. Ziel der Prozessorganisation in BookStack Die Prozessorganisation in BookStack stellt sicher, dass alle Prozesse, Rollen, Systeme, Richtlinien und Arbeitsanweisungen einheitlich strukturiert dokumentiert sind und sich schnell wiederfinden lassen. BookStack dient dabei als zentrale, lesbare Wissensbasis, unabhängig von den ausführenden oder auswertenden Systemen. 2. Struktur in BookStack Pro Kunde wird die Prozessorganisation in BookStack wie folgt abgebildet: Shelf: „Kunde “ Book: „Prozesse“ Book: „Systeme & Anwendungen“ Book: „Rollen & Berechtigungen“ Book: „Richtlinien & Arbeitsanweisungen“ Beispiele für Seitentitel: „Prozess – Benutzeranlage im Active Directory“ „Prozess – Rechteänderung in Fachanwendungen“ „System – Active Directory“ „Rolle – Fachadministrator Active Directory“ „Richtlinie – Passwortsicherheit“ „Arbeitsanweisung – Benutzeranlage im Active Directory“ 3. Kopfblöcke in Prozess‑ und Richtliniendokumenten Jede Prozess‑, Richtlinien- oder Arbeitsanweisungsseite bekommt oben einen standardisierten Kopfblock, zum Beispiel: Kennung: PR-Benutzeranlage-AD Reifegrad: Definiert Prozessart: Unterstützungsprozess Prozessverantwortlicher: Rolle – Fachadministrator Active Directory Prozesseigner: Rolle – IT-Leitung Betroffene Systeme: System – Active Directory Beteiligte Rollen: Rolle – Antragssteller Fachbereich, Rolle – Fachadministrator Active Directory Für Richtlinien können Kopfblöcke z.B. enthalten: Kennung: RL-Passwortsicherheit Geltungsbereich: Gesamtunternehmen Verbindlichkeit: Verpflichtend Verantwortlich: Rolle – Informationssicherheitsbeauftragter Betroffene Prozesse: Prozess – Benutzeranlage im Active Directory, Prozess – Rechteänderung in Fachanwendungen Damit sind alle wichtigen Meta‑Informationen für Leser sofort sichtbar. 4. Tags als Labels in BookStack Zur maschinenlesbaren Kennzeichnung werden Tags verwendet. Empfohlene Tag‑Konventionen (jeweils „Name: Wert“): Reifegrad Reifegrad: Initial Reifegrad: Definiert Reifegrad: Etabliert Reifegrad: Optimiert Prozessart Prozessart: Managementprozess Prozessart: Kernprozess Prozessart: Unterstützungsprozess Systeme System: Active Directory System: Fachanwendung X Rollen Rolle: Fachadministrator AD Rolle: Antragssteller Fachbereich Diese Tags werden in BookStack auf Seitenebene vergeben. Dadurch lassen sich z.B. alle Prozesse mit Reifegrad „Initial“ oder alle Seiten zum System „Active Directory“ filtern. 5. Templates für einheitliche Prozessdokumentation Um Konsistenz sicherzustellen, werden in BookStack Seiten‑Templates für Prozess‑, Richtlinien- und Arbeitsanweisungsdokumente verwendet. Beispiele: Template „Prozessbeschreibung“ mit: Kopfblock (Kennung, Reifegrad, Prozessart, Verantwortliche, Systeme, Rollen) Abschnittsüberschriften: Zweck, Anwendungsbereich, Rollen, Inputs/Outputs, Ablauf, Schnittstellen, Kennzahlen Template „Richtlinie“ mit: Kopfblock (Kennung, Geltungsbereich, Verbindlichkeit, Verantwortliche Rolle, betroffene Prozesse) Abschnittsüberschriften: Ziel, Geltungsbereich, Vorgaben, Ausnahmen, Durchsetzung, Überprüfung Template „Arbeitsanweisung“ mit: Kopfblock (Kennung, zugehöriger Prozess, Zielgruppe, benötigte Systeme/Rollen) Abschnittsüberschriften: Voraussetzungen, Schritt‑für‑Schritt‑Anleitung, Hinweise, Kontrollpunkte Die Templates werden in den jeweiligen Books als Standardvorlagen für neue Seiten eingestellt, sodass jede neue Prozess‑ oder Richtliniendokumentation automatisch dem gewünschten Aufbau folgt. Prozessorganisation in Flowable Hier das Flowable‑Kapitel im selben Stil, damit du es direkt in deine Doku aufnehmen kannst. Prozessorganisation in Flowable 1. Ziel der Prozessorganisation in Flowable Die Prozessorganisation in Flowable stellt sicher, dass operativ gelebte Abläufe als ausführbare Workflows abgebildet werden, die direkt zu den in BookStack dokumentierten Prozessen passen. Flowable dient als technische Umsetzungsschicht für Prozesse, inklusive Aufgabensteuerung, Genehmigungen, Eskalationen und Automatisierung. 2. Grundprinzipien für Prozesse in Flowable Jede fachlich dokumentierte Prozessbeschreibung in BookStack („Prozess – …“) hat, sofern nötig, eine passende technische Umsetzung in Flowable. Namen der Workflows sind für Fachanwender verständlich, technische Details (Keys, Variablen) werden im Hintergrund konsistent gehalten. Flowable verweist in Beschreibungen und Aufgaben eindeutig auf die zugehörigen Dokumente in BookStack (Prozessbeschreibung, Arbeitsanweisungen). 3. Benennung von Prozessen in Flowable Für jeden relevanten Prozess werden zwei Bezeichnungen verwendet: Process Name (sichtbar für Anwender) entspricht dem lesbaren Titel aus BookStack Beispiel: „Prozess – Benutzeranlage im Active Directory“ Process Key (technische Kennung) kompakte, eindeutige Kennung zur Wiederverwendung in anderen Systemen orientiert sich an der Kennung im Kopfblock der BookStack‑Seite Beispiel: Kennung in BookStack: PR-Benutzeranlage-AD Process Key in Flowable: PR-Benutzeranlage-AD Der Process Key wird nicht für Anwender kommuniziert, sondern dient der Integration (z.B. in CISO Assistant oder Skripten). 4. Struktur eines Flowable‑Prozesses Jeder Flowable‑Prozess basiert fachlich auf der entsprechenden Prozessbeschreibung in BookStack. Er enthält mindestens: Start‑Ereignis (z.B. manueller Start, Formular, API‑Call) eine Reihe von User‑Tasks (für manuelle Schritte) Service‑Tasks (für Automatisierungen, z.B. Anbindung an ein IAM‑System) Gateways für Entscheidungen Endereignis(e) (z.B. erfolgreich abgeschlossen, abgelehnt, abgebrochen) Der fachliche Ablauf (Schritte, Rollen, Entscheidungen) stammt aus der Prozessbeschreibung in BookStack. 5. Verweise von Flowable auf BookStack In Flowable werden die Verknüpfungen zu BookStack an folgenden Stellen gepflegt: Prozessbeschreibung (Properties des Prozesses) Textbeschreibung, die u.a. enthält: „Siehe Prozessbeschreibung ‚Prozess – ‘ in BookStack.“ „Siehe Arbeitsanweisung ‚Arbeitsanweisung – ‘ in BookStack.“ User‑Tasks Beschreibung/Titel des Tasks mit Hinweis auf relevante Arbeitsanweisungen, z.B.: „Führe die Benutzeranlage gemäß ‚Arbeitsanweisung – Benutzeranlage im Active Directory‘ durch.“ So bleibt für Bearbeiter klar, wo die inhaltlichen Details nachzulesen sind. 6. Rollen und Verantwortlichkeiten in Flowable Flowable nutzt Benutzer, Gruppen und Rollen, um Aufgaben zuzuweisen: Gruppen/Role‑Zuweisung orientiert sich an den Rollen, die in BookStack als „Rolle – …“ beschrieben sind. Beispiel: Rolle in BookStack: „Rolle – Fachadministrator Active Directory“ entsprechende Gruppe/Rolle in Flowable: Fachadministrator_AD User‑Tasks werden in Flowable nicht an konkrete Personen, sondern an Gruppen/Rollen zugewiesen; die Zuordnung von Personen zu Rollen erfolgt über die Identity‑Verwaltung. 7. Verbindung von Flowable zur ISMS‑Sicht (CISO Assistant) Um Flowable mit dem ISMS zu verknüpfen, wird pro Prozess eine gemeinsame Kennung genutzt: Kennung in BookStack: PR-Benutzeranlage-AD Process Key in Flowable: PR-Benutzeranlage-AD Feld workflow_kennung in CISO Assistant: PR-Benutzeranlage-AD CISO Assistant kann so z.B. in einem Prozess‑Asset dokumentieren, welcher Flowable‑Workflow diesen Prozess technisch abbildet. Umgekehrt kann ein Flowable‑Prozess in seiner Beschreibung auf das entsprechende Asset in CISO Assistant verweisen. 8. Typische Flowable‑Prozessarten Flowable wird insbesondere für folgende Prozessarten genutzt: Benutzer- und Berechtigungsmanagement Benutzeranlage, Rechteänderung, Rechteentzug, Rezertifizierungsprozesse Sicherheits- und Incident‑Prozesse Reaktion auf Wazuh‑Findings, Security‑Incidents, Notfallprozesse Change- und Request‑Prozesse Changes an Anwendungen/Systemen, Service Requests aus Fachbereichen ISMS‑bezogene Prozesse Risiko‑Bewertungen, Umsetzung von Maßnahmen, Durchführen von Kontrollen Für jede dieser Prozessarten existiert eine Prozessbeschreibung in BookStack und eine dazu passende technische Umsetzung in Flowable. 9. Templates und Wiederverwendung in Flowable Um einheitliche Prozessmodelle zu erreichen, können wiederkehrende Muster als Vorlage genutzt werden: Standard‑Genehmigungsworkflow (Antrag – Prüfung – Genehmigung/Ablehnung) Standard‑Rezertifizierungsworkflow (Start – Prüfung pro Berechtigung – Bestätigung/Entzug – Abschluss) Standard‑Incident‑Workflow (Erfassung – Klassifizierung – Bearbeitung – Abschluss) Diese Muster werden als eigene Prozessdefinitionen oder Modellierungsrichtlinien bereitgestellt und bei Bedarf für neue Prozesse kopiert und angepasst. 10. Pflege und Reifegrad Für jeden Flowable‑Prozess ist definiert, welcher Prozessverantwortliche (aus der Prozessbeschreibung in BookStack) fachlich zuständig ist. Technische Anpassungen (z.B. neue Schritte, geänderte Zuweisungen) werden mit diesem Prozessverantwortlichen abgestimmt. Der Reifegrad des Prozesses wird primär in der BookStack‑Doku gepflegt; Änderungen im Flowable‑Modell werden dort vermerkt (z.B. als neue Version der Prozessbeschreibung). Informationssicherheits‑ und Compliance‑Management (ISMS/GRC) mit CISO Assistent 1. Zweck von CISO Assistant CISO Assistant ist in dieser Architektur das zentrale Werkzeug für Informationssicherheits‑ und Compliance‑Management (ISMS/GRC). Es verbindet die fachlichen und technischen Elemente deiner Umgebung (Prozesse, Systeme, Risiken, Kontrollen, Maßnahmen, Audits) zu einem prüfbaren, strukturierten ISMS. 2. Aufgaben von CISO Assistant In der Gesamtarchitektur übernimmt CISO Assistant insbesondere: Verwaltung des Asset‑Inventars Prozesse („Prozess – …“ aus BookStack) Systeme („System – …“ aus BookStack) Anwendungen, Datenbestände, Dienstleister, Standorte Verwaltung von Risiken und Risikobewertungen Erfassung von Risiken mit Bezug zu Prozessen und Systemen Bewertung (Eintrittswahrscheinlichkeit, Auswirkung, Risikolevel) Verknüpfung mit Maßnahmen und Kontrollen Verwaltung von Kontrollen und Maßnahmen Abbildung von Kontrollen (technisch, organisatorisch) je Framework Mapping zu ISO/NIST/NIS2 etc. Verknüpfung mit konkreten Prozessen, Richtlinien und Systemen Audit‑ und Compliance‑Management Planung und Durchführung von Audits Nachweisführung (Evidenzen) Berichtswesen für Management und Prüfer 3. Verbindung zu BookStack CISO Assistant verlinkt auf die lesbare Dokumentation in BookStack: Prozess‑Assets in CISO Assistant (z.B. „Prozess – Benutzeranlage im Active Directory“) verweisen auf die entsprechende Prozessbeschreibung in BookStack. Richtlinien‑ und Maßnahmenbeschreibungen in CISO Assistant verweisen auf die ausführliche Richtlinie („Richtlinie – …“) und Arbeitsanweisungen in BookStack. So ist für Auditoren und Management klar: fachliche Beschreibung und Arbeitsanweisungen → BookStack ISMS‑Sicht (Risiko, Kontrolle, Compliance) → CISO Assistant. 4. Verbindung zu Flowable CISO Assistant dokumentiert, welche Prozesse technisch umgesetzt sind: Prozess‑Assets in CISO Assistant enthalten eine Kennung zum zugehörigen Flowable‑Workflow (z.B. PR-Benutzeranlage-AD ). In Maßnahmen oder Kontrollen kann festgehalten werden, dass eine bestimmte Anforderung „durch Workflow in Flowable“ umgesetzt ist. So wird transparent, dass z.B. ein Rollen‑Rezertifizierungsprozess nicht nur auf Papier existiert, sondern als konkreter Workflow im Betrieb läuft. 5. Verbindung zu Wazuh CISO Assistant nimmt die technische Realität aus Wazuh auf und überführt sie in ISMS‑Sicht: Sicherheitsereignisse, Schwachstellen oder Policy‑Verstöße aus Wazuh werden in CISO Assistant als Incidents oder Risiken mit Bezug zu Prozessen und Systemen dokumentiert. Daraus abgeleitete Maßnahmen (z.B. Härtung, zusätzliche Kontrollen, Prozessanpassungen) werden ebenfalls in CISO Assistant geführt und nachverfolgt. Damit schließt sich der Kreis: Wazuh entdeckt Probleme, CISO Assistant bewertet, steuert und dokumentiert deren Behandlung, Flowable setzt ggf. die Gegenmaßnahmen als Prozess um, BookStack hält die aktualisierte Doku und Richtlinien fest. 6. Zusammenfassung der Rolle Kurz beschrieben ist CISO Assistant: das „Gehirn“ des ISMS : Risiko‑, Kontroll‑ und Compliance‑Steuerung, die Brücke zwischen fachlicher Doku (BookStack) und operativer Umsetzung (Flowable), der Nachweis‑ und Reporting‑Layer gegenüber Management, Kunden und Auditoren, der Einsammelpunkt für sicherheitsrelevante Erkenntnisse aus der Technik (z.B. Wazuh), die in Management‑Entscheidungen und Maßnahmen überführt werden. Damit wird CISO Assistant in deiner Architektur der zentrale Ort, an dem sichtbar wird, dass die dokumentierten Prozesse (BookStack) und Workflows (Flowable) die Anforderungen aus Normen, Gesetzen und Sicherheitszielen wirklich erfüllen.