Referenzarchitektur ISMS‑BPM‑Doku‑Stack (CISO Assistant · Flowable · Wazuh · BookStack)“ Referenzarchitektur ISMS‑BPM‑Doku‑Stack (CISO Assistant · Flowable · Wazuh · BookStack) Ziel Dieses Konzept beschreibt, wie CISO Assistant, Flowable, Wazuh und BookStack gemeinsam eingesetzt werden, um Prozesse, Rollen und Berechtigungen, Datenklassifizierung, Risiken und ISMS-Anforderungen konsistent zu erfassen, zu dokumentieren und zu steuern. 1. Aufgabenteilung der Anwendungen BookStack – Dokumentation & Handbuch Ablage von Prozessbeschreibungen, Rollenbeschreibungen, System- und Betriebsdokumentation, Richtlinien und Arbeitsanweisungen. Zielgruppe: Fachbereiche, IT, Management (lesbare, verständliche Texte). Flowable – Ausführbare Prozesse (BPM) Modellierung und Ausführung von Prozessen wie Benutzeranlage, Rechteänderung, Rezertifizierung, Changes, Incidents. Steuerung von Aufgaben, Eskalationen und Genehmigungen. CISO Assistant – ISMS/GRC Verwaltung von Assets, Risiken, Kontrollen, Maßnahmen, Audits und Framework-Compliance (z.B. ISO, NIST, NIS2). Nachweisführung gegenüber Audits und Management. Wazuh – Sicherheitsüberwachung (SIEM/XDR) Technische Sicherheitsüberwachung, Events, Schwachstellen, Compliance-Checks als Input für Risiko- und Maßnahmenmanagement. Grundregel: Prozess- und Betriebsdokumentation steht in BookStack. Prozessausführung läuft in Flowable. Risiken, Kontrollen, Audits und Maßnahmen werden in CISO Assistant geführt. Sicherheitsereignisse und technische Findings kommen aus Wazuh. 2. Namenskonzept und Präfixe Für Nutzeroberflächen werden ausgeschriebene Präfixe verwendet, um Inhalte eindeutig einzuordnen, ohne kryptische Kürzel. Beispiele für Titel: Prozesse: „Prozess – Benutzeranlage im Active Directory“ „Prozess – Rechteänderung in Fachanwendungen“ Richtlinien: „Richtlinie – Passwortsicherheit“ „Richtlinie – Berechtigungsmanagement“ Arbeitsanweisungen (SOP): „Arbeitsanweisung – Benutzeranlage im Active Directory“ Rollen: „Rolle – Fachadministrator Active Directory“ „Rolle – Antragssteller Fachbereich“ Systeme: „System – Active Directory“ „System – Fachanwendung X“ Technische Kennungen (für Mapping/Automatisierung) werden im Hintergrund genutzt, z.B. als Feld im Dokument, Flowable-Key oder CISO-Custom-Feld: „Kennung: PR-Benutzeranlage-AD“ „Kennung: RL-Passwortsicherheit“ Die Kennung wird im Kopfbereich der BookStack-Seite dokumentiert und identisch in Flowable und CISO Assistant wiederverwendet. 3. Struktur in BookStack BookStack dient als zentrale Wissensbasis mit verständlichen Inhalten. Struktur pro Kunde (Beispiel): Shelf: „Kunde “ Book: „Prozesse“ Seite: „Prozess – Benutzeranlage im Active Directory“ Seite: „Prozess – Rechteänderung in Fachanwendungen“ Seite: „Prozess – Regelmäßige Rechte-Reviews“ Book: „Systeme & Anwendungen“ Seite: „System – Active Directory“ Seite: „System – Fachanwendung X“ Book: „Rollen & Berechtigungen“ Seite: „Rolle – Rollenmodell Kunde “ Seite: „Rolle – Fachadministrator Active Directory“ Book: „Richtlinien & Arbeitsanweisungen“ Seite: „Richtlinie – Passwortsicherheit“ Seite: „Arbeitsanweisung – Benutzeranlage im Active Directory“ Inhaltlicher Aufbau einer Prozess-Seite (Beispiel „Prozess – Benutzeranlage im Active Directory“): Kopfbereich: Kennung: PR-Benutzeranlage-AD Version / Datum Verantwortliche Rolle Kapitel: Zweck und Geltungsbereich Beteiligte Rollen Auslöser und Inputs Ablauf in Schritten (Kurzbeschreibung, kein BPMN) Verweise: zugehörige Arbeitsanweisung Flowable-Workflow (Kennung/Name) CISO-Asset / Kontrollen 4. Nutzung von Flowable Flowable bildet die ausführbaren Workflows ab. Für jeden relevanten Prozess: Process Name (sichtbar): z.B. „Prozess – Benutzeranlage im Active Directory“ Process Key (technische Kennung): z.B. PR-Benutzeranlage-AD In der Prozessbeschreibung: Hinweis auf die entsprechende BookStack-Seite: „Siehe Prozessbeschreibung ‚Prozess – Benutzeranlage im Active Directory‘ in BookStack.“ In User-Tasks: Kurzbeschreibung des Schritts Verweis auf die passende Arbeitsanweisung in BookStack, z.B.: „Siehe ‚Arbeitsanweisung – Benutzeranlage im Active Directory‘.“ Regel: Jeder Flowable-Prozess verweist mindestens auf eine Prozess-Seite und – falls vorhanden – eine Arbeitsanweisung in BookStack. 5. Nutzung von CISO Assistant CISO Assistant ist das zentrale ISMS-/GRC-System. Pro Kunde werden mindestens abgebildet: Assets, z.B.: „Prozess – Benutzeranlage im Active Directory“ (Prozess-Asset) „System – Active Directory“ (System-Asset) Risiken, z.B.: „Risiko – Fehlende Vier-Augen-Prüfung bei Benutzeranlage“ Kontrollen, z.B.: „Kontrolle – Vier-Augen-Prinzip bei Benutzeranlage“ Zusätzliche Felder pro Objekt (Beispiele): dokumentation_url : Link zur relevanten BookStack-Seite (Prozess, Richtlinie, Arbeitsanweisung). workflow_kennung : Kennung des zugehörigen Flowable-Prozesses (z.B. PR-Benutzeranlage-AD ). Beispiel-Asset: Name: „Prozess – Benutzeranlage im Active Directory“ Kennung: PR-Benutzeranlage-AD dokumentation_url: Verweis auf BookStack workflow_kennung: PR-Benutzeranlage-AD So bleibt die Verbindung zwischen Dokumentation (BookStack), Ablauf (Flowable) und ISMS-Sicht (CISO Assistant) konsistent. 6. Nutzung von Wazuh Wazuh liefert technische Sicherheitsinformationen. Integration auf konzeptioneller Ebene: Relevante Findings (z.B. verdächtige Logons, fehlende Patches, Policy-Verstöße) werden in CISO Assistant als Risiken, Incidents oder Findings mit Bezug zu Assets erfasst. Beispiele: Titel in CISO Assistant: „Incident – Verdächtige Logons im System – Active Directory“ Referenzen: Quelle: Wazuh Alert-ID optional Link zum Wazuh-Dashboard Diese Incidents oder Risiken können Flowable-Workflows anstoßen, z.B. einen Incident-Prozess oder einen Prozess für Notfall-Berechtigungsentzug. 7. Grundprinzipien für ein sauberes Gesamtbild Klare Verantwortlichkeiten pro System BookStack: lesbare Dokumentation und Handbuch. Flowable: ausführbare Prozesse. CISO Assistant: Risiko-, Kontroll-, Maßnahmen- und Auditverwaltung. Wazuh: technische Sicherheitslage. Sprechende Titel mit ausgeschriebenen Präfixen Präfixe wie „Prozess – …“, „Richtlinie – …“, „Arbeitsanweisung – …“, „Rolle – …“, „System – …“ werden durchgängig verwendet. Technische Kennungen nur für Mapping Kurze Kennungen (z.B. PR-Benutzeranlage-AD ) werden konsistent in allen Systemen genutzt, aber nicht als primäre Anzeige für Nutzer. Verknüpfung über Kennungen und Klartext-Verweise Verknüpfungen zwischen den Systemen erfolgen über einheitliche Kennungen und benannte Verweise, nicht über komplexe, starre Integrationen.