Verinice/Modellierung: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== Beschreibung ==
== Beschreibung ==
Die Modellierung wurde in verinice 1.17 grundsätzlich umgestellt. Beim ersten Start von verinice 1.17 oder 1.18 werden bestehende Modellierungen auf Basis von verinice
Die Modellierung wurde in verinice 1.17 grundsätzlich umgestellt. Beim ersten Start von verinice 1.17 oder 1.18 werden bestehende Modellierungen auf Basis von verinice
1.16 automatisch auf die neue Modellierung migriert. Bitte erstellen Sie vor der
1.16 automatisch auf die neue Modellierung migriert. Bitte erstellen Sie vor der Installation bzw. dem ersten Start von verinice 1.17 und 1.18 deshalb unbedingt ein Backup Ihrer Daten!
Installation bzw. dem ersten Start von verinice 1.17 und 1.18 deshalb unbedingt ein
Falls Sie Ihre bisherige Modellierung nach der vorherigen Methodik beibehalten möchten, können Sie dies erreichen, indem sie die gesicherten Informationsverbünde nach dem ersten Start von verinice 1.18 bzw. 1.17 neu importieren. Wenn die Strukturanalyse durchgeführt und der Schutzbedarf festgestellt wurde, kommt es im nächsten Schritt zur eigentlichen Modellierung.
Backup Ihrer Daten!
Falls Sie Ihre bisherige Modellierung nach der vorherigen Methodik beibehalten möchten, können Sie dies erreichen, indem sie die gesicherten Informationsverbünde nach dem ersten Start von verinice 1.18 bzw. 1.17 neu importieren.
Wenn die Strukturanalyse durchgeführt und der Schutzbedarf festgestellt wurde, kommt es im nächsten Schritt zur eigentlichen Modellierung.


==Modellierung eines Informationsverbundes==
==Modellierung eines Informationsverbundes==
Dazu werden die Bausteine aus dem Katalog View einzeln oder massenweise per Drag-andDrop den entsprechenden Zielobjekten im View Modernisierter IT-Grundschutz zugeordnet. In verinice werden jetzt immer alle Baustein-Anforderungen sowie die relevanten Elementaren
Dazu werden die Bausteine aus dem Katalog View einzeln oder massenweise per Drag-andDrop den entsprechenden Zielobjekten im View Modernisierter IT-Grundschutz zugeordnet. In verinice werden jetzt immer alle Baustein-Anforderungen sowie die relevanten Elementaren Gefährdungen und sofern ausgewählt Umsetzungshinweise/Maßnahmen modelliert!
Gefährdungen und sofern ausgewählt Umsetzungshinweise/Maßnahmen modelliert!


Abbildung 16. Modellierung
Abbildung 16. Modellierung


Dabei führt verinice folgende Aktionen aus:
Dabei führt verinice folgende Aktionen aus:
1. Alle ausgewählten Bausteine inklusive der einzelnen Anforderungen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert.
1. Alle ausgewählten Bausteine inklusive der einzelnen Anforderungen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert. a. Dabei wird jeweils eine Verknüpfung vom Typ Modelliert mit zwischen Zielobjekt und Anforderung angelegt.
a. Dabei wird jeweils eine Verknüpfung vom Typ Modelliert mit zwischen Zielobjekt und
2. Alle Elementaren Gefährdungen zu den ausgewählten Bausteinen werden entsprechend der Kreuzreferenztabellen der jeweiligen Anforderung unterhalb des jeweiligen Zielobjektes kopiert, sofern nicht bereits vorhanden. Dabei wird jeweils:
Anforderung angelegt.
2. Alle Elementaren Gefährdungen zu den ausgewählten Bausteinen werden entsprechend der Kreuzreferenztabellen der jeweiligen Anforderung unterhalb des jeweiligen
Zielobjektes kopiert, sofern nicht bereits vorhanden. Dabei wird jeweils:


a. eine Verknüpfung vom Typ beeinflusst durch zwischen Zielobjekt und Elementarer
a. eine Verknüpfung vom Typ beeinflusst durch zwischen Zielobjekt und Elementarer Gefährdung angelegt. b. eine Verknüpfung vom Typ Reduziert Risiko von zwischen den einzelnen Anforderungen und den Elementaren Gefährdungen angelegt.
Gefährdung angelegt.
3. Alle Umsetzungshinweise inklusive der einzelnen Maßnahmen zu den ausgewählten Bausteinen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert. a. Dabei wird jeweils eine Verknüpfung vom Typ erfüllt durch zwischen der Anforderung und der Maßnahme angelegt. b. In den verknüpften Anforderungen wird die Option Umsetzungsstatus aus Maßnahme ableiten standardmäßig aktiviert.
b. eine Verknüpfung vom Typ Reduziert Risiko von zwischen den einzelnen
Anforderungen und den Elementaren Gefährdungen angelegt.
3. Alle Umsetzungshinweise inklusive der einzelnen Maßnahmen zu den ausgewählten
Bausteinen werden in den gewählten Informationsverbund unterhalb des jeweiligen
Zielobjektes kopiert.
a. Dabei wird jeweils eine Verknüpfung vom Typ erfüllt durch zwischen der Anforderung und der Maßnahme angelegt.
b. In den verknüpften Anforderungen wird die Option Umsetzungsstatus aus Maßnahme ableiten standardmäßig aktiviert.


Abbildung 17. Umsetzungshinweise verwenden
Abbildung 17. Umsetzungshinweise verwenden


Sollen die Umsetzungshinweise des BSI keine Verwendung finden bzw. auf die Verwendung des Objekttyps Maßnahmen in verinice generell verzichtet werden, so kann dies in den
Sollen die Umsetzungshinweise des BSI keine Verwendung finden bzw. auf die Verwendung des Objekttyps Maßnahmen in verinice generell verzichtet werden, so kann dies in den Einstellungen über Bearbeiten > Einstellungen > BSI IT-Grundschutz deaktiviert werden. Andererseits kann eingestellt werden, dass Blanko-Maßnahmen erstellt werden, wenn keine Umsetzungshinweise seitens des BSI zur Verfügung stehen. Da die Anwendung der Umsetzungshinweise optional ist, muss jede Organisation für sich entscheiden, ob in verinice mit dem Objekttyp Maßnahmen gearbeitet werden soll oder nicht. Wie die Bausteine exakt modelliert werden, finden Sie in den Modellierungshinweisen des BSI. Der grundsätzliche Mechanismus der Modellierung wird in dem Kapitel Vorgehensweise der Absicherung beschrieben.
Einstellungen über Bearbeiten > Einstellungen > BSI IT-Grundschutz deaktiviert werden.
Andererseits kann eingestellt werden, dass Blanko-Maßnahmen erstellt werden, wenn keine
Umsetzungshinweise seitens des BSI zur Verfügung stehen.
Da die Anwendung der Umsetzungshinweise optional ist, muss jede Organisation für sich entscheiden, ob in verinice mit dem Objekttyp Maßnahmen gearbeitet werden soll oder nicht.
Wie die Bausteine exakt modelliert werden, finden Sie in den Modellierungshinweisen des BSI.
Der grundsätzliche Mechanismus der Modellierung wird in dem Kapitel Vorgehensweise der
Absicherung beschrieben.


==Konsolidator==
==Konsolidator==
Der Konsolidator für den BSI IT-Grundschutz nach 200-x kann dafür genutzt werden, bestimmte Werte eines Bausteins, seiner Anforderungen und deren verknüpften
Der Konsolidator für den BSI IT-Grundschutz nach 200-x kann dafür genutzt werden, bestimmte Werte eines Bausteins, seiner Anforderungen und deren verknüpften Gefährdungen und Maßnahmen, auf ausgewählte Bausteine mit dem gleichen Identifier zu übertragen. Der Konsolidator lässt sich auf einem Baustein über das Kontextmenü starten. Dieser ausgewählte Baustein dient als Vorlage für den Konsolidator, d.h. seine Inhalte werden auf die anderen Bausteine übertragen. Nach der Abfrage, ob nur der aktuelle oder alle Scopes nach Bausteinen durchsucht werden sollen, durchsucht verinice die entsprechenden Verbünde. In der anschließenden Übersicht stehen alle gefundenen Bausteine mit den dazugehörigen Zielobjekten und Scopes zum konsolidieren zur Auswahl.
Gefährdungen und Maßnahmen, auf ausgewählte Bausteine mit dem gleichen Identifier zu übertragen. Der Konsolidator lässt sich auf einem Baustein über das Kontextmenü starten.
Dieser ausgewählte Baustein dient als Vorlage für den Konsolidator, d.h. seine Inhalte werden auf die anderen Bausteine übertragen. Nach der Abfrage, ob nur der aktuelle oder alle Scopes nach Bausteinen durchsucht werden sollen, durchsucht verinice die entsprechenden Verbünde. In der anschließenden Übersicht stehen alle gefundenen
Bausteine mit den dazugehörigen Zielobjekten und Scopes zum konsolidieren zur Auswahl.


Abbildung 18. Konsolidator - Auswahl der Zielobjekte
Abbildung 18. Konsolidator - Auswahl der Zielobjekte


Nachdem diese selektiert wurden, folgt die Auswahl der zu übertragenen Inhalte.
Nachdem diese selektiert wurden, folgt die Auswahl der zu übertragenen Inhalte. Standardmäßig sind vordefinierte Werte selektiert, können aber den Anforderungen entsprechend geändert werden.
Standardmäßig sind vordefinierte Werte selektiert, können aber den Anforderungen entsprechend geändert werden.


Abbildung 19. Konsolidator - Datenauswahl
Abbildung 19. Konsolidator - Datenauswahl


Nach dem Fertigstellen und Bestätigen, dass die Inhalte überschrieben werden, werden die
Nach dem Fertigstellen und Bestätigen, dass die Inhalte überschrieben werden, werden die Daten konsolidiert, neu berechnet und die View neu geladen. Ist das ausgewählte Startelement kein Baustein, kann der Konsolidator nicht gestartet werden. Der Konsolidator findet anhand des Identifiers die passenden Bausteine und damit verknüpfte Gefährdungen und Maßnahmen. Der Konsolidator löscht oder erzeugt keine Zielobjekte (Gefährdungen, Anforderungen, Maßnahmen), sondern überschreibt nur vorhandene Werte im Zielbaustein.
Daten konsolidiert, neu berechnet und die View neu geladen.
Ist das ausgewählte Startelement kein Baustein, kann der Konsolidator nicht gestartet werden.
Der Konsolidator findet anhand des Identifiers die passenden Bausteine und damit verknüpfte Gefährdungen und Maßnahmen.
Der Konsolidator löscht oder erzeugt keine Zielobjekte (Gefährdungen,
Anforderungen, Maßnahmen), sondern überschreibt nur vorhandene Werte im
Zielbaustein.


Der Konsolidator überschreibt die Werte nur einmalig, d.h. sollten Sie Änderungen an dem Vorlage Baustein vorgenommen haben, die für die anderen Bausteine ebenfalls relevant sind, so müssen Sie den Konsolidator erneut starten oder die Änderungen an den benötigten Bausteinen manuell vornehmen.
Der Konsolidator überschreibt die Werte nur einmalig, d.h. sollten Sie Änderungen an dem Vorlage Baustein vorgenommen haben, die für die anderen Bausteine ebenfalls relevant sind, so müssen Sie den Konsolidator erneut starten oder die Änderungen an den benötigten Bausteinen manuell vornehmen.


== Baustein-Referenzierung ==
== Baustein-Referenzierung ==
Mit der Baustein-Referenzierung ist es möglich im Informationsverbund bereits modellierte
Mit der Baustein-Referenzierung ist es möglich im Informationsverbund bereits modellierte Bausteine für mehrere Zielobjekte gleichzeitig zu nutzen. Dadurch verringert sich sowohl der Aufwand für die Bearbeitung und Pflege der Bausteine, als auch die Anzahl der im Informationsverbund enthaltenen Bausteine. Ab verinice 1.24 wird die Referenzierung von Bausteinen vereinfacht und optisch hervorgehoben. Um einen Baustein zu referenzieren gehen Sie wie folgt vor: Im Informationsverbund sollte ein bereits modellierter Baustein vorhanden sein. D.h. der Baustein (mit Anforderungen, elementaren Gefährdungen und ggf. Umsetzungshinweisen/Maßnahmen) ist unterhalb eines Zielobjekts in der Modernisierter IT-Grundschutz View enthalten. Nun soll dieser Baustein auch für andere Zielobjekte herangezogen werden. Ziehen Sie hierfür den notwendigen Baustein per Drag&Drop auf das gewünschte Zielobjekt und die Referenzierung wird durchgeführt. Bei dieser Aktion wird Folgendes im Hintergrund ausgeführt:
Bausteine für mehrere Zielobjekte gleichzeitig zu nutzen. Dadurch verringert sich sowohl der
Das gewünschte Zielobjekt wird mit allen Anforderungen und den elementaren Gefährdungen des Bausteins verknüpft. Dabei handelt es sich um den Verknüpfungstyp modelliert mit (Verknüpfungen zwischen Anforderung und Zielobjekt) und beeinflusst durch
Aufwand für die Bearbeitung und Pflege der Bausteine, als auch die Anzahl der im
(Verknüpfungen zwischen Gefährdung und Zielobjekt). Sollten bereits Verknüpfungen zwischen dem Zielobjekt und einem Baustein (sprich Anforderungen und Gefährdungen) mit demselben Identifier vorhanden sein, so wird mittels eines Hinweis-Dialogs abgefragt, ob die Referenzierung trotzdem erfolgen soll. Ist die zusätzliche Referenzierung gewünscht, so werden weitere Verknüpfungen angelegt. Unter Umständen können dadurch Anforderungen mehrfach verknüpft sein.
Informationsverbund enthaltenen Bausteine.
Ab verinice 1.24 wird die Referenzierung von Bausteinen vereinfacht und optisch hervorgehoben.
Um einen Baustein zu referenzieren gehen Sie wie folgt vor: Im Informationsverbund sollte ein bereits modellierter Baustein vorhanden sein. D.h. der Baustein (mit Anforderungen, elementaren Gefährdungen und ggf. Umsetzungshinweisen/Maßnahmen) ist unterhalb eines Zielobjekts in der Modernisierter IT-Grundschutz View enthalten. Nun soll dieser
Baustein auch für andere Zielobjekte herangezogen werden. Ziehen Sie hierfür den notwendigen Baustein per Drag&Drop auf das gewünschte Zielobjekt und die
Referenzierung wird durchgeführt. Bei dieser Aktion wird Folgendes im Hintergrund ausgeführt:
Das gewünschte Zielobjekt wird mit allen Anforderungen und den elementaren
Gefährdungen des Bausteins verknüpft. Dabei handelt es sich um den Verknüpfungstyp modelliert mit (Verknüpfungen zwischen Anforderung und Zielobjekt) und beeinflusst durch
(Verknüpfungen zwischen Gefährdung und Zielobjekt).
Sollten bereits Verknüpfungen zwischen dem Zielobjekt und einem Baustein (sprich
Anforderungen und Gefährdungen) mit demselben Identifier vorhanden sein, so wird mittels eines Hinweis-Dialogs abgefragt, ob die Referenzierung trotzdem erfolgen soll. Ist die zusätzliche Referenzierung gewünscht, so werden weitere Verknüpfungen angelegt. Unter
Umständen können dadurch Anforderungen mehrfach verknüpft sein.


Abbildung 20. Baustein-Referenzierung
Abbildung 20. Baustein-Referenzierung


Optisch erkennen Sie die Zielobjekte, bei denen eine Baustein-Referenzierung vorliegt, an der kursiven und leicht ausgegrauten Schrift in der Baumstruktur von verinice. Weitere
Optisch erkennen Sie die Zielobjekte, bei denen eine Baustein-Referenzierung vorliegt, an der kursiven und leicht ausgegrauten Schrift in der Baumstruktur von verinice. Weitere Informationen zu den Verknüpfungen entnehmen Sie dann der View: Verknüpfungen. Sollte ein Baustein direkt auf dem Zielobjekt modelliert sein, so wird dieser nach wie vor unterhalb des Zielobjektes angezeigt. Dadurch sind Hybrid-Modellierungen möglich:
Informationen zu den Verknüpfungen entnehmen Sie dann der View: Verknüpfungen.
Sollte ein Baustein direkt auf dem Zielobjekt modelliert sein, so wird dieser nach wie vor unterhalb des Zielobjektes angezeigt. Dadurch sind Hybrid-Modellierungen möglich:
Bausteine sind direkt (unterhalb des Zielobjektes) modelliert und als Baustein-Referenzen
Bausteine sind direkt (unterhalb des Zielobjektes) modelliert und als Baustein-Referenzen
(durch Verknüpfungen realisiert) vorhanden.
(durch Verknüpfungen realisiert) vorhanden.
Zeile 97: Zeile 53:
Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium
Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium


Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten.
Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten. Bei der erneuten Modellierung werden folgende Aktionen ausgeführt:
Bei der erneuten Modellierung werden folgende Aktionen ausgeführt:
1. Aktualisierung der Inhalte wie z.B. Titel, Vorgehensweise, Release, Änderungstyp, Änderungsdetails, Objektbrowserinhalte. a. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen. b. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt.
1. Aktualisierung der Inhalte wie z.B. Titel, Vorgehensweise, Release, Änderungstyp,
2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden a. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und b. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt. c. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt.
Änderungsdetails, Objektbrowserinhalte.
a. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen.
b. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt.
2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden a. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und b. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt.
c. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt.
3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen)
3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen)
werden erzeugt.
werden erzeugt.
4. Ihre Bearbeitung der Objekte (z.B. Umsetzungsstatus, Erläuterungen) bleiben erhalten.
4. Ihre Bearbeitung der Objekte (z.B. Umsetzungsstatus, Erläuterungen) bleiben erhalten. Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein, Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell
Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein,
Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell


anpassen. Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer
anpassen. Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer Baustein neu modelliert. Bei dem Update dürfen nur minor Editionen übersprungen werden. Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich. Nicht möglich ist von 2018-0 auf 2020-0). Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich. D.h. also von 2020-0
Baustein neu modelliert.
Bei dem Update dürfen nur minor Editionen übersprungen werden. Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich. Nicht möglich ist von 2018-0 auf 2020-0).
Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich. D.h. also von 2020-0
auf 2019-0 ist nicht möglich.
auf 2019-0 ist nicht möglich.


==Vorgehensweise der Absicherung==
==Vorgehensweise der Absicherung==
Für jeden Informationsverbund können Sie die Basis-, Standard- oder Kernabsicherung als
Für jeden Informationsverbund können Sie die Basis-, Standard- oder Kernabsicherung als Vorgehensweise separat festlegen:
Vorgehensweise separat festlegen:


Abbildung 22. Vorgehensweise der Absicherung
Abbildung 22. Vorgehensweise der Absicherung


Bei aktiviertem Filter Informationsverbünde nach Vorgehensweise der Absicherung filtern im Menü Ansicht, werden jeweils nur die Anforderungen, Maßnahmen sowie die verknüpften Gefährdungen der für die einzelnen Informationsverbünde ausgewählten
Bei aktiviertem Filter Informationsverbünde nach Vorgehensweise der Absicherung filtern im Menü Ansicht, werden jeweils nur die Anforderungen, Maßnahmen sowie die verknüpften Gefährdungen der für die einzelnen Informationsverbünde ausgewählten Vorgehensweise der Absicherung angezeigt. Das BSI sieht verschiedene Möglichkeiten der zeitlichen Abfolge unterschiedlicher Vorgehensweisen vor, die sich in verinice durch mehrere Informationsverbünde mit unterschiedlichen Vorgehensweisen der Absicherung abbilden lassen. Soll zum Beispiel nach Umsetzung einer Kernabsicherung für einen zentralen Bereich die Basisabsicherung für die gesamte Organisation folgen, so kann dies durch Abbildung zweier getrennter Informationsverbünde geschehen. Auch die Erweiterung von z.B. einer Basisabsicherung auf eine Standardabsicherung kann durch Änderung der Vorgehensweise der Absicherung im Informationsverbund einfach abgebildet werden.
Vorgehensweise der Absicherung angezeigt. Das BSI sieht verschiedene Möglichkeiten der zeitlichen Abfolge unterschiedlicher Vorgehensweisen vor, die sich in verinice durch mehrere Informationsverbünde mit unterschiedlichen Vorgehensweisen der Absicherung abbilden lassen. Soll zum Beispiel nach Umsetzung einer Kernabsicherung für einen zentralen Bereich die Basisabsicherung für die gesamte Organisation folgen, so kann dies durch Abbildung zweier getrennter Informationsverbünde geschehen. Auch die Erweiterung von z.B. einer Basisabsicherung auf eine Standardabsicherung kann durch Änderung der
Vorgehensweise der Absicherung im Informationsverbund einfach abgebildet werden.


== Benutzerdefinierte Bausteine ==
== Benutzerdefinierte Bausteine ==
Zeile 132: Zeile 75:
Abbildung 23. Benutzerdefinierter Baustein
Abbildung 23. Benutzerdefinierter Baustein


Um sämtliche Funktionen eines Bausteines in verinice nutzen zu können, legen Sie die
Um sämtliche Funktionen eines Bausteines in verinice nutzen zu können, legen Sie die Verknüpfungen zwischen Anforderungen und Maßnahme (Verknüpfungstyp: erfüllt durch <>
Verknüpfungen zwischen Anforderungen und Maßnahme (Verknüpfungstyp: erfüllt durch <>
erfüllt) und zwischen Anforderung und Elementarer Gefährdung (Verknüpfungstyp:
erfüllt) und zwischen Anforderung und Elementarer Gefährdung (Verknüpfungstyp:
reduziert Risiko von <> Risiko reduziert durch) per Drag-and-Drop oder im Link-Maker-Bereich des Editors an. Benutzerdefinierte Bausteine können nun sofort mit Zielobjekten verknüpft werden (Verknüpfungstyp: modelliert <> modelliert mit).
reduziert Risiko von <> Risiko reduziert durch) per Drag-and-Drop oder im Link-Maker-Bereich des Editors an. Benutzerdefinierte Bausteine können nun sofort mit Zielobjekten verknüpft werden (Verknüpfungstyp: modelliert <> modelliert mit). Bitte legen Sie die Vorgehensweise in Anforderung und Maßnahme manuell fest und definieren Sie, welche Schutzbedarfsziele für Anforderungen, Maßnahmen und Gefährdungen berücksichtigt werden sollen.
Bitte legen Sie die Vorgehensweise in Anforderung und Maßnahme manuell fest und definieren Sie, welche Schutzbedarfsziele für Anforderungen, Maßnahmen und
Gefährdungen berücksichtigt werden sollen.


==Profile==
==Profile==
Um benutzerdefinierte Bausteine für zukünftige Modellierungen global in verinice.PRO oder lokal in der Einzelplatzversion zur Verfügung zu stellen, können Sie fertiggestellte benutzerdefinierte Bausteine als Informationsverbund exportieren und im View ITGrundschutz-Kompendium als neuen Katalog importieren. Exportieren Sie den
Um benutzerdefinierte Bausteine für zukünftige Modellierungen global in verinice.PRO oder lokal in der Einzelplatzversion zur Verfügung zu stellen, können Sie fertiggestellte benutzerdefinierte Bausteine als Informationsverbund exportieren und im View ITGrundschutz-Kompendium als neuen Katalog importieren. Exportieren Sie den Informationsverbund dazu aus dem View Modernisierter IT-Grundschutz über das Icon Exportiere Organisation in Datei… und reimportieren Sie die Datei im View IT-GrundschutzKompendium über das Icon Importiere Organisation aus Datei…:
Informationsverbund dazu aus dem View Modernisierter IT-Grundschutz über das Icon
Exportiere Organisation in Datei… und reimportieren Sie die Datei im View IT-GrundschutzKompendium über das Icon
Importiere Organisation aus Datei…:


Abbildung 24. Profile
Abbildung 24. Profile
Zeile 151: Zeile 88:


== Bearbeiten der Bausteine ==
== Bearbeiten der Bausteine ==
In diesem Schritt gilt es, den Status der modellierten Bausteine, konkret der einzelnen
In diesem Schritt gilt es, den Status der modellierten Bausteine, konkret der einzelnen Anforderungen und der verknüpften Maßnahmen abzuarbeiten. Um Maßnahmen zu bearbeiten, klicken Sie im View Modernisierter IT-Grundschutz die entsprechende Maßnahme doppelt an. Der Editor zeigt nun die Eingabemaske für diese Maßnahme. Im Link-Maker-Bereich ist die Verknüpfung zu erkennen - die Maßnahme erfüllt die jeweilige Anforderung des Bausteines:
Anforderungen und der verknüpften Maßnahmen abzuarbeiten.
Um Maßnahmen zu bearbeiten, klicken Sie im View Modernisierter IT-Grundschutz die entsprechende Maßnahme doppelt an. Der Editor zeigt nun die Eingabemaske für diese
Maßnahme. Im Link-Maker-Bereich ist die Verknüpfung zu erkennen - die Maßnahme erfüllt die jeweilige Anforderung des Bausteines:


Abbildung 27. Umsetzungsstatus von Maßnahmen bearbeiten
Abbildung 27. Umsetzungsstatus von Maßnahmen bearbeiten


Setzen Sie den Umsetzungsstatus im Abschnitt Umsetzung auf einen der möglichen Werte unbearbeitet, Nein, Ja, Teilweise oder entbehrlich und speichern Sie die Änderungen über das
Setzen Sie den Umsetzungsstatus im Abschnitt Umsetzung auf einen der möglichen Werte unbearbeitet, Nein, Ja, Teilweise oder entbehrlich und speichern Sie die Änderungen über das Icon Speichern [Shortcut: Strg+S]. Mit doppeltem Mausklick auf die verknüpfte Anforderung im Link-Maker-Bereich öffnen Sie diese im Editor:
Icon
Speichern [Shortcut: Strg+S].
Mit doppeltem Mausklick auf die verknüpfte Anforderung im Link-Maker-Bereich öffnen Sie diese im Editor:


Abbildung 28. Umsetzungsstatus von Maßnahmen automatisiert ableiten
Abbildung 28. Umsetzungsstatus von Maßnahmen automatisiert ableiten


Im Abschnitt Umsetzung im Editor ist zu erkennen, dass der Umsetzungsstatus der
Im Abschnitt Umsetzung im Editor ist zu erkennen, dass der Umsetzungsstatus der Anforderung automatisiert aus der verknüpften und im vorherigen Schritt bearbeiteten Maßnahme abgeleitet wird. Auf diese Weise wird die zusätzliche Bearbeitung des Umsetzungsstatus der Anforderungen erheblich vereinfacht. Die Checkbox Umsetzungsstatus aus Maßnahme ableiten ist dazu für alle Anforderungen standardmäßig aktiviert und das Auswahlfeld für den Umsetzungsstatus selbst deaktiviert (ausgegraut). In der Realität ist dieser Schritt langwieriger, da sich oft eine Vielzahl von Anforderungen und Maßnahmen in der Umsetzung befindet. Nachdem alle modellierten Bausteine und Maßnahmen bearbeitet worden sind, ist ein ITGrundschutz-Check möglich.
Anforderung automatisiert aus der verknüpften und im vorherigen Schritt bearbeiteten
Maßnahme abgeleitet wird. Auf diese Weise wird die zusätzliche Bearbeitung des
Umsetzungsstatus der Anforderungen erheblich vereinfacht. Die Checkbox Umsetzungsstatus aus Maßnahme ableiten ist dazu für alle Anforderungen standardmäßig aktiviert und das
Auswahlfeld für den Umsetzungsstatus selbst deaktiviert (ausgegraut).
In der Realität ist dieser Schritt langwieriger, da sich oft eine Vielzahl von Anforderungen und Maßnahmen in der Umsetzung befindet.
Nachdem alle modellierten Bausteine und Maßnahmen bearbeitet worden sind, ist ein ITGrundschutz-Check möglich.


[[Kategorie:Verinice]]
[[Kategorie:Verinice]]

Version vom 9. Mai 2023, 11:39 Uhr

Beschreibung

Die Modellierung wurde in verinice 1.17 grundsätzlich umgestellt. Beim ersten Start von verinice 1.17 oder 1.18 werden bestehende Modellierungen auf Basis von verinice 1.16 automatisch auf die neue Modellierung migriert. Bitte erstellen Sie vor der Installation bzw. dem ersten Start von verinice 1.17 und 1.18 deshalb unbedingt ein Backup Ihrer Daten! Falls Sie Ihre bisherige Modellierung nach der vorherigen Methodik beibehalten möchten, können Sie dies erreichen, indem sie die gesicherten Informationsverbünde nach dem ersten Start von verinice 1.18 bzw. 1.17 neu importieren. Wenn die Strukturanalyse durchgeführt und der Schutzbedarf festgestellt wurde, kommt es im nächsten Schritt zur eigentlichen Modellierung.

Modellierung eines Informationsverbundes

Dazu werden die Bausteine aus dem Katalog View einzeln oder massenweise per Drag-andDrop den entsprechenden Zielobjekten im View Modernisierter IT-Grundschutz zugeordnet. In verinice werden jetzt immer alle Baustein-Anforderungen sowie die relevanten Elementaren Gefährdungen und sofern ausgewählt Umsetzungshinweise/Maßnahmen modelliert!

Abbildung 16. Modellierung

Dabei führt verinice folgende Aktionen aus: 1. Alle ausgewählten Bausteine inklusive der einzelnen Anforderungen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert. a. Dabei wird jeweils eine Verknüpfung vom Typ Modelliert mit zwischen Zielobjekt und Anforderung angelegt. 2. Alle Elementaren Gefährdungen zu den ausgewählten Bausteinen werden entsprechend der Kreuzreferenztabellen der jeweiligen Anforderung unterhalb des jeweiligen Zielobjektes kopiert, sofern nicht bereits vorhanden. Dabei wird jeweils:

a. eine Verknüpfung vom Typ beeinflusst durch zwischen Zielobjekt und Elementarer Gefährdung angelegt. b. eine Verknüpfung vom Typ Reduziert Risiko von zwischen den einzelnen Anforderungen und den Elementaren Gefährdungen angelegt. 3. Alle Umsetzungshinweise inklusive der einzelnen Maßnahmen zu den ausgewählten Bausteinen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert. a. Dabei wird jeweils eine Verknüpfung vom Typ erfüllt durch zwischen der Anforderung und der Maßnahme angelegt. b. In den verknüpften Anforderungen wird die Option Umsetzungsstatus aus Maßnahme ableiten standardmäßig aktiviert.

Abbildung 17. Umsetzungshinweise verwenden

Sollen die Umsetzungshinweise des BSI keine Verwendung finden bzw. auf die Verwendung des Objekttyps Maßnahmen in verinice generell verzichtet werden, so kann dies in den Einstellungen über Bearbeiten > Einstellungen > BSI IT-Grundschutz deaktiviert werden. Andererseits kann eingestellt werden, dass Blanko-Maßnahmen erstellt werden, wenn keine Umsetzungshinweise seitens des BSI zur Verfügung stehen. Da die Anwendung der Umsetzungshinweise optional ist, muss jede Organisation für sich entscheiden, ob in verinice mit dem Objekttyp Maßnahmen gearbeitet werden soll oder nicht. Wie die Bausteine exakt modelliert werden, finden Sie in den Modellierungshinweisen des BSI. Der grundsätzliche Mechanismus der Modellierung wird in dem Kapitel Vorgehensweise der Absicherung beschrieben.

Konsolidator

Der Konsolidator für den BSI IT-Grundschutz nach 200-x kann dafür genutzt werden, bestimmte Werte eines Bausteins, seiner Anforderungen und deren verknüpften Gefährdungen und Maßnahmen, auf ausgewählte Bausteine mit dem gleichen Identifier zu übertragen. Der Konsolidator lässt sich auf einem Baustein über das Kontextmenü starten. Dieser ausgewählte Baustein dient als Vorlage für den Konsolidator, d.h. seine Inhalte werden auf die anderen Bausteine übertragen. Nach der Abfrage, ob nur der aktuelle oder alle Scopes nach Bausteinen durchsucht werden sollen, durchsucht verinice die entsprechenden Verbünde. In der anschließenden Übersicht stehen alle gefundenen Bausteine mit den dazugehörigen Zielobjekten und Scopes zum konsolidieren zur Auswahl.

Abbildung 18. Konsolidator - Auswahl der Zielobjekte

Nachdem diese selektiert wurden, folgt die Auswahl der zu übertragenen Inhalte. Standardmäßig sind vordefinierte Werte selektiert, können aber den Anforderungen entsprechend geändert werden.

Abbildung 19. Konsolidator - Datenauswahl

Nach dem Fertigstellen und Bestätigen, dass die Inhalte überschrieben werden, werden die Daten konsolidiert, neu berechnet und die View neu geladen. Ist das ausgewählte Startelement kein Baustein, kann der Konsolidator nicht gestartet werden. Der Konsolidator findet anhand des Identifiers die passenden Bausteine und damit verknüpfte Gefährdungen und Maßnahmen. Der Konsolidator löscht oder erzeugt keine Zielobjekte (Gefährdungen, Anforderungen, Maßnahmen), sondern überschreibt nur vorhandene Werte im Zielbaustein.

Der Konsolidator überschreibt die Werte nur einmalig, d.h. sollten Sie Änderungen an dem Vorlage Baustein vorgenommen haben, die für die anderen Bausteine ebenfalls relevant sind, so müssen Sie den Konsolidator erneut starten oder die Änderungen an den benötigten Bausteinen manuell vornehmen.

Baustein-Referenzierung

Mit der Baustein-Referenzierung ist es möglich im Informationsverbund bereits modellierte Bausteine für mehrere Zielobjekte gleichzeitig zu nutzen. Dadurch verringert sich sowohl der Aufwand für die Bearbeitung und Pflege der Bausteine, als auch die Anzahl der im Informationsverbund enthaltenen Bausteine. Ab verinice 1.24 wird die Referenzierung von Bausteinen vereinfacht und optisch hervorgehoben. Um einen Baustein zu referenzieren gehen Sie wie folgt vor: Im Informationsverbund sollte ein bereits modellierter Baustein vorhanden sein. D.h. der Baustein (mit Anforderungen, elementaren Gefährdungen und ggf. Umsetzungshinweisen/Maßnahmen) ist unterhalb eines Zielobjekts in der Modernisierter IT-Grundschutz View enthalten. Nun soll dieser Baustein auch für andere Zielobjekte herangezogen werden. Ziehen Sie hierfür den notwendigen Baustein per Drag&Drop auf das gewünschte Zielobjekt und die Referenzierung wird durchgeführt. Bei dieser Aktion wird Folgendes im Hintergrund ausgeführt: Das gewünschte Zielobjekt wird mit allen Anforderungen und den elementaren Gefährdungen des Bausteins verknüpft. Dabei handelt es sich um den Verknüpfungstyp modelliert mit (Verknüpfungen zwischen Anforderung und Zielobjekt) und beeinflusst durch (Verknüpfungen zwischen Gefährdung und Zielobjekt). Sollten bereits Verknüpfungen zwischen dem Zielobjekt und einem Baustein (sprich Anforderungen und Gefährdungen) mit demselben Identifier vorhanden sein, so wird mittels eines Hinweis-Dialogs abgefragt, ob die Referenzierung trotzdem erfolgen soll. Ist die zusätzliche Referenzierung gewünscht, so werden weitere Verknüpfungen angelegt. Unter Umständen können dadurch Anforderungen mehrfach verknüpft sein.

Abbildung 20. Baustein-Referenzierung

Optisch erkennen Sie die Zielobjekte, bei denen eine Baustein-Referenzierung vorliegt, an der kursiven und leicht ausgegrauten Schrift in der Baumstruktur von verinice. Weitere Informationen zu den Verknüpfungen entnehmen Sie dann der View: Verknüpfungen. Sollte ein Baustein direkt auf dem Zielobjekt modelliert sein, so wird dieser nach wie vor unterhalb des Zielobjektes angezeigt. Dadurch sind Hybrid-Modellierungen möglich: Bausteine sind direkt (unterhalb des Zielobjektes) modelliert und als Baustein-Referenzen (durch Verknüpfungen realisiert) vorhanden.

Updatefunktion für das IT-Grundschutz-Kompendium

Ab verinice 1.20 werden bei Verwendung des IT-Grundschutz-Kompendiums (ab Version 7.1 Edition 2019 und 8.0 Edition 2020 bereitgestellt durch das verinice.TEAM) alle Änderungen durch Angabe des Release der Edition, des Änderungstyps (neu, geändert, umsortiert, entfallen) und der Änderungsdetails dargestellt in:

  • Bausteinen (Anforderungsgruppen) und Anforderungen
  • Maßnahmengruppen und Maßnahmen
  • Gefährdungsgruppen und Gefährdungen

Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium

Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten. Bei der erneuten Modellierung werden folgende Aktionen ausgeführt: 1. Aktualisierung der Inhalte wie z.B. Titel, Vorgehensweise, Release, Änderungstyp, Änderungsdetails, Objektbrowserinhalte. a. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen. b. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt. 2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden a. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und b. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt. c. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt. 3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen) werden erzeugt. 4. Ihre Bearbeitung der Objekte (z.B. Umsetzungsstatus, Erläuterungen) bleiben erhalten. Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein, Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell

anpassen. Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer Baustein neu modelliert. Bei dem Update dürfen nur minor Editionen übersprungen werden. Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich. Nicht möglich ist von 2018-0 auf 2020-0). Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich. D.h. also von 2020-0 auf 2019-0 ist nicht möglich.

Vorgehensweise der Absicherung

Für jeden Informationsverbund können Sie die Basis-, Standard- oder Kernabsicherung als Vorgehensweise separat festlegen:

Abbildung 22. Vorgehensweise der Absicherung

Bei aktiviertem Filter Informationsverbünde nach Vorgehensweise der Absicherung filtern im Menü Ansicht, werden jeweils nur die Anforderungen, Maßnahmen sowie die verknüpften Gefährdungen der für die einzelnen Informationsverbünde ausgewählten Vorgehensweise der Absicherung angezeigt. Das BSI sieht verschiedene Möglichkeiten der zeitlichen Abfolge unterschiedlicher Vorgehensweisen vor, die sich in verinice durch mehrere Informationsverbünde mit unterschiedlichen Vorgehensweisen der Absicherung abbilden lassen. Soll zum Beispiel nach Umsetzung einer Kernabsicherung für einen zentralen Bereich die Basisabsicherung für die gesamte Organisation folgen, so kann dies durch Abbildung zweier getrennter Informationsverbünde geschehen. Auch die Erweiterung von z.B. einer Basisabsicherung auf eine Standardabsicherung kann durch Änderung der Vorgehensweise der Absicherung im Informationsverbund einfach abgebildet werden.

Benutzerdefinierte Bausteine

Benutzerdefinierte Bausteine, Anforderungen, Maßnahmen und Gefährdungen, lassen sich im View Modernisierter IT-Grundschutz komfortabel durch rechten Mausklick auf den jeweiligen Objekttyp erstellen. Das folgenden Beispiel zeigt eine einfache Kombination von neu angelegten Gruppen und Objekten:

Abbildung 23. Benutzerdefinierter Baustein

Um sämtliche Funktionen eines Bausteines in verinice nutzen zu können, legen Sie die Verknüpfungen zwischen Anforderungen und Maßnahme (Verknüpfungstyp: erfüllt durch <> erfüllt) und zwischen Anforderung und Elementarer Gefährdung (Verknüpfungstyp: reduziert Risiko von <> Risiko reduziert durch) per Drag-and-Drop oder im Link-Maker-Bereich des Editors an. Benutzerdefinierte Bausteine können nun sofort mit Zielobjekten verknüpft werden (Verknüpfungstyp: modelliert <> modelliert mit). Bitte legen Sie die Vorgehensweise in Anforderung und Maßnahme manuell fest und definieren Sie, welche Schutzbedarfsziele für Anforderungen, Maßnahmen und Gefährdungen berücksichtigt werden sollen.

Profile

Um benutzerdefinierte Bausteine für zukünftige Modellierungen global in verinice.PRO oder lokal in der Einzelplatzversion zur Verfügung zu stellen, können Sie fertiggestellte benutzerdefinierte Bausteine als Informationsverbund exportieren und im View ITGrundschutz-Kompendium als neuen Katalog importieren. Exportieren Sie den Informationsverbund dazu aus dem View Modernisierter IT-Grundschutz über das Icon Exportiere Organisation in Datei… und reimportieren Sie die Datei im View IT-GrundschutzKompendium über das Icon Importiere Organisation aus Datei…:

Abbildung 24. Profile

Hybride Modellierung

Verinice/Modellierung/Hybrid

Bearbeiten der Bausteine

In diesem Schritt gilt es, den Status der modellierten Bausteine, konkret der einzelnen Anforderungen und der verknüpften Maßnahmen abzuarbeiten. Um Maßnahmen zu bearbeiten, klicken Sie im View Modernisierter IT-Grundschutz die entsprechende Maßnahme doppelt an. Der Editor zeigt nun die Eingabemaske für diese Maßnahme. Im Link-Maker-Bereich ist die Verknüpfung zu erkennen - die Maßnahme erfüllt die jeweilige Anforderung des Bausteines:

Abbildung 27. Umsetzungsstatus von Maßnahmen bearbeiten

Setzen Sie den Umsetzungsstatus im Abschnitt Umsetzung auf einen der möglichen Werte unbearbeitet, Nein, Ja, Teilweise oder entbehrlich und speichern Sie die Änderungen über das Icon Speichern [Shortcut: Strg+S]. Mit doppeltem Mausklick auf die verknüpfte Anforderung im Link-Maker-Bereich öffnen Sie diese im Editor:

Abbildung 28. Umsetzungsstatus von Maßnahmen automatisiert ableiten

Im Abschnitt Umsetzung im Editor ist zu erkennen, dass der Umsetzungsstatus der Anforderung automatisiert aus der verknüpften und im vorherigen Schritt bearbeiteten Maßnahme abgeleitet wird. Auf diese Weise wird die zusätzliche Bearbeitung des Umsetzungsstatus der Anforderungen erheblich vereinfacht. Die Checkbox Umsetzungsstatus aus Maßnahme ableiten ist dazu für alle Anforderungen standardmäßig aktiviert und das Auswahlfeld für den Umsetzungsstatus selbst deaktiviert (ausgegraut). In der Realität ist dieser Schritt langwieriger, da sich oft eine Vielzahl von Anforderungen und Maßnahmen in der Umsetzung befindet. Nachdem alle modellierten Bausteine und Maßnahmen bearbeitet worden sind, ist ein ITGrundschutz-Check möglich.