Verinice/Modellierung: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 1: | Zeile 1: | ||
'''topic''' - Kurzbeschreibung | |||
== Beschreibung == | |||
== Installation == | |||
== Syntax == | |||
=== Optionen === | |||
=== Parameter === | |||
=== Umgebungsvariablen === | |||
=== Exit-Status === | |||
== Anwendung == | |||
=== Fehlerbehebung === | |||
== Konfiguration == | |||
=== Dateien === | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Sicherheit ==== | |||
==== Dokumentation ==== | |||
===== RFC ===== | |||
===== Man-Pages ===== | |||
===== Info-Pages ===== | |||
==== Links ==== | |||
===== Einzelnachweise ===== | |||
<references /> | |||
===== Projekt ===== | |||
===== Weblinks ===== | |||
<noinclude> | |||
</noinclude> | |||
= TMP = | |||
== Beschreibung == | == Beschreibung == | ||
Version vom 9. Mai 2023, 12:07 Uhr
topic - Kurzbeschreibung
Beschreibung
Installation
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Anwendung
Fehlerbehebung
Konfiguration
Dateien
Anhang
Siehe auch
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
TMP
Beschreibung
Modellierung eines Informationsverbundes
Dazu werden die Bausteine aus dem Katalog View einzeln oder massenweise per Drag-andDrop den entsprechenden Zielobjekten im View Modernisierter IT-Grundschutz zugeordnet.
- In verinice werden jetzt immer alle Baustein-Anforderungen sowie die relevanten Elementaren Gefährdungen und sofern ausgewählt Umsetzungshinweise/Maßnahmen modelliert!
Abbildung 16. Modellierung
Dabei führt verinice folgende Aktionen aus: 1. Alle ausgewählten Bausteine inklusive der einzelnen Anforderungen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert. Dabei wird jeweils eine Verknüpfung vom Typ Modelliert mit zwischen Zielobjekt und Anforderung angelegt. 2. Alle Elementaren Gefährdungen zu den ausgewählten Bausteinen werden entsprechend der Kreuzreferenztabellen der jeweiligen Anforderung unterhalb des jeweiligen Zielobjektes kopiert, sofern nicht bereits vorhanden. Dabei wird jeweils: a. eine Verknüpfung vom Typ beeinflusst durch zwischen Zielobjekt und Elementarer Gefährdung angelegt. b. eine Verknüpfung vom Typ Reduziert Risiko von zwischen den einzelnen Anforderungen und den Elementaren Gefährdungen angelegt. 3. Alle Umsetzungshinweise inklusive der einzelnen Maßnahmen zu den ausgewählten Bausteinen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert.
- a. Dabei wird jeweils eine Verknüpfung vom Typ erfüllt durch zwischen der Anforderung und der Maßnahme angelegt.
- b. In den verknüpften Anforderungen wird die Option Umsetzungsstatus aus Maßnahme ableiten standardmäßig aktiviert.
Abbildung 17. Umsetzungshinweise verwenden
Sollen die Umsetzungshinweise des BSI keine Verwendung finden bzw. auf die Verwendung des Objekttyps Maßnahmen in verinice generell verzichtet werden, so kann dies in den Einstellungen über Bearbeiten > Einstellungen > BSI IT-Grundschutz deaktiviert werden.
- Andererseits kann eingestellt werden, dass Blanko-Maßnahmen erstellt werden, wenn keine Umsetzungshinweise seitens des BSI zur Verfügung stehen.
- Da die Anwendung der Umsetzungshinweise optional ist, muss jede Organisation für sich entscheiden, ob in verinice mit dem Objekttyp Maßnahmen gearbeitet werden soll oder nicht.
- Wie die Bausteine exakt modelliert werden, finden Sie in den Modellierungshinweisen des BSI.
- Der grundsätzliche Mechanismus der Modellierung wird in dem Kapitel Vorgehensweise der Absicherung beschrieben.
Konsolidator
Baustein-Referenzierung
Updatefunktion für das IT-Grundschutz-Kompendium
Ab verinice 1.20 werden bei Verwendung des IT-Grundschutz-Kompendiums (ab Version 7.1 Edition 2019 und 8.0 Edition 2020 bereitgestellt durch das verinice.TEAM) alle Änderungen durch Angabe des Release der Edition, des Änderungstyps (neu, geändert, umsortiert, entfallen) und der Änderungsdetails dargestellt in:
- Bausteinen (Anforderungsgruppen) und Anforderungen
- Maßnahmengruppen und Maßnahmen
- Gefährdungsgruppen und Gefährdungen
Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium
Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten.
Bei der erneuten Modellierung werden folgende Aktionen ausgeführt: 1. Aktualisierung der Inhalte wie z.B. Titel, Vorgehensweise, Release, Änderungstyp, Änderungsdetails, Objektbrowserinhalte. a. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen. b. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt. 2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden a. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und b. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt. c. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt. 3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen) werden erzeugt. 4. Ihre Bearbeitung der Objekte (z.B. Umsetzungsstatus, Erläuterungen) bleiben erhalten.
- Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein, Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell anpassen.
- Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer Baustein neu modelliert.
- Bei dem Update dürfen nur minor Editionen übersprungen werden.
- Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich. Nicht möglich ist von 2018-0 auf 2020-0).
- Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich. D.h. also von 2020-0 auf 2019-0 ist nicht möglich
Vorgehensweise der Absicherung
Für jeden Informationsverbund können Sie die Basis-, Standard- oder Kernabsicherung als Vorgehensweise separat festlegen:
Abbildung 22. Vorgehensweise der Absicherung
Bei aktiviertem Filter Informationsverbünde nach Vorgehensweise der Absicherung filtern im Menü Ansicht, werden jeweils nur die Anforderungen, Maßnahmen sowie die verknüpften Gefährdungen der für die einzelnen Informationsverbünde ausgewählten Vorgehensweise der Absicherung angezeigt.
- Das BSI sieht verschiedene Möglichkeiten der zeitlichen Abfolge unterschiedlicher Vorgehensweisen vor, die sich in verinice durch mehrere Informationsverbünde mit unterschiedlichen Vorgehensweisen der Absicherung abbilden lassen.
- Soll zum Beispiel nach Umsetzung einer Kernabsicherung für einen zentralen Bereich die Basisabsicherung für die gesamte Organisation folgen, so kann dies durch Abbildung zweier getrennter Informationsverbünde geschehen.
- Auch die Erweiterung von z.B. einer Basisabsicherung auf eine Standardabsicherung kann durch Änderung der Vorgehensweise der Absicherung im Informationsverbund einfach abgebildet werden.