Verinice/Kompendium: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
=== Katalog View ===
=== Katalog View ===
:Abbildung 2. Befehle im Katalog View


Abbildung 2. Befehle im Katalog View
Beim ersten Start von verinice in der Perspektive BSI IT-Grundschutz nach 200-x ist der Katalog View leer.  
 
* Importieren Sie das IT-Grundschutz-Kompendium über das Icon Organisation aus Datei…, es öffnet sich der Import-Dialog:
Beim ersten Start von verinice in der Perspektive BSI IT-Grundschutz nach 200-x ist der Katalog View leer. Importieren Sie das IT-Grundschutz-Kompendium über das Icon Organisation aus Datei…, es öffnet sich der Import-Dialog:
 
Importiere


; Importieren
Über die Schaltfläche Datei auswählen… wählen Sie das IT-Grundschutz-Kompendium aus.
Über die Schaltfläche Datei auswählen… wählen Sie das IT-Grundschutz-Kompendium aus.
: Abbildung 3. IT-Grundschutz-Kompendium importieren


Abbildung 3. IT-Grundschutz-Kompendium importieren
Zum Import ist eine vom verinice.TEAM validierte Version des IT-Grundschutz-Kompendiums im vna-Format erforderlich.  
 
* verinice.PRO-Kunden können das IT-Grundschutz-Kompendium aus dem Update Repository herunterladen, Nutzern der Einzelplatzversion steht das ITGrundschutz-Kompendium unter Download IT-Grundschutz-Kompendium im Abschnitt Kataloge und mehr zum Download zur Verfügung.
Zum Import ist eine vom verinice.TEAM validierte Version des IT-Grundschutz-Kompendiums im vna-Format erforderlich. verinice.PRO-Kunden können das IT-Grundschutz-Kompendium aus dem Update Repository herunterladen, Nutzern der Einzelplatzversion steht das ITGrundschutz-Kompendium unter Download IT-Grundschutz-Kompendium im Abschnitt Kataloge und mehr zum Download zur Verfügung.  
Das IT-Grundschutz-Kompendium wird grundsätzlich neu importiert, ein Überschreiben eines vorherigen Imports ist bewusst ausgeschlossen.  
Das IT-Grundschutz-Kompendium wird grundsätzlich neu importiert, ein Überschreiben eines vorherigen Imports ist bewusst ausgeschlossen. Diese Vorgehensweise verhindert nachträgliche Änderungen in einem IT-Grundschutz-Kompendium, das bereits zur Modellierung verwendet wurde. Allerdings lassen sich so verschiedene Versionen des IT-Grundschutz-Kompendiums nebeneinander einsetzen.
* Diese Vorgehensweise verhindert nachträgliche Änderungen in einem IT-Grundschutz-Kompendium, das bereits zur Modellierung verwendet wurde.  
* Allerdings lassen sich so verschiedene Versionen des IT-Grundschutz-Kompendiums nebeneinander einsetzen.
Alle Inhalte des IT-Grundschutz-Kompendiums sind im View selbst wie im Editor schreibgeschützt und können erst nach Modellierung in einem Verbund bearbeitet werden.
Alle Inhalte des IT-Grundschutz-Kompendiums sind im View selbst wie im Editor schreibgeschützt und können erst nach Modellierung in einem Verbund bearbeitet werden.
Sofern ein Anwender die entsprechenden Rechte in verinice besitzt, kann ein ITGrundschutz-Kompendium mittels rechtem Mausklick durch den Befehl Löschen komplett aus dem View entfernt werden.
Sofern ein Anwender die entsprechenden Rechte in verinice besitzt, kann ein ITGrundschutz-Kompendium mittels rechtem Mausklick durch den Befehl Löschen komplett aus dem View entfernt werden.


=== Bausteine ===
=== Bausteine ===
Bausteine sind in verinice als Objektgruppen des Typs Anforderung im IT-GrundschutzKompendium angelegt. Mit doppeltem Mausklick auf einen Baustein wird bei geöffnetem View Objektbrowser der gesamte Bausteintext inklusive der Kreuzreferenztabelle Anforderungen zu Gefährdungen angezeigt. Die Modellierungshinweise des BSI informieren dabei, wann bzw. wie ein Baustein anzuwenden ist. Im Editorbereich ist auch die empfohlene Umsetzungsreihenfolge der Bausteine (R1, R2, R3) sichtbar.
Bausteine sind in verinice als Objektgruppen des Typs Anforderung im IT-GrundschutzKompendium angelegt.  
* Mit doppeltem Mausklick auf einen Baustein wird bei geöffnetem View Objektbrowser der gesamte Bausteintext inklusive der Kreuzreferenztabelle Anforderungen zu Gefährdungen angezeigt.  
* Die Modellierungshinweise des BSI informieren dabei, wann bzw. wie ein Baustein anzuwenden ist.  
* Im Editorbereich ist auch die empfohlene Umsetzungsreihenfolge der Bausteine (R1, R2, R3) sichtbar.
Die Sicherheitsanforderungen sind nach den drei Kategorien Basis-Anforderungen, StandardAnforderungen und Anforderungen für einen hohen Schutzbedarf sortiert und gekennzeichnet.
Die Sicherheitsanforderungen sind nach den drei Kategorien Basis-Anforderungen, StandardAnforderungen und Anforderungen für einen hohen Schutzbedarf sortiert und gekennzeichnet.
Mit doppeltem Mausklick auf eine einzelne Sicherheitsanforderung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Anforderung dargestellt.
Mit doppeltem Mausklick auf eine einzelne Sicherheitsanforderung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Anforderung dargestellt.
 
: Abbildung 4. Baustein mit Anforderungen
Abbildung 4. Baustein mit Anforderungen


Sofern vorhanden finden Sie darüber hinaus auch die Texte aus den Umsetzungshinweisen, die konkrete wenn auch unverbindliche Hinweise zur Umsetzung geeigneter Maßnahmen bieten.
Sofern vorhanden finden Sie darüber hinaus auch die Texte aus den Umsetzungshinweisen, die konkrete wenn auch unverbindliche Hinweise zur Umsetzung geeigneter Maßnahmen bieten.


=== Elementare Gefährdungen ===
=== Elementare Gefährdungen ===
In verinice sind die Gefährdungen, die seitens des BSI bei der Erstellung eines Bausteines berücksichtigt wurden, in der Untergruppe Elementare Gefährdungen des IT-GrundschutzKompendiums angelegt. Mit doppeltem Mausklick auf eine elementare Gefährdung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der
In verinice sind die Gefährdungen, die seitens des BSI bei der Erstellung eines Bausteines berücksichtigt wurden, in der Untergruppe Elementare Gefährdungen des IT-GrundschutzKompendiums angelegt.  
* Mit doppeltem Mausklick auf eine elementare Gefährdung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der
Gefährdung dargestellt.
Gefährdung dargestellt.
 
: Abbildung 5. Elementare Gefährdungen
Abbildung 5. Elementare Gefährdungen


=== Umsetzungshinweise ===
=== Umsetzungshinweise ===
Zu vielen Bausteinen des IT-Grundschutz-Kompendiums existieren Umsetzungshinweise mit
Zu vielen Bausteinen des IT-Grundschutz-Kompendiums existieren Umsetzungshinweise mit
Sicherheitsmaßnahmen, die beschreiben, wie die Anforderungen der Bausteine erfüllt werden können. Analog zu den Bausteinen und Sicherheitsanforderungen sind diese in verinice entsprechend dem Schichtenmodell des BSI aufgebaut, hier beispielhaft der
Sicherheitsmaßnahmen, die beschreiben, wie die Anforderungen der Bausteine erfüllt werden können.  
* Analog zu den Bausteinen und Sicherheitsanforderungen sind diese in verinice entsprechend dem Schichtenmodell des BSI aufgebaut, hier beispielhaft der
Umsetzungshinweis zum Baustein SYS.1.1 Allgemeiner Server.
Umsetzungshinweis zum Baustein SYS.1.1 Allgemeiner Server.
Die Maßnahmen sind ebenfalls nach den drei Kategorien Basis, Standard und Erhöht sortiert und gekennzeichnet.
Die Maßnahmen sind ebenfalls nach den drei Kategorien Basis, Standard und Erhöht sortiert und gekennzeichnet.
Zeile 40: Zeile 44:
Maßnahmen existieren.
Maßnahmen existieren.
Mit doppeltem Mausklick auf eine einzelne Maßnahme wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Maßnahme dargestellt.
Mit doppeltem Mausklick auf eine einzelne Maßnahme wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Maßnahme dargestellt.
 
: Abbildung 6. Umsetzungshinweis mit Maßnahmen
Abbildung 6. Umsetzungshinweis mit Maßnahmen


== Updatefunktion ==
== Updatefunktion ==
Zeile 49: Zeile 52:
* Maßnahmengruppen und Maßnahmen
* Maßnahmengruppen und Maßnahmen
* Gefährdungsgruppen und Gefährdungen
* Gefährdungsgruppen und Gefährdungen
: Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium


Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium
Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten.
 
Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten.  


Bei der erneuten Modellierung werden folgende Aktionen ausgeführt:
Bei der erneuten Modellierung werden folgende Aktionen ausgeführt:
1. Aktualisierung der Inhalte wie z. B.  Titel, Vorgehensweise, Release, Änderungstyp, Änderungsdetails, Objektbrowserinhalte.  
1. Aktualisierung der Inhalte wie z. B.  Titel, Vorgehensweise, Release, Änderungstyp, Änderungsdetails, Objektbrowserinhalte.
a. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen.  
a. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen.
b. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt.
b. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt.
2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden  
2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden
a. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und  
a. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und
b. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt.  
b. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt.
c. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt.
c. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt.
3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen)
3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen)
werden erzeugt.
werden erzeugt.
4. Ihre Bearbeitung der Objekte (z. B.  Umsetzungsstatus, Erläuterungen) bleiben erhalten.  
4. Ihre Bearbeitung der Objekte (z. B. Umsetzungsstatus, Erläuterungen) bleiben erhalten.
* Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein, Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell anpassen.  
* Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein, Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell anpassen.
* Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer Baustein neu modelliert.  
* Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer Baustein neu modelliert.
* Bei dem Update dürfen nur minor Editionen übersprungen werden.  
* Bei dem Update dürfen nur minor Editionen übersprungen werden.
* Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich. Nicht möglich ist von 2018-0 auf 2020-0).  
* Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich.  
* Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich. D.h. also von 2020-0 auf 2019-0 ist nicht möglich
* Nicht möglich ist von 2018-0 auf 2020-0).
* Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich.  
* D.h. also von 2020-0 auf 2019-0 ist nicht möglich




[[Kategorie:Verinice]]
[[Kategorie:Verinice]]
[[Kategorie:Grundschutz/Kompendium]]
[[Kategorie:Grundschutz/Kompendium]]

Version vom 28. Mai 2023, 09:03 Uhr

Katalog View

Abbildung 2. Befehle im Katalog View

Beim ersten Start von verinice in der Perspektive BSI IT-Grundschutz nach 200-x ist der Katalog View leer.

  • Importieren Sie das IT-Grundschutz-Kompendium über das Icon Organisation aus Datei…, es öffnet sich der Import-Dialog:
Importieren

Über die Schaltfläche Datei auswählen… wählen Sie das IT-Grundschutz-Kompendium aus.

Abbildung 3. IT-Grundschutz-Kompendium importieren

Zum Import ist eine vom verinice.TEAM validierte Version des IT-Grundschutz-Kompendiums im vna-Format erforderlich.

  • verinice.PRO-Kunden können das IT-Grundschutz-Kompendium aus dem Update Repository herunterladen, Nutzern der Einzelplatzversion steht das ITGrundschutz-Kompendium unter Download IT-Grundschutz-Kompendium im Abschnitt Kataloge und mehr zum Download zur Verfügung.

Das IT-Grundschutz-Kompendium wird grundsätzlich neu importiert, ein Überschreiben eines vorherigen Imports ist bewusst ausgeschlossen.

  • Diese Vorgehensweise verhindert nachträgliche Änderungen in einem IT-Grundschutz-Kompendium, das bereits zur Modellierung verwendet wurde.
  • Allerdings lassen sich so verschiedene Versionen des IT-Grundschutz-Kompendiums nebeneinander einsetzen.

Alle Inhalte des IT-Grundschutz-Kompendiums sind im View selbst wie im Editor schreibgeschützt und können erst nach Modellierung in einem Verbund bearbeitet werden. Sofern ein Anwender die entsprechenden Rechte in verinice besitzt, kann ein ITGrundschutz-Kompendium mittels rechtem Mausklick durch den Befehl Löschen komplett aus dem View entfernt werden.

Bausteine

Bausteine sind in verinice als Objektgruppen des Typs Anforderung im IT-GrundschutzKompendium angelegt.

  • Mit doppeltem Mausklick auf einen Baustein wird bei geöffnetem View Objektbrowser der gesamte Bausteintext inklusive der Kreuzreferenztabelle Anforderungen zu Gefährdungen angezeigt.
  • Die Modellierungshinweise des BSI informieren dabei, wann bzw. wie ein Baustein anzuwenden ist.
  • Im Editorbereich ist auch die empfohlene Umsetzungsreihenfolge der Bausteine (R1, R2, R3) sichtbar.

Die Sicherheitsanforderungen sind nach den drei Kategorien Basis-Anforderungen, StandardAnforderungen und Anforderungen für einen hohen Schutzbedarf sortiert und gekennzeichnet. Mit doppeltem Mausklick auf eine einzelne Sicherheitsanforderung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Anforderung dargestellt.

Abbildung 4. Baustein mit Anforderungen

Sofern vorhanden finden Sie darüber hinaus auch die Texte aus den Umsetzungshinweisen, die konkrete wenn auch unverbindliche Hinweise zur Umsetzung geeigneter Maßnahmen bieten.

Elementare Gefährdungen

In verinice sind die Gefährdungen, die seitens des BSI bei der Erstellung eines Bausteines berücksichtigt wurden, in der Untergruppe Elementare Gefährdungen des IT-GrundschutzKompendiums angelegt.

  • Mit doppeltem Mausklick auf eine elementare Gefährdung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der

Gefährdung dargestellt.

Abbildung 5. Elementare Gefährdungen

Umsetzungshinweise

Zu vielen Bausteinen des IT-Grundschutz-Kompendiums existieren Umsetzungshinweise mit Sicherheitsmaßnahmen, die beschreiben, wie die Anforderungen der Bausteine erfüllt werden können.

  • Analog zu den Bausteinen und Sicherheitsanforderungen sind diese in verinice entsprechend dem Schichtenmodell des BSI aufgebaut, hier beispielhaft der

Umsetzungshinweis zum Baustein SYS.1.1 Allgemeiner Server. Die Maßnahmen sind ebenfalls nach den drei Kategorien Basis, Standard und Erhöht sortiert und gekennzeichnet. Im IT-Grundschutz-Kompendium ist jeder Anforderung eines Bausteines genau eine Maßnahme zugeordnet, sofern zu einem Baustein Umsetzungshinweise und Maßnahmen existieren. Mit doppeltem Mausklick auf eine einzelne Maßnahme wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Maßnahme dargestellt.

Abbildung 6. Umsetzungshinweis mit Maßnahmen

Updatefunktion

Updatefunktion für das IT-Grundschutz-Kompendium

Ab verinice 1.20 werden bei Verwendung des IT-Grundschutz-Kompendiums (ab Version 7.1 Edition 2019 und 8.0 Edition 2020 bereitgestellt durch das verinice.TEAM) alle Änderungen durch Angabe des Release der Edition, des Änderungstyps (neu, geändert, umsortiert, entfallen) und der Änderungsdetails dargestellt in:

  • Bausteinen (Anforderungsgruppen) und Anforderungen
  • Maßnahmengruppen und Maßnahmen
  • Gefährdungsgruppen und Gefährdungen
Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium

Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten.

Bei der erneuten Modellierung werden folgende Aktionen ausgeführt: 1. Aktualisierung der Inhalte wie z. B.  Titel, Vorgehensweise, Release, Änderungstyp, Änderungsdetails, Objektbrowserinhalte. a. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen. b. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt. 2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden a. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und b. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt. c. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt. 3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen) werden erzeugt. 4. Ihre Bearbeitung der Objekte (z. B. Umsetzungsstatus, Erläuterungen) bleiben erhalten.

  • Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein, Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell anpassen.
  • Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer Baustein neu modelliert.
  • Bei dem Update dürfen nur minor Editionen übersprungen werden.
  • Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich.
  • Nicht möglich ist von 2018-0 auf 2020-0).
  • Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich.
  • D.h. also von 2020-0 auf 2019-0 ist nicht möglich