Verinice/Kompendium
Struktur des IT-Grundschutz-Kompendiums
Kern des BSI IT-Grundschutz nach 200-x bildet das IT-Grundschutz-Kompendium, das die bisherigen IT-Grundschutzkataloge ablöst. Die Bausteine des IT-Grundschutz-Kompendiums sind nach dem folgenden Schichtenmodell aufgebaut: Prozess-Bausteine
- ISMS: Enthält den grundlegenden Baustein Sicherheitsmanagement.
- ORP: Bausteine zu organisatorischen und personellen Sicherheitsaspekten.
- CON: Bausteine zu Konzepten und Vorgehensweisen.
- OPS: Bausteine zu Aspekten betrieblicher Art (operativer IT-Betrieb und IT-Betrieb durch
Dritte).
- DER: Bausteine zu Aspekten der Detektion von Sicherheitsvorfällen sowie Reaktion auf Sicherheitsvorfälle.
System-Bausteine
- APP: Bausteine die Absicherung von Anwendungen und Diensten betreffend.
- SYS: Bausteine zu den IT-Systemen eines Informationsverbundes.
- NET: Bausteine zu Aspekten der Netzverbindung und Kommunikation.
- INF: Bausteine zu infrastrukturellen Sicherheitsaspekten.
- IND: Bausteine zu Sicherheitsaspekten industrieller IT.
Die ausführliche Beschreibung des modernisierten Grundschutz und des ITGrundschutz-Kompendiums finden Sie auf den Webseiten des BSI.
Der Katalog View
Abbildung 2. Befehle im Katalog View
Beim ersten Start von verinice in der Perspektive BSI IT-Grundschutz nach 200-x ist der Katalog View leer. Importieren Sie das IT-Grundschutz-Kompendium über das Icon Organisation aus Datei…, es öffnet sich der Import-Dialog:
Importiere
Über die Schaltfläche Datei auswählen… wählen Sie das IT-Grundschutz-Kompendium aus.
Abbildung 3. IT-Grundschutz-Kompendium importieren
Zum Import ist eine vom verinice.TEAM validierte Version des IT-Grundschutz-Kompendiums im vna-Format erforderlich. verinice.PRO-Kunden können das IT-Grundschutz-Kompendium aus dem Update Repository herunterladen, Nutzern der Einzelplatzversion steht das ITGrundschutz-Kompendium unter Download IT-Grundschutz-Kompendium im Abschnitt Kataloge und mehr zum Download zur Verfügung. Das IT-Grundschutz-Kompendium wird grundsätzlich neu importiert, ein Überschreiben eines vorherigen Imports ist bewusst ausgeschlossen. Diese Vorgehensweise verhindert nachträgliche Änderungen in einem IT-Grundschutz-Kompendium, das bereits zur Modellierung verwendet wurde. Auf der anderen Seite lassen sich so verschiedene Versionen des IT-Grundschutz-Kompendiums nebeneinander einsetzen. Alle Inhalte des IT-Grundschutz-Kompendiums sind im View selbst wie im Editor schreibgeschützt und können erst nach Modellierung in einem Verbund bearbeitet werden. Sofern ein Anwender die entsprechenden Rechte in verinice besitzt, kann ein ITGrundschutz-Kompendium mittels rechtem Mausklick durch den Befehl Löschen komplett aus dem View entfernt werden.
Bausteine
Bausteine sind in verinice als Objektgruppen des Typs Anforderung im IT-GrundschutzKompendium angelegt. Mit doppeltem Mausklick auf einen Baustein wird bei geöffnetem View Objektbrowser der gesamte Bausteintext inklusive der Kreuzreferenztabelle Anforderungen zu Gefährdungen angezeigt. Die Modellierungshinweise des BSI informieren dabei, wann bzw. wie ein Baustein anzuwenden ist. Im Editorbereich ist auch die empfohlene Umsetzungsreihenfolge der Bausteine (R1, R2, R3) sichtbar. Die Sicherheitsanforderungen sind nach den drei Kategorien Basis-Anforderungen, StandardAnforderungen und Anforderungen für einen hohen Schutzbedarf sortiert und gekennzeichnet. Mit doppeltem Mausklick auf eine einzelne Sicherheitsanforderung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Anforderung dargestellt.
Abbildung 4. Baustein mit Anforderungen
Sofern vorhanden finden Sie darüber hinaus auch die Texte aus den Umsetzungshinweisen, die konkrete wenn auch unverbindliche Hinweise zur Umsetzung geeigneter Maßnahmen bieten.
Elementare Gefährdungen
In verinice sind die Gefährdungen, die seitens des BSI bei der Erstellung eines Bausteines berücksichtigt wurden, in der Untergruppe Elementare Gefährdungen des IT-GrundschutzKompendiums angelegt. Mit doppeltem Mausklick auf eine elementare Gefährdung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Gefährdung dargestellt.
Abbildung 5. Elementare Gefährdungen
Umsetzungshinweise
Zu vielen Bausteinen des IT-Grundschutz-Kompendiums existieren Umsetzungshinweise mit Sicherheitsmaßnahmen, die beschreiben, wie die Anforderungen der Bausteine erfüllt werden können. Analog zu den Bausteinen und Sicherheitsanforderungen sind diese in verinice entsprechend dem Schichtenmodell des BSI aufgebaut, hier beispielhaft der Umsetzungshinweis zum Baustein SYS.1.1 Allgemeiner Server. Die Maßnahmen sind ebenfalls nach den drei Kategorien Basis, Standard und Erhöht sortiert und gekennzeichnet. Im IT-Grundschutz-Kompendium ist jeder Anforderung eines Bausteines genau eine Maßnahme zugeordnet, sofern zu einem Baustein Umsetzungshinweise und Maßnahmen existieren. Mit doppeltem Mausklick auf eine einzelne Maßnahme wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Maßnahme dargestellt.
Abbildung 6. Umsetzungshinweis mit Maßnahmen