Verinice/Modellierung

Aus Foxwiki
Subpages:

topic - Kurzbeschreibung

Beschreibung

Vorgehensweise

Basis-, Standard- oder Kernabsicherung
  • Vorgehensweise wird für jeden Informationsverbund festgelegt

Abbildung 22. Vorgehensweise der Absicherung

Filter

Bei aktiviertem Filter Informationsverbünde nach Vorgehensweise der Absicherung filtern im Menü Ansicht, werden jeweils nur die Anforderungen, Maßnahmen sowie die verknüpften Gefährdungen der für die einzelnen Informationsverbünde ausgewählten Vorgehensweise der Absicherung angezeigt.

  • Das BSI sieht verschiedene Möglichkeiten der zeitlichen Abfolge unterschiedlicher Vorgehensweisen vor, die sich in verinice durch mehrere Informationsverbünde mit unterschiedlichen Vorgehensweisen der Absicherung abbilden lassen.
  • Soll zum Beispiel nach Umsetzung einer Kernabsicherung für einen zentralen Bereich die Basisabsicherung für die gesamte Organisation folgen, so kann dies durch Abbildung zweier getrennter Informationsverbünde geschehen.
  • Auch die Erweiterung von z. B. einer Basisabsicherung auf eine Standardabsicherung kann durch Änderung der Vorgehensweise der Absicherung im Informationsverbund einfach abgebildet werden.

Modellierung

Modellierung eines Informationsverbundes
  • Dazu werden die Bausteine aus dem Katalog View einzeln oder massenweise per Drag-andDrop den entsprechenden Zielobjekten im View Modernisierter IT-Grundschutz zugeordnet.
  • Dabei werden alle Baustein-Anforderungen, die relevanten Elementaren Gefährdungen und Umsetzungshinweise/Maßnahmen (wenn aktiviert) modelliert.

Abbildung 16. Modellierung

verinice führt folgende Aktionen durch
  1. Alle ausgewählten Bausteine inklusive der einzelnen Anforderungen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert. Dabei wird jeweils eine Verknüpfung vom Typ Modelliert mit zwischen Zielobjekt und Anforderung angelegt.
  2. Alle Elementaren Gefährdungen zu den ausgewählten Bausteinen werden entsprechend der Kreuzreferenztabellen der jeweiligen Anforderung unterhalb des jeweiligen Zielobjektes kopiert, sofern nicht bereits vorhanden. Dabei wird jeweils:
    1. eine Verknüpfung vom Typ beeinflusst durch zwischen Zielobjekt und Elementarer Gefährdung angelegt.
    2. eine Verknüpfung vom Typ Reduziert Risiko von zwischen den einzelnen Anforderungen und den Elementaren Gefährdungen angelegt.
  3. Alle Umsetzungshinweise inklusive der einzelnen Maßnahmen zu den ausgewählten Bausteinen werden in den gewählten Informationsverbund unterhalb des jeweiligen Zielobjektes kopiert.
    1. Dabei wird jeweils eine Verknüpfung vom Typ erfüllt durch zwischen der Anforderung und der Maßnahme angelegt.
    2. In den verknüpften Anforderungen wird die Option Umsetzungsstatus aus Maßnahme ableiten standardmäßig aktiviert.

Umsetzungshinweise

Abbildung 17. Umsetzungshinweise verwenden

Sollen die Umsetzungshinweise des BSI keine Verwendung finden bzw. auf die Verwendung des Objekttyps Maßnahmen in verinice generell verzichtet werden, so kann dies in den Einstellungen über Bearbeiten > Einstellungen > BSI IT-Grundschutz deaktiviert werden.

  • Andererseits kann eingestellt werden, dass Blanko-Maßnahmen erstellt werden, wenn keine Umsetzungshinweise seitens des BSI zur Verfügung stehen.
  • Da die Anwendung der Umsetzungshinweise optional ist, muss jede Organisation für sich entscheiden, ob in verinice mit dem Objekttyp Maßnahmen gearbeitet werden soll oder nicht.
  • Wie die Bausteine exakt modelliert werden, finden Sie in den Modellierungshinweisen des BSI.
  • Der grundsätzliche Mechanismus der Modellierung wird in dem Kapitel Vorgehensweise der Absicherung beschrieben.

Baustein-Referenzierung

Mit der Baustein-Referenzierung ist es möglich im Informationsverbund bereits modellierte Bausteine für mehrere Zielobjekte gleichzeitig zu nutzen.

  • Dadurch verringert sich sowohl der Aufwand für die Bearbeitung und Pflege der Bausteine, als auch die Anzahl der im Informationsverbund enthaltenen Bausteine.
  • Ab verinice 1.24 wird die Referenzierung von Bausteinen vereinfacht und optisch hervorgehoben.
  • Um einen Baustein zu referenzieren gehen Sie wie folgt vor: Im Informationsverbund sollte ein bereits modellierter Baustein vorhanden sein.
  • D.h. der Baustein (mit Anforderungen, elementaren Gefährdungen und ggf. Umsetzungshinweisen/Maßnahmen) ist unterhalb eines Zielobjekts in der Modernisierter IT-Grundschutz View enthalten.
  • Nun soll dieser Baustein auch für andere Zielobjekte herangezogen werden.
  • Ziehen Sie hierfür den notwendigen Baustein per Drag&Drop auf das gewünschte Zielobjekt und die Referenzierung wird durchgeführt.
  • Bei dieser Aktion wird Folgendes im Hintergrund ausgeführt:

Das gewünschte Zielobjekt wird mit allen Anforderungen und den elementaren Gefährdungen des Bausteins verknüpft.

  • Dabei handelt es sich um den Verknüpfungstyp modelliert mit (Verknüpfungen zwischen Anforderung und Zielobjekt) und beeinflusst durch

(Verknüpfungen zwischen Gefährdung und Zielobjekt).

  • Sollten bereits Verknüpfungen zwischen dem Zielobjekt und einem Baustein (sprich Anforderungen und Gefährdungen) mit demselben Identifier vorhanden sein, so wird mittels eines Hinweis-Dialogs abgefragt, ob die Referenzierung trotzdem erfolgen soll.
  • Ist die zusätzliche Referenzierung gewünscht, so werden weitere Verknüpfungen angelegt.
  • Unter Umständen können dadurch Anforderungen mehrfach verknüpft sein.

Abbildung 20. Baustein-Referenzierung

Optisch erkennen Sie die Zielobjekte, bei denen eine Baustein-Referenzierung vorliegt, an der kursiven und leicht ausgegrauten Schrift in der Baumstruktur von verinice.

  • Weitere Informationen zu den Verknüpfungen entnehmen Sie dann der View: Verknüpfungen.
  • Sollte ein Baustein direkt auf dem Zielobjekt modelliert sein, so wird dieser nach wie vor unterhalb des Zielobjektes angezeigt.
  • Dadurch sind Hybrid-Modellierungen möglich:

Bausteine sind direkt (unterhalb des Zielobjektes) modelliert und als Baustein-Referenzen (durch Verknüpfungen realisiert) vorhanden.


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks