Verinice/Kompendium

Aus Foxwiki

topic - Kurzbeschreibung

Beschreibung

Katalog View

Abbildung 2. Befehle im Katalog View

Beim ersten Start von verinice in der Perspektive BSI IT-Grundschutz nach 200-x ist der Katalog View leer.

  • Importieren Sie das IT-Grundschutz-Kompendium über das Icon Organisation aus Datei…, es öffnet sich der Import-Dialog:

IT-Grundschutz-Kompendium importieren

Über die Schaltfläche Datei auswählen… wählen Sie das IT-Grundschutz-Kompendium aus.

Abbildung 3. IT-Grundschutz-Kompendium importieren

Zum Import ist eine vom verinice.TEAM validierte Version des IT-Grundschutz-Kompendiums im vna-Format erforderlich.

  • verinice.PRO-Kunden können das IT-Grundschutz-Kompendium aus dem Update Repository herunterladen
  • Nutzern der Einzelplatzversion steht das IT-Grundschutz-Kompendium unter Download IT-Grundschutz-Kompendium im Abschnitt Kataloge und mehr zum Download zur Verfügung.

Das IT-Grundschutz-Kompendium wird grundsätzlich neu importiert, ein Überschreiben eines vorherigen Imports ist bewusst ausgeschlossen.

  • Diese Vorgehensweise verhindert nachträgliche Änderungen in einem IT-Grundschutz-Kompendium, das bereits zur Modellierung verwendet wurde.
  • Allerdings lassen sich so verschiedene Versionen des IT-Grundschutz-Kompendiums nebeneinander einsetzen.

Alle Inhalte des IT-Grundschutz-Kompendiums sind im View selbst wie im Editor schreibgeschützt und können erst nach Modellierung in einem Verbund bearbeitet werden.

Sofern ein Anwender die entsprechenden Rechte in verinice besitzt, kann ein IT-Grundschutz-Kompendium mittels rechtem Mausklick durch den Befehl Löschen komplett aus dem View entfernt werden.

Bausteine

Bausteine sind in verinice als Objektgruppen des Typs Anforderung im IT-GrundschutzKompendium angelegt.
  • Mit doppeltem Mausklick auf einen Baustein wird bei geöffnetem View Objektbrowser der gesamte Bausteintext inklusive der Kreuzreferenztabelle Anforderungen zu Gefährdungen angezeigt.
  • Die Modellierungshinweise des BSI informieren dabei, wann bzw. wie ein Baustein anzuwenden ist.
  • Im Editorbereich ist auch die empfohlene Umsetzungsreihenfolge der Bausteine (R1, R2, R3) sichtbar.

Die Sicherheitsanforderungen sind nach den drei Kategorien Basis-Anforderungen, StandardAnforderungen und Anforderungen für einen hohen Schutzbedarf sortiert und gekennzeichnet. Mit doppeltem Mausklick auf eine einzelne Sicherheitsanforderung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Anforderung dargestellt.

Abbildung 4. Baustein mit Anforderungen

Sofern vorhanden finden Sie darüber hinaus auch die Texte aus den Umsetzungshinweisen, die konkrete wenn auch unverbindliche Hinweise zur Umsetzung geeigneter Maßnahmen bieten.

Elementare Gefährdungen

In verinice sind die Gefährdungen, die seitens des BSI bei der Erstellung eines Bausteines berücksichtigt wurden, in der Untergruppe Elementare Gefährdungen des IT-GrundschutzKompendiums angelegt.

  • Mit doppeltem Mausklick auf eine elementare Gefährdung wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der

Gefährdung dargestellt.

Abbildung 5. Elementare Gefährdungen

Umsetzungshinweise

Zu vielen Bausteinen des IT-Grundschutz-Kompendiums existieren Umsetzungshinweise mit Sicherheitsmaßnahmen, die beschreiben, wie die Anforderungen der Bausteine erfüllt werden können.

  • Analog zu den Bausteinen und Sicherheitsanforderungen sind diese in verinice entsprechend dem Schichtenmodell des BSI aufgebaut, hier beispielhaft der
Umsetzungshinweis zum Baustein SYS.1.1 Allgemeiner Server.
  • Die Maßnahmen sind ebenfalls nach den drei Kategorien Basis, Standard und Erhöht sortiert und gekennzeichnet.
  • Im IT-Grundschutz-Kompendium ist jeder Anforderung eines Bausteines genau eine Maßnahme zugeordnet, sofern zu einem Baustein Umsetzungshinweise und Maßnahmen existieren.
  • Mit doppeltem Mausklick auf eine einzelne Maßnahme wird diese im Editor angezeigt, bei geöffnetem View Objektbrowser wird die Beschreibung der Maßnahme dargestellt.
Abbildung 6. Umsetzungshinweis mit Maßnahmen

Updatefunktion

Updatefunktion für das IT-Grundschutz-Kompendium

Ab verinice 1.20 werden bei Verwendung des IT-Grundschutz-Kompendiums (ab Version 7.1 Edition 2019 und 8.0 Edition 2020 bereitgestellt durch das verinice.TEAM) alle Änderungen durch Angabe des Release der Edition, des Änderungstyps (neu, geändert, umsortiert, entfallen) und der Änderungsdetails dargestellt in:

  • Bausteinen (Anforderungsgruppen) und Anforderungen
  • Maßnahmengruppen und Maßnahmen
  • Gefährdungsgruppen und Gefährdungen
Abbildung 21. Änderungshinweise IT-Grundschutz-Kompendium

Durch wiederholte Modellierung (Drag&Drop des Bausteins aus der Kataloge-View auf das entsprechende Zielobjekt im Modernisierter IT-Grundschutz-View) mit einer neueren Edition des IT-Grundschutz-Kompendiums aktualisieren Sie so existierende Informationsverbünde komfortabel und können die Änderungen prüfen und falls erforderlich nacharbeiten.

Bei der erneuten Modellierung werden folgende Aktionen ausgeführt:

  1. Aktualisierung der Inhalte wie z. B.  Titel, Vorgehensweise, Release, Änderungstyp, Änderungsdetails, Objektbrowserinhalte.
    1. Dabei werden die einzelnen Elemente anhand des Identifiers abgeglichen.
    2. Wird ein Identifier nicht gefunden, so wird ein neues Element erzeugt.
  2. Lautet in der neuen Edition des IT-Grundschutz-Kompendiums der Titel "ENTFALLEN", so werden
    1. die Inhalte nicht aktualisiert (bleiben aber weiterhin vorhanden) und
    2. der Änderungstyp wird standardmäßig auf "entfernt" gesetzt.
    3. Waren diese Elemente bisher nicht vorhanden, so werden sie nicht neu angelegt.
  3. Fehlende Verknüpfungen (zwischen Anforderungen, Maßnahmen und Gefährdungen) werden erzeugt.
  4. Ihre Bearbeitung der Objekte (z. B. Umsetzungsstatus, Erläuterungen) bleiben erhalten.

Umsortierte Bausteine werden nur aktualisiert, wenn Sie bei diesen (Baustein, Anforderungen, Maßnahmengruppe und Maßnahmen) vorher den Identifier manuell anpassen.

  • Wird die Anpassung vorher nicht vorgenommen, so wird ein weiterer Baustein neu modelliert.
  • Bei dem Update dürfen nur minor Editionen übersprungen werden.
  • Zu erkennen sind diese an dem Release: an der Endung 2019-0 (Beispiel: von 2020-0 auf 2020-5 ist möglich.
  • Nicht möglich ist von 2018-0 auf 2020-0).
  • Die Updatefunktion ist nur Vorwärts (nicht Rückwärts) möglich.
    • also von 2020-0 auf 2019-0 ist nicht möglich


Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt
Weblinks