A.3-Modellierung - Report Ergänzung um nicht modellierte Bausteine

Guten Tag,

wir erstellen zusätzlich zum automatisierten A.3-Modellierungs-Report ein manuelles Dokument, in dem wir festhalten welche Bausteine nicht und warum sie nicht modelliert worden sind. Das machen wir um die Begründung warum man sich gegen einen Baustein entschieden hat, obwohl er auf den ersten Blick modelliert gehört hätte, zu dokumentieren.

Gibt es in Verinice eine Möglichkeit diese Dokumentation zu erfassen und zwar so, dass sie mit dem Report A.3-Modellierung erzeugt wird?

Ich stelle mir das zum Beispiel so vor, dass man einen Abschnitt erhält mit:

„Übersicht: Liste nicht verwendeter Bausteine:“

Vielen Dank und beste Grüße!

Hallo dbaier,

Ihre Anforderung an den Bericht ist interessant, allerdings nicht ganz einfach.
verinice gibt in dem A.3 Bericht alle verwendeten Bausteine aus, d.h. die per Drag&Drop modellierten Bausteine. Nun könnte man natürlich einfach die auflisten, die nicht modelliert wurden. Allerdings wäre das in der Tat eine reine Auflistung der Bausteine, ohne eine Begründung. Damit die Begründung dokumentiert werden kann, muss der Baustein modelliert werden und zusätzlich die dadrunter liegenden Anforderungen auf „Entbehrlich“ gesetzt.
Nun weiß ich nicht welches Vorgehen mehr Aufwand verursacht:

  1. Man modelliert alle Bausteine und bearbeitet die Anforderungen, damit die nicht verwendeten Bausteine mit Begründung im Bericht dokumentiert sind.
    oder
  2. Man erstellt manuell einen Bericht.


MfG
tanisow

Hallo tanisow,

vielen Dank für die Antwort. Ich habe mir das angesehen. Wir werden wohl bei der Vorlage bleiben. Vielleicht kommt ja eine „Modellierungsentscheidung“ einmal als Opt-In auf die Roadmap? :wink:

Beste Grüße.

Hallo, ich stehe vor dem gleichem Problem, wenn auch nicht als REFERENZ-Dokument explizit gefordert, so taucht genau diese Fragestellung im Muster-Audit Bericht auf (Ist für jeden Baustein des IT-Grundschutz-Kompendiums, der nicht angewandt wurde, eine plausible Begründung vorhanden?)

Ich habe es mit folgendem Workaround gelöst:
Erstellen einer simplen Report-Abfrage:
Baustein(e) (GS neu: bp_requirement_group) . Identifier

diese Abfrage lasse ich erst über das aktuelle IT-Grundschutz-Kompendium als Zielobjekt laufen
(Ergebnis in Datei 1)
anschließend führe ich die gleiche Abfrage auf meinen Informationsverbund aus (Zwischenergebnis in Datei 2)
Jetzt hilft mir Excel :slight_smile:
Datei2 öffnen - DUPLIKATE entfernen (denn ich habe ja den ein oder anderen Baustein mehrfach modelliert)
Die verbleibende Liste kopieren und an das Ende von Datei1 anfügen !
Jetzt in Datei1 die Spalte mit den Bausteinen markieren
Bedingte Formatierung - Regel zum Hervorheben von Zellen → Doppelte Werte
Alle verwendeten Bausteine sind jetzt farblich markiert und ich kann leicht die nicht markieren Bausteine erkennen, die in meinem Informationsverbund nicht modelliert sind.

Hallo,

vielen Dank für den wertvollen Beitrag. Auch wir im verinice-Team lernen immer wieder von unseren Anwendern und sind sehr dankbar für solche Forums-Beiträge, Präsentation zum Umgang mit speziellen Fragestellungen etc.
Ich kann persönlich auch keinen eleganteren Wegen zum heutigen Zeitpunkt vorschlagen.

Grundsätzlich wissen wir auch von anderen Anwender, dass die Nachbearbeitung der ausgegeben Daten aus verinice sehr effizient in anderen Tools erfolgen kann, wie z.B. mit Excel oder yEd. Zu dem zuletzt genannten gab es einen sehr inspirierenden Vortrag von Herrn Lundström auf der letzten verinice.XP:

Mit freundlichen Grüßen
Stanislav Strigunov

1 Like