Ich weiß nicht, ob das Thema unter „Schnittstellen!“ richtig aufgehoben ist, aber ich versuch’s mal.
Das Problem für uns ist, dass in den Grundschutzbausteinen die Anforderungen als Fließtext stehen. Die darin enthaltenen Teil-Anforderungen (die mit den einzelnen Modal-Verben) muss man sich bei der Modellierung dann händisch einfügen und alle im selben Feld beantworten.
Das BSI stellt dankenswerter Weise „Checklisten zum Grundschutz-Kompendium“ im Excel-Format bereit, die schon diese Teilanforderungen als separate Zeilen enthalten. Diese Checklisten eignen sich auch ganz gut als Formulare für die praktische Modellierung vor Ort. Sie sind aber zu komplex, um sie einfach über den CSV-Import in Verinice übernehmen zu können.
Meine Frage wäre, ob man (also sernet selber) nicht entweder die Grundschutz-Bausteine aus dem Kompendium gleich so aufbereiten kann, dass diese Teil-Anforderungen einzeln über Maßnahmen direkt in Verinice abarbeiten kann, oder ob sich schon jemand aus der Community den Aufwand gemacht hat, ein Script/Filter/wasauchimmer zu bauen, welches diese ausgefüllten Excel-Checklisten in die Felder der Maßnahmenumsetzung von Verinice übernimmt.
Man könnte die Teil-Anforderungen in verinice als Maßnahmen anlegen und mit den jeweiligen Anforderungen verknüpfen. Das würde sogar sehr gut funktionieren, da durch die Ableitung die Anforderung als erfüllt gelten würde, wenn alle nicht entbehrlichen Maßnahmen (Teil-Anforderungen) umgesetzt wären.
Das BSI vertritt hier nach Rückfrage die Ansicht, dass Anforderungen ganzheitlich zu betrachten sind, weshalb wir uns bisher nicht dazu entschließen konnten, die obige Lösung im IT-Grundschutz-Kompendium abzubilden.
Ich nehme Ihre Anforderung aber nocheinmal auf und verschiebe den beitrag in die Rubrik Feature Request.
Diese Idee hatten wir auch schon, aber das würde sehr viel Handarbeit bedeuten. Im Moment lösen wir das so, dass wir die internen Audits mit der Checkliste machen und dann die Texte 1:1 in die Bemerkungen zur Bausteinumsetzung kopieren. Das ist auch Handarbeit, aber weniger fehleranfällig.
Ich hätte ja noch eine Idee, aber die wäre eigentlich schon wieder ein neues Feature-Request: Eine Funktion, die zu jedem Baustein ein Audit-Formular ausgibt, was die Teilanforderungen einzeln enthält. Wir müssen das ohnehin in Papier dokumentieren, weil das eine Anforderung aus unserem geltenden Regelwerk ist.
Wir haben gerade letzte Woche das IT-Grundschutz-Kompendium aus verinice mal für die Nachfolgegeneration konvertiert und dabei testweise die Teilanforderungen ähnlich der obigen Beschreibung angelegt. Prinzipiell geht das, alerdings hat man dann im Kompendium knapp 8.000 Anforderungen und Teilanforderungen. Das schien mir noch nicht so richtig sinnvoll.
Deshalb überlegen wir in der Tat, ob man das nicht eher ähnlich wie von @phff vorgeschlagen umsetzten kann. Wir werden das Thema auf jeden Fall weiter verfolgen.
Die 8000 Teilanforderungen würden mich nicht abschrecken, wenn sie letztlich für jeden Baustein zusammengefasst und auf die Bausteinumsetzung gemappt würden. Etwa so: Gesamtumsetzung bleibt auf „teilweise“, solange nicht der Umsetzungsstatus aller Teilanforderungen entweder „Erfüllt“ oder „Entbehrlich“ ist. Anfassen muss man die Teilanforderungen beim Audit formell ja sowieso.
Da wir gerade wieder dabei sind, heftig zu modellieren, hätte ich noch eine Idee, wie sich vielleicht die Teilanforderungen eines Bausteins abbilden ließen. Im Moment gibt es bei Anforderungen und Maßnahmen nur ein Feld für die Umsetzung des gesamten Bausteins. Wäre es möglich, unter „Umsetzung“ ein „Ankreuz-Dingens“ einbauen, welches alternativ die Teilanforderungen mit eigenen Erläuterungen und Umsetzungsstand einblendet? Falls da etwas eingetragen wird, landet das zusammen mit der Überschrift „Teilanforderung x“ im allgemeinen Erläuterungsfeld. Der Gesamt-Umsetzungsstatus würde dabei dann auf den niedrigsten Wert der Teilanforderungen gesetzt und wäre nicht mehr in der „Sammelansicht“ zu ändern. Oder ihr macht einen extra Audit-Workflow, der die Einzelanforderungen drin hat und der die Maßnahmenumsetzung mit sinnvollen Werten „befüllt“, wenn man ihn aufruft.
Ich würde ja gern mal selber schauen, wie Verinice intern funktioniert, aber ich bekomme (letzter Versuch war: 2022) keine funktionierende Entwicklungsumgebung hin.
es können mehrere Maßnahmen (Teile der Anforderung) mit einer Anforderung verknüpft werden.
Dazu gibt es den Haken „aus Maßnahme ableiten“. Darüber könnte man so ein Konstrukt abbilden.
Das würde dann so aussehen, dass es immer eine Bausteinanforderung gäbe, die, wie gehabt, alle Teilanforderungen enthält, aber mehrere Maßnahmen, die die Teilanforderungen enthalten und deren Umsetzungsstände dann in der Bausteinumsetzung zusammengefasst werden? Das würde schon deutlich weiter helfen. Bleiben nur die Anforderungen, die nicht aus Maßnahmen abgeleitet werden, die müsste man so behandeln, wie bisher. Das werden nicht allzu viele sein.
Schöner wäre allerdings ein Audit-Workflow, wie er im alten Grundschutz schonmal drin war (wenn ich mich richtig erinnere), der die Anforderungen und Maßnahmen abfragt und sinnvoll in die Datenbank einträgt.
