Hallo,
ich teste gerade verinice und wollte einen Informationsverbund aufbauen. Dazu habe ich einige CSVs um die Elemente zu befüllen. Hier scheitere ich aber daran, dass die BaFin für den Informationsverbund das Element “Informationen” fordert.
Leider finde ich in den CSV-Import Vorlagen kein Element, dass dazu passt. Es muss nämlich die Sensitivitätsstufe der Information und den Schutzbedarf der Schutzziele Integrität und Vertraulichkeit enthalten.
Gibt es da eine Möglichkeit, oder ist das erst mit der Pro-Version möglich?
Danke,
Markus
Hallo Markus,
leider stecke ich in den BaFin-Themen nicht im Detail drin und weiß nicht, ob meine Vorstellung von “Informationen” mit dem übereinstimmt, was die BaFin sehen mag.
Ich kann aber ein Beispiel geben, wie wir das immer verknüpfen:
(Warum hier unterschiedliche Farben sind, ist nicht ganz so relevant, aber die Pfeile stehen immer für “hängt ab von”, das gelbe sind Informationen, die grünen Rauten unsere Prozesse).
Vielleicht auch nicht das beste Wording im Bild, aber Folgendes:
Wir bilden Informationen als Asset (ISM-Ansicht) ab und stellen im Feld “Art des Assets” “Information” ein (darüber kann man später schön im Report filtern). Dann gilt bei uns die Regel, dass Informationsassets immer den Schutzbedarf an normale Assets vererben, nie andersherum. Auch wenn ein Wording sein kann “Das Tool verarbeitet die Daten X” würde niemals “Tool ist abhängig von X” in der Verknüpfung eingetragen werden, weil so die Richtung nicht mehr stimmen würde.
Im Editorfenster kann man sehen, dass wir für ein Informationsasset immer nur Vertraulichkeit und Integrität angeben, da meist über unsere Prozesselemente die Verfügbarkeit definiert wird (SLAs).
Analog zur Pfeilrichtung oben kann man im Verknüpfungs-Fenster sehen, wie rum wir verknüpfen.
Vorteile:
- wir können alle Informationsassets mit den Schutzbedarfen und Beschreibungstexten ausgeben (über den Typ des Assets)
- wir haben eine saubere Vererbung der Schutzbedarfe.
Verinice ist hier Vielseitig: Es gibt oft nicht eine einheitliche Vorgabe, wie man etwas modelliert. Das ist für den Anfang schwer, aber man kann sich semantische Konventionen selbst festlegen und darüber mit anderen austauschen.
Ich hoffe, ein wenig geholfen zu haben und stehe bei weiteren Fragen sehr gern zur Verfügung.
Mit bestem Gruß
2 „Gefällt mir“
Vielen Dank,
das hilft mir doch sehr weiter. Habe mir auch inzwischen wegen der Reports die Subscription besorgt.
Muss mich da noch etwas weiter einarbeiten. Leider gibt es das Handbuch ja erst mit der Subscription.
Da ist man mit der EVAL dann doch zu sehr mit herumdoktern unterwegs.
Viele Grüße
Markus
