IT-Grundschutz-Kompendium Edition 2020

Konvertierung und Bereitstellung der für Februar angekündigten Edition 2020 des IT-Grundschutz-Kompendiums.

1 Like

Hallo Herr Flürenbrock,

heute hat das BSI das neue Kompendium 2020 freigegeben. Lese ich die Roadmap richtig, erscheint der neue Katalog erst Mitte März?

Besten Dank, Stefanie Langer

1 Like

Die Frage würde mich nachdem die Veröffentlichung gestern erfolgte auch interessieren.

vg
MA

Vielen Dank für die Nachfrage!

Die Edition 2020 des IT-Grundschutz-Kompendiums wird aktuell von uns für verinice konvertiert und nach einer Qualitätssicherung ausgeliefert, voraussichtlich in der KW 7 2020.

Update: Die Veröffentlichung der Edition 2020 wird sich in die KW 8 verzögern!

Parallel arbeiten wir daran für verinice 1.20 eine Update-Funktion für das IT-Grundschutz-Kompendium zu implementieren (siehe auch Update-Funktion für das IT-Grundschutz-Kompendium).

AnwenderInnen, die noch bis zur KW 13 warten können und wollen, sparen dann einiges an Aufwand und können Änderungen im Kompendium direkt in verinice erkennen (unsere klare Empfehlung).

Beim Update selbst sind eine Vielzahl von Änderungen vorgenommen worden. Darüber hinaus wurde die Kapitelnummerierung für einige Bausteine vom BSI geändert und Bausteine/Anforderungen umbenannt. Die Umsetzungshinweise werden zudem mit der Edition 2020 gar nicht ausgeliefert, da diese laut BSI aktuell komplett überarbeitet werden.

Nach Rücksprache mit dem BSI sind die Umsetzungshinweise der Edition 2019 mit Einschränkungen weiterhin gültig aber ohnehin nicht zertifizierungsrelevant. Wir werden diese mit der Edition 2020 ausliefern und bei der Update-Funktionalität berücksichtigen. AnwenderInnen, die mit den Umsetzungshinweisen des BSI arbeiten, können diese also weiterhin verwenden. AnwenderInnen, die die Umsetzungshinweise nicht verwenden, können die Update-Funktion ohne Umsetzungshinweise verwenden.

Ich hoffe etwas Klarheit in das Thema gebracht zu haben.

MfG Michael Flürenbrock

1 Like

Hallo Herr Flürenbrock,

vielen Dank für den Hinweis. Auf Ihren Hinweis zum Thema Umsetzungshinweis habe ich beim BSI nachgefragt. Grob ist die Auskunft: da die Umsetzungshinweise sind nach dem Standard nicht relevant.

Bisher habe ich die Maßnahmen über die Umsetzungshinweise gepflegt. Wenn diese aber in Zukunft „gewürfelt“ werden und nicht mehr mit dem Kompendium erscheinen müsste die Dokumentation zukünftig nur noch über die Anforderungen erfolgen. Kann man dies bereits jetzt einstellen bzw. was mache ich zukünftig mit den Feldern Umsetzungshinweise. Gibt es dazu dann auch eine Programmtechnische Anpassung, wenn diese auch unterjährig, so wie ich die Antwort erhalten habe, veröffentlich werden?

MfG Markus Albert

Hallo Herr Albert,

das BSI hat mir gegenüber bestätigt, dass die Umsetzungshinweise grundlegend überarbeitet werden sollen. Die Umsetzungshinweise seien (bekanntermaßen) nicht zertifizierungsrelevant, aber eben auch nicht falsch, solange es keine neuen gibt!

Wir werden die Edition 2020 des IT-Grundschutz-Kompendiums deshalb mit den Umsetzungshinweisen aus der Edition 2019 ausliefern, um allen verinice Anwenderinnen und Anwendern beide Optionen offen zu halten:

  1. Wurde bisher mit Maßnahmen gearbeitet und soll dies beibehalten werden, so kann mit der Edition 2020 inklusive noch gültiger Umsetzungshinweise gearbeitet werden.
  2. Soll nicht mit den Umsetzungshinweisen respektive dem Objekttyp Maßnahmen überhaupt in verinice gearbeitet werden, so kann dies in den Einstellungen ausgewählt werden (Menü: Bearbeiten > Einstellungen > BSI IT-Grundschutz > Modelliere Umsetzungshinweise/Maßnahmen).

Wann und in welcher Form neue Umsetzungshinweise erscheinen wurde nicht konkretisiert. Insofern gibt es auch noch keinen Plan für eine mögliche programmatische Umsetzung.
Entsprechend empfehle ich Ihnen (und allen Anwenderinnen und Anwendern mit ähnlicher Thematik) bei der aktuellen Vorgehensweise zu bleiben bis Klarheit oder zumindest Planungssicherheit bezüglich der Zukunft der Umsetzungshinweise besteht.

Für uns ist die Frage, ob in verinice mit dem Objekttyp Maßnahme gearbeitet wird übrigens in erster Linie von der Aufgaben-/ Rollenverteilung innerhalb der Kundenorganisation abhängig. Auswahl und Bearbeitung der Anforderungen sehen wir in der Rolle des Sicherheitsbeauftragten/CISO, die Umsetzung von Maßnahmen in der Rolle Administrator/Techniker etc.

Und letztlich kann man im neuen IT-Grundschutz natürlich mit eigenen/anderen Maßnahmen völlig unabhängig von den Umsetzungshinweisen arbeiten. Ich weiß dass einige Kunden sich hier bei NIST, CIS-Benchmarks und anderen bedienen. Diese Möglichkeit werden wir also definitiv beibehalten.

MfG Michael Flürenbrock

PS: Da auch die Sonderbehandlung der Umsetzungshinweise wie oben beschrieben im Rahmen der Update-Funktionalität für das IT-Grundschutz-Kompendium berücksichtigt werden muss, nehmen wir uns mit der Veröffentlichung der Edition 2020 noch bis kommende Woche Zeit.