IT-Grundschutz-Kompendium Edition 2022 des BSI

Das BSI hat heute das neue IT-Grundschutz-Kompendium Edition 2022 veröffentlicht!

Die wesentlichen Neuerungen in aller Kürze:

  • 7 neue Bausteine (gesamt 104)
  • 2 Bausteine umbenannt bei gleicher Nummerierung
  • 14 entscheidend plus 2 minimal überarbeitete Bausteine mit 19 Seiten Änderungsdokumentation:
    • Neue Anforderungen: 3
    • Geänderte Anforderungen: 24
    • Umsortierte Anforderungen: 2
    • Entfernte Anforderungen: 24
    • Überarbeitung der Kreuzreferenztabellen, insbesondere Entfernung indirekter Gefährdungen in einigen Bausteinen
    • Modellierungshinweise angepasst/geändert in einigen Bausteinen
  • Umsetzungshinweise auf Stand IT-GS-Kompendium 2022:
    • 52 aus 2019
    • 1 aus 2020
    • 27 aus 2021
    • 2 aus 2022

Das verinice.TEAM arbeitet an der Konvertierung und Aufbereitung für verinice und wird das neue IT-Grundschutz-Kompendium in Kürze zur Verfügung stellen.

MfG Michael Flürenbrock

4 „Gefällt mir“

Guten Morgen @mflue!

Wenn Bedarf beim Testen einer „unabhängigen“ Person besteht einfach melden :slight_smile:

Viele Grüße,
Sören

1 „Gefällt mir“

Hallo,

wann ist denn mit demm Kompendium 2022 zu rechnen?

Hallo Soeren,

vielen Dank für das Angebot! Wie auf der verinice.XP angekündigt veröffentlichen wir schnellstmöglich in den nächsten Tage. Die Abnahme ist durch, wir müssen nur noch die begleitende Dokumentation erstellen um ein paar Besonderheiten zu erläutern.

VG Michael

1 „Gefällt mir“

Hinweise zum BSI Kompendium Edition 2022:

1. Besonderheiten beim Update

Bei 9 Bausteinen des IT-Grundschutz-Kompendiums Edition 2022 wurden neben den Anforderungen auch die elementaren Gefährdungen überarbeitet. Da die verinice Update- Funktion keine Elemente oder Verknüpfungen löscht, müssen Sie anschließend folgendes manuell nachpflegen:

  • Bei neu hinzugekommenen Gefährdungen werden durch die Update-Funktion von verinice die entsprechenden Gefährdungen neu angelegt und mit den dazugehörigen Zielobjekten und Anforderungen (laut Kreuzreferenztabelle) verknüpft. ◦ Sie müssen lediglich die neuen Gefährdungen bewerten.
  • Die entfallenen Gefährdungen werden durch die Update-Funktion von verinice nicht automatisch gelöscht, da diese gegebenenfalls von Ihnen bereits bewerten wurden. Aus diesem Grund müssen Sie prüfen, ob die entfallenen Gefährdungen (eventuell aus Dokumentationsgründen) noch benötigen werden.
    • Werden die Gefährdungen gar nicht mehr benötigt, so können diese manuell (durch Rechtsklick > löschen) gelöscht werden.
    • Wollen Sie die Gefährdungen weiterhin zu Dokumentationszwecken in Ihrer Modellierung beibehalten, diese sollen aber in keine Bewertung einfließen, so können Sie die Verknüpfungen zu den Anforderungen und dem Zielobjekt entfernen.
    • Sollen die Gefährdungen weiterhin betrachtet und bewertet werden, so ist keine manuelle Nacharbeit nötig.
  • Zudem wurden grundsätzlich die Kreuzreferenztabellen in diesen Bausteinen überarbeiten. Dies bedeutet, dass nicht nur Gefährdungen hinzugekommen oder entfallen sind, sondern dass auch zahlreiche Verknüpfungen der vorhandenen Gefährdungen überarbeitet wurden. In diesem Fall sind Verknüpfungen (insbesondere die Entfallenen) zwischen den einzelnen Anforderungen und Gefährdungen zu prüfen und gegebenenfalls zu löschen.

:warning:Diese Hinweise betreffen nur die Nachmodellierung beim Update des IT- Grundschutz-Kompendiums von der Edition 2021 auf die Edition 2022. Wird eine Neumodellierung vorgenommen, so werden die Bausteine, Anforderungen, elementaren Gefährdungen und die dazugehörigen Verknüpfungen korrekt modelliert.


2. Umsetzungshinweise

Die Umsetzungshinweise sind laut BSI nicht Bestandteil des IT-Grundschutz-Kompendiums. Aus diesem Grund beinhaltet das IT-Grundschutz-Kompendium 10.0 Edition 2022 keine Umsetzungshinweise mehr. Diese werden jedoch ab Edition 2022 separat zur Verwendung in verinice zur Verfügung gestellt.

:warning: Aufgrund der zahlreichen Veränderungen an den Bausteinen und Anforderungen über die letzten Jahre, ist die Passgenauigkeit bei einigen Umsetzungshinweisen der einzelnen Editionen inzwischen teilweise fragwürdig. Das verinice.TEAM stellt diese dennoch ohne jegliche inhaltliche Redaktion bereit. Anwenderinnen und Anwender der Umsetzungshinweise sollten die Verwendung im Detail prüfen!

Die einzelnen Umsetzungshinweise werden jeweils nach Editionen sortiert zur Verfügung gestellt. Folgende Editionen der Umsetzungshinweise sind im Shop oder Repository zu finden:

  • Umsetzungshinweise aus der Edition 2019
  • Umsetzungshinweise aus der Edition 2020
  • Umsetzungshinweise aus der Edition 2021
  • Umsetzungshinweise aus der Edition 2022

Da die Umsetzungshinweise ab sofort in einzelnen .VNA-Dateien zur Verfügung gestellt werden, sind keine Verknüpfungen mehr zwischen Anforderungen und Maßnahmen vorhanden. Aus diesem Grund sollten Sie folgende Einstellung für die korrekte Modellierung vornehmen: Bearbeiten > Einstellungen > BSI IT-Grundschutz > Modelliere Umsetzungshinweise / Maßnahmen deaktivieren. Diese Einstellung wird ab verinice 1.24 nicht mehr nötig sein. Sollte diese Einstellung in Vorfeld nicht vorgenommen werden, so werden die Anforderungen stets mit „Aus Maßnahme ableiten“ angelegt. Dies kann natürlich nachträglich mit Mehraufwand im Editor geändert werden.

:warning:
Weitere wichtige Informationen und Details entnehmen Sie direkt der Dokumenation der Umsetzungshinweise und des Kompendiums.

1 „Gefällt mir“