Kompendiums-Update von 8.0 und 8.1 auf 9

BSI IT-Grundschutz nach 200-x
1

Hallo zusammen,

ich bin derzeit dabei für einen Informationenverbund eine Aktualisierung des IT-Grundschutz-Kompendiums von der Version 8.0 auf 9 durchzuführen. Bei der Umsetzung ist mit aufgefallen, dass aktualisierte Baustein und damit Anforderungen im Feld Änderungstyp und Änderungsdetail noch Informationen aus dem IT-Grundschutzkompendium 8.0 enthalten. Dafür wird von meinem Kollegen der Verinice Client die Version 1.21 und von mir die Version 1.22 genutzt.

Beispiel: Baustein - OPS.1.2.2 Archivierung

Von 2019 zu 2020 gab es Änderungen an den bestehenden Anforderungen OPS.1.2.2.A6 und OPS.1.2.2.A12, sodass im Kompendium 2020-0 und 2020-1 folgender Änderungstyp und Änderungsdetails implementiert sind (siehe Screenshot für Anforderung OPS.1.2.2.A6)

image
image770×177 5.62 KB

Nach der Aktualisierung von 2020-0 auf 2021-0 wurden die Inhalte für die Felder Änderungstyp und Änderungsdetails nicht aktualisiert bzw. beibehalten (Siehe Screenshot nach der Aktualisierung).

image
image778×169 5.6 KB

Theoretisch sollten doch die Felder für die Anforderung OPS.1.2.2.A6, nach der Aktualisierung auf das neue Kompendium, keine Inhalte mehr enthalten oder liegt ein Logikfehler auf meiner Seite vor?

image
image527×723 22.4 KB

Dadurch das die Inhalte weiterhin übernommen werden, werden mir beim Filtern nach Release auch die Änderungen an bestehenden Anforderungen aus dem 2020-0 angezeigt. Für die nachträgliche Überprüfung und Nacharbeit der Änderungen würde dadurch ein höherer Aufwand resultieren.

Die Übertragung der Inhalte erfolgt auch bei der Aktualisierung vom IT-Grundschutz-Kompendium in der Version 2020-1 auf 2021-0.

Nachtrag: Ich habe mal einen Aktualisierungsprozess vom 7.1 bis zum 9.0 IT-Grundschutz-Kompendium mit dem Baustein OPS.2.1 Outsourcing für Kunden (siehe Screenshot). Am Ende ist mir aufgefallen, dass alle Änderungen an bestehenden Anforderungen, die im Rahmen der Aktualisierung der IT-Grundschutz-Kompendien durchgeführt wurden, weitervererbt werden. Damit werden einem auch alle getätigten Änderungen nach dem Filtern angezeigt. Ich habe festgestellt, dass bestehende Inhalte in den Feldern Änderungstyp und Änderungsdetails zwar aktualisiert werden, jedoch werden die Inhalte nicht entfernt, wenn keine Änderungen erfolgt sind.

image
image1322×112 11.1 KB

Vielen Dank für eure Hilfe.

Viele Grüße
Yannick

1 „Gefällt mir“
2

Hallo @yannick ,

vielen vielen Dank für diesen wertvollen Hinweis!

Das Problem ist korrekt beschrieben, es handelt sich in der Tat um einen Bug in verinice.

Der Fehler liegt darin, dass wie vermutet alte Änderungen aus einer vorherigen Version/Edition fälschlicher Weise beibehalten werden, das Release Tag aber aktualisiert wird.

Der Bug ist inzwischen behoben, der Fix wird nach erfolgreichen Tests kurzfristig mit einem neuen Release verinice 1.22.1 veröffentlicht.
Für alle Anwenderinnen und Anwender, die wie beschrieben von dem Bug betroffen sind, stellen wir parallel ein neues IT-Grundschutz-Kompendium 9.1 Edition 2021 bereit, mit dem das Problem durch erneute Modellierung behoben werden kann.

Wir bitten Sie und alle ebenfalls betroffenen Anwender*innen den zusätzliche Aufwand zu entschuldigen und bedanken uns für den Hinweis und die Unterstützung!

MfG mflue

3 „Gefällt mir“