Kompendiums-Updates 7.0, 7.1, 8.0

Hallo,

vor der Veröffentlichung von verinice 1.20 wurden wir gebeten, mit der Integration des Grundschutz-Kompendiums 2020 zu warten, weil in 1.20 neue Funktionen zur Erleichterung der Kompendiums-Updates enthalten seien. Ich kann den Grund dafür nun aber nicht erkennen:

Wir haben nun die Aktualisierung auf Version 1.20 vorgenommen und die Kompendien in den Versionen 7.1 und 8.0 eingespielt. Unseren Verbund haben wir innerhalb des letzten Jahres mit der Version 7.0 modelliert.

Im Testverbund konnten wir die angekündigten Erleichterungen des Kompendiums-Updates von Version 7.1 auf 8.0 erfolgreich testen.

Wenn wir aber aus dem 7.1er-Katalog einen Baustein auf den modellierten 7.0er-Baustein ziehen, dann ist das wirkungslos.

Was empfehlen Sie nun Leuten, die ihren Verbund mit dem Kompendium 7.0 modelliert haben?

Sollen wir erst alles auf 7.1 umziehen, um dann die erleichterte Update-Funktion auf 8.0 zu nutzen, oder

Sollen wir gleich auf 8.0 umsteigen, um dann die Update-Funktion im nächsten Jahr zu nutzen?

…oder gibt es sogar die Möglichkeit von 7.0 mit Hilfe der neuen Funktion upzudaten, was wir bislang noch nicht geschafft haben?

Vielen Dank und viele Grüße

Birger

3 „Gefällt mir“

Hallo Birger,

die Update-Funktion ab verinice 1.20 ist nur mit dem IT-Grundschutz-Kompendium 7.1 Edition 2019 auf IT-Grundschutz-Kompendium 8.0 Edition 2020 möglich, da hier den Zielobjekten (Bausteine, Anforderungen, Maßnahmen/-gruppen und Gefährdungen/-gruppen) neue Felder (Release der Edition, des Änderungstyps und Änderungsdetails) hinzugefügt wurden.
Wir empfehlen den Umstieg von 7.0 auf 7.1 durchzuführen, um dann mit der Update-Funktion auf 8.0 zu aktualisieren.
Natürlich ist es auch möglich den Umstieg von 7.0 auf 8.0 manuell durchzuführen und bei der nächsten Edition die Update-Funktion zu nutzen.

Bitte beachten Sie dabei, dass die neuen Felder essenziell für die Update-Funktion sind.

Hinweis: Im verinice Handbuch für den BSI-IT-Grundschutz ist in Kapitel 2.2.7.2. die Updatefunktion für das IT-Grundschutz-Kompendium mit wichtigen Information (z.B. zu entfernten Anforderungen oder umsortierten Bausteinen) beschrieben.


MfG
tanisow

Hallo,

etwas unglücklich für größere Verbünde, heißt dass, dass ich jetzt jeden Verbund durchgehen muss und alles per Drag und Drop aktualisiere um das Update durchzuführen?
Die Antwort ist wahrscheinlich: ja.

vg
Markus

Hallo Markus,

leider ist die momentane Antwort: ja.
Vielleicht wird es in einer der nächsten Versionen auch eine halb-/automatische Lösung dafür geben - nur leider momentan nicht.


MfG
tanisow

Hallo zusammen,

wir haben bisher mit dem Kompendium 7.0 gearbeitet. Der Grundschutzcheck wurde schon annähernd komplett durchgeführt.
Wir möchten jetzt auf 8.0 umsteigen.
Wenn ich die 7.1 oder 8.0 Bausteine auf den Informationsverbund bzw. die Zielobjekt modelliere (Drag&Drop) passiert nix.
Bedeutet das, ich müsste den kompletten IV mit 7.1 oder gleich 8.0 neu modellieren und manuell den Grundschutzcheck übertragen. Das wäre ja äußerst aufwändig.
Gibt es keine andere Möglichkeit, die bisher unter 7.0 durchgeführten Arbeiten zu „retten“?
Danke und viele Grüße
Konrad

Moin Tatjana,

Wir empfehlen den Umstieg von 7.0 auf 7.1 durchzuführen, um dann mit der Update-Funktion auf 8.0 zu aktualisieren.
Natürlich ist es auch möglich den Umstieg von 7.0 auf 8.0 manuell durchzuführen und bei der nächsten Edition die Update-Funktion zu nutzen.

Bitte beachten Sie dabei, dass die neuen Felder essenziell für die Update-Funktion sind.

Ist jetzt nicht dein Ernst?

D.h. auch von 7.0 auf 7.1 müsste ich die Bausteine neu modellieren und die Inhalte händisch übertragen?
Es ist nicht möglich -zumindest als Workaround- ein Script anzubieten, dass die benötigten zusätzlichen Felder in bestehenden IV nachpflegt? Zur Not auch über einen Export des IV als VNA -> durchlaufen eines externen Scripts -> Reimport in verinice?
Ich hoffe doch, dass ihr hier kurzfristig was anbieten könnt?

Gruß
Dirk

1 „Gefällt mir“

Hallo Dirk,

leider ist das der Fall. Allerdings ist das nichts Neues, denn bisher mussten alle vorherigen Versionen sowohl des Kompendiums als auch der Grundschutzkataloge händisch aktualisiert werden. Mit der Update-Funktion (ab 7.1/8.0) soll dem ein Ende gesetzt werden. Durch die programmatisch impementierte Funktion werden die neuen Felder abgeglichen und somit die Update Funktion ermöglicht. Natürlich sind die Felder dafür notwendig, allerdings ist der Inhalt der Felder der ausschlaggebende Impuls. Hier wurden die Änderungen des BSI (Änderungsdokument zur Edition 2019) eingepflegt und bieten somit erst den fachlichen Inhalt der Aktualisierung. D.h. an dieser Stelle würde ein Script, der nur die Felder hinzufügt, recht wenig bringen, denn der Mehrwert liegt tatsächlich in dem Inhalt der Felder.


MfG
tanisow

Moin Tatjana,

erst mal eine Annahme vorweg:

Ed.2018 war noch sehr rudimentär, etwa die Hälfte der Bausteine des alten Grundschutz umgesetzt. Ed.2019 war wohl die erste halbwegs verwendbare für eine Modellierung eines kompletten IV.

Die meisten Nutzer die ich kenne, haben sich Ed.2018 angeschaut und sind mit Ed.2019 ein bzw. umgestiegen auf den mod. Grundschutz. Gemäß den Fristen des BSI für den Umstieg, war für zertifizierte Verbünde ab Ed.2019 auch erst der Druck da zu migrieren.

Ein erstes Update dürfte also für die meisten auch erst mit dem Wechsel von Ed.2019 auf Ed.2020 relevant werden.

Eine Updatefunktion, in der geänderte Anforderungen markiert werden, ist eine tolle Sache und erleichtert die Arbeit beim Update sicher deutlich. Wenn es sie denn gibt und man sie nutzen kann!

Richtig, bisher musste ich das manuell tun, d.h. ich musste schauen, in welchen Bausteinen es Änderungen gab und nur diese dann aktualisieren. Das war schon eine eher lästige Tätigkeit, die sich aber meist auf einzelne Maßnahmen/Anforderungen und wenige Bausteine beschränkte.

Um die neue Updatefunktion nun zukünftig nutzen zu könne, muss ich jetzt aber alle Bausteine und Maßnahmen neu Modellierung und die Umsetzungsbeschreibungen der Anforderungen einzeln, Anforderung für Anforderung händisch kopieren. D.h. bei einem größeren Verbund mit einigen hundert Bausteigen und pro Baustein zwischen 15 und 25 Anforderungen komme ich auf eine 4-5-stellige Zahl von Anforderungen.

Ihr habt nur zwei? Felder hinzugefügt und wenn ich dich richtig verstanden habe lautet die Aussage: „Es gibt keinen Migrationspfad ihr müsst alle Bausteine neu aufsetzen und den kompletten Datenbestand händisch kopieren.“ ist das eure upgrade-Strategie für zukünftige funktionale Erweiterungen? Ich hoffe doch nicht!

Wenn das die Lösung ist, will ich mein Problem zurück.

Es muss doch eine Möglichkeit geben, diese fehlenden Felder in den vorhandenen Datenbestand auf dem Stand der Ed.2019 zu integrieren? Selbst wenn ich dann mit der ED.2019 noch keine Updateinformation erhalte und diese noch händisch nachpflegen muss, wie oben beschrieben handelt es sich dann zumindest um eine überschaubare Zahl von Bausteinen und nicht um alle.

Muss jetzt jeder Nutzer mit größeren Verbünden anfangen sich einen VNA-export zu ziehen und die XML Daten selbst per Script zu manipulieren, um das Problem zu lösen?

Gruß
Dirk

1 „Gefällt mir“

Hallo Dirk,
werte Mitlesende,

manchmal sieht auch das verinice.TEAM den Wald vor lauter Bäumen nicht, weswegen wir gerne richtigstellen:

Die Update-Funktionalität kann wie im Folgenden beschrieben auch für das Kompendium 7.0 verwendet werden!

Angesichts der umfangreichen Änderungen empfehlen wir vor dem Update ebenso selbstverständlich wie ausdrücklich ein Backup zu erstellen!

Parallel zu verinice 1.20 wurde eine neue Version 7.1 des IT-Grundschutz-Kompendiums der Edition 2019 veröffentlicht, die alle Änderungen und Neuerungen in den neu hinzugefügten Feldern Release, Änderungstyp und Änderungsdetails zur Verfügung stellt:


Diese Änderungen lagen bei Veröffentlichung der Version 7.0 im Februar 2019 naturgemäß noch nicht vor.

Die Updatefunktionalität wird allein durch den Parameter Release getriggert, so dass es ausreicht, diesen wie folgt in Informationsverbünden nachzupflegen, die auf Basis des IT-Grundschutz-Kompendiums Version 7.0 Edition 2019 modelliert wurden:

  1. Per Customizing der Datei SNCA.XML sind alle Instanzen des Feldes Release vorübergehend auf editable=„true“ zu setzen. Dies betrifft die Objekte Anforderung, Maßnahme und Gefährdung sowie die zugehörigen Gruppen:
<huiproperty id="bp_requirement_group_release" name="Release" editable="true"/>
<huiproperty id="bp_requirement_release" name="Release" editable="true" />
<huiproperty id="bp_safeguard_group_release" name="Release" editable="true" />
<huiproperty id="bp_safeguard_release" name="Release" editable="true" />
<huiproperty id="bp_threat_group_release" name="Release" editable="true" />
<huiproperty id="bp_threat_release" name="Release" editable="true" />
  1. Für alle diese Objekte muss nun mit dem Masseneditor der Wert 2019-0 in das Feld Release geschrieben werden. Dabei unterstützt eine Besonderheit des Masseneditors erheblich:
    Der Masseneditor ändert die Werte aller ausgeklappten Objekte eines Typs, solange das erste und das letzte Element einer Auswahl vom gleichen Typ sind. Alle dazwischenliegenden Objekte wie z.B. Gruppen werden dann einfach ignoriert (Product Owners Lieblingsfeature :grinning:).

  1. Danach kann wie beschrieben mit dem IT-Grundschutz-Kompendium Version 8.0 Edition 2020 bei Erhalt des bisherigen Umsetzungs- und Dokumentationsstandes und Zugewinn der Änderungen nachmodelliert werden!

Diese Vorgehensweise reduziert den oben beschriebenen Aufwand wie von Ihnen und Euch gewünscht erheblich!

Für eine der kommenden Versionen wird zudem überlegt, die Neumodellierung automatisch für alle modellierten Bausteine (eines Informationsverbundes) durchzuführen. Da diese Automatik aber sehr sensibel auf Änderungen der Struktur des IT-Grundschutz-Kompendiums reagieren würde, warten wir erstens das Feedback der Anwenderinnen und Anwender auf die Updatefunktionlität und zweitens zumindest die nächste Edition 2021 des Kompendiums ab.

Wir hoffen mit diesem Beitrag die Verwirrung ausgeräumt zu haben und freuen uns auf Fragen, Feedback und Diskussion.

MfG Michael Flürenbrock

4 „Gefällt mir“

Moin Michael,

vielen Dank, ich denke gerade den Nutzern mit größeren Verbünden wird damit ein Felsbrocken von den Schultern fallen :slight_smile:

Gruß
Dirk

Hallo miteinander,

gibt es schon Rückmeldungen, Berichte, Erfahrungen?
Wir haben das Customizing auf einem Testsystem mit Version 1.20 auprobiert, aber die Felder „Release“ sind nicht editierbar.
Man kann den Cursor reinsetzen, wo er dann blinkt, aber eintragen kann man nichts.

Was für Fehlerquellen kommen in Frage?
Server-Reboot: check;
Einträge korrekt gesetzt: check;
Gibt es Verwechslungsmöglichkeiten bei der Datei?
Muss man ggfs. noch andere Schritte durchführen?

Mit freundlichem Gruß
G.Weiser

Hallo Herr Weiser,

ich habe vorletzte Woche eine Migration nach der Anleitung erfolgreich durchgeführt.
Zusätzliche Schritte habe ich nicht durchgeführt.

Viele Grüße,

S. Risse

Hallo,

:information_source: bei dem Customizing ist zu beachten, dass verinice danach unbedingt einen Neustart benötigt. Dies gilt sowohl für die Einzelplatzversion als auch für verinice.PRO.


MfG
tanisow

2 „Gefällt mir“