Neues Kompendium, neue Umsetzungshinweise

verinice – Einzelplatz und .PRO BSI IT-Grundschutz nach 200-x
1

Hallo zusammen,

erst mal vorweg: ich bin ein gelegentlicher Nutzer von Verinice, sehe aber mehr und mehr Einsatzzwecke dafür.

Einen Punkt habe ich aber noch nicht so ganz verstanden. Vielleicht kann mir das ja jemand erklären. Ich glaube nämlich, dass es da durchaus ein System dahinter gibt, das ich einfach noch nicht verstanden habe.

Ich habe irgendwann man ein Grundschutz-Kompendium importiert mit sehr, sehr vielen Einträgen.
Da habe ich angefangen, damit rumzuspielen.
Dann ist irgendwann ein anderes gekommen und dann noch ein anderes.
Dann kam eines, bei dem plötzlich keine Maßnahmen mehr dabei waren - habe ich verstanden: sind nicht Bestandteil des Grundschutz-Kompendiums.
Jetzt ist wieder ein neues Kompendium erschienen plus separaten Umsetzungshinweisen.

Ich habe jetzt jede Menge Kataloge, aus denen ich mir irgendwelche Teile rauspicken kann - teilweise auch aus älteren Katalogen, weil viele Sachen in dem neuen Katalog noch gar nicht vorhanden waren. (Den ganz neuen habe ich mir noch nicht genauer angesehen)

Wie ist jetzt das angedachte Vorgehen?
Kann ich alle Kataloge zu einem Repository kombinieren, so dass aktualisierte Themen automatisch ausgetauscht werden im Katalog?
Oder bleiben die ganzen Kataloge nebeneinander stehen und ich muss immer suchen, in welchem das Thema enthalten ist, das ich modellieren möchte?
Oder ist es so gedacht, dass ich nur immer den neusten Katalog brauche und die alten löschen kann? (Die Tatsache, dass beim neuen Katalog viele Punkte gefehlt haben, lag dann daran, dass der Katalog einfach noch nicht fertig war, das sollte aber mittlerweile behoben sein)?
Was mache ich denn dann mit den Umsetzungshinweisen (oder: Maßnahmen)?
Brauche ich die dann gar nicht mehr und ich bearbeite gleich direkt die Aufgabe? Oder muss ich die Maßnahmen irgendwie selber schreiben?
Gibt es diese Umsetzungshinweise noch irgendwo anders, wenn sie vom BSI nicht mehr gepflegt werden?

Was mache ich mit den (wenigen) Punkten, die ich schon bearbeitet habe, aber mit einer anderen Version des Grundschutzes? Die müsste ich dann neu machen, oder?

Viele Fragen, aber ich glaube, wenn ich das Konzept dahinter mal verstanden habe, beantworten sich damit viele der Fragen von selbst.

Kann mir hier vielleicht jemand auf die Sprünge helfen?

Vielen Dank
Tom

2

Hallo Tom,

also, die GS-Kompendien bleiben nebeneinander (untereinander) stehen. Das ist so korrekt.Wenn man ein altes Kompendium nicht mehr braucht, kann man es bedenkenlos löschen. Hat ja keinen Einfluss auf den bereits modellierten Informationsverbund. Wenn im neueren Kompendium Punkte fehlen, dann wurden sie vom BSI wegen Mehrfachnennung gekillt. Wenn diese dann aber in bearbeiteter Form im IV vorliegen, muss man halt selbst entscheiden wie man damit umgehen möchte. Auch wenn man ein Update eines Bausteins im IV auf einen neueren Baustein macht, bleiben diese erhalten. Was die Vorgehensweise für das Update betrifft, rtfm. Damit beantworten sich auch Ihre letzten Fragen.
Bleiben die Umsetzungshinweise. Die Umsetzungshinweise des BSI besitzen keinen höheren Stellenwert, als eigendefinierte Maßnahmen oder vom Engel Aloisius überbrachte Empfehlungen. Als Auditor prüfe ich, ob die Anforderungen entsprechend durch angemessene Maßnahmen erfüllt sind. D.h. hier können Sie nach Herzenslust agieren und auch eigentlich veraltete Maßnahmen aus früheren Kompendien verwenden, wenn diese weiterhin zielführend erscheinen. Ich bedien mich nicht selten aus den alten GS-Katalogen.

Hilft das weiter?

2 „Gefällt mir“