Referenzierung von Bausteinen

Referenzierung von Bausteinen

Als Anwender möchte ich analog zum alten IT-Grundschutz in verinice gleiche Bausteine referenzieren um diese nicht mehrfach pflegen/bearbeiten zu müssen.

Umgang mit gleichen Bausteinen

Da auch im modernisierten IT-Grundschutz gleiche Bausteine mehrfach zu modellieren sind, soll der Aufwand bei der Bearbeitung und Pflege und der Bausteine reduziert werden. Es stehen grundsätzlich zwei Möglichkeiten zur Verfügung, die auch bereits im alten IT-Grundschutz verfügbar sind:

  • Die Referenzierung von Bausteinen, wobei ein an einem Zielobjekt modellierter Baustein zusätzlich mit weiteren Zielobjekten als modelliert mit verknüpft wird. In den Reports wird diese zusätzliche Verknüpfung berücksichtigt.
  • Mittels Gleiche Bausteine selektieren und Konsolidator können Bearbeitungsstatus und Bemerkung von Maßnahmen eines Referenz-Bausteins auf Maßnahmen eines Bausteines mit identischem Inhalt der Property Kapitel kopiert werden.

Beide Optionen dienen prinzipiell dem gleichen Zweck, wobei die Konsolidierung bei Änderungen am Referenz-Bausteins ggfs. zu wiederholen ist, während die Referenzierung solange besteht, bis die Verknüpfung aufgehoben wird.

1 „Gefällt mir“

Ich habe das aktuell gelöst indem ich den Baustein mehrfach modelliere jedoch nur einmal mit Maßnahmen. Die bearbeiteten Maßnahmen habe ich dann auf die Anforderungen in allen Zielobjekten verknüpft. Die Manuelle Verknüpfung war jedoch auch ein ziemlich großen Aufwand. Auf eine „bessere“ Lösung würde ich mich hier sehr freuen. Der vorteil einer Referenzierung wäre eindeutig das auch spätere Änderungen nicht erneut referenziert werden müssen.

Hallo,

meine absolute Bewunderung gilt all jenen, die jedem System die entsprechenden Bausteine zuordnen (also modellieren) und dann für jeden modellierten Baustein die jeweilige Umsetzung der Anforderungen beschreiben.

Ich mache mal ein Beispiel für unsere, im zertifizierten Verbund befindlichen, Windows Server:

Dadurch dass wir das empfohlene Konzept vom BSI, ein Dienst pro Server, ziemlich stringent umgesetzt haben, kommen wir mit allen Managementsystemen auf über 50 Server. Nachdem ich die Server gruppiert habe, waren es immer noch ca. 30 Gruppen. Jedem Server oder jeder Gruppe hätte ich dann min. zwei Bausteine (SYS.1.1 Allgemeiner Server und SYS.1.2.2 Windows Server) zuordnen müssen. Das wären dann jeweils 34 Anforderungen bei normalem oder 49 Anforderungen bei erhöhtem Schutzbedarf. Also im Gesamten mindestens 34x30=1020 Anforderungen. Nur für die Server!!

Wenn ich dann den Grundschutz-Check mache, merke ich, dass ich bei 95% immer wieder das Gleiche beschreibe. Denn bei uns werden alle Server auf demselben Virtualisierungscluster betrieben, alle Server über denselben Beschaffungsprozess beschafft, über die gleichen Administratoren administriert oder über denselben Aussonderungsprozess außer Betrieb genommen (so wie wahrscheinlich bei vielen).

Der Konsolidator und der Masseneditor sind hier eine gute Hilfe. Danke an Sernet. Bleiben aber immer noch 1020 Anforderungen für die Server, die ich regelmäßig (nach den neuen Zertifizierungsunterlagen wohl einmal pro Jahr) einer Revision unterziehen muss.und das immer noch nur für die Server!

Kurz gesagt, ich schaffe es nicht, hier den Überblick zu behalten und habe mir deshalb wie folgt beholfen.

Ich pflege alle Objekte und Objektgruppen (also Geschäftsprozesse, Anwendungen, IT-Systeme, Räume,……) und bewerte diese nach ihrem Schutzbedarf. Da ich das alles in der ISM-Perspektive mache, lege ich alles unter Prozesse und Assets ab.

z.B.
image
Außerdem liste ich alle Bausteine, unabhängig von den Objekten, auf. Diese habe ich in die Controls aufgenommen. Dort kann ich dann auch noch weitere Anforderungen wie z.B. die Anforderungen ISO27001 oder sonstige pflegen.

image

Nun verknüpfe ich einfach die Assets (IT-Systeme, Räume,…) mit den Bausteinen.

image

So habe ich zum einen die Übersicht, welche Bausteine ich für mein IT-System verwende. (s. oben) oder welche IT-Systeme ich mit meinem Baustein behandle (s. unten).

image

Ich finde, das ist konform nach den Vorgaben des BSI. Schon allein deshalb, weil ich die Regeln für die Gruppierung von Objekten sehr gut einhalten kann.

Wenn ich nun den Grundschutz-Check mit den Verantwortlichen durchführe, mache ich diesen gleich für alle Server (um bei dem obigen Beispiel zu bleiben) und nicht für jeden einzelnen.

Durch diese Vorgehensweise entstehen aber natürlich auch ein paar Probleme.

  1. Manchmal kommt es auch vor, dass beim Grundschutz-Check auffällt, dass sich die Umsetzungen doch sehr unterscheiden.
    Dann kopiere ich diesen Baustein einfach und lege einen zweiten Baustein an, den ich dann für die Ausnahme verwende. (also mit den jeweiligen Assets verknüpfe).
    Also z.B.
    SYS.1.1 Allgemeiner Server
    SYS.1.1 Allgemeiner Server (besondere Server)

  2. Manchmal kommt es vor, dass sich nur einzelne Umsetzungsbeschreibungen marginal unterscheiden.
    Dann vermerke ich das in der Umsetzungsbeschreibung. Z.B. Die Umsetzung der Anforderung für den Server xyz ist folgt.

  3. Nicht alle Objektverknüpfungen sind im Standard möglich.
    Wenige Zeilen in der SNCA.xml Datei haben das Problem gelöst.

  4. Die Standardberichte stellen das nicht dar.
    Mit etwas Aufwand und dem vDesigner ist das Problem auch lösbar.

Alles in Allem habe kann ich jetzt natürlich nicht mehr von allen tollen Features der letzten Versionen profitiert aber ich sehe so den Aufwand für die Erstellung der Referenzdokumente als überschaubar an und behalte vor allem noch den Überblick. Aktuell habe ich so ca. 1200 Anforderungen zu beschreiben. Aber das für den gesamten Verbund.

Vielleicht konnte ich mit dieser Beschreibung dem Einen oder Anderen ein paar Ideen oder Anregungen geben. Ich bin der Meinung, dass die ganzen Umsetzungsbeschreibungen der Sicherheit dienen und nicht den ISB und die Administratoren beschäftigen sollten. Denn die personellen Ressourcen stehen leider nicht im Überfluss zur Verfügung.

Gruß
Hanspeter Langer

2 „Gefällt mir“

Guten Tag Herr Langer,

vielen Dank für diesen usführlichen Beitrag, der die Problematik der Vorgehensweise nach dem (modernisierten) IT-Grundschutz deutlich macht.
Für mich wird hier wieder einmal klar, wie flexibel verinice bei entsprechender Kenntnis ist.

Die wichtigste Aussage Ihrerseits ist für mich, dass Ihre Vorgehensweise „…konform nach den Vorgaben des BSI ist…“. Dazu gehört insbesondere auch, dass man die Vorgehensweise gegenüber z.B. einem Auditor argumentieren und ggfs. auch vetreidigen kann. Einem erfahrenen Grundschutzanwender wie Ihnen wird das leicht fallen, weniger erfahrene Anwendern vermutlich nicht. Das gilt allein für so triviale Dinge wie unterschiedlichen Begrifflichkeiten (Asset versus Zielobjekt etc.). Oder z.B. findet sich in der ISO-Perspektive die unterschiedliche Vorgehensweise der Absicherung nicht wieder, was kein wirkliches Problem darstellt aber ggfs. zu erläutern wäre.

Aus Ihrer Beschreibung wird mir lediglich nicht klar, wie Sie die Bausteine des IT-Grundschutz-Kompendiums in der ISM-Perspektive verwenden. Haben Sie diese vorab konvertiert?

Interessant wäre für die Mitlesenden vielleicht noch, welche Verknüpfungstypen Sie in der SNCA hinzugefügt haben?

Vielen Dank!

Michael Flürenbrock

Hallo Herr Flürenbrock,

in der Tat, die Flexibilität von Verinice weiß ich sehr zu schätzen, und habe auch noch keine andere ISMS-Anwendung gesehen, die diese bietet.

Mit den Begrifflichkeiten (IT-Grundschutz vs. „Unternehmenssprache“) haben Sie recht. Ich tappe auch immer wieder in die Falle, dass ich intern Gespräche mit den Fachabteilungen führe und erst nach einer Weile bemerke, dass wir vom gleichen Sachverhalt sprechen aber unterschiedliche Begriffe dafür verwenden.

Ich habe deshalb angefangen ein „Dictionary“ zu erstellen, in dem ich verschiedene Begrifflichkeiten übersetze.

Wie z.B.

Freigabeprozess <–> Zeichnungslauf

Dokumentierte Information <-> Aktenvermerk

(wir im Badischen haben da ja viel Erfahrung, da wir oft nicht verstanden werden. :-))

Verwendung finden dann die Begriffe, die wir intern nutzen und bei denen ich sicher sein kann, dass Sie auch von den Mitarbeitern verstanden werden. Den Autoren mute ich unsere Begriffe zu, was eigentlich gut klappt. Ansonsten helfe auch gerne als Übersetzer. :slight_smile:

Die Konformität begründe ich mit der Integration des ISMS in alle Prozesse und Projekte (BSI-Standard 200-1 Kap. 4.1.3 Informationssicherheit integrieren). Die Einführung einer neuen „Sprache“ oder neuer Begriffe für Dinge, die schon benannt werden können, wäre für mich keine Integration.

Die Bausteine bilde ich über die „Controls“ ab, und Sie haben Recht, diese können nicht in die ISM-Perspektive importiert werden. Da nur das Objekt „Control“ also bei mir die Anforderungen importiert werden können. Hier habe ich mir dann einen Makrorekorder zur Hilfe genommen.

Die Umsetzungshinweise und die vollständigen Beschreibungen der Bausteine pflege ich nicht in Verinice, sondern verweise hier auf das BSI. Diese URL‘s nutze ich dann später auch im Bericht als Hyperlink. Das Ganze sieht in Verinice dann etwa so aus:

Bezüglich der Verknüpfungen oder Änderungen in der SNCA kommt dies eigentlich sehr oft vor, dass ich mir neue Felder oder Verknüpfungen anlege. Je nach dem was ich gerade benötige.

Speziell für die Assets habe ich diese Verknüpfungen angelegt.

<!-- ======== Customizing ============== -->			
	<huirelation to="asset" id="rel_asset_asset_contain"
        		name="beinhaltet" reversename="befindet sich in" tooltip="" />	
	<huirelation to="asset" id="rel_asset_asset_virtual"
        		name="virtualisiert" reversename="VM-Host für" tooltip="" />
	<huirelation to="asset" id="rel_asset_asset_cluster"
        		name="bildet Cluster mit" reversename="bildet Cluster mit" tooltip="" />
	<huirelation to="person-iso" id="rel_asset_person_used"
        		name="wird genutzt von" reversename="nutzt" tooltip="" />
	<huirelation to="exception" id="rel_asset_exception_approved"
        		name="genehmigte Ausnahme" reversename="definiert Ausnahme" tooltip="" />
	<huirelation to="incident_scenario_group" id="rel_asset_incident_scenario_group"
        		name="Risikobehandlung" reversename="behandelt Risiko" tooltip="" />
	<huirelation to="vulnerability" id="rel_asset_vulnerability"
        		name="wird geschwächt durch" reversename="betroffen" tooltip="" />	
<!-- ======== Customizing END============== -->

…oder bei den Controls (hier habe ich auch noch eine Verknüpfung zum alten Grundschutz. Diese werden aber nach und nach eliminiert)

<!-- ======== Customizing ============== --> 
<huirelation to="record" id="rel_control_record_evid"
            		name="wird aufgezeichnet" reversename="zeichnet auf" tooltip="" />
	<huirelation to="evidence" id="rel_control_evidence_evid"
            		name="wird nachgewiesen" reversename="weist nach" tooltip="" />	
	<huirelation to="mnums" id="rel_control_mnums"
        		name="Maßnahmen" reversename="Anforderungen" tooltip="" />			
<!-- ======== Customizing END============== -->

Ich hoffe, dass ich Ihre Fragen richtig verstanden habe und den Lesern ein paar Ideen mitgeben konnte.

Mit freundlichen Grüßen

Hanspeter Langer

2 „Gefällt mir“

Hallo,
weiß jemand, ob inzwischen die Referenzierung (so wie im alten GSTOOL) in verinice möglich ist?
VG
Konrad Rosmus

Hallo,

wir haben uns die Referenzierung jetzt für verinice 1.24 vorgenommen!
Der Feature Request wird in die Rubrik verinice 1.24 verschoben.

MfG mflue

Hallo,

ab verinice 1.24 wird die Referenzierung von Bausteinen vereinfacht und optisch hervorgehoben.

Mit der Baustein-Referenzierung ist es möglich, im Informationsverbund bereits modellierte Bausteine für mehrere Zielobjekte gleichzeitig zu nutzen. Dadurch verringert sich sowohl der Aufwand für die Bearbeitung und Pflege der Bausteine, als auch die Anzahl der im Informationsverbund enthaltenen Bausteine.

Um einen Baustein zu referenzieren gehen Sie wie folgt vor: Im Informationsverbund sollte ein bereits modellierter Baustein vorhanden sein. D.h. der Baustein (mit Anforderungen, elementaren Gefährdungen und ggf. Umsetzungshinweisen/Maßnahmen) ist unterhalb eines Zielobjekts in der Modernisierter IT-Grundschutz View enthalten. Nun soll dieser Baustein auch für andere Zielobjekte herangezogen werden. Ziehen Sie hierfür den notwendigen Baustein per Drag&Drop auf das gewünschte Zielobjekt und die Referenzierung wird durchgeführt. Bei dieser Aktion wird Folgendes im Hintergrund ausgeführt:

Das gewünschte Zielobjekt wird mit allen Anforderungen und den elementaren Gefährdungen des Bausteins verknüpft. Dabei handelt es sich um den Verknüpfungstyp modelliert mit (Verknüpfungen zwischen Anforderung und Zielobjekt) und beeinflusst durch (Verknüpfungen zwischen Gefährdung und Zielobjekt).

Sollten bereits Verknüpfungen zwischen dem Zielobjekt und einem Baustein (sprich Anforderungen und Gefährdungen) mit demselben Identifier vorhanden sein, so wird mittels eines Hinweis-Dialogs abgefragt, ob die Referenzierung trotzdem erfolgen soll. Ist die zusätzliche Referenzierung gewünscht, so werden weitere Verknüpfungen angelegt. Unter Umständen können dadurch Anforderungen mehrfach verknüpft sein.

Optisch erkennen Sie die Zielobjekte, bei denen eine Baustein-Referenzierung vorliegt, an der kursiven und leicht ausgegrauten Schrift in der Baumstruktur von verinice. Weitere Informationen zu den Verknüpfungen entnehmen Sie dann der View: Verknüpfungen. Sollte ein Baustein direkt auf dem Zielobjekt modelliert sein, so wird dieser nach wie vor unterhalb des Zielobjektes angezeigt. Dadurch sind Hybrid-Modellierungen möglich: Bausteine sind direkt (unterhalb des Zielobjektes) modelliert und als Baustein-Referenzen (durch Verknüpfungen realisiert) vorhanden.

verinice_1.24_Baustein-Referenzierung


MfG
tanisow

4 „Gefällt mir“

Hallo - hier eine kurze Rückfrage zur Referenzierung. Funktioniert das auch Verbundübergreifend?
Zweite Nachfrage - wie kann man die Referenzierung wieder löschen?

VG CKlemke

Hallo CKlemke,

die Referenzierung funktioniert auch Verbundübergreifen. Was Sie hierbei bedenken müssen ist, dass die Standard Report-Templates nicht für die Verbundübergreifende Report-Erzeugung konzipiert sind. D.h. möglicherweise müssen die Berichte angepasst werden.
Die Referenzierung können Sie löschen, indem Sie die Verknüpfungen zu den Anforderungen und Gefährdungen löschen.


MfG
tanisow

vielen Dank Frau Tanisow