Beim Umstieg vom alten auf den modernisierten IT-Grundschutz möchten Anwenderinnen und Anwender oft den Umsetzungs- und Dokumentationsstand alter Grundschutzmaßnahmen übernehmen.
Im folgenden Beispiel wird die grundsätzliche Vorgehensweise in verinice detailliert beschrieben, alle verwendeten Beispieldateien und -dokumente stehen unten zum Download bereit.
IT-Verbund alt
Als Ausgangssituation steht der Beispiel-IT-Verbund IT-Verbund_Maßnahmen_alt.vna zur Verfügung:
Konvertierung
Die Struktur des IT-Verbundes kann per rechtem Mausklick Konvertiere IT-Verbünde… in einen Informationsverbund für den modernisierten IT-Grundschutz konvertiert werden. Das Ergebnis steht als IT-Verbund_Maßnahmen_alt_[konvertiert].vna zur Verfügung, kann aber wie beschrieben auch selbst generiert werden:
Bitte beachten Sie dabei, dass Anwendungen im alten IT-Grundschutz mit Tags versehen werden müssen, um zu definieren, ob diese als Anwendungen oder Prozesse in den modernisierten IT-Grundschutz konvertiert werden sollen. Die Tags dazu lauten MoGs:Anwendung für Anwendungen bzw. MoGs:Prozess für Prozesse!
Export der Maßnahmen
Zum Export der alten Maßnahmen wird über das Menü Datei >Report-Abfrage >Neue Anfrage die Report-Abfrage Maßnahmen_Export.vlt erzeugt, die die gewünschten Daten aus den Maßnahme enthält. Darüber hinaus wird ausgelesen, zu welchem Baustein die Maßnahme gehört und an welchem Zielobjekt sie modelliert wurde:
Es werden in diesem Beispiel nur elementare Daten exportiert, insbesondere der Umsetzungsstatus und die zugehörigen Erläuterungen. Die Report-Abfrage kann natürlich angepasst werden.
Die Ausgabe der Verknüpfungen zu den unterschiedlichen Zielobjekttypen und dem IT-Verbund selbst bedingt jeweils eine eigene Zeile und damit im CSV-Export eine eigene Spalte!
Aufbereitung der Daten
Die exportierten Daten der Datei Maßnahmen_Export.csv werden in OpenOffice Calc (oder analog Microsoft Excel etc.) importiert (Maßnahmen_Export.ods) und müssen für den Import in verschiedenen Punkten aufbereitet werden.
Die Vorgehensweise lässt sich am besten in der Datei Maßnahmen_Aufbereitung.ods nachvollziehen:
- An oberster Stelle wird eine neue Zeile eingefügt, die die Feldnamen der Zielfelder als Spaltenüberschrift für das Mapping erhält:
- Aus Kapitel__(Ma wird Identifier
- Aus Titel__(Ma wird Titel
- Aus Umsetzung - Erläuterung__(Ma wird Erläuterung
- Es wird eine neue Spalte PID eingefügt und mit fortlaufender Nummerierung versehen, da diese für den CSV-Import erforderlich ist.
- Es werden mit etwas LibreOffice-Voodoo zwei neue Spalten berechnet, die in die Felder Beschreibung und Tags der Maßnahme/Anforderung importiert werden sollen. Die Formeln können in den entsprechenden Feldern der Datei eingesehen werden. Dabei stehen die folgenden Überlegungen im Vordergrund:
1. Im Feld Beschreibung soll nach dem Import erkennbar sein, zu welchem Baustein an welchem Zielobjekt die Maßnahme gehörte und wie der Umsetzungsstatus war.
2. Im Feld Tags sollen diese Informationen zudem so importiert werden, dass sie nach dem Import zur Filterung und damit für die schnelle Durchführung einzelner Arbeitsschritte zur Verfügung stehen. Bei Tags wird dabei eine Namenskonvention mit übergeben, die die Filterung weiter vereinfacht ( B:XYZ für Bausteine, M:XYZ für Maßnahmen, ZO:XYZ für Zielobjekte und U:XYZ für den Umsetzungsstatus). Da Tags durch Leerzeichen getrennt sind, erfordert die Aufbereitung der Daten hier ein paar String-Operationen, was die Formeln komplexer macht.
3. Der Inhalt des Single-Option Feldes Umsetzungsstatus selbst kann nicht importiert werden, weshalb er ebenfalls als Text an beide obigen Felder übergeben wird. Der Umgang nach dem Import wird weiter unten erläutert!
4. Da Formeln nicht importiert werden können bzw. sollen, sind die beiden Spalten noch zu kopieren und mit der Option „ohne Formel“ als Text einzufügen (siehe korrekte Vorgehensweise im jeweiligen Programm). - Abschließend können die alte Überschriftenzeile sowie alle Spalten, deren Daten nicht importiert werden sollen bzw. können, gelöscht werden (grau markierte). Das Ergebnis steht nach CSV-Export mit der Datei Maßnahmen_Import.csv zur Verfügung.
Import
In diesem Beispiel werden die Maßnahmen über Datei >CSV-Import doppelt in den modernisierten IT-Grundschutz importiert, einmal als Baustein-Anforderungen und einmal als Maßnahmen (welche der beiden Objekttypen verwendet werden hängt davon ab, ob mit dem Objekttyp Maßnahmen gearbeitet wird oder ob direkt in den Anforderungen dokumentiert wird). Beim Import muss dabei eleganter Weise lediglich der zu importierende Objekttyp geändert werden, da beide Objekte die zu importierenden Felder enthalten:
Das Ergebnis sieht dann in verinice wie folgt aus, wobei die importierten Objekte aus dem gleichnamigen Ordner bereits jeweils in eine neue Anforderungsgruppe bzw. Maßnahmengruppe kopiert wurden:
Zur Verdeutlichung sind die übernommenen Daten aus den Maßnahmen des alten IT-Grundschutz hervorgehoben.
Konsolidierung
In diesem Beispiel sollen nun zwei Dinge mit den konvertierten Maßnahmen umgesetzt werden, wobei explizit mit dem Objekttyp Maßnahmen gearbeitet wird:
- Der Umsetzungsstatus soll gesetzt werden.
- Die Maßnahmen sollen mit entsprechenden Anforderungen verknüpft werden.
Umsetzungsstatus übernehmen
Über den Filterdialog filtern wir die Maßnahmen aus, die im Tag den Umsetzungsstatus Ja tragen:
Markieren sie alle angezeigten Maßnahmen und öffnen Sie den Masseneditor über das Kontextmenü (rechte Maustaste), setzen Sie den Umsetzungsstatus auf Ja und bestätigen Sie über die Schaltfläche OK . Analog gehen Sie für die Umsetzungsstatus Nein, Teilweise und Entbehrlich vor, um mit geringstem Aufwand den Umsetzungsstatus aller konvertierten Maßnahmen aus dem alten Grundschutz in den modernisierten IT-Grundschutz zu übernehmen.
Maßnahmen mit Anforderungen verknüpfen
Modellieren Sie den zuvor konvertierten IT-Verbund mit den neuen Bausteinen des IT-Grundschutz-Kompendiums, in unserem Beispiel inklusive der Umsetzungshinweise (Maßnahmen) des BSI. Um die konvertierten Maßnahmen mit den relevanten Anforderungen zu verknüpfen oder die Maßnahmen zu kopieren, öffnen Sie verinice über das Menü Ansicht >In neuem Fenster öffnen in einer zweiten Instanz und ordnen Sie beide Instanzen Ihrem Betriebssystem entsprechend nebeneinander an. Diese Vorgehensweise ermöglicht die Arbeit mit zwei Modellviews:
Im Beispiel existieren im modernisierten IT-Grundschutz keine Umsetzungshinweise für den Baustein APP.5.2 Microsoft Exchange und Outlook der Anwendung 1. Aus dem alten IT-Grundschutz hingegen können wir über das Tag ZO:Anwendung die bisher umgesetzten Maßnahmen ausfiltern. Es empfiehlt sich hier über das Kontextmenü Neue Maßnahmen-Gruppe… eine neue Maßnahmengruppe APP.5.2 Microsoft Exchange und Outlook anzulegen und die konvertierten Maßnahmen in diese zu kopieren:
Im nächsten Schritt werden die aus dem alten IT-Grundschutz übernommenen Maßnahmen nun entsprechend der Migrationstabelle des BSI mit den neuen Anforderungen des modernisierten IT-Grundschutz verknüpft. Da die Migrationstabellen sich auf die Edition 2019 des IT-Grundschutz-Kompendiums beziehen und in unserem Baustein in der Edition 2020 einige Anforderungen entfallen sind, muss die Erfüllung der Maßnahmen manuell geprüft werden! Dies wird noch verstärkt durch die Tatsache, dass für den überwiegenden Teil der Anforderungen laut der Migrationstabellen keine ausreichende Abdeckung mit den alten Maßnahmen gegeben ist!
Die Zuordnung muss demnach manuell erfolgen, aber sämtliche bisher erfassten Maßnahmen inklusive Umsetzungsstatus und Erläuterung können weiter verwendet werden, was eine erhebliche Zeitersparnis bedeutet.
Hinweis! Es handelt sich bei diesen Überlegungen um ein Beispiel. Je nach gewünschtem Ergebnis können beliebige andere Daten und Felder kombiniert und aufbereitet werden! Entscheidend ist immer das beabsichtigte Ergebnis!
Download Beispieldateien
Maßnahmen_übernehmen.zip (175,1 KB)