in unserem Projekt nutzen wir keine eigene Infrastruktur sondern greifen dafür vollständig auf Dienstleister zurück. Wir befinden uns gerade bei der Modellierung im Standardvorgehen von IT-Grundschutz. Mein Ziel wäre es am Ende der Modellierung jedem Dienstleister eine Liste mit den Zielobjekten in seiner Verantwortung zusammen mit ihren verknüpften Bausteinen bzw. Anforderungen zu übergeben. Auf dessen Basis sollen die Dienstleister dann die Listen und Aufgaben abarbeiten.
Was wäre hier der beste Weg, um das ganze in verinice umzusetzen? Was muss ich tun, um die Zuständigkeiten abzubilden? Wie bekomme ich das ganze dann als Report?
Ich hoffe jemand stand schon einmal vor einem ähnlichen Problem und kann mir weiterhelfen.
vor dem Problem stehen wir ständig. Sie haben mehrere Möglichkeiten. Am einfachsten ist es, wenn der Dienstleister eine eigenständige Zertifzierung hat, dann dokumentieren Sie diese im jeweiligen Zielobjekt.
Ansonsten ist die grundsätzliche Vorgehensweise, die Bausteine durch den jeweiligen Dienstleister abarbeiten zu lassen, schon mal gut. Im verinice können Sie diese Bausteine direkt im eigenen IV anlegen und die von den Dienstleistern gelieferten Informationen dort einpflegen. Dann haben Sie alles auch in Ihrem Report. Sie können aber auch für jeden Dienstleister einen eigenständigen IV anlegen und dort die Antworten einpflegen (lassen) und mit den Zielobjekten Ihres IVs verknüpfen. Hier benötigen Sie aber eigenerstellte Abfragen entweder mit allen Scopes, oder mit Folge Verknüpfungen.
Weitere Möglichkeit wäre, den Status der Anforderungen aus den Bausteinen abzufragen und nur für die jeweils zugehörigen Gefährdungen eine Risikoanalyse durchzuführen. Unabhängig vom Schutzbedarf der Zielobjekte. Das wäre wieder in den Standard-Reports enthalten.
Wichtig, weil zertifizierungsrelevant, die Basis-Maßnahmen aus den zugeordneten Bausteinen MÜSSEN auch vom Dienstleister nachweisbar umgesetzt sein. Die Dienstleister müssen also nicht einfach nur ja anklicken, sondern auch beschreiben wie die Anforderung bedient wird. Aus Wettbewerbsgründen wird das einigen der Dienstleister nicht schmecken.
Vielen Dank für die Antwort. Von den vorgeschlagenen Möglichkeiten kommt dann eigentlich nur ein IV pro Dienstleister für mich in Frage. Schade Marmelade
Beim Reporting können Sie dann die verschiedenen IVs in einem Standard-Report ausgeben, oder aber jeden in einem Einzelnen, oder aber mittels eigenerstellter Abfrage eine zielführende Auswertung generieren. Ich mache dies meistens so. Schauen Sie sich doch mal meinen Vortrag auf der letzten verinice.XP zum Thema iKfz an, dort habe ich genau diese Vorgehensweise erläutert. https://www.youtube.com/watch?v=mjn5iQqOOb0&t=363s