BK-Verinice: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) |
||
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Vorlage:Entwurf}} | |||
{{#seo: | {{#seo: | ||
|title=Muster Betriebskonzept verinice | |title=Muster Betriebskonzept verinice | ||
Zeile 7: | Zeile 8: | ||
== Einführung == | == Einführung == | ||
Verinice ist ein ISMS-Tool für das Management | Verinice ist ein ISMS-Tool für das Management der Informationssicherheit. Alle relevanten Standards sind im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente werden in einer Objektdatenbank abgelegt, die an die Anforderungen des IS-Managements angepasst und dynamisch erweitert werden kann. | ||
Dieses Dokument beschreibt | Dieses Dokument beschreibt grundlegende Regeln für den Einsatz von Verinice in der Organisation. | ||
== Zielsetzung == | == Zielsetzung == | ||
Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand | Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand eine nachhaltige und regelmäßige Weiterentwicklung des ISMS mit diesem Tool zu unterstützen. | ||
== Geltungsbereich == | == Geltungsbereich == | ||
Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation. | Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation. | ||
== | == Auswahlkriterien == | ||
=== Anforderungsanalyse === | === Anforderungsanalyse === | ||
Die grundlegenden Anforderungen | Die grundlegenden Anforderungen an die Einführung eines ISMS ergeben sich im Wesentlichen aus den Anforderungen des Datenschutzes (DSGVO, BDSG) sowie den Anforderungen der BSI-Standards 200-1 bis 200-4. | ||
Um die | Um die daraus resultierenden laufenden Aktivitäten im Rahmen des ISMS effizient durchführen und auch für eine Zertifizierung nachvollziehbar dokumentieren zu können, ist die Unterstützung durch ein ISMS-Tool unerlässlich. Eine rein manuelle Dokumentation wäre aufgrund der Größe der Organisation zeitaufwändiger, fehleranfälliger und aufgrund der eingeschränkten Berichtsfähigkeit intransparenter. | ||
Die wesentliche Anforderung an das ISMS-Tool | Die wesentliche Anforderung an das ISMS-Tool besteht darin, alle notwendigen Schritte von der Modellierung bis zur möglichen Zertifizierung zu unterstützen und möglichst effizient zu gestalten. | ||
Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste | Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste „[https://www.bsi.bund.de/dok/6603498 Leistungsmerkmale für Softwaretools]“ des BSI erarbeitet. | ||
=== Produktauswahl === | === Produktauswahl === | ||
Die Organisation hat sich aufgrund | Die Organisation hat sich aufgrund ihrer Präferenzen und Vorkenntnisse sowie des Preis-/Leistungsverhältnisses für das Produkt Verinice der Firma SerNet GmbH als ISMS-Tool entschieden. | ||
Verinice ist in drei Varianten | Verinice ist in drei Varianten erhältlich: | ||
Verinice.EVAL ist die | '''Verinice.EVAL''' ist die Evaluierungsversion von Verinice: kostenlos, aber ohne jegliche Reporting- oder Importfunktion. Damit können alle Eigenschaften eines ISMS-Tools getestet werden - bis auf den Export von Berichten in PDF, Excel oder andere Formate. | ||
'''verinice''' ist die Vollversion inkl. Reporting- und Importfunktion, als Einzelplatzversion mit lokaler Installation auf dem Client für einen Benutzer. | |||
verinice.PRO ist der zentrale | '''verinice.PRO''' ist der zentrale Applikationsserver für das ISMS-Tool Verinice. Er bietet zentrale Funktionen für Sicherheit, Rechtemanagement und GroupWare, die den Einsatz von Verinice in größeren Verbünden mit höherer Performance ermöglichen. | ||
In Abwägung von Kosten und Nutzen | In Abwägung von Kosten und Nutzen hat sich die Organisation für die Einzelplatzversion von Verinice entschieden, da das Tool hauptsächlich vom Informationssicherheitsbeauftragten (ISB) und seinem Stellvertreter genutzt wird. | ||
== Technische Maßnahmen | == Technische Maßnahmen == | ||
=== Installation === | === Installation === | ||
Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird | Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird weder unter Linux noch unter Windows in das Betriebssystem eingebunden. | ||
Zur Installation wird das Installationspaket (z.B. <code>verinice-win32.win32.x86_64-1.25.0.zip</code>) aus dem verinice Shop | Zur Installation wird das Installationspaket (z.B. <code>verinice-win32.win32.x86_64-1.25.0.zip</code>) aus dem verinice Shop heruntergeladen und sein Inhalt in ein lokales Verzeichnis (z.B. <code>C:\verinice\</code>) entpackt. | ||
Der Start von verinice erfolgt durch Ausführen der Datei <code>verinice.exe</code> im lokalen verinice Verzeichnis. | |||
Beim ersten | Beim ersten Start erstellt verinice ein Benutzerverzeichnis unter (z.B. <code>C:\Users\<Benutzername>\verinice</code>). | ||
=== Patchmanagement === | === Patchmanagement === | ||
Verinice wird als lokale Installation auf dem Fileserver betrieben. | Verinice wird als lokale Installation auf dem Fileserver betrieben. | ||
Eine Integration in das zentrale Patchmanagement der Organisation ist aus Aufwand-Nutzen-Gesichtspunkten nicht sinnvoll. Daher wird für das Patchmanagement von verinice eine Ausnahme erwirkt, so dass die lokale Installation dezentral durch den Anwender gepatcht werden kann. | |||
Die SerNet GmbH | Die SerNet GmbH stellt als Hersteller Sicherheitspatches und Updates zur Verfügung. Diese werden von verinice bei jedem Start abgefragt und bei Bedarf angezeigt. Für die Bereitstellung der Patches und Updates wurde mit der SerNet GmbH ein Supportvertrag abgeschlossen. | ||
=== Datensicherung === | === Datensicherung === | ||
Die Daten von Verinice | Die Daten von Verinice befinden sich in dem von Verinice bei der Installation angelegten Benutzerverzeichnis (z.B. <code>C:\Users\<Benutzername>\verinice</code>). | ||
''Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), | ''Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), ansonsten muss der Benutzer die Sicherung selbst durchführen.'' | ||
Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig. | Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig. | ||
=== Redundanzen === | === Redundanzen === | ||
Verinice ist als ISMS-Tool nicht unmittelbar | Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools ist über mehrere Tage hinnehmbar. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend. | ||
=== | === Zugriffsschutz === | ||
Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der | Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der Zugriffsschutz erfolgt über den allgemeinen Client, Büro, Gebäude Schutz. | ||
Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. | Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. Zwei Mitarbeiter (der ISB und sein Stellvertreter) haben Zugriff auf diesen Bereich. | ||
=== Überwachung und Protokollierung === | === Überwachung und Protokollierung === | ||
Verinice ist keine | Verinice ist keine geschäftskritische, zentrale Anwendung und verarbeitet keine personenbezogenen Daten im relevanten Umfang. Es dient als ISMS-Tool zur Unterstützung des ISB und unterliegt daher nicht den Anforderungen an die Überwachung und Protokollierung zentraler Dienste, wie dies bei einem Office-Produkt der Fall ist. | ||
=== Verschlüsselung === | === Verschlüsselung === | ||
VNA-Exporte (VNA-Dateien von Verinice) können beim Export mit einem Passwort verschlüsselt werden. | |||
VNA- | VNA-Exporte, die die Organisation verlassen (per E-Mail, USB-Stick etc.), sind grundsätzlich mit einem Passwort zu verschlüsseln. Das Passwort ist dem Empfänger auf getrenntem Weg mitzuteilen. | ||
== Organisatorische Maßnahmen | == Organisatorische Maßnahmen == | ||
=== Dokumentation === | === Dokumentation === | ||
Die | Die grundlegenden Funktionen und deren Bedienung sind in der „Verinice Benutzerdokumentation“ für die jeweils aktuelle Version von Verinice beschrieben. | ||
Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, | Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, wird in diesem Betriebskonzept in den folgenden Abschnitten beschrieben. | ||
=== Wartungsverträge === | === Wartungsverträge === | ||
Für | Für die Nutzung von Verinice in der Organisation wird ein Supportvertrag mit der SerNet GmbH abgeschlossen. Dieser beinhaltet die Bereitstellung der jeweils aktuellen Version von Verinice sowie die Bereitstellung von sicherheitsrelevanten und funktionalen Patches. | ||
=== Freigabeprozess === | === Freigabeprozess === | ||
Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen | Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen innerhalb der Organisation (Organisationsleitung, Organisations-IT, etc.) geprüft und freigegeben. | ||
=== Notfallkonzept === | === Notfallkonzept === | ||
Verinice ist als ISMS-Tool nicht unmittelbar | Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools über mehrere Tage ist akzeptabel. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend. Die Erstellung eines Notfallkonzeptes für Verinice ist nicht erforderlich. | ||
=== Outsourcing === | === Outsourcing === | ||
Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden. | Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden. | ||
Ein Outsourcing | Ein Outsourcing von Tätigkeiten im Rahmen des ISMS ist grundsätzlich möglich. Da hier jedoch eine umfangreiche Zuarbeit aus den Fachbereichen der Organisations-IT erforderlich ist, würde der Abstimmungsaufwand mit externen Dienstleistern den Nutzen voraussichtlich übersteigen. | ||
Eine unterstützende externe | Eine unterstützende externe Beratung kann jedoch in Teilbereichen sinnvoll sein. | ||
=== Außerbetriebnahme === | === Außerbetriebnahme === | ||
Bei einer Außerbetriebnahme von Verinice sind die | Bei einer Außerbetriebnahme von Verinice sind die enthaltenen Informationen - soweit sie noch benötigt werden - vor der Außerbetriebnahme in ein Nachfolgeprodukt zu migrieren oder durch geeignete Exporte (VNA) und Reports (PDF) zu sichern. | ||
Als reines Softwareprodukt auf dem Client, ohne | Als reines Softwareprodukt auf dem Client, ohne Integration in das Betriebssystem, kann Verinice einfach gelöscht werden. | ||
Dazu ist das bei der Installation entpackte Verinice-Programmverzeichnis, das Verinice-Verzeichnis im Benutzerverzeichnis und das Workspace-Verzeichnis auf dem Gruppenlaufwerk des Fileservers zu löschen. | |||
== Datenschutz == | == Datenschutz == | ||
Verinice | Verinice als reines ISMS-Tool verarbeitet selbst keine personenbezogenen Daten in relevantem Umfang. Es gelten die grundsätzlichen Datenschutzbestimmungen für lokale Office-Anwendungen der Organisation. | ||
== Umsetzungsbeschreibung == | == Umsetzungsbeschreibung == | ||
Zeile 121: | Zeile 122: | ||
==== Festlegung von Informationsverbünden ==== | ==== Festlegung von Informationsverbünden ==== | ||
Der ISB legt in | Der ISB legt in Abstimmung mit der Organisationsleitung fest, welche Informationsverbünde für das Informationssicherheitsmanagement in der Organisation sinnvoll sind und bildet diese in verinice ab. | ||
==== Erstellung und Freigabe von Sicherheitskonzepten ==== | ==== Erstellung und Freigabe von Sicherheitskonzepten ==== | ||
Der ISB koordiniert die Erstellung | Der ISB koordiniert die Erstellung der Sicherheitskonzepte in enger Abstimmung mit der Organisationsleitung und den jeweiligen Fachverantwortlichen. Alle übergeordneten Dokumente des Sicherheitsmanagements werden vom ISB erstellt, mit den Fachbereichen abgestimmt und von der Organisationsleitung endgültig freigegeben. Die operative Dokumentation wird von den zuständigen Fachbereichen erstellt. | ||
==== Aktualisierung von Sicherheitskonzepten ==== | ==== Aktualisierung von Sicherheitskonzepten ==== | ||
Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein: | Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein: | ||
* Wesentliche Änderungen | * Wesentliche Änderungen der zugrunde liegenden Geschäftsprozessen | ||
* Neue, entfallene oder wesentlich geänderte Anwendungen | * Neue, entfallene oder wesentlich geänderte Anwendungen | ||
* Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur | * Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur | ||
Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf Aktualität zu prüfen. | Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf ihre Aktualität zu prüfen. | ||
== Strukturanalyse und Modellierung == | == Strukturanalyse und Modellierung == | ||
Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation | Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation gibt es eigene Dokumente, auf die an dieser Stelle verwiesen wird. | ||
== Schutzbedarfsanalyse == | == Schutzbedarfsanalyse == | ||
Zeile 143: | Zeile 144: | ||
== Grundschutz-Check == | == Grundschutz-Check == | ||
Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. | Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. für alle relevanten Anforderungen wird der Umsetzungsstand (ja / teilweise / nein / entbehrlich) und eine Erläuterung festgehalten. | ||
== Risikoanalyse == | == Risikoanalyse == | ||
== Reporting == | == Reporting == | ||
Die Reporting-Funktion von verinice | Die Reporting-Funktion von verinice dient als Informationsquelle für den Auditor. | ||
== Weiterführende Dokumentation == | |||
* verinice-Benutzerdokumentation-1.xx.x Benutzerhandbuch des Herstellers für die angegebene verinice Version. | |||
* verinice-BSI_IT-Grundschutz-1.xx.x Weiterführendes Handbuch des Herstellers für die Perspektive Modernisierter IT-Grundschutz (Grundschutz Kompedium)[[.LF-Grundschutzcheck|.]] | |||
* [[LF-Grundschutzcheck|Leitfaden zur Durführung von Grundschutzchecks]] | |||
[[Kategorie:Mustervorlage]] | [[Kategorie:Mustervorlage]] | ||
[[Kategorie:Betriebskonzept]] | [[Kategorie:Betriebskonzept]] | ||
[[Kategorie:Entwurf]] |
Aktuelle Version vom 10. Oktober 2023, 19:43 Uhr
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Betriebskozept Verinice
Einführung
Verinice ist ein ISMS-Tool für das Management der Informationssicherheit. Alle relevanten Standards sind im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente werden in einer Objektdatenbank abgelegt, die an die Anforderungen des IS-Managements angepasst und dynamisch erweitert werden kann.
Dieses Dokument beschreibt grundlegende Regeln für den Einsatz von Verinice in der Organisation.
Zielsetzung
Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand eine nachhaltige und regelmäßige Weiterentwicklung des ISMS mit diesem Tool zu unterstützen.
Geltungsbereich
Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation.
Auswahlkriterien
Anforderungsanalyse
Die grundlegenden Anforderungen an die Einführung eines ISMS ergeben sich im Wesentlichen aus den Anforderungen des Datenschutzes (DSGVO, BDSG) sowie den Anforderungen der BSI-Standards 200-1 bis 200-4.
Um die daraus resultierenden laufenden Aktivitäten im Rahmen des ISMS effizient durchführen und auch für eine Zertifizierung nachvollziehbar dokumentieren zu können, ist die Unterstützung durch ein ISMS-Tool unerlässlich. Eine rein manuelle Dokumentation wäre aufgrund der Größe der Organisation zeitaufwändiger, fehleranfälliger und aufgrund der eingeschränkten Berichtsfähigkeit intransparenter.
Die wesentliche Anforderung an das ISMS-Tool besteht darin, alle notwendigen Schritte von der Modellierung bis zur möglichen Zertifizierung zu unterstützen und möglichst effizient zu gestalten.
Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste „Leistungsmerkmale für Softwaretools“ des BSI erarbeitet.
Produktauswahl
Die Organisation hat sich aufgrund ihrer Präferenzen und Vorkenntnisse sowie des Preis-/Leistungsverhältnisses für das Produkt Verinice der Firma SerNet GmbH als ISMS-Tool entschieden.
Verinice ist in drei Varianten erhältlich:
Verinice.EVAL ist die Evaluierungsversion von Verinice: kostenlos, aber ohne jegliche Reporting- oder Importfunktion. Damit können alle Eigenschaften eines ISMS-Tools getestet werden - bis auf den Export von Berichten in PDF, Excel oder andere Formate.
verinice ist die Vollversion inkl. Reporting- und Importfunktion, als Einzelplatzversion mit lokaler Installation auf dem Client für einen Benutzer.
verinice.PRO ist der zentrale Applikationsserver für das ISMS-Tool Verinice. Er bietet zentrale Funktionen für Sicherheit, Rechtemanagement und GroupWare, die den Einsatz von Verinice in größeren Verbünden mit höherer Performance ermöglichen.
In Abwägung von Kosten und Nutzen hat sich die Organisation für die Einzelplatzversion von Verinice entschieden, da das Tool hauptsächlich vom Informationssicherheitsbeauftragten (ISB) und seinem Stellvertreter genutzt wird.
Technische Maßnahmen
Installation
Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird weder unter Linux noch unter Windows in das Betriebssystem eingebunden.
Zur Installation wird das Installationspaket (z.B. verinice-win32.win32.x86_64-1.25.0.zip
) aus dem verinice Shop heruntergeladen und sein Inhalt in ein lokales Verzeichnis (z.B. C:\verinice\
) entpackt.
Der Start von verinice erfolgt durch Ausführen der Datei verinice.exe
im lokalen verinice Verzeichnis.
Beim ersten Start erstellt verinice ein Benutzerverzeichnis unter (z.B. C:\Users\<Benutzername>\verinice
).
Patchmanagement
Verinice wird als lokale Installation auf dem Fileserver betrieben.
Eine Integration in das zentrale Patchmanagement der Organisation ist aus Aufwand-Nutzen-Gesichtspunkten nicht sinnvoll. Daher wird für das Patchmanagement von verinice eine Ausnahme erwirkt, so dass die lokale Installation dezentral durch den Anwender gepatcht werden kann.
Die SerNet GmbH stellt als Hersteller Sicherheitspatches und Updates zur Verfügung. Diese werden von verinice bei jedem Start abgefragt und bei Bedarf angezeigt. Für die Bereitstellung der Patches und Updates wurde mit der SerNet GmbH ein Supportvertrag abgeschlossen.
Datensicherung
Die Daten von Verinice befinden sich in dem von Verinice bei der Installation angelegten Benutzerverzeichnis (z.B. C:\Users\<Benutzername>\verinice
).
Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), ansonsten muss der Benutzer die Sicherung selbst durchführen.
Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig.
Redundanzen
Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools ist über mehrere Tage hinnehmbar. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend.
Zugriffsschutz
Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der Zugriffsschutz erfolgt über den allgemeinen Client, Büro, Gebäude Schutz.
Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. Zwei Mitarbeiter (der ISB und sein Stellvertreter) haben Zugriff auf diesen Bereich.
Überwachung und Protokollierung
Verinice ist keine geschäftskritische, zentrale Anwendung und verarbeitet keine personenbezogenen Daten im relevanten Umfang. Es dient als ISMS-Tool zur Unterstützung des ISB und unterliegt daher nicht den Anforderungen an die Überwachung und Protokollierung zentraler Dienste, wie dies bei einem Office-Produkt der Fall ist.
Verschlüsselung
VNA-Exporte (VNA-Dateien von Verinice) können beim Export mit einem Passwort verschlüsselt werden.
VNA-Exporte, die die Organisation verlassen (per E-Mail, USB-Stick etc.), sind grundsätzlich mit einem Passwort zu verschlüsseln. Das Passwort ist dem Empfänger auf getrenntem Weg mitzuteilen.
Organisatorische Maßnahmen
Dokumentation
Die grundlegenden Funktionen und deren Bedienung sind in der „Verinice Benutzerdokumentation“ für die jeweils aktuelle Version von Verinice beschrieben.
Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, wird in diesem Betriebskonzept in den folgenden Abschnitten beschrieben.
Wartungsverträge
Für die Nutzung von Verinice in der Organisation wird ein Supportvertrag mit der SerNet GmbH abgeschlossen. Dieser beinhaltet die Bereitstellung der jeweils aktuellen Version von Verinice sowie die Bereitstellung von sicherheitsrelevanten und funktionalen Patches.
Freigabeprozess
Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen innerhalb der Organisation (Organisationsleitung, Organisations-IT, etc.) geprüft und freigegeben.
Notfallkonzept
Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools über mehrere Tage ist akzeptabel. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend. Die Erstellung eines Notfallkonzeptes für Verinice ist nicht erforderlich.
Outsourcing
Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden.
Ein Outsourcing von Tätigkeiten im Rahmen des ISMS ist grundsätzlich möglich. Da hier jedoch eine umfangreiche Zuarbeit aus den Fachbereichen der Organisations-IT erforderlich ist, würde der Abstimmungsaufwand mit externen Dienstleistern den Nutzen voraussichtlich übersteigen.
Eine unterstützende externe Beratung kann jedoch in Teilbereichen sinnvoll sein.
Außerbetriebnahme
Bei einer Außerbetriebnahme von Verinice sind die enthaltenen Informationen - soweit sie noch benötigt werden - vor der Außerbetriebnahme in ein Nachfolgeprodukt zu migrieren oder durch geeignete Exporte (VNA) und Reports (PDF) zu sichern.
Als reines Softwareprodukt auf dem Client, ohne Integration in das Betriebssystem, kann Verinice einfach gelöscht werden.
Dazu ist das bei der Installation entpackte Verinice-Programmverzeichnis, das Verinice-Verzeichnis im Benutzerverzeichnis und das Workspace-Verzeichnis auf dem Gruppenlaufwerk des Fileservers zu löschen.
Datenschutz
Verinice als reines ISMS-Tool verarbeitet selbst keine personenbezogenen Daten in relevantem Umfang. Es gelten die grundsätzlichen Datenschutzbestimmungen für lokale Office-Anwendungen der Organisation.
Umsetzungsbeschreibung
Vorgaben für Sicherheitskonzepte
Festlegung von Informationsverbünden
Der ISB legt in Abstimmung mit der Organisationsleitung fest, welche Informationsverbünde für das Informationssicherheitsmanagement in der Organisation sinnvoll sind und bildet diese in verinice ab.
Erstellung und Freigabe von Sicherheitskonzepten
Der ISB koordiniert die Erstellung der Sicherheitskonzepte in enger Abstimmung mit der Organisationsleitung und den jeweiligen Fachverantwortlichen. Alle übergeordneten Dokumente des Sicherheitsmanagements werden vom ISB erstellt, mit den Fachbereichen abgestimmt und von der Organisationsleitung endgültig freigegeben. Die operative Dokumentation wird von den zuständigen Fachbereichen erstellt.
Aktualisierung von Sicherheitskonzepten
Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein:
- Wesentliche Änderungen der zugrunde liegenden Geschäftsprozessen
- Neue, entfallene oder wesentlich geänderte Anwendungen
- Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur
Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf ihre Aktualität zu prüfen.
Strukturanalyse und Modellierung
Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation gibt es eigene Dokumente, auf die an dieser Stelle verwiesen wird.
Schutzbedarfsanalyse
Modellierung
Grundschutz-Check
Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. für alle relevanten Anforderungen wird der Umsetzungsstand (ja / teilweise / nein / entbehrlich) und eine Erläuterung festgehalten.
Risikoanalyse
Reporting
Die Reporting-Funktion von verinice dient als Informationsquelle für den Auditor.
Weiterführende Dokumentation
- verinice-Benutzerdokumentation-1.xx.x Benutzerhandbuch des Herstellers für die angegebene verinice Version.
- verinice-BSI_IT-Grundschutz-1.xx.x Weiterführendes Handbuch des Herstellers für die Perspektive Modernisierter IT-Grundschutz (Grundschutz Kompedium).
- Leitfaden zur Durführung von Grundschutzchecks