BK-Verinice: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Vorlage:Entwurf}}
{{#seo:
|title=Muster Betriebskonzept verinice
|keywords= ISMS,IT-Grundschutz,Betriebskonzept,Sicherheitskonzept,verinice,Muster,Beispiel
|description=Muster-Betriebskonzept für verinice als Einzelplatzversion als ISMS-Tool für BSI IT-Grundschutz.
}}
'''Betriebskozept Verinice'''
'''Betriebskozept Verinice'''


== Einführung ==
== Einführung ==
Verinice ist ein ISMS-Tool für das Management von Informationssicherheit. Alle relevanten Standards sind entweder im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente sind in einer Objekt-Datenbank abgelegt, die an die Anforderungen von IS-Management angepasst und dynamisch erweiterbar ist.
Verinice ist ein ISMS-Tool für das Management der Informationssicherheit. Alle relevanten Standards sind im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente werden in einer Objektdatenbank abgelegt, die an die Anforderungen des IS-Managements angepasst und dynamisch erweitert werden kann.


Dieses Dokument beschreibt grundsätzliche Regelungen zum Einsatz von Verinice in der Organisation.
Dieses Dokument beschreibt grundlegende Regeln für den Einsatz von Verinice in der Organisation.


== Zielsetzung ==
== Zielsetzung ==
Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand, eine dauerhafte regelmäßige Weiterentwichlung des ISMS mit diesem Tool zu unterstützen.
Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand eine nachhaltige und regelmäßige Weiterentwicklung des ISMS mit diesem Tool zu unterstützen.


== Geltungsbereich ==
== Geltungsbereich ==
Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation.
Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation.


== Zielbeschreibung ==
== Auswahlkriterien ==


=== Anforderungsanalyse ===
=== Anforderungsanalyse ===
Die grundlegenden Anforderungen für die Einführung eines ISMS ergeben sich im Wesentlichen aus den Anforderungen des Datenschutzes (DSGVO, BDSG) sowie den Anforderungen der BSI-Standards 200-1 bis 200-4.
Die grundlegenden Anforderungen an die Einführung eines ISMS ergeben sich im Wesentlichen aus den Anforderungen des Datenschutzes (DSGVO, BDSG) sowie den Anforderungen der BSI-Standards 200-1 bis 200-4.


Um die hieraus resultieren fortlaufenden Tätigkeiten im Rahmen des ISMS effizient durchzuführen und auch für die Testierung/Zertifizierung nachvollziehbar zu dokumentieren, ist die Unterstützung durch ein ISMS-Tool unverzichtbar. Aufgrund der Größe der Organisation wäre eine rein manuelle Dokumentation zeitaufwändiger, fehleranfälliger und durch die eingeschränkte Berichtsfähigkeit, intransparenter.
Um die daraus resultierenden laufenden Aktivitäten im Rahmen des ISMS effizient durchführen und auch für eine Zertifizierung nachvollziehbar dokumentieren zu können, ist die Unterstützung durch ein ISMS-Tool unerlässlich. Eine rein manuelle Dokumentation wäre aufgrund der Größe der Organisation zeitaufwändiger, fehleranfälliger und aufgrund der eingeschränkten Berichtsfähigkeit intransparenter.


Die wesentliche Anforderung an das ISMS-Tool ist es, alle nötigen Schritte von der Modellierung bis zur möglichen Zertifizierung zu unterstützen und so effizient wie möglich zu gestalten.
Die wesentliche Anforderung an das ISMS-Tool besteht darin, alle notwendigen Schritte von der Modellierung bis zur möglichen Zertifizierung zu unterstützen und möglichst effizient zu gestalten.


Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste der „[https://www.bsi.bund.de/dok/6603498 Leistungsmerkmale für Softwaretools]“ des BSI erstellt.
Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste „[https://www.bsi.bund.de/dok/6603498 Leistungsmerkmale für Softwaretools]“ des BSI erarbeitet.


=== Produktauswahl ===
=== Produktauswahl ===
Die Organisation hat sich aufgrund von Präferenzen und Vorkenntnisse sowie der Preis-/Leistung für das Produkt Verinice der Firma SerNet GmbH als ISMS-Tool entschieden.
Die Organisation hat sich aufgrund ihrer Präferenzen und Vorkenntnisse sowie des Preis-/Leistungsverhältnisses für das Produkt Verinice der Firma SerNet GmbH als ISMS-Tool entschieden.


Verinice ist in drei Varianten Verfügbar:
Verinice ist in drei Varianten erhältlich:


Verinice.EVAL ist die Evaluierungs-Version von Verinice: kostenfrei aber ohne jede Reporting- oder Import-Funktion. Es können also alle Eigenschaften eines ISMS-Tools getestet werden - bis auf den Export von Berichten in PDF, Excel oder andere Formate.
'''Verinice.EVAL''' ist die Evaluierungsversion von Verinice: kostenlos, aber ohne jegliche Reporting- oder Importfunktion. Damit können alle Eigenschaften eines ISMS-Tools getestet werden - bis auf den Export von Berichten in PDF, Excel oder andere Formate.


Verinice ist die Vollversion incl. Reporting- und Import-Funktion, als Einzelplatzversion mit einer lokalen Installation auf dem Client für einen Nutzer.
'''verinice''' ist die Vollversion inkl. Reporting- und Importfunktion, als Einzelplatzversion mit lokaler Installation auf dem Client für einen Benutzer.


verinice.PRO ist der zentrale Applikations-Server zum ISMS-Tool Verinice. Er bietet zentrale Funktionen für Sicherheit, Rechte-Management und GroupWare, die Verinice in größeren Verbünden mit mehr Performance einsetzbar machen.
'''verinice.PRO''' ist der zentrale Applikationsserver für das ISMS-Tool Verinice. Er bietet zentrale Funktionen für Sicherheit, Rechtemanagement und GroupWare, die den Einsatz von Verinice in größeren Verbünden mit höherer Performance ermöglichen.


In Abwägung von Kosten und Nutzen, hat sich die Organisation für die Verinice Einzelplatzversion entschieden, da das Tool hauptsächlich vom Informationssicherheitsbeauftragten (ISB) und seinem Stellvertreter genutzt wird.
In Abwägung von Kosten und Nutzen hat sich die Organisation für die Einzelplatzversion von Verinice entschieden, da das Tool hauptsächlich vom Informationssicherheitsbeauftragten (ISB) und seinem Stellvertreter genutzt wird.


== Technische Maßnahmen zur Betriebs- und Datensicherheit ==
== Technische Maßnahmen ==


=== Installation ===
=== Installation ===


Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird nicht in das Betriebssystem eingebunden, weder unter Linux noch unter Windows.  
Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird weder unter Linux noch unter Windows in das Betriebssystem eingebunden.  


Zur Installation wird das Installationspaket (z.B. <code>verinice-win32.win32.x86_64-1.25.0.zip</code>) aus dem verinice Shop herunter geladen und sein Inhalt in ein lokales Verzeichnis entpackt (z.B. <code>C:\verinice\</code>).  
Zur Installation wird das Installationspaket (z.B. <code>verinice-win32.win32.x86_64-1.25.0.zip</code>) aus dem verinice Shop heruntergeladen und sein Inhalt in ein lokales Verzeichnis (z.B. <code>C:\verinice\</code>) entpackt.  


Gestartet wird verinice durch ausführen der Dateil <code>verinice.exe</code> in lokalen verinice Verzeichnis.  
Der Start von verinice erfolgt durch Ausführen der Datei <code>verinice.exe</code> im lokalen verinice Verzeichnis.  


Beim ersten start wird von verinice ein Beutzerverzeichnis angelegt unter (z.B. <code>C:\Users\<Benutzername>\verinice</code>).  
Beim ersten Start erstellt verinice ein Benutzerverzeichnis unter (z.B. <code>C:\Users\<Benutzername>\verinice</code>).  


=== Patchmanagement ===
=== Patchmanagement ===
Verinice wird als lokale Installation auf dem Fileserver betrieben.
Verinice wird als lokale Installation auf dem Fileserver betrieben.


Die Einbindung in das zentrale Patchmanagement der Organisation ist nach Aufwand/Nutzen nicht sinnvoll. Daher wird für das Patchmanagement von verinice eine Ausnahme erwirkt, so dass die lokale Installation dezentral durch den Anwender gepatched werden kann.
Eine Integration in das zentrale Patchmanagement der Organisation ist aus Aufwand-Nutzen-Gesichtspunkten nicht sinnvoll. Daher wird für das Patchmanagement von verinice eine Ausnahme erwirkt, so dass die lokale Installation dezentral durch den Anwender gepatcht werden kann.


Die SerNet GmbH bietet als Hersteller Sicherheitspatches und Updates an. Diese werden von verinice bei jedem Start abgefragt und bei Bedarf angezeigt. Für die Bereitstellung der Patches und Updates wurde ein Supportvertrag mit der SerNet GmbH abgeschlossen.
Die SerNet GmbH stellt als Hersteller Sicherheitspatches und Updates zur Verfügung. Diese werden von verinice bei jedem Start abgefragt und bei Bedarf angezeigt. Für die Bereitstellung der Patches und Updates wurde mit der SerNet GmbH ein Supportvertrag abgeschlossen.


=== Datensicherung ===
=== Datensicherung ===
Die Daten von Verinice liegen im von verinice bei der Installation angelegten Benutzerverzeichnis (z.B. <code>C:\Users\<Benutzername>\verinice</code>).
Die Daten von Verinice befinden sich in dem von Verinice bei der Installation angelegten Benutzerverzeichnis (z.B. <code>C:\Users\<Benutzername>\verinice</code>).


''Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), falls nicht, muss der Nutzer die Sicherung selbst durchführen.''  
''Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), ansonsten muss der Benutzer die Sicherung selbst durchführen.''  


Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig.  
Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig.  


=== Redundanzen ===
=== Redundanzen ===
Verinice ist als ISMS-Tool nicht unmittelbar betriebsrelevant. Ein Ausfall des Tools ist über mehrere Tage vertretbar. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend.
Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools ist über mehrere Tage hinnehmbar. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend.


=== Zutrittsschutz ===
=== Zugriffsschutz ===
Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der Zutrittsschutz wird über den allgemeinen Schutz der Clients, Büro, Gebäude gewährleistet.
Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der Zugriffsschutz erfolgt über den allgemeinen Client, Büro, Gebäude Schutz.


Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. Es haben zwei Mitarbeiter (der ISB und sein Stellvertreter) Zugriff auf diesen Bereich.
Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. Zwei Mitarbeiter (der ISB und sein Stellvertreter) haben Zugriff auf diesen Bereich.


=== Überwachung und Protokollierung ===
=== Überwachung und Protokollierung ===
Verinice ist keine betriebsrelevante, zentrale Anwendung und verarbeitet keine personenbezogenen Daten im relevanten Ausmaß. Es dient als ISMS-Tool der Unterstützung des ISB und unterliegt daher –ähnlich einem Office-Produkt– nicht den Anforderungen für die Überwachung und Protokollierung zentraler Dienste.
Verinice ist keine geschäftskritische, zentrale Anwendung und verarbeitet keine personenbezogenen Daten im relevanten Umfang. Es dient als ISMS-Tool zur Unterstützung des ISB und unterliegt daher nicht den Anforderungen an die Überwachung und Protokollierung zentraler Dienste, wie dies bei einem Office-Produkt der Fall ist.


=== Verschlüsselung ===
=== Verschlüsselung ===
Exports von Informationsverbünden (VNA-Dateien) können beim Export mit einem Passwort verschlüsselt werden.
VNA-Exporte (VNA-Dateien von Verinice) können beim Export mit einem Passwort verschlüsselt werden.


VNA-Exports die die Organisation verlassen (per Email, USB-Stick etc.) sind grundsätzlich mit einem Passwort zu verschlüsseln. Das Passwort ist dem Empfänger auf getrenntem Weg zu übermitteln.
VNA-Exporte, die die Organisation verlassen (per E-Mail, USB-Stick etc.), sind grundsätzlich mit einem Passwort zu verschlüsseln. Das Passwort ist dem Empfänger auf getrenntem Weg mitzuteilen.


== Organisatorische Maßnahmen (zur Betriebssicherheit) ==
== Organisatorische Maßnahmen ==


=== Dokumentation ===
=== Dokumentation ===
Die grundsätzlichen Funktionen und deren Bedienung sind in der „Verinice-Benutzerdokumentation“ für die jeweilige aktuelle Version von Verinice beschrieben.
Die grundlegenden Funktionen und deren Bedienung sind in der „Verinice Benutzerdokumentation“ für die jeweils aktuelle Version von Verinice beschrieben.


Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, beschreibt dieses Betriebskonzept in den folgenden Abschnitten.
Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, wird in diesem Betriebskonzept in den folgenden Abschnitten beschrieben.


=== Wartungsverträge ===
=== Wartungsverträge ===
Für den Einsatz von Verinice in der Organisation wurde ein Supportvertrag mit der SerNet GmbH abgeschlossen. Dieser beinhaltet die Bereitstellung der jeweils aktuellen Version von Verinice sowie die Bereitstellung von sicherheitsrelevante und funktionale Patches.
Für die Nutzung von Verinice in der Organisation wird ein Supportvertrag mit der SerNet GmbH abgeschlossen. Dieser beinhaltet die Bereitstellung der jeweils aktuellen Version von Verinice sowie die Bereitstellung von sicherheitsrelevanten und funktionalen Patches.


=== Freigabeprozess ===
=== Freigabeprozess ===
Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen an der Organisation verifiziert und freigegeben (Organisation-Leitung, Organisation-IT, etc.).
Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen innerhalb der Organisation (Organisationsleitung, Organisations-IT, etc.) geprüft und freigegeben.


=== Notfallkonzept ===
=== Notfallkonzept ===
Verinice ist als ISMS-Tool nicht unmittelbar betriebsrelevant. Ein Ausfall des Tools über mehrere Tage ist vertretbar. Daher ist eine einfach Datensicherung über mehrere Iterationen ausreichend. Die Erstellung eines Notfallkonzepts für Verinice entfällt.
Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools über mehrere Tage ist akzeptabel. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend. Die Erstellung eines Notfallkonzeptes für Verinice ist nicht erforderlich.


=== Outsourcing ===
=== Outsourcing ===
Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden.
Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden.


Ein Outsourcing der Tätigkeiten im Rahmen des ISMS ist grundsätzlich möglich. Da hier jedoch umfangreiche Zuarbeit aus den Fachbereichen der Organisations-IT erforderlich ist, würde der Abstimmungsaufwand mit externen Dienstleistern den Nutzen voraussichtlich übersteigen.
Ein Outsourcing von Tätigkeiten im Rahmen des ISMS ist grundsätzlich möglich. Da hier jedoch eine umfangreiche Zuarbeit aus den Fachbereichen der Organisations-IT erforderlich ist, würde der Abstimmungsaufwand mit externen Dienstleistern den Nutzen voraussichtlich übersteigen.


Eine unterstützende externe Beratungsleistung kann jedoch in Teilbereichen sinnvoll sein.
Eine unterstützende externe Beratung kann jedoch in Teilbereichen sinnvoll sein.


=== Außerbetriebnahme ===
=== Außerbetriebnahme ===
Bei einer Außerbetriebnahme von Verinice sind die enthalten Informationen –soweit sie noch benötigt werden– vor Außerbetriebnahme in ein Nachfolgeprodukt zu migrieren oder durch geeignete Exports (VNA) und Reports (PDF) zu sichern.
Bei einer Außerbetriebnahme von Verinice sind die enthaltenen Informationen - soweit sie noch benötigt werden - vor der Außerbetriebnahme in ein Nachfolgeprodukt zu migrieren oder durch geeignete Exporte (VNA) und Reports (PDF) zu sichern.


Als reines Softwareprodukt auf dem Client, ohne Einbindung in das Betriebssystem, kann Verinice einfach gelöscht werden.
Als reines Softwareprodukt auf dem Client, ohne Integration in das Betriebssystem, kann Verinice einfach gelöscht werden.


Hierzu ist das –bei der Installation entpackte– Verinice Programmverzeichnis, das Verinice-Verzeichnis im Benutzerverzeichnis und das Workspace-Verzeichnis auf dem Gruppelaufwerk des File-Servers zu löschen.
Dazu ist das bei der Installation entpackte Verinice-Programmverzeichnis, das Verinice-Verzeichnis im Benutzerverzeichnis und das Workspace-Verzeichnis auf dem Gruppenlaufwerk des Fileservers zu löschen.


== Datenschutz ==
== Datenschutz ==
Verinice verarbeitet als reines ISMS-Tool selbst keine personenbezogenen Daten in relevantem Umfang. Es gelten die grundsätzlichen Datenschutzbestimmungen für lokale Office-Anwendungen der Organisation.
Verinice als reines ISMS-Tool verarbeitet selbst keine personenbezogenen Daten in relevantem Umfang. Es gelten die grundsätzlichen Datenschutzbestimmungen für lokale Office-Anwendungen der Organisation.


== Umsetzungsbeschreibung ==
== Umsetzungsbeschreibung ==
Zeile 117: Zeile 122:


==== Festlegung von Informationsverbünden ====
==== Festlegung von Informationsverbünden ====
Der ISB legt in Absprache mit der IT-Leitung und dem externen Berater fest, welche Informationsverbünde für das Informationssicherheitsmanagement an der Organisation sinnvoll sind und bildet diese entsprechend in verinice ab.
Der ISB legt in Abstimmung mit der Organisationsleitung fest, welche Informationsverbünde für das Informationssicherheitsmanagement in der Organisation sinnvoll sind und bildet diese in verinice ab.


==== Erstellung und Freigabe von Sicherheitskonzepten ====
==== Erstellung und Freigabe von Sicherheitskonzepten ====
Der ISB koordiniert die Erstellung von Sicherheitskonzepten in enger Abstimmung mit der IT-Leitung, der Hochschulleitung und den jeweiligen Fachverantwortlichen. Alle übergeordneten Dokumente zum Sicherheitsmanagement werden vom ISB erstellt. Alle Entwürfe werden im Rahmen eines definierten Freigabeprozesses via Umlaufverfahren innerhalb der Organisation-IT begutachtet und kommentiert und letztendlich von der Leitung final freigegeben. Siehe auch Organisation-Betriebskonzept „Änderungsmanagement“
Der ISB koordiniert die Erstellung der Sicherheitskonzepte in enger Abstimmung mit der Organisationsleitung und den jeweiligen Fachverantwortlichen. Alle übergeordneten Dokumente des Sicherheitsmanagements werden vom ISB erstellt, mit den Fachbereichen abgestimmt und von der Organisationsleitung endgültig freigegeben. Die operative Dokumentation wird von den zuständigen Fachbereichen erstellt.


==== Aktualisierung von Sicherheitskonzepten ====
==== Aktualisierung von Sicherheitskonzepten ====
Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein:
Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein:


* Wesentliche Änderungen in den zugrundeliegenden Geschäftsprozessen
* Wesentliche Änderungen der zugrunde liegenden Geschäftsprozessen
* Neue, entfallene oder wesentlich geänderte Anwendungen
* Neue, entfallene oder wesentlich geänderte Anwendungen
* Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur
* Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur


Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf Aktualität zu prüfen.
Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf ihre Aktualität zu prüfen.


== Strukturanalyse und Modellierung ==
== Strukturanalyse und Modellierung ==
Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation existieren eigene Dokumente, auf die an dieser Stelle verwiesen wird.
Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation gibt es eigene Dokumente, auf die an dieser Stelle verwiesen wird.


== Schutzbedarfsanalyse ==
== Schutzbedarfsanalyse ==
Zeile 139: Zeile 144:


== Grundschutz-Check ==
== Grundschutz-Check ==
Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. zu allen relevanten Anforderungen wird der Umsetzungsstand (ja / teilweise / nein / entbehrlich) und eine Begründung festgelegt.
Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. für alle relevanten Anforderungen wird der Umsetzungsstand (ja / teilweise / nein / entbehrlich) und eine Erläuterung festgehalten.


== Risikoanalyse ==
== Risikoanalyse ==


== Reporting ==
== Reporting ==
Die Reporting-Funktion von verinice wird als Informationsquelle für den Auditor verwendet.
Die Reporting-Funktion von verinice dient als Informationsquelle für den Auditor.
 
== Weiterführende Dokumentation ==
 
* verinice-Benutzerdokumentation-1.xx.x Benutzerhandbuch des Herstellers für die angegebene verinice Version.
* verinice-BSI_IT-Grundschutz-1.xx.x Weiterführendes Handbuch des Herstellers für die Perspektive Modernisierter IT-Grundschutz (Grundschutz Kompedium)[[.LF-Grundschutzcheck|.]]
* [[LF-Grundschutzcheck|Leitfaden zur Durführung von Grundschutzchecks]]
 
[[Kategorie:Mustervorlage]]
[[Kategorie:Mustervorlage]]
[[Kategorie:Betriebskonzept]]
[[Kategorie:Betriebskonzept]]
[[Kategorie:Entwurf]]

Aktuelle Version vom 10. Oktober 2023, 19:43 Uhr

Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Betriebskozept Verinice

Einführung

Verinice ist ein ISMS-Tool für das Management der Informationssicherheit. Alle relevanten Standards sind im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente werden in einer Objektdatenbank abgelegt, die an die Anforderungen des IS-Managements angepasst und dynamisch erweitert werden kann.

Dieses Dokument beschreibt grundlegende Regeln für den Einsatz von Verinice in der Organisation.

Zielsetzung

Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand eine nachhaltige und regelmäßige Weiterentwicklung des ISMS mit diesem Tool zu unterstützen.

Geltungsbereich

Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation.

Auswahlkriterien

Anforderungsanalyse

Die grundlegenden Anforderungen an die Einführung eines ISMS ergeben sich im Wesentlichen aus den Anforderungen des Datenschutzes (DSGVO, BDSG) sowie den Anforderungen der BSI-Standards 200-1 bis 200-4.

Um die daraus resultierenden laufenden Aktivitäten im Rahmen des ISMS effizient durchführen und auch für eine Zertifizierung nachvollziehbar dokumentieren zu können, ist die Unterstützung durch ein ISMS-Tool unerlässlich. Eine rein manuelle Dokumentation wäre aufgrund der Größe der Organisation zeitaufwändiger, fehleranfälliger und aufgrund der eingeschränkten Berichtsfähigkeit intransparenter.

Die wesentliche Anforderung an das ISMS-Tool besteht darin, alle notwendigen Schritte von der Modellierung bis zur möglichen Zertifizierung zu unterstützen und möglichst effizient zu gestalten.

Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste „Leistungsmerkmale für Softwaretools“ des BSI erarbeitet.

Produktauswahl

Die Organisation hat sich aufgrund ihrer Präferenzen und Vorkenntnisse sowie des Preis-/Leistungsverhältnisses für das Produkt Verinice der Firma SerNet GmbH als ISMS-Tool entschieden.

Verinice ist in drei Varianten erhältlich:

Verinice.EVAL ist die Evaluierungsversion von Verinice: kostenlos, aber ohne jegliche Reporting- oder Importfunktion. Damit können alle Eigenschaften eines ISMS-Tools getestet werden - bis auf den Export von Berichten in PDF, Excel oder andere Formate.

verinice ist die Vollversion inkl. Reporting- und Importfunktion, als Einzelplatzversion mit lokaler Installation auf dem Client für einen Benutzer.

verinice.PRO ist der zentrale Applikationsserver für das ISMS-Tool Verinice. Er bietet zentrale Funktionen für Sicherheit, Rechtemanagement und GroupWare, die den Einsatz von Verinice in größeren Verbünden mit höherer Performance ermöglichen.

In Abwägung von Kosten und Nutzen hat sich die Organisation für die Einzelplatzversion von Verinice entschieden, da das Tool hauptsächlich vom Informationssicherheitsbeauftragten (ISB) und seinem Stellvertreter genutzt wird.

Technische Maßnahmen

Installation

Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird weder unter Linux noch unter Windows in das Betriebssystem eingebunden.

Zur Installation wird das Installationspaket (z.B. verinice-win32.win32.x86_64-1.25.0.zip) aus dem verinice Shop heruntergeladen und sein Inhalt in ein lokales Verzeichnis (z.B. C:\verinice\) entpackt.

Der Start von verinice erfolgt durch Ausführen der Datei verinice.exe im lokalen verinice Verzeichnis.

Beim ersten Start erstellt verinice ein Benutzerverzeichnis unter (z.B. C:\Users\<Benutzername>\verinice).

Patchmanagement

Verinice wird als lokale Installation auf dem Fileserver betrieben.

Eine Integration in das zentrale Patchmanagement der Organisation ist aus Aufwand-Nutzen-Gesichtspunkten nicht sinnvoll. Daher wird für das Patchmanagement von verinice eine Ausnahme erwirkt, so dass die lokale Installation dezentral durch den Anwender gepatcht werden kann.

Die SerNet GmbH stellt als Hersteller Sicherheitspatches und Updates zur Verfügung. Diese werden von verinice bei jedem Start abgefragt und bei Bedarf angezeigt. Für die Bereitstellung der Patches und Updates wurde mit der SerNet GmbH ein Supportvertrag abgeschlossen.

Datensicherung

Die Daten von Verinice befinden sich in dem von Verinice bei der Installation angelegten Benutzerverzeichnis (z.B. C:\Users\<Benutzername>\verinice).

Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), ansonsten muss der Benutzer die Sicherung selbst durchführen.

Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig.

Redundanzen

Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools ist über mehrere Tage hinnehmbar. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend.

Zugriffsschutz

Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der Zugriffsschutz erfolgt über den allgemeinen Client, Büro, Gebäude Schutz.

Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. Zwei Mitarbeiter (der ISB und sein Stellvertreter) haben Zugriff auf diesen Bereich.

Überwachung und Protokollierung

Verinice ist keine geschäftskritische, zentrale Anwendung und verarbeitet keine personenbezogenen Daten im relevanten Umfang. Es dient als ISMS-Tool zur Unterstützung des ISB und unterliegt daher nicht den Anforderungen an die Überwachung und Protokollierung zentraler Dienste, wie dies bei einem Office-Produkt der Fall ist.

Verschlüsselung

VNA-Exporte (VNA-Dateien von Verinice) können beim Export mit einem Passwort verschlüsselt werden.

VNA-Exporte, die die Organisation verlassen (per E-Mail, USB-Stick etc.), sind grundsätzlich mit einem Passwort zu verschlüsseln. Das Passwort ist dem Empfänger auf getrenntem Weg mitzuteilen.

Organisatorische Maßnahmen

Dokumentation

Die grundlegenden Funktionen und deren Bedienung sind in der „Verinice Benutzerdokumentation“ für die jeweils aktuelle Version von Verinice beschrieben.

Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, wird in diesem Betriebskonzept in den folgenden Abschnitten beschrieben.

Wartungsverträge

Für die Nutzung von Verinice in der Organisation wird ein Supportvertrag mit der SerNet GmbH abgeschlossen. Dieser beinhaltet die Bereitstellung der jeweils aktuellen Version von Verinice sowie die Bereitstellung von sicherheitsrelevanten und funktionalen Patches.

Freigabeprozess

Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen innerhalb der Organisation (Organisationsleitung, Organisations-IT, etc.) geprüft und freigegeben.

Notfallkonzept

Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools über mehrere Tage ist akzeptabel. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend. Die Erstellung eines Notfallkonzeptes für Verinice ist nicht erforderlich.

Outsourcing

Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden.

Ein Outsourcing von Tätigkeiten im Rahmen des ISMS ist grundsätzlich möglich. Da hier jedoch eine umfangreiche Zuarbeit aus den Fachbereichen der Organisations-IT erforderlich ist, würde der Abstimmungsaufwand mit externen Dienstleistern den Nutzen voraussichtlich übersteigen.

Eine unterstützende externe Beratung kann jedoch in Teilbereichen sinnvoll sein.

Außerbetriebnahme

Bei einer Außerbetriebnahme von Verinice sind die enthaltenen Informationen - soweit sie noch benötigt werden - vor der Außerbetriebnahme in ein Nachfolgeprodukt zu migrieren oder durch geeignete Exporte (VNA) und Reports (PDF) zu sichern.

Als reines Softwareprodukt auf dem Client, ohne Integration in das Betriebssystem, kann Verinice einfach gelöscht werden.

Dazu ist das bei der Installation entpackte Verinice-Programmverzeichnis, das Verinice-Verzeichnis im Benutzerverzeichnis und das Workspace-Verzeichnis auf dem Gruppenlaufwerk des Fileservers zu löschen.

Datenschutz

Verinice als reines ISMS-Tool verarbeitet selbst keine personenbezogenen Daten in relevantem Umfang. Es gelten die grundsätzlichen Datenschutzbestimmungen für lokale Office-Anwendungen der Organisation.

Umsetzungsbeschreibung

Vorgaben für Sicherheitskonzepte

Festlegung von Informationsverbünden

Der ISB legt in Abstimmung mit der Organisationsleitung fest, welche Informationsverbünde für das Informationssicherheitsmanagement in der Organisation sinnvoll sind und bildet diese in verinice ab.

Erstellung und Freigabe von Sicherheitskonzepten

Der ISB koordiniert die Erstellung der Sicherheitskonzepte in enger Abstimmung mit der Organisationsleitung und den jeweiligen Fachverantwortlichen. Alle übergeordneten Dokumente des Sicherheitsmanagements werden vom ISB erstellt, mit den Fachbereichen abgestimmt und von der Organisationsleitung endgültig freigegeben. Die operative Dokumentation wird von den zuständigen Fachbereichen erstellt.

Aktualisierung von Sicherheitskonzepten

Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein:

  • Wesentliche Änderungen der zugrunde liegenden Geschäftsprozessen
  • Neue, entfallene oder wesentlich geänderte Anwendungen
  • Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur

Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf ihre Aktualität zu prüfen.

Strukturanalyse und Modellierung

Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation gibt es eigene Dokumente, auf die an dieser Stelle verwiesen wird.

Schutzbedarfsanalyse

Modellierung

Grundschutz-Check

Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. für alle relevanten Anforderungen wird der Umsetzungsstand (ja / teilweise / nein / entbehrlich) und eine Erläuterung festgehalten.

Risikoanalyse

Reporting

Die Reporting-Funktion von verinice dient als Informationsquelle für den Auditor.

Weiterführende Dokumentation

  • verinice-Benutzerdokumentation-1.xx.x Benutzerhandbuch des Herstellers für die angegebene verinice Version.
  • verinice-BSI_IT-Grundschutz-1.xx.x Weiterführendes Handbuch des Herstellers für die Perspektive Modernisierter IT-Grundschutz (Grundschutz Kompedium).
  • Leitfaden zur Durführung von Grundschutzchecks