BK-Verinice: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
{{#seo: | {{#seo: | ||
|title=Betriebskonzept verinice | |title=Muster Betriebskonzept verinice | ||
|keywords= ISMS,IT-Grundschutz,Betriebskonzept,Sicherheitskonzept,verinice,Muster,Beispiel | |keywords= ISMS,IT-Grundschutz,Betriebskonzept,Sicherheitskonzept,verinice,Muster,Beispiel | ||
|description= | |description=Muster-Betriebskonzept für verinice als Einzelplatzversion als ISMS-Tool für BSI IT-Grundschutz. | ||
}} | }} | ||
'''Betriebskozept Verinice''' | '''Betriebskozept Verinice''' | ||
Version vom 27. Juli 2023, 17:02 Uhr
Betriebskozept Verinice
Einführung
Verinice ist ein ISMS-Tool für das Management von Informationssicherheit. Alle relevanten Standards sind entweder im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente sind in einer Objekt-Datenbank abgelegt, die an die Anforderungen von IS-Management angepasst und dynamisch erweiterbar ist.
Dieses Dokument beschreibt grundsätzliche Regelungen zum Einsatz von Verinice in der Organisation.
Zielsetzung
Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand, eine dauerhafte regelmäßige Weiterentwichlung des ISMS mit diesem Tool zu unterstützen.
Geltungsbereich
Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation.
Zielbeschreibung
Anforderungsanalyse
Die grundlegenden Anforderungen für die Einführung eines ISMS ergeben sich im Wesentlichen aus den Anforderungen des Datenschutzes (DSGVO, BDSG) sowie den Anforderungen der BSI-Standards 200-1 bis 200-4.
Um die hieraus resultieren fortlaufenden Tätigkeiten im Rahmen des ISMS effizient durchzuführen und auch für die Testierung/Zertifizierung nachvollziehbar zu dokumentieren, ist die Unterstützung durch ein ISMS-Tool unverzichtbar. Aufgrund der Größe der Organisation wäre eine rein manuelle Dokumentation zeitaufwändiger, fehleranfälliger und durch die eingeschränkte Berichtsfähigkeit, intransparenter.
Die wesentliche Anforderung an das ISMS-Tool ist es, alle nötigen Schritte von der Modellierung bis zur möglichen Zertifizierung zu unterstützen und so effizient wie möglich zu gestalten.
Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste der „Leistungsmerkmale für Softwaretools“ des BSI erstellt.
Produktauswahl
Die Organisation hat sich aufgrund von Präferenzen und Vorkenntnisse sowie der Preis-/Leistung für das Produkt Verinice der Firma SerNet GmbH als ISMS-Tool entschieden.
Verinice ist in drei Varianten Verfügbar:
Verinice.EVAL ist die Evaluierungs-Version von Verinice: kostenfrei aber ohne jede Reporting- oder Import-Funktion. Es können also alle Eigenschaften eines ISMS-Tools getestet werden - bis auf den Export von Berichten in PDF, Excel oder andere Formate.
Verinice ist die Vollversion incl. Reporting- und Import-Funktion, als Einzelplatzversion mit einer lokalen Installation auf dem Client für einen Nutzer.
verinice.PRO ist der zentrale Applikations-Server zum ISMS-Tool Verinice. Er bietet zentrale Funktionen für Sicherheit, Rechte-Management und GroupWare, die Verinice in größeren Verbünden mit mehr Performance einsetzbar machen.
In Abwägung von Kosten und Nutzen, hat sich die Organisation für die Verinice Einzelplatzversion entschieden, da das Tool hauptsächlich vom Informationssicherheitsbeauftragten (ISB) und seinem Stellvertreter genutzt wird.
Technische Maßnahmen zur Betriebs- und Datensicherheit
Installation
Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird nicht in das Betriebssystem eingebunden, weder unter Linux noch unter Windows.
Zur Installation wird das Installationspaket (z.B. verinice-win32.win32.x86_64-1.25.0.zip) aus dem verinice Shop herunter geladen und sein Inhalt in ein lokales Verzeichnis entpackt (z.B. C:\verinice\).
Gestartet wird verinice durch ausführen der Dateil verinice.exe in lokalen verinice Verzeichnis.
Beim ersten start wird von verinice ein Beutzerverzeichnis angelegt unter (z.B. C:\Users\<Benutzername>\verinice).
Patchmanagement
Verinice wird als lokale Installation auf dem Fileserver betrieben.
Die Einbindung in das zentrale Patchmanagement der Organisation ist nach Aufwand/Nutzen nicht sinnvoll. Daher wird für das Patchmanagement von verinice eine Ausnahme erwirkt, so dass die lokale Installation dezentral durch den Anwender gepatched werden kann.
Die SerNet GmbH bietet als Hersteller Sicherheitspatches und Updates an. Diese werden von verinice bei jedem Start abgefragt und bei Bedarf angezeigt. Für die Bereitstellung der Patches und Updates wurde ein Supportvertrag mit der SerNet GmbH abgeschlossen.
Datensicherung
Die Daten von Verinice liegen im von verinice bei der Installation angelegten Benutzerverzeichnis (z.B. C:\Users\<Benutzername>\verinice).
Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), falls nicht, muss der Nutzer die Sicherung selbst durchführen.
Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig.
Redundanzen
Verinice ist als ISMS-Tool nicht unmittelbar betriebsrelevant. Ein Ausfall des Tools ist über mehrere Tage vertretbar. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend.
Zutrittsschutz
Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der Zutrittsschutz wird über den allgemeinen Schutz der Clients, Büro, Gebäude gewährleistet.
Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. Es haben zwei Mitarbeiter (der ISB und sein Stellvertreter) Zugriff auf diesen Bereich.
Überwachung und Protokollierung
Verinice ist keine betriebsrelevante, zentrale Anwendung und verarbeitet keine personenbezogenen Daten im relevanten Ausmaß. Es dient als ISMS-Tool der Unterstützung des ISB und unterliegt daher –ähnlich einem Office-Produkt– nicht den Anforderungen für die Überwachung und Protokollierung zentraler Dienste.
Verschlüsselung
Exports von Informationsverbünden (VNA-Dateien) können beim Export mit einem Passwort verschlüsselt werden.
VNA-Exports die die Organisation verlassen (per Email, USB-Stick etc.) sind grundsätzlich mit einem Passwort zu verschlüsseln. Das Passwort ist dem Empfänger auf getrenntem Weg zu übermitteln.
Organisatorische Maßnahmen (zur Betriebssicherheit)
Dokumentation
Die grundsätzlichen Funktionen und deren Bedienung sind in der „Verinice-Benutzerdokumentation“ für die jeweilige aktuelle Version von Verinice beschrieben.
Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, beschreibt dieses Betriebskonzept in den folgenden Abschnitten.
Wartungsverträge
Für den Einsatz von Verinice in der Organisation wurde ein Supportvertrag mit der SerNet GmbH abgeschlossen. Dieser beinhaltet die Bereitstellung der jeweils aktuellen Version von Verinice sowie die Bereitstellung von sicherheitsrelevante und funktionale Patches.
Freigabeprozess
Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen an der Organisation verifiziert und freigegeben (Organisation-Leitung, Organisation-IT, etc.).
Notfallkonzept
Verinice ist als ISMS-Tool nicht unmittelbar betriebsrelevant. Ein Ausfall des Tools über mehrere Tage ist vertretbar. Daher ist eine einfach Datensicherung über mehrere Iterationen ausreichend. Die Erstellung eines Notfallkonzepts für Verinice entfällt.
Outsourcing
Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden.
Ein Outsourcing der Tätigkeiten im Rahmen des ISMS ist grundsätzlich möglich. Da hier jedoch umfangreiche Zuarbeit aus den Fachbereichen der Organisations-IT erforderlich ist, würde der Abstimmungsaufwand mit externen Dienstleistern den Nutzen voraussichtlich übersteigen.
Eine unterstützende externe Beratungsleistung kann jedoch in Teilbereichen sinnvoll sein.
Außerbetriebnahme
Bei einer Außerbetriebnahme von Verinice sind die enthalten Informationen –soweit sie noch benötigt werden– vor Außerbetriebnahme in ein Nachfolgeprodukt zu migrieren oder durch geeignete Exports (VNA) und Reports (PDF) zu sichern.
Als reines Softwareprodukt auf dem Client, ohne Einbindung in das Betriebssystem, kann Verinice einfach gelöscht werden.
Hierzu ist das –bei der Installation entpackte– Verinice Programmverzeichnis, das Verinice-Verzeichnis im Benutzerverzeichnis und das Workspace-Verzeichnis auf dem Gruppelaufwerk des File-Servers zu löschen.
Datenschutz
Verinice verarbeitet als reines ISMS-Tool selbst keine personenbezogenen Daten in relevantem Umfang. Es gelten die grundsätzlichen Datenschutzbestimmungen für lokale Office-Anwendungen der Organisation.
Umsetzungsbeschreibung
Vorgaben für Sicherheitskonzepte
Festlegung von Informationsverbünden
Der ISB legt in Absprache mit der IT-Leitung und dem externen Berater fest, welche Informationsverbünde für das Informationssicherheitsmanagement an der Organisation sinnvoll sind und bildet diese entsprechend in verinice ab.
Erstellung und Freigabe von Sicherheitskonzepten
Der ISB koordiniert die Erstellung von Sicherheitskonzepten in enger Abstimmung mit der IT-Leitung, der Hochschulleitung und den jeweiligen Fachverantwortlichen. Alle übergeordneten Dokumente zum Sicherheitsmanagement werden vom ISB erstellt. Alle Entwürfe werden im Rahmen eines definierten Freigabeprozesses via Umlaufverfahren innerhalb der Organisation-IT begutachtet und kommentiert und letztendlich von der Leitung final freigegeben. Siehe auch Organisation-Betriebskonzept „Änderungsmanagement“
Aktualisierung von Sicherheitskonzepten
Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein:
- Wesentliche Änderungen in den zugrundeliegenden Geschäftsprozessen
- Neue, entfallene oder wesentlich geänderte Anwendungen
- Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur
Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf Aktualität zu prüfen.
Strukturanalyse und Modellierung
Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation existieren eigene Dokumente, auf die an dieser Stelle verwiesen wird.
Schutzbedarfsanalyse
Modellierung
Grundschutz-Check
Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. zu allen relevanten Anforderungen wird der Umsetzungsstand (ja / teilweise / nein / entbehrlich) und eine Begründung festgelegt.
Risikoanalyse
Reporting
Die Reporting-Funktion von verinice wird als Informationsquelle für den Auditor verwendet.
