BK-Verinice

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Betriebskozept Verinice

Einführung

Verinice ist ein ISMS-Tool für das Management der Informationssicherheit. Alle relevanten Standards sind im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente werden in einer Objektdatenbank abgelegt, die an die Anforderungen des IS-Managements angepasst und dynamisch erweitert werden kann.

Dieses Dokument beschreibt grundlegende Regeln für den Einsatz von Verinice in der Organisation.

Zielsetzung

Um im Sicherheitsmanagement der Organisation effizient nach den aktuellen Standards des BSI arbeiten zu können, hat sich die Organisation für Verinice als ISMS-Tool entschieden. Ziel ist es, mit vertretbarem Aufwand eine nachhaltige und regelmäßige Weiterentwicklung des ISMS mit diesem Tool zu unterstützen.

Geltungsbereich

Dieses Betriebskonzept gilt für das gesamte Sicherheitsmanagement der Organisation.

Auswahlkriterien

Anforderungsanalyse

Die grundlegenden Anforderungen an die Einführung eines ISMS ergeben sich im Wesentlichen aus den Anforderungen des Datenschutzes (DSGVO, BDSG) sowie den Anforderungen der BSI-Standards 200-1 bis 200-4.

Um die daraus resultierenden laufenden Aktivitäten im Rahmen des ISMS effizient durchführen und auch für eine Zertifizierung nachvollziehbar dokumentieren zu können, ist die Unterstützung durch ein ISMS-Tool unerlässlich. Eine rein manuelle Dokumentation wäre aufgrund der Größe der Organisation zeitaufwändiger, fehleranfälliger und aufgrund der eingeschränkten Berichtsfähigkeit intransparenter.

Die wesentliche Anforderung an das ISMS-Tool besteht darin, alle notwendigen Schritte von der Modellierung bis zur möglichen Zertifizierung zu unterstützen und möglichst effizient zu gestalten.

Entsprechende Bewertungs- und Auswahlkriterien wurden im Vorfeld anhand der Liste „Leistungsmerkmale für Softwaretools“ des BSI erarbeitet.

Produktauswahl

Die Organisation hat sich aufgrund ihrer Präferenzen und Vorkenntnisse sowie des Preis-/Leistungsverhältnisses für das Produkt Verinice der Firma SerNet GmbH als ISMS-Tool entschieden.

Verinice ist in drei Varianten erhältlich:

Verinice.EVAL ist die Evaluierungsversion von Verinice: kostenlos, aber ohne jegliche Reporting- oder Importfunktion. Damit können alle Eigenschaften eines ISMS-Tools getestet werden - bis auf den Export von Berichten in PDF, Excel oder andere Formate.

verinice ist die Vollversion inkl. Reporting- und Importfunktion, als Einzelplatzversion mit lokaler Installation auf dem Client für einen Benutzer.

verinice.PRO ist der zentrale Applikationsserver für das ISMS-Tool Verinice. Er bietet zentrale Funktionen für Sicherheit, Rechtemanagement und GroupWare, die den Einsatz von Verinice in größeren Verbünden mit höherer Performance ermöglichen.

In Abwägung von Kosten und Nutzen hat sich die Organisation für die Einzelplatzversion von Verinice entschieden, da das Tool hauptsächlich vom Informationssicherheitsbeauftragten (ISB) und seinem Stellvertreter genutzt wird.

Technische Maßnahmen

Installation

Die Installation von verinice erfolgt lokal auf dem PC/Notebook des ISB. Verinice wird weder unter Linux noch unter Windows in das Betriebssystem eingebunden.

Zur Installation wird das Installationspaket (z.B. verinice-win32.win32.x86_64-1.25.0.zip) aus dem verinice Shop heruntergeladen und sein Inhalt in ein lokales Verzeichnis (z.B. C:\verinice\) entpackt.

Der Start von verinice erfolgt durch Ausführen der Datei verinice.exe im lokalen verinice Verzeichnis.

Beim ersten Start erstellt verinice ein Benutzerverzeichnis unter (z.B. C:\Users\<Benutzername>\verinice).

Patchmanagement

Verinice wird als lokale Installation auf dem Fileserver betrieben.

Eine Integration in das zentrale Patchmanagement der Organisation ist aus Aufwand-Nutzen-Gesichtspunkten nicht sinnvoll. Daher wird für das Patchmanagement von verinice eine Ausnahme erwirkt, so dass die lokale Installation dezentral durch den Anwender gepatcht werden kann.

Die SerNet GmbH stellt als Hersteller Sicherheitspatches und Updates zur Verfügung. Diese werden von verinice bei jedem Start abgefragt und bei Bedarf angezeigt. Für die Bereitstellung der Patches und Updates wurde mit der SerNet GmbH ein Supportvertrag abgeschlossen.

Datensicherung

Die Daten von Verinice befinden sich in dem von Verinice bei der Installation angelegten Benutzerverzeichnis (z.B. C:\Users\<Benutzername>\verinice).

Es ist darauf zu achten, dass dieses Verzeichnis regelmäßig gesichert wird (z.B. im Rahmen der Sicherung des Benutzerprofils im AD), ansonsten muss der Benutzer die Sicherung selbst durchführen.

Da es sich um sensible Daten der Organisation handelt, ist eine Datensicherung in öffentlichen Fileshares oder auf ungesicherten USB-Sticks nicht zulässig.

Redundanzen

Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools ist über mehrere Tage hinnehmbar. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend.

Zugriffsschutz

Verinice läuft als lokale Anwendung auf dem Fileserver der Organisation. Der Zugriffsschutz erfolgt über den allgemeinen Client, Büro, Gebäude Schutz.

Die Datenbank befindet sich auf einem Gruppenlaufwerk auf dem Fileserver des Verwaltungsnetzes im Bereich des Sicherheitsmanagements. Zwei Mitarbeiter (der ISB und sein Stellvertreter) haben Zugriff auf diesen Bereich.

Überwachung und Protokollierung

Verinice ist keine geschäftskritische, zentrale Anwendung und verarbeitet keine personenbezogenen Daten im relevanten Umfang. Es dient als ISMS-Tool zur Unterstützung des ISB und unterliegt daher nicht den Anforderungen an die Überwachung und Protokollierung zentraler Dienste, wie dies bei einem Office-Produkt der Fall ist.

Verschlüsselung

VNA-Exporte (VNA-Dateien von Verinice) können beim Export mit einem Passwort verschlüsselt werden.

VNA-Exporte, die die Organisation verlassen (per E-Mail, USB-Stick etc.), sind grundsätzlich mit einem Passwort zu verschlüsseln. Das Passwort ist dem Empfänger auf getrenntem Weg mitzuteilen.

Organisatorische Maßnahmen

Dokumentation

Die grundlegenden Funktionen und deren Bedienung sind in der „Verinice Benutzerdokumentation“ für die jeweils aktuelle Version von Verinice beschrieben.

Welche Funktionen von Verinice in der Organisation genutzt werden und wie diese konkret in der Organisation umgesetzt werden, wird in diesem Betriebskonzept in den folgenden Abschnitten beschrieben.

Wartungsverträge

Für die Nutzung von Verinice in der Organisation wird ein Supportvertrag mit der SerNet GmbH abgeschlossen. Dieser beinhaltet die Bereitstellung der jeweils aktuellen Version von Verinice sowie die Bereitstellung von sicherheitsrelevanten und funktionalen Patches.

Freigabeprozess

Die ISMS-Konzepte werden je nach Verantwortungsbereich durch verschiedene Instanzen innerhalb der Organisation (Organisationsleitung, Organisations-IT, etc.) geprüft und freigegeben.

Notfallkonzept

Verinice ist als ISMS-Tool nicht unmittelbar geschäftskritisch. Ein Ausfall des Tools über mehrere Tage ist akzeptabel. Daher ist eine einfache Datensicherung über mehrere Iterationen ausreichend. Die Erstellung eines Notfallkonzeptes für Verinice ist nicht erforderlich.

Outsourcing

Die Verantwortung für den Datenschutz und die Informationssicherheit liegt bei der Organisation. Diese Verantwortung kann grundsätzlich nicht im Rahmen eines Outsourcings abgegeben werden.

Ein Outsourcing von Tätigkeiten im Rahmen des ISMS ist grundsätzlich möglich. Da hier jedoch eine umfangreiche Zuarbeit aus den Fachbereichen der Organisations-IT erforderlich ist, würde der Abstimmungsaufwand mit externen Dienstleistern den Nutzen voraussichtlich übersteigen.

Eine unterstützende externe Beratung kann jedoch in Teilbereichen sinnvoll sein.

Außerbetriebnahme

Bei einer Außerbetriebnahme von Verinice sind die enthaltenen Informationen - soweit sie noch benötigt werden - vor der Außerbetriebnahme in ein Nachfolgeprodukt zu migrieren oder durch geeignete Exporte (VNA) und Reports (PDF) zu sichern.

Als reines Softwareprodukt auf dem Client, ohne Integration in das Betriebssystem, kann Verinice einfach gelöscht werden.

Dazu ist das bei der Installation entpackte Verinice-Programmverzeichnis, das Verinice-Verzeichnis im Benutzerverzeichnis und das Workspace-Verzeichnis auf dem Gruppenlaufwerk des Fileservers zu löschen.

Datenschutz

Verinice als reines ISMS-Tool verarbeitet selbst keine personenbezogenen Daten in relevantem Umfang. Es gelten die grundsätzlichen Datenschutzbestimmungen für lokale Office-Anwendungen der Organisation.

Umsetzungsbeschreibung

Vorgaben für Sicherheitskonzepte

Festlegung von Informationsverbünden

Der ISB legt in Abstimmung mit der Organisationsleitung fest, welche Informationsverbünde für das Informationssicherheitsmanagement in der Organisation sinnvoll sind und bildet diese entsprechend in verinice ab.

Erstellung und Freigabe von Sicherheitskonzepten

Der ISB koordiniert die Erstellung von Sicherheitskonzepten in enger Abstimmung mit der Organisationsleitung und den jeweiligen Fachverantwortlichen. Alle übergeordneten Dokumente zum Sicherheitsmanagement werden vom ISB erstellt. Alle Entwürfe werden im Rahmen eines definierten Freigabeprozesses im Umlaufverfahren innerhalb der Organisations-IT begutachtet und kommentiert und schließlich von der Organisationsleitung endgültig freigegeben.

Aktualisierung von Sicherheitskonzepten

Sicherheitskonzepte sind bei wesentlichen Änderungen im Informationsverbund zu überarbeiten. Dies können sein:

  • Wesentliche Änderungen der zugrundeliegenden Geschäftsprozessen
  • Neue, entfallene oder wesentlich geänderte Anwendungen
  • Wesentliche Änderungen in der zugrundeliegenden Hardware, Software oder Netzinfrastruktur

Ansonsten sind Sicherheitskonzepte mindestens einmal jährlich auf Aktualität zu prüfen.

Strukturanalyse und Modellierung

Für die Strukturanalyse und die Modellierung der IT-Verbünde an der Organisation gibt es eigene Dokumente, auf die an dieser Stelle verwiesen wird.

Schutzbedarfsanalyse

Modellierung

Grundschutz-Check

Die Ergebnisse der Grundschutzchecks werden direkt in Verinice dokumentiert, d.h. für alle relevanten Anforderungen wird der Umsetzungsstand (ja / teilweise / nein / entbehrlich) und eine Begründung festgehalten.

Risikoanalyse

Reporting

Die Reporting-Funktion von verinice dient als Informationsquelle für den Auditor.

Weiterführende Dokumentation

  • verinice-Benutzerdokumentation-1.xx.x Benutzerhandbuch des Herstellers für die angegebene verinice Version.
  • verinice-BSI_IT-Grundschutz-1.xx.x Weiterführendes Handbuch des Herstellers für die Perspektive Modernisierter IT-Grundschutz (Grundschutz Kompedium).
  • Leitfaden zur Durführung von Grundschutzchecks
Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=BK-Verinice&oldid=570