IT Security IT Systems IT Services Unternehmen
blaues 0/1-MusterINFODAS GmbH
Home
Gesellschaft für Systementwicklung und Informationsverarbeitung mbH

Versionsinformationen SAVe® V3.1

Version V3.1-2 (Rev 3.1.2.87) vom 31.01.2004

 

Neuerungen/Änderungen gegenüber der Version V3.1-1 (Rev 3.1.1.57)

  • SAVe® verwendet zum Start nicht mehr das AutoExec-Makro von Access. Damit werden Fehlermeldungen übereifriger Virenscanner vermieden.
  • Die Restriktion, dass ein bestimmtes Datumsformat für die Eingabe zeitlich befristeter Testlizenzen eingestellt sein musste, wurde aufgehoben; SAVe® akzeptiert jetzt jedes beliebige Datumsformat.
  • Die Erweiterungsschnittstelle erlaubt jetzt die Definition und das Laden zusätzlicher Tabellen aus Modell-Datenbanken. Bei einer nachträglichen Modellerweiterung werden diese Ergänzungstabellen automatisch mit geeigneten Werten gefüllt, um einen konsistenten Datenbestand sicherzustellen.
  • Die Tabellen im Modell- und Teilmodell-Template sind jetzt leer und werden bei der Erzeugung von Modell- bzw. Teilmodell-Datenbanken dynamisch gefüllt, so dass sie immer zu den aktuell geladenen Erweiterungen des Sicherheitsmodells passen.
  • Durch Verlegen der Switch-Tabelle, die zur Konstruktion von Verknüpfungen eingesetzt wird, in die zentrale Datenbank werden Parallelzugriffe im Netz besser unterstützt.
  • Zum Schreiben geöffnete Teilmodelle werden beim Schließen nur dann in die Modell-Datenbank zurückgeschrieben, wenn sie tatsächlich geändert wurden.
  • Bei Wechsel der Zertifikatsstufe wird die Konsistenz der Erfassungs- und Auswertungsformulare sofort erzwungen.
    Die Funktionen der IT-Strukturanalyse erlauben jetzt ein direktes Umschalten von der Zuordnungssicht auf die jeweilige Zuordnungsfunktion, um so erkannte Fehler direkt ändern zu können.
    Die Funktionen der Sicherheitsanalyse unterstützen ein direktes Umschalten zwischen den verschiedenen Sichten der Gefährdungsanalyse.
  • Im Basis-Sicherheitscheck wurde eine teilmodellübergreifende Kopierfunktion für die Maßnahmenumsetzung bereitgestellt.
  • Die Erfassung der Maßnahmenumsetzung kann jetzt auf Maßnahmen mit einem vor-gegebenen Umsetzungsstatus eingeschränkt werden.
  • Die Bewertungstexte im Bericht Maßnahmenstatus können optional unterdrückt werden.
    Die Möglichkeiten zur Filterung von Berichten wurden um die Kriterien Verantwortliche und Fälligkeit der Maßnahmenumsetzung erweitert. Sofern Erweiterungen des Sicherheitsmodells geladen wurden, ist auch eine Filterung nach Grundschutz und Erweiterungen möglich.
  • Die automatische Filterung der Berichte wird jetzt nur bei teilweise erfassten Teilmodellen angezeigt; bei vollständig erfassten Teilmodellen wird diese Anzeige unterdrückt, um Verwirrung bei der Interpretation der Berichte zu vermeiden.
  • Die Filterung wird jetzt auch auf selbst definierte Berichte angewandt.
  • Berichte können jetzt auch auf andere Drucker als auf den gerade eingestellten Standarddrucker ausgegeben werden, und die Parameter des Druckvorgangs können gewählt werden.
  • Es wird ein Werkzeug bereitgestellt, mit dem die Daten eines mit dem GS-Tool erstellten IT-Sicherheitskonzepts nach SAVe® übernommen werden können.

 

Änderungen des Sicherheitsmodells

  • Die Version V3.1-2 enthält keine Änderungen des Sicherheitsmodells.

Version V3.1-1 (Rev 3.1.1.57) vom 30.07.2004

 

Neuerungen/Änderungen gegenüber der Version V3.1 (Rev 3.1.0.24)

  • Zentrale Tabellen können jetzt auch exportiert werden, ohne dass eine Modell-Datenbank geladen ist.
  • Modellspezifisch definierte Rollen können zusätzlichen zu den automatisch zugewiesenen Standardrollen jetzt auch dem Modelleigentümer zugewiesen werden.
  • Wenn ein Benutzer, der weder Modelleigentümer noch SAVe® Administrator ist, ein Teilmodell erzeugt, so werden ihm automatisch für den Zugriff auf dieses Teilmodell alle Standardrollen mit Ausnahme der Rolle des Modelleigentümers zugewiesen, so dass er ohne weitere administrative Eingriffe vollen Zugriff auf dieses selbst erzeugte Teilmodell hat.
  • Zur Beschleunigung der Schutzbedarfsanalyse können jetzt die Erfassungsformulare zu den Schutzobjekten direkt aufgerufen werden, die als übergeordnete Schutzobjekte in den Formularen zur Festlegung der Querbeziehungen zwischen Schutzobjekten, zur Überprüfung dieser Querbeziehungen und zur Berechnung der Schutzanforderungen ausgewählt wurden.
  • Bei der Grundschutzmodellierung unter Verwendung von Einsatzszenarien können jetzt die Bausteine des ausgewählten Szenarios zu den bisher ausgewählten Bausteinen hinzugefügt werden, so dass sich mehrere Szenarien kombinieren lassen.
  • Die Struktur der Sicherheitsanalyse wurde vereinfacht, indem auf mehrfach vorhandene Formulare und Berichte verzichtet wurde und stattdessen der Auswertungsbereich automatisch gewählt wird, je nach dem ob ein Teilmodell geladen ist oder nicht.
  • Zur Auswertung noch offener Maßnahmen stehen jetzt zwei Berichte zur Verfügung, von denen der eine die unbearbeiteten und der andere die zwar bearbeiteten, aber im Ergebnis noch zu klärenden Maßnahmen enthält.
  • In den Berichten zu Querbezügen zwischen den Schutzobjekten werden jetzt auch Objekte ohne Bezüge ausgegeben.
  • Der Bericht zu den Maßnahmenverantwortlichen zeigt jetzt standardmäßig nur noch die explizit zugewiesenen Verantwortlichen an; die vom Grundschutzhandbuch zugewiesenen Verantwortlichen für Initiierung und Umsetzung der Maßnahmen werden nur noch nach Auswahl einer Option mit ausgegeben.
  • Der Bericht zu den ausgewählten Bausteinen wurde jetzt der Gruppe Basis-Sicherheitscheck zugeordnet. Als zusätzlicher Bericht wurde eine Bausteinliste in die Berichtsgruppe Sicherheitsanalyse aufgenommen.
  • Die Filterung der Berichte wirkt jetzt auch, wenn diese Berichte direkt aus Formularen aufgerufen werden. Sofern dieser Aufruf aus einem bausteinbezogenen Formular erfolgt, wird der erzeugte Bericht automatisch auf den im Formular aktuell ausgewählten Baustein eingeschränkt.
  • Die Berichte zum Basis-Sicherheitscheck können jetzt, soweit dies sinnvoll ist, auch aufgerufen werden, ohne dass ein Teilmodell geladen ist; sie enthalten in diesem Fall die Daten zu allen Teilmodellen.
  • Es ist jetzt möglich, nicht nur zu früher erzeugten Referenzkopien von Teilmodellen, sondern auch zu existierenden anderen Teilmodellen derselben Modell-Datenbank Differenzberichte zu erzeugen, um auf diese Weise die Unterschiede zwischen Teilmodellen auszuwerten.
  • Mit dem Werkzeug List & Label wird optional ein separates zusätzliches Werkzeug zur Erstellung von eigenen Berichten angeboten, mit dem die Formatierung der Standard-Berichte durch eigene Layouts ersetzt werden kann. Als Ausgangspunkt für die Entwicklung eigener Berichte werden für alle Berichte, die hierbei unterstützt werden, Layouts angeboten, die bei Bedarf entsprechend modifiziert werden können.
  • SAVe® kann jetzt optional so installiert werden, dass zum Zugriff auf die Windows Registrierung keine Administratorrechte mehr benötigt werden; alle Einträge sind in diesem Fall benutzerspezifisch.
  • Die Längen der meisten Auswahllisten wurden optimiert, um erhöhten Scroll-Aufwand zu vermeiden.
  • Vom Formular ?Maßnahmenumsetzung? aus lassen sich jetzt direkt die Formulare zum Editieren der Bemerkungen und externen Quellen der Maßnahmen und der Bausteine aufrufen.
  • An einigen Stellen wurde eine Pop-Up-Fensterfunktion hinzugefügt, um den Text vollständig anzeigen zu können.
  • Die Darstellung unter Access 2003 wurde leicht optimiert. (Für Hinweise zur Verwendung der Makrosicherheitsfunktionen siehe Datei Readme.txt im SAVe® Programmverzeichnis.)
  • Eine Reihe interner Abläufe wurde optimiert, und der Programmcode wurde gestrafft.

 

Änderungen des Sicherheitsmodells

  • Ergänzte Informationen Zertifikats- und Prioritätsstufen zum Baustein 9.5 Archivierung wurden aufgenommen.

 

Korrekturen/Erweiterungen gegenüber der Version V3.1 (Rev 3.1.0.24)

  • Bei mehreren installierten Access-Versionen (z. B. einer Runtime-Version Access 2000 oder neuer) zusätzlich zu Access-Vollversionen ist eine Auswahl der zu verwendenden Access-Version ist über Kommandozeilenschalter /2000, /2002 bzw. /2003 möglich.
  • Die Fehlerbehandlung beim Zweitaufruf von SAVe® wurde verbessert. Nach einem Abbruch von SAVe® ist jetzt auch dann ein Neustart möglich, wenn die von SAVe® ursprünglich verwendeten Prozess-ID wieder verwendet wird.
  • Das Handbuch und die On-line-Hilfe wurden um Schlagwortverzeichnisse ergänzt.

Version V3.1 (Rev 3.1.0.24) vom 24.02.2004

 

Neuerungen/Änderungen gegenüber der Version V3.0-2 (Rev 3.0.9)

  • Beim erstmaligen Laden von Erweiterungs-Datenbanken der Version V3.0-2 erfolgt ein automatischer Upgrade der Struktur; bei jedem Laden von Erweiterungs-Definitionen erfolgt eine Konsistenzprüfung.
  • Für das Öffnen von Modell-Datenbanken wird eine Liste der 6 letzten bearbeiteten Modelle zur Auswahl angeboten.
  • Zur Identifikation von Anwendungen steht jetzt neben dem Beschreibungsfeld auch ein Feld zur Eingabe eines Namens zur Verfügung. Bei der Übernahme von Altdaten aus der Vorversion V3.0?x von SAVe® wird das Namensfeld automatisch mit den ersten 255 Zeichen des Beschreibungsfelds gefüllt.
  • Bei der Bestandsaufnahme im Rahmen der IT-Strukturanalyse und Schutzbedarfsfeststellung können über Kombinationsfelder die Werte schon erfasster Daten in neue Datensätze übernommen werden.
  • Kommunikationsverbindungen können als zusätzliche Schutzobjekte eingetragen und mit den IT-Systemen, die sie verbinden, verknüpft werden. Die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit lassen sich von den IT-Systemen auf die zugeordneten Kommunikationsverbindungen vererben, und aus diesen Anforderungen sowie der Angabe, ob es sich um Außenverbindungen handelt bzw. ob der Transport bestimmter Daten über diese Verbindungen unzulässig ist, wird die Kritikalität der Verbindungen abgeleitet.
  • Die in SAVe® verwendeten Begriffe wurden an die Terminologie des Grundschutzes angepasst. So wurde der Begriff ?Bedrohungen? überall durch ?Gefährdungen? ersetzt, und die Menüs wurden mit Standard-Begriffen des Grundschutzes aufgebaut.
  • Die Modellierung des IT-Verbunds wird durch Bereitstellung von Szenarien (Standardverbünden) und eine verbesserte Steuerung der Einbindung der zugehörigen Bausteine erleichtert.
  • Durch Vereinfachungen im Aufbau interner Datenstrukturen und Abläufe wurde die Effizienz der Bearbeitung deutlich gesteigert. Dazu gehört auch, dass die Fehlerbehandlung, u.a. beim Zugriff auf Teilmodelle, robuster gestaltet wurde.
  • Die Funktionen zur Auswahl von Modellen und Teilmodellen erlauben eine intuitivere Bedienung, durch die häufiger verwendete Optionen leichter bedienbar sind oder, falls sinnvoll, automatisch gesetzt werden.
  • Der Zugriff auf Teilmodelle kann auf Lesezugriff eingeschränkt werden. Bei Betrieb im Netz kann lesender Zugriff auf ein Teilmodell parallel zu (lesenden oder auch ändernden) Zugriffen anderer Benutzer auf dasselbe Teilmodell erfolgen. Lesender Zugriff wird automatisch verwendet, wenn die Rolle des Auswerters gewählt wurde.
  • Der Name des Benutzers, der ein Teilmodell zum Schreiben geöffnet hat, wird in der Übersicht über die Teilmodelle mit angezeigt.
  • Für den lesenden Zugriff auf Modelle und Teilmodelle wurden separat verwaltbare Standard-Zugriffsrechte eingerichtet.
  • Das Anlegen und die Veränderung von Benutzern unterliegen jetzt auch der Protokollierung, so dass auch diese Operationen nachvollziehbar werden. Urheber und Datum der letzten Änderung von Modelldaten können optional in Berichten mit ausgegeben werden.
  • Es können modellspezifische Rollen mit frei definierbaren Funktionsprofilen angelegt und den Benutzern zugeordnet werden. Diese Rollen besitzen nur innerhalb einer Modell-Datenbank Gültigkeit.
  • Termine für die Umsetzung defizitärer Maßnahmen können jetzt als Aufgaben nach Outlook übertragen werden, um deren Durchführung in eine Terminverwaltung zu übernehmen.
  • Es können Filter definiert werden, die eine Einschränkung der in Berichten ausgegebenen Daten nach vorgebbaren Kriterien erlauben.
  • Ein eigener Bericht erlaubt die zusammenfassende Beurteilung der Audit-Ergebnisse in einer Form, die direkt als Bestandteil eines IT-Sicherheitskonzepts verwendet werden kann. Darüber hinaus stehen in der Consulting Edition, d.h. bei Installation einer Beraterlizenz, eigene Erfassungsfunktionen und Berichte zur Durchführung von Zertifizierungs-Audits zur Verfügung.
  • Es steht eine (lizenzpflichtige) Erweiterung zur Durchführung von Datenschutz-Überprüfungen zur Verfügung. Damit ist es auch möglich, eine spezielle datenschutzorientierte Sicht auf die Daten zur IT-Sicherheit zu erhalten.
  • Installierte lizenzfreie Erweiterungen können zur Installation auf anderen Rechnern in Erweiterungs-Datenbanken exportiert werden.
  • Eine Reihe von Tabellen kann jetzt auch so importiert werden, dass dabei schon vorhandene Datensätze aktualisiert werden.
  • Für den Eintrag von Werten in die Registrierung wird keine Administratorberechtigung mehr benötigt. Falls zentrale Werte ohne Administratorberechtigung geschrieben werden müssen, so werden diese im benutzerspezifischen Teil der Registrierung eingetragen und auch von dort wieder entnommen.
  • Die Nutzung von SAVe® nach Ablauf einer Testlizenz ist jetzt weiterhin möglich. Es erfolgt dann eine zeitlich unbegrenzte Einschränkung auf lesende Zugriffe. Ändernde Operationen und die Erzeugung von Berichten sind in diesem Fall abgeschaltet.
  • Bei erstmaliger Installation von SAVe® ohne Verfügbarkeit einer Lizenz wird einmalig eine für 30 Tage gültige Testlizenz erzeugt; diese kann jederzeit in eine unbegrenzt gültige Lizenz umgewandelt werden, ohne dass deshalb eine Neuinstallation erforderlich wäre.
  • Bei der Installation von SAVe® kann bei geringem Plattenplatz auf die Installation der (umfangreichen) Grundschutz-Word-Dateien verzichtet werden, ohne deshalb den direkten Zugriff auf die HTML-Version dieser Texte zu verlieren.
  • Das Statusfenster der SAVe®-Starter-Anwendung kann zur Ausgabe des Status auch während der Arbeit mit SAVe® über einen Menübefehl aufgerufen werden.
  • Die bisherige provisorische Online-Hilfe wurde durch ein übliches Hilfesystem auf der Basis der Windows Hilfefunktionen ersetzt.

 

Änderungen des Sicherheitsmodells

  • Neben den funktionalen Änderungen ergeben sich verschiedenen Änderungen des Sicherheitsmodells durch den Bezug auf eine neue Version des Grundschutzhandbuchs mit Stand Oktober 2003. Inhaltliche Änderungen einzelner Bausteine, Gefährdungen und Maßnahmen können durch Überprüfung der Textänderungen im Grundschutzhandbuch nachvollzogen werden.
  • Bei folgendem Baustein wurde der Titel geändert:
    • 7.5 Webserver
  • Folgende Bausteine wurden in dieser Version des Grundschutzhandbuches neu aufgenommen:
    • 3.10 Outsourcing
    • 7.8 Internet Information Server
    • 7.9 Apache-Webserver
    • 7.10 Exchange 2000 / Outlook 2000
    • 9.5 Archivierung

 

Korrekturen/Erweiterungen gegenüber der Version V3.0-2 (Rev 3.0.8)

  • Beseitigung eines möglichen Fehlerzustandes beim Löschen von Teilmodellen
  • Automatische Prüfung der Teilmodellnamen auf unzulässige Sonderzeichen
  • Anpassung der Online-Hilfe und des Benutzer-Handbuchs
  • Erweiterung der Status-Ausgaben (SAVe.Exe /status)
Home RedBox Event Pool Risk Management Consultant QS/QM/KM/RE Software-Entwickler Produkt-/Projektmanager Systemingenieur/-entwickler Seniorberater IT-Sicherheit IT-Sicherheitsberater SW-Entwickler/Systemintegrator Netzwerk Ingenieur SAVe® V3.0 SAVe® V3.1 SAVe® V3.2 hiview®
© 2012 INFODAS - Gesellschaft für Systementwicklung und Informationsverarbeitung mbH