IT Security IT Systems IT Services Unternehmen
blaues 0/1-MusterINFODAS GmbH
Home
Gesellschaft für Systementwicklung und Informationsverarbeitung mbH

Versionsinformationen SAVe® V3.2

Version V3.2-2 (Rev 3.2.2.80) vom 19.03.2006

 

Korrekturen/Erweiterungen gegenüber der Version V3.2-2 (Rev 3.2.2.80)

  • Operator ODER zur Filterung des Schutzbedarfs eingeführt.
  • Bei der Modellerweiterung werden eigene Maßnahmen und Gefährdungen nun korrekt aufgerufen.
  • Fehlerbeseitigung in einer Install Shield Prozedur.

Version V3.2-2 (Rev 3.2.2.74) vom 27.01.2006

 

Korrekturen/Erweiterungen gegenüber der Version V3.2-1 (Rev 3.2.1.51)

  • In den Formularen zur Berechnung abgeleiteter Schutzbedarfsstufen und den entsprechenden Berichten erfolgt eine Konsistenzprüfung. Abgeleitete Schutzbedarfsstufen, die niedriger sind, als sich dies aus dem Maximal-Prinzip ergibt, werden optisch hervorgehoben.
  • Die Formulare zur Zuordnung aller IT-Systeme und Räume zu Teilmodellen wurden um die Möglichkeit erweitert, alle IT-Systeme bzw. Räume gleichzeitig einem Teilmodell zuzuordnen bzw. diese Zuordnung insgesamt aufzuheben.
  • Ein zusätzliches Formular zur Modellierung erlaubt eine Kombination der Bausteinauswahl nach Ebenen und Szenarien, um komplexe IT-Verbünde leichter darstellen zu können. Die Liste der angebotenen Szenarien wurde dabei aktualisiert und ergänzt sowie in Themenbereiche gegliedert, um die Übersichtlichkeit zu erhöhen.
  • Die Eingabe langer Feldwerte wurde durch eine spezielles Eingabeformular erleichtert, das auch die Übernahme, ggf. mit Änderungen, von anderen Werten derselben Eigenschaft erlaubt. Dieses Formular kann direkt aus den meisten Eingabefeldern aufgerufen werden und überträgt die dort erfassten Daten beim Schließen in das Feld des aufrufenden Formulars.
  • Im Formular zur Erfassung der Bausteindaten kann die aktuelle Beschreibung wahlweise in alle oder nur in die noch unbearbeiteten Bausteine kopiert werden. Es ist auch möglich, die Beschreibungstexte zur Umsetzung der zugeordneten Maßnahmen in die Bausteinbeschreibung zu übernehmen, um dort einen zusammenfassenden Text zu erzeugen.
  • Für Auswertungen verwendete Schutzprofile können jetzt denselben Baustein mehrfach referenzieren, sofern dieser Baustein in mehreren Teilmodellen vorkommt.
  • In der Risikoanalyse werden die zugeordneten Gefährdungen je nach dem aktuell gewählten Zielgebiet (Modell / Teilmodell / Schutzprofil) selektiert, so dass nur noch die relevanten Gefährdungen als Basis für die Bestimmung der Risiken zu betrachten sind.
  • Entsprechend dem neuen BSI-Standard 100-3 wird die zusätzliche Option Transfer / Versicherung zur Behandlung von Risiken in Formular und Berichten angeboten.
  • In der Abhängigkeitsanalyse werden zusätzliche Auswahlen zur IT-Strukturanalyse, zur Beschreibung der Maßnahmenumsetzung durch Prüflisten sowie zur Risikoanalyse angeboten.
  • In der Benutzerverwaltung steht jetzt auch ein Formular zur Anzeige der Rollenzuordnung zur Verfügung, und es wurde ein Schutz gegen Löschen der eigenen Zugriffsberechtigungen vorgesehen.
  • Berichte können jetzt auch nach Anwendungseigenschaften gefiltert werden. Außerdem werden eventuell zugeordnete Schutzprofile in den Berichten zu den Schutzobjekten angezeigt.
  • Ein neuer Bericht Konsistenz der IT-Strukturanalyse und Schutzbedarfsfeststellung erlaubt eine leichtere Kontrolle der Vollständigkeit und Konsistenz der erfassten Daten.
  • Ein weiterer Bericht ermöglicht die Darstellung der definierten Risiken und der ihnen zugeordneten Maßnahmen.
  • Im Bericht Entbehrliche Maßnahmen wird jetzt die zugeordnete Zertifikatsstufe mit ausgegeben, was insbesondere dann hilfreich ist, wenn Maßnahmen, die für eine Zertifizierung nicht gefordert werden, auf ?entbehrlich? gesetzt werden.
  • In allen Berichten erfolgt jetzt die Ausgabe einer Berichtsnummer am Anfang von Berichten und in der Seitenzahl, so dass alle Berichtsseiten eindeutig referenzierbar sind, was insbesondere vom Zertifizierungsschema gefordert ist.
  • Im Diagrammbericht (?Spinnendiagramm?) werden einzelne Sicherheitsstufen farblich gekennzeichnet. Die Grenzen zwischen den Sicherheitsstufen können von einem Administrator für eine bestimmte SAVe®-Installation global vorgegeben werden.
  • Für die Bewertung der Maßnahmenumsetzung kann gewählt werden, ob die Regeln des alten oder des neuen Prüfschemas zu Zertifizierung anzuwenden sind. Beim alten Prüfschema ist es zulässig, dass pro Baustein eine der geforderten Maßnahmen nicht vollständig umgesetzt ist, beim neuen Prüfschema ist dies nicht der Fall.
  • Der Abgleich des in der Lizenz genannten Benutzernamens mit dem Anmeldenamen und/oder dem Rechnernamen wurde flexibler gestaltet. Sofern Teile des Benutzernamens mit dem Anmeldenamen oder Rechnernamen übereinstimmen, erfolgt eine automatische Bindung der Lizenz an diese Installation. Wenn keine solche Korrespondenz feststellbar ist, kann die Bindung der Lizenz innerhalb von 30 Tagen nach der erstmaligen Nutzung der Installation erfolgen, und diese Bindung wird durch ein weit-gehend automatisiertes Verfahren erleichtert. Damit kann die Mitteilung des Anmeldenamens und/oder Rechnernamens an INFODAS vor der Installation entfallen.
  • Bei der Konversion von Datenbanken des GSTOOLs wird jetzt auch die Zuordnung zwischen Räumen und Gebäuden übernommen.

 

Änderungen des Sicherheitsmodells

  • Daten der Version V3.2 können ohne Änderungen weiter verwendet werden; das Datenformat der Version V3.2-2 ist identisch mit dem der Versionen V3.2-1 und V3.2.

Version V3.2-1 (Rev 3.2.1.51) vom 21.07.2005

 

Korrekturen/Erweiterungen gegenüber der Version V3.2 (Rev 3.2.0.20)

  • Zur Durchführung von Strukturanalysen können Baum-Ansichten voneinander abhängiger Objekte erzeugt werden. Auf diese Weise lassen sich unterschiedliche Abhängigkeiten von Schutzobjekten und Elementen des Sicherheitsmodells graphisch analysieren.
  • SAVe® bietet jetzt Formulare zur Erfassung zusätzlicher Elemente des Sicherheitsmodells (Bausteine, Maßnahmen, Gefährdungen, Personen) sowie zu deren Zuordnung untereinander und zu Elementen des Grundschutzes an. Dies ermöglicht eine vereinfachte, benutzerfreundliche Erweiterung des Sicherheitsmodells.
    . Erweiterungen des Sicherheitsmodells können hinsichtlich ihrer Gültigkeit auf einzelne Modell-Datenbanken eingeschränkt werden.
  • Bei der Erfassung von IT-Systemen bietet SAVe® jetzt eine Reihe vordefinierter Betriebszustände zur Vereinheitlichung der Dokumentation an.
  • Übersichtsformulare können nach wählbaren Spalten auf- und absteigend sortiert werden.
  • Die Funktion zum Kopieren und Verschieben von Bausteinen wurde hinsichtlich ihrer Bedienung klarer aufgebaut.
  • Die Listen zur Darstellung der Zuordnung von Maßnahmen und Gefährdungen können auf einzelne Teilmodelle bzw. Schutzprofile eingeschränkt werden.
  • Bei den Funktionen zur Konsistenzprüfung werden nicht redundante Einzelmaßnahmen in Formular und Bericht ausgeblendet, was die Übersichtlichkeit erhöht.
  • Die Erfassungsformulare werden nach der Bearbeitung von Schutzprofilen automatisch aktualisiert.
    SAVe® bietet Funktionen zur Risikoanalyse nach dem Verfahren an, das vom BSI als Ergänzung zum Grundschutz festgelegt wurde. Dazu gehören das Erzeugen von Risiko-Definitionen aus den Gefährdungen, die existierenden Schutzprofilen zugeordnet sind, die Möglichkeit der Bearbeitung von Risiken mit Verweis auf die zugrundeliegenden Gefährdungen, die Verwaltung der Zuordnung von Risiken zu Schutzprofilen, die Darstellung der Risikoabdeckung mit Umsetzungsstatus der zugeordneten Maßnahmen und die Anzeige der zu Risiken zugeordneten Maßnahmen und ihres Umsetzungsstatus.
  • Es werden zusätzliche Berichte zur Zuordnung und Bewertung der Risiken zur Verfügung gestellt.
  • Bei direktem Aufruf von Berichten aus Übersichtsformularen zur IT-Strukturanalyse und Schutzbedarfsfeststellung wird deren aktuelle Sortierung in die Berichte übernommen.

 

Änderungen des Sicherheitsmodells

  • Daten der Version V3.2 können ohne Änderungen weiter verwendet werden; das Datenformat der Version V3.2-1 ist identisch mit dem der Version V3.2.
  • Der Zugriffsschutz auf die erfassten Daten wird durch eine stringentere Nutzerüberprüfung gestärkt.

Version V3.2 (Rev 3.2.0.20) vom 15.03.2005

 

Korrekturen/Erweiterungen gegenüber der Version V3.1-2 (Rev 3.1.2.87)

  • In der Consulting Edition von SAVe® wird eine Funktion zur Erfassung übergeordneter Informationen zum gesamten IT-Verbund bereitgestellt. Diese Daten können dann in einem Bericht als Teil des Audit-Berichts für das Grundschutz-Zertifikat ausgegeben werden.
  • Die Tabellen, Formulare und Berichte zur Verwaltung der Schutzobjekte (Anwendungen, IT-Systeme, Räume, Kommunikationsverbindungen) wurden um zusätzliche Beschreibungs- und Einordnungsfelder ergänzt, um die IT-Strukturanalyse aussagekräftiger zu machen.
  • Ein zusätzliches Formular zur Darstellung der Anwendungen stellt die hier neu zu erfassenden Informationen in einer Übersicht dar.
  • Die in der Schutzbedarfsanalyse zu bearbeitenden Grundziele Vertraulichkeit, Integrität und Verfügbarkeit wurden um die Sicherheitsdimension der Verbindlichkeit ergänzt, so dass jetzt beispielsweise auch Anwendungen aus dem Bereich des eCommerce umfassender beschrieben werden können.
  • Gebäude können als Sondertyp des Schutzobjekts ?Raum? kenntlich gemacht und den Räumen zugewiesen werden.
  • Die Typfelder zur Charakterisierung der Schutzobjekte bieten jetzt als Alternativen für die Zuordnung auch die in SAVe® definierten Szenarien an.
  • Beim Schließen von Teilmodellen werden nur noch die teilmodellspezifischen Formulare geschlossen. Formulare zur Darstellung der IT-Struktur und des Schutzbedarfs bleiben offen.
    Bausteine können jetzt nicht nur zwischen Teilmodellen kopiert, sondern auch verschoben werden; dabei werden die zugehörigen Verweise von Schutzprofilen automatisch aktualisiert.
  • Die Baustein-Beschreibung wurde um die Möglichkeit der Begründung für die Baustein-Auswahl (z.B. im Audit) ergänzt.
  • Die Consulting Edition von SAVe® erlaubt die Definition eines speziellen Audit-Teilmodells, das erweiterte Funktionen für ein Audit zum Grundschutz-Zertifikat verfügbar macht. Insbesondere ist damit ein direkter Vergleich zwischen den Ergebnissen des Basis-Sicherheitschecks und des Zertifikats-Audits möglich.
  • Die Verteilung der Bausteine auf die Teilmodelle kann jetzt angezeigt und als Bericht ausgegeben werden.
    SAVe® stellt jetzt zusätzliche Szenarien gemäß den Subtypen des GSTOOLs zur Verfügung, so dass eine dort definierte Modellierung in SAVe® leichter nachgebildet werden kann.
  • Durch die Definition von Schutzprofilen als Menge disjunkter Bausteine aus mehreren Teilmodellen ist eine direkte Zuordnung von Bausteinen zu Schutzobjekten und damit die genaue Dokumentation möglich, welche Maßnahmen für ein bestimmtes Schutzobjekt gelten.
  • Es stehen Funktionen zur Verfügung, mit denen die automatische Erzeugung von Schutzprofilen aus der Teilmodell-Zuordnung von IT-Systemen / Räumen sowie aus vorhandenen Teilmodellen, Szenarien und anderen Schutzprofilen ermöglicht wird.
  • Nach dem Laden eines Schutzprofils wirkt dieses als Auswertungsbereich für die Berichte des Basis-Sicherheitschecks. Damit lassen sich beliebige teilmodellübergreifende Berichte zur Maßnahmenumsetzung erzeugen.
  • Die Nutzung der erlaubten nicht umgesetzten Einzelmaßnahme bei der Berechnung der Anforderungen zur Zertifikatserfüllung wird jetzt in den Berichten zur Maßnahmenumsetzung explizit ausgewiesen.
  • Bei der Maßnahmenerfassung wird das Mausrad abgeschaltet, solange sich der Cursor im Unterformular befindet, um Synchronisationsproblemen zwischen Haupt- und Unterformular vorzubeugen.

 

Änderungen des Sicherheitsmodells

  • Gegenüber der Version V3.1-x ergeben sich verschiedene Änderungen des Sicherheitsmodells durch den Bezug auf eine neue Version des Grundschutzhandbuchs mit Stand November 2004.
  • Inhaltliche Änderungen einzelner Bausteine, Gefährdungen und Maßnahmen können durch Überprüfung der Textänderungen im Grundschutzhandbuch nachvollzogen werden.
  • Das Format der Benutzerdaten wird beim ersten Zugriff durch die Version V3.2 von SAVe® automatisch aktualisiert.
Home RedBox Event Pool Risk Management Consultant QS/QM/KM/RE Software-Entwickler Produkt-/Projektmanager Systemingenieur/-entwickler Seniorberater IT-Sicherheit IT-Sicherheitsberater SW-Entwickler/Systemintegrator Netzwerk Ingenieur SAVe® V3.0 SAVe® V3.1 SAVe® V3.2 hiview®
© 2012 INFODAS - Gesellschaft für Systementwicklung und Informationsverarbeitung mbH