IT Security IT Systems IT Services Unternehmen
blaues 0/1-MusterINFODAS GmbH
Home
Gesellschaft für Systementwicklung und Informationsverarbeitung mbH

Versionsinformationen SAVe® V4.0

Version V4.0-2 (Rev 4.0.2.46) vom 20.12.2006

 

Korrekturen/Erweiterungen gegenüber der Version V4.0-1 (Rev 4.0.1.28)

  • In den Formularen zur Berechnung abhängigen Schutzbedarfs erlaubt eine zusätzliche Schaltfläche das Zurücksetzen der Schutzanforderungen des gerade angezeigten Zielobjekts, die über das Maximum-Prinzip berechnet wurden, auf den Wert ?undefiniert?.
  • Bei der Erfassung der IT-Systeme werden die schon erfassten Räume als zusätzliche Auswahlmöglichkeit für den Aufstellungsort angeboten.
  • Outlook und Excel werden jetzt dynamisch ohne expliziten Verweis in VBA eingebunden. In Systemen, auf denen eines dieser Produkte nicht installiert ist, konnten in früheren Versionen von SAVe® durch die Verweise auf nicht existierende COM-Objekte obskure Fehler auftreten; dies ist damit jetzt behoben.
  • Das Prüfschema für Auditoren fordert für die Verifikation des Basis-Sicherheitschecks die zufällige Auswahl von je einem Baustein aus jeder Schicht des Grundschutzmodells. SAVe® bietet jetzt eine Funktion zur zufälligen Auswahl dieser Bausteine an.
  • Schutzprofile können jetzt auch über das Kombinationsfeld in der Symbolleiste ausgewählt und geöffnet werden.
  • Es wurde eine zusätzliche Funktion zur Anzeige der Schutzprofile bereitgestellt, die ausgewählte Bausteine referenzieren.
  • Im Formular zur Beschreibung der Bausteine des Basis-Sicherheitschecks können jetzt die Standard-Texte des BSI zur Begründung der Bausteinauswahl in die Daten kopiert werden.
  • Bei der Definition von Risiken können die Zielobjekte angezeigt werden, auf die sich das zugeordnete Schutzprofil bezieht.
  • Im Optionsformular kann ein optionaler benutzerdefinierbarer Titel definiert werden, der dann als erste Zeile auf der Titelseite aller Berichte ausgegeben wird.
  • Die Fußzeile der Berichte wurde informativer gestaltet.
  • Das Formular zur Definition von Filtern wurde in Registerkarten aufgeteilt, um es übersichtlicher zu gestalten.
  • Bei der Filterung nach Bausteinen können jetzt beliebig lange Bausteinlisten angegeben werden; die Einschränkung auf maximal 4 Bausteine wurde aufgehoben.
  • Berichte können jetzt auch nach Maßnahmenkatalogen gefiltert werden, so dass es beispielsweise möglich ist, nur die organisatorischen Maßnahmen in einem Bericht auszugeben.
  • Die Filterung nach dem Gültigkeitsbereich der Maßnahmen (Grundschutz bzw. Erweiterungen) wirkt jetzt auch auf die Zuordnungsformulare zur Sicherheitsanalyse.
  • Berichte und das Übersichtsformular zur Risikoanalyse sowie das Formular zur Risikobewertung können jetzt auch nach Risikoklassen und Gefährdungskatalogen gefiltert werden.
  • Ein Berichte-Manager ermöglicht die Festlegung einer Reihe zusammen zu erzeugender Berichte; diese vorausgewählten Berichte können dann mit einem einzigen Kommando generiert und ausgegeben werden.
  • Die Daten zu den Maßnahmen und Kontrollfragen, die wegen der Umstrukturierung des Grundschutzes keinen Bausteinen mehr zugeordnet sind, können aus dem aktiven Teilmodell gelöscht werden; dies ist zweckmäßig, wenn diese Daten im Rahmen der Konsolidierung in andere Bausteine übernommen worden sind.
 

Änderungen des Sicherheitsmodells

  • Daten der Versionen V4.0 und V4.0-1 können ohne Änderungen weiter verwendet werden; das Datenformat der Version V4.0-2 ist identisch mit dem der Versionen V4.0 und V4.0-1.

Version V4.0-1 (Rev 4.0.1.27) vom 29.08.2006

 

Korrekturen/Erweiterungen gegenüber der Version V4.0 (Rev 4.0.0.10)

  • Die bisherige Abbildung der Grundschutzmaßnahmen auf den britischen Standard BS7799 wurde durch eine Abbildung auf den jetzt für den Grundschutz geltenden Standard ISO 27001 (zusammen mit ISO 17799) ersetzt. Das entsprechende Formular und die zugeordneten Berichte wurden entsprechend angepasst.
  • In der Übersicht der in einer Modell-Datenbank definierten Benutzer wird jetzt, sofern ein Benutzer am Modell angemeldet ist, der Name des Rechners angezeigt, von dem aus diese Anmeldung erfolgt ist, so dass erkennbar ist, ob zu einem Zeitpunkt auch noch andere Benutzer mit dieser Modell-Datenbank arbeiten.
  • Es ist jetzt möglich, die Risiken anzuzeigen, die im Rahmen der ergänzenden Analyse den einzelnen Zielobjekten zugeordnet wurden.
  • Mit der neu geschaffenen Möglichkeit der Zuordnung von Zielobjekten zu Schutzprofilen kann diese Zuordnung jetzt auch in umgekehrter Richtung wie bisher erfolgen.
  • Die Antworten auf die Kontrollfragen können in die Beschreibung der Maßnahmenumsetzung übernommen werden. Damit wird die Zusammenstellung einer übergreifenden Bewertung für die betreffenden Maßnahmen erleichtert.
  • Eine zusätzliche Analysefunktion erlaubt die Darstellung der Zusammenhänge zwischen Schutzprofilen, Zielobjekten und Maßnahmen.
  • Die ergänzende Sicherheitsanalyse wird durch zusätzliche Berichte unterstützt, in denen die Kritikalität der Zielobjekte sowie die den Zielobjekten zugeordneten Bausteine dargestellt werden.
  • Die Umsetzung der einzelnen Abschnitte der Norm ISO 27001 kann jetzt graphisch in ähnlicher Weise wie die Umsetzung der Grundschutz-Bausteine in einem entsprechenden Bericht dargestellt werden.
  • Die Erfassungs- und Listenformulare zur IT-Strukturanalyse können jetzt nach den Eigenschaften der Zielobjekte, nach ihrem Schutzbedarf und nach dem Änderungsstatus gefiltert werden.
  • Es steht jetzt ein eigener Menübefehl zur Anforderung eines Lizenzschlüssels zur Verfügung.
  • SAVe® ist jetzt in der Lage, die von Adobe Acrobat 7.0 über PDFMaker beim Start von Access erzeugten Fehlermeldungen zu unterdrücken.
 

Änderungen des Sicherheitsmodells

  • Daten der Version V4.0 können ohne Änderungen weiter verwendet werden; das Datenformat der Version V4.0-1 ist identisch mit dem der Version V4.0.

Version V4.0 (Rev 4.0.0.9) vom 12.04.2006

 

Korrekturen/Erweiterungen gegenüber der Version V3.2-2 (Rev 3.2.2.80)

  • SAVe® Version V4.0 basiert auf dem Datenbestand des Grundschutzhandbuchs 2005 mit neuer Struktur der Bausteinverteilung auf die Schichten des Grundschutzmodells und mit neuer Zuordnung der Maßnahmen und Gefährdungen zu den Bausteinen. Auch die internen Tabellen wurden auf die neue Bausteinstruktur umgestellt.
  • Die Benutzerdaten und benutzerspezifischen permanenten und temporären Erweiterungen werden beim erstmaligen Zugriff automatisch in die neue Handbuchstruktur konvertiert. Benutzerdaten der militärischen Erweiterung von SAVe® werden dabei in gewöhnliche Modell-Datenbanken umgewandelt, so dass jetzt militärische und normale Modell-Datenbanken zueinander kompatibel sind.
  • Die bisher als spezielle Version von SAVe® angebotene militärische Erweiterung wird jetzt als normale permanente Erweiterung mit Entlademöglichkeit der Tabellen eingebunden. Eine eigene militärische Version der Datenbank ist damit überflüssig geworden.
  • Die zur Erleichterung der Modellierung angebotenen Szenarien wurden ergänzt und erweitert.
  • Die Menüs zur Sicherheitsanalyse wurden neu organisiert, um die Funktionen zur ergänzenden Sicherheitsanalyse und Risikoanalyse logisch stärker zusammenzufassen und auf diese Weise die Erweiterung des Grundschutzes gemäß BSI-Standard 100-3 besser zu unterstützen.
  • Die bisher als ?Schutzobjekte? bezeichneten Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen wurden in Zielobjekte umbenannt. Ebenso wurden die Prüffragen / Prüflisten zur Maßnahmenumsetzung in Kontrollfragen umbenannt, um eine bessere Angleichung an die Terminologie des Grundschutzes zu gewährleisten.
  • Für alle Zielobjekte kann spezifiziert werden, ob sie einer ergänzenden Sicherheitsanalyse zu unterziehen sind. Als Hilfe für diese Entscheidung wird jeweils angezeigt, ob sich aus den Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit und ggf. Verbindlichkeit ein erhöhter Schutzbedarf ergibt.
  • Für Anwendungen können zusätzlich Daten zu den verarbeiteten Informationen erfasst werden.
  • Daten zu den Anforderungen zur Verbindlichkeit werden nur noch dann in den Berichten ausgegeben, wenn Informationen zu diesem Schutzziel erfasst wurden.
  • Schutzprofile können jetzt direkt, unter Zuhilfenahme von Szenarien, aus den Formularen zur Erfassung von Zielobjekten erzeugt bzw. zugeordnet werden.
  • In der Risikoanalyse können die zugeordneten Bausteine bei der Maßnahmenbewertung dargestellt werden, und die Risiken können durch ein zusätzliches Beschreibungsfeld genauer erläutert werden.
  • Das Formular zur Erfassung der Antworten auf die Kontrollfragen kann jetzt direkt aus dem Erfassungsformular zur Maßnahmenumsetzung aufgerufen werden.
  • Bei temporären Erweiterungen des Sicherheitsmodells werden jetzt eigene Verweise auf Dokumentationsdateien gesetzt, so dass keine Namenskollisionen mehr mit den Namen der Grundschutzdateien auftreten.
  • In der Übersicht der Teilmodelle wird bei zum Schreiben geöffneten Teilmodellen neben dem Benutzernamen jetzt auch die Kennung des Rechners angezeigt, von dem aus der Zugriff erfolgt.
  • Das Formular zur Definition von Filtern ist jetzt direkt aus der Symbolleiste aufrufbar.
  • Berichte können nach einer Reihe weiterer Merkmale gefiltert werden: nach zusätzlichen, für das Grundschutz-Zertifikat nicht geforderten Maßnahmen, nach Lebenszyklusphasen und Umsetzungsstatus der Maßnahmen und nach der Notwendigkeit der erweiterten Sicherheitsanalyse. In den Berichten zur Risikoanalyse können die den Risiken zugeordneten Maßnahmen nach Zertifikatsstufen gefiltert werden, und die Schutzprofile lassen sich in der Risikoanalyse nach den Zielobjekten filtern, die für eine ergänzende Sicherheitsanalyse vorgesehen sind.
  • Ein eigener für die Umstellung der Grundschutzstruktur vorgesehener Bericht gibt Daten zur Umsetzung ?verwaister? Maßnahmen aus, also solcher Maßnahmen, die jetzt den Bausteinen nicht mehr zugeordnet sind, zu denen ursprünglich Daten erfasst wurden. Mit Hilfe der Kopierfunktion bei der Maßnahmenerfassung lassen sich diese Daten dann in die Bausteine übernehmen, denen die Maßnahmen jetzt zugeordnet sind.
  • Zusätzliche Berichte zur Risikoanalyse zeigen die den Risiken der Zielobjekte zugeordneten Maßnahmen sowie die definierten Schutzprofile und die ihnen zugeordneten Zielobjekte an.
  • Der Konverter vom GSTOOL wurde an die neue Baustein-Struktur angepasst, so dass von dort übernommene Daten gemäß dem jetzigen Aufbau des Grundschutzes bearbeitet werden können. Die Konversion wurde so erweitert, dass sie auch die Daten zu den verarbeitenden Informationen bei Anwendungen mit übernimmt.

 

Änderungen des Sicherheitsmodells

  • Neben den funktionalen Änderungen ergeben sich grundlegende Änderungen des Sicherheitsmodells durch den Bezug auf eine neue Version des Grundschutzhandbuchs mit Stand 2005. Inhaltliche Änderungen einzelner Bausteine, Gefährdungen und Maßnahmen können durch Überprüfung der Textänderungen im Grundschutzhandbuch nachvollzogen werden. Das Format der Benutzerdaten wird beim ersten Zugriff durch die Version V4.0 von SAVe® automatisch aktualisiert.
SAVe® Versionsinformationen SAVe® V4.2 SAVe® V4.1 SAVe® V4.0 Service Releases Dokumentation FAQ Download Testversion SDoT RSGate® IT-Grundschutz Datenschutz & Datensicherheit Vorträge und Publikationen Success Stories Referenzen Partnerschaften
© 2012 INFODAS - Gesellschaft für Systementwicklung und Informationsverarbeitung mbH