IT Security IT Systems IT Services Unternehmen
blaues 0/1-MusterINFODAS GmbH
Home
Gesellschaft für Systementwicklung und Informationsverarbeitung mbH

Versionsinformationen SAVe® V4.2

Version V4.2-2 (Rev4.2.2.82) vom 12.07.2010

 

Korrekturen/Erweiterungen gegenüber der Version V4.2 (Rev 4.2.1.60)

  • SAVe® Version V4.2-2 basiert auf dem Datenbestand der Grundschutz-Kataloge von 2009. Die Benutzerdaten und benutzerspezifischen permanenten und temporären Erweiterungen können ohne Änderung ihres Formats sowohl mit dieser Version als auch optional mit den früheren Versionen von 2008, 2007, 2006 oder 2005 bearbeitet werden.
  • Einige Listenformulare und das Formular zum Zusammenführen der Daten zur Maßnahmenumsetzung aus verschiedenen Teilmodellen lassen sich in ihrer Größe verändern, um die Fläche großer Bildschirme besser auszunutzen. Der Aufbau der Formulare wird dabei automatisch angepasst.
  • Übersichtsformulare werden jetzt in einer Form dargestellt, die zusätzliche Bearbeitungs- und Handhabungsmöglichkeiten bietet. So lassen sich die Höhe der Zeilen und die Breite und Reihenfolge der Spalten anpassen, und es können zusätzliche Spalten hinzugefügt bzw. existierende Spalten entfernt werden. Weiterhin ist es möglich, Datenwerte in den betreffenden Formularen direkt oder durch Aufruf weiterer Formulare über Kontextmenüs zu bearbeiten. Die Formulare können nach temporären Filtern auf ausgewählte Datenwerte eingeschränkt werden, und es ist möglich, nach Datenwerte in den Formularen zu suchen.
  • Das Formular zum Kopieren von Bausteinen in das aktuelle Teilmodell erlaubt jetzt die Auswahl mehrerer Bausteine für die Kopier-Operation.
  • Die in ein Teilmodell zu kopierenden Bausteine können nicht mehr nur aus einem anderen Teilmodell, sondern auch aus einem Schutzprofil ausgewählt werden.
  • Für das Kopieren in ein Audit-Teilmodell kann aus jeder Schicht der Grundschutz-Modellierung ein Baustein zufällig ausgewählt werden, wie dies im Prüfschema für Zertifizierungs-Audits gefordert ist. Zusätzlich wird immer der Pflichtbaustein B 1.0 mit der Zufallsauswahl kopiert.
  • Falls die Bausteine eines Audit-Teilmodells aus verschiedenen Modell-Datenbanken zusammengefasst wurden, können die Referenzen auf den zugrundeliegenden Basis-Sicherheitscheck explizit manuell gesetzt werden.
  • Die Anzahl der Kategorien zur Beschreibung des Schutzbedarfs und der Prozessprioritäten kann jetzt wahlweise auf 4 erhöht werden.
  • Der Algorithmus zur Risikobewertung kann zwischen linear, quadratisch und logarithmisch umgeschaltet werden, wobei die voreingestellten Werte für die Grenzen zwischen tragbaren und nicht tragbaren Risiken und die Namen der Standard-Kategorien entsprechend angepasst werden. Die Basis zur Berechnung des Risiko-Index kann dabei wahlweise auf 0 oder 1 gesetzt werden.
 

Änderungen des Sicherheitsmodells

  • Daten der Version V4.2-1 können ohne Änderungen weiter verwendet werden; das Datenformat der Version V4.2-2 ist identisch mit dem der Versionen V4.2 und V4.2-1.
    SAVe® V4.2-2 kann gemeinsam mit bereits installierten, früheren SAVe®-Versionen (V3.0-x, V3.1-x, V3.2-x, V4.0-x und V4.1-x) betrieben werden. Dabei muss für die Version V4.2-2 ein anderes Installationsverzeichnis als für die vorherigen Versionen verwendet werden; bei Installation im gleichen Verzeichnis wird die frühere Version überschrieben.

Version V4.2-1 (Rev4.2.1.60) vom 30.09.2009

 

Korrekturen/Erweiterungen gegenüber der Version V4.2 (Rev 4.2.0.48)

  • Bei der Erzeugung einer neuen Modell-Datenbank kann der voreingestellte Name "Modell" jetzt durch einen eigenen Namen ersetzt werden. Dabei wird der angebotene Name der Datenbank-Datei aus diesem selbst definierten Namen abgeleitet. Der gewählte Name kann nachträglich nicht mehr verändert werden.
  • Die Bezeichnungen für die Sicherheitsniveaus können von der Vorgabe "normal", "hoch" und "sehr hoch" des Grundschutzes auf eigene Bezeichnungen geändert werden. Es ist möglich, diese eigenen Bezeichnungen temporär durch die Standard-Bezeichnungen zu ersetzen und sie nachträglich wieder zu rekonstruieren.
  • Beim Import von Tabellen kann optional eine automatische Anpassung der Primärschlüssel erfolgen, um auch solche Datensätze zu importieren, deren Primärschlüsselwerte schon belegt sind.
  • Bei Auswahl der Texte zur Festlegung des Typs eines Zielobjekts können optional die Texte aus den Namen aller in SAVe® definierten Szenarien gewählt werden, nicht nur aus denen der betreffenden Art des Zielobjekts.
  • Die ausgewählten Bausteine können jetzt auch ohne geladene Teilmodelle und für geladene Schutzprofile angezeigt werden; dabei wird jeweils das zum Baustein gehörende Teilmodell angezeigt, wenn aktuell kein Teilmodell geladen ist.
  • Zur vereinfachten Übernahme der Texte zur Umsetzung der Schutzmaßnahmen steht jetzt ein Formular zur Verfügung, das diese Texte aus den schon in anderen Teilmodellen und Bausteinen gespeicherten äquivalenten Maßnahmen darstellt und es erlaubt, sie in die aktuelle Maßnahme zu übernehmen. Optional können damit auch die Daten zu den zugeordneten Kontroll- bzw. Prüffragen übernommen werden.
  • Zur Durchführung einer klassischen Risikoanalyse können zu jedem Risiko die erwartete Schadenshöhe und die Eintrittswahrscheinlichkeit erfasst und über einen daraus berechneten Risiko-Index bewertet werden.
  • Bei Risiken, für die die Umsetzung zusätzlicher Maßnahmen festgelegt wurde, können als erste Risikoliste alle zugeordneten defizitären Maßnahmen als erster Vorschlag für die noch umzusetzenden Maßnahmen eingetragen werden.
  • Vorhandene Bausteine des Grundschutzes und selbst definierte Bausteine können zusammen mit den zugeordneten Maßnahmen und Gefährdungen und ggf. auch mit den dazu erfassten Daten zur Maßnahmenumsetzung als neue modellspezifische Bausteine dupliziert werden, die dann unabhängig von der ursprünglichen Bausteindefinition weiter bearbeitet und beliebig modifiziert werden können.
  • Bei der Erweiterung des Sicherheitsmodells wurden zusätzliche Möglichkeiten der Zuordnung von Bausteinen zu (selbst definierten oder im Grundschutz vorhandenen) Maßnahmen sowie der Zuordnung von Maßnahmen zu Gefährdungen zur Verfügung gestellt. Dabei ist es jetzt auch möglich, Gefährdungen einem Baustein zuzuordnen, ohne dass diesen Gefährdungen schon Maßnahmen zugeordnet wurden.
  • Die Zuordnungsformulare zur Erweiterung des Sicherheitsmodells können jetzt wahlweise auf die selbst definierten Maßnahmen und Gefährdungen eingeschränkt werden.
  • Die Formulare und Berichte zur Risikoanalyse können nach einer eventuell vorgenommenen Risiko-Bewertung gefiltert werden.
  • Die vorgegebenen Grenzen für tragbare und untragbare Risiken können bei Bedarf durch eigene Grenzwerte ersetzt werden.
  • Der bisherige Bericht Informationsverbünde und Zielobjekte, der auch die Zuordnung zu Teilmodellen enthielt, wurde in zwei Berichte aufgeteilt, um diese Zuordnungen überschaubarer darzustellen.
  • Die Möglichkeit der Definition spezieller Berichte mit eigenen Überschriften und vordefinierten Filterkriterien steht nur noch unter der Consulting-Lizenz zur Verfügung. Zum Aufruf vordefinierter Berichte genügt immer noch die Standard-Lizenz.
  • In den Assistenten kann jetzt jeder Befehl direkt zur Ausführung angewählt werden, so dass es nicht mehr erforderlich ist, den gesamten Assistenten zu durchlaufen, wenn eine bestimmte Befehlsfolge ausgeführt werden soll.
  • Bei Nutzung eines Assistenten kann dessen Formular durch Klicken auf ein Symbol der Symbolleiste in den Vordergrund geholt werden.
 

Änderungen des Sicherheitsmodells

  • Daten der Version V4.2 können ohne Änderungen weiter verwendet werden; das Datenformat der Version V4.2-1 ist identisch mit dem der Version V4.2.
    SAVe® V4.2-1 kann gemeinsam mit bereits installierten, früheren SAVe®-Versionen (V3.0-x, V3.1-x, V3.2-x, V4.0-x und V4.1-x) betrieben werden. Dabei muss für die Version V4.2-1 ein anderes Installationsverzeichnis als für die vorherigen Versionen verwendet werden; bei Installation im gleichen Verzeichnis wird die frühere Version überschrieben.

Version V4.2 (Rev 4.2.0.45) vom 27.05.2009

 

Korrekturen/Erweiterungen gegenüber der Version V4.1-3 (Rev 4.1.3.66)

  • Die dem Benutzer zur Verfügung gestellte Funktionalität kann durch Auswahl eines Standardmodus bzw. Expertenmodus eingeschränkt bzw. erweitert werden. Damit ist es möglich, unerfahrene Benutzer gegen die Komplexität des Werkzeugs abzuschirmen.
  • Wenn auf dem Rechner, auf dem SAVe® installiert ist, kein Benutzer mit Zugriffsrechten auf eine Modell-Datenbanken vorhanden ist, kann diese Datenbank mit expliziter Eingabe eines Benutzernamens und Passworts geöffnet werden. Voraussetzung dafür ist, dass der betreffenden Benutzerkennung in der Modell-Datenbank ein Passwort zugeordnet wurde; die Sicherheit der Datenbank bleibt damit gewährleistet.
  • Modellspezifische Erweiterungen werden jetzt direkt in der Modell-Datenbank abgespeichert. Dadurch werden mögliche Fehler im Handling komplexer, selbst definierter Strukturen vermieden. Eine zusätzliche Exportfunktion ermöglicht die Übertragung derartiger Erweiterungen in andere Modell-Datenbanken und erlaubt so die zentrale Bereitstellung von Vorgaben für mehrere Sicherheitskonzepte. Optional können modellspezifische Erweiterungen bei ihrem Export gelöscht werden.
  • Die Bedienung der Erfassungsformulare bei Eingabe einer neuen Kennung eines zu erfassenden Elements wurde vereinfacht und intuitiver gestaltet.
  • Zur Unterstützung der Notfallvorsorge wurden gemäß BSI-Standard 100-4 Prozesse und Teilprozesse als zusätzlicher Zielobjekttyp bereitgestellt. Durch deren Verknüpfung mit Anwendungen ist es möglich, die für die Notfallvorsorge geforderte Kritikalität der IT für die Durchführung der Geschäftsprozesse zu dokumentieren und zu analysieren. Durch die Möglichkeit der Definition mehrerer Informationsverbünde und der Zuordnung von Prozessen zu diesen Informationsverbünden lassen sich komplexe Notfall-Szenarien strukturieren.
  • Eine bessere Konformität zum BSI-Standard 100-2 wird dadurch erreicht, dass die Schutzstufen "niedrig" und "mittel" zu der einen Stufe "normal" zusammengefasst wurden. (Methodisch ist dies zwar Unfug und führt zu Informationsverlust, aber weil der Standard 100-2 die Schutzstufen in dieser Form zusammenfasst, wurde diese Vereinfachung gemacht.) Die Behandlung undefinierter, noch nicht erfassbarer Schutzanforderungen wurde in den Erfassungsformularen optisch gegenüber der Erfassung von Schutzstufen abgesetzt.
  • Die - zu Recht - als zu kompliziert empfundene Modellierung, insbesondere hinsichtlich der Verwendung von Schutzprofilen, wurde durch Einführung einer Reihe von Automatismen und Hilfefunktionen deutlich vereinfacht.
    • So wurde eine Funktion zum Verschieben von Bausteinen aus dem aktuellen Teilmodell in andere Teilmodelle zur Verfügung gestellt, was die nachträgliche Anpassung der Modellierung vereinfacht.
    • Bei der Zuweisung neuer Bausteine zu Schutzprofilen, z.B. bei Anwendung von Szenarien auf Schutzprofile, werden diese automatisch zu Teilmodellen zugeordnet und/oder aktiviert, sofern dies erforderlich ist.
    • Die Auswahl mehrfach vorhandener Bausteine bei Schutzprofildefinition wurde vereinfacht und übersichtlicher gestaltet.
    • Ein Assistent zur automatischen Schutzprofildefinition für alle Zielobjekte entlastet den Benutzer von mehrfach durchzuführenden Operationen.
    • Zusätzlich wurde ein Assistent zur Verfügung gestellt, der durch die Schritte zur Modellierung und Risikoanalyse führt.
  • Es ist damit jetzt möglich, eine korrekte und detaillierte Modellierung weitgehend automatisch und mit nur geringen manuellen Anpassungen durchzuführen. Mit diesen Funktionen erfolgen die Generierung und Auswahl der Schutzprofile sowie die Zuordnung von Bausteinen zu Teilmodellen jetzt ohne die frühere Notwendigkeit vorheriger aufwendiger Planung; dabei konnte die bisherige Funktionalität im vollen Umfang erhalten bleiben.
  • Neue Analysefunktionen für die Prozesszuordnung zu Anwendungen und Subprozessen sowie zusätzliche Berichte stellen die erweiterte Funktionalität auch für Auswertungen zur Verfügung.
  • Es ist jetzt möglich, eigene Berichte auf Basis der vordefinierten Berichte zu erzeugen, die mit eigenen Überschriften und vordefinierten Filtern generiert werden.
  • Die in Berichten standardmäßig angezeigten Berichtsnummern können optional unterdrückt werden.
  • Falls mehrere Erweiterungen geladen wurden, ist es jetzt möglich, einzelne dieser Erweiterungen zu entladen, während bisher nur alle Erweiterungen zusammen entladen werden konnten.
  • Die Version V4.2 nutzt die Lizenz der Vorversion; es ist damit möglich, ohne Installation einer neuen Lizenz direkt auf diese Version zu aktualisieren.
 

Änderungen des Sicherheitsmodells

  • Neben den funktionalen Änderungen ergeben sich verschiedene Änderungen des Sicherheitsmodells durch den Bezug auf eine neue Version der Grundschutz-Kataloge mit Stand 2008. Inhaltliche Ände-rungen einzelner Bausteine, Gefährdungen und Maßnahmen können durch Überprüfung der Textänderungen in den Grundschutz-Katalogen nachvollzogen werden.

    Daten der Versionen V4.1-x werden beim ersten Zugriff automatisch in das Format der Version V4.2 konvertiert. Daten der Version V4.2 können mit den Vorversionen nicht bearbeitet werden.

    Eine Aktualisierung früherer Versionen von SAVe® auf die Version V4.2 ist nicht vorgesehen; um diese Version zu nutzen, ist eine Neu-Installation erforderlich.

    SAVe® V4.2 kann gemeinsam mit bereits installierten, früheren SAVe®-Versionen (V3.0-x, V3.1-x, V3.2-x, V4.0-x und V4.1-x) betrieben werden. Dabei muss für die Version V4.2 ein anderes Installationsverzeichnis als für die vorherigen Versionen verwendet werden; bei Installation im gleichen Verzeichnis wird die frühere Version überschrieben.
SAVe® Versionsinformationen SAVe® V4.2 SAVe® V4.1 SAVe® V4.0 Service Releases Dokumentation FAQ Download Testversion SDoT RSGate® IT-Grundschutz Datenschutz & Datensicherheit Vorträge und Publikationen Success Stories Referenzen Partnerschaften
© 2012 INFODAS - Gesellschaft für Systementwicklung und Informationsverarbeitung mbH