@Michael-Huhn
Oh, vielen Dank
ich habe das mir angeschaut und stelle fest, dass (die einzig verwertbare) Variante jene ist, die eine CSV Datei auswirft.. aber.....
Wünschenswert wäre doch beispielsweise ein Dokument (als revisionssicheres) als PDF, auf dem die folgenden Angaben mit enthalten sind:
Name des Erstellers
Programmversion
Datum
Verbundname
dann die Auflistung der Objekte | Schutzgrad Bestimmung
Kam zu keiner Zeit der Wunsch (meiner) Kollegen Auditoren auf, dass so abzuliefern?
@Michael-Huhn
Ja aber das hier Beschriebene, können wir seit 30 Jahren selbst, wollen nur die Berichte erstellen
"becon bereitet Sie auf Audits nach ISO/IEC 27001 und IT-Grundschutz nach BSI vor, analysiert Ihre IT, ermittelt Schwachstellen, entwickelt Security Blueprints anhand des ermittelten Sicherheitsbedarfs und setzt diese um."
@Michael-Huhn
nein , leider überhaupt nicht.
das habe ich schon lange durchgelesen.
Es wäre sehr hilfreich wieder ein Bedienerhandbuch bereitzustellen, wie wir das zwischen 1992 - 2010 als Softwareentwickler (auch) getan haben, damit keine Fragen mehr auftreten.
Das dort Gesehene ist weder didaktisch noch inhaltlich konstruiert, dass es Algorithmen liefert, es bricht irgendwann mittendrin ab, statt "traditionell" zum Ziel zu leiten:
Wo bin ich
was will ich
wie gehe ich vor
wie schaut das Ergebnis aus
das dort Gezeigte zeigt es nicht.
leider.
Zeige mir die Schutzgrade
Zeige mir für den Auditor (bis selbst einer und bildete diese zudem aus) das ERWARTETE und das schön so dargestellt, dass er nicht suchen muss:
Hierzu die zu erwartende Darstellung, wie diese die ExcelDatei "Liste der Referenzdokumente zu Auditbericht: BSI-IGZ-xxxx" benennt:
Report: zum Beispiel "Report Liste der IT-Systeme"
Strukturanalyse
Abgrenzung des Informationsverbunds
Bereinigter Netzplan
Liste der Geschäftsprozesse
Liste der Anwendungen
Liste der IT-Systeme
Liste der Räume, Gebäude und Standorte
Liste der Kommunikationsverbindungen
Liste der Dienstleister
Schutzbedarfsfeststellung
Definition der Schutzbedarfskategorien
Schutzbedarf der Geschäftsprozesse
Schutzbedarf der Anwendungen
Schutzbedarf der IT-Systeme
Schutzbedarf der Räume, Gebäude und Standorte
Schutzbedarf der Kommunikationsverbindungen
Modellierung
Auflistung aller Bausteine im Informationsverbund
Auflistung aller Bausteine bei den externen Dienstleistern
Ergebnis des IT-Grundschutz-Check
Risikoanalyse
Realisierungsplan (Risikobehandlungsplan)
Quelle:
Liste_Referenzdokumente_Auditbericht_Kompendium.xlsx
früher UA-Bericht (BSI)
Was erhalte ich für ein Report von i-doit: "250424-idoit-report-report_it_grundschutz_check.pdf"
Vielen Dank
@Michael-Huhn
die Analyse (mit dem selben Ergebnis) am 5.Mai25 8 Uhr
TBR-ZOG-einfRaum-m-Patientenbetrieb (SG hoch)
Allgemein
ISMS
IT-Grundschutz (Zielobjekte)
Informationsverbünde
IT-Grundschutz (Zielobjekte)
IT-Grundschutz-Check
Klassifikation von Informationen
Schutzbedarf
Zugeordnete Bausteine
Zugwiesene Anforderungen
Zugwiesene Gefährdungen
Kontaktzuweisung
Ablauf:
In der Kontaktzuweisung sind Personen eingetragen
dann geht man auf "IT-Grundschutz-Check" und dort beispielsweise "INF.7 Büroarbeitsplatz" und auf eine Maßnahme.
("Aktion") und im Formularbereich auf "Verantwortung" und es wird mal der eine, mal ein anderer (von den beiden eingetragenen Namen) aber auch mal beide Namen angezeigt.
Gehe ich unter "Zugeordnete Bausteine", dann habe ich dort die beiden Personen (dem Verbund zugeordnet) für den jeweiligen Baustein (hier Verkabelung und Büroarbeitsplatz) vorab zugewiesen.
Dennoch funktioniert das nicht.
Fragestellungen die in i-doit aufgetreten sind:
"i-doit Grundschutz "Verantwortung" hinzufügen"
Ein Klick auf das Stift-Icon öffnet die Bearbeitungsmaske, um den Stand der Umsetzung dieser Anforderung zu dokumentieren. In dem Feld „Verantwortung“ können nur Einträge hinzugefügt werden, die in der Kontaktzuweisung des zugehörigen Bausteins eingetragen sind
und genau das ist nämlich falsch!
In dem Feld „Verantwortung“ können nur Einträge hinzugefügt werden, die in der Kontaktzuweisung des zugehörigen Bausteins eingetragen sind.
Das Folgende passiert:
unter Kontaktzuweisung sind sehr wohl die Personen eingetragen (gründlich wie ich bin, trug ich diese ein)
Nun kommt es zu diesem "Phänomen":
möchte ich unter "Grundschutz-Check" die Maßnahmen nach und nach abarbeiten, die ja am Objekt hängen, dann kann man mal die eine Maßnahme mit einer Person versehen, urplötzlich (viele) andere Maßnahmen gestatten weder die zusätzliche Eingabe noch das gleiche Prozedere wie bei der anderen Maßnahmen eben nicht.
Ich gehe von einem Software-Defekt aus.
Nachvollziehbar ist das jedenfalls nicht.
Das passiert bei allen Objekten, bei denen der Bereich "Grundschutz-Check" bearbeitet werden muss.
Weiterhin:
Ein Bericht, der die "Schutzgrade" (für die jeweiligen Objekte) ausgibt, finde ich auch nicht....
@LFischer Vielen Dank. Ich gebe es so dann weiter. Es sind nämlich extrem anspruchsvolle (Architekten-Risse), die viel anzeigen müssen.
Also: PNG
"Report: IT-Grundschutz-Check"
Wählt man (beispielsweise "Baustein" aus), dann ändern sich nicht die Darstellungen.
Und beispielsweise: finde ich nicht zu erstellen
2. Zeige mir alle Objekte [Räume], die den Schutzgrad "hoch" im Verbund [Name] haben
und
"IS0 27001-Maßnahme Anhang A"
finde ich nicht. Es wird alles zusammen gezeigt.
Grundsätzlich ist das Layout mehr als verbesserungswürdig, wie ich finde.
Es wäre gut, wenn man die Reports im Layout selbst verändern kann.
Es wäre gut, wenn man unter "Reports" sich - selbsterschließend (!) - IT-Grundschutz und ISMS und B3S Reports zusammenstellen kann.
Oder ist das Feld IT GS und ISMS nur eine Randnotiz, die eher nicht beachtet wird, weil die nicht genutzt wird?
Der folgende Sachverhalt:
das Feld "Verantwortung" soll mit einer Person versehen werden.
Analyseergebnisse:
Es können scheinbar keine Personen (oder EINE Person) unter "Verantwortung" angenommen werden.
Addons: Raumpläne. KEIN Import von brauchbarer Auflösung möglich (bsp als PDF oder SVG)
Guten Morgen in die nette Runde,
wir haben hier hochqualitative Raumzeichnungen (Architektenzeichnungen) als PDF vorliegen.
Aber das Programm erlaubt uns nur (minderwertige) Dateiformate wie gif, jpeg, bmp zu laden.
Sinnführend wäre PDF oder (besser) SVG.
Thema:
Ein "reales" Objekt über "Typ"-Bezeichnungen in eine vorhandene Zielobjektgruppe (IT-Grundschutz) überführen ?
Liebe Kollegen
vielleicht ist es ja nur eine "fixe Idee", aber fragen kann man ja 
Über die Eigenschaft ein "reales objekt" (welches in der "Infrastruktur" erfasst wurde) möchte in ein erstelltes ZOG (Zielobjektgruppe im Bereich IT-Grundschutz) automatisch überführt / eingetragen werden, ohne das man es selber machen muss (über den Objektbrowser)
Beispiel:
das reale Objekt "Raum mit der Eigenschaft X"
geht automatisch das reale Objekt mit der Eigenschaft X in die ZOG, die die Eigenschaft X besitzt.
Ziel:
Die (realen) Objekte können somit automatisch in den IT-Grundschutz überführt werden, über die Funktion "Eigenschaft"
Der Raum-"Typ" ändert sich, dann gehen diese dann automatisch in ein anderes ZOG bzw löschen sich, wenn die Eigenschaft nicht mehr vorhanden ist.
Beispiel
der Raum ist von Typ "Dienstzimmer".
Dieser Typ "Dienstzimmer" sollte nun ... auch die ZOG erhalten und wenn dass so ist, dann wird das reale Objekt mit dem gleichnamigen Typ "Dienstzimmer" automatisch in das ZOG zugeordnet.
Altenativ könnte man auch über einen Textbereich... mittels "Eigenschaften" der Objekte. das anstoßen:
Zeige alle Objekte mit der Angabe XYZ und führe diese in das ZOG mit der im Textbereich aufgeführten Angabe XYZ über..
oder bleibt es beim händischen Überführen/Zuweisen von realen Objekten in die ZOG des IT-Grundschutzes über die Methodik:
Aufgabe: ein real erfasstes Objekt (hier RAUM) einer erstellten Zielobjektgruppe (unterordnen) zuweisen.
Menü "IT-Grundschutz"
Zielobjektgruppe (15)
gehe auf "Dienstzimmer"-Büro mit Doppelklick
gehe auf "Objektgruppe"
oben auf "Hinzufügen"
wähle im DROPDOWN durch "hinzufügen" den Raum aus. Gehe auf "Übernehmen"