RE: Reporte, Reporte, Reporte [ISMS und IT_Grundschutz] detaillierte separierte Möglichkeiten nicht vorhanden? (Filter-Funktion arbeitet nicht?)

@Michael-Huhn
Oh, vielen Dank
ich habe das mir angeschaut und stelle fest, dass (die einzig verwertbare) Variante jene ist, die eine CSV Datei auswirft.. aber.....

Wünschenswert wäre doch beispielsweise ein Dokument (als revisionssicheres) als PDF, auf dem die folgenden Angaben mit enthalten sind:
Name des Erstellers
Programmversion
Datum
Verbundname
dann die Auflistung der Objekte | Schutzgrad Bestimmung

Kam zu keiner Zeit der Wunsch (meiner) Kollegen Auditoren auf, dass so abzuliefern?

@Michael-Huhn
Ja aber das hier Beschriebene, können wir seit 30 Jahren selbst, wollen nur die Berichte erstellen

"becon bereitet Sie auf Audits nach ISO/IEC 27001 und IT-Grundschutz nach BSI vor, analysiert Ihre IT, ermittelt Schwachstellen, entwickelt Security Blueprints anhand des ermittelten Sicherheitsbedarfs und setzt diese um."

@Michael-Huhn
nein , leider überhaupt nicht.
das habe ich schon lange durchgelesen.
Es wäre sehr hilfreich wieder ein Bedienerhandbuch bereitzustellen, wie wir das zwischen 1992 - 2010 als Softwareentwickler (auch) getan haben, damit keine Fragen mehr auftreten.
Das dort Gesehene ist weder didaktisch noch inhaltlich konstruiert, dass es Algorithmen liefert, es bricht irgendwann mittendrin ab, statt "traditionell" zum Ziel zu leiten:

Wo bin ich
was will ich
wie gehe ich vor
wie schaut das Ergebnis aus

das dort Gezeigte zeigt es nicht.

leider.

Zeige mir die Schutzgrade
Zeige mir für den Auditor (bis selbst einer und bildete diese zudem aus) das ERWARTETE und das schön so dargestellt, dass er nicht suchen muss:

Hierzu die zu erwartende Darstellung, wie diese die ExcelDatei "Liste der Referenzdokumente zu Auditbericht: BSI-IGZ-xxxx" benennt:

Report: zum Beispiel "Report Liste der IT-Systeme"

Strukturanalyse
Abgrenzung des Informationsverbunds
Bereinigter Netzplan

Liste der Geschäftsprozesse
Liste der Anwendungen
Liste der IT-Systeme
Liste der Räume, Gebäude und Standorte
Liste der Kommunikationsverbindungen
Liste der Dienstleister
Schutzbedarfsfeststellung

Definition der Schutzbedarfskategorien
Schutzbedarf der Geschäftsprozesse
Schutzbedarf der Anwendungen
Schutzbedarf der IT-Systeme
Schutzbedarf der Räume, Gebäude und Standorte
Schutzbedarf der Kommunikationsverbindungen

Modellierung
Auflistung aller Bausteine im Informationsverbund
Auflistung aller Bausteine bei den externen Dienstleistern
Ergebnis des IT-Grundschutz-Check

Risikoanalyse
Realisierungsplan (Risikobehandlungsplan)

Quelle:
Liste_Referenzdokumente_Auditbericht_Kompendium.xlsx
früher UA-Bericht (BSI)

Was erhalte ich für ein Report von i-doit: "250424-idoit-report-report_it_grundschutz_check.pdf"
Vielen Dank

@Michael-Huhn
die Analyse (mit dem selben Ergebnis) am 5.Mai25 8 Uhr
TBR-ZOG-einfRaum-m-Patientenbetrieb (SG hoch)

Allgemein

ISMS

IT-Grundschutz (Zielobjekte)

Informationsverbünde

IT-Grundschutz (Zielobjekte)

IT-Grundschutz-Check

Klassifikation von Informationen

Schutzbedarf

Zugeordnete Bausteine

Zugwiesene Anforderungen

Zugwiesene Gefährdungen

Kontaktzuweisung

Ablauf:

1. In der Kontaktzuweisung sind Personen eingetragen

2. dann geht man auf "IT-Grundschutz-Check" und dort beispielsweise "INF.7 Büroarbeitsplatz" und auf eine Maßnahme.
   ("Aktion") und im Formularbereich auf "Verantwortung" und es wird mal der eine, mal ein anderer (von den beiden eingetragenen Namen) aber auch mal beide Namen angezeigt.

3. Gehe ich unter "Zugeordnete Bausteine", dann habe ich dort die beiden Personen (dem Verbund zugeordnet) für den jeweiligen Baustein (hier Verkabelung und Büroarbeitsplatz) vorab zugewiesen.

Dennoch funktioniert das nicht.

Fragestellungen die in i-doit aufgetreten sind:

"i-doit Grundschutz "Verantwortung" hinzufügen"

Ein Klick auf das Stift-Icon öffnet die Bearbeitungsmaske, um den Stand der Umsetzung dieser Anforderung zu dokumentieren. In dem Feld „Verantwortung“ können nur Einträge hinzugefügt werden, die in der Kontaktzuweisung des zugehörigen Bausteins eingetragen sind

@Michael-Huhn

und genau das ist nämlich falsch!

In dem Feld „Verantwortung“ können nur Einträge hinzugefügt werden, die in der Kontaktzuweisung des zugehörigen Bausteins eingetragen sind.

Das Folgende passiert:
unter Kontaktzuweisung sind sehr wohl die Personen eingetragen (gründlich wie ich bin, trug ich diese ein)

Nun kommt es zu diesem "Phänomen":
möchte ich unter "Grundschutz-Check" die Maßnahmen nach und nach abarbeiten, die ja am Objekt hängen, dann kann man mal die eine Maßnahme mit einer Person versehen, urplötzlich (viele) andere Maßnahmen gestatten weder die zusätzliche Eingabe noch das gleiche Prozedere wie bei der anderen Maßnahmen eben nicht.

Ich gehe von einem Software-Defekt aus.

Nachvollziehbar ist das jedenfalls nicht.

Das passiert bei allen Objekten, bei denen der Bereich "Grundschutz-Check" bearbeitet werden muss.

Weiterhin:

Ein Bericht, der die "Schutzgrade" (für die jeweiligen Objekte) ausgibt, finde ich auch nicht....

@LFischer Vielen Dank. Ich gebe es so dann weiter. Es sind nämlich extrem anspruchsvolle (Architekten-Risse), die viel anzeigen müssen.
Also: PNG

"Report: IT-Grundschutz-Check"

1. Filter-Funktion arbeitet nicht (?)
   Zeigt: Baustein, Zielobjekt, Objekttyp, Nummer, Anforderung, Anforderungstyp, Verantwortung, Umsetzungsstatus, Umsetzung bis.

Wählt man (beispielsweise "Baustein" aus), dann ändern sich nicht die Darstellungen.

Und beispielsweise: finde ich nicht zu erstellen
2. Zeige mir alle Objekte [Räume], die den Schutzgrad "hoch" im Verbund [Name] haben

3. eine jeweils separate Darstellung (als Report) für
   "B3S-SOA-Maßnahmen",

und
"IS0 27001-Maßnahme Anhang A"

finde ich nicht. Es wird alles zusammen gezeigt.

Grundsätzlich ist das Layout mehr als verbesserungswürdig, wie ich finde.
Es wäre gut, wenn man die Reports im Layout selbst verändern kann.

Es wäre gut, wenn man unter "Reports" sich - selbsterschließend (!) - IT-Grundschutz und ISMS und B3S Reports zusammenstellen kann.

Oder ist das Feld IT GS und ISMS nur eine Randnotiz, die eher nicht beachtet wird, weil die nicht genutzt wird?

Der folgende Sachverhalt:

das Feld "Verantwortung" soll mit einer Person versehen werden.
Analyseergebnisse:

1. Aus den vorhandenen Personen werden keine auswählbar
2. trägt man eine Person (über die Tastatureingabe) im "Listenbrowser" ein, funktioniert das auch nicht
3. zufälligerweise ist kurzzeitig dennoch eine Person unter "Verantwortung" sichtbar, aber dann ist diese wieder weg.
4. ein erneuter Versuch schlägt fehl.

Es können scheinbar keine Personen (oder EINE Person) unter "Verantwortung" angenommen werden.

Addons: Raumpläne. KEIN Import von brauchbarer Auflösung möglich (bsp als PDF oder SVG)

Guten Morgen in die nette Runde,
wir haben hier hochqualitative Raumzeichnungen (Architektenzeichnungen) als PDF vorliegen.
Aber das Programm erlaubt uns nur (minderwertige) Dateiformate wie gif, jpeg, bmp zu laden.

Sinnführend wäre PDF oder (besser) SVG.

Thema:
Ein "reales" Objekt über "Typ"-Bezeichnungen in eine vorhandene Zielobjektgruppe (IT-Grundschutz) überführen ?

Liebe Kollegen
vielleicht ist es ja nur eine "fixe Idee", aber fragen kann man ja

Über die Eigenschaft ein "reales objekt" (welches in der "Infrastruktur" erfasst wurde) möchte in ein erstelltes ZOG (Zielobjektgruppe im Bereich IT-Grundschutz) automatisch überführt / eingetragen werden, ohne das man es selber machen muss (über den Objektbrowser)

Beispiel:
das reale Objekt "Raum mit der Eigenschaft X"
geht automatisch das reale Objekt mit der Eigenschaft X in die ZOG, die die Eigenschaft X besitzt.

Ziel:
Die (realen) Objekte können somit automatisch in den IT-Grundschutz überführt werden, über die Funktion "Eigenschaft"

Der Raum-"Typ" ändert sich, dann gehen diese dann automatisch in ein anderes ZOG bzw löschen sich, wenn die Eigenschaft nicht mehr vorhanden ist.

Beispiel
der Raum ist von Typ "Dienstzimmer".

Dieser Typ "Dienstzimmer" sollte nun ... auch die ZOG erhalten und wenn dass so ist, dann wird das reale Objekt mit dem gleichnamigen Typ "Dienstzimmer" automatisch in das ZOG zugeordnet.

Altenativ könnte man auch über einen Textbereich... mittels "Eigenschaften" der Objekte. das anstoßen:

Zeige alle Objekte mit der Angabe XYZ und führe diese in das ZOG mit der im Textbereich aufgeführten Angabe XYZ über..

oder bleibt es beim händischen Überführen/Zuweisen von realen Objekten in die ZOG des IT-Grundschutzes über die Methodik:

Aufgabe: ein real erfasstes Objekt (hier RAUM) einer erstellten Zielobjektgruppe (unterordnen) zuweisen.

1. Menü "IT-Grundschutz"

2. Zielobjektgruppe (15)

3. gehe auf "Dienstzimmer"-Büro mit Doppelklick

4. gehe auf "Objektgruppe"

5. oben auf "Hinzufügen"

6. wähle im DROPDOWN durch "hinzufügen" den Raum aus. Gehe auf "Übernehmen"

@vitamin-S Guten Morgen und vielen Dank

ich habe es übers WE versucht mir zu erklären und bin auf diese Variante gelangt:

1. ich habe eine "Zielobjektgruppe" erstellt.
2. unter der Struktureben "Zielobjektgruppe" gibt es den Punkt "Objektgruppe"
3. ich klicke auf die "Objektgruppe" und..
4. gehe auf "hinzufügen" und sehe die realen Objekte, die ich in der "Infrastruktur" erstellt habe und wähle die Objekte an, die ich der "Zielobjektgruppe" hinzufügen möchte.

Somit kann ich Räume, Gebäude, RZ, Server jeweils als eine "Zielobjektgruppe" (mit gleichen Eigenschaften) erstellen und die echten Objekte der "Zielobjektgruppe" zuweisen. Das klingt ganz logisch und wird auch so verstanden.

Der Objekttyp lautet dabei "statisch"

nochmal detailierter, da eine Korrektur nur kurzzeitig möglich war:

Guten Morgen
es ist ja allgemein so, dass man "Objekte mit gleichen Eigenschaften" als "Zielobjektgruppe" definiert/zusammenfasst, um im nächsten Schritt - logischweise - auch die dazugehörigen "realen und erfassten" Objekte dieser Gruppe zuordnen kann (für die man eine IT-GS-Bewertung durchlaufen hat).

Es lautet also die Fragestellung:
Wie geht das?
Aufgabe: Reale Objekte, die in der "Infrastruktur" erfasst wurden, nun einer erstellten "Zielobjektgruppe" zuordnen.

Beispiel:
die Zuordnung der realen Objekte "BüroPlatz 1", "Büroplatz 2" (diese haben die gleichen Eigenschaften) unter die dafür eigens erstellte "Zielobjektgruppe: Büro-Arbeitsplätze" zuweisen.

Ein Objekt, welches unter dem oberen Menüpunkt "Infrastruktur" beispielsweise als "Arbeitsplatz-1" erfasst wurde, soll der "Zielobjektgruppe: Büro-Arbeitsplätze" zugeordnet werden, damit man weiß, welche real erfassten Objekte (hier Arbeitsplatz-1) mit gleichen Eigenschaften (als "Zielobjektgruppe: Büro-Arbeitsplätze" zusammengefasst) vorhanden sind.

Damit müssen nicht jede Objekte einzeln betrachtet werden, sondern nur ein Zielojekt. Jetzt muss ich aber wissen, welche realen Objekte dem zugeordnet sind.

Das erschließt sich im Programm nicht: eine Zuweisung findet sich nicht.

Guten Morgen
es ist ja allgemein so, dass man "Objekte mit gleichen Eigenschaften" als "Zielobjektgruppe" definiert, um im nächsten Schritt - logischweise - auch die dazugehörigen "realen und erfassten" Objekte dieser Gruppe zuordnen kann (für die man eine IT-GS-Bewertung durchlaufen hat).

Es lautet also die Fragestellung:
Wie geht das?
Aufgabe: Reale Objekte einer Zielobjektgruppe zuordnen
die Zuordnung der realen Objekte (mit gleichen Eigenschaften) unter die dafür eigens erstellte "Zielobjektgruppe: Büro-Arbeitsplätze".

Ein Objekt, welches unter dem oberen Menüpunkt "Infrastruktur" beispielsweise als "Arbeitsplatz-1" erfasst wurde, soll der "Zielobjektgruppe: Büro-Arbeitsplätze" zugeordnet werden, damit man weiß, welche real erfassten Objekte (hier Arbeitsplatz-1) mit gleichen Eigenschaften (als "Zielobjektgruppe: Büro-Arbeitsplätze" zusammengefasst) vorhanden sind.