Sie sind hier: Neu und Erwähnenswert
DeutschEnglishFrancais

Neu und Erwähnenswert

verinice. auf der it-sa

SerNet ist auch dieses Jahr auf der IT-Security Messe it-sa vom 19.-21. 10.2010.

Besuchen Sie uns in Halle 12, Stand 460!

Ihre eGastticket-Nummer lautet: 6SER9945L2 (www.it-sa.de/e-ticket )

Veranstaltungshinweis: verinice.XP

Das Programm für die im September zum zweiten Mal stattfindende Konferenz verinice.XP ist online.

Mit der verinice.XP werden wir den Erfahrungsaustausch unter Praktikern ermöglichen sowie Anwender und Entwickler von verinice einander näher bringen. Die verinice.XP behandelt Themen aus den Bereichen Informationssicherheit, Sicherheitsmangement, Grundschutz - und natürlich verinice.

Mehr Infos zur Konferenz und dem vorher stattfindenden verinice-Workshop finden Sie auf der Konferenz Webseite: verinicexp.org

Unterstützung für Reifegradmodelle

Beispiel für einen eigenen Katalog-Import: Sicherer IT-Betrieb (SIZ)

In der neuesten Version 1.1.1 unterstützt verinice nun auch Reifegradmodelle, bei denen die Umsetzung eines Controls in Stufen von Reifegraden ausgedrückt wird, z.B. von 0 bis 9. Die Stufen sowie optional zu vergebende Gewichtungen sind frei definierbar. Die Unterstützung wird ergänzt durch einen Report und ein Spinnennetzdiagramm, das für die jeweils selektierte Kategorie den erreichten Reifegrad angibt.

Der Screenshot rechts zeigt das Beispiel eines unserer Kunden, der den Fragenkatalog "Sicherher IT-Betrieb" des SIZ in verinice importiert hat und nun im Tool weiter bearbeiten kann. Dies ist ein Beispiel dafür, wie SerNet durch Customizing die Einführung von verinice im Unternehmen unterstützen kann.

verinice 1.1 ist da!

Wie gewohnt gibt es diese Version von verinice sowohl als Einzelplatzlösung wie auch als Server-Variante (verinice.PRO). Neben dem IT-Grundschutz bietet verinice nun auch Unterstützung für Anwender der ISO 27001. Wir haben eine zusätzliche Perspektive entwickelt, die es Ihnen erlaubt, zwischen der BSI-IT-Grundschutz-Sicht und der ISO 27001-Sicht hin zu her zu schalten.

Darüber hinaus ist auch ein kombiniertes Arbeiten möglich, da viele Anwender der ISO 27001 auf die Maßnahmen der IT-Grundschutzkataloge zurückgreifen. verinice bietet nun das Beste aus beiden Welten, dazu kommen noch etliche neue Features, wie z.B. die Möglichkeit, Dateien und Dokumente direkt in der Datenbank zu hinterlegen - und bei verinice.PRO auch mit allen Beteiligten am IS-Prozess zu teilen.

Anwender des IT-Grundschutzes profitieren von neuen Funktionen wie z.B. dem einfachen Kopieren und Verschieben von Zielobjekten oder dem Verknüpfen von Bausteinen. Natürlich sind ab sofort auch die neuen IT-Grundschutzkataloge (11te Ergänzungslieferung) importierbar. Neu in dieser Fassung ist unter anderem der Baustein "Samba", der in Zusammenarbeit mit SerNet entstand.

Alle Neuigkeiten in verinice im Überblick:

1. ISO-Perspektive

  • Vollständig neue Perspektive für den Standard ISO 27001

  • Import von Maßnahmen und Gefährdungen aus CSV-Dateien (erstellbar in Excel, OpenOffice...)

  • Völlig neue Kategorien sind nun erfassbar wie z.B.: Assets, Controls, Incidents, Threads, Vulnerabilities, Responses, Requirements, Records, Processes, Documents, Audits und viele mehr.

  • Möglichkeit, individuelle Gruppierungen und Untergruppierungen für alle Objektarten selbst anzulegen und damit für mehr Übersicht in der Modellierung zu sorgen

  • Zwei neue Tutorials (Spickzettel) für die ISO 27001-Perspektive

    • 2. Grundschutz-Perspektive

  • Das Verknüpfen von Bausteinen ist nun möglich

  • Die 11. Ergänzungslieferung der BSI Grundschutzkataloge ist nun importierbar

    • 3. Allgemeine Verbesserungen / Änderungen

  • Viele Bugfixes ;)

  • Kopieren und Verschieben von Objekten zwischen IT-Verbünden

  • Relationen zwischen Objekten sind nun nicht mehr in der Baumstruktur zu sehen, sondern im eigenen Relationen-Fenster. Dort sind alle Abhängigkeiten für das gerade aktive Objekt sichtbar. Zusätzlich kann dort zu verknüpften Obkjekten navigiert werden. Weiterhin haben Sie die Möglichkeit, alle Relationen über die SNCA-Datei zu bearbeiten oder neue hinzuzufügen.

  • Attachments: Sie können nun Dateien jeder Art (z.B. Bilder als Audit-Nachweis oder ISMS-Richtlinien) direkt in der verinice-Datenbank ablegen. Alle Dateien sind beim passenden Objekt hinterlegt und bei verinice.PRO auf dem Server für jede am ISMS-Prozess beteiligte Person abrufbar. Der Zugriff auf die Dateien folgt dem Berechtigungskonzept von verinice.PRO, so dass Sie fein granuliert festlegen können, wer eine Datei lesen oder verändern darf.

  • Dokumenten-Management: Als Erweiterung der Dateiablage, können Dokumente auch als solche angelegt und mit zusätzlichen Informationen wie Version, Stand, Autor, Klassifizierung und Freigabestatus versehen werden. Dokumente können dann direkt in der Datenbank abgelegt oder Links zu externen Dateien hinterlegt werden.

    •  

    Wie wünschen viel Freude beim Ausprobieren und viel Erfolg beim Umsetzen Ihres ISMS mit verinice! Wie immer freuen wir uns über Ihr Feedback und möchten uns bei allen Bug-Reportern herzlichst bedanken!

    verinice goes ISO 27001

    Vorschau auf verinice für ISO 27001

    Während sich verinice bei den Anwendern des IT-Grundschutz weiterhin steigender Beliebtheit erfreut, setzen wir unsere Entwicklung zur Unterstützung der nativen ISO 27001 / 27002 fort.

    Hier der erste Screenshot der neuen ISMS-Perspektive mit dem Katalog-Import, der das Einlesen von Fragenkatalogen aus einfach zu erstellenden Excel-Dateien (CSV) erlaubt. Rechts daneben der deutlich erweiterte ISM-View, der unter anderem nun das Erfassen von Dokumenten, Anforderungen, Sicherheitsvorfällen sowie die Modellierung komplexer Abhängigkeiten zwischen all diesen Objekten unterstützt.

    Dazu gibt es noch viele weitere nützliche Funktionen, beispielsweise die Möglichkeit, Richtlinien und sonstige Dateien nun direkt in der Datenbank abzulegen - und mit dem verinice.PRO Server auch sofort allen am ISMS-Prozess beteiligten Personen zugänglich zu machen.

    verinice.PRO-Server verfügbar

    Liebe verinice-Freunde,

    das Warten hat ein Ende, ab sofort ist der verinice.PRO-Server verfügbar!

    Seit Montag, 25. Januar 2010 ist "verinice.PRO" offiziell erhältlich. Unter der Bezeichnung "verinice.PRO" bietet die SerNet GmbH die Server-Version des beliebten OpenSource-ISM-Tools "verinice." an.

    Die Server-Software wird wie der Client als OpenSource-Software unter der Lizenz LPGLv3 veröffentlicht. Die Softwarepakete für die Linux-Plattformen RHEL (Red Hat Enterprise Server) und CentOS sowie VMWare-Images für VMWare-Server und -Player sowie VMWare-ESX können im Rahmen eines kostenpflichtigen Subskriptionsvertrages unter der Adresse sernet.de/verinice-pro bestellt werden.

    Mehr Informationen finden Sie unter v.de/pro

    verinice V 1.0 FINAL / Windows 7 / v.de

    Ab sofort steht der verinice-Client 1.0 FINAL (V1.0.16) zum Download bereit!

    Ein Upgrade von der Version 0.7 ist leider aufgrund der grundlegenden Änderungen der Architektur nicht möglich, sie müssen den Client also herunterladen und neu installieren. Danach steht aber die Update-Funktion wie gewohnt für Bugfix- (1.0.x) und Feature-Releases (1.x.x) zur Verfügung. Ihre bestehende Datenbank können sie in verinice 1.0 weiter benutzen, sie wird automatisch beim ersten Verbindungsversuch auf das neue Format konvertiert. (Backup vorher nicht vergessen.)

    Wie auf unserem Screenshot zu sehen, läuft verinice 1.0 problemlos auch unter Windows 7.

    Und wer sich demnächst etwas Zeit beim Tippen sparen möchte, erreicht unsere Webseite ab sofort auch unter

     

    http:// v.de

     

    Kürzer kriegen wir es nicht mehr. ;-)

    Wir danken nochmals allen Anwendern, die uns mit ihrem Feedback und Fehlerberichten geholfen haben, verinice 1.0 auf den Weg zu bringen!

    Wir freuen uns nach wie vor über jegliche Meinungen und Vorschläge an verinice@sernet.de.

     

    verinice.PRO: Der verinice-Server

    Ab Anfang Januar 2010 bieten wir nun die Möglicheit eines Subskriptionskaufs für die Server-Version von verinice an. Diese nennt sich verinice.PRO und ist auf folgender Seite bestellbar: www.sernet.de/verinice-pro/

    Den steigenden Anforderungen durch den zunehmenden Einsatz von verinice in großen und verteilten IT-Verbünden werden wir durch den neuen verinice-Server gerecht. Zusammen mit dem altbekannten verinice-Rich-Client erhält das Gespann nun die Versionsnummer v1.0. Als optionale Ergänzung zum verinice-Client bietet der im Tomcat laufende Server unter anderem folgende Funktionen:

  • gleichzeitiges Arbeiten mit mehreren Clients auf der zentralen Datenbank - per HTTP / HTTPS auch von verteilten Standorten aus

  • deutliche Verbesserung der Performance, Reduzierung der Datenmenge zwischen Client und Server um den Faktor 10 gegenüber direkter Datenbankanbindung

  • konfigurierbare Mailbenachrichtigungen und Web-Frontend zum schnellen Bearbeiten von Maßnahmenumsetzungen im Browser

  • unverändert effizientes Arbeiten im bekannten Rich Client, jetzt mit verbessertem Cache und neuen Features, wie z.B. automatische Zuweisung von Bausteinen anhand von vorgegebenen und selbst definierbaren Vorlagen

  • Benutzerauthentifizierung und Rollenkonzept, Accounts können direkt in verinice angelegt oder ein bereits vorhandes Directory angebunden werden (LDAP / AD...)

    • Neue Features für V 0.7.0

    Auch wenn es in der letzten Zeit nicht so scheinen mochte, wir waren fleißig und es hat sich viel getan bei verinice. Wir nähern uns mit großen Schritten dem nächsten Release 0.7, das einiges an neuen Features mit sich bringt. Die nächste Möglichkeit uns persönlich zu treffen ist am 27. - 29. Januar 2009 auf der Heise Konferenz Open Source Meets Business in Nürnberg. Besuchen Sie unseren Vortrag im Track Security I am Dienstag um 16:30 oder vereinbaren Sie ein persönliches Treffen mit uns!

    Nun ohne weitere Verzögerung, die Neuigkeiten! Viele Verbesserungen gehen direkt auf Anregungen von Anwendern zurück. Vorrang haben dabei verständlicherweise diejenigen Features, die wir für unsere eigene Arbeit benötigen oder die durch Sponsoring gefördert wurden.

    Die Plattform wurde aktualisiert auf Java 1.6 Update 10 und Eclipse 4.0.1. Dadurch mehr Kompatibilität mit neuen Java Versionen, Verbesserungen bei Widgets (z.B. Dropdown-Box, Kalender). Unterstützung für xulrunner 1.9 für Browserfunktion unter Linux.

    Automatische rollenbasierte Zuweisung von Maßnahmen zu den verantwortlichen Personen

    Automatische Zuweisung von Aufgaben

    verinice kann jetzt alle umzusetzenden Maßnahmen automatisch anhand der Rollenzuweisung den zuständigen Personen zuteilen. Das Verteilen von Aufgaben wird damit per Drag'n'Drop möglich: einfach die zuständigen Personen auf die Zielobjekte ziehen und loslassen. Sofort werden jedem Mitarbeiter die Maßnahmen zugeteilt, für die er zuständig ist. Im einfachsten Fall werden alle Personen dem IT-Verbund zugeordnet: verinice findet automatisch den richtigen direkten oder übergeordneten Verantwortlichen. Weil ein Bild mehr sagt als Tausend Worte, hier ein Video, das zeigt, wie sich mehrere hundert Maßnahmen mit einem Klick den zuständigen Personen zuteilen lassen...

    Direkter Import aus der GSTOOL-Datenbank.
    Importiertes BSI-Beispiel "Beratungshaus Albrecht"

    GSTOOL-Import

    Datenbanken können nun direkt aus dem offiziellen GSTOOL® des BSI importiert werden. Erfasste IT-Verbünde, Verknüpfungen von Zielobjekten, Schutzbedarf, Rollenzuteilungen und andere Daten bleiben dabei erhalten. Diese Import-Funktion wurde durch ein Sponsoring der öffentlichen Hand möglich gemacht!

    Automatische Updates beim Starten (deaktivierbar)
    Verwaltung installierter Versionen und Features

    Automatische Updates

    verinice mit integriertem Patch-Management: bei jedem Start sucht verinice im Web nach vorhanden Updates. Auf Wunsch kann das Update auf Bug- und Security-Fixes eingeschränkt werden. Eine eigene Ansicht zeigt die aktuelle Produktkonfiguration und erlaubt das Rollback auf eine vorherige Version. Per Default werden auch neue Funktionen automatisch ergänzt. Proxykonfigurationen werden dabei unterstützt. Das automatische Update kann auch ganz deaktiviert werden, trotzdem bleibt die Möglichkeit, von Hand eine Suche nach Updates anzustoßen.

    Datenschutz-Baustein des BfDI

    Datenschutz Baustein

    Der Baustein 1.5 kann jetzt gegen den offiziellen Datenschutz-Baustein des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) ausgetauscht werden. Dadurch erhält der Anwender Zugriff auf alle Maßnahmen und Gefährdungen zum Datenschutz und kann diese im Rahmen des Grundschutz-Projekts behandeln.

    Risikoanalyse-Wizard
    Eigene Maßnahmen und Gefährdungen

    Risikoanalyse

    Ein neuer Wizard unterstützt die Risikoanalyse nach BSI 100-3. Er führt Schritt-für-Schritt durch das Verfahren, erlaubt dem Benutzer die Gefährdungslage zu bewerten und zu behandeln. Eigene Gefährdungen und Maßnahmen können über den Wizard zugeordnet werden und erscheinen im Realisierungsplan.

    Zwei neu angelegte IT-Verbünde

    Mehrere IT-Verbünde

    Es können jetzt beliebig viele IT-Verbünde in einer Datenbank angelegt werden, um firmeninterne Strukturen abzubilden und für mehr Übersichtlichkeit zu sorgen.

    "Tags" kennzeichnen Objekte mit Stichworten und erlauben sehr flexible Filterfunktionen.

    Tags

    Für noch mehr Übersicht sorgt das neue "Tag"-Feature. Wie von Web 2.0 Anwendungen gewöhnt, kann der Benutzer alle Zielobjekte mit beliebigen Tags versehen und in der Ansicht filtern. Tags können z.B. für verschiedene Standorte, Zuständigkeitsbereiche oder Netzsegmente vergeben werden, der Fantasie des Anwenders ist dabei keine Grenze gesetzt.

    Ständig aktualisierte Charts geben verschaffen dem Sicherheitsbeauftragten mehr Durchblick während der Arbeit mit verinice.
    Ein Bild sagt mehr als tausend Maßnahmen: hier ein Überblick über den aktuellen Umsetzungsstatus nach Siegelstufe und nach Themen.

    Charts

    Die neue "Charts"-Ansicht ermöglicht es dem Sicherheitsbeauftragten, auf einen Blick den Umsetzungsstatus aller Maßnahmen oder die Themenbereiche mit den meisten Lücken zu erkennen. Der Realisierungsplan kann auf einer Zeitachse dargestellt und mit den bisher umgesetzten Maßnahmen verglichen werden. So erkennt man schnell und ohne Eingabe weiterer Daten, ob man sich bei der Terminplanung verschätzt hat.

    Links bei jedem Objekt erlauben das Verknüpfen mit Richtlinien und anderen Dokumenten. Die Richtlinien-Ansicht bietet eine Übersicht über alle vorhandenen Dokumente.

    Richtlinien Management / Externe Links

    Bei jedem Objekt können nun Links zu Richtlinien und anderen Dokumenten hinterlegt werden. Als Link wird so ziemlich alles akzeptiert: sei es ein entferntes File auf einem Webserver oder eine Datei auf der lokalen Festplatte. Ein einfacher Klick auf den Link ruft das Dokument mit der passenden Anwendung auf, egal ob HTML, PDF, Office-Datei o.a.

    Der größte Nutzen entsteht durch die neue Richtlinien-Ansicht. Hier werden alle hinterlegten Dokumente an einer Stelle aufgelistet. So ist z.B. auf einen Blick ersichtlich, welche Maßnahmen durch eine einzige Richtlinie erfüllt werden. Es können auch andere Dokumente hinterlegt werden, etwa ein Raumplan zu einem Gebäude oder der Netzplan zu einem LAN.