Update ISMS 1.3 | i-doit Add-on feiert Release

Die neue Version 1.3 des i-doit Add-ons ISMS feiert heute ihr Release. Neue Funktionen, neuer Look und vieles mehr von becon entwickelt. Wir informieren Sie in diesem Beitrag über alle Neuerungen.

Das sind die wichtigsten Neuerungen:

Umbenennung des Objekttyps „Gefährdung“ in „Bedrohung“:
Eine Gefährdung entsteht, wenn eine Bedrohung auf eine Schwachstelle trifft. Bei einer Risikoeinschätzung am Objekt können Bedrohung und Schwachstelle ausgewählt werden. Daher ist im Deutschen „Bedrohung“ der korrekte Begriff.

Umbenennung des Objekttyps „Maßnahme“ in „SOA-Maßnahme“:
Zur besseren Abgrenzung der „Maßnahme Anhang A“ (s. nächster Punkt) wurde der Objekttyp „Maßnahme“ umbenannt zu „SOA-Maßnahme“.

Neuer Objekttyp „Maßnahme Anhang A“:
In der ISO 27001 nehmen die Maßnahmen aus dem Anhang A der ISO 27001 Norm eine Sonderstellung ein. Um dem Rechnung zu tragen, wurde ein neuer Objekttyp „Maßnahme Anhang A“ erstellt, in der dann die derzeit 114 Maßnahmen aus dem Anhang A der ISO 27001 importiert werden sollten. Die neue Kategorie „Anwendbarkeit“ sollte für alle Maßnahmen Anhang A ausgefüllt werden:

• Ob die Maßnahme einbezogen wird oder nicht
• Durch welche SOA-Maßnahmen diese Maßnahme ggf. umgesetzt wird
• Eine Begründung, warum diese Maßnahme einbezogen wird oder nicht
• Umsetzungsstatus

Überarbeitung der SOA:
Die Report-View „Erklärung zur Anwendbarkeit (SOA)“ wurde so erweitert, dass sowohl die neuen Maßnahmen Anhang A als auch die SOA-Maßnahmen entsprechend der ISO 27001 Norm getrennt aufgeführt werden. Jeweils mit Anwendbarkeit, Begründung und Status.

Neue Report-View „SOA Vollständigkeitsüberprüfung“:
Diese neue Report-View liefert einen Überblick, ob alle Angaben bei den Maßnahmen Anhang A sowie den SOA-Maßnahmen vollständig sind.

Neues Attribut zur Beschreibung des Schadensausmaßes:
Bei Einstellung der Schadenshöhe je Schadensszenario (in einer Risikoeinschätzung) und in der Risikomatrix musste bisher das gleiche Wording benutzt werden, wie für die Eintrittswahrscheinlichkeit. Durch das neue Attribut „Schadensausmaß“ in der Kategorie „Bewertungskriterium“ kann dies nun angepasst werden.

Neue Importkataloge und neues CSV-Importprofil:
Es gibt ein neues CSV-Import-Profil „ISMS universal (new)“, mit der alle CSV-Kataloge importiert werden können. Die alten Import-Profile „ISMS Control“ und „ISMS Threat“ bleiben aus Gründen der Abwärtskompatibilität vorerst bestehen. Folgende Kataloge sind in der ZIP-Datei im Verzeichnis /src/classes/modules/iso27001/Catalogs enthalten:

• ISO27001_Massnahmen_AnhangA(de).csv:
  Die 114 Maßnahmen des Anhangs A der ISO27001 Norm (Deutsch)
• ISO27001_Controls_AnnexA(en).csv:
  Die 114 Maßnahmen des Anhangs A der ISO27001 Norm (Englisch)
• IT-Grundschutz-Kompendium_Elementare Gefaehrdungen(de).csv:
  Die Elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium 2019, aufgeteilt in Bedrohungen und Schwachstellen (Deutsch)
• IT-Grundschutz-Kompendium_Elementary_Threats(en).csv:
  Die Elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium 2019, aufgeteilt in Bedrohungen und Schwachstellen (Englisch)
• IT-Grundschutz-Kompendium_Anforderungen(de).csv:
  Die Anforderungen aus dem IT-Grundschutz-Kompendium 2019 zum Import als SOA-Maßnahmen (Deutsch)
• B3S_Orientierungshilfe_Anhang(de).csv:
  Die Bedrohungen, Schwachstellen und Maßnahmen aus „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ (Deutsch)
• B3S_Guidelines_Appendix(en).csv:
  Die Bedrohungen, Schwachstellen und Maßnahmen aus „Guidelines on content and requirements for industry-specific security standards (B3S) according to § 8a (2) BSIG“ (Englisch)

Neuer Look:
Jeder Objekttyp hat jetzt ein eigenes, aussagekräftiges Piktogramm erhalten, welches sowohl die Bedienung erleichtert als auch den Wiedererkennungswert steigert.