verinice. und verinice.PRO

Das Open-Source ISMS-Tool verinice besteht aus zwei Komponenten


verinice. im Detail

ISMS

verinice ist ein ISMS-Tool für das Management von Informationssicherheit. Die Software steht unter der Lizenz GPLv3 zum Download als OpenSource-Software bereit.

verinice eignet sich:

  • zur Implementierung von BSI IT-Grundschutz
  • für den Betrieb eines ISMS nach ISO 27001
  • zur Risikoanalyse nach ISO 27005
  • für ein Information Security Assessment (ISA) nach VDA-Vorgaben
  • allgemein für die Arbeit mit den folgenden Standards: ISO 27001, ISO 27002, ISO 27005, ISO 20718, ISO 27019, ISO 27004, BSI 100-1 bis -4, PCI DSS, COBIT, BDSG, EU DSGVO, SSAE 16, BCBS 239, ISAE 3402, MaRisk-E, SREP, VDA ISA, IDW PS 330, IDW PH 9.330.1

verinice unterstützt die Betriebssysteme Windows, Linux und macOS und hat die Grundschutzkataloge des BSI lizenziert.

Alle relevanten Standards sind entweder im Tool vorhanden oder können einfach implementiert werden. Alle Daten inkl. aller erstellten Dokumente sind in einer Objekt-Datenbank abgelegt, die an die Anforderungen von IS-Management angepasst ist und dynamisch erweiterbar ist.

IT-Grundschutz (BSI)

verinice hat die IT-Grundschutzkataloge des BSI lizenziert – Bausteine, Gefährdungs- und Maßnahmenkatalog sind bereits integriert. Die speziell darauf abgestimmte Grundschutzperspektive ermöglicht Ihnen fokussiertes Arbeiten.

Mit verinice können Sie sofort mit der Modellierung Ihres IT-Sicherheitskonzepts beginnen. Dabei folgen Sie der IT-Grundschutz-Vorgehensweise nach BSI 100-2. verinice unterstützt Sie bei der Strukturanalyse, Schutzbedarfsdefinition sowie Schutzbedarfszuordnung und beherrscht automatische Schutzbedarfsvererbung. Definieren und verwalten Sie Rollen- und Berechtingungskonzepte. Führen Sie Basis-Sicherheitschecks, ergänzende Sicherheits- oder geführte Risikoanalysen (BSI 100-3) durch. Erstellen Sie einen Realisierungs- und Prüfplan.

Mit dem Ende des GSTOOL im Jahr 2016 müssen alle Anwender auf ein neues Werkzeug umstellen. Genau ein Nachfolger – verinice - ist

  • unter der GPL als freie Software geschrieben,
  • beim BSI lizenziert,
  • ohne Hintertüren programmiert
  • mit öffentlich auf GitHub hinterlegtem Quellcode.

GSTOOL-Import

Der GSTOOL-Import von verinice übernimmt folgende Daten:

  • Zielobjekte
  • Zugeordnete Standard-Bausteine, -Maßnahmen und Rollen der Mitarbeiter
  • Interviewer und befragte Personen für Bausteine
  • Maßnahmenumsetzung: Verantwortliche Personen und Kosten
  • Notizen
  • Umsetzungsstatus und -erläuterungen der Maßnahmen
  • Verknüpfungen von  Zielobjekten untereinander
  • Schutzbedarfszuordnung von Zielobjekten
  • Ergänzende Sicherheitsanalysen und Risikoanalysen nach BSI 100-3 ab verinice 1.11 (inkl. Erhalt aller Zwischenschritte von der Gefährdungsübersicht über die -bewertung bis hin zur Risikobehandlung)

Für den Import ist die Verwendung des ebenfalls vom BSI bereit gestellten zusätzlichen XML-Export-Tools nicht erforderlich: mit der kostenfreien verinice-Einzelplatzversion können alle Daten direkt aus der GSTOOL-Datenbank ausgelesen werden. Mit verinice bekommen Sie den besten GSTOOL-Import im Markt!

Risikoanalyse

Mit verinice können Sie eine vollständige Risikoanalyse Ihrer Informationswerte durchführen und aus den Ergebnissen weitere Handlungen ableiten.

  • Erfassen Sie Bedrohungen und Schwachstellen aus vorhandenen Quellen wie einem Schwachstellenscanner oder einem Penetrationstest.
  • Verwenden Sie die Ergebnisse in Ihrer Risikoanalyse und erstellen Sie automatisch eine Risikobewertung für alle Assets.
  • Egal ob Sie Ihre Risiken nach ISO 27005, BSI Standard 100-3 oder einem anderen Verfahren bewerten: verinice unterstützt Sie dabei!

Erstellen Sie eigene Risikoszenarien oder nutzen Sie den Gefährdungskatalog des BSI IT-Grundschutz. Alle Gefährdungen können auch bei einer Risikoanalyse nach ISO 27005 verwendet werden – damit ermöglicht Ihnen verinice Risk Assessments komfortabel per Drag-n-Drop.

verinice.PRO enthält zusätzlich einen Katalog mit generischen Risikoszenarien. Er ist in Bedrohungen und Schwachstellen aufgeschlüsselt, um eine einfache und realitätsnahe Bewertung von Risiken zu ermöglichen. Über den verinice-Shop können Sie den Risikokatalog für die verinice-Einzelplatzversion beziehen.

Self Assessments (VDA ISA)

Fragenkataloge wie z.B. das Information Security Assessment (ISA) des Verbands der Automobilindustrie (VDA) auf Basis der ISO 27002 bieten branchenübergreifend die Möglichkeit, sich selbst oder die beauftragten Dienstleister zum Stand der Informationssicherheit einzuschätzen. In enger Zusammenarbeit mit dem VDA hat das verinice.TEAM eine eigene Arbeits-Perspektive für die geführte Selbsteinschätzung entwickelt. Der VDA-ISA-Katalog liegt dazu vollständig in deutscher und englischer Fassung vor und ist in verinice standardmäßig enthalten.

Mit etwa einem Tag Aufwand erhalten Sie mit verinice-Bordmitteln eine Momentaufnahme der Informationssicherheit in Ihrer Organisation. Diese eignet sich

  • um den Stand an die Unternehmensleitung zu kommunizieren,
  • Fortschritte innerhalb eines IS-Projektes festzustellen
  • und vereinfacht die Abgabe der Ergebnisse.

Mit der Kombination von verinice und VDA ISA gelingt Ihnen der Einstig in das IS-Management.

Ab Version 1.10 unterstützt verinice die Neuauflage des VDA IS-Assessment in der Version 2.x. Ein Konsolidator ermöglicht die Übernahme von Assessment-Ergebnissen, die nach dem VDA 1.x-Standard erfolgt sind.

Asset-Register

Mit Hilfe von verinice pflegen Sie Ihre Prozesse und Informationswerte. Ein Asset-Register im Sinne der ISO 27001 (Inventory of Assets) lässt sich auf Knopfdruck exportieren.

Verknüpfen Sie Ihre Assets mit Prozessen, Prozesseigentümern und anderen Assets. verinice beherrscht die automatische Vererbung von Business Impact Werten im Asset-Baum. Zusätzliche Filter- und Bearbeitungsfunktionen wie z.B. der Masseneditor erleichtern die tägliche Arbeit zusätzlich.

Eine Vielzahl von Import- und Export-Formaten (CSV, XML, XLS...) erleichtert die Übernahme von Daten aus vorhandenen Quellen und die weitere Verarbeitung mit anderen Tools.

Dokumente und Aufzeichnungen

Mit verinice verwalten Sie Ihre ISMS-Dokumentation:

  • Legen Sie Regelungen, Richtlinien und Aufzeichnungen jeder Art in verinice strukturiert ab.
  • Pflegen Sie Metadaten wie Autor, Version und Freigabe.
  • Bewahren Sie alles revisionssicher in mehreren Versionen.

Die Dokumente können direkt in der verinice-Datenbank abgelegt oder über URLs in externen Quellen (DMS, Wiki etc.) referenziert werden. So bringen Sie Ihre gesamte Dokumentenpyramide an einer zentralen Stelle zusammen, egal wie verteilt die Dokumente in Ihrer Organisation angelegt werden.

All diese Funktionen bietet die Einzelplatzversion von verinice. Mit verinice.PRO erhalten Sie zusätzlich ein zentrales Repository, auf das mehrere Benutzer von unterschiedlichen Standorten zugreifen können.

Reporting

Das Erstellen von Berichten für Prüfer, Geschäftsleitung, Prozessverantwortliche und schließlich die Zusammenstellung von Referenzdokumenten für die Zertifizierung ist eine der Stärken von verinice. verinice-Berichte dienen der Dokumentation und Übersicht, als Entscheidungs- und Planungshilfe und zeigen anschaulich in Tabellen sowie Charts den Zustand der Informationssicherheit in Ihrer Organisation.

Auf Knopfdruck können Sie

  • die Referenzdokumente des BSI für den IT-Grundschutz (A1 - A7) ausgeben,
  • einen VDA ISA-Report erzeugen,
  • Sofortmeldungen bzw. statistische Gesamtmeldungen an das BSI erstellen,
  • alle Berichte in einer Vielzahl von Formaten (z.B. PDF, HTML, DOC, XLS,ODT, ODS) ausgeben und veröffentlichen oder auf Wunsch weiter bearbeiten.

Anwender von verinice.PRO erhalten zusätzlich den vDesigner – den Report-Designer von verinice.PRO. Damit lassen sich alle Vorlagen anpassen (angefangen von den Inhalten bis hin zum Branding/Corporate Design) oder vollständig eigene Reports erstellen.

Schnittstellen

verinice ist offen: Das Werkzeug setzt auf OpenSource, offene Standards und bietet selbst zahlreiche Schnittstellen.

Der Inventory/Asset-Import (XML-Schnittstelle) oder die Volltextsuche mit CSV-Export sind nur zwei der Import- und Exportformate von verinice. Sie erleichtern die Übernahme von Daten aus vorhandenen Quellen und die weitere Verarbeitung mit anderen Tools. Das ermöglicht z.B. den Import eigener Kataloge, mit denen Sie individuelle Arbeitsvorgaben oder Standards umsetzen können.

Die Kopplung von verinice mit einem Open Vulnerability Assessment System (OpenVAS) wie z.B. dem Greenbone Security Manager (GSM) integriert Schwachstellenscans zu einem zentral gesteuerten Prozess für das Schwachstellenmanagement

Mit dem auf BIRT basierenden vDesigner erstellen Sie individualisierte Reports und können diese in verinice verwenden.

Audits & Zertifizierungen

Mit verinice gestalten Sie Audits effizient und nachhaltig, egal ob Sie das Tool für interne oder externe Prüfungen einsetzen. Sie können beispielsweise auf Standardkataloge wie ISO 27001 oder die vollständigen BSI IT-Grundschutzkataloge zurückgreifen.

Für Grundschutzauditoren schaffen spezielle Eingabemasken und angepasste Reports größtmögliche Effizienz bei Zertifizierungsaudits, insbesondere bei der Verifikation des Basis-Sicherheitschecks. ISO 27001 Lead Auditoren, Wirtschaftsprüfer und IT-Revisoren profitieren von vorbereiteten Fragenkatalogen, Eingabemasken und einer Vielzahl an Hilfsfunktionen. Dazu gehören das dynamische Objektmodell, das sich an die eigene Arbeitsweise anpassen lässt, die Unterstützung für Reifegradmodelle sowie der Import von Interviewpartnern aus einem Active Directory u.v.m.

verinice wird von IS-Auditoren für IS-Auditoren entwickelt und daher konstant an die Bedarfe der Praxis angepasst.

verinice. Downloads

 

 

English languageDeutsche Sprache
© SerNet GmbH, 2017