Zusatzmodule für verinice
verinice. kann je nach Bedarf und Einsatzszenario um verschiedene Zusatz-Module erweitert werden. Dazu gehören als kostenloses Angebot u.a. Mindeststandards des BSI und IT-Grundschutz-Profile. Als kostenpflichtige Zusatzmodule sind erhältlich: Risikokatalog sowie Risikokatalog Plus (ISO 27001 / ISO 27019), Datenschutzmodul, Branchenstandard B3S Krankenhaus und PCI DSS.
Das verinice.TEAM stellt die Zusatzmodule über den verinice.SHOP bereit. Anwendende können auf die Module als Ergänzung für verinice zugreifen und sie für die Arbeit mit dem ISMS- und DSMS-Tool in der IT-Grundschutz- oder ISM-Perspektive nutzen.
Sie vermissen Inhalte für verinice? Sprechen Sie uns gerne an. Wir bauen das Zusatzmodul-Angebot kontinuierlich aus. Mit dem Grundschutz-Profiler haben Sie außerdem die Möglichkeit, selbst Grundschutzprofile mit verinice zu erstellen.
Risikokatalog
Das Modul verinice Risikokatalog ist ein umfangreicher Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien und beschleunigt die Risikoanalyse erheblich. Ebenfalls enthalten ist eine Liste von Beispiel-Assets und Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können. Der Katalog enthält Inhalte aus den Originalstandards DIN ISO/IEC 27002:2017 und ISO/IEC 27005:2011, lizenziert über den Beuth Verlag. Das Modul ist auch in Kombination mit dem Datenschutzmodul erhältlich.
- verinice Risikokatalog (ISO 27001)
- verinice Risikokatalog inkl. Datenschutzmodul 3 (ISO/ISM)
Der Risikokatalog Plus richtet sich insbesondere an Energienetzbetreiber, die den verpflichtenden IT-Sicherheitskatalog und darin befindliche Forderungen nach §11 Abs. 1a EnWG umsetzen müssen (auf Basis von DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017,ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020). Auch dieser ist in Kombination mit dem Datenschutzmodul erhältlich – insgesamt können folgende Varianten im verinice.SHOP erworben werden:
- verinice Risikokatalog Plus (BSI 100-x / ISO 27001 / ISO 27019) – Grundschutz Edition
- verinice Risikokatalog Plus (ISO 27001 / ISO 27019) – ISM Edition
- verinice Risikokatalog Plus (ISO 27001 / ISO 27019) inkl. Datenschutzmodul 3.0
Datenschutzmodul
Mit dem Datenschutzmodul lässt sich verinice für die Umsetzung der EU-DSGVO einsetzen und unterstützt Datenschutzbeauftragte bei ihrer täglichen Arbeit. Die Schnittstelle zwischen Datenschutz und Informationssicherheit verringert zudem den Dokumentationsaufwand und spart Kosten.
verinice Datenschutzmodul 3 (Grundschutz)
Bettet die EU-weite rechtskonforme Dokumentation der DSGVO in die Vorgehensweise des modernisierten IT-Grundschutzes nach den BSI-Standards der 200er-Reihe in verinice ein.
verinice Risikokatalog inkl. Datenschutzmodul 3 (ISO/ISM)
Unterstützt das Verzeichnis der Verarbeitungstätigkeiten mit einem Datenschutz-Beispielkatalog, vereinfacht mit den technischen und organisatorischen Maßnahmen (TOMs) eine Orientierung an den Datenschutzzielen aus Art. 32 EU-DSGVO und ermöglicht die EU-weite rechtskonforme Umsetzung der Auftragsverarbeitung.
verinice Risikokatalog Plus (ISO 27001 / ISO 27019) inkl. Datenschutzmodul 3.0
Kombiniert den verinice Risikokatalog Plus (ISO 27001 / ISO 27019) mit dem verinice Datenschutzmodul 3
KRITIS
Für den KRITIS-Bereich sind folgende Zusatzmodule zum Kauf erhältlich:
verinice B3S Krankenhaus
Implementierung des Branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus) für verinice. Stand 2023: Version 1.2. Das Modul kann in verinice sowohl in der IT-Grundschutz- als auch der ISO/ISM-Perspektive genutzt werden.
verinice Risikokatalog Plus für Energienetzbetreiber
Das Modul ist in der Grundschutz-Edition sowie der ISM-Edition erhältlich. Der Risikokatalog Plus richtet sich insbesondere an Energienetzbetreiber, die den verpflichtenden IT-Sicherheitskatalog und darin befindliche Forderungen nach § 11 Abs. 1a EnWG umsetzen müssen. Mit Inhalten aus den Original-Standards DIN ISO/IEC TR 27019 (DIN SPEC 27019):2015-03 und DIN ISO/IEC 27002:2008, lizenziert über den Beuth Verlag.
Finance
Das Modul verinice PCI DSS bildet mit einem Anforderungskatalog den Payment Card Industry Data Security Standard (PCI DSS) in der ISM-Perspektive in verinice ab. Das Modul ermöglicht es, die Erfüllung der PCI-DSS-Anforderungen toolgestützt zu überprüfen. Anforderungen aus weiteren Standards/Normen oder Gesetzen (z.B. GDPR, HIPAA, ISO 27001 etc.) können außerdem komfortabel gemappt werden, um Redundanzen zu vermeiden und ein integriertes Management-System zu schaffen. Die zugehörigen Reports bieten aussagekräftige Übersichten zum Status Quo der Organisation.
IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des BSI zum IT-Grundschutz. Die aktuell für die Nutzung in verinice verfügbaren Versionen stehen zum kostenlosen Download bereit:
- IT-Grundschutz-Kompendium 11 Edition 2023
- IT-Grundschutz-Kompendium 10 Edition 2022
- IT-Grundschutz-Kompendium 9 Edition 2021
- IT-Grundschutz-Kompendium 8.1 Edition 2020
- IT-Grundschutz-Kompendium 7.1 Edition 2019
- IT-Grundschutz-Kompendium 3.1 Edition 2018
- IT-Grundschutz-Kompendium 15. EL
Zusammen mit den BSI-Standards bildet das Kompendium die Basis für den IT-Grundschutz. verinice hat das IT-Grundschutz-Kompendium des BSI lizenziert. Die regelmäßigen Veröffentlichungen des BSI können für verinice heruntergeladen und direkt in das ISMS-Tool eingebunden werden. Nutzende können so in der IT-Grundschutz-Perspektive sofort an die Umsetzung gehen.
Seit der Edition 2022 werden die Umsetzungshinweise nach Editionen sortiert zur Verfügung gestellt. Folgende Editionen der Umsetzungshinweise stellt das verinice-Team bereit:
- Umsetzungshinweise aus der Edition 2019
- Umsetzungshinweise aus der Edition 2020
- Umsetzungshinweise aus der Edition 2021
- Umsetzungshinweise aus der Edition 2022
IT-Grundschutz-Profile
Für verinice sind IT-Grundschutz-Profile als zusätzliche Module verfügbar. Außerdem können mit dem IT-Grundschutz-Profiler neue Profile erstellt, verwaltet und beim BSI eingereicht werden.
Folgende IT-Grundschutz-Profile sind bereits verfügbar:
- IT-Grundschutz-Profil für 5G-Campusnetze
Strukturierte Anleitung zur Implementierung von Sicherheitsmaßnahmen speziell für 5G-Campusnetze. - IT-Grundschutz-Profil E-Akte Bund
Blaupause für die Erstellung und Umsetzung eines fachspezifischen Sicherheitskonzepts zur E-Akte-Nutzung und dessen Integration in die übergreifende Sicherheitskonzeption. - IT-Grundschutz-Profil für Bundesgerichte
Bietet detaillierte Vorgaben zur Sicherstellung der Informationssicherheit während gerichtlicher Verfahren; auch für vergleichbare Landesgerichte. - IT-Grundschutz-Profil Handwerksbetriebe
Ermöglicht eine breite und grundlegende Erst-Absicherung anhand der in Handwerksbetrieben typischen Geschäftsprozesse Auftragsgewinnung, Angebotserstellung, Auftragsdurchführung und Abrechnung. - IT-Grundschutz-Profil Handwerkskammern
Definiert einen Mindest-Schutzbedarf anhand des Prozesses "Der (digitale) Weg zum Meister" - IT-Grundschutz-Profil Hochschulen
Enthält ausgehend von zentralen Geschäftsprozessen etwa 80 IT-Grundschutz-Bausteine, die für den Hochschulbereich geeignet sind und klare Umsetzungshinweise bieten. - IT-Grundschutz-Profil Kommunalverwaltung
Basiert auf dem BSI- Standard 200-2 "IT-Grundschutz-Methodik" und definiert die Mindestsicherheitsmaßnahmen, die in einer Kommunalverwaltung umzusetzen sind - IT-Grundschutz-Profil Leitstellen
Hilft dabei, einen Informationssicherheitsprozess in einer Leitstelle zu installieren und diesen an den entsprechenden Bedarf anzupassen. - IT-Grundschutz-Profil für Oberste Bundesbehörden
Überblick über die relevanten Prozessschritte der IT-Grundschutz-Methodik in einer obersten Bundesbehörde und individualisierbares Gerüst für Sicherheitskonzept. - IT-Grundschutz-Profil Oberste Landesbehörden Deutschlands
Bildet die Anforderungen einer Sicherheitskonzeption schematisch anhand einer obersten Landesbehörde in Deutschland für die Absicherung des Geschäftsprozesses "Beteiligung an der Normsetzung des Landes" ab - IT-Grundschutz-Profil für Papierfabriken
Maßnahmen entsprechend der Herangehensweise der Basis-Absicherung nach IT-Grundschutz für drei Geschäftsprozesse einer Muster-Papierfabrik - IT-Grundschutz-Profil Reedereien – Schiffsbetrieb
Sicherheitsanforderungen für vier typische Geschäftsprozesse im Schiffsbetrieb einer Muster-Reederei (technischer Betrieb, nautischer Betrieb, Ladungsbetrieb und Kommunikation) - IT-Grundschutz-Profil Reedereien – Landbetrieb
Mindest-Schutzbedarf für den Reedereibetrieb an Land in den Geschäftsprozessen Accounting und Technisches Management - IT-Grundschutz-Profil für Weltrauminfrastrukturen
Mindestanforderungen an die Cyber-Sicherheit für Satelliten – erste Maßnahmen, um die Handlungsziele der BSI-Strategie für Cyber-Sicherheit im Weltraum zu erreichen.
Basierend auf der IT-Grundschutz-Vorgehensweise "Standard-Absicherung" helfen die IT-Grundschutz-Profile Anwendenden, in die Informationssicherheit einzusteigen sowie die gravierendsten Schwachstellen zu erkennen. Außerdem unterstützen sie bei der weiterführenden Schutzbedarfsfeststellung und Risikoanalyse. Mit dem Grundschutz-Profiler bietet verinice die Möglichkeit, selbst Grundschutzprofile zu erstellen.
Mindeststandards des BSI
Folgende Mindeststandards des BSI sind derzeit für die Nutzung in verinice als zusätzliche Module zum kostenlosen Download im verinice.SHOP verfügbar:
Mindeststandard Protokollierung und Detektion von Cyber-Angriffen
Protokollierung und Detektion von sicherheitsrelevanten Ereignissen in der Kommunikationstechnik des Bundes, um Cyber-Angriffe auf die Bundesverwaltung erkennen und behandeln zu können.
Mindeststandard Mobile Device Management (MDM)
Definition von funktionalen und nicht-funktionalen Mindestsicherheitsanforderungen für den Betrieb eines MDM in der Bundesverwaltung.
Mindeststandard Schnittstellenkontrolle
Absicherung von Schnittstellen und Vorgaben zu Einsatz und Eigenschaften entsprechender Softwarelösungen für die Bundesverwaltung.
Mindeststandard Verwendung von Transport Layer Security (TLS)
Vorgaben für den korrekten Einsatz von TLS in der Bundesverwaltung, um die Absicherung der Übertragung und damit die Vertraulichkeit und die Integrität von Informationen sicherzustellen.
Mindeststandard Web-Browser
Sicherheitsanforderungen für Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden.
Mindeststandard Nutzung und Mitnutzung externer Cloud-Dienste
Sicherheitsanforderungen für die Nutzung und Mitnutzung von Cloud-Diensten durch die Bundesverwaltung.
Kataloge & Richtlinien
Der verinice Kriterienkatalog Cloud Computing C5 (Cloud Computing Compliance Criteria Catalogue) steht als zusätzliches Modul für den Einsatz in verinice zur Verfügung. Der Katalog basiert auf dem "Kriterienkatalog Cloud Computing C5:2020" des BSI. Er spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Angebote, deren Prüfende und Kunden.
Der verinice Kriterienkatalog Cloud Computing C5 ist kostenlos im verinice.SHOP erhältlich.
Demodaten
Einstieg in den IT-Grundschutz
Mit den Demodaten RecPlast GmbH stellt das verinice-Team eine Beispieldatenbank für den IT-Grundschutz bereit. Der Informationsverbund für das fiktive Unternehmen zeigt auf, wie eine Modellierung aussehen kann und erleichtert damit den Einstieg in den Modernisierten IT-Grundschutz bzw. den Umstieg.
Die RecPlast GmbH ist eine vom BSI entwickelte Beispielorganisation, die für die IT-Grundschutz-Perspektive in verinice modelliert wurde. Die Beispieldatenbank enthält Zielobjekte nach BSI-Standard 200-2. Für alle Bedrohungen sind Eintrittswahrscheinlichkeit sowie Auswirkung und dadurch auch alle Risikowerte gesetzt (BSI-Standard 200-3).
Sie erhalten mit der "RecPlast GmbH" einen guten ersten Einblick in die Vorgehensweise und das Arbeiten mit verinice.
Einstieg in das Notfallmanagement / Business Continuity Management
Für das Notfallmanagement sind die IT-Grundschutz-Variante verinice Business Continuity Management BCMS (200-4) nach BSI-Standard 200-4 und die ISM-Variante verinice Business Continuity Management BCMS (ISO 22301) als Demodaten im verinice.SHOP erhältlich. Die Beispieldatenbanken zeigen den Funktionsumfang zur Umsetzung eines Business Continuity Management Systems (BCMS) in verinice auf und erleichtern den Einstieg in das Themenfeld BCM.
Benutzerdefinierte Bausteine
Für verinice stehen vom BSI veröffentlichte Benutzerdefinierte Bausteine gebündelt in einem zusätzlichen, kostenlosen Modul zur Verfügung.
Bausteine sind die elementaren Bestandteile der IT-Grundschutz-Methodik. Sie enthalten die wichtigsten Anforderungen und Empfehlungen zur Absicherung einzelner oder komplexer Systeme und Prozesse und werden im IT-Grundschutz-Kompendium veröffentlicht. Das Konzept Benutzerdefinierte Bausteine gibt Anwendenden die Möglichkeit, ihre Expertise ebenfalls in den IT-Grundschutz einzubringen und bietet Anwendenden, die sich mit ähnlichen Themen befassen, die Möglichkeit das Know-how zu nutzen und bestenfalls weiter zu entwickeln.
Hinweise: Das BSI überprüft benutzerdefinierte Bausteine nicht inhaltlich und sie werden in der Regel nicht im IT-Grundschutz-Kompendium veröffentlicht. Die Bausteine wurden von IT-Grundschutz-Anwendenden erstellt und dem BSI zur Veröffentlichung zur Verfügung gestellt. Sie dürfen zur Nutzung im Rahmen von IT-Sicherheitskonzepten nach IT-Grundschutz ohne Zustimmung durch den Autor und Angabe eines Quellennachweises kostenfrei verwendet werden.