Ja, verinice wird laufend durch das verinice.TEAM weiter entwickelt:
Speziell für Testzwecke steht verinice.EVAL bereit: Diese Evaluierungsversion ist kostenfrei und mit nahezu allen Funktionen ausgestattet – nur das Reporting ist nicht enthalten. Es können also alle Eigenschaften eines ISMS-Werkzeuges getestet werden; lediglich auf den Export von Berichten in beliebigen Formaten müssen TesterInnen verzichten. Die Reporting-Funktion steht nur in der Vollversion von verinice zur Verfügung.
verinice.EVAL ist ebenfalls über den verinice.SHOP zu beziehen.
verinice ist frei, offen und erweiterbar: Dadurch ist das Tool in der Lage, jeden beliebigen Standard abzubilden. Bereits integriert sind der BSI IT-Grundschutz, ISO 2700x und VDA ISA. Mittels der umfangreichen Importfunktionen ist es möglich, je nach Nutzerbedarf weitere Standards und Kataloge zu ergänzen.
Zu den mit verinice umsetzbaren Standards gehören u.a. (Liste nicht abschließend):
Kontaktieren Sie uns gerne, wenn Sie wissen möchten, ob sich ein bestimmter Standard in verinice abbilden lässt. Senden Sie eine E-Mail an das verinice.TEAM unter verinice@sernet.de.
verinice arbeitet mit der Version des IT-Grundschutzkompendiums bzw. der IT-Grundschutzkataloge, die Sie von den BSI-Webseiten beziehen.
Das BSI hat der Verwendung des Grundschutzkompendiums /der Grundschutzkataloge in verinice offiziell zugestimmt! Die Verwendung der Inhalte wurde durch die SerNet GmbH in einem Lizenzierungsvertrag mit dem BSI geregelt, so dass Sie die Inhalte genau wie das Tool selbst kostenfrei nutzen können.
Das Verwalten einer Verarbeitungsübersicht (Verfahrensverzeichnis = Verzeichnis der automatisierten Verfahren mit denen personenbezogene Daten verarbeitet werden) nach § 4g II i.V.m. § 4e BDSG ist mit verinice inklusive Berücksichtigung der technisch-organisatorischen Maßnahmen gemäß der Anlage zu §9 BDSG vollständig möglich.
Seit verinice 1.7 ist ein Maßnahmen-Katalog mit technischen und organisatorischen Maßnahmen nach § 9 BDSG gem. IT-Grundschutz oder VDA ISA verfügbar. Ebenso steht ein Report zur Verfügung, der die Ausgabe der Verarbeitungsübersicht nach BDSG inkl. Berücksichtigung der Maßnahmen ermöglicht. (Download der dafür nötigen Report-Vorlage und Beispiel-Organisation)
verinice selbst ist ein Tool für das reine Sicherheitsmanagement. Es hilft dabei, Informationssicherheit in Organisationen zu etablieren, zu dokumentieren und zu optimieren. Ein Schwachstellenscan ist aber mit dem Greenbone Security Manager (GSM) möglich, der die Ergebnisse an verinice überträgt. Die Kopplung ermöglicht es auch, Maßnahmen zur Beseitigung der Schwachstellen einzuleiten, Aufgaben sowie Zuständigkeiten zuzuweisen und den Erfolg durch erneute Scans zu überprüfen.
verinice benutzt eine ZIP-Datei mit dem Inhalt der Grundschutzkataloge. Beim Download über Safari packt dieser die ZIP-Datei automatisch aus, wodurch sie in verinice nicht mehr angegeben werden kann.
Deaktivieren Sie das automatische Auspacken von ZIP-Dateien in Safari über Safari Einstellungen > Allgemein > Sichere Dateien nach dem Laden öffnen.
Alternativ können Sie auch einen anderen Browser (z.B. Chrome / Firefox) verwenden.
Falls Sie eine frühere Ergänzungslieferung der Grundschutzkataloge einbinden möchten, finden Sie diese ebenfalls in den verinice-Downloads unter der Kategorie "Kataloge und Mehr".
Ihre Datei muss in den Einstellungen von verinice ausgewählt werden:
Menu -> Einstellungen -> BSI IT-Grundschutz -> <DATEINAME.zip>
Falls die veränderten Inhalte nach dem Einlesen nicht angezeigt werden, schließen Sie bitte die Anwendung. Löschen Sie dann den Ordner gscache. Er befindet sich im verinice-Heimatverzeichnis Ihres
Benutzers, unter Windows 7 z.B. hier: C:\Benutzer\<Benutzername>\verinice\workspace\gscache
Löschen Sie den Ordner gscache mitsamt aller enthaltenen Dateien und starten danach den Client neu. Die neuen Kataloge sollten nun nochmals eingelesen werden.
Für Anwender von verinice.PRO liegt die Ergänzungslieferung als neues RPM-Paket im Repository, das über den gewöhnlichen Update-Befehl eingespielt werden kann. Nach dem Update des RPM-Pakets muss die Konfiguration des verinice.PRO Servers geändert werden, damit die neue Datei eingelesen wird. Ändern Sie in der Datei:
/usr/share/tomcat6/webapps/veriniceserver/WEB-INF/veriniceserver-plain.properties
die Property
veriniceserver.grundschutzKataloge
auf den Wert:
veriniceserver.grundschutzKataloge=/WEB-INF/<DATEINAME.zip>
Um den neuen Grundschutzkatalog sofort einzubinden, muss der Cache des Applikationsservers geleert werden. Gehen Sie dazu wie folgt vor:
Die vorkonfigurierte Sprache von verinice ist immer die des Betriebssystems (über Umgebungsvariablen erkannt).
Von Hand ändern kann man dies, indem man in die Datei <verinice-Installationsordner>/verinice.ini einträgt:
Wählen Sie den ersten Eintrag für englische Sprache oder den zweiten für deutsche Sprache.
Wenn verinice unter Windows 7 oder Vista unter "C:\Programme"
installiert wird, muss das Update mit Administratorrechten ausgeführt
werden (siehe Link). Sonst schlägt es fehl. Schuld daran ist der
"VirtualStore" Mechanismus von Windows Vista / Windows 7:
social.msdn.microsoft.com/Forums/en/windowssecurity/thread/e85a62b7-d7c6-4d77-8b4c-11d5892b7218
Die Alternative ist, verinice in einem Ordner zu installieren, in dem
Ihr normaler Benutzer Schreibrechte hat, z.B. unter C:\<Benutzer>\.
Um problemlos mit verinice-MySQL-Datenbank-Dumps unter Linux arbeiten zu können, sollte der MySQL-Dienst unter Linux mit der Option
lower_case_table_names=1
(eingefügt in die Datei /etc/my.cnf) neu gestartet werden, um so die Groß- und Kleinschreibung zu ignorieren.
(Danke an R. Maczkowsky, m-privacy.de)
Um einen Datenimport aus dem GS-Tool vorzunehmen, wird die Portnummer des SQL-Server-Dienstes gebraucht. Diese Portnummer müssen Sie bei den Einstellungen zum GSTOOL-Import in verinice eingeben.
Die Portnummer können Sie folgendermaßen herausfinden: Der SQL-Server läuft auf dem System, auf dem GSTOOL installiert ist, ständig im Hintergrund. Klicken Sie auf "Windows Start" / "Ausführen...". Aktivieren Sie die Eingabezeile und tippen "cmd" ein - bestätigen Sie die Eingabe mit "OK". In das neu geöffnete Kommandozeilenfenster tippen Sie bitte den Befehl "netstat -a -b" ein. Eine Tabelle mit aktuellen Verbindungen wird angezeigt. Hier suchen Sie in der ersten Spalte nach "[sqlservr.exe]", bei der der Status in der dritten Spalte auf "LISTEN" oder "ABHÖREN" steht. Eine Zeile über "[sqlservr.exe]" finden Sie hinter dem Hostnamen und einem Doppelpunkt die Portnummer als (meist vierstellige) Zahl. Dies ist die für den Import benötigte Portnummer, die Sie in den verinice-Einstellungen für den GS-Tool-Import eintragen müssen.
Wenn man zwei Objekte miteinander verknüpfen will und diese Funktion bisher nicht in verinice implementiert ist, so kann man das selbst ergänzen!
In der Datei "SNCA.xml" kann man solche Verknüfungsmöglichkeiten nachträglich einbauen. Diese Datei liegt bei verinice.PRO im Ordner "../WEB-INF" und in der Standalone-Version von verinice im JAR-File "sernet.gs.server.jar" (Dieses Jar-File lässt sich mit Programmen wie z.B. WinZIP öffnen).
Tragen Sie dort nun eine Beziehung als <huirelation> zusätzlich ein. Beispiele hierzu finden Sie in der Datei selbst.
Mit dem CSV-Import-Wizard können Sie beliebige vorhandene Objekte in tabellarischer Form in verinice leicht einlesen.
Eine ausführliche Anleitung finden Sie im verinice-Handbuch in Kap. 11.6.
