{ "class": "BSI-Stand-der-Technik-Kernel", "controls": [ { "class": "BSI-Stand-der-Technik-Kernel", "id": "DET.5.1.1", "params": [ { "id": "det.5.1.1-prm1", "label": "risikobasierten Kriterien", "props": [ { "name": "alt-identifier", "value": "a9af82d7-44b8-412c-b8a0-becbda9b1da9" } ] }, { "id": "det.5.1.1-prm2", "label": "einer Frist", "props": [ { "name": "alt-identifier", "value": "a9af82d7-44b8-412c-b8a0-becbda9b1da9" } ] } ], "parts": [ { "id": "DET.5.1.1_stm", "name": "statement", "props": [ { "name": "documentation", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", "value": "Schwachstellenregister" }, { "name": "result", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "erkannte Schwachstellen" }, { "name": "result_specification", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "anhand von {{risikobasierten Kriterien}} innerhalb {{einer Frist}}" }, { "name": "action_word", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", "value": "überprüfen" }, { "name": "modal_verb", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", "value": "KANN" } ], "prose": "Detektion KANN erkannte Schwachstellen anhand von {{ insert: param, det.5.1.1-prm1 }} innerhalb {{ insert: param, det.5.1.1-prm2 }} überprüfen." }, { "id": "DET.5.1.1_gdn", "name": "guidance", "prose": "Bei einer risikobasierten Priorisierung wird nicht nur die Ausnutzbarkeit der Schwachstelle im Allgemeinen, z.B. durch einen CVS-Score, zur Priorisierung herangezogen, sondern die Beurteilung erfolgt durch eine Kombination solcher generellen Informationen mit dem individuellen Risikoprofil der betroffenen Assets. Dies ermöglicht es, Schwachstellen deutlich passgenauer zu beurteilen und die wirklich kritischen Schwachstellen zuerst zu patchen oder mitigieren. Hierzu können CVSS-Score, Informationen aus der Threat Intelligence und aus der Risikobewertung von Geschäftsprozessen kombiniert werden. Hierbei können auch automatisierte Verfahren angewendet werden, z.BMultiplikation von Kennzahlen zur Risikobewertung und von CVSS in Kombination mit Schwellwerten. Ergebnisdokument kann z.B. eine Risikomatrix, oder eine eigene CVE-Bewertungsrubrik sein." } ], "props": [ { "name": "alt-identifier", "value": "a9af82d7-44b8-412c-b8a0-becbda9b1da9" }, { "name": "sec_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", "value": "erhöht" }, { "name": "effort_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", "value": "5" }, { "name": "tags", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", "value": "Advanced Persistent Threats (APT)" } ], "title": "Risikobasierte Priorisierung" } ], "id": "DET.5.1", "parts": [ { "id": "DET.5.1_stm", "name": "statement", "props": [ { "name": "documentation", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", "value": "Schwachstellenregister" }, { "name": "result", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "Verfahren und Regelungen zur Erkennung und Behandlung von Schwachstellen" }, { "name": "action_word", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", "value": "verankern" }, { "name": "modal_verb", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", "value": "SOLLTE" } ], "prose": "Detektion SOLLTE Verfahren und Regelungen zur Erkennung und Behandlung von Schwachstellen verankern." }, { "id": "DET.5.1_gdn", "name": "guidance", "prose": "Relevant können hierbei verschiedene Arten von Schwachstellen sein (z.B. Physisch und im Netz, Orte, Adressbereiche, Anwendungen und Ports). Zur Erkennung können Schwachstellenscans, Pentests und ein Abgleich der eigenen Infrastruktur mit öffentlichen Schwachstellendatenbanken genutzt werden. Zur Beurteilung der Kritikalität können Scoring-Systeme wie CVSS oder Berichte der betroffenen Hersteller oder Dienstleister herangezogen werden. Zur Behandlung können z.B. Sicherheitspatches, die Deaktivierung betroffener (Teil-)Funktionen oder Komponenten oder die Isolierung betroffenen Systeme oder Anwendungen in Frage kommen. Für Details siehe ISO/IEC 30111." } ], "props": [ { "name": "alt-identifier", "value": "43918e89-a15c-490e-9cb5-94444c7e9299" }, { "name": "sec_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", "value": "normal-SdT" }, { "name": "effort_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", "value": "4" }, { "name": "tags", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", "value": "Advanced Persistent Threats (APT)" } ], "title": "Zeitnahes Schwachstellenmanagement" }