Unter C3A hat das BSI den C3A – Criteria enabling Cloud Computing Autonomy veröffentlicht. Ich habe ihn in das https://grca.planeth.de unter https://grca.planeth.de/de/grcaplaneth/opensource/source/26/ integriert.
Autor: Thorsten Planeth
-
Cloud Computing Compliance Criteria Catalogue (C5:2026)
Die Version 2026 des Cloud Computing Compliance Criteria Catalogue (C5:2026) wurde vor kurzem vom Bundesamt für Sicherheit in der Informationstechnik veröffentlicht. Erfreulicherweise wurde eine maschinenlesbare Version in Form von YML-Dateien veröffentlicht.
Heute habe ich diese auf grca.planeth.de importiert. Begehbar ist diese unter https://grca.planeth.de/de/grcaplaneth/opensource/source/24/
Bei dem Import sind mir zwei Dinge aufgefallen:
- Die Datei GC weicht von den übrigen in Bezug auf den Identifier / ID ab. Ebenfalls sind die Items anders strukturiert.
- Zwei weitere Dateien hatten in den Identifiern marginale Fehler, die der Parser aufgeworfen hatte und leicht zu beheben waren.
Insgesamt wäre es wünschenswert, wenn sich eine einheitliche Beschreibungssprache entwickeln würde.
-
Wie kommen die Daten in das GRCA-Tool?
Solltet Ihr Euch fragen, wie ich die externen Anforderungen importieren kann, so kann ich Einblicke gewähren:
- Manuell
Wenn nichts geht, muss ich manuell die Daten übertragen. Dann kopiert man aus einer PDF-Datei die Texte manuell in eine Tabelle und überträgt diese in die Plattform. Bringt es Spaß? Nein, das möchte ich Euch ersparen! - Automatisch über OSCAL
Es gibt von der NIST die Open Security Controls Assessment Language. Mit einem Interpreter kann man die Daten charmant importieren. Ein erster – nicht perfekter – Interpreter ist fertig. Ich arbeite dran! - Automatisch über YML-Dateien
Das BSI hat YML-Dateien angeboten. Das ist top! Damit kann man die Daten einfach und schnell importieren. - Automatisch über XML-Dateien
Das Bundesjustizministerium stellt die Gesetze als XML-Datei bereit. Ebenfalls top! Ein Import ist rasch möglich!
Müsst Ihr einen Interpreter für die jeweiligen Datenquellen bauen? Ja – kann man machen!
Oder Nein! Es muss nur einer die Daten in ein einheitliches Format bringen, so dass man die Daten wieder woanders importieren kann.
Ihr seht: Der Vorteil einer gemeinsamen Plattform beginnt bereits, ehe die große Zusammenarbeit startet!
- Manuell
-
DORA in Control Framework
Von NOREA, de beroepsorganisatie van IT-auditors habe ich das DORA in Control Framework in das grca.planeth integrieren dürfen. Vielen Dank dafür!:
Das Control Framework organisiert DORA in 95 Controls:
Jedem Control sind die jeweiligen DORA-Artikel zugeordnet:
Hier ist der Link zum DORA Control Framework in grca.planeth
-
grca.planeth.de: POC gestartet
Mit diesem Blog möchte ich Euch an dem Fortschritt von grca.planeth.de teilhaben lassen. Es ist rein privat. Es hat weder mit meinem Arbeitgeber noch mit den Workshops und Verbänden zu tun, in denen ich tätig war oder bin.
Was ist grca.planeth.de? – Warum sehe ich nichts?
grca.planeth.de steht für
- G overnance
- R isk
- C ompliance
- A udit
und ist von mir, Thorsten Planeth, erstellt – daher grca.planeth.de!
Es richtet sich ausschließlich an Revisorinnen und Revisoren und soll dem Austausch dienen. Daher sind Zugangsdaten erforderlich. Und es befindet sich erst im Aufbau!
Mein Ziel
Ich möchte gerne Arbeit sparen:
Wenn ich die externen Anforderungen, relevanten Standards und Risiken zu einem Audit Object zusammengetragen habe, wieso kann ein anderer Revisor dieses nicht nutzen?
Und umgekehrt?
Und hier fängt grca.planeth.de an!
Ich möchte mit Euch externe Anforderungen mit Euch zerlegen und mit frei zugänglichen Standards verbinden.
Am Ende sollten Audit Objekte herauskommen, die jeder verwenden kann.
Was ist bisher passiert?
- Ich habe dieses WordPress-Blog aufgesetzt, um einfach eine Hilfe aufzusetzen.
- https://grca.planeth.de ist live gegangen. Es ist eine eigene Anwendung auf einem eigenen Server.