SecDoc issueshttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues2023-06-19T15:14:06+02:00https://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/122Option für Gruppierungsdokumentationen2023-06-19T15:14:06+02:00Dustin Gawrond.gawron@uni-muenster.deOption für GruppierungsdokumentationenEine Möglichkeit die Verknüpfungen zu nutzen, ist das Anlegen von "Sammeldokumentationen", die verschiedene separate Dokumentationen zusammenfassen und so ein einfaches Verknüpfen ermöglichen.
Im Sinne des BSI IT-Grundschutz-Vorgehens h...Eine Möglichkeit die Verknüpfungen zu nutzen, ist das Anlegen von "Sammeldokumentationen", die verschiedene separate Dokumentationen zusammenfassen und so ein einfaches Verknüpfen ermöglichen.
Im Sinne des BSI IT-Grundschutz-Vorgehens handelt es sich dabei aber nicht um tatsächliche "Objekte", sodass diese eigentlich in der Grundschutz-Ansicht nicht so angezeigt werden sollten. Evtl. sollte über eine Möglichkeit nachgedacht werden, Dokumentationen als "Sammeldokumentation" zu deklarieren, um diese dann auszublenden.Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/118Verbesserungen DSB/ISB-Ansicht2023-06-19T15:13:54+02:00Dustin Gawrond.gawron@uni-muenster.deVerbesserungen DSB/ISB-Ansicht* [ ] Aktuellen Umsetzungsstand als einen Wert in der Dokumentationsübersicht anzeigen* [ ] Aktuellen Umsetzungsstand als einen Wert in der Dokumentationsübersicht anzeigenZukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/117Verbesserungen für die IT-Grundschutz-Ansicht2023-06-19T15:13:44+02:00Dustin Gawrond.gawron@uni-muenster.deVerbesserungen für die IT-Grundschutz-Ansicht* [ ] Anzahl der zugehörigen Systeme bei IT-System/Fachapplikation in der Objektübersicht anzeigen* [ ] Anzahl der zugehörigen Systeme bei IT-System/Fachapplikation in der Objektübersicht anzeigenZukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/103Ausblenden von Nutzergruppen in der Suche2023-06-19T15:16:25+02:00Dustin Gawrond.gawron@uni-muenster.deAusblenden von Nutzergruppen in der SucheEinige Einrichtungen haben Nutzergruppen im AD/LDAP, die für Nutzer nicht angezeigt werden sollen. Bei der initialen Anzeige der Nutzergruppen des aktuellen Nutzers kann dies auch nicht über den `ldap_filter` erreicht werden.
Lösungsvor...Einige Einrichtungen haben Nutzergruppen im AD/LDAP, die für Nutzer nicht angezeigt werden sollen. Bei der initialen Anzeige der Nutzergruppen des aktuellen Nutzers kann dies auch nicht über den `ldap_filter` erreicht werden.
Lösungsvorschlag:
* [ ] Einbau einer `ldap_ignore_groups` Konfigurationsvariable, die bei beiden Anfragen Gruppen filtert (Gruppen können dann auch nicht mehr für Rollen genutzt werden!)
* [ ] Einbau einer `suggestions_disable_initial_groups` Konfigurationsvariable, die die initale Anzeige der eigenen Nutzergruppen abschaltetZukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/101Vorgehen für neue Abhängigkeiten klären2022-01-17T13:41:36+01:00Dustin Gawrond.gawron@uni-muenster.deVorgehen für neue Abhängigkeiten klärenAbhängigkeiten sollen möglichst umfassend genutzt werden, um doppelte Dokumentationen zu vermeiden und möglichst viele Dokumentationen gemeinsam betrachten zu können. Die aktuelle Umsetzung sollte angepasst werden oder mit zusätzlichen H...Abhängigkeiten sollen möglichst umfassend genutzt werden, um doppelte Dokumentationen zu vermeiden und möglichst viele Dokumentationen gemeinsam betrachten zu können. Die aktuelle Umsetzung sollte angepasst werden oder mit zusätzlichen Hinweisen für Nutzer versehen werden, damit die Nutzung ordnungsgemäß erfolgt.
Aktueller Stand:
* Abhängigkeiten müssen nicht verplichtend aus der Liste der vorhadenen Dokumentationen ausgewählt werden (Hintergrund: Platzhalter möglich für fehlende Dokumentationen)
* Schnell-Anlegen von Abhängigkeiten ist nur für Manager- und DSB/ISB-Rolle möglich
Verbesserungs-Ideen:
* Abhängigkeiten zwingend aus der Liste auswählbar machen (wie Berechtigungen)?
* Zwingt die Nutzer zum Anlegen oder Ignorieren, wenn nichts passendes
* Benötigt Hinweise, wie neue Dokumentationen angelegt werden sollen und/oder an wen sich die Nutzer wenden müssen
* Schnell-Anlegen von Abhängigkeiten für alle Nutzer freigeben?
* Könnte zu vielen Duplikaten führen, wenn nicht die passende Abhängigkeit gefunden wird
* Ansprechpartner müsste korrekt eingetragen und informiert werden => evtl. sind Ansprechpartner garnicht bekannt
* Organisatorisch lösen und Nutzer zum Kontakt mit (dezentralen) DSBs/ISBs auffordern?
* DSBs/ISBs könnten Anfragen koordinieren und Duplikate vermeiden
* Ansprechpartner könnten einfacher ermittelt werdenZukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/91Verbesserung der Suche bzw. Filtermöglichkeit2023-06-19T15:16:47+02:00Thorsten KüferVerbesserung der Suche bzw. FiltermöglichkeitVerbesserung der Suche bzw. Filtermöglichkeit von Dokumentationen in der Übersichtsliste (von Verarbeitungstätigkeite/Fachanwendungen/IT-Systemen), ggfs. analog zu DSB-Ansicht umsetzen.
* [ ] Suchterm z.B. auch in Organisationseinheiten...Verbesserung der Suche bzw. Filtermöglichkeit von Dokumentationen in der Übersichtsliste (von Verarbeitungstätigkeite/Fachanwendungen/IT-Systemen), ggfs. analog zu DSB-Ansicht umsetzen.
* [ ] Suchterm z.B. auch in Organisationseinheiten oder Abhängigkeiten suchen?
* Problem: Ergebnisse werden dann unter Umständen nicht direkt nachvollziehbar
* [x] Suche über SecDoc-ID (geht schon)
* [ ] Suchmöglichkeit pro Spalte wie in DSB-Ansicht umsetzen?
* [ ] Drop-Down-Box mit Filter auf Organisationseinheiten anbieten?Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/74Klassifizierung für angehängte Dokumente2022-01-17T13:41:23+01:00Dustin Gawrond.gawron@uni-muenster.deKlassifizierung für angehängte DokumenteMöglichkeit zur Angabe der Klassifizierung der angehängten Dokumente (öffentlich, intern, vertraulich, geheim) und in Gesamt-PDF entsprechend markieren.
* **Wie mit vertraulichen/geheimen Daten umgehen?** -
Aktuell kann jeder mit lesend...Möglichkeit zur Angabe der Klassifizierung der angehängten Dokumente (öffentlich, intern, vertraulich, geheim) und in Gesamt-PDF entsprechend markieren.
* **Wie mit vertraulichen/geheimen Daten umgehen?** -
Aktuell kann jeder mit lesendem Zugriff Dokumente einsehen und die Trennung wäre im aktuellen Systeme nicht einfach möglich (keine Möglichkeit verschiedene PDFs für verschiedene Berechtigungsstufen zu erzeugen; Lücken in der Dokumentenverwaltung).
=> Aktuell schwer umzusetzen (bisher nur eine Version der Abschluss-PDF; Rechteverwaltung hat nur 3 Stufen - kein Zugriff/Lesen/Schreiben; große Probleme mit Verwendung und Anzeige in Abhängigkeiten)Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/66Update der TOM- und Vorschläge-Imports2023-06-19T15:15:45+02:00Dustin Gawrond.gawron@uni-muenster.deUpdate der TOM- und Vorschläge-Imports* [ ] TOM Einträge überprüfen
* [ ] Update Skript für vollständige TOMs?
* [ ] Ebenen Zuweisung aktualisieren
* [ ] Eingabevorschläge erweitern
* [ ] Demo-DB aktualisieren* [ ] TOM Einträge überprüfen
* [ ] Update Skript für vollständige TOMs?
* [ ] Ebenen Zuweisung aktualisieren
* [ ] Eingabevorschläge erweitern
* [ ] Demo-DB aktualisierenZukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/47Gewährleistungsziele aus SDM integrieren2022-01-17T13:43:17+01:00Thorsten KüferGewährleistungsziele aus SDM integrierenDas SDM verwendet zur Systematisierung datenschutzrechtlicher Anforderungen
sieben „Gewährleistungsziele“ (siehe SDM A4, C1).
* Datenminimierung,
* Verfügbarkeit,
* Integrität,
* Vertraulichkeit,
* Nichtverkettung,
* Transparenz,
* Inte...Das SDM verwendet zur Systematisierung datenschutzrechtlicher Anforderungen
sieben „Gewährleistungsziele“ (siehe SDM A4, C1).
* Datenminimierung,
* Verfügbarkeit,
* Integrität,
* Vertraulichkeit,
* Nichtverkettung,
* Transparenz,
* Intervenierbarkeit.
Wie lassen sich diese integrieren?
* [ ] Tabelle mit Zuordnungen Anforderung<->Gewährleistungsziel(e) und gesonderte Darstellung?Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/42Verwendung von ZKI Grundschutzprofilen2022-01-17T13:44:19+01:00Dustin Gawrond.gawron@uni-muenster.deVerwendung von ZKI GrundschutzprofilenZKI Grundschutzprofil für Hochschulen verwendbar machen als Ausfüllhilfen für TOMs.ZKI Grundschutzprofil für Hochschulen verwendbar machen als Ausfüllhilfen für TOMs.Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/23Diverse Feature- und Verbesserungsvorschläge2021-11-26T10:28:47+01:00Dustin Gawrond.gawron@uni-muenster.deDiverse Feature- und Verbesserungsvorschläge# Anbindung/Import/Export
* [ ] [Verinice](https://verinice.com/) Anbindung zur weiteren Verarbeitung/Auswertung der gesammelten Daten
* [ ] Import bestehender Dokumentationen (z.B. aus Excel)
* [x] Template-Management mit Ex-/Import => ...# Anbindung/Import/Export
* [ ] [Verinice](https://verinice.com/) Anbindung zur weiteren Verarbeitung/Auswertung der gesammelten Daten
* [ ] Import bestehender Dokumentationen (z.B. aus Excel)
* [x] Template-Management mit Ex-/Import => #72
* [ ] Komplexere Ex-/Import-Funktion (Zusammenhänge zwischen Ebenen beibehalten)
# Bedienbarkeit
* [ ] Import von Kategorien von Nutzerdaten (z.B. automatisch Einträge für SAP-gepflegte Nutzerdaten im Wizard anlegen)
* [ ] DB-Updates auskoppeln und manuell ausführbar machen
* [ ] Durchsuchbare TOM-Liste
* [ ] Masseneditor für Dokumentationen anbieten
* [ ] Verschiedene Nutzer in Demo-Instanz anbieten (z.B. um Lese-/Schreibberechtigungen zu testen)
* [ ] TOMs vorausfüllen/vererben (zentral TOMs als erfüllt markieren und als read-only übernehmen? Import/Auswahl von fertig ausgefüllten Katalogen? Vererben aus Abhängigkeiten?)
* [ ] Sortierung der Maßnahmen nach Wichtigkeit? (R-Werte im Maßnahmenkatalog?)
# Neue Funktionen
* [x] Generierung von Informationsblättern für Betroffene (z.B. für Auskunftsanfragen) => #73
* [ ] Verträge zur Datenverarbeitung laut GDPR/Auftragsdatenverarbeitung
* [ ] Möglichkeit zur Anzeige von wichtigen Änderungen/Neuerungen für Endnutzer
* [ ] Abfrage der TOMs anhand von dazugehörigen Prüffragen (granularer bearbeitbar; allerdings mehr Aufwand für Nutzer) und Gesamtumsetzungsstand ermitteln
* [ ] Review-Prozess einbauen/etablieren (evtl. neuen "In Review"-Status)
* [ ] E-Mail-Benachrichtigungen bei Änderung von Verantwortlichen oder Berechtigungen
* [ ] Über Aktualisierungen von gewählten Abhängigkeiten informieren (evtl. Abhängigkeit an Version koppeln?)
* [ ] Auswertungsfunktionen nach verschiedenen Standards BSI/SDM/ISO (Mapping zwischen Anforderungen notwendig!)
* [ ] Hinterlegung von Prüfvermerken (bestimmter Rollen) ermöglichen / Erzeugung von Prüfvermerk-Dokumenten (Formular Marc)
* [ ] Wiedervorlage-Datum bei Bearbeiterweitergabe (Erinnerung/Benachrichtigung bei Überschreitung)
* [ ] Schutzbedarfsermittlung einbauen (Anhand von Prüffragen; siehe BSI oder SDM)
* [ ] Anbindung an d.3 Dokumentenverwaltung
# Sonstiges
* [ ] Code-Review (Verwendung von let/var; einheitliche Strukturierung; Dokumentation/Kommentare verbessern)
* [ ] Guten Update-Ablauf planen und dokumentieren
* [ ] Schwachstellenscans durchführen (z.B. mit [OWASP ZAP](https://www.zaproxy.org/docs/automate/))
* [x] Wartungs-/Read-Only-Modus für Updates oder Anpassungen => #62Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/22Textvorschläge für Eingabefelder überarbeiten2021-07-12T16:56:22+02:00Dustin Gawrond.gawron@uni-muenster.deTextvorschläge für Eingabefelder überarbeiten* [ ] Review der vorhandenen Beispielvorschläge (siehe [Default_Suggestions.sql](assets/sql/Default_Suggestions.sql))
* [ ] Neue Vorschläge für weitere Eingabefelder ergänzen
* [ ] Automatisierte Erweiterung der Vorschläge mit bisherigen...* [ ] Review der vorhandenen Beispielvorschläge (siehe [Default_Suggestions.sql](assets/sql/Default_Suggestions.sql))
* [ ] Neue Vorschläge für weitere Eingabefelder ergänzen
* [ ] Automatisierte Erweiterung der Vorschläge mit bisherigen Nutzereingaben?Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/13Weitere Anmeldemöglichkeiten2022-01-17T13:43:11+01:00Dustin Gawrond.gawron@uni-muenster.deWeitere Anmeldemöglichkeiten* [x] Login-Oberfläche
* [x] Modulare/Erweiterbare Authentifizierungsmethoden
* [x] LDAP Authentifizierung
* [ ] Shibboleth-Authentifizierung (Über Reverse-Proxy + Server Variablen? Oder direkt integriert z.B. mit [SimpleSAML](https:...* [x] Login-Oberfläche
* [x] Modulare/Erweiterbare Authentifizierungsmethoden
* [x] LDAP Authentifizierung
* [ ] Shibboleth-Authentifizierung (Über Reverse-Proxy + Server Variablen? Oder direkt integriert z.B. mit [SimpleSAML](https://simplesamlphp.org/)?)Zukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/10Mehrsprachigkeit2021-06-09T15:02:34+02:00Dustin Gawrond.gawron@uni-muenster.deMehrsprachigkeit* Wechsel der Sprache in SecDoc
* Dokumentation auf Englisch anbieten* Wechsel der Sprache in SecDoc
* Dokumentation auf Englisch anbietenZukünftige Versionenhttps://zivgitlab.uni-muenster.de/secdoc/secdoc/-/issues/9Versionierung2021-06-17T12:57:14+02:00Dustin Gawrond.gawron@uni-muenster.deVersionierung* Verschiedene Versionen abgeschlossener Verfahren speichern
* Anzeige gelöschter Verfahren zur evtl. Wiederherstellung
* Verlauf von Bearbeitungen (Unterschiedene zwischen Versionen anzeigen?)* Verschiedene Versionen abgeschlossener Verfahren speichern
* Anzeige gelöschter Verfahren zur evtl. Wiederherstellung
* Verlauf von Bearbeitungen (Unterschiedene zwischen Versionen anzeigen?)Zukünftige Versionen