diff --git a/admin-compliance/app/sdk/control-provenance/page.tsx b/admin-compliance/app/sdk/control-provenance/page.tsx index 49d29fb..66aa9d8 100644 --- a/admin-compliance/app/sdk/control-provenance/page.tsx +++ b/admin-compliance/app/sdk/control-provenance/page.tsx @@ -72,6 +72,132 @@ aus geschuetzten Quellen uebernommen. - **UrhG §23** — Hinreichender Abstand zum Originalwerk durch eigene Formulierung - **BSI Nutzungsbedingungen** — Kommerzielle Nutzung nur mit Zustimmung; wir nutzen BSI-Dokumente ausschliesslich als Analysegrundlage, nicht im Produkt`, + }, + { + id: 'filters', + title: 'Filter in der Control Library', + content: `## Dropdown-Filter + +Die Control Library bietet 7 Filter-Dropdowns, um die ueber 3.000 Controls effizient zu durchsuchen: + +### Schweregrad (Severity) + +| Stufe | Farbe | Bedeutung | +|-------|-------|-----------| +| **Kritisch** | Rot | Sicherheitskritische Controls — Verstoesse fuehren zu schwerwiegenden Risiken | +| **Hoch** | Orange | Wichtige Controls — sollten zeitnah umgesetzt werden | +| **Mittel** | Gelb | Standardmaessige Controls — empfohlene Umsetzung | +| **Niedrig** | Gruen | Nice-to-have Controls — zusaetzliche Haertung | + +### Domain + +Das Praefix der Control-ID (z.B. \`AUTH-001\`, \`SEC-042\`). Kennzeichnet den thematischen Bereich. +Die haeufigsten Domains: + +| Domain | Anzahl | Thema | +|--------|--------|-------| +| SEC | ~700 | Allgemeine Sicherheit, Systemhaertung | +| COMP | ~470 | Compliance, Regulierung, Nachweispflichten | +| DATA | ~400 | Datenschutz, Datenklassifizierung, DSGVO | +| AI | ~290 | KI-Regulierung (AI Act, Transparenz, Erklaerbarkeit) | +| LOG | ~230 | Logging, Monitoring, SIEM | +| AUTH | ~200 | Authentifizierung, Zugriffskontrolle | +| NET | ~150 | Netzwerksicherheit, Transport, Firewall | +| CRYP | ~90 | Kryptographie, Schluesselmanagement | +| ACC | ~25 | Zugriffskontrolle (Access Control) | +| INC | ~25 | Incident Response, Vorfallmanagement | + +Zusaetzlich existieren spezialisierte Domains wie CRA, ARC (Architektur), API, PKI, SUP (Supply Chain) u.v.m. + +### Status (Release State) + +| Status | Bedeutung | +|--------|-----------| +| **Draft** | Entwurf — noch nicht freigegeben | +| **Approved** | Freigegeben fuer Kunden | +| **Review noetig** | Muss manuell geprueft werden | +| **Zu aehnlich** | Too-Close-Check hat Warnung ausgeloest | +| **Duplikat** | Wurde als Duplikat eines anderen Controls erkannt | + +### Nachweis (Verification Method) + +| Methode | Farbe | Beschreibung | +|---------|-------|-------------| +| **Code Review** | Blau | Nachweis durch Quellcode-Inspektion | +| **Dokument** | Amber | Nachweis durch Richtlinien, Prozesse, Schulungen | +| **Tool** | Teal | Nachweis durch automatisierte Scans/Monitoring | +| **Hybrid** | Lila | Kombination aus mehreren Methoden | + +### Kategorie + +Thematische Einordnung (17 Kategorien). Kategorien sind **thematisch**, Domains **strukturell**. +Ein AUTH-Control kann z.B. die Kategorie "Netzwerksicherheit" haben. + +### Zielgruppe (Target Audience) + +| Zielgruppe | Bedeutung | +|------------|-----------| +| **Unternehmen** | Fuer Endkunden/Firmen relevant | +| **Behoerden** | Spezifisch fuer oeffentliche Verwaltung | +| **Anbieter** | Fuer SaaS/Plattform-Anbieter | +| **Alle** | Allgemein anwendbar | + +### Dokumentenursprung (Source) + +Filtert nach der Quelldokument-Herkunft des Controls. Zeigt alle Quellen sortiert nach +Haeufigkeit. Die wichtigsten Quellen: + +| Quelle | Typ | +|--------|-----| +| KI-Verordnung (EU) 2024/1689 | EU-Recht | +| Cyber Resilience Act (EU) 2024/2847 | EU-Recht | +| DSGVO (EU) 2016/679 | EU-Recht | +| NIS2-Richtlinie (EU) 2022/2555 | EU-Recht | +| NIST SP 800-53, CSF 2.0, SSDF | US-Standards | +| OWASP Top 10, ASVS, SAMM | Open Source | +| ENISA Guidelines | EU-Agentur | +| CISA Secure by Design | US-Behoerde | +| BDSG, TKG, GewO, HGB | Deutsche Gesetze | +| EDPB Leitlinien | EU Datenschutz |`, + }, + { + id: 'badges', + title: 'Badges & Lizenzregeln', + content: `## Badges in der Control Library + +Jedes Control zeigt mehrere farbige Badges: + +### Lizenzregel-Badge (Rule 1 / 2 / 3) + +Die Lizenzregel bestimmt, wie ein Control erstellt und genutzt werden darf: + +| Badge | Farbe | Regel | Bedeutung | +|-------|-------|-------|-----------| +| **Free Use** | Gruen | Rule 1 | Quelle ist Public Domain oder EU-Recht — Originaltext darf gezeigt werden | +| **Zitation** | Blau | Rule 2 | Quelle ist CC-BY oder aehnlich — Zitation + Quellenangabe erforderlich | +| **Reformuliert** | Amber | Rule 3 | Quelle hat eingeschraenkte Lizenz — Control wurde eigenstaendig reformuliert, kein Originaltext | + +### Processing-Path + +| Pfad | Bedeutung | +|------|-----------| +| **structured** | Control wurde direkt aus strukturierten Daten (Tabellen, Listen) extrahiert | +| **llm_reform** | Control wurde mit LLM eigenstaendig formuliert (bei Rule 3 zwingend) | + +### Referenzen (Open Anchors) + +Zeigt die Anzahl der verlinkten Open-Source-Referenzen (OWASP, NIST, ENISA etc.). +Jedes freigegebene Control muss mindestens 1 Open Anchor haben. + +### Weitere Badges + +| Badge | Bedeutung | +|-------|-----------| +| Score | Risiko-Score (0-10) | +| Severity-Badge | Schweregrad (Kritisch/Hoch/Mittel/Niedrig) | +| State-Badge | Freigabestatus (Draft/Approved/etc.) | +| Kategorie-Badge | Thematische Kategorie | +| Zielgruppe-Badge | Enterprise/Behoerden/Anbieter/Alle |`, }, { id: 'taxonomy', @@ -79,22 +205,41 @@ aus geschuetzten Quellen uebernommen. content: `## Eigenes Klassifikationssystem Die Canonical Control Library verwendet ein **eigenes Domain-Schema**, das sich bewusst von -proprietaeren Frameworks unterscheidet: +proprietaeren Frameworks unterscheidet. Die Domains werden **automatisch** durch den +Control Generator vergeben, basierend auf dem Inhalt der Quelldokumente. -| Domain | Name | Abgrenzung | -|--------|------|------------| -| AUTH | Identity & Access Management | Eigene Struktur, nicht BSI O.Auth_* | -| NET | Network & Transport Security | Eigene Struktur, nicht BSI O.Netz_* | -| SUP | Software Supply Chain | NIST SSDF / SLSA-basiert | -| LOG | Security Operations & Logging | OWASP Logging Best Practices | -| WEB | Web Application Security | OWASP ASVS-basiert | -| DATA | Data Governance & Classification | NIST SP 800-60 basiert | -| CRYP | Cryptographic Operations | NIST SP 800-57 basiert | -| REL | Release & Change Governance | OWASP SAMM basiert | +### Top-10 Domains + +| Domain | Anzahl | Thema | Hauptquellen | +|--------|--------|-------|-------------| +| SEC | ~700 | Allgemeine Sicherheit | CRA, NIS2, BSI, ENISA | +| COMP | ~470 | Compliance & Regulierung | DSGVO, AI Act, Richtlinien | +| DATA | ~400 | Datenschutz & Datenklassifizierung | DSGVO, BDSG, EDPB | +| AI | ~290 | KI-Regulierung & Ethik | AI Act, HLEG, OECD | +| LOG | ~230 | Logging & Monitoring | NIST, OWASP | +| AUTH | ~200 | Authentifizierung & Session | NIST SP 800-63, OWASP | +| NET | ~150 | Netzwerksicherheit | NIST, ENISA | +| CRYP | ~90 | Kryptographie & Schluessel | NIST SP 800-57 | +| ACC | ~25 | Zugriffskontrolle | OWASP ASVS | +| INC | ~25 | Incident Response | NIS2, CRA | + +### Spezialisierte Domains + +Neben den Top-10 gibt es ueber 90 weitere Domains fuer spezifische Themen: + +- **CRA** — Cyber Resilience Act spezifisch +- **ARC** — Sichere Architektur +- **API** — API-Security +- **PKI** — Public Key Infrastructure +- **SUP** — Supply Chain Security +- **VUL** — Vulnerability Management +- **BCP** — Business Continuity +- **PHY** — Physische Sicherheit +- u.v.m. ### ID-Format -Control-IDs folgen dem Muster \`DOMAIN-NNN\` (z.B. AUTH-001, NET-002). Dieses Format ist +Control-IDs folgen dem Muster \`DOMAIN-NNN\` (z.B. AUTH-001, SEC-042). Dieses Format ist **nicht von BSI oder anderen proprietaeren Standards abgeleitet**, sondern folgt einem allgemein ueblichen Nummerierungsschema.`, }, @@ -244,9 +389,9 @@ Die ~880 BSI Rule-3 Controls werden **gegen** die neuen Rule 1+2 Controls abgegl - BSI-Duplikate werden als \`deprecated\` markiert - Tags und Anchors werden in den behaltenen Control zusammengefuehrt -### Schritt 3: Ergebnis +### Schritt 3: Aktueller Stand -Ziel: **~520-600 Master Controls**, davon: +Aktuell: **~3.100+ Controls** (Stand Maerz 2026), davon: - Viele mit \`source_original_text\` (Originaltext fuer Kunden sichtbar) - Viele mit \`source_citation\` (Quellenangabe mit Lizenz) - Klare Nachweismethode (\`verification_method\`)