Benjamin_Boenisch/breakpilot-compliance
1
1
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
3199d0d90e3c732858e8c6000d364013b792ccff
breakpilot-compliance/backend-compliance/reference_scenarios/reference_scenario_suite_v1.md
T
Benjamin Admin 4bfd552da7 docs(knowledge): TP-ISO27001->CRA gold standard + reference scenario (RS-005 regression) 
(1) Harden the first Transition Pattern to the gold-standard template per quality checklist:
versioned transition_goal (ISO27001:2022 -> CRA, applies 2027-12-11), source_state_variants
(certified/isms_introduced/expired/limited_scope), each likely_covered assumption with a typed
relationship (supports|partially_supports, never equivalent) + verification + rationale (the Warum)
+ an auditor-checkable reviewable_claim, delta as missing-capability + needed-info, an explicit
rejected_assumptions section, and a determinism_goal. README schema updated to match.

(2) New Reference-Suite scenario 4 (Transition): the generator READS the pattern YAML and runs it
through the RS-005 Planning Engine + Company 2A -> coverage + question requests. Proves the
architecture fully carries the pattern (17 caps -> 17 coverage + 17 requests; 9 HIGH delta = the
real CRA gaps, 8 probably-covered from the ISMS). Now a living regression test: every future pattern
runs through the same engine.

Non-runtime knowledge + reference harness -> no deploy (ADR-001). Next: ISMS->TISAX once approved.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-06-27 08:11:42 +02:00

12 KiB
Raw Blame History

Reference Scenario Suite v1

Kein Doku-Artefakt — die erste Ground Truth / Living Reference Suite. Erzeugt aus den REALEN deployten Engines (aktueller deployter main) via reference_scenarios/generate.py. Jede Architecture Coverage-Zelle ist aus dem echten Lauf ABGELEITET; sobald eine Domaene landet, kippt die Zelle automatisch (z. B. Sz2/Environmental UNSUPPORTED -> PASS). Beantwortet dauerhaft: „Ist BreakPilot besser als vor sechs Monaten?" — anhand echter Kundensituationen, nicht LOC.

Synthetische Cert->Capability-Mappings sind als ILLUSTRATIV markiert; die echte Tabelle gehoert Compliance Execution (siehe Master Capability Registry).

Szenario 1 — Maschinenbauer mit ISMS + SBOM + Remote Access

Frage: „Was gilt fuer uns, und reicht das?"

Input: Maschine, vernetzt (Remote/Cloud), Firmware, Rolle Hersteller, Maerkte EU/DE; Company: ISMS (ISO27001) + SBOM + Incident Response.

Expected Regulatory Map

Für Industrielle Verpackungsmaschine (machinery) — Maschine; vernetzt; Firmware; Rolle: manufacturer; Märkte: EU, DE gelten nach derzeitigem Stand wahrscheinlich: CRA, MaschinenVO, EMV. Unsicher (fehlende Fakten): RED, DataAct, NIS2. Ausgeschlossen: keine. Nicht abgedeckt (Regelkorpus fehlt): keine. Ermittelt: 12 registry-verlinkte Pflichten. Es wurden keine weiteren Regelwerke im aktuellen Korpus identifiziert.

  • CRA (Cyber Resilience Act (EU) 2024/2847) — Pflichten: sbom_creation, provide_security_updates, support_period_maintenance, signed_update_integrity, vuln_handling_process, coordinated_vulnerability_disclosure, exploited_vuln_reporting_authorities, user_authentication_required, no_default_credentials, event_logging_security_events, remote_access_attack_surface_min, remote_access_confidentiality_integrity
  • MaschinenVO (Maschinenverordnung (EU) 2023/1230) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
  • EMV (EMV-Richtlinie 2014/30/EU) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
  • unsicher RED — fehlt: Besitzt das Produkt ein Funkmodul (WLAN, Bluetooth, Mobilfunk)?
  • unsicher DataAct — fehlt: Erzeugt das vernetzte Produkt nutzbare Produkt-/Nutzungsdaten?
  • unsicher NIS2 — fehlt: Unternehmensgröße (Mitarbeiterzahl / Umsatz)?, In welchem Sektor ist das Unternehmen tätig (Anhang I/II)?, Fällt das Unternehmen als wesentliche/wichtige Einrichtung unter NIS2?
  • Overlap VULNERABILITY_HANDLING: vuln_handling_process, coordinated_vulnerability_disclosure
  • Overlap SECURITY_UPDATES: provide_security_updates, signed_update_integrity
  • 1 Nachweis repo_scan => 2 Pflichten
  • 1 Nachweis policy => 5 Pflichten
  • 1 Nachweis ticket => 3 Pflichten
  • 1 Nachweis test_report => 3 Pflichten
  • 1 Nachweis config_export => 6 Pflichten
  • 1 Nachweis pentest => 3 Pflichten

Input — Company Context (ILLUSTRATIVES Mapping: ISO27001 -> incident_response, supplier_management, asset_management)

  • candidate: cap_patch_management — declared (declaration:maschinenbau)
  • candidate: cap_incident_response — inferred (certification:ISO27001)
  • candidate: cap_supplier_management — inferred (certification:ISO27001)
  • candidate: cap_asset_management — inferred (certification:ISO27001)
  • CONFIRMED: cap_sbom_management — confirmed (Nachweis: sbom.json)

Expected Interpretation

Auslegung „5 Jahre Updates -> CRA erfuellt" -> uncertain Ihre Interpretation ist wahrscheinlich unsicher. Kein bekanntes Auslegungsmuster erkannt — bewusst keine Scheinsicherheit. Diese Auslegung betrifft kein Regelwerk Ihrer aktuellen Produkt-Map.

Expected RCI (CRA-Novelle gegen gespeicherte Baseline)

affects_product = True — 1 neu, 2 geändert, 0 entfällt, 0 bereits abgedeckt, 2 zu prüfen, 0 nicht relevant.

  • cra_new_disclosure_duty -> new (fehlende Nachweise: -)
  • sbom_creation -> changed (fehlende Nachweise: repo_scan)
  • vuln_handling_process -> changed (fehlende Nachweise: policy, ticket)

Expected Unsupported Domains

  • keine — alle getriggerten Domaenen sind im Korpus

Known Gaps: Interpretation kennt kein CRA-Muster (RS-001) · MaschinenVO/EMV-Pflichten nicht registry-verlinkt (RS-004) · cap/MCAP/Pflicht-Evidence nicht gejoint = Company-Gap (RS-003).

Architecture Coverage

Layer Status Hinweis
Company Context PASS ISO27001 + SBOM + Declaration
Product Profile PASS Maschine, vernetzt, Firmware
Navigator PASS ready_for_scope
Scope PASS CRA/MaschinenVO/EMV + 3 unsicher
Regulatory Map PASS Overlaps + 1-Nachweis-N-Pflichten
CRA Obligations PASS 12 registry-verlinkt
MaschinenVO/EMV Obligations PARTIAL Scope ja, Pflichten nicht verlinkt → RS-004
Interpretation PARTIAL kein CRA-Muster → RS-001
RCI PASS 1 neu, 2 geaendert
Company Gap TODO cap↔MCAP↔Pflicht nicht gejoint → RS-003
Environmental N/A keine Umwelt-Trigger

Szenario 2 — Industriespuelmaschine mit Abwasser/Chemikalien

Frage: „Welche Umweltbereiche sind noch nicht abgedeckt?"

Input: Maschine mit Chemikalien-Dosierung + Abwasserauslass; Umwelt-Trigger gesetzt.

Expected Regulatory Map

Für Industriespuelmaschine (machinery) — Maschine; Firmware; Rolle: manufacturer; Märkte: EU, DE gelten nach derzeitigem Stand wahrscheinlich: CRA, MaschinenVO, EMV. Unsicher (fehlende Fakten): RED, DataAct, NIS2. Ausgeschlossen: keine. Nicht abgedeckt (Regelkorpus fehlt): environment_water, chemicals, energy_resources. Ermittelt: 10 registry-verlinkte Pflichten. Es wurden keine weiteren Regelwerke im aktuellen Korpus identifiziert.

  • CRA (Cyber Resilience Act (EU) 2024/2847) — Pflichten: sbom_creation, provide_security_updates, support_period_maintenance, signed_update_integrity, vuln_handling_process, coordinated_vulnerability_disclosure, exploited_vuln_reporting_authorities, user_authentication_required, no_default_credentials, event_logging_security_events
  • MaschinenVO (Maschinenverordnung (EU) 2023/1230) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
  • EMV (EMV-Richtlinie 2014/30/EU) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
  • unsicher RED — fehlt: Besitzt das Produkt ein Funkmodul (WLAN, Bluetooth, Mobilfunk)?
  • unsicher DataAct — fehlt: Erzeugt das vernetzte Produkt nutzbare Produkt-/Nutzungsdaten?
  • unsicher NIS2 — fehlt: Unternehmensgröße (Mitarbeiterzahl / Umsatz)?, In welchem Sektor ist das Unternehmen tätig (Anhang I/II)?, Fällt das Unternehmen als wesentliche/wichtige Einrichtung unter NIS2?
  • Overlap VULNERABILITY_HANDLING: vuln_handling_process, coordinated_vulnerability_disclosure
  • Overlap SECURITY_UPDATES: provide_security_updates, signed_update_integrity
  • 1 Nachweis policy => 5 Pflichten
  • 1 Nachweis ticket => 3 Pflichten
  • 1 Nachweis test_report => 3 Pflichten
  • 1 Nachweis config_export => 4 Pflichten

Expected Unsupported Domains

  • environment_water (Trigger: discharges_to_wastewater) -> Abwasser-/Gewässerrecht (z. B. AbwV, WRRL) — noch nicht im Korpus.
  • chemicals (Trigger: uses_cleaning_chemicals) -> Chemikalienrecht (REACH/CLP/Detergenzien/Biozide) — noch nicht im Korpus.
  • energy_resources (Trigger: consumes_energy_or_water) -> Energie-/Ökodesign-Recht — noch nicht im Korpus.

Expected Interpretation (Umwelt -> bewusst nicht bewertet)

Ihre Interpretation ist wahrscheinlich unsicher. Kein bekanntes Auslegungsmuster erkannt — bewusst keine Scheinsicherheit. Für environment_water, chemicals liegt noch kein Regelkorpus vor — diese Aspekte werden nicht bewertet (future_corpus_needed).

Known Gaps: Abwasser/Chemikalien/Energie sind unsupported_domain — Environmental Corpus fehlt (RS-002).

Architecture Coverage

Layer Status Hinweis
Product Profile PASS Maschine + Umwelt-Komponenten
Scope PASS
Regulatory Map PASS CRA/MaschinenVO/EMV
Environmental (Abwasser/Chemikalien/Energie) UNSUPPORTED ehrlich „noch nicht im Korpus" → RS-002
Interpretation (Umwelt) PARTIAL future_corpus_needed statt Scheinsicherheit

Szenario 3 — ISO27001-zertifiziertes Unternehmen

Frage: „Welche Capabilities sind inferred, declared oder confirmed?"

ILLUSTRATIVES Mapping: ISO27001 -> incident_response, supplier_management, asset_management

Expected Company Capability Profile (4-Zustands-Trust-Model)

  • cap_incident_response — inferred (Quelle: certification:ISO27001)
  • cap_supplier_management — inferred (Quelle: certification:ISO27001)
  • cap_asset_management — inferred (Quelle: certification:ISO27001)
  • cap_patch_management — confirmed (Nachweis: patch-policy.pdf)

Expected Master Capability Registry (computed confidence, policy-versioniert)

  • ISO27001 supports MCAP-00001 -> inferred/low (policy capability-policy-v0) — computed, nicht gespeichert
  • ir-runbook.pdf confirms MCAP-00001 -> confirmed/high — nur echtes Artefakt erreicht confirmed

Known Gaps: cap_* (Company 2A) und MCAP-* (Registry) sind noch nicht verlinkt (RS-003).

Architecture Coverage

Layer Status Hinweis
Company Context PASS ISO27001 + Declaration + Evidence
Trust-State (declared/inferred/confirmed) PASS Zertifizierung nie confirmed
Master Capability Registry PASS computed confidence, policy-versioniert
cap ↔ MCAP Linking TODO zwei Vokabulare unverbunden → RS-003

Szenario 4 — Transition ISO27001 → CRA (RS-005 + Pattern TP-ISO27001-CRA-v1)

Frage: „Ich bin ISO27001-zertifiziert — was fehlt mir für den CRA?"

Input: ISO27001-zertifiziert (Pattern TP-ISO27001-CRA-v1) → 8 ISMS-Capabilities inferred; Ziel CRA.

Expected Transition Assessment (RS-005 v0 gegen den Pattern):

Ziel CRA · 17 zu klären, 0 bereits abgedeckt, 8 vermutlich vorhanden, 9 fehlt, 0 n/a, 0 nicht im Korpus.

Delta zuerst (HIGH — fehlt einem ISO-27001-only-Hersteller):

  • ce_conformity_assessment_and_technical_documentation — intent=request_evidence, Nachweis=['technical_documentation', 'declaration_of_conformity']
  • coordinated_vulnerability_disclosure — intent=verify_existence, Nachweis=['cvd_policy']
  • exploited_vuln_and_incident_reporting — intent=verify_existence, Nachweis=['reporting_procedure']
  • product_cyber_risk_assessment — intent=verify_existence, Nachweis=['product_risk_assessment']
  • public_security_advisories — intent=verify_existence, Nachweis=['advisory_process']
  • sbom_creation — intent=determine_sbom_maturity, Nachweis=['sbom']
  • secure_by_default_no_default_credentials — intent=verify_existence, Nachweis=['config_export', 'test_report']
  • secure_signed_update_distribution — intent=verify_existence, Nachweis=['config_export', 'test_report']
  • security_update_support_period — intent=determine_duration, Nachweis=['support_policy', 'product_lifecycle_policy']

Aus ISO27001 vermutlich abgedeckt (Produkt-Nachweis bestätigen): incident_management, technical_vulnerability_management, supplier_security, access_control_and_authentication, cryptography, security_logging_and_monitoring, secure_development_lifecycle, asset_and_configuration_management

Architektur-Test — trägt RS-005 den Pattern vollständig? 17 Pattern-Capabilities → 17 Coverage + 17 Question-Requests → ja, vollständig getragen.

Architecture Coverage

Layer Status Hinweis
Pattern-Load (YAML) PASS TP-ISO27001-CRA-v1 (draft, gold-standard)
Company 2A (habe) PASS ISO27001 → 8 inferred caps
RS-005 Planning Engine PASS Pattern → TransitionQuestionRequests
Transition ISO27001→CRA PASS 9 Delta-Fragen (HIGH) + 8 zu bestätigen
RS-005.1 Renderer (Fragetext) TODO verschoben — Engine liefert nur Requests

Gaps → Epics (Backlog — nur erfasst, NICHT implementiert)

Epic Titel schliesst Coverage-Luecke
RS-001 Interpretation Pattern Library Sz1 Interpretation PARTIAL -> PASS (CRA-Muster)
RS-002 Environmental Corpus (Pilotdomaene) Sz2 Environmental UNSUPPORTED -> PASS
RS-003 Capability Linking (cap↔MCAP) + Company-Gap Sz1/Sz3 Company Gap TODO -> PASS
RS-004 MaschinenVO/EMV Registry Linking Sz1/Sz2 MaschinenVO/EMV PARTIAL -> PASS

Suite-Status (Roll-up)

  • Coverage-Zellen gesamt: 25
  • PASS: 17 · PARTIAL: 3 · UNSUPPORTED: 1 · TODO: 3 · N/A: 1 · NEEDS_FACTS: 0
  • Fortschritt = PASS-Anteil steigt, wenn Epics RS-001…004 landen (objektiver Maßstab, kein LOC).
Reference in New Issue View Git Blame Copy Permalink