Skip to content

Commit f072ed2

Browse files
Add contextual regulatory review packs (#40)
1 parent 1eff60e commit f072ed2

21 files changed

Lines changed: 2292 additions & 614 deletions

CHANGELOG.md

Lines changed: 7 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -8,6 +8,11 @@ The project uses release tags for immutable release points. Changes under **Unre
88

99
### Added
1010

11+
- add contextual Regulatory Review Packs for NIS2, DORA, DSGVO/GDPR, and generic security governance
12+
- add tenant-scoped Regulatory Review Pack APIs for pack catalog, preview, snapshot creation, snapshot listing/detail, and Markdown/HTML/PDF/JSON exports
13+
- add `/regulatory-review-packs/` Web UI with pack selection, preview, snapshot creation, and snapshot list
14+
- extend Management/Regulatory snapshots with Evidence Integrity & Storage aggregate metrics covering re-hash status, restore-drill coverage, Legal Hold, and metadata-only disposition signals
15+
- add updated GUI screenshot documentation entries for Regulatory Review Packs and adjacent governance modules
1116
- add Evidence Object Storage & Restore Drill Phase 2 with an internal local-filesystem artifact storage abstraction
1217
- add tenant-scoped Evidence storage overview/detail APIs, bounded storage drill APIs, and storage event filtering without introducing production S3 or cloud credentials
1318
- extend `/evidence/integrity/` with local storage metadata and administrator/editor Storage-Drill actions
@@ -34,6 +39,8 @@ The project uses release tags for immutable release points. Changes under **Unre
3439

3540
### Security
3641

42+
- keep Regulatory Review Pack previews and snapshots tenant-scoped while allowing read-only roles to preview and reserving snapshot creation for write roles
43+
- reuse Management Review snapshot and audit infrastructure for Regulatory Review Packs without adding a second compliance-store or leaking Evidence paths, SQL details, secrets, or raw Evidence payloads
3744
- route Evidence artifact checks through a canonical media-root-contained filesystem backend that blocks traversal, absolute-path references, and symlink escapes
3845
- audit Evidence storage drills, artifact presence, unreadable/missing artifacts, hash matches, hash mismatches, drill failures, and drill completion without exposing absolute paths, raw payloads, SQL details, or secrets
3946
- reuse the existing Evidence Integrity metadata and audit table for storage drills, avoiding a new Evidence engine or destructive migration

docs/GUI_SCREENSHOTS.md

Lines changed: 45 additions & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -1,13 +1,17 @@
11
# ISCY GUI Screenshots
22

3-
Stand: ISCY V23.7.26 / Rust 0.3.22
3+
Stand: ISCY Unreleased / Rust 0.3.22
44

55
Diese Screenshots dokumentieren die aktuelle serverseitige ISCY-Weboberflaeche fuer die wichtigsten Tabs und Funktionsbereiche.
66

77
## Dashboard
88

99
![Dashboard](assets/iscy-dashboard.png)
1010

11+
## Organisation And Regulatory Profile
12+
13+
![Organizations](assets/iscy-organizations.png)
14+
1115
## Guidance Navigator
1216

1317
![Guidance Navigator](assets/iscy-navigator.png)
@@ -32,6 +36,14 @@ Diese Screenshots dokumentieren die aktuelle serverseitige ISCY-Weboberflaeche f
3236

3337
![Evidence](assets/iscy-evidence.png)
3438

39+
## Evidence Quality
40+
41+
![Evidence Quality](assets/iscy-evidence-quality.png)
42+
43+
## Evidence Integrity And Storage
44+
45+
![Evidence Integrity And Storage](assets/iscy-evidence-integrity-storage.png)
46+
3547
## Roadmap
3648

3749
![Roadmap](assets/iscy-roadmap.png)
@@ -40,10 +52,30 @@ Diese Screenshots dokumentieren die aktuelle serverseitige ISCY-Weboberflaeche f
4052

4153
![Reports](assets/iscy-reports.png)
4254

55+
## Regulatory Review Packs
56+
57+
![Regulatory Review Packs](assets/iscy-regulatory-review-packs.png)
58+
59+
## NIS2 Review Pack Preview
60+
61+
![NIS2 Review Pack Preview](assets/iscy-regulatory-review-pack-nis2.png)
62+
63+
## DORA Review Pack Preview
64+
65+
![DORA Review Pack Preview](assets/iscy-regulatory-review-pack-dora.png)
66+
67+
## DSGVO Review Pack Preview
68+
69+
![DSGVO Review Pack Preview](assets/iscy-regulatory-review-pack-dsgvo.png)
70+
4371
## Assets
4472

4573
![Assets](assets/iscy-assets.png)
4674

75+
## Supplier Review
76+
77+
![Supplier Review](assets/iscy-supplier-review.png)
78+
4779
## Imports
4880

4981
![Imports](assets/iscy-imports.png)
@@ -56,6 +88,18 @@ Diese Screenshots dokumentieren die aktuelle serverseitige ISCY-Weboberflaeche f
5688

5789
![Product Security](assets/iscy-product-security.png)
5890

91+
## Product Security Evidence Packages
92+
93+
![Product Security Evidence Packages](assets/iscy-product-security-evidence-packages.png)
94+
95+
## AI Governance
96+
97+
![AI Governance](assets/iscy-ai-governance.png)
98+
99+
## Status Operations
100+
101+
![Status Operations](assets/iscy-status-operations.png)
102+
59103
## Users
60104

61105
![Users](assets/iscy-users.png)

docs/ISCY_Handbuch.md

Lines changed: 26 additions & 4 deletions
Original file line numberDiff line numberDiff line change
@@ -485,25 +485,42 @@ Ausgaben:
485485
- einfaches PDF
486486
- audit-faehiges PDF
487487
- Management-Review-Pakete unter `/management-reviews/`
488+
- kontextsensitive Regulatory Review Packs unter `/regulatory-review-packs/`
488489
- Management-Review-Exporte als Markdown, HTML, PDF und JSON
489490

490491
Management-Review-Pakete:
491492

492493
- werden aus aktuellen ISCY-Daten fuer einen Zeitraum erzeugt
493-
- koennen als generisches Security-Governance-Paket oder ueber Templates fuer ISO 27001, NIS2, DORA und KRITIS vorbereitet werden
494-
- speichern Top-Risiken, ISCY-27-Control-Gaps, Evidence-Luecken, Incident-Entscheidungen, Roadmap-Fokus, Product-Security-Lage, Supplier-Review-Summary, Agent-Posture, AI-Governance, Quellenzaehlung, Gap-Summary, Management-Hinweise und regulatorischen Kontext als Snapshot
494+
- koennen als generisches Security-Governance-Paket oder ueber Templates fuer ISO 27001, NIS2, DORA, DSGVO und KRITIS vorbereitet werden
495+
- speichern Top-Risiken, ISCY-27-Control-Gaps, Evidence-Luecken, Evidence-Integrity-/Storage-Aggregate, Incident-Entscheidungen, Roadmap-Fokus, Product-Security-Lage, Supplier-Review-Summary, Agent-Posture, AI-Governance, Quellenzaehlung, Gap-Summary, Management-Hinweise und regulatorischen Kontext als Snapshot
495496
- verlinken Snapshot-Zeilen zurueck zu Risiko, Control, Evidence, Incident und Roadmap
496497
- koennen von Draft ueber In Review bis Approved oder Archived gefuehrt werden
497498
- dokumentieren Entscheidung, naechste Massnahmen, freigebenden User und Freigabezeitpunkt
498499
- erlauben eine Template-Vorschau, ohne bereits ein Review-Paket einzufrieren
499500

501+
Regulatory Review Packs:
502+
503+
- nutzen dieselbe eingefrorene Snapshot-Schicht wie Management Reviews und erzeugen kein separates Compliance-Silo
504+
- bieten fokussierte Pack-Typen fuer NIS2, DORA und DSGVO sowie ein generisches Security-Governance-Pack
505+
- beruecksichtigen Organisationsprofil, Risiken, ISCY-27-Controls, Evidence-Qualitaet, Evidence-Integritaet, Storage-/Restore-Drill-Signale, Incidents, Supplier Review, Product Security, AI Governance, Roadmap und Agent Posture soweit vorhanden
506+
- unterscheiden Preview und Snapshot-Erzeugung: Read-only-Rollen koennen Vorschauen lesen, aber keine eingefrorenen Snapshots erstellen
507+
- enthalten Hinweise, dass ISCY Governance- und Evidence-Unterstuetzung liefert, jedoch keine Rechtsberatung, Zertifizierung, automatische Meldung oder formale Einreichung ersetzt
508+
500509
API- und Web-Pfade:
501510

502511
- `GET /api/v1/management/templates`
503512
- `GET /api/v1/management/templates/{template_type}`
504513
- `POST /api/v1/regulatory/templates/{template_type}/preview`
505514
- `GET` und `POST /api/v1/management/reviews`
515+
- `GET /api/v1/regulatory/review-packs`
516+
- `GET /api/v1/regulatory/review-packs/{pack_type}`
517+
- `POST /api/v1/regulatory/review-packs/{pack_type}/preview`
518+
- `GET` und `POST /api/v1/regulatory/review-packs/{pack_type}/snapshots`
519+
- `GET /api/v1/regulatory/review-pack-snapshots`
520+
- `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}`
521+
- `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}/export?format=markdown|html|pdf|json`
506522
- Weboberflaeche unter `/management-reviews/` mit Template-Auswahl und Preview
523+
- Weboberflaeche unter `/regulatory-review-packs/` mit Pack-Auswahl, Vorschau, Snapshot-Erzeugung und Snapshot-Liste
507524

508525
Fachlicher Nutzen:
509526

@@ -512,6 +529,11 @@ Fachlicher Nutzen:
512529
- Vorlagen fuer Kunden, Auditoren oder interne Gremien
513530
- belastbare Vorbereitung von Management Review, Audit und Steering Committee
514531
- wiederholbare Steuerungspakete, ohne neue Risiko-, Evidence- oder Control-Silos anzulegen
532+
- regulatorischer Kontext wird aus vorhandenen ISCY-Daten abgeleitet und bleibt als Snapshot nachvollziehbar
533+
534+
GUI-Nachweis:
535+
536+
- Die aktuelle Screenshot-Uebersicht fuer Dashboard, Evidence, Regulatory Review Packs, Supplier Review, Product Security, AI Governance und Operations liegt in [docs/GUI_SCREENSHOTS.md](GUI_SCREENSHOTS.md).
515537

516538
Fuer Nicht-Sicherheitsleute:
517539
Reports sind die offizielle Zusammenfassung des Stands.
@@ -1333,11 +1355,11 @@ ISCY strukturiert, dokumentiert, priorisiert und verbindet. Entscheidungen muess
13331355

13341356
## 10. Strategische Weiterentwicklung
13351357

1336-
Die Rust-Migration ist abgeschlossen. Mit V23.7.19 ist das regulatorische Organisationsprofil als erster strategischer Baustein umgesetzt; V23.7.20 ergaenzt Management-Review- und Audit-Pakete als steuerbaren Review-Workflow; V23.7.21 liefert Exporte, Snapshot-Ruecklinks und Evidence-Qualitaet; V23.7.22 setzt Third-Party-/Supplier-Risk als eigenes Rust-Web-/API-Modul um; V23.7.23 baut Product Security um VEX, SBOM-Diff und CRA-Readiness aus; V23.7.24 fuegt AI Governance hinzu; V23.7.25 schliesst Agent-Policy-Profile, erwartete Flottenabdeckung und aktive Policy-Webhooks an; V23.7.26 ergaenzt versionierte Product-Security-Evidence-Pakete. Migration `0027_rust_ai_governance_links` verbindet AI-Systeme tenantgebunden mit Risiken, Roadmap-Tasks, Incidents und Changes. Migration `0028_rust_guided_agent_onboarding` ergaenzt den gefuehrten, tenantgebundenen Agent-Rollout mit Token-Lifecycle, Policy-Zuordnung und Auditspur. Migration `0029_rust_cross_domain_notifications` fuehrt Evidence-, CVE-, Incident- und Roadmap-Signale in denselben sicheren Kanalbetrieb. Migration `0031_rust_supplier_review_workflow` ergaenzt Supplier-Reviews mit Freigabehistorie, Subprocessors, Vertragslaufzeiten, Exit-Test-Nachweisen und tenantgesicherten Evidence-/Control-/Risk-Links. Migration `0032_rust_management_regulatory_templates` ergaenzt Management-/Regulatory-Templates fuer ISO 27001, NIS2, DORA, KRITIS und generische Security-Governance-Reviews. Migration `0033_rust_evidence_integrity_disposition` ergaenzt Evidence Integrity & Disposition Phase 1 mit manueller und begrenzter Batch-Re-Hash-Pruefung, Legal-Hold-Metadaten, metadata-only Disposition und auditierbaren Integritaetsereignissen. Evidence Object Storage & Restore Drill Phase 2 nutzt diese bestehenden Metadaten fuer eine interne lokale Storage-Abstraktion, sichere Artefaktreferenzen und tenantgebundene Restore-/Integritaetsdrills ohne neues Speichersystem. Die weitere ISCY-Agenda konzentriert sich deshalb nicht mehr auf Abloesung alter Python-/Django-Pfade, sondern auf fachliche Produktreife.
1358+
Die Rust-Migration ist abgeschlossen. Mit V23.7.19 ist das regulatorische Organisationsprofil als erster strategischer Baustein umgesetzt; V23.7.20 ergaenzt Management-Review- und Audit-Pakete als steuerbaren Review-Workflow; V23.7.21 liefert Exporte, Snapshot-Ruecklinks und Evidence-Qualitaet; V23.7.22 setzt Third-Party-/Supplier-Risk als eigenes Rust-Web-/API-Modul um; V23.7.23 baut Product Security um VEX, SBOM-Diff und CRA-Readiness aus; V23.7.24 fuegt AI Governance hinzu; V23.7.25 schliesst Agent-Policy-Profile, erwartete Flottenabdeckung und aktive Policy-Webhooks an; V23.7.26 ergaenzt versionierte Product-Security-Evidence-Pakete. Migration `0027_rust_ai_governance_links` verbindet AI-Systeme tenantgebunden mit Risiken, Roadmap-Tasks, Incidents und Changes. Migration `0028_rust_guided_agent_onboarding` ergaenzt den gefuehrten, tenantgebundenen Agent-Rollout mit Token-Lifecycle, Policy-Zuordnung und Auditspur. Migration `0029_rust_cross_domain_notifications` fuehrt Evidence-, CVE-, Incident- und Roadmap-Signale in denselben sicheren Kanalbetrieb. Migration `0031_rust_supplier_review_workflow` ergaenzt Supplier-Reviews mit Freigabehistorie, Subprocessors, Vertragslaufzeiten, Exit-Test-Nachweisen und tenantgesicherten Evidence-/Control-/Risk-Links. Migration `0032_rust_management_regulatory_templates` ergaenzt Management-/Regulatory-Templates fuer ISO 27001, NIS2, DORA, DSGVO, KRITIS und generische Security-Governance-Reviews. Kontextsensitive Regulatory Review Packs fuer NIS2, DORA und DSGVO nutzen diese bestehende Snapshot-Schicht und nehmen Evidence-Integrity-/Storage-Aggregate auf, ohne ein neues Compliance-Silo oder ein zweites Evidence-System anzulegen. Migration `0033_rust_evidence_integrity_disposition` ergaenzt Evidence Integrity & Disposition Phase 1 mit manueller und begrenzter Batch-Re-Hash-Pruefung, Legal-Hold-Metadaten, metadata-only Disposition und auditierbaren Integritaetsereignissen. Evidence Object Storage & Restore Drill Phase 2 nutzt diese bestehenden Metadaten fuer eine interne lokale Storage-Abstraktion, sichere Artefaktreferenzen und tenantgebundene Restore-/Integritaetsdrills ohne neues Speichersystem. Die weitere ISCY-Agenda konzentriert sich deshalb nicht mehr auf Abloesung alter Python-/Django-Pfade, sondern auf fachliche Produktreife.
13371359

13381360
Die priorisierte Roadmap liegt in `docs/ISCY_STRATEGIC_ROADMAP.md` und umfasst:
13391361

1340-
1. Feinere Management-/Regulatory-Template-Varianten und kontextsensitive Pruefpakete
1362+
1. Review-Pack-Bedienung weiter polishen, z. B. zusaetzliche Filter, Pack-spezifische Gap-Gruppierung und Review-Owner-Hinweise
13411363
2. Evidence-Integrity-Worker, kontrollierte physische Disposition und spaeteres produktives Objektspeicher-Backend
13421364
3. Signierte Agent-Pakete sowie eine spaetere getrennte CA-/PKI-Stufe
13431365
4. Performance-, HA- und visuelle Regressionstests

docs/ISCY_Handbuch.pdf

2.31 KB
Binary file not shown.

docs/ISCY_STRATEGIC_ROADMAP.md

Lines changed: 7 additions & 4 deletions
Original file line numberDiff line numberDiff line change
@@ -45,26 +45,29 @@ Erfolgskriterium:
4545

4646
Ziel: ISCY soll aus vorhandenen Daten automatisch ein Management-Review- und Audit-Paket erzeugen.
4747

48-
Status: In V23.7.20 als Rust-Web-/API-Pfad und persistierter Audit-Snapshot umgesetzt; V23.7.21 ergaenzt Exporte und Snapshot-Ruecklinks. Im Unreleased-Stand kommen Management-/Regulatory-Templates fuer ISO 27001, NIS2, DORA, KRITIS und generische Security-Governance-Reviews hinzu.
48+
Status: In V23.7.20 als Rust-Web-/API-Pfad und persistierter Audit-Snapshot umgesetzt; V23.7.21 ergaenzt Exporte und Snapshot-Ruecklinks. Im Unreleased-Stand kommen Management-/Regulatory-Templates fuer ISO 27001, NIS2, DORA, DSGVO, KRITIS und generische Security-Governance-Reviews sowie kontextsensitive Regulatory Review Packs fuer NIS2, DORA und DSGVO hinzu.
4949

5050
Umgesetzt:
5151

5252
- Weboberflaeche unter `/management-reviews/`.
5353
- API-Pfade `GET` und `POST /api/v1/reports/management-reviews`.
5454
- API-Pfade `GET` und `PATCH /api/v1/reports/management-reviews/{review_id}` fuer Detail und Status.
5555
- Persistierte Review-Pakete mit Zeitraum, Status, Executive Summary, Entscheidung, naechsten Massnahmen, freigebendem User und Freigabezeitpunkt.
56-
- Automatisch erzeugter Snapshot mit Kennzahlen, Top-Risiken, ISCY-27-Control-Gaps, Evidence-Luecken, Incident-Entscheidungen, Roadmap-Fokus, Product-Security-Lage und Agent-Posture.
56+
- Automatisch erzeugter Snapshot mit Kennzahlen, Top-Risiken, ISCY-27-Control-Gaps, Evidence-Luecken, Evidence-Integrity-/Storage-Aggregaten, Incident-Entscheidungen, Roadmap-Fokus, Product-Security-Lage, Supplier Review, AI Governance und Agent-Posture.
5757
- Direkte Ruecklinks aus Snapshot-Zeilen zu Risiken, Controls, Evidence, Incidents und Roadmap.
5858
- Export als Markdown, HTML, PDF und JSON.
5959
- Demo-Seed und Migration `0019_rust_management_review_packages`.
6060
- Additive Migration `0032_rust_management_regulatory_templates` ergaenzt Template-Typ, Template-Version, regulatorischen Kontext, Supplier-Summary, Source Counts, Gap-Summary, Decision-Summary und eine Management-Review-Auditspur.
6161
- API-Pfade `GET /api/v1/management/templates`, `GET /api/v1/management/templates/{template_type}`, `POST /api/v1/regulatory/templates/{template_type}/preview` sowie Alias-Pfade unter `/api/v1/management/reviews`.
62+
- Regulatory-Review-Pack-API-Pfade `GET /api/v1/regulatory/review-packs`, `GET /api/v1/regulatory/review-packs/{pack_type}`, `POST /api/v1/regulatory/review-packs/{pack_type}/preview`, `GET` und `POST /api/v1/regulatory/review-packs/{pack_type}/snapshots`, `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}` und `GET /api/v1/regulatory/review-pack-snapshots/{snapshot_id}/export?format=markdown|html|pdf|json`.
6263
- Weboberflaeche mit Template-Auswahl, Preview vor Snapshot-Erzeugung und Detailansicht fuer Quellen, Gaps, Management-Hinweise, Supplier Review und regulatorischen Kontext.
64+
- Weboberflaeche `/regulatory-review-packs/` mit NIS2-, DORA- und DSGVO-Auswahl, Preview, Snapshot-Erzeugung und Snapshot-Liste.
6365
- Preview erzeugt keinen Review-Snapshot; Snapshot-Erzeugung bleibt schreibenden Rollen vorbehalten.
66+
- Regulatory Review Packs liefern Governance- und Evidence-Unterstuetzung, aber keine Rechtsberatung, Zertifizierung, automatische Meldung oder formale Einreichung.
6467

6568
Naechste Vertiefung:
6669

67-
- Optional feinere Template-Varianten fuer internes Audit, Quartalslenkung und regulatorische Board-Pakete, wenn sich in der Praxis wiederkehrende Review-Formate zeigen.
70+
- Review-Pack-Bedienung weiter polishen, z. B. zusaetzliche Filter, Pack-spezifische Gap-Gruppierung und Review-Owner-Hinweise.
6871

6972
Erfolgskriterium:
7073

@@ -235,7 +238,7 @@ Erfolgskriterium:
235238

236239
## Empfohlene Umsetzungsreihenfolge
237240

238-
1. Feinere Template-Varianten und kontextsensitive NIS2-/DORA-/DSGVO-Pruefpakete auf Basis der neuen Management-/Regulatory-Template-Schicht.
241+
1. Review-Pack-Bedienung weiter polishen, z. B. zusaetzliche Filter, Pack-spezifische Gap-Gruppierung und Review-Owner-Hinweise.
239242
2. Evidence-Integrity-Worker, kontrollierte physische Disposition und optionales produktives Objektspeicher-Backend.
240243
3. Signierte Agent-Pakete, Release-Provenance und eine spaetere getrennte CA-/PKI-Stufe.
241244

docs/assets/iscy-ai-governance.png

115 KB
Loading

docs/assets/iscy-dashboard.png

6.51 KB
Loading
68.7 KB
Loading
78.8 KB
Loading

docs/assets/iscy-organizations.png

69.9 KB
Loading

0 commit comments

Comments
 (0)