ThomasAnderson 0 Geschrieben 14. März 2014 Melden Teilen Geschrieben 14. März 2014 Hallo liebe Community, im Auftrag einer Abschlussarbeit darf ich eine ISO 27001 Zertifizierung mitbegleiten (oder eher mit Einführen / Anstoßen). Nun habe ich mir schon reichlich Lektüre geholt und den Maßnahmenkatalog auch schon durchgeackert, um mal einen groben Überblick zu bekommen. Trotz der Hilfestellungen der Bücher bin ich mir jedoch nicht so sicher, wie ich jetzt weitermachen soll. Nach meinem Verständnis funktioniert das ganze von der "Reihenfolge" her so: 1. Wille der Leitung / Management sichern 2. Geltungsbereich definieren (ganzes Unternehmen) 3. Bestandsaufnahme: Welche Doku, Prozesse und Maßnahmen wurden im Geltungsbereich schon umgesetzt. Analyse und Doku der Ist-Situation. Was wurde durch andere ISOs schon eingeführt. 4. GAP Analyse. Ergebnisse aus der Bestandsaufnahme und Delta zum Sollzustand erarbeiten. Identifizierung fehlender Maßnahmen. 4. Risikoanalyse und Einschätzung. Wo ist noch Schutzbedarf nötig? 5. Maßnahmen ableiten und Arbeitspakete erstellen = Security Prozesse einführen. 6. Maßnahmen umsetzen = quasi Implementierung des ISMS. 7. Business Continuity Planung = ISMS up-to-date halten. Soooooooo. Eigentlich müsste doch jetzt zuerst mit "Punkt 2" die Leitlinie aufgesetzt werden und dann eine Bestandsaufnahme gemacht werden. Wie gehe ich hier am besten vor, gibt es Tools die mich dabei unterstützen können? Open VAS ist ja riesig, ich weiss nicht ob das für ein kleineres Unternehmen nicht falsch gewählt ist. Gibt es vernünftige Open Source Tools die mich dabei unterstützen können? nmap habe ich mir angeschaut. Ich konnte keine detaillierte Ausführung finden, in welchen Punkten sich die ISOs überschneiden, dann hätte ich hier verschiedene Maßnahmen schon mal ausschließen können. Verinice ist ja ganz net von der Funktion her, aber bringt mir ohne den passenden Risikokatalog auch nicht so viel. "Punkt 4" habe ich zweimal genannt, von meinem Verständnis her gehören diese zwei Punkte ja zusammen. Also durch die Analyse kann ich die Risiko s ja auch teilweise Identifizieren. Aber, gibt es auch irgendwo einen vorgefertigten Risikokatalog um einen Ansatz zu haben, auf welche Risiken achten kann / soll? Hier muss man das Rad ja nicht neuerfinden, sondern nur anpassen und eben noch die eigenen Risiken weiteridentifizieren. Aber eine kleine Starthilfe wäre schonmal schön. Ist das grundlegende Vorgehen so schlüssig oder fange ich total falsch an? Ja ich weiss, ich bin nicht allein dafür Zuständig, und das ganze ist ein langfristiger Prozess usw. Aber ich würde eben gerne auch etwas selbstständiger arbeiten. Alles was man an Informationen so findet ist leider sehr sperrlich und theoretisch, wenn ich 10mal was von PDCA lese und diese auch schon aus der Vorlesung kenne, hilft mir das trotzdem nicht unbedingt bei meinem Vorgehen weiter. Durch das viele lesen habe ich schon die ein oder anderen guten und auch schlüssigen Tipps gefunden, aber ein roter Faden oder eine bessere Orientierung vorallem für den Beginn wäre schön. Viele Dank für Eure Unterstützung. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 14. März 2014 Melden Teilen Geschrieben 14. März 2014 Nmap und OpenVAS sind Netzwerk / Security Scanner. Das sind eher technische Tools. Verinice hat wohl einen Risikokatalog dabei: https://shop.verinice.com/shop/cat/downloads/pr/de-verinice-content-paket-risikoanalyse/ Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 14. März 2014 Autor Melden Teilen Geschrieben 14. März 2014 Hi Dukel, ich weiss, dass die Tools technisch sind. Aber es geht ja nicht nur um Management, sondern auch um die technischen Aspekte bei den Maßnahmenzielen. Deshalb meinte ich, ob es auch hier noch hilfreiche OpenSource Produkte gibt, die man auch ohne Dienstleister sinnvoll verwenden kann. Der Risikokatalog bei Verinice kostet 500€, und ansonsten habe ich noch nirgends eine Orientierungshilfe für Risikos gefunden. Wie ist hier das Vorgehen um sich diesen Prozess zu vereinfachen und nicht zwanghaft nach irgendwelchen Lücken suchen zu müssen. Zitieren Link zu diesem Kommentar
java42 12 Geschrieben 14. März 2014 Melden Teilen Geschrieben 14. März 2014 Schaust du hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html afaik geht es bei iso 27000 weniger um tools oder konkrete Lücken, sondern um den "Prozess" und Kataloge. Welches Buget habt ihr eingeltich? 500 € sollten bei ISO 27000 für ein ganzes Unternehmen doch in der Portokasse liegen. VG Java Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 14. März 2014 Autor Melden Teilen Geschrieben 14. März 2014 Das GS Tool kenne ich, aber das ist ja mehr auf den IT Grundschutz ausgelegt. Ja ich denke 500€ sollten kein Problem sein, aber die Ausgabe möchte ich nicht nach 2 Wochen veranschlagen, sondern erst, wenn es sicher ist, dass verinice dann auch genutzt wird. :) Hat keiner von Euch im Unternehmen schon mal die ISO 27001 mit eingeführt? Klar, das ist ein langwieriger Prozess. Aber wie habt Ihr angefangen, was sind die Basics und was sind die ersten Schwerpunktthemen. Bsp.: 3. Bestandsaufnahme & Ist-Zustand feststellen. Einfach alle Dokumente sammeln über die interne Struktur? Das sind ja mehrere 100 Dokumente, gibt's hier Checklisten oder ein bestimmtes Vorgehen? 4. Veranschlagt man den Soll Zustand nur anhand der Maßnahmen? Zitieren Link zu diesem Kommentar
java42 12 Geschrieben 14. März 2014 Melden Teilen Geschrieben 14. März 2014 Das GS Tool kenne ich, aber das ist ja mehr auf den IT Grundschutz ausgelegt. ... Hat keiner von Euch im Unternehmen schon mal die ISO 27001 mit eingeführt? 4. Veranschlagt man den Soll Zustand nur anhand der Maßnahmen? Du kannst auf Basis von IT Grundschutz ISO 27001 zertifizieren. VG Java Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 15. März 2014 Melden Teilen Geschrieben 15. März 2014 Moin, neben dem BSI Grundschutz könntest Du auch mal einen Blick ins MOF werfen. Z.B.: Reliability und GRC SMF http://technet.microsoft.com/en-us/solutionaccelerators/dd320379.aspx Zwischen 3 und 4 sehe ich eine Lücke: 3. Bestandsaufnahme: Welche Doku, Prozesse und Maßnahmen wurden im Geltungsbereich schon umgesetzt. Analyse und Doku der Ist-Situation. Was wurde durch andere ISOs schon eingeführt. 4. GAP Analyse. Ergebnisse aus der Bestandsaufnahme und Delta zum Sollzustand erarbeiten. Identifizierung fehlender Maßnahmen. Wer hat den 'Sollzustand' auf Basis welcher Vorgaben definiert? Nach der ersten Bestandsaufnahme sollte mMn zunächst eine BIA (Business Impakt Analysis) erfolgen um die wirklich kritischen Prozesse zu identifizieren. Erst nach der BIA inkl. Bewertung des Schadenspotentials, kann ich einen Sollzustand festlegen und geeignete sowie angemessene Maßnahmen auswählen. 1 Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 17. März 2014 Autor Melden Teilen Geschrieben 17. März 2014 (bearbeitet) Du kannst auf Basis von IT Grundschutz ISO 27001 zertifizieren. VG Java Ich weiss, aber das ist ja nicht der Plan. Moin, neben dem BSI Grundschutz könntest Du auch mal einen Blick ins MOF werfen. Z.B.: Reliability und GRC SMF http://technet.microsoft.com/en-us/solutionaccelerators/dd320379.aspx Zwischen 3 und 4 sehe ich eine Lücke: Wer hat den 'Sollzustand' auf Basis welcher Vorgaben definiert? Nach der ersten Bestandsaufnahme sollte mMn zunächst eine BIA (Business Impakt Analysis) erfolgen um die wirklich kritischen Prozesse zu identifizieren. Erst nach der BIA inkl. Bewertung des Schadenspotentials, kann ich einen Sollzustand festlegen und geeignete sowie angemessene Maßnahmen auswählen. Vielen Dank für die hilfreiche Antwort, das hab ich bisher noch nirgendwo so gelesen. Business Impact Analyse hat aber nichts mit Schwachstellen Analyse zutun oder? Von der Einordnung her gehört diese ja mit zum BCM (Business Continuity Management). Nach meinen Infos nimmt man 5-10 sehr kritische Prozesse, führt für diese die BIA durch und macht dann mit der Risikoanalyse weiter? Die Bewertung den Schadenpotentials gehört doch unter die Risikoanalyse? Und wie geht man denn bei einer Bestandsaufnahme am sinnvollsten vor. Gibt es hierfür auch irgendwelche Leitfäden? Oder gehe ich einfach nach den "Maßnahmen" aus der 27001 vor und schaue was wie umgesetzt ist? €: und dann hab ich noch eine Frage. Der Maßnahmenkatalog aus ISO 27001. Ist der komplett umzusetzen. Oder sind das nur Maßnahmen die erwähnt werden, um die Probleme bei der Risikoanalyse abdecken zu können. Oder hängen die beiden gar nicht zusammen und sind getrennt zu sehen. Irgendwie macht es schon Sinn, auf das Risiko (je nach Abwägung) eine Maßnahme anzuwenden. Aber irgendwie auch nicht, da man ja einfach anhand des Maßnahmenkatalogs vorgehen könnte und bei der oberen Methode einige Maßnahmen auslässt. Ich mein, die wirklichen Beispielsvorgehensweisen sind ja in der ISO 27002 und die 27001 soll nur einen Leitfaden darstellen? bearbeitet 17. März 2014 von ThomasAnderson Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 17. März 2014 Melden Teilen Geschrieben 17. März 2014 Vielen Dank für die hilfreiche Antwort, das hab ich bisher noch nirgendwo so gelesen. Business Impact Analyse hat aber nichts mit Schwachstellen Analyse zutun oder? Von der Einordnung her gehört diese ja mit zum BCM (Business Continuity Management). Nach meinen Infos nimmt man 5-10 sehr kritische Prozesse, führt für diese die BIA durch und macht dann mit der Risikoanalyse weiter? Die Bewertung den Schadenpotentials gehört doch unter die Risikoanalyse? Die Ermittlung des Schadenspotentials ist direkt oder indirekt Bestandteil aller drei Blöcke. Im BCM werden auf dieser Basis notwendige und angemessene Maßnahmen zur Aufrechterhaltung und Widerherstellung des Betriebs festgelegt. (z.Bsp.: HA und DR) Im Risikomanagement werden die verschidenen Risiken (technische und nicht-technische Risiken) bewertet und Maßnahmen bzw. Verhaltensweisen für den Umgang festgelegt. In erster Linie sind es unternehmenspolitische bzw. -strategische Entscheidungen. Hier ist das mögliche Schadenspotential ein Faktor bei der Strategiefindung. (vermeiden, vermindern, abwälzen, selber tragen) Bei ISO 27001 muss ein Maßnahmenkatalog erarbeitet werden. Der leitet sich im Prinzip aus der Risikoanalyse und -bewertung ab. Somit wird indirekt auch das Schadenspotetial benötigt. Und wie geht man denn bei einer Bestandsaufnahme am sinnvollsten vor. Gibt es hierfür auch irgendwelche Leitfäden? Oder gehe ich einfach nach den "Maßnahmen" aus der 27001 vor und schaue was wie umgesetzt ist? Das Vorgehen hängt von der Organisation ab. Im Idealfall gibt es bereits vorhandenes Material. Man kann es Top-Down oder Button-Up angehen. Also von einem Geschäftsprozess auf die einzelnen Systeme und Systemkomponenten runterbrechen oder die vom System abhängigen Geschäftsprozesse ermitteln. Die Maßnahmen lt. ISO 27001 sind nur sehr global gehalten. Der konkrete Umfang der Umsetzung ist entscheidend (s. Risikomanagement). Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 18. März 2014 Autor Melden Teilen Geschrieben 18. März 2014 Die Ermittlung des Schadenspotentials ist direkt oder indirekt Bestandteil aller drei Blöcke. Im BCM werden auf dieser Basis notwendige und angemessene Maßnahmen zur Aufrechterhaltung und Widerherstellung des Betriebs festgelegt. (z.Bsp.: HA und DR) Im Risikomanagement werden die verschidenen Risiken (technische und nicht-technische Risiken) bewertet und Maßnahmen bzw. Verhaltensweisen für den Umgang festgelegt. In erster Linie sind es unternehmenspolitische bzw. -strategische Entscheidungen. Hier ist das mögliche Schadenspotential ein Faktor bei der Strategiefindung. (vermeiden, vermindern, abwälzen, selber tragen) Bei ISO 27001 muss ein Maßnahmenkatalog erarbeitet werden. Der leitet sich im Prinzip aus der Risikoanalyse und -bewertung ab. Somit wird indirekt auch das Schadenspotetial benötigt. Das Vorgehen hängt von der Organisation ab. Im Idealfall gibt es bereits vorhandenes Material. Man kann es Top-Down oder Button-Up angehen. Also von einem Geschäftsprozess auf die einzelnen Systeme und Systemkomponenten runterbrechen oder die vom System abhängigen Geschäftsprozesse ermitteln. Ich denke bei uns wird es ein Top-Down Ansatz werden. Die Maßnahmen lt. ISO 27001 sind nur sehr global gehalten. Der konkrete Umfang der Umsetzung ist entscheidend (s. Risikomanagement). Hier íst eine kombinierte Risikoanalyse angepeilt. (Alles von "normal - hoch" mit Grundschutz abdecken und für "sehr hoch" auf detaillierte Risikoanalyse zurückgreifen) Ich schau jetzt mal was sich diese Woche so ergibt und melde mich dann wieder. Danke für Deine Hilfestellung Zitieren Link zu diesem Kommentar
wscwsc 0 Geschrieben 19. März 2014 Melden Teilen Geschrieben 19. März 2014 die Vorbereitung auf die ISO27001 Zertifizierung kann ich empfehlen mit crisam durchzuführen. Das Vorgehensmodell orientiert sich direkt an der ISO und man deckt mit Drag&Drop und mitgelieferten Kontrollzielen je Risikoobjekt (insgesamt über 1800 mögliche Fragen) folgende Schritte der ISO vollständig ab: 4. GAP Analyse. Ergebnisse aus der Bestandsaufnahme und Delta zum Sollzustand erarbeiten. Identifizierung fehlender Maßnahmen. 4. Risikoanalyse und Einschätzung. Wo ist noch Schutzbedarf nötig? 5. Maßnahmen ableiten und Arbeitspakete erstellen = Security Prozesse einführen. 6. Maßnahmen umsetzen = quasi Implementierung des ISMS. 7. Business Continuity Planung = ISMS up-to-date halten. die Ergebnisse werden aus CRISAM u.a. via Reports entsprechend der Strukturierung der ISO 270001 generiert. Folgende Reports die für die ISO 27001 relevant sind stehen zur Verfügung: Statement of Aplicability Scope Statement Business Impact Analysis Report (detailed and executive summary) Compliance zur ISO 27001:2005 Compliance zur ISO 27002:2005 Compliance zur ISO 27001:2013 Compliance zur ISO 27002:2013 Wichtig ist aus meiner Erfahrung den Scope sauber zu definieren und mit einem geeignetem Tool kann man SEHR viel Implementierungs- und Vorbereitunszeit sparen. Details und Demo gerne via Privat-Nachricht Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 19. März 2014 Autor Melden Teilen Geschrieben 19. März 2014 (bearbeitet) Hi WSCWSC, das klingt etwas sehr nach Werbung? ;)Wie groß ist Euer Unternehmen denn, nach Deinen Aussagen habt Ihr keinen IT-Grundschutz miteinbezogen?Welches Tool habt Ihr verwendet (das von crisam??Habt Ihr eine detaillierte Risikoanalyse gemacht? Vor der BIA müssen die Werte doch identifiziert werden. Die Leitlinie wurde quasi mit Deinen ersten beiden Punkte definiert? Danke für Deinen Tipp, aber hier wurden schon 2 Zertifizierungen ohne einen Dienstleistungspartner als Hilfe mit eingeführt und das ist jetzt wieder angestrebt! €: Eine Frage, bedeutet die Neuerung in der 27001:2013 Risk assessment Identification of assets, threats and vulnerabilities is no longer a prerequisite for the identification of information security risks , dass man keine Informationswerte mehr bei der Bestandsaufnahme Identifizieren soll, sondern direkt mit der Risikoanalyse beginnt? Identifizierung der Werte, Impact Analyse, Bedrohungs & Schwachstellenanalyse gehören doch komplett zur Risikoanalyse dazu? Oder verstehe ich das falsch? In anderen Normerläuterungen habe ich nur gefunden, dass das Risikomanagement eine höhere Bedeutung zugespielt bekommt, aber nicht, dass sich das Vorgehen hier so grundlegend geändert hat. Link zur Info: http://www.compliance-net.de/iso27001_2013 bearbeitet 19. März 2014 von ThomasAnderson Zitieren Link zu diesem Kommentar
kazeerulaz 10 Geschrieben 20. März 2014 Melden Teilen Geschrieben 20. März 2014 (bearbeitet) Ich würde es so machen: PLAN Definition ISMS-Leitlinie Vorgehen zur Risikoeinschätzung Akzeptanz von Risiken Risiko Analyse Asset-Kategorien Asset-Register Risikobewertung Risikomatrix mit dem IST-Zustand Risikomatrix mit dem SOLL Zustand Statement of Applicability DO Riskio-Behandlungsplan Massnahmen zu Risiko Behandlung Einbindung der Mitarbeiter Bewältigen von Vorfällen CHECK Überwachungs-, Überprüfungs- und Berichterstattungsverfahren Einbezug des Managements ACT Berücksichtigung von Verbesserungen Informationsfluss von Verbesserungen bearbeitet 20. März 2014 von kazeerulaz Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 20. März 2014 Autor Melden Teilen Geschrieben 20. März 2014 (bearbeitet) Danke für Deinen Tipp. Ich finde die Risikoanalyse allein ist so riesig. Hier kann man ja einfach abwägen, in welchem Ausmaß und Ermessen es am sinnvollsten für das jeweilige Unternehmen ist. Was darf ich bei der Identifikation der Informationswerte nicht vergessen?Verantwortliche zuordnen und eine Beschreibung der Werte. Kategorisiert / Gruppiert werden Sie wie du gesagt hast. Der Detaillierungsgrad hängt je von der Asset Wichtigkeit fürs Unternehmen ab. Ich finde leider kein Beispiel zur ISO 27001, sondern nur zum Grundschutz. Und hier werden ja Beziehungen mit einer Matrix (Anwendung und IT-System) aufgezeigt, Status, Anwender, Aufstellungsort, Plattform und alles sehr detailliert und umfangreich dargestellt und das schon in der Strukturanalyse. Dann in welchen Räumen die sich befinden usw. bearbeitet 20. März 2014 von ThomasAnderson Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 21. März 2014 Melden Teilen Geschrieben 21. März 2014 Die ISO 27001 in der native Ausprägung ist in aller erster Linie eine Verwaltungsnorm. Den ganzen technischen Kram und auch die Risikoanalysen würde ich erst mal hinten anstellen und mit dem ISMS, den Prozessen zum Management der Risiken beginnen. Ohne das ISMS bekommst Du keine Bewertungsgrundlagen für die Risikoanalyse. Auch wenn ihr die native-Variante wählt, nimm Dir doch mal den Grundschutzbaustein 1.0 vor. Die Maßnahmen daraus müssen auch in der native umgesetzt werden und wenn diese tatsächlich umgesetzt sind, wird alles andere viel klarer. Alleine die Policy (Leitlinie in der GS-Semantik) beinhaltet hundert Weichenstellungen. Wenn diese Weichen alle gestellt sind, dann ist es an der Zeit die weitere Vorgehensweise zu definieren nach der dann auch möglicherweise Tools zur Umsetzung ausgewählt werden können. Ciao Pitti Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.