derwowusste
Goto Top

ISO 27001 und SIEM bzw. Sec. incident management

Salve Mitstreiter.

Wer von Euch arbeitet als Sysadmin mit Schwerpunkt Security und hat schon eine ISO-27001-Zertifizierung des Unternehmens hinter sich gebracht? Ich wüsste von solchen Praxiserfahrenen gern, wieviel Wert bei der ISO-Abnahme auf security indident management / SIEM gelegt wurde und ob es für Euch so gewirkt hat, als müsste man zwangsläufig ein umfangreiches Managementsystem dafür haben.

Wir sind nicht so groß, als dass wir uns dazu gern in große Systeme reinsteigern wollen. Etwas wie TheHive halte ich für machbar und denke auch, dass dieses, evtl. sogar die Community-Edition, passen könnte, um nachzuweisen, dass wir hier ausreichend aufgestellt sind.
Falls also jemand TheHive kennt, nehme ich auch gerne Erfahrungswerte dazu mit.

Content-ID: 8539382944

Url: https://administrator.de/forum/iso-27001-und-siem-bzw-sec-incident-management-8539382944.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

FacilityManager
FacilityManager 08.02.2024 um 16:19:58 Uhr
Goto Top
Hallo,

ich bin selbst Informationssicherheitsbeauftragter. Es gibt keine normative Anforderung nach konkreten technischen Systemen. Theoretisch kannst du das mit Excel machen und hast die Anforderung ggf. erfüllt. Als gelernter Fachinformatiker für Systemintegration kann ich dir aber sagen, dass einige technische Lösungen die Erfüllung der Norm erheblich erleichtern.
DerWoWusste
DerWoWusste 08.02.2024 um 16:29:59 Uhr
Goto Top
Hallo auch.

Seid Ihr denn zertifiziert worden, während Du den Bereich SecIncidentmanagement betreut hast? Oder noch nicht?
FacilityManager
FacilityManager 08.02.2024 um 16:45:35 Uhr
Goto Top
Wir sind ISO/IEC 27001:2018-zertifiziert und migrieren auf 2022. Ich mache das auch schon ein paar Jahre und kann dir sagen, dass es immer wieder Verständnisprobleme geben wird bei derartigen Anforderungen. Die Norm definiert ein Managementsystem, kein technisches Vorgabensystem. Als ISB verantworte ich das gesamte ISMS. Nachher gerne mehr dazu.
ThePinky777
ThePinky777 08.02.2024 um 17:50:24 Uhr
Goto Top
also in dem unternehmen wo ich mal war hat eine Excel Liste ausgereicht gehabt bei ISO27001 in der Incidents gelistet waren, man muss es halt pflegen. war 50 Mitarbeiter Betrieb.
C.R.S.
C.R.S. 08.02.2024 um 18:01:04 Uhr
Goto Top
Hallo,

wie schon angesprochen, die technischen Lösungen sind nicht ausschlaggebend, da die ISO 27001 im Wesentlichen ein Papiertiger ist. Es gibt zertifizierte IT-Organisationen, die weder ein SIEM noch eine Incident-Management-Plattform betreiben.
Der praktische Wert und der Beitrag zur Zertifizierungsreife ist bei einer kleinen Organisation für das SIEM ungleich höher als für Incident-Management/Response-Tools. Deshalb finde ich The Hive von der Ausrichtung her nicht so hilfreich. Selbst Entry-Level-SIEM bieten außerdem eine Art Fallbearbeitung zur Zusammenfassung und Anreicherung von Events bzw. Alerts unter einem Vorfall.

Grüße
Richard
FacilityManager
FacilityManager 08.02.2024 um 18:17:42 Uhr
Goto Top
Hallo nochmal,

wir spinnen mal etwas herum und denken uns 2 Jahre in die Zukunft in das Jahr 2026.

Incident Management & Response wird in der Firma mit Excel gemacht und die Datei liegt irgendwo auf einem Server mit Änderungsdatum 12.11.2024, weil die Datei nicht regelmäßig gepflegt wurde.

Kurz vor dem Überwachungsaudit stellt man dies fest und will sie mit allen anderen relevanten dokumentierten Informationen aktualisieren. Absolutes Chaos, aber bis hier noch keine Feststellung (im Sinne von Feststellung im Audit).

Wenn ich Audits durchführe, fällt mir so etwas auf und wird dokumentiert. Mindestens ist es ein Verbesserungsvorschlag. Ein SIEM bietet hier ganz andere Möglichkeiten, aber fordert auch wesentlich mehr Ressourcen in der Organisation. Man muss abwägen, welchen Weg man gehen möchte.
clSchak
clSchak 09.02.2024 aktualisiert um 08:59:08 Uhr
Goto Top
Zitat von @DerWoWusste:

Hallo auch.

Seid Ihr denn zertifiziert worden, während Du den Bereich SecIncidentmanagement betreut hast? Oder noch nicht?

Hallo @DerWoWusste

was alles vorhanden sein soll oder muss steht zum einen in der Norm, inkl. vielen Empfehlungen zum anderen ist es jedem selbst überlassen, am Ende ist es aber sehr stark von den Prüfern abhängig - da gibt es z.T. gravierende Unterschiede in Auffassungsgaben und Normauslegung durch die Prüfer. In dem ein oder anderen Audit habe ich mir schon die Frage gestellt warum die auf so Lapalien rumreiten und Essentielles nicht mehr so wichtig ist.

Wir bilden das Incident-Mangement über unser Ticketsystem mit ab, weil die Meldungen eh als ersten bei uns aufschlagen und wir dafür keine extra System haben wollen, damit erfüllt man dann auch die gesamte Dokumentionspflicht.

Wenn Ihr bereits ISO9001, ISO14001 und ISO50001 zertifiziert seid (haben die meisten produzierenden Unternehmen denke ich), ist eine Implementierung überschaubar und auch der Papiertigerkrieg hält sich in Grenzen.

Wenn es euch lieber ist, einfach eine "simple" Checkliste abzuarbeiten, dann fangt mit dem BSI Grundschutz an, wenn das durch ist, ist eine "Erweiterung" auf die ISO27001 sehr gering, das überschneiden sich sehr viele Anforderungen und Umsetzungsempfehlungen.

Wir haben jetzt noch ein Überwachungsaudit auf die 2015er und nächstes Jahr wird auf die 2022er Auditiert ... wieder viel Schreiben und lustig bunte Dokumente erstellen die am Ende fast keiner liest face-smile
DerWoWusste
DerWoWusste 09.02.2024 aktualisiert um 10:55:29 Uhr
Goto Top
Gut, danke an alle soweit. Weitere Kommentare anderer bleiben willkommen.

Wir arbeiten schon sehr lange nach BSI Grundschutz und fallen in den Bereich der KRITIS-ähnlichen Unternehmen.
Die ISO 27001 wird vorbereitet und wir werden dabei sogar von Externen unterstützt. Nun gelangte der Federführende an den Punkt "incident management" und die Aussagen der Externen waren ähnlich wie auch hier: da kann man sich reinsteigern, muss man aber nicht. Dazu wollte ich Meinungen einholen.

Bei uns geht die Zahl der jährlichen Security incidents hart gegen Null, was an unserer fast übertriebenen Abschottung liegt.
scar71
scar71 09.02.2024 um 11:32:32 Uhr
Goto Top
Hey,
kannst dir auch gerne mal wazuh (opensource) anschauen.
Habe persönlich keine Erfahrung damit
clSchak
clSchak 09.02.2024 um 23:28:15 Uhr
Goto Top
Vorteil bei der Integration in ein vorhandenes Ticketsystem: du kannst Anforderungen direkt korrekt Eskalieren oder Deeskalieren und man muss nicht mehrere Systeme pflegen.

Wir regeln das am Ende über Berechtigungen, Kategorien usw. und ersparen uns ein Email-Ping-Pong wenn ein vermeintliches "ich hab da was" dann doch ein ISV ist.

Einen erheblichen Teil der ISO27001 macht auch das BCM aus, aber ich denke mal, das seid ihr schon recht gut aufgestellt face-smile
CrazyS
CrazyS 10.02.2024 um 00:12:23 Uhr
Goto Top
Kann man das alles nicht in sowas wie" i-doit" und ähnliche Alternativ Lösungen bündeln?
onkel-ossi
onkel-ossi 19.02.2024 um 09:24:15 Uhr
Goto Top
Moin,

als ehm. IT-Leiter eines KRITIS-Unternehmens und jetzt als CISO fallen mir noch zwei Dinge ein:

- Die ISO27001 firdert ein ANGEMESSENES System, wenn dafür Papier und Bleistift reichen und das sauber argumentiert wird (was mitunter schwer sein dürfte) ist das ok
Also, suche eine Lösung die passt, wennnder Auditor es zu schwach findet wird er es anmerken und es kommt in den Maßnahmenplan.

- KRITIS? Müsst ihr da evtl. ein System zur Angriffserkennung (SzA) einführen?
Da sind schon recht knackige Anforderungen zu erfüllen - unbedingt prüfen

Ich würde folgende Systeme empfehlen (wenn kein SzA gefordert):
- Ticketsystem
- Wazuh als Schwachstellenscanner
- Prozesse für
- „normale“ Tickets
- Security Incidents
- Ergebnisse des Schwachstellenscans

Im besten Fall hast du für die jeweiligen Prozesse noch Risikobewertungen gemacht und stellst so die erzielte Risikominimierung mit dem System und Prozess dar.

Da möchte ich den Auditor sehen, dem das nicht gefällt.

Wenn ihr schon Grundschutz habt ist der Schritt zur ISO27001 nicht weit.

Gruß
Thomas