7
Wer nutzt verinice?
Mahlzeit,
ich habe mir die freie Version von verinice installiert und 'schon' mal drüber geschaut.
Meine Frage ist,
1. wer nutzt das im Unternehmen (wahrscheinlich dann die Pro Version) und
2. wieweit kann man daraus ein IT-Sicherheitskonzept als Dokument erzeugen?
Mein Ziel: ein IT-Sicherheitskonzept.
vG
LS
ich habe mir die freie Version von verinice installiert und 'schon' mal drüber geschaut.
Meine Frage ist,
1. wer nutzt das im Unternehmen (wahrscheinlich dann die Pro Version) und
2. wieweit kann man daraus ein IT-Sicherheitskonzept als Dokument erzeugen?
Mein Ziel: ein IT-Sicherheitskonzept.
vG
LS
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 337481
Url: https://administrator.de/contentid/337481
Printed on: April 19, 2024 at 18:04 o'clock
7 Comments
Latest comment
Moin,
wir hatten uns unter anderem das Tool angesehen und es für (unsere Anforderungen) als zu unflexibel angesehen. Generell sind wir zu der Auffassung gekommen, dass uns ein Tool (egal welches) nicht viel bringt, da die meiste Arbeit außerhalb passieren muss. Bei der Risikonanlyse hilft einem da keine Software. Das geht nur mit Brain 1.0. Da hilften nur die BSI- oder 27001 ff.-Kataloge als Stichwortgeber
nach unserer Betrachtung kam aus Bayern das ISIS12 https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.htm ..., was wohl einen anderen Ansatz der Herangehensweite hat. Das ist aber für kleinere Umgebungen (bis 100 MA(?)) gedacht und scheidet somit bei uns aus.
Schlußendlich machen wir alles per Handarbeit.
cu
ich
wir hatten uns unter anderem das Tool angesehen und es für (unsere Anforderungen) als zu unflexibel angesehen. Generell sind wir zu der Auffassung gekommen, dass uns ein Tool (egal welches) nicht viel bringt, da die meiste Arbeit außerhalb passieren muss. Bei der Risikonanlyse hilft einem da keine Software. Das geht nur mit Brain 1.0. Da hilften nur die BSI- oder 27001 ff.-Kataloge als Stichwortgeber
nach unserer Betrachtung kam aus Bayern das ISIS12 https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.htm ..., was wohl einen anderen Ansatz der Herangehensweite hat. Das ist aber für kleinere Umgebungen (bis 100 MA(?)) gedacht und scheidet somit bei uns aus.
Schlußendlich machen wir alles per Handarbeit.
cu
ich
hallo n.o.b.o.d.y
danke für den Kommentar!
und das kostet halt Zeit.
Es ist bestimmt sehr schwierig, da was zu schätzen (10 Standorte a 20 Clients, alle Server im RZ) ...
vG
LS
danke für den Kommentar!
Schlußendlich machen wir alles per Handarbeit
und das kostet halt Zeit.
Es ist bestimmt sehr schwierig, da was zu schätzen (10 Standorte a 20 Clients, alle Server im RZ) ...
vG
LS
Hallo,
ja, das kostete Zeit, bei uns wird das in Jahren gerechent. Was hilft ist Clustering, also das Zusammenfassen von Betrachtungsgegenständen mit gleichem Sicherheitsniveau. Sagen wir, die Arbeitsplätze an den 10 Standorten sind alle vergleichbar ausgestattet und es werden die gleichen Anwenungen benutzt. Das kann dann in einem Sicherheitskonzept beschrieben werden und nicht 10. Gleiches gilt für Gebäude, Serverräume, Verfahren etc. So bekommt man wenigstens mal einen Überblick, was alles betrachete werden muss.
Wir führen dann die einzelen Sicherheitskonzepte zu einem Gesamtkonzept zusammen, in dem nur auf die anderen SiKos verwiesen wird. Im obersten Dokument werden dann nur die TOP-Risiken abgebildet, die von unten "durchgereicht" wurden. Das macht dann das Leben bei der (jährlichen) Revision der Konzepte einfachern, da man sich der Reihe nach die einzelen SiKos vornehmen kann und nicht so ein Monsterdokument händeln muss.
ja, das kostete Zeit, bei uns wird das in Jahren gerechent. Was hilft ist Clustering, also das Zusammenfassen von Betrachtungsgegenständen mit gleichem Sicherheitsniveau. Sagen wir, die Arbeitsplätze an den 10 Standorten sind alle vergleichbar ausgestattet und es werden die gleichen Anwenungen benutzt. Das kann dann in einem Sicherheitskonzept beschrieben werden und nicht 10. Gleiches gilt für Gebäude, Serverräume, Verfahren etc. So bekommt man wenigstens mal einen Überblick, was alles betrachete werden muss.
Wir führen dann die einzelen Sicherheitskonzepte zu einem Gesamtkonzept zusammen, in dem nur auf die anderen SiKos verwiesen wird. Im obersten Dokument werden dann nur die TOP-Risiken abgebildet, die von unten "durchgereicht" wurden. Das macht dann das Leben bei der (jährlichen) Revision der Konzepte einfachern, da man sich der Reihe nach die einzelen SiKos vornehmen kann und nicht so ein Monsterdokument händeln muss.
Moin,
ich nutze Verinice sehr intensiv bei meinen Kunden. (Ich betreue Mittelständler bei der Erstellung von Sicherheitskonzepten, Maßnahmenplänen, etc.) - Für mich hat es einfach den großen Vorteil, dass ich mit dem Tool die Struktur der Kunden nachbauen kann und z.B. Maßnahmen aus dem BSI-Katalogen und meinem eigenen Maßnahmenpool einfach per drag-drop verlinken kann. Zusätzlich kann ich dann nach definierten Regeln Maßnahmen als umgesetzt deklarieren. Beispiel: Eine neue USV sichert den gesamten Schrank ab, also habe ich für alle Server im Schrank die Maßnahme "USV anschließen" erledigt.
In meiner Berater-Funktion kann ich mit Verinice zwischen der Kunden-Installation und meiner Installation syncen, das hilft ungemein wenn ich Sachen im Office vorbereite und dann nur noch beim Kunden ausrolle.
Gerade beim Stichwork Risikoanalyse bietet Verinice mit den (leider kostenpflichtigen) Risiko-Katalogen eine echte Arbeitserleichterung - aber natürlich muss man die Vorlagen alle abarbeiten, was Gehirnschmalz erfordert.
Das größte Manko mMn ist, dass Verinice zu starr zwischen ISO-27001-Sicht und BSI-Katalog abgrenzt. Ich kann also nicht mal eben bei einem ISO-Kunden ein paar Maßnahmen aus dem BSI-Katalog verlinken.
Zur ISIS12 lasse ich mich an der Stelle mal nicht aus, empfehle aber im KMU-Bereich, sich auch mal mit der VdS-3473 auseinander zu setzen.
mein Fazit: kein Tool kann das Gehirn ersetzen, aber es kann lästige Verwaltungsarbeit abnehmen und eine Struktur bieten.
Und ein Konglumerat an Office-Dokumenten mag kurzfristig praktikabel erscheinen, spätestens in ein paar Jahren, wenn Du die Entwicklung der Informationssicherheit auswerten möchtest, fliegt Dir aber die Excel-Schlacht um die Ohren.
Gruß
Bernhard
ich nutze Verinice sehr intensiv bei meinen Kunden. (Ich betreue Mittelständler bei der Erstellung von Sicherheitskonzepten, Maßnahmenplänen, etc.) - Für mich hat es einfach den großen Vorteil, dass ich mit dem Tool die Struktur der Kunden nachbauen kann und z.B. Maßnahmen aus dem BSI-Katalogen und meinem eigenen Maßnahmenpool einfach per drag-drop verlinken kann. Zusätzlich kann ich dann nach definierten Regeln Maßnahmen als umgesetzt deklarieren. Beispiel: Eine neue USV sichert den gesamten Schrank ab, also habe ich für alle Server im Schrank die Maßnahme "USV anschließen" erledigt.
In meiner Berater-Funktion kann ich mit Verinice zwischen der Kunden-Installation und meiner Installation syncen, das hilft ungemein wenn ich Sachen im Office vorbereite und dann nur noch beim Kunden ausrolle.
Gerade beim Stichwork Risikoanalyse bietet Verinice mit den (leider kostenpflichtigen) Risiko-Katalogen eine echte Arbeitserleichterung - aber natürlich muss man die Vorlagen alle abarbeiten, was Gehirnschmalz erfordert.
Das größte Manko mMn ist, dass Verinice zu starr zwischen ISO-27001-Sicht und BSI-Katalog abgrenzt. Ich kann also nicht mal eben bei einem ISO-Kunden ein paar Maßnahmen aus dem BSI-Katalog verlinken.
Zur ISIS12 lasse ich mich an der Stelle mal nicht aus, empfehle aber im KMU-Bereich, sich auch mal mit der VdS-3473 auseinander zu setzen.
mein Fazit: kein Tool kann das Gehirn ersetzen, aber es kann lästige Verwaltungsarbeit abnehmen und eine Struktur bieten.
Und ein Konglumerat an Office-Dokumenten mag kurzfristig praktikabel erscheinen, spätestens in ein paar Jahren, wenn Du die Entwicklung der Informationssicherheit auswerten möchtest, fliegt Dir aber die Excel-Schlacht um die Ohren.
Gruß
Bernhard
Hallo Bernhard,
vielen Dank für deinen ausführlichen Kommentar.
War sehr hilfreich.
vG
LS
vielen Dank für deinen ausführlichen Kommentar.
War sehr hilfreich.
vG
LS
Hallo LS,
ich arbeite seit längerer Zeit mit verinice und kann es als "unterstützendes Werkzeug" zum Aufbau eines ISMS nur empfehlen. Falls Sie möchten kann ich Ihnen einen kurzen Überblick zu verinice via Web Session geben. Sagen Sie einfach Bescheid, falls Interesse besteht.
Viele Grüße
RG
ich arbeite seit längerer Zeit mit verinice und kann es als "unterstützendes Werkzeug" zum Aufbau eines ISMS nur empfehlen. Falls Sie möchten kann ich Ihnen einen kurzen Überblick zu verinice via Web Session geben. Sagen Sie einfach Bescheid, falls Interesse besteht.
Viele Grüße
RG
Hallo RG,
ich hätte gerne einen kurzen Überbelick zu vernice!
Danke!
VG
ich hätte gerne einen kurzen Überbelick zu vernice!
Danke!
VG
