Wer nutzt verinice?
Mahlzeit,
ich habe mir die freie Version von verinice installiert und 'schon' mal drüber geschaut.
Meine Frage ist,
1. wer nutzt das im Unternehmen (wahrscheinlich dann die Pro Version) und
2. wieweit kann man daraus ein IT-Sicherheitskonzept als Dokument erzeugen?
Mein Ziel: ein IT-Sicherheitskonzept.
vG
LS
ich habe mir die freie Version von verinice installiert und 'schon' mal drüber geschaut.
Meine Frage ist,
1. wer nutzt das im Unternehmen (wahrscheinlich dann die Pro Version) und
2. wieweit kann man daraus ein IT-Sicherheitskonzept als Dokument erzeugen?
Mein Ziel: ein IT-Sicherheitskonzept.
vG
LS
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337481
Url: https://administrator.de/forum/wer-nutzt-verinice-337481.html
Ausgedruckt am: 30.03.2025 um 08:03 Uhr
7 Kommentare
Neuester Kommentar
Moin,
wir hatten uns unter anderem das Tool angesehen und es für (unsere Anforderungen) als zu unflexibel angesehen. Generell sind wir zu der Auffassung gekommen, dass uns ein Tool (egal welches) nicht viel bringt, da die meiste Arbeit außerhalb passieren muss. Bei der Risikonanlyse hilft einem da keine Software. Das geht nur mit Brain 1.0. Da hilften nur die BSI- oder 27001 ff.-Kataloge als Stichwortgeber
nach unserer Betrachtung kam aus Bayern das ISIS12 https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.htm ..., was wohl einen anderen Ansatz der Herangehensweite hat. Das ist aber für kleinere Umgebungen (bis 100 MA(?)) gedacht und scheidet somit bei uns aus.
Schlußendlich machen wir alles per Handarbeit.
cu
ich
wir hatten uns unter anderem das Tool angesehen und es für (unsere Anforderungen) als zu unflexibel angesehen. Generell sind wir zu der Auffassung gekommen, dass uns ein Tool (egal welches) nicht viel bringt, da die meiste Arbeit außerhalb passieren muss. Bei der Risikonanlyse hilft einem da keine Software. Das geht nur mit Brain 1.0. Da hilften nur die BSI- oder 27001 ff.-Kataloge als Stichwortgeber
nach unserer Betrachtung kam aus Bayern das ISIS12 https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.htm ..., was wohl einen anderen Ansatz der Herangehensweite hat. Das ist aber für kleinere Umgebungen (bis 100 MA(?)) gedacht und scheidet somit bei uns aus.
Schlußendlich machen wir alles per Handarbeit.
cu
ich
Hallo,
ja, das kostete Zeit, bei uns wird das in Jahren gerechent. Was hilft ist Clustering, also das Zusammenfassen von Betrachtungsgegenständen mit gleichem Sicherheitsniveau. Sagen wir, die Arbeitsplätze an den 10 Standorten sind alle vergleichbar ausgestattet und es werden die gleichen Anwenungen benutzt. Das kann dann in einem Sicherheitskonzept beschrieben werden und nicht 10. Gleiches gilt für Gebäude, Serverräume, Verfahren etc. So bekommt man wenigstens mal einen Überblick, was alles betrachete werden muss.
Wir führen dann die einzelen Sicherheitskonzepte zu einem Gesamtkonzept zusammen, in dem nur auf die anderen SiKos verwiesen wird. Im obersten Dokument werden dann nur die TOP-Risiken abgebildet, die von unten "durchgereicht" wurden. Das macht dann das Leben bei der (jährlichen) Revision der Konzepte einfachern, da man sich der Reihe nach die einzelen SiKos vornehmen kann und nicht so ein Monsterdokument händeln muss.
ja, das kostete Zeit, bei uns wird das in Jahren gerechent. Was hilft ist Clustering, also das Zusammenfassen von Betrachtungsgegenständen mit gleichem Sicherheitsniveau. Sagen wir, die Arbeitsplätze an den 10 Standorten sind alle vergleichbar ausgestattet und es werden die gleichen Anwenungen benutzt. Das kann dann in einem Sicherheitskonzept beschrieben werden und nicht 10. Gleiches gilt für Gebäude, Serverräume, Verfahren etc. So bekommt man wenigstens mal einen Überblick, was alles betrachete werden muss.
Wir führen dann die einzelen Sicherheitskonzepte zu einem Gesamtkonzept zusammen, in dem nur auf die anderen SiKos verwiesen wird. Im obersten Dokument werden dann nur die TOP-Risiken abgebildet, die von unten "durchgereicht" wurden. Das macht dann das Leben bei der (jährlichen) Revision der Konzepte einfachern, da man sich der Reihe nach die einzelen SiKos vornehmen kann und nicht so ein Monsterdokument händeln muss.
Moin,
ich nutze Verinice sehr intensiv bei meinen Kunden. (Ich betreue Mittelständler bei der Erstellung von Sicherheitskonzepten, Maßnahmenplänen, etc.) - Für mich hat es einfach den großen Vorteil, dass ich mit dem Tool die Struktur der Kunden nachbauen kann und z.B. Maßnahmen aus dem BSI-Katalogen und meinem eigenen Maßnahmenpool einfach per drag-drop verlinken kann. Zusätzlich kann ich dann nach definierten Regeln Maßnahmen als umgesetzt deklarieren. Beispiel: Eine neue USV sichert den gesamten Schrank ab, also habe ich für alle Server im Schrank die Maßnahme "USV anschließen" erledigt.
In meiner Berater-Funktion kann ich mit Verinice zwischen der Kunden-Installation und meiner Installation syncen, das hilft ungemein wenn ich Sachen im Office vorbereite und dann nur noch beim Kunden ausrolle.
Gerade beim Stichwork Risikoanalyse bietet Verinice mit den (leider kostenpflichtigen) Risiko-Katalogen eine echte Arbeitserleichterung - aber natürlich muss man die Vorlagen alle abarbeiten, was Gehirnschmalz erfordert.
Das größte Manko mMn ist, dass Verinice zu starr zwischen ISO-27001-Sicht und BSI-Katalog abgrenzt. Ich kann also nicht mal eben bei einem ISO-Kunden ein paar Maßnahmen aus dem BSI-Katalog verlinken.
Zur ISIS12 lasse ich mich an der Stelle mal nicht aus, empfehle aber im KMU-Bereich, sich auch mal mit der VdS-3473 auseinander zu setzen.
mein Fazit: kein Tool kann das Gehirn ersetzen, aber es kann lästige Verwaltungsarbeit abnehmen und eine Struktur bieten.
Und ein Konglumerat an Office-Dokumenten mag kurzfristig praktikabel erscheinen, spätestens in ein paar Jahren, wenn Du die Entwicklung der Informationssicherheit auswerten möchtest, fliegt Dir aber die Excel-Schlacht um die Ohren.
Gruß
Bernhard
ich nutze Verinice sehr intensiv bei meinen Kunden. (Ich betreue Mittelständler bei der Erstellung von Sicherheitskonzepten, Maßnahmenplänen, etc.) - Für mich hat es einfach den großen Vorteil, dass ich mit dem Tool die Struktur der Kunden nachbauen kann und z.B. Maßnahmen aus dem BSI-Katalogen und meinem eigenen Maßnahmenpool einfach per drag-drop verlinken kann. Zusätzlich kann ich dann nach definierten Regeln Maßnahmen als umgesetzt deklarieren. Beispiel: Eine neue USV sichert den gesamten Schrank ab, also habe ich für alle Server im Schrank die Maßnahme "USV anschließen" erledigt.
In meiner Berater-Funktion kann ich mit Verinice zwischen der Kunden-Installation und meiner Installation syncen, das hilft ungemein wenn ich Sachen im Office vorbereite und dann nur noch beim Kunden ausrolle.
Gerade beim Stichwork Risikoanalyse bietet Verinice mit den (leider kostenpflichtigen) Risiko-Katalogen eine echte Arbeitserleichterung - aber natürlich muss man die Vorlagen alle abarbeiten, was Gehirnschmalz erfordert.
Das größte Manko mMn ist, dass Verinice zu starr zwischen ISO-27001-Sicht und BSI-Katalog abgrenzt. Ich kann also nicht mal eben bei einem ISO-Kunden ein paar Maßnahmen aus dem BSI-Katalog verlinken.
Zur ISIS12 lasse ich mich an der Stelle mal nicht aus, empfehle aber im KMU-Bereich, sich auch mal mit der VdS-3473 auseinander zu setzen.
mein Fazit: kein Tool kann das Gehirn ersetzen, aber es kann lästige Verwaltungsarbeit abnehmen und eine Struktur bieten.
Und ein Konglumerat an Office-Dokumenten mag kurzfristig praktikabel erscheinen, spätestens in ein paar Jahren, wenn Du die Entwicklung der Informationssicherheit auswerten möchtest, fliegt Dir aber die Excel-Schlacht um die Ohren.
Gruß
Bernhard