wir sind noch relativ am Anfang der Umsetzung von verinice.Pro, um uns auf die ISO27k vorzubereiten.
Daher ist meine Frage noch eher zum Grundlegenden Umgang mit den ISO Controls. Leider hatte ich nichts passendes gefunden.
Im Webinar wurde uns gezeigt, dass man am Besten den Risiko-Katalog importiert und entsprechend die Assets mit den Szenarien und Controls verlinkt. Das funktioniert auch alles und erscheint mir Logisch.
Wenn ich nun jedoch eine vielzahl verschiedener Assets habe, die alle vom selben Szenario/ der selben Control betroffen sind, dann müsste ich doch das entsprechende Control für jedes dieser Assets neu importieren und zuweisen?
Als Beispiel habe ich Asset A, welches Benutzer A als Eigentümer hat (der sich dann auch um die Umsetzung der Controls kümmern muss) und Asset B mit Benutzer B.
Jetzt sind beide Assets von Control X betroffen. Somit bräuchte ich zum Erstellen von Tasks und zum Tracken der Umsetzung hier zwei mal das Control X oder übersehe ich hier etwas ganz Grundlegendes?
eine kleine Richtigstellung vorab, damit ich hoffentlich etwas weiterhelfen kann…
Man verknüpft (in verinice) relevante Assets mit relevanten Szenarien.
Erst im zweiten Schritt werden die Controls wahlweise:
mit dem Szenario verknüpft, wenn sie die Eintrittswahrscheinlichkeit reduzieren. Dies ist übrigens bei ca. 80% der Controls der Fall.
mit dem Asset verknüpft, wenn sie die mögliche Auswirkung (Business Impact) hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit reduzieren.
Das bedeutet auch, jedes Szenario liegt nur einmal vor und ist meistens mit mehreren Assets verknüpft. Ein Szenario dupplizieren würde man nur dann, wenn es mit unterschiedlicher Eintrittswahrscheinlichkeit auf unterschiedliche Assets anzuwenden ist. Ein anschauliches Beispiel wäre hier das Szenario Hochwasser, einmal niedrig für den Standort auf der Zugspitze und einmal hoch für den Standort im Hamburger Hafen.
Es empfiehlt sich, auch um den Aufwand insgesamt gering zu halten, (Umsetzungs-)Verantwortliche je Control zu verknüpfen, die dann wie oben beschrieben:
die überwiegende Anzahl der Controls umsetzen, welche die Eintrittswahrscheinlichkeit der Szenarien reduzieren.
die kleiner Anzahl an Controls umsetzen, die die Auswirkung an den Assets reduzieren.
Letztlich wird man aber immer wieder mehrere Verantwortliche haben können, die ein Control an unterschiedlichen Stellen umzusetzen haben. Um den Aufwand im Rahmen zu halten empfiehlt es sich hier aber nicht das Control für jede einzelne Umsetzungsinstanz zu kopieren sondern die Bearbeitung zusammenzufassen.
Beides könnte letztlich in verinice abgebildet werden, unsere Best Practice Empfehlung ist ganz klar die Abstraktion und nicht die detailgetreue Abbildung der Realität.
Ich hoffe das hilft Ihnen bei Ihren nächsten Schritten!
und vielen Dank für die schnelle und ausführliche Antwort.
Wenn ich die beschriebene Herangehensweiße richtig verstehe, sind wir wohl von Grund auf etwas zu detailreich / umständlich an die Sache herangegangen.
Unser Ziel ist eine erste Zertifizierung von Systemen (eher veschiedenen Anwendungen), die bestimmte Kriterien erfüllen (bei weitem nicht alle vorhandenen Systeme).
Aktuell hätten wir für jede Anwendung die im ersten durchlauf zertifiziert werden sollen (ca. 250 Stk.) ein eigenes Asset angelegt. Hintergrund war die Annahme, dass jede Anwendung einen anderen Eigentümer und einen anderen Implementierungsstatus hat und somit nicht zusammengefasst werden kann.
Im Endeffekt sollten diese Anwenundungen so gut es geht zusammengefasst werden, wenn ich Sie richtig verstanden habe. Des weiteren sollten dann die Controls einen oder mehrere „eigene Verantwortliche“ bekommen und nicht jede Control vom Anwendungs-Eigentümer separat gepflegt werden?
ich antworte Ihnen hier gerne, weill es sicher auch viele andere Anwender interessiert.
Beim Aufabu eines ISMS gilt es immer ein Model der Realität abzubilden, wobei zwei konkurrierende Anforderungen zu erfüllen sind:
Zum einen möchte man möglichst detailiert sein, um ein Maximum an Informationssicherheit zu erzielen, zum andern möchte man abstrahieren, um den Aufwand im ISMS(-Tool) selbst möglichst gering zu halten.
Es gibt folglich nicht die eine Vorgehensweise, jede Organisation hat einen gewissen Spielraum.
Eine sinnvolle Empfehlung findet sich im Hinblick auf die Strukturanalyse beim BSI, ich zitiere aus dem Kapitel 8.1.1 Komplexitätsreduktion durch Gruppenbildung des BSI-Standard 200-2 IT-Grundschutz-Methodik:
Objekte können dann ein und derselben Gruppe zugeordnet werden, wenn die Objekte alle
vom gleichen Typ sind,
ähnliche Aufgaben haben,
ähnlichen Rahmenbedingungen unterliegen und
den gleichen Schutzbedarf aufweisen.
Bei technischen Objekten bietet sich eine Gruppenbildung außerdem immer dann an, wenn sie
ähnlich konfiguriert sind,
ähnlich in das Netz eingebunden sind (z. B. im gleichen Netzsegment) und
ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen,
ähnliche Anwendungen bedienen und
den gleichen Schutzbedarf aufweisen.
Diese Vorgehensweise ist prinzipiell auch für die ISO-Welt anwendbar.
