01.01.2008
Prost Logfile!
01.01.2008 00:49 / Kommentare (0) / Kommentieren? /
Kategorien: / Rants & Flames / ICT - IT-Sicherheit / Allgemein /
... und möge 1984 2008 so werden, wie WIR es uns erwünschen.
20.12.2007
ISO 27001 ist NICHT abhaken von Controls!
20.12.2007 18:21 / Kommentare (0) / Kommentieren? /
Kategorien: / Rants & Flames / ICT - IT-Sicherheit /
Ein Auszug aus dem Artikel "Am Drehkreuz" aus der <kes> 2007#6, S.43ff:
(..)"Die Normenreihe ISO/IEC 27000 behandelt Informationssicherheits-Managementsysteme (ISMS), Anforderungen zur Zertifizierung eines ISMS enthält dabei ISO/IEC 27001:2005 "Information technology - Security techniques - Information security managements systems - Requirements". Darin sind auf 17 Seiten im Anhang A "Control objectives and controls" (Sicherheitsziele und Prüfpunkte) die normativen, also zertifizierungsrelevanten, Anforderungen aufgelistet." (..)
Der zweite Satz ist in dieser Formulierung dermassener Schwachsinn, das es weh tut. Leider liest/hört man ihn zu häufig.
Der Annex A ist als normativ benannt, das ist korrekt.
Jedoch liest es sich so, als ob allein die Umsetzung der in Annex A gelisteten Controls reichen würde, um ein ISMS erfolgreich zu betreiben.
Und das wäre so falsch, das es gar nicht mehr geht.
Fakt ist: Die relevanten Anforderungen an ein ISMS nach ISO/IEC 27001:2005 befinden sich in den Kapiteln 4 bis einschliesslich 8, auf den Seiten 3 bis 12 des Standards.
Setze ich diese Forderungen als Prozesse korrekt um, besitze ich ein ISMS. Punkt.
Die Controls aus Annex A bzw. deren erläuterte Langform in ISO/IEC 27002:2005 (ex-ISO 17799) kommen (erst) dann zu Aufmerksamkeit, wenn ich im Rahmen des zwingend erforderlichen Risikomanagements zur Entscheidung gelange, erfasste Risiken für die Informationssicherheit mit einem Control aus Annex A zu behandeln. ( Siehe Kap. 4.2.1.g) )
Von Relevanz im Kontext ist der Prozess der Risikoerkennung, -abschätzung und schliesslich der -behandlung. Wenn ich mich dazu entschliesse, einen Control um- bzw. einzusetzen, wird dessen Begründung zertifizierungsrelevant - und damit auch die Implementation des Controls. Erst dann!
Soll ebenfalls heissen: ich kann ein ISMS komplett ohne Controls aus Annex A betreiben, wenn ich es für den konkreten Fall angemessen begründen kann und die verbleibenden Risiken akzeptiere.
Ich kann auch ein ISMS mit eine variablen Anzahl der angebotenen Controls betreiben, und bin standardkonform, wenn der Prozess den Anforderungen aus den Kapiteln 4 bis 8 genügt.
Ich kann auch ein ISMS betreiben, das zusätzliche Controls beinhaltet, welche NICHT im Annex A aufgeführt wurden. Schliesslich sagt der Standard selber, das es sich dabei um eine nicht erschöpfende Liste handelt, welche als allgemein relevant betrachtete Controls beinhaltet und dafür sorgen möchte, das nicht Bereiche übersehen werden. ( Siehe Kap. 4.2.1.g) NOTE )
Ja, ich könnte auch ein ISMS nur mit Controls betreiben, welche nicht im Annex A aufgeführt sind. Zum Beispiel: komplett mit den geforderten Schutzmassnahmen aus dem PCI-DSS. (Wobei dies Überlappungen ergäbe, weil PCI-DSS durchaus vergleichbare Schutzmassnahmen fordert, welche bereits als Controls im Annex A erfasst wurden. Selber Fall mit so ziemlich jedem anderen Standard.)
Wobei ich zugebe, das dieses Beispiel dann besser einen extrem fokussierten Scope des ISMS benötigen würde, welcher sich auf die relevanten Bereiche (Geschäftsprozesse, Organisationseinheiten, Netzwerke, IT-Systeme, etc.) beschränkt, welche mit cardholder data in Kontakt kommen. Zumindest, wenn es nicht ziemlich unhandlich sein soll.
Oh: Und natürlich kann ich auch ein ISMS betreiben, wenn nirgendwo ein IT-System herumsteht.
Die Erklärung des Unterschiedes zwischen Informationssicherheit und IT-Sicherheit gibt es als Hausaufgabe zum selbermachen.
(..)"Die Normenreihe ISO/IEC 27000 behandelt Informationssicherheits-Managementsysteme (ISMS), Anforderungen zur Zertifizierung eines ISMS enthält dabei ISO/IEC 27001:2005 "Information technology - Security techniques - Information security managements systems - Requirements". Darin sind auf 17 Seiten im Anhang A "Control objectives and controls" (Sicherheitsziele und Prüfpunkte) die normativen, also zertifizierungsrelevanten, Anforderungen aufgelistet." (..)
Der zweite Satz ist in dieser Formulierung dermassener Schwachsinn, das es weh tut. Leider liest/hört man ihn zu häufig.
Der Annex A ist als normativ benannt, das ist korrekt.
Jedoch liest es sich so, als ob allein die Umsetzung der in Annex A gelisteten Controls reichen würde, um ein ISMS erfolgreich zu betreiben.
Und das wäre so falsch, das es gar nicht mehr geht.
Fakt ist: Die relevanten Anforderungen an ein ISMS nach ISO/IEC 27001:2005 befinden sich in den Kapiteln 4 bis einschliesslich 8, auf den Seiten 3 bis 12 des Standards.
Setze ich diese Forderungen als Prozesse korrekt um, besitze ich ein ISMS. Punkt.
Die Controls aus Annex A bzw. deren erläuterte Langform in ISO/IEC 27002:2005 (ex-ISO 17799) kommen (erst) dann zu Aufmerksamkeit, wenn ich im Rahmen des zwingend erforderlichen Risikomanagements zur Entscheidung gelange, erfasste Risiken für die Informationssicherheit mit einem Control aus Annex A zu behandeln. ( Siehe Kap. 4.2.1.g) )
Von Relevanz im Kontext ist der Prozess der Risikoerkennung, -abschätzung und schliesslich der -behandlung. Wenn ich mich dazu entschliesse, einen Control um- bzw. einzusetzen, wird dessen Begründung zertifizierungsrelevant - und damit auch die Implementation des Controls. Erst dann!
Soll ebenfalls heissen: ich kann ein ISMS komplett ohne Controls aus Annex A betreiben, wenn ich es für den konkreten Fall angemessen begründen kann und die verbleibenden Risiken akzeptiere.
Ich kann auch ein ISMS mit eine variablen Anzahl der angebotenen Controls betreiben, und bin standardkonform, wenn der Prozess den Anforderungen aus den Kapiteln 4 bis 8 genügt.
Ich kann auch ein ISMS betreiben, das zusätzliche Controls beinhaltet, welche NICHT im Annex A aufgeführt wurden. Schliesslich sagt der Standard selber, das es sich dabei um eine nicht erschöpfende Liste handelt, welche als allgemein relevant betrachtete Controls beinhaltet und dafür sorgen möchte, das nicht Bereiche übersehen werden. ( Siehe Kap. 4.2.1.g) NOTE )
Ja, ich könnte auch ein ISMS nur mit Controls betreiben, welche nicht im Annex A aufgeführt sind. Zum Beispiel: komplett mit den geforderten Schutzmassnahmen aus dem PCI-DSS. (Wobei dies Überlappungen ergäbe, weil PCI-DSS durchaus vergleichbare Schutzmassnahmen fordert, welche bereits als Controls im Annex A erfasst wurden. Selber Fall mit so ziemlich jedem anderen Standard.)
Wobei ich zugebe, das dieses Beispiel dann besser einen extrem fokussierten Scope des ISMS benötigen würde, welcher sich auf die relevanten Bereiche (Geschäftsprozesse, Organisationseinheiten, Netzwerke, IT-Systeme, etc.) beschränkt, welche mit cardholder data in Kontakt kommen. Zumindest, wenn es nicht ziemlich unhandlich sein soll.
Oh: Und natürlich kann ich auch ein ISMS betreiben, wenn nirgendwo ein IT-System herumsteht.
Die Erklärung des Unterschiedes zwischen Informationssicherheit und IT-Sicherheit gibt es als Hausaufgabe zum selbermachen.
27.11.2007
Kühltotleistung
27.11.2007 22:57 / Kommentare (0) / Kommentieren? /
Kategorien: / Rants & Flames /
Jetzt dürfte mein Wassereis auch mal wieder durchfrieren.
Für eine zu kurze Weile.
07.11.2007
You get what you pay for.
07.11.2007 08:41 / Kommentare (0) / Kommentieren? /
Kategorien: / Rants & Flames / ICT - Allgemein /
In meinem Fall gerade ein Webmailsystem, welches mir nach 2 Monaten anfängt, Emails wegzuschmeissen.
Dreck.
Dreck.
22.10.2007
Es gibt Montage, und es gibt Montage...
22.10.2007 21:58 / Kommentare (0) / Kommentieren? /
Kategorien: / Rants & Flames /
.. und heute war wohl eher einer der letzteren.
Gibt es eigentlich was schöneres, als morgends erstmal feststellen zu müssen, das der Wagen gefühlte drei Zentimeter mit Eis verkrustet ist, die Wagenvermietung keine als Eiskratzer geeignete Parkscheibe (ja, nichtmal eine Parkscheibe an sich!) beilegte und man dann fünf Minuten lang nach einem kratzfähigen Objekt zu suchen, welche sich schliesslich als Plastikputzschaufelchen entpuppt. Nun gut, gefühlte zehn Minuten einhackens auf die Fenster später gab es sowas wie Aussicht, danach über zwei Stunden vorsichtiges (jaja, für geeignete Werte von "vorsichtig") Fahren durch den Westerwald (Hey, Sommerreifen! Weil, die Winterreifen kosten doch noch Aufschlag. Irgendjemanden könnte ich schlagen...) kommt man dann schliesslich 210km später im Büro an, um von einer Rechnung des Vermieters bzgl einer Bearbeitungsgebühr für ein Knöllchen begrüsst zu werden.
I love it.
Totally.
Zumindest wusste ich zwei Telefonate mit den Callcenter später schonmal, das das ganze wohl irgendeine Falschparkangelegenheit in Düsseldorf gewesen sein soll. (Düsseldorf? Da war ich das letzte Mal 2005 oder so..)
Wie sich dann nach Eintreffen der vormittags noch ausstehenden Kollegin dann am frühen Nachmittag herausstellte, war das nicht für mich. Erfreulicherweise.
Wobei ich mich grade frage, wie man einen Zahlendreher von "6516" zu "6517" auf nem Nummernblock hinkriegt...
Und hey, noch zwei Wochen und zwei Tage, dann habe ich zehn Jahre mit Fahrerlaubnis und ohne Knolle...
(Okay, wenn die allerdings am Freitag mich auf der A3 geblitzt haben, dann wars das mit dem Rekord...)
Gibt es eigentlich was schöneres, als morgends erstmal feststellen zu müssen, das der Wagen gefühlte drei Zentimeter mit Eis verkrustet ist, die Wagenvermietung keine als Eiskratzer geeignete Parkscheibe (ja, nichtmal eine Parkscheibe an sich!) beilegte und man dann fünf Minuten lang nach einem kratzfähigen Objekt zu suchen, welche sich schliesslich als Plastikputzschaufelchen entpuppt. Nun gut, gefühlte zehn Minuten einhackens auf die Fenster später gab es sowas wie Aussicht, danach über zwei Stunden vorsichtiges (jaja, für geeignete Werte von "vorsichtig") Fahren durch den Westerwald (Hey, Sommerreifen! Weil, die Winterreifen kosten doch noch Aufschlag. Irgendjemanden könnte ich schlagen...) kommt man dann schliesslich 210km später im Büro an, um von einer Rechnung des Vermieters bzgl einer Bearbeitungsgebühr für ein Knöllchen begrüsst zu werden.
I love it.
Totally.
Zumindest wusste ich zwei Telefonate mit den Callcenter später schonmal, das das ganze wohl irgendeine Falschparkangelegenheit in Düsseldorf gewesen sein soll. (Düsseldorf? Da war ich das letzte Mal 2005 oder so..)
Wie sich dann nach Eintreffen der vormittags noch ausstehenden Kollegin dann am frühen Nachmittag herausstellte, war das nicht für mich. Erfreulicherweise.
Wobei ich mich grade frage, wie man einen Zahlendreher von "6516" zu "6517" auf nem Nummernblock hinkriegt...
Und hey, noch zwei Wochen und zwei Tage, dann habe ich zehn Jahre mit Fahrerlaubnis und ohne Knolle...
(Okay, wenn die allerdings am Freitag mich auf der A3 geblitzt haben, dann wars das mit dem Rekord...)