Neuigkeiten

Meldungen rund um verinice

verinice hilft beim Update auf ISO 27001:2013

02.05.2014

Die brandneue Version des verinice-Risikokatalogs steht ab sofort in Englisch zur Verfügung. Sie berücksichtigt die Ende 2013 veröffentlichte Neufassung der Normen ISO 27001 sowie 27002 mit ihren zahlreichen Neuerungen. Diese überarbeitete Auflage des Risikokatalogs für verinice hilft Neu-Anwendern beim Einstieg und als Update auch erprobten Anwendern der ISO 27001:2005 beim Umstieg. Beiden Gruppen verschafft sie einen großen Vorteil: Zeitersparnis. 

Die neue Fassung des verinice-Risikokatalogs enhält alle 14 Control Clauses, 35 Security Categories und 114 Controls des Standards. Außerdem beinhaltet er 109 generische Risikoszenarien, 47 Threats und 90 Vulnerabilities sowie über 1.100 Verknüpfungen. So verbinden sich alle Objekte zu einem sinnhaften Ganzen. Der Aufwand für eine umfassenden High Level Risikoanalysye verkürzt sich dadurch enorm. Statt mehreren Tagen benötigen Anwender nur noch wenige Stunden.

Als Implementierungshilfe sind für alle Controls nun kurze und prägnante Texte hinterlegt. Zu jeder Security Category gibt es außerdem eine kurze, möglichst verständlich gefasste Darstellung zu Sinn und Zweck des jeweiligen Kapitels.

Ebenfalls angepasst und gemäß der Änderungen im Standard reduziert wurde die Liste der Mandatory Documents, die für eine Zertifizierung zwingend erforderlich sind. Nach wie vor enthält der Katalog zusätzliche Empfehlungen für weitere Dokumente, die im eigenen Interesse für den reibungslosen Betrieb des ISMS erstellt werden sollten.

Alle Maßnahmen der neuen ISO 27002:2013 wurden wie für verinice-Anwender gewohnt bereits mit passenden Risikoszenarien verknüpft, um eine beschleunigte Risikobewertung basierend auf ISO 27005 vorzunehmen.

Aktive Risikoreduktion und Zeitersparnis

Der verinice Risikokatalog verbindet zwei arbeitsintensive Tätigkeiten der ISMS-Einführung miteinander: das Erstellen des "Statement of Applicability" (SoA) und die Risikoanalyse. Die Ergebnisse der SoA werden in verinice direkt bei der Risikoanalyse berücksichtigt. So sparen Sie viel Zeit bei der Risikobehandlung und die Controls der ISO 27001 werden zu mehr als nur einer Compliance-Checkliste: sie tragen sofort aktiv zur Risikoreduktion typischer Risiken aus dem IT-Einsatz bei. Das spart Aufwand bei der Formulierung eigener Controls zur Risikobehandlung. 

Der Aufwand für die Risikobewertung und Risikoreduktion wird hierdurch erheblich reduziert, so dass mehr Zeit für die Identifikation und Behandlung organisationsspezifischer Risiken bleibt.

Neue Version des Risikokatalogs beziehen

verinice.PRO Subskribenten finden die neue Version des Risikokatalogs im Repository. Der verinice-Risikokatalog steht ihnen kostenfrei zur Verfügung.

Für Anwender der kostenfreien verinice-Version ist der Katalog in unserem Web-Shop erhältlich.

Der Download-Code im Web-Shop ist für ein Jahr gültig. Falls Sie also die 2005er-Version des Risikokatalogs innerhalb der letzten 12 Monate erworben haben, steht das Update nun kostenfrei für Sie zum Download bereit.

Der Katalog steht zur Zeit ebenso wie der Standard ausschließlich in englischer Fassung zur Verfügung. Eine deutsche Version wird ergänzt, sobald die Übersetzung der DIN finalisiert wurde (bislang ist diese nur als Norm-Entwurf verfügbar).

 

Import-Anleitung:

Anwender des bisherigen Risikokatalogs basierend auf ISO 27001:2005 importieren bitte den Katalog "verinice_Risk_Catalogue_EN_2013_UPDATE".

Der Update-Katalog wird einfach über einen bereits in der Vergangenheit importierten Risikokatalog importiert. Vorher sollte eine Sicherung des gesamten Modells über die Export-Funktion durchgeführt werden.

Für Umsteiger sind dort alle entfallenen Controls und andere Objekte mit "OMITTED" markiert und können nach manueller Überprüfung gelöscht werden.

Veränderte Controls sind mit "REMOVE" markiert und können ebenfalls nach manueller Prüfung gelöscht werden.

Vorher sollten nötige Änderungen berücksichtigt werden, besonders Änderungen an Richtlinien, Nachweisen und anderen Dateianhängen, die Sie in verinice seit dem Import des ursprünglichen Kataloges ergänzt haben.

Neueinsteiger verwenden bitte den Katalog "verinice_Risk_Catalogue_EN_2013", um mit einer neuen Datenbank auf dem aktuellen Stand der Norm zu beginnen.


Informationen zu Heartbleed

14.04.2014

"Heartbleed" - eine schwere Sicherheitslücke in der Verschlüsselungssoftware OpenSSL - beunruhigt derzeit die IT-Szene. Bei SerNet und im verinice-Team beschäftigen wir uns intensiv mit dem Bug und entsprechenden Lösungen. Wir halten Sie an dieser Stelle über alle Entwicklungen auf dem Laufenden. 

Informationen für verinice-Kunden:

  • Der verinice-Client ist nicht betroffen.
  • Nutzer der Appliances sollten das bereits verfügbare Update ziehen bzw. das OpenSSL-Paket updaten.
  • Betroffen war auch das verinice-Repository. Auch hier haben wir bereits alle nötigen Maßnahmen ergriffen, der Server ist nicht mehr anfällig.

UPDATE für Kunden mit Firewall-Systemen: Alle von uns zu ergreifenden Maßnahmen wurden abgeschlossen. Betroffene Kunden wurden informiert und die Sicherheitslücke ist geschlossen. Wo nötig, wurden die SSL-Zertifikate von uns ausgetauscht.

Sollten Sie konkrete Fragen zu Ihren Systemen bei uns und den Konsequenzen durch Heartbleed haben, rufen Sie uns bitte unter 0551 37 0000 0 an, senden eine E-Mail an heartbleed@remove-this.sernet.de oder wenden Sie sich direkt an Ihren verinice-Support. 


Erfolgreiche Kopplung: Fallstudie zu GSM und verinice

18.03.2014

Wie aus Schwachstellenscans und der Nutzung von verinice als ISMS-Tool ein zentral gesteuerter Prozess für das Schwachstellenmanagement wird, zeigt die Greenbone Networks GmbH in einer Fallstudie: Die LEONI AG, Automobilzulieferer mit Sitz in Nürnberg, setzt auf die Kombination von Greenbone Security Manager (GSM) und verinice.PRO. Die "Fallstudie Vulnerability Management" gibt es als PDF im direkten Download bei Greenbone.


Als zentrale Aussage sticht hervor, dass LEONI durch die Kombination aus GSM und verinice.PRO die Effizienz der weltweit verteilten IT-Teams bei der Beseitigung von Schwachstellen deutlich steigern konnte. Erfolgsfaktor ist die enge Verzahnung beider Komponenten - ermöglicht wird diese auch durch die gute Zusammenarbeit von Greenbone Networks GmbH und SerNet. Als Ergebnis gehen bei LEONI Zeitersparnis und die Reduktion der Schwachstellen auf ein Zehntel des vorherigen Wertes Hand in Hand.

Sie wollen mehr zur Kopplung von GSM und verinice wissen? Wenden Sie sich gerne per E-Mail an verinice@remove-this.sernet.de an uns oder die Greenbone Networks GmbH


CeBIT 2014: verinice und SerNet sind dabei!

03.03.2014

Vom 10. bis zum 14. März 2014 sind wir mit dem verinice-Team und der ganzen SerNet auf der CeBIT vertreten. Sie finden uns in Halle 6, Stand G10 – kommen Sie vorbei und informieren Sie sich über die neusten Entwicklung rund um unser ISMS-Tool.

Tauschen Sie sich mit uns über Ideen und künftige Anforderungen aus, fragen Sie uns über die Roadmap aus und lassen Sie sich verinice.PRO zeigen. Oder trinken Sie einfach einen Kaffee mit uns.

Sie brauchen Tickets? Kein Problem, wir haben eines für Sie! Kontaktieren Sie uns bitte unter cebit@sernet.de

Wir freuen uns auf Ihren Besuch.


13. Ergänzungslieferung der IT-Grundschutz-Kataloge steht zum Download bereit

12.02.2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Freitag, 7. Februar 2014, das Metadatenupdate der 13. Ergänzungslieferung der IT-Grundschutzkataloge veröffentlicht. verinice-Anwendern steht das Update ab sofort zur Verfügung.

Anleitung für verinice.PRO

Für Anwender von verinice.PRO liegt ein neues RPM-Paket im Repository bereit, das über den gewöhnlichen Update-Befehl eingespielt werden kann. Nach dem Update des RPM-Pakets muss die Konfiguration des verinice.PRO Servers geändert werden, damit die neue Datei eingelesen wird. Ändern Sie in der Datei:

 

/usr/share/tomcat6/webapps/veriniceserver/WEB-INF/veriniceserver-plain.properties

 

die Property veriniceserver.grundschutzKataloge auf den Wert:

 

veriniceserver.grundschutzKataloge=/WEB-INF/it-grundschutz_el13_html_de.zip

 

Zur Sicherheit sollten Sie vor dem Neustart des Tomcat-Servers auch den Ordner "gscache" löschen, dieser befindet sich hier: /usr/share/tomcat6/temp/gscache Selbstverständlich unterstützen wir Sie gern im Rahmen ihres Supportverrages bei der Durchführung des Updates.

Anleitung für verinice. Standalone-Version

Anwender der kostenlosen Version von verinice können den Katalog für verinice unter folgender URL herunterladen:

http://updates.verinice.org/pub/verinice/content_for_verinice/it-grundschutz_el13_html_de.zip

Nach dem Download muss die Datei in den Einstellungen von verinice ausgewählt werden: Menu -> Einstellungen -> BSI IT-Grundschutz -> ZIP-Datei mit GS-Katalogen. Falls nach dem Einlesen die veränderten Inhalt nicht angezeigt werden, schließen Sie bitte die Anwendung. Löschen Sie dann den Ordner "gscache". Er befindet sich im Ordner "verinice" Heimatverzeichnis Ihres Benutzers, unter Windows 7 z.B. hier:

 

C:\Benutzer\<Benutzername>\verinice\workspace\gscache

 

 

Löschen Sie den Ordner "gscache" mitsamt aller enthaltenen Dateien und starten danach den Client neu. Die neuen Kataloge sollten nun eingelesen werden.

Änderungen gegenüber der Vorgängerversion

Bitte beachten Sie die Liste der Änderungen der 13. EL gegenüber der Vorgängerversion, insbesondere Änderungen bei einzelnen Maßnahmen, die Sie im Rahmen ihres Basis-Sicherheitschecks berücksichtigen müssen.

Veränderungen wie z.B. entfallene Maßnahmen werden von verinice nach dem Import angezeigt, wenn Sie das entsprechende Objekt auswählen. Änderungen im Inhalt einzelner Maßnahmen müssen vom Sicherheitsbeauftragten evaluiert und ggf. neu bewertet werden. Beim Übertragen der vorhandenen Ergebnisse in überarbeitete Bausteine hilft Ihnen die Konsolidierungsfunktion von verinice.

Die vollständige Beschreibung aller Änderungen finden Sie auf den BSI-Webseiten: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/allgemein/neues/Neues.html


IT-Grundschutz: 13. Ergänzungslieferung erschienen

10.02.2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Freitag, 7. Februar 2014, die lang erwartete 13. Ergänzungslieferung zur Aktualisierung der IT-Grundschutzkataloge frei gegeben.

Das verinice-Team arbeitet bereits intensiv daran das Metadaten-Update zu integrieren. Es soll allen verinice-Anwendern schnellstmöglich zur Verfügung stehen. Wir werden Sie in Kürze mit weiteren Informationen versorgen.


Programm für 1. IT-Grundschutztag 2014 veröffentlicht

09.01.2014

Für den 1. IT-Grundschutz-Tag 2014 zum Thema "Risikomanagement im IT-Grundschutz" haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die SerNet GmbH jetzt die aktuelle Agenda veröffentlicht. Die Veranstaltung findet am 13. Februar 2014 im Bundespresseamt in Berlin statt. Das Programm finden Sie auf den Seiten des BSI oder hier nachfolgend aufgeführt.

Bitte verwenden Sie das Formular auf der SerNet-Event-Seite, um sich für die Veranstaltung anzumelden. Die Teilnahme ist kostenfrei, das Raumkontingent ist auf 250 Teilnehmer begrenzt. Beachten Sie für den reibungslosen Zutritt zum Bundespresseamt: Bitte bringen Sie unbedingt einen gültigen Personalausweis oder Reisepass mit!

 

UhrzeitThema
10:15 - 10:45 UhrBegrüßung der Teilnehmer
Holger Schildt (BSI) und Dr. Johannes Loxen (SerNet)
10:15 - 10:45 Uhr IT-Grundschutz - Informationssicherheit ohne Risiken und Nebenwirkungen
Christian Merz (BSI)
10:45 - 11:15 UhrAutomatisierungstechnik
Markus Birkhold (ISW Universität Stuttgart)
11:15 - 11:45 UhrKaffeepause
11:45 - 12:15 UhrISO 31000 i. V. m. IT-Grundschutz
Michael Pravida (Consultant Security Awareness&Projects, Industrie)
12:15 - 12:45 UhrRisikomangement in der Praxis - Alles nur Compliance oder was?!
Dirk Brand (SILA Consulting GmbH)
12:45 - 13:45 UhrMittagspause
13:45 - 14:15 UhrAspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden - Vorgehen, Werkzeuge, Erfahrungen
Jens Syckor (TU Dresden, Stabsstelle Informationssicherheit)
14:15 - 14:45 UhrISMS bei der DENIC eG
Boban Krsic (DENIC eG)
14:45 - 15:15 UhrKaffeepause
15:15 - 16:00 UhrNeues vom IT-Grundschutz: Ausblick und Diskussion
Holger Schildt (BSI)

 

 


    Beitrag 11 bis 17 von 17
  • 1-10
  • 11-17
English languageDeutsche SpracheLingua italiana
© SerNet GmbH, 2018