IT Risk & Security Management
Unsere Kernkompetenzen im IT Risiko- und Sicherheitsmanagement sind:
- IS Management (ISMS, ISO 2700x, COBIT, ITIL Security Management)
- IT Governance & Compliance (CobiT, ITIL, SOX, Basel II, FINMA, ISO, BSI, PCI, Data Privacy, Cross Border Transfer, Sourcing)
- CISO Support
- IS Audit & IT Risk Analysis (Security Concepts, Security Reviews, IT Risk Assessments)
- Security Testing (Vulnerability Scans, Pentests, Compliance Checks)
- Security Administration & Access Management
- IS Tracking & Reporting
- Active Vulnerability & Emergency Management
Information Security Management System
Wir beraten unsere Kunden beim Aufbau und bei der Umsetzung eines Information Security Management Systems (ISMS). Dabei soll das ISMS des Kunden:
- auf einem anerkannten Standardframework aufbauen (bevorzugt ISO 2700x, möglich sind auch BSI 100-1/2/3 oder CobiT)
- bestehende IT-Governance Prozesse des Kunden miteinbeziehen (z.B. ITIL, CMMI)
- in das beim Kunden etablierte Projektvorgehen integrierbar sein
- pragmatisch, verständlich und praxisgerecht sein
- eine spätere formale Zertifizierung durch eine Zertifizierungsinstanz ermöglichen
Security Assessment & Analysis
Seit 2003 hat die In&Out AG weit über 100 Sicherheitsbewertungen- und -analysen durchgeführt und erstellt, sowie die Sicherheit von Informationssystemen jeglicher Art überprüft. Dabei bauen wir auf mehr als 10 Jahre Erfahrung bei der Konzeption, Planung und Implementierung von Sicherheitslösungen.
Wir bieten somit Gewähr für den grösstmöglichen Praxisbezug bei der Einschätzung von Risiken und Massnahmenvorschlägen zu deren Begrenzung.
In&Out Risk Check-Up (Health Check): Der Risk Check-Up liefert eine kompetente erste Einschätzung der Risikosituation in Bezug auf ein Informationssystem. Er eignet sich beispielsweise für die Überprüfung eines zu evaluierenden Produktes oder die initiale Standortbestimmung eines Projektes. Der Risk Check-Up folgt einem standardisierten Verfahren und erfordert typischerweise einen Aufwand von 5 Personentagen.
In&Out Technical Security Assessment:Das Technical Security Assessment verschafft einen fundierten Einblick in die technische Sicherheit einer Informatiklösung oder eines Produktes. Es umfasst einen detaillierten Architektur-Review, eine technische Analyse der Komponenten und Schnittstellen sowie ein Penetration Testing der Gesamtlösung. Je nach Komplexität des überprüften Systems beläuft sich der Aufwand auf etwa 8 bis 15 Personentage.
In&Out Information Security Review:Der Information Security Review deckt nicht nur die technischen, sondern auch alle betrieblichen und organisatorischen Aspekte der Informationssicherheit ab. Er beinhaltet eine umfassende Risikoanalyse basierend auf einer über viele Jahre entwickelten und erprobten Methodik (In&Out Information Security Compliance & Controlling Program). Ablauf und Aufwand richten sich nach der Art des überprüften Systems, wobei wir typischerweise von 15 bis 20 Personentagen ausgehen.
In&Out Information Security Concept:Das Information Security Concept beinhaltet das Erarbeiten einer Systembeschreibung (Infrastrukturanalyse), das Identifizieren von Schutzobjekten und Bedrohungen (Schutzbedarffeststellung), die Durchführung einer Schwachstellenanalyse mit Risikobewertung und das Ausarbeiten von Sicherheitsmassnahmen zur Begrenzung der festgestellten Risiken. Die Ausarbeitung des Sicherheitskonzepts orientiert sich an CRAMM (CCTA Risk Analysis and Management Method), einem Hilfsmittel zur Erstellung von Risikoanalysen, das von der britischen Central Computer & Telecommunications Agency begründet wurde. Die Einhaltung des Verfahrens bei manuellen Sicherheitsanalysen bringt gemäss unserer Erfahrung gute Resultate, auf Wunsch kann jedoch auch ein Verfahren des Kunden eingesetzt werden. Je nach Komplexität des geplanten Informatikvorhabens benötigt die Erstellung eines Sicherheitskonzepts einen Aufwand von 15 bis 25 Personentagen.
In&Out Information Security Compliance & Controlling Program:Das In&Out Information Security Compliance & Controlling Program (IO ISCCP) beinhaltet die koordinierte und dokumentierte Durchführung von Sicherheitsreviews, Risikobeurteilungen und Audits auf regelmässiger Basis. IO ISCCP basiert auf der langjährigen Erfahrung der In&Out AG im IT Risikomanagement und bei der Durchführung von Audits und orientiert sich an standardisierten und international angewandten Methodiken (insbesondere ISO/IEC 17799 in der zweiten Edition von 2005-06-15 (oft referenziert als “Code of Practice“ (COP) und neu als ISO 27002 Bestandteil der ISO 2700x-Reihe, sowie den Common Criteria for Information Technology Security Evaluation (ISO 15408)). Wie beim In&Out Information Security Concept können auch hier auf Wunsch des Kunden andere Verfahren eingesetzt werden (z.B. ISF SPRINT und ISF IRAM). Die Auswahl der Prüfobjekte über einen definierten Zeitraum (in der Regel ein Jahr) ist dabei der erste Schritt beim Aufbau des Audit Programms. Die Auswahl orientiert sich an der IT System- und Anwendungsarchitektur des jeweiligen Kunden, soll aber bewusst offen gehalten werden, damit aktuelle, sicherheitskritische Ereignisse in die Ablaufplanung miteinbezogen werden können.