Methoden

Wir richten uns prinzipiell nach den spezifischen Wünschen des Kunden und entsprechenden «Best Practices». Je nach Anforderungsprofil kann ein Projekt vor Ort oder offsite durchgeführt werden und unterschiedliche Techniken zum Einsatz kommen (Interviews, Analysen, Workshops, Schulungen, Coaching etc.). Folgende anerkannte Methoden und Standards können ausserdem angewendet werden:

Generelle Methoden und konzeptionelle Tools:

• ITIL
• ISO/IEC 20000
• HERMES (Führen und Abwickeln von Projekten der Informations- und Kommunikationstechnik (IKT))
• SWOT-Analyse
• Kosten-/Nutzenrechnung
• Nutzwertanalyse

Methoden und Standards mit Bezug zu IT Security / IT Risk Management:

• ISO/IEC 270XX Framework (ISO/IEC 27001 & 27002)
• Open Source Security Testing Methodology Manual (OSSTMM)
• PCI DSS (Payment Card Industry Data Security Standard)
• NIST 800-XX Framework
• BSI-Standard 100-1/4
• BS 25999
• OWASP
• CobiT
• BIT Empfehlungen

OSSTMM - Open Source Security Testing Methodology Manual

Gründliche technische Security Audits (Sicherheitsüberprüfungen) führen wir üblicherweise konform zu dem «Open Source Security Testing Methodology Manual» (OSSTMM) durch. Unsere Mitarbeiter haben für unsere Kunden seit 2003 mehr als 400 technische Security Audits nach OSSTMM durchgeführt. Die OneConsult GmbH ist ISECOM Licensed Auditor (Platinum Level), ISECOM Partner (akkreditierter Schulungsanbieter) und das - an der Anzahl OSSTMM-konformer Security Audits gemessen - führende Unternehmen in Europa.

«Open Source Security Testing Methodology Manual» (OSSTMM) ist eine von Fachleuten laufend überprüfte und erweiterte, weltweit anerkannte Methode zur Planung und Durchführung von Sicherheitsüberprüfungen, sowie der Bewertung und Dokumentation der Ergebnisse. Das OSSTMM wurde vom Institute for Security and Open Methodologies (ISECOM) entwickelt. ISECOM koordiniert auch die kontinuierliche Weiterentwicklung. Dank des umfassenden Ansatzes erfreut sich OSSTMM einer stetig wachsenden Verbreitung und Anerkennung als de-facto Standard.

Das OSSTMM definiert:

• was wie überprüft werden muss
• was vor, während und nach den Tests zu tun ist
• wie die Resultate zu bewerten und zu dokumentieren sind

Die Methode wird laufend an internationale «Best Practices», Gesetze und ethische Grundsätze angepasst. OSSTMM-konforme Tests sind kompatibel mit den die Remote-Sicherheitsüberprüfungen behandelnden Passagen der gängigen Standards und Vorgaben im Security-Bereich wie ISO/IEC 270XX, BSI Standard-100-1/4 (ehemals IT Grundschutzhandbuch (IT GSHB)), Sarbanes-Oxley Act (SOX), Basel II, ITIL, SET, etc. Unsere Mitarbeiter publizieren regelmässig in der Fachpresse zum Thema OSSTMM und stellen OSSTMM mittels Referaten vor. Sie finden die Fachartikel und Präsentationen als kostenlose Downloads in unserem Publikationsbereich. Weitere Informationen zu OSSTMM finden sich auf der Website von ISECOM.