| Methoden
Wir richten uns prinzipiell nach den spezifischen
Kundenwünschen und «Best Practices». Je nach Anforderung
werden onsite- (Schulungen, Coaching, Workshops, Interviews, etc.)
und/oder offsite-Techniken eingesetzt und beispielsweise folgende
anerkannten Methoden und Standards angewandt:
Generelle Methoden und konzeptionelle Tools
- HERMES
(Führen und Abwickeln von Projekten der Informations- und
Kommunikationstechnik (IKT))
- SWOT-Analyse
- Kosten-/Nutzenrechnung
- Nutzwertanalyse
Einsatzgebiet IT Security / IT Risk Management
- ISO/IEC
27001 (BS 7799) und ISO/IEC 27002 (ISO/IEC 17799:2005)
- BSI
IT Grundschutzhandbuch (GSHB)
- OSSTMM
- BIT
Empfehlungen
- BS 25999-1:2006 (Nachfolger von PAS 56:2003)
OSSTMM - Open Source Security Testing Methodology Manual
Bei technischen Security
Audits (Sicherheitsüberprüfungen) der Qualitätsstufe
Penetration
Test führen wir die Tests nach dem Open Source Security
Testing Methodology Manual (OSSTMM) durch. Die OneConsult GmbH ist ISECOM Licensed Auditor (ILA), Gold Level und ISECOM Partner (akkreditierter Schulungsanbieter). Zertifizierungskurse zum OPST, OPSA, OPSE und OWSE komplettieren unser Schulungsangebot. Unsere Mitarbeiter haben seit 2002 weit über hundert technische Security Audits nach OSSTMM durchgeführt - damit ist OneConsult OSSTMM-Pionier und führend im deutschsprachigen Raum.
 |
«Open Source Security Testing Methodology Manual»
(OSSTMM) ist eine von Fachleuten laufend überprüfte
und erweiterte, weltweit anerkannte Methodik zur Planung und
Durchführung von Sicherheitsüberprüfungen,
sowie der Bewertung und Dokumentation der Ergebnisse. Das
OSSTMM wurde vom Institute for Security and Open Methodologies
(ISECOM) entwickelt. ISECOM koordiniert auch die kontinuierliche
Weiterentwicklung. Dank des umfassenden Ansatzes erfreut sich
OSSTMM einer stetig wachsenden Verbreitung und Anerkennung.
|
Die Methodik ist in sechs Bereiche (Channels, Sections)
gegliedert, welche folgende Gebiete abdecken:
- Informationssicherheit
(Information Security)
- Sicherheit
von Prozessen (Process Security)
- Internet-Technologie-Sicherheit
(Internet Technology Security)
- Netzwerksicherheit
(Communications Security)
- Sicherheit
von kabellosen Komponenten (Wireless Security)
- Physische
Sicherheit (Physical Security)
OSSTMM definiert:
- was
wie überprüft werden muss
- was
vor, während und nach den Tests zu tun ist
- wie
die Resultate zu bewerten und zu dokumentieren sind
Die Methodik wird laufend an internationale Best Practices,
Gesetze und ethische Grundsätze angepasst. Die Tests sind kompatibel
zu den die Remote-Sicherheitsüberprüfungen behandelnden
Passagen der gängigen Standards und Vorgaben im Security-Bereich
(ISO/IEC 17799, ISO/IEC 27001
(BS 7799), IT Grundschutzhandbuch (IT GSHB), Sarbanes-Oxley Act
(SOX), Basel II, ITIL, SET, etc.). Unsere Mitarbeiter publizieren
regelmässig in der Fachpresse zum Thema OSSTMM und
stellen OSSTMM mittels Referaten vor. Sie finden
die Fachartikel und Präsentationen als kostenlose Downloads
in unserem Publikationsbereich.
Weitere Informationen zu OSSTMM finden sich auf der Website
von ISECOM.
Die zu den meisten Projekten gehörende Dokumentation erstellen
wir gemäss den Anforderungen und Wünschen der Kunden.
Falls der Kontext es erlaubt, nutzen wir dabei die OneConsult®
Toolbox, welche unter anderem auch entsprechende Reporting-Templates
enthält.
Haben wir Ihr Interesse geweckt? Gerne beantworten
wir Ihre Fragen in einem unverbindlichen Gespräch oder senden
Ihnen weitere Informationen. Wie Sie uns erreichen können,
erfahren Sie hier.
Weiterführende Informationen
|
