Klarer Sehen mit IT-Audits AuditBasics - Software für IT-Audits
Datenschutz & BDSG BasicsIT-Audit & AuditBasicsDEMAL GmbH - Wir über unsPartner der DEMALKontakt
IT-Audit

AuditBasics:

Startseite

Dynamisches IT-Audit

Systemübergreifendes IT-Audit

Einsatzbereiche …

AuditBasics im Audit-Prozess

Die Software AuditBasics …

Vorteile mit AuditBasics

Downloads

Kontakt

Live-Demo

AuditBasics im Audit-Prozess

AuditBasics das ideale Tool für die Vor- und Nachbereitung von IT-Sicherheits-Zertifizierungen, etwa nach ISO 27001. AuditBasics dient einerseits der Vorbereitung einer Zertifikatsprüfung, andererseits der Aufrechterhaltung der zertifizierten Sicherheit:

  • AuditBasics bringt Vorteile in jedem Stadium vor und nach einer Zertifizierung
  • sofortige Einsetzbarkeit nach schneller Installation
  • einfache Überprüfung von umfangreichen Logfiles nach vorgegeben Kriterien

AuditBasics ist damit im Sinne eines dynamischen Audits im gesamten Auditprozess einsetzbar:


der dynamische IT-Auditprozess mit AuditBasicsder dynamische IT-Auditprozess mit AuditBasics
der dynamische IT-Auditprozess mit AuditBasicsder dynamische IT-Auditprozess mit AuditBasics

 

Stufe 1: Grundanalyse der IT-Systeme

Stufe 1: GrundanalyseDer dynamische Auditprozess beginnt mit einer Grundanalyse der IT-Landschaft. Dadurch werden grundlegende Sicherheitslücken in den IT-Systemen identifiziert anhand definierter, standardisierter Kriterien.

AuditBasics wird in dieser Phase zur schnellen und effektiven Überprüfung von unterschiedlichen Systemen wie Windows, Linux, AS400, iSeries oder zOS eingesetzt. Als Regelwerke, nach denen AuditBasics die IT-Systeme analysiert, stehen vorgefertigte Top-30-Policies, die dreißig häufigst benötigten Auswertungsvorschriften nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), zur Verfügung. Diese wurden von der DEMAL mit Hilfe von staatlich geprüften BSI-Auditoren und Partnern aus der freien Wirtschaft entwickelt. Die Ergebnisse dienen als erste Einschätzung der Sicherheitssituation in der Organisation und als Grundstock für die Umsetzung des IT-Grundschutzes.

Stufe 2: IT-Sicherheitskonzept nach IT-Grundschutz

Stufe 2: SicherheitskonzeptAnschließend ist ein umfassendes IT-Sicherheitskonzept zu entwickeln, um die Basis für eine mögliche Zertifizierung, z.B. nach ISO 27001, zu schaffen. Die IT-Grundschutzkataloge bieten dazu eine stufenweise Methodik sowie konkrete und umfassende Schritt-für-Schritt-Maßnahmen an.

Viele der geforderten Maßnahmen können mit AuditBasics über die Auswertung von Log- und Konfigurationsdateien gewonnen werden. Auswertungsvorschriften, sogenannte Policies, die auf Basis der IT-Grundschutz-Maßnahmen oder auch individueller Anforderungen formuliert werden, bilden die Richtlinien, nach denen AuditBasics die Auswertungen vornimmt. Die Software fungiert somit als Erfolgskontrolle bei der sukzessiven Umsetzung der Maßnahmen. Gleichzeitig werden einmal realisierte Einstellungen mit AuditBasics kontinuierlich auf ihre Einhaltung überwacht.
Besondere Bedeutung findet AuditBasics bei der Durchführung des Basis-Sicherheitschecks, des finalen, internen Soll-Ist-Vergleichs. Hierbei wird eine Prüfung der umgesetzten Maßnahmen durchgeführt um heraus zu finden, welche Sicherheitsmaßnahmen ausreichend oder nur mangelhaft umgesetzt wurden. Der Status aller, mit Policies hinterlegten, Maßnahmen kann mit AuditBasics auf einen Blick überprüft werden. Der Basis-Sicherheitscheck dient quasi als internes "Vor-Audit" für die eigentliche Zertifizierung und gilt als wichtiges Referenzdokument für den BSI-Auditor.

Stufe 3: ISO 27001-/ IT-Grundschutz-Zertifizierung

Stufe 3: ZertifizierungEs wird ein lizensierter, unabhängiger Auditor beauftragt, den Status der gewonnenen IT-Sicherheit zu verifizieren. Durch die ISO 27001- bzw. IT-Grundschutz-Zertifizierung wird die erfolgreiche Umsetzung der Vorschriften nach innen und außen dokumentiert.

Die Prüfung erfolgt in zwei Teilschritten. Im ersten Schritt sichtet der Prüfer die Referenzdokumente, welche die Organisation selbst teilweise mit AuditBasics erstellt hat. Im zweiten Teilschritt führt er eine Vorort-Prüfung durch und begutachtet selbst die tatsächliche Umsetzung der dokumentierten Sachverhalte.

Stufe 4: Permanente Sicherheit der IT-Systeme

Stufe 4: permanente SicherheitIn dieser Phase zeigt sich ein weiterer entscheidender Vorteil des dynamischen Audits mit AuditBasics: die Zeitraumbetrachtung. Die Prüfung des Sicherheitsstatus zu einem bestimmten Zeitpunkt, wie es bei Zertifizierungen der Fall ist, stellt ein statisches Audit dar.

Das statische Audit gewährleistet jedoch keine dauerhafte Sicherung, da die IT-Sicherheit etwas Flüchtiges ist und Sicherheitslücken nicht durch eine einmalige Überprüfung gebannt werden können. Ein effektives IT-Sicherheits-Audit sollte demnach nicht nur eine Momentaufnahme, sondern eine Zeitraumbetrachtung gewährleisten.
Genau dies ist mit AuditBasics möglich. AuditBasics überwacht permanent alle Sicherheits­einstellungen der IT-Systeme. Ergebnisberichte werden zeitgesteuert mit den relevanten, auffälligen Sicherheitsmeldungen an die jeweiligen Verantwortlichen gesendet. Bestandsgefährdende Entwicklungen und kritische Zustände können somit frühzeitig erkannt werden. Dadurch wird in den IT-Systemen eine permanente Sicherheit wie am Tag des Zertifizierungsaudits erreicht – mühelos und ohne Aufwand wertvoller Ressourcen. Durch diese kontinuierliche Überwachung und Dokumentation der IT-Sicherheit werden sogar die strengen Anforderungen nach permanenten Überwachungs­systemen erfüllt, wie es vermehrt von nationalen und internationalen Gesetzen und Richtlinien gefordert wird.

 

 

  
 

© DEMAL GmbH — Alle Rechte vorbehalten — Stand: 25.01.2007
Seitenübersicht | Kontakt | Datenschutz | Impressum