ComputerBase Menü
Aktuelles

[ISO27001] Assetregister

sikarr

sikarr

Admiral
Registriert
Mai 2010
Beiträge
8.113
Moin,

mal ne etwas andere Frage hier aber ich brauch mal Feedback von Praktikern die das schon haben oder leben.

Wir befinden uns gerade in der Zertifizierungsphase und unser ISB spricht immer wieder das Assetregister an das wir gerade damit im Zusammenhang aufbauen.

Jetzt kam im Zusammenhang mit dem ISMS die Frage auf ob die Steckdosen (Strom) da auch geführt werden müssen?
 
1) Sind die Steckdosen Smart, dann ja. Wenn nicht, nein!
2) Solltet Ihr im Unternehmen PowerLAN verwenden (glaube nicht, dass das jemals einer machen würde), dann ja!

Die Auditoren für 27001 haben teils abstruse Vorstellungen davon, was man machen muss.
Viele, aber nicht alle, sind Theoriker! Die Lesen die Norm und das wars.
 
  • Gefällt mir
Reaktionen: sikarr und Mac_Leod
Stroversorgung haben wir damals darauf limitiert:
1. Gebäude Anbindung -> Artikel dazu, der auch bei Büro Gebäuden nutzbar ist: https://www.coresite.com/blog/data-center-redundancy-n-1-vs-2n-1
2. Aktiv über das Netzwerk schaltbare Powerswitches
3. Steckdosenleisten, die zum Betrieb der eigentlichen Infrastruktur genutzt wurden (und welches Gerät an welcher, und damit an welcher Sicherung hing)
 
  • Gefällt mir
Reaktionen: sikarr
Zer0DEV schrieb:
1) Sind die Steckdosen Smart, dann ja. Wenn nicht, nein!
2) Solltet Ihr im Unternehmen PowerLAN verwenden (glaube nicht, dass das jemals einer machen würde), dann ja!

Die Auditoren für 27001 haben teils abstruse Vorstellungen davon, was man machen muss.
Viele, aber nicht alle, sind Theoriker! Die Lesen die Norm und das wars.
Zum Vergrößern anklicken....

So wie du es sagst, ist das grundsätzlich falsch. Normen, die Verfahren, Workflows, Eskalationsstufen usw. regeln, sind dazu da, dir einen Leitfaden an die Hand zu geben, worüber du zumindest nachdenken solltest. Das ist ausdrücklich nicht in Stein gemeißelt und als unumstößliche Absolute Wahrheit zu verstehen.

Grob vereinfacht gesagt: Stellen die Steckdosen in irgendeiner Weise einen möglichen Schwachpunkt dar, der Einfluss auf die Datensicherheit/Verfügbarkeit haben kann!!!!

Hängt dein Server beispielweise direkt an einer 0815-Steckdose, dann eventuell schon, weil ein Ausfall/Versagen der Steckdose (Kurzschluss) zu einem abrupten Ausfall des Servers inklusive Datenverlust führen kann.
Hast du eine USV hinter die Steckdose geklemmt, dann wird der kritische Punkt in der Kette von der Steckdose auf die USV verschoben (Weil Kurzschluss in Steckdose führt nicht mehr zu abrupten Serverausfall)

Das hat NICHTS, aber absolut überhaupt nichts damit zu tun, ob du eine smarte Steckdose hast oder ob nicht.

In DEINEM Asset-Verzeichnis landet letztendlich alles das, was DU als potentiell kritisch und somit mit einer Werthaftigkeit SUBJEKTIV bewertest. Denn was für dich als absolut kritisch gilt, dass kann für den nächsten durchaus völlig egal sein.

Einfach mal ganz platt ausgedrückt: Für dich ist der Diebstahl deines Iphone 12 pro eine mittlere Katastrophe, weil deine Fotos, Kontakte, Onlinezugänge, deine Bank, dein Terminkalender und dein Smarthome darüber laufen und du Gefahr läufst, Opfer eines Identitätsdiebstals zu werden.

Deine Oma hingegen, die ihr Iphone 12 pro lediglich zum Telefonieren mit ihrem Engel verwendet, bei der ist das eigentlich egal, weil alle Kontakte stehen noch im klassischen Rolodex und ansonsten ist es halt schade ums Geld, was das Gerät gekostet hat.

Du siehst, es handelt sich 2 mal um das selbe Objekt, aber eben unterschiedlich bewertet. Fall 1 spricht klar für eine Aufnahme des Iphones in dein Assetregister.
Fall 2 spricht eher dafür, das Iphone nicht aufzunehmen.
 
@nurmalsoamrande Es gibt Auditoren die legen das was in der Norm steht so aus. Habe das bereits so erlebt.

Wer die Steckdosen ins Assetregister aufnehmen will, soll es tun.
Dann, um der Norm zu entsprechen, muss aber alles ins Assetregister zu dieser Steckdose geschrieben werden.
Auch bei einer Unterputz-Steckdose gibt es Hersteller, Typenbezeichnung, Standort/Lage usw.

Am Ende könnte ein nicht vollständig ausgefülltes Assetregister eine Abweichung von der Norm darstellen.
 
  • Gefällt mir
Reaktionen: sikarr
Also erstmal Danke fürs Antworten.

Nein wir haben keine smarten oder per Netzwerk schaltbaren Steckdosen, alles ganz klassisch und analog.

Server und Switche, also alles was kritische Infrastruktur ist wird über die Netzwerkschränke/Racks etc. direkt versorgt, also die haben entweder eine eigene Unterverteilung und eigene Sicherungen und sind auch zugriffsgeschützt.

In dem Fall gehts um die klassischen Arbeitsgeräte, wir haben keine schweren Maschinen, nur Notebooks und PCs. unser ISB ist da auch zwiegespalten aber im Zweifel will er das haben bevor es als Abweichung aufgenommen wird.

Die Steckdosen, also Hausstromverkabelung wird durch den Vermieter gewartet und ist entsprechend mit Unterverteilung und Absicherung beschriftet, mehr aber auch nicht.
Ergänzung ()

Zer0DEV schrieb:
Am Ende könnte ein nicht vollständig ausgefülltes Assetregister eine Abweichung von der Norm darstellen.
Zum Vergrößern anklicken....
Genau das ist der Hintergrund
Zer0DEV schrieb:
Dann, um der Norm zu entsprechen, muss aber alles ins Assetregister zu dieser Steckdose geschrieben werden.
Auch bei einer Unterputz-Steckdose gibt es Hersteller, Typenbezeichnung, Standort/Lage usw.
Zum Vergrößern anklicken....
Das ist unsere Befürchtung, ich scheue mich natürlich davor jetzt auch noch die Gerätschaften aufzunehmen wer wo drann hängt, das ist auch ohne die Steckdosen schon ein haufen Zeug.
Was noch hinzukommt es muss dann ja auch noch gepflegt werden wenn die Technik wandert, soll ich jetzt jedesmal nachpflegen wenn die Arbeitsplätze umgeräumt werden?
 
Moin,
dadurch, dass die Elektroinfrastruktur durch den Vermieter kommt, würde ich dort anfragen was verbaut wurde. Ein Verkablelungsplan und eine Stückliste könnte schonmal hilfreich sein.
Allerdings hatten wir im KRITIS-Bereich noch keinen Auditor, der sich für sowas interessiert hat, auch nicht bei einer Neuzertifizierung. Was eher nachgefragt wird ist die regelmäßige Prüfung der ortsfesten Elektroinstallation, sowie die Prüfung der ortveränderlichen Elektrogeräte.

Für die Zuweisung von Arbeitsplätzen haben wir ein Template definiert. Darin steht "ein Arbeitsplatz beinhaltet 2 Monitore vom Typ xxx + Dockingstation Typ xxx + was sonst noch so rumsteht". Da wir Shared-Desk Arbeitsplätze haben ist eine Zuweisung auf ein Endgerät, bzw. einen Mitarbeiter nicht sinnvoll. Hierfür sind dann die entsprechenden Seriennummern hinterlegt.

Die Seriennummer angeschlossener Peripherie kannst du oft auch mittels Software aus dem PC auslesen.

Grüße
 
  • Gefällt mir
Reaktionen: sikarr
nosti schrieb:
Was eher nachgefragt wird ist die regelmäßige Prüfung der ortsfesten Elektroinstallation, sowie die Prüfung der ortveränderlichen Elektrogeräte.
Zum Vergrößern anklicken....
die Orstfeste Elektroinstallation wird regelmäßig durch den Vermieter geprüft (also durch einen Elektriker) die Ortsveränderlichen Elektrogeräte machen wir selber, entsprechende Prüfer und Prüfgerät haben wir.
nosti schrieb:
Die Seriennummer angeschlossener Peripherie kannst du oft auch mittels Software aus dem PC auslesen.
Zum Vergrößern anklicken....
Das tun wir mit ServiceDesk Plus und die darin enthaltene Assetverwaltung auslesen, über 3 Standorte hinweg.
nosti schrieb:
Für die Zuweisung von Arbeitsplätzen haben wir ein Template definiert. Darin steht "ein Arbeitsplatz beinhaltet 2 Monitore vom Typ xxx + Dockingstation Typ xxx + was sonst noch so rumsteht". Da wir Shared-Desk Arbeitsplätze haben ist eine Zuweisung auf ein Endgerät, bzw. einen Mitarbeiter nicht sinnvoll.
Zum Vergrößern anklicken....
Das ist natürlich eine schöne Lösung, leider können wir das nicht sinnvoll umsetzten. Bei uns sieht jeder Arbeitsplatz anders aus. Bis auf die Produktion sind die Geräte aber Benutzern zugewiesen.
 
Zer0DEV schrieb:
@nurmalsoamrande Es gibt Auditoren die legen das was in der Norm steht so aus. Habe das bereits so erlebt.
Zum Vergrößern anklicken....

Bei solchen Auditoren hilft in der Regel der dezente Hinweis darauf, dass es auch andere Zertifizierer gibt... sowas wirkt wunder. Letztendlich sind Auditoren auch nur Dienstleister, die gerne Folgeauftrage/Serviceverträge haben möchten.

Aber ja, du hast natürlich recht, dass wenn du etwas in dein Assetregister aufnimmst, es auch ordentlich eingetragen werden muss. Wobei auch da die Möglichkeit, anstelle von Hersteller und Typ zum Beispiel die eCl@ss anzugeben. Damit verweist auf eine feste Referenzspezifikation unabhängig vom Hersteller.

Bei festen Installationen ist das eigentlich keine große Sache, selbst wenn man mehrmals jährlich die Leute durch die Gegend schiebt. Die Steckdose oder der Netzwerkanschluss bleibt ja da wo er ist und er wird auch seine Patchnummer bzw. seinen Kabeltag und Sicherungsanschluss behalten (Du reißt ja nicht die Wände auf und legst das Kabel physisch um, nur weil jemand mit seinem Büro vom Keller ins Dachgeschoss gezogen ist. Der Admin würde ja lediglich in seiner Patchliste vermerken, dass der XPC4711 jetzt an Port 321 hängt statt wie früher an Port 123. In der Assetliste würdest du einfach nur auf die aktuelle Patchliste des Administrators verweisen, die dieser so oder so führen sollte, wenn er seine Arbeit ordentlich macht).

Der Trick bei Stromanschlüssen ist es, diese in Räume und diese Räume auf Absicherungen hin zu verweisen. Zieht jetzt der Mitarbeiter vom von Raum A0-123 nach D9-123, brauchst du das nur noch in der Mitarbeiterliste zu führen. Über den neuen Raum hat der Mitarbeiter automatisch die neue Zuweisung zur Absicherung. Und über den Mitarbeiter auch das ihm zugewiesene Equipment. bzw. das dem Raum zugewiesene Equipment.
 
  • Gefällt mir
Reaktionen: Skysnake
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
ISP Router erlaubt keine Einstellungen - AdGuard Home inkl. DHCP auf Proxmox? Tipps in Kombination mit Home Assistant?
Antworten
10
Aufrufe
955
norKoeri
N
C
Asus NUC 12 Enthusiast (Serpent Canyon): Probleme mit Arch-ISOs & Fragen zum Stromverbrauch
Antworten
12
Aufrufe
992
Cark
C
Griffind0r
AWS und Mullvad trotz ISP Sperre erreichbar – warum?
Antworten
9
Aufrufe
1.086
Cokocool
Cokocool
S
Home Assistant Neuling - Fragen zur Integration und Einrichten etc.
Antworten
5
Aufrufe
1.026
Sylar
S
A
WLAN Speed Glasfaser (Telekom + Telekom Hardware) Optimierungspotenzial?
Antworten
4
Aufrufe
699
Luftgucker
L
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz