Sicherheitsaspekte Projektmanagement

Aus xinux.net
Zur Navigation springen Zur Suche springen

Fragen zur Sicherheit

Man sollte die höchstmögliche Sicherheitsstufe anstreben wobei folgende Punkte zu beachten sind:

  • Preis
Wie viel Geld können/wollen sie für Sicherheit ausgeben?
  • Funktionalität
Können Sie Ihre Computer immer noch benutzen?
  • Akzeptanz
Stören die Sicherheitseinrichtungen die Art und Weise mit der Benutzer Ihres Standorts gewöhnlich untereinander und Außenwelt kommunizieren?
  • Juristisches
Entsprechen die Sicherheitseinrichtungen Ihren Juristischen Anforderungen
  • Festlegen der Relevanz von Sicherheitsaspekten anhand diverser Kriterien vor Projektbeginn.
Art der verwendeten Daten
Einsatz externer Dienstleister
Realisierungsumfeld
Benutzung neuer Technologien

Entscheidungsfindung

Wer wird angehört

  • Entscheider
  • Techniker
  • IT-Sicherheit
  • Anwender
  • Berater

Relevante Punkte

  • Worst Case Szenarien
  • Kommunikation Intern
  • Kommunikation Extern
  • Datenschutz
  • Authentifizierung
  • Authorisierung
  • Accounting (Protokollierung)
  • Datenaustausch
  • Private Nutzung
  • Nachvollzierbarkeit
  • Funktionalität
  • Akzeptanz
  • Besonders schützenswerte Daten
  • Backup/Restore Konzept
  • Archiv
  • Datenschutz

ISO OSI Sicht

Netzwerkebene

  • Switches
  • Router
  • Netzwerk-Firewalls
  • VLAN-Einstellungen
  • WLAN-Access-Points
  • IDS/IPS

Virtualisierungs-Ebene

  • Virtuelle Betriebssystem
  • Virtuelle Prozesse

Betriebssystemebene & Applikationsebene

  • Webserver
  • Middleware-Komponenten
  • Sicherheitskomponenten
  • Aplication Firewalls
  • Web Protection

Secure Programming

  • Anfordungen sind Abhängig von der Entwicklungsumgebung
  • Sicherheitsmechanismen der Betriebssysteme beachten
  • branchenspezifische Sicherheitsanforderungen beachten
  • Kreditkarten-Applikationen PCI-PA-DSS (Payment Card Industry)
  • Web-basierten Anwendungen OWASP

Projektidee und -entwicklung

  • Erste Entwürfe mit IT-Sicherheitsspezialisten und Datenschutzspezialisten diskutieren.
  • Anforderungen und Anmerkungen der Spezialisten aufnehmen
  • Mit Projektteam diskutieren und erneut Spezialisten zu Rate ziehen
  • Vorgang kann sich öfters wiederholen

Projekt-Kick-Off

  • Alle Projektbeteiligten geladen - inklusive der Sicherheits- und Datenschutzspezialisten
  • Optimal wäre es wenn die Spezialisten immer als Ansprechpartner zur Verfügung stehen

Definition des Sicherheitskonzeptes

  • Für jedes IT-Projekt ein passender Katalog an Anforderungen zusammengestellt werden
  • Die Rolle der Software Entwickler und Sicherheitsspezialisten von der ausführenden Rolle zu trennen.
  • Externer Sicherheitsspezialist hat den kleinsten Anteil am Gesamtprojektbudget
  • An Standards orientieren BSI Grundschutz
  • Eventuell gibt es Branchenübliche Standards

Kleine Unternehmen

  • Web-Agentur realisiert einen Web-Shop
  • Orientierung an den "OWASP Top Ten"
  • Sicherheit beim Web-Hosting
  • Wer hostet?
  • Gibt es ein Patchmanagment

Externe Dienstleister

  • Bei Ausgestaltung solten der Verträge auf Mindestanforderungen konkret spezifiziert werden.
  • Sicherheitslücken bei der Inbetriebnahme im Budget vorsehen.
  • Wenn Software schon bei Abnahme gegen Sicherheitskriterien verstösst,kostenfreie Behebung!

Technische Abnahme

  • Funktions und Sicherheitsprüfung
  • Versionsstände der Softwarekompenenten checken
  • Security und Penetrationstests.
  • Belastungstests
  • Abnahme bezieht sich auf die zuvor vereinbarten Sicherheitsanforderungen.
  • Was nicht vereinbart wurde, kann auch nicht eingefordert

Laufende Sicherheitsprozesse

Patch-Management

  • Patchstände müssen für alle Komponenten überwacht und aktualisiert werden
  • bei Sicherheitsrelevanz
    • Firewalls
    • Betriebssysteme
    • Middleware-Komponenten
    • Web-Server
    • Application-Server
    • Runtimes
    • Anwendungen allgemein

Regelmäßiger Penetrationstests

  • Regelmäßige Securitytests
  • Regelmäßige Penetrationstests
  • Am besten eingebunden in das normal Monitorsystem.

Monitoring von sicherheitsrelevanten Zugriffen

Regelmässige Sichtung
  • Zentrale Benutzerverwaltung der Admistratoren
  • Nachvorziehbarkeit der Konfigurationsänderungen
  • Logs der Intrusion-Detection-Systemen
  • Application-Level Firewalls
  • Logging der Datenzugriffe, etwa auf Kundendaten

Betriebssicherheit

  • Ausfallsicherheit und Verfügbarkeit
  • HighAvailibility
  • LoadBalance
  • Restore eines Backups
  • Das alles muss ins Service Level Agreements

Weitere Punkte

  • Rollen und Berechtigungen
  • Monitoring
  • Anmeldemethoden für ein angemessenes Sicherheitsniveau
  • Verschlüsselungskonzept
  • Betriebssicherheit und Ausfallsicherheit
  • Zugangsschutz / Zutrittsschutz bei physischem Zutritt zu IT-Systemen

Links

Abgerufen von „https://xinux.net/index.php?title=Sicherheitsaspekte_Projektmanagement&oldid=24234