Sicherheitsaspekte Projektmanagement: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 9: | Zeile 9: | ||
*Juristisches | *Juristisches | ||
:Entsprechen die Sicherheitseinrichtungen Ihren Juristischen Anforderungen | :Entsprechen die Sicherheitseinrichtungen Ihren Juristischen Anforderungen | ||
− | |||
*Festlegen der Relevanz von Sicherheitsaspekten anhand diverser Kriterien vor Projektbeginn. | *Festlegen der Relevanz von Sicherheitsaspekten anhand diverser Kriterien vor Projektbeginn. | ||
− | + | :Art der verwendeten Daten | |
− | + | :Einsatz externer Dienstleister | |
− | ** | + | :Realisierungsumfeld |
− | ** | + | :Benutzung neuer Technologien |
− | * | + | =Entscheidungsfindung= |
− | * | + | ==Wer wird angehört== |
− | * | + | *Entscheider |
− | + | *Techniker | |
− | + | *IT-Sicherheit | |
− | + | *Anwender | |
− | = | + | *Berater |
− | + | ==Relevante Punkte== | |
− | + | *Worst Case Szenarien | |
− | + | *Kommunikation Intern | |
− | + | *Kommunikation Extern | |
− | + | *Datenschutz | |
− | + | *Authentifizierung | |
− | + | *Authorisierung | |
− | + | *Accounting (Protokollierung) | |
− | + | *Datenaustausch | |
− | + | *Private Nutzung | |
− | + | *Nachvollzierbarkeit | |
− | + | *Funktionalität | |
− | + | *Akzeptanz | |
− | + | *Besonders schützenswerte Daten | |
− | + | *Backup/Restore Konzept | |
− | + | *Archiv | |
− | + | *Datenschutz | |
− | + | =ISO OSI Sicht= | |
− | *Wer | + | ==Netzwerkebene== |
− | * | + | *Switches |
− | * | + | *Router |
− | * | + | *Netzwerk-Firewalls |
− | *Was | + | *VLAN-Einstellungen |
− | * | + | *WLAN-Access-Points |
− | * | + | *IDS/IPS |
− | * | + | =Virtualisierungs-Ebene= |
− | * | + | *Virtuelle Betriebssystem |
− | * | + | *Virtuelle Prozesse |
− | * | + | =Betriebssystemebene & Applikationsebene= |
− | * | + | *Webserver |
− | ** | + | *Middleware-Komponenten |
− | ** | + | *Sicherheitskomponenten |
− | ** | + | *Aplication Firewalls |
− | ** | + | *Web Protection |
− | * | + | =Secure Programming= |
− | * | + | *Anfordungen sind Abhängig von der Entwicklungsumgebung |
− | * | + | *Sicherheitsmechanismen der Betriebssysteme beachten |
− | + | *branchenspezifische Sicherheitsanforderungen beachten | |
− | + | *Kreditkarten-Applikationen PCI-PA-DSS (Payment Card Industry) | |
− | + | *Web-basierten Anwendungen OWASP | |
− | https://www.computerwoche.de/a/it-security-fuer-projektleiter,3229600,4 | + | =Projektidee und -entwicklung= |
+ | *Erste Entwürfe mit IT-Sicherheitsspezialisten und Datenschutzspezialisten diskutieren. | ||
+ | *Anforderungen und Anmerkungen der Spezialisten aufnehmen | ||
+ | *Mit Projektteam diskutieren und erneut Spezialisten zu Rate ziehen | ||
+ | *Vorgang kann sich öfters wiederholen | ||
+ | =Projekt-Kick-Off= | ||
+ | *Alle Projektbeteiligten geladen - inklusive der Sicherheits- und Datenschutzspezialisten | ||
+ | *Optimal wäre es wenn die Spezialisten immer als Ansprechpartner zur Verfügung stehen | ||
+ | =Definition des Sicherheitskonzeptes= | ||
+ | *Für jedes IT-Projekt ein passender Katalog an Anforderungen zusammengestellt werden | ||
+ | *Die Rolle der Software Entwickler und Sicherheitsspezialisten von der ausführenden Rolle zu trennen. | ||
+ | *Externer Sicherheitsspezialist hat den kleinsten Anteil am Gesamtprojektbudget | ||
+ | *An Standards orientieren BSI Grundschutz | ||
+ | *Eventuell gibt es Branchenübliche Standards | ||
+ | =Kleine Unternehmen= | ||
+ | *Web-Agentur realisiert einen Web-Shop | ||
+ | *Orientierung an den "OWASP Top Ten" | ||
+ | *Sicherheit beim Web-Hosting | ||
+ | *Wer hostet? | ||
+ | *Gibt es ein Patchmanagment | ||
+ | =Externe Dienstleister= | ||
+ | *Bei Ausgestaltung solten der Verträge auf Mindestanforderungen konkret spezifiziert werden. | ||
+ | *Sicherheitslücken bei der Inbetriebnahme im Budget vorsehen. | ||
+ | *Wenn Software schon bei Abnahme gegen Sicherheitskriterien verstösst,kostenfreie Behebung! | ||
+ | =Technische Abnahme= | ||
+ | *Funktions und Sicherheitsprüfung | ||
+ | *Versionsstände der Softwarekompenenten checken | ||
+ | *Security und Penetrationstests. | ||
+ | *Belastungstests | ||
+ | *Abnahme bezieht sich auf die zuvor vereinbarten Sicherheitsanforderungen. | ||
+ | *Was nicht vereinbart wurde, kann auch nicht eingefordert | ||
+ | =Laufende Sicherheitsprozesse= | ||
+ | ==Patch-Management== | ||
+ | *Patchstände müssen für alle Komponenten überwacht und aktualisiert werden | ||
+ | *bei Sicherheitsrelevanz | ||
+ | **Firewalls | ||
+ | **Betriebssysteme | ||
+ | **Middleware-Komponenten | ||
+ | **Web-Server | ||
+ | **Application-Server | ||
+ | **Runtimes | ||
+ | **Anwendungen allgemein | ||
+ | ==Regelmäßiger Penetrationstests== | ||
+ | *Regelmäßige Securitytests | ||
+ | *Regelmäßige Penetrationstests | ||
+ | *Am besten eingebunden in das normal Monitorsystem. | ||
+ | =Monitoring von sicherheitsrelevanten Zugriffen= | ||
+ | ;Regelmässige Sichtung | ||
+ | *Zentrale Benutzerverwaltung der Admistratoren | ||
+ | *Nachvorziehbarkeit der Konfigurationsänderungen | ||
+ | *Logs der Intrusion-Detection-Systemen | ||
+ | *Application-Level Firewalls | ||
+ | *Logging der Datenzugriffe, etwa auf Kundendaten | ||
+ | =Betriebssicherheit= | ||
+ | *Ausfallsicherheit und Verfügbarkeit | ||
+ | *HighAvailibility | ||
+ | *LoadBalance | ||
+ | *Restore eines Backups | ||
+ | *Das alles muss ins Service Level Agreements | ||
+ | =Weitere Punkte= | ||
+ | *Rollen und Berechtigungen | ||
+ | *Monitoring | ||
+ | *Anmeldemethoden für ein angemessenes Sicherheitsniveau | ||
+ | *Verschlüsselungskonzept | ||
+ | *Betriebssicherheit und Ausfallsicherheit | ||
+ | *Zugangsschutz / Zutrittsschutz bei physischem Zutritt zu IT-Systemen | ||
+ | =Links= | ||
+ | *https://www.computerwoche.de/a/it-security-fuer-projektleiter,3229600,4 |
Aktuelle Version vom 16. Juni 2021, 19:18 Uhr
Fragen zur Sicherheit
Man sollte die höchstmögliche Sicherheitsstufe anstreben wobei folgende Punkte zu beachten sind:
- Preis
- Wie viel Geld können/wollen sie für Sicherheit ausgeben?
- Funktionalität
- Können Sie Ihre Computer immer noch benutzen?
- Akzeptanz
- Stören die Sicherheitseinrichtungen die Art und Weise mit der Benutzer Ihres Standorts gewöhnlich untereinander und Außenwelt kommunizieren?
- Juristisches
- Entsprechen die Sicherheitseinrichtungen Ihren Juristischen Anforderungen
- Festlegen der Relevanz von Sicherheitsaspekten anhand diverser Kriterien vor Projektbeginn.
- Art der verwendeten Daten
- Einsatz externer Dienstleister
- Realisierungsumfeld
- Benutzung neuer Technologien
Entscheidungsfindung
Wer wird angehört
- Entscheider
- Techniker
- IT-Sicherheit
- Anwender
- Berater
Relevante Punkte
- Worst Case Szenarien
- Kommunikation Intern
- Kommunikation Extern
- Datenschutz
- Authentifizierung
- Authorisierung
- Accounting (Protokollierung)
- Datenaustausch
- Private Nutzung
- Nachvollzierbarkeit
- Funktionalität
- Akzeptanz
- Besonders schützenswerte Daten
- Backup/Restore Konzept
- Archiv
- Datenschutz
ISO OSI Sicht
Netzwerkebene
- Switches
- Router
- Netzwerk-Firewalls
- VLAN-Einstellungen
- WLAN-Access-Points
- IDS/IPS
Virtualisierungs-Ebene
- Virtuelle Betriebssystem
- Virtuelle Prozesse
Betriebssystemebene & Applikationsebene
- Webserver
- Middleware-Komponenten
- Sicherheitskomponenten
- Aplication Firewalls
- Web Protection
Secure Programming
- Anfordungen sind Abhängig von der Entwicklungsumgebung
- Sicherheitsmechanismen der Betriebssysteme beachten
- branchenspezifische Sicherheitsanforderungen beachten
- Kreditkarten-Applikationen PCI-PA-DSS (Payment Card Industry)
- Web-basierten Anwendungen OWASP
Projektidee und -entwicklung
- Erste Entwürfe mit IT-Sicherheitsspezialisten und Datenschutzspezialisten diskutieren.
- Anforderungen und Anmerkungen der Spezialisten aufnehmen
- Mit Projektteam diskutieren und erneut Spezialisten zu Rate ziehen
- Vorgang kann sich öfters wiederholen
Projekt-Kick-Off
- Alle Projektbeteiligten geladen - inklusive der Sicherheits- und Datenschutzspezialisten
- Optimal wäre es wenn die Spezialisten immer als Ansprechpartner zur Verfügung stehen
Definition des Sicherheitskonzeptes
- Für jedes IT-Projekt ein passender Katalog an Anforderungen zusammengestellt werden
- Die Rolle der Software Entwickler und Sicherheitsspezialisten von der ausführenden Rolle zu trennen.
- Externer Sicherheitsspezialist hat den kleinsten Anteil am Gesamtprojektbudget
- An Standards orientieren BSI Grundschutz
- Eventuell gibt es Branchenübliche Standards
Kleine Unternehmen
- Web-Agentur realisiert einen Web-Shop
- Orientierung an den "OWASP Top Ten"
- Sicherheit beim Web-Hosting
- Wer hostet?
- Gibt es ein Patchmanagment
Externe Dienstleister
- Bei Ausgestaltung solten der Verträge auf Mindestanforderungen konkret spezifiziert werden.
- Sicherheitslücken bei der Inbetriebnahme im Budget vorsehen.
- Wenn Software schon bei Abnahme gegen Sicherheitskriterien verstösst,kostenfreie Behebung!
Technische Abnahme
- Funktions und Sicherheitsprüfung
- Versionsstände der Softwarekompenenten checken
- Security und Penetrationstests.
- Belastungstests
- Abnahme bezieht sich auf die zuvor vereinbarten Sicherheitsanforderungen.
- Was nicht vereinbart wurde, kann auch nicht eingefordert
Laufende Sicherheitsprozesse
Patch-Management
- Patchstände müssen für alle Komponenten überwacht und aktualisiert werden
- bei Sicherheitsrelevanz
- Firewalls
- Betriebssysteme
- Middleware-Komponenten
- Web-Server
- Application-Server
- Runtimes
- Anwendungen allgemein
Regelmäßiger Penetrationstests
- Regelmäßige Securitytests
- Regelmäßige Penetrationstests
- Am besten eingebunden in das normal Monitorsystem.
Monitoring von sicherheitsrelevanten Zugriffen
- Regelmässige Sichtung
- Zentrale Benutzerverwaltung der Admistratoren
- Nachvorziehbarkeit der Konfigurationsänderungen
- Logs der Intrusion-Detection-Systemen
- Application-Level Firewalls
- Logging der Datenzugriffe, etwa auf Kundendaten
Betriebssicherheit
- Ausfallsicherheit und Verfügbarkeit
- HighAvailibility
- LoadBalance
- Restore eines Backups
- Das alles muss ins Service Level Agreements
Weitere Punkte
- Rollen und Berechtigungen
- Monitoring
- Anmeldemethoden für ein angemessenes Sicherheitsniveau
- Verschlüsselungskonzept
- Betriebssicherheit und Ausfallsicherheit
- Zugangsschutz / Zutrittsschutz bei physischem Zutritt zu IT-Systemen