Sicherheitsaspekte Projektmanagement: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 9: Zeile 9:
 
*Juristisches  
 
*Juristisches  
 
:Entsprechen die Sicherheitseinrichtungen Ihren Juristischen Anforderungen
 
:Entsprechen die Sicherheitseinrichtungen Ihren Juristischen Anforderungen
 
=Was sollte eine Sicherheitspolitik enthalten?=
 
;Begründung
 
:Es ist wichtig das begründet wird warum Entscheidungen so getroffen wurden. - Nachvollziehbarkeit -
 
;Verantwortung
 
:Man sollte explizit Zuständigkeitsbereiche festlegen und somit Unklarheiten vermeiden.
 
:Aber auch die Benutzer sollten auf Sicherheit achten und sich nicht nur auf die Administration verlassen.
 
;Verständlichkeit
 
:Mann sollte die Sicherheitspolitik verständlich formulieren nur so ist gewährleistet das sie auch eingehalten wird.
 
:Was man nicht versteht kann man auch nicht einhalten.
 
;Durchsetzung
 
:Der Verwalter bestimmter Dienste ist befugt Zugang zu verwehren.
 
:Der Vorgesetzte kümmert sich um Überschreitungen.
 
:Einrichtungen die Standards nicht erfüllen werden ausgeschlossen.
 
;Berücksichtigung von Ausnahmen
 
:Was geschieht wenn Ausnahmesituationen eintreten?
 
;Skalierbarkeit
 
:Was passiert wenn Ihre Netzwerk wächst?
 
 
;Spezielle Fragen
 
*Wer erhält Zugang? Gibt es Gastzugänge?
 
*Gibt es Gemeinsame Accounts? (Bsp. E-Mail)
 
*Wann verliert man einen Account?
 
*Wer darf sich per VPN einwählen.
 
*Was ist vor der Inbetriebnahme eines Computers zu tun?
 
*Wie sicher müssen diese sein?
 
*Wie werden Personaldaten geschützt?
 
*Welche Passwörter sollten verwendet werden? (Änderung)
 
*Wer darf ausführbare Programme besorgen/installieren?
 
*Welche Vorkehrungen werden gegenüber Viren getroffen?
 
*Was ist mit Verbindungen mit Geschäftspartnern?
 
 
 
 
*Festlegen der Relevanz von Sicherheitsaspekten anhand diverser Kriterien vor Projektbeginn.
 
*Festlegen der Relevanz von Sicherheitsaspekten anhand diverser Kriterien vor Projektbeginn.
**Art der verwendeten Daten
+
:Art der verwendeten Daten
**Einsatz externer Dienstleister
+
:Einsatz externer Dienstleister
**Realisierungsumfeld
+
:Realisierungsumfeld
**Benutzung neuer Technologien
+
:Benutzung neuer Technologien
*Projektumsetzung unter Beachtung der Grundsätze Security by design und Security by default.
+
=Entscheidungsfindung=
*Festlegen eines Verwantwortlichen, wenn ein Projekt als sicherheitsrelevant eingestuft wird.
+
==Wer wird angehört==
*Dokumentation der verschiedenen Entscheidungen.
+
*Entscheider
 
+
*Techniker
https://www.computerwoche.de/a/it-security-fuer-projektleiter,3229600,4
+
*IT-Sicherheit
 +
*Anwender
 +
*Berater
 +
==Relevante Punkte==
 +
*Worst Case Szenarien
 +
*Kommunikation Intern
 +
*Kommunikation Extern
 +
*Datenschutz
 +
*Authentifizierung
 +
*Authorisierung
 +
*Accounting (Protokollierung)
 +
*Datenaustausch
 +
*Private Nutzung
 +
*Nachvollzierbarkeit
 +
*Funktionalität
 +
*Akzeptanz
 +
*Besonders schützenswerte Daten
 +
*Backup/Restore Konzept
 +
*Archiv
 +
*Datenschutz
 +
=ISO OSI Sicht=
 +
==Netzwerkebene==
 +
*Switches
 +
*Router
 +
*Netzwerk-Firewalls
 +
*VLAN-Einstellungen
 +
*WLAN-Access-Points
 +
*IDS/IPS
 +
=Virtualisierungs-Ebene=
 +
*Virtuelle Betriebssystem
 +
*Virtuelle Prozesse
 +
=Betriebssystemebene & Applikationsebene=
 +
*Webserver
 +
*Middleware-Komponenten
 +
*Sicherheitskomponenten
 +
*Aplication Firewalls
 +
*Web Protection
 +
=Secure Programming=
 +
*Anfordungen sind Abhängig von der Entwicklungsumgebung
 +
*Sicherheitsmechanismen der Betriebssysteme beachten
 +
*branchenspezifische Sicherheitsanforderungen beachten
 +
*Kreditkarten-Applikationen PCI-PA-DSS (Payment Card Industry) 
 +
*Web-basierten Anwendungen OWASP
 +
=Projektidee und -entwicklung=
 +
*Erste Entwürfe mit IT-Sicherheitsspezialisten und Datenschutzspezialisten diskutieren.
 +
*Anforderungen und Anmerkungen der Spezialisten aufnehmen
 +
*Mit Projektteam diskutieren und erneut Spezialisten zu Rate ziehen
 +
*Vorgang kann sich öfters wiederholen
 +
=Projekt-Kick-Off=
 +
*Alle Projektbeteiligten geladen - inklusive der Sicherheits- und Datenschutzspezialisten
 +
*Optimal wäre es wenn die Spezialisten immer als Ansprechpartner zur Verfügung stehen
 +
=Definition des Sicherheitskonzeptes=
 +
*Für jedes IT-Projekt ein passender Katalog an Anforderungen zusammengestellt werden
 +
*Die Rolle der Software Entwickler und Sicherheitsspezialisten von der ausführenden Rolle zu trennen.
 +
*Externer Sicherheitsspezialist hat den kleinsten Anteil am Gesamtprojektbudget
 +
*An Standards orientieren BSI Grundschutz
 +
*Eventuell gibt es Branchenübliche Standards
 +
=Kleine Unternehmen=
 +
*Web-Agentur realisiert einen Web-Shop
 +
*Orientierung an den "OWASP Top Ten"
 +
*Sicherheit beim Web-Hosting
 +
*Wer hostet?
 +
*Gibt es ein Patchmanagment
 +
=Externe Dienstleister=
 +
*Bei Ausgestaltung solten der Verträge auf Mindestanforderungen konkret spezifiziert werden.  
 +
*Sicherheitslücken bei der Inbetriebnahme im Budget vorsehen.
 +
*Wenn Software schon bei Abnahme gegen Sicherheitskriterien verstösst,kostenfreie Behebung!
 +
=Technische Abnahme=
 +
*Funktions und Sicherheitsprüfung
 +
*Versionsstände der Softwarekompenenten checken
 +
*Security und Penetrationstests.
 +
*Belastungstests
 +
*Abnahme bezieht sich auf die zuvor vereinbarten Sicherheitsanforderungen.
 +
*Was nicht vereinbart wurde, kann auch nicht eingefordert
 +
=Laufende Sicherheitsprozesse=
 +
==Patch-Management==
 +
*Patchstände müssen für alle Komponenten überwacht und aktualisiert werden
 +
*bei Sicherheitsrelevanz
 +
**Firewalls
 +
**Betriebssysteme
 +
**Middleware-Komponenten
 +
**Web-Server
 +
**Application-Server
 +
**Runtimes
 +
**Anwendungen allgemein
 +
==Regelmäßiger Penetrationstests==
 +
*Regelmäßige Securitytests
 +
*Regelmäßige Penetrationstests
 +
*Am besten eingebunden in das normal Monitorsystem.
 +
=Monitoring von sicherheitsrelevanten Zugriffen=
 +
;Regelmässige Sichtung
 +
*Zentrale Benutzerverwaltung der Admistratoren
 +
*Nachvorziehbarkeit der Konfigurationsänderungen
 +
*Logs der Intrusion-Detection-Systemen
 +
*Application-Level Firewalls
 +
*Logging der Datenzugriffe, etwa auf Kundendaten
 +
=Betriebssicherheit=
 +
*Ausfallsicherheit und Verfügbarkeit
 +
*HighAvailibility
 +
*LoadBalance
 +
*Restore eines Backups
 +
*Das alles muss ins Service Level Agreements
 +
=Weitere Punkte=
 +
*Rollen und Berechtigungen
 +
*Monitoring
 +
*Anmeldemethoden für ein angemessenes Sicherheitsniveau
 +
*Verschlüsselungskonzept
 +
*Betriebssicherheit und Ausfallsicherheit
 +
*Zugangsschutz / Zutrittsschutz bei physischem Zutritt zu IT-Systemen
 +
=Links=
 +
*https://www.computerwoche.de/a/it-security-fuer-projektleiter,3229600,4

Aktuelle Version vom 16. Juni 2021, 19:18 Uhr

Fragen zur Sicherheit

Man sollte die höchstmögliche Sicherheitsstufe anstreben wobei folgende Punkte zu beachten sind:

  • Preis
Wie viel Geld können/wollen sie für Sicherheit ausgeben?
  • Funktionalität
Können Sie Ihre Computer immer noch benutzen?
  • Akzeptanz
Stören die Sicherheitseinrichtungen die Art und Weise mit der Benutzer Ihres Standorts gewöhnlich untereinander und Außenwelt kommunizieren?
  • Juristisches
Entsprechen die Sicherheitseinrichtungen Ihren Juristischen Anforderungen
  • Festlegen der Relevanz von Sicherheitsaspekten anhand diverser Kriterien vor Projektbeginn.
Art der verwendeten Daten
Einsatz externer Dienstleister
Realisierungsumfeld
Benutzung neuer Technologien

Entscheidungsfindung

Wer wird angehört

  • Entscheider
  • Techniker
  • IT-Sicherheit
  • Anwender
  • Berater

Relevante Punkte

  • Worst Case Szenarien
  • Kommunikation Intern
  • Kommunikation Extern
  • Datenschutz
  • Authentifizierung
  • Authorisierung
  • Accounting (Protokollierung)
  • Datenaustausch
  • Private Nutzung
  • Nachvollzierbarkeit
  • Funktionalität
  • Akzeptanz
  • Besonders schützenswerte Daten
  • Backup/Restore Konzept
  • Archiv
  • Datenschutz

ISO OSI Sicht

Netzwerkebene

  • Switches
  • Router
  • Netzwerk-Firewalls
  • VLAN-Einstellungen
  • WLAN-Access-Points
  • IDS/IPS

Virtualisierungs-Ebene

  • Virtuelle Betriebssystem
  • Virtuelle Prozesse

Betriebssystemebene & Applikationsebene

  • Webserver
  • Middleware-Komponenten
  • Sicherheitskomponenten
  • Aplication Firewalls
  • Web Protection

Secure Programming

  • Anfordungen sind Abhängig von der Entwicklungsumgebung
  • Sicherheitsmechanismen der Betriebssysteme beachten
  • branchenspezifische Sicherheitsanforderungen beachten
  • Kreditkarten-Applikationen PCI-PA-DSS (Payment Card Industry)
  • Web-basierten Anwendungen OWASP

Projektidee und -entwicklung

  • Erste Entwürfe mit IT-Sicherheitsspezialisten und Datenschutzspezialisten diskutieren.
  • Anforderungen und Anmerkungen der Spezialisten aufnehmen
  • Mit Projektteam diskutieren und erneut Spezialisten zu Rate ziehen
  • Vorgang kann sich öfters wiederholen

Projekt-Kick-Off

  • Alle Projektbeteiligten geladen - inklusive der Sicherheits- und Datenschutzspezialisten
  • Optimal wäre es wenn die Spezialisten immer als Ansprechpartner zur Verfügung stehen

Definition des Sicherheitskonzeptes

  • Für jedes IT-Projekt ein passender Katalog an Anforderungen zusammengestellt werden
  • Die Rolle der Software Entwickler und Sicherheitsspezialisten von der ausführenden Rolle zu trennen.
  • Externer Sicherheitsspezialist hat den kleinsten Anteil am Gesamtprojektbudget
  • An Standards orientieren BSI Grundschutz
  • Eventuell gibt es Branchenübliche Standards

Kleine Unternehmen

  • Web-Agentur realisiert einen Web-Shop
  • Orientierung an den "OWASP Top Ten"
  • Sicherheit beim Web-Hosting
  • Wer hostet?
  • Gibt es ein Patchmanagment

Externe Dienstleister

  • Bei Ausgestaltung solten der Verträge auf Mindestanforderungen konkret spezifiziert werden.
  • Sicherheitslücken bei der Inbetriebnahme im Budget vorsehen.
  • Wenn Software schon bei Abnahme gegen Sicherheitskriterien verstösst,kostenfreie Behebung!

Technische Abnahme

  • Funktions und Sicherheitsprüfung
  • Versionsstände der Softwarekompenenten checken
  • Security und Penetrationstests.
  • Belastungstests
  • Abnahme bezieht sich auf die zuvor vereinbarten Sicherheitsanforderungen.
  • Was nicht vereinbart wurde, kann auch nicht eingefordert

Laufende Sicherheitsprozesse

Patch-Management

  • Patchstände müssen für alle Komponenten überwacht und aktualisiert werden
  • bei Sicherheitsrelevanz
    • Firewalls
    • Betriebssysteme
    • Middleware-Komponenten
    • Web-Server
    • Application-Server
    • Runtimes
    • Anwendungen allgemein

Regelmäßiger Penetrationstests

  • Regelmäßige Securitytests
  • Regelmäßige Penetrationstests
  • Am besten eingebunden in das normal Monitorsystem.

Monitoring von sicherheitsrelevanten Zugriffen

Regelmässige Sichtung
  • Zentrale Benutzerverwaltung der Admistratoren
  • Nachvorziehbarkeit der Konfigurationsänderungen
  • Logs der Intrusion-Detection-Systemen
  • Application-Level Firewalls
  • Logging der Datenzugriffe, etwa auf Kundendaten

Betriebssicherheit

  • Ausfallsicherheit und Verfügbarkeit
  • HighAvailibility
  • LoadBalance
  • Restore eines Backups
  • Das alles muss ins Service Level Agreements

Weitere Punkte

  • Rollen und Berechtigungen
  • Monitoring
  • Anmeldemethoden für ein angemessenes Sicherheitsniveau
  • Verschlüsselungskonzept
  • Betriebssicherheit und Ausfallsicherheit
  • Zugangsschutz / Zutrittsschutz bei physischem Zutritt zu IT-Systemen

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Sicherheitsaspekte_Projektmanagement&oldid=24234