Grenzen Sie Safety und Security voneinander ab.
Safety:
Unfallvermeidung
Betriebssicherheit
Security:
Kriminalprävention
Cyber-Sicherheit (Verwendung von Verschlüsselungen, etc)
Nennen Sie die System Safety Goals.
Definieren Sie Risk, Severity und Probability.
Risk (Risiko):
Kombination von Severity und Probability, dass der Mishap eintritt
Severity (Schwere/Härte):
Die Schwere einer potentiellen Konsequenz eines Mishap, das folgendes einschließt:
Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Eigentum, Umweltschäden oder Geldverlust
Probability (Wahrscheinlichkeit):
drückt die Wahrscheinlichkeit eines Mishap aus
Was sind die Definitionen von Acceptable Risk, Event Risk, Initial Risk und Target Risk?
Acceptable Risk:
Risiko, was ohne Hinterfragen eingegangen werden kann/wird
Event Risk:
Risiko, das mit einer spezifischen Software/Hardware-Konfiguration assoziiert wird
typische Events sind Entwicklungs-Verwendungs-Tests oder Feldtests
Initial Risk:
eine erste Einschätzung eines potentiellen Risikos von einem identifizierten Hazard
gibt eine erste feste Grenze für den Hazard an
Target Risk:
das vom Projektmanager geplante Risiko durch Einführen von Maßnahmen und Sicherheitsdesigns
Geben Sie den System Safety Process wieder.
Was versteht man unter Safety, Hazard und Mishap?
Das Fehlen von Zuständen, die Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden, hervorrufen
Hazard (Gefahr, Risiko):
Ein realer oder potentieller Zustand, der zu einem ungeplanten Ereignis (oder Reihe an Ereignissen) führt, die in Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden, resultieren
Mishap (Missgeschick/Panne):
Ereignis (oder Reihe an Ereignissen), die in Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden, resultieren
Eingeschlossen sind negative Umweltfolgen von geplanten Ereignissen
Wie sieht die Risk-Assessment-Matrix aus?
Welche Möglichkeiten zur Risiko-Reduzierung gibt es?
Hazard-Eliminierung
Hazards durch Design-Auswahl eliminieren
Bsp: Augensichere Laser verwenden
Risiko-Reduzierung:
reduziere Risiken mittels Design-Änderung
Bsp: Filter für nicht-augensichere Laser
Sicherheitsfunktionen:
eingearbeitete Features oder Geräte
Bsp: Waffensicherung, Laser-Schlüsselschaltung
Warnende Geräte:
System mit warnenden Geräten versorgen
Bsp: CO2-Messgerät
Warnende Mitteilungen:
stellen Warnsignale dar
Bsp: Laser-Warnungs-Mitteilung
Nennen Sie typische systematische Methoden um Hazards zu identifizieren.
Funktionelle Hazard-Analyse
Hazard-Identifikation mittels Hazard-Typen (DIN EN 12100):
mechanisch, elektrisch, thermisch, Geräusche/Vibration/Strahlung, Material, etc.
Kombinationen der oben genannten
FMEA (Failure Mode and Effects Analysis)
Wie hängen Funktion und Sicherheitsfunktion miteinander zusammen?
Parallelschaltung:
Erläutern Sie die Struktur der Vorgehensweise zur Erstellung des IT-SichhKProj.
Struktur- und Schutzbedarfsanalyse
Erfassung der Zielobjekte (Elemente)
funktionale Struktur
Modellierung nach IT-Grundschutz
Basis-Sicherheitscheck
Ergänzende Sicherheits- und Risikoanalyse
Was beinhaltet die Struktur- und Schutzbedarfsanalyse?
Struktur- und Schutzbedarfsanalyse:
Erfassung der im System verarbeiteten Informationen
Feststellung des Schutzbedarfs der Informationen
Welche Zielobjekte (Elemente) werden bei der Vorgehensweise zur Erstellung des IT-SichhKProj erfasst?
Erfassung folgender Zielobjekte (Elemente):
Anwendung/Software
Hardware (Server, Clients, Netzkoppelelemente)
Netze
Gebäude und Räume
Ableitung des Schutzbedarfs der Informationen auf die Zielobjekte (Elemente) des Systems
Unterteilung des Systems in Teilsysteme und Segmente
Was macht man im Hinblick auf die funktionale Struktur bezüglich der Erstellung des IT-SichhKProj
Gliederung des Systems in Teilfunktionen:
die dem Nutzer zur Verfügung gestellt werden bzw. die die IT-Sicherheit des Systems betreffen
Ableitung des Schutzbedarfs für diese Teilfunktionen
Ableitung des Schutzbedarfs der Informationen auf die Zielobjekte (Elemente) des System
Was gehört zur Modellierung nach IT-Grundschutz?
Auswahl von übergreifenden IT-Grundschutzbausteinen
Auswahl von IT-Grundschutzbausteinen für die erfasste IT-Struktur
Auswahl von bundeswehrspezifischen Bausteinen gemäß MetadatenBw und vorliegendem Schutzbedarf
Welche Aspekte beinhaltet der Basis-Sicherheitscheck im Hinblick auf IT-SichhKProj.
Soll-Ist-Vergleich
Die in der Modellierung ausgewählten Bausteine enthalten die einzelnen IT-Sicherheitsmaßnahmen
Umsetzungsstatus aller IT-Sicherheitsmaßnahmen wird dokumentiert und ggfs. kommentiert
mögliche Umsetzungsstatus:
umgesetzt; teilweise umgesetzt; nicht umgesetzt; entbehrlich
Festlegung der Verantwortlichkeit
Projektintern, externe Projekte und Dienststellen
Erklären Sie die ergänzende Sicherheits- und Risikoanalyse bei der Erstellung des IT-SichhKProj.
2 Schritte:
1. ergänzende Sicherheitsanalyse:
diese ist, entsprechend dem BSI-Standard 100-3, bei hohem und sehr hohem Schutzbedarf von Zielobjekten, beim Fehlen von IT-Sicherheitsmaßnahmen oder bei speziellen Einsatzszenarien durchzuführen
2. Risikoanalyse:
Entscheidung über die Durchführung erfolgt gemäß Vorschrift ZDv A-960/1, Anlage 11-X (Templates zur Durchführung und Erfassung der Risikoanalyse)
Last changed9 days ago