Buffl
Buffl
Systemtechnik Landfahrzeuge

Safety and Security

PH
by Philipp H.

Welche Zielobjekte (Elemente) werden bei der Vorgehensweise zur Erstellung des IT-SchhKProj erfasst?

  • Erfassung folgender Zielobjekte (Elemente):

    • Anwendung/Software

    • Hardware (Server, Clients, Netzkoppelelemente)

    • Netze

    • Gebäude und Räume

    • Ableitung des Schutzbedarfs der Informationen auf die Zielobjekte (Elemente) des Systems

    • Unterteilung des Systems in Teilsysteme und Segmente


Was macht man im Hinblick auf die funktionale Struktur bezüglich der Erstellung des IT-SichhKProj?

  • Gliederung des Systems in Teilfunktionen:

    • die dem Nutzer zur Verfügung gestellt werden, bzw. die die IT-Sicherheit des Systems betreffen

    • Ableitung des Schutzbedarfs für diese Teilfunktionen

    • Ableitung des Schutzbedarfs der Informationen für die Zielobjekte (Elemente) des System


Was gehört zu Modellierung nach IT-Grundschutz?

  • Auswahl von übergreifenden IT-Grundschutzbausteinen

  • Auswahl von IT-Grundschutzbausteinen für die erfasste IT-Struktur

  • Auswahl von bundeswehrspezifischen Bausteinen gemäß MetadatenBw und vorliegendem Schutzbedarf


Erklären Sie die ergänzende Sicherheits- und Risikoanalyse bei der Erstellung des IT-SichhKProj

  • 2 Schritte

    • 1. ergänzende Sicherheistanalyse:

      • diese ist, entsprechend dem BSI-Standard 100-3, bei hohem und sehr hohem Schutzbedarf von Zielobjekten, beim Fehlen von IT-Sicherheitsmaßnahmen oder bei speziellen Einsatzszenarien durchzuführen

    • 2. Risokoanalyse:

      • Entscheidung über die Durchführung erfolgt gemäß Vorschirft ZDv A-960/1, Anlage 11-X (Templates zur Durchführung und Erfassung der Risikolanalyse)


Nennen Sie die System Safety Goals


Erläutern Sie die Stuktur der Vorgehensweise zur Erstellung des IT-SichhKProj.

  • Stuktur- und Schutzbedarfsanalyse

  • Erfassung der Zielobjekte (Elemente)

  • funktionale Struktur

  • Modellierung nach IT-Grundschutz

  • Basis-Sicherheitscheck

  • Ergänzende Sicherheits- und Risikoanalyse


Was beinhaltet die Struktur- und Schutzbedarfsanalyse?

  • Erfassung der im System verarbeiteten Informationen

  • Feststellung des Schutzbedarfs der Informationen


Welche Aspekte beinhaltet der Basis-Sicherheitscheck im Hinblick auf IT-SichhKProj?

  • Soll-Ist-Vergleich

  • Die in der Modellierung ausgewählten Bausteine enthalten die einzelnen IT-Sicherheitsmaßnahmen

  • Umsetzung aller IT-Sicherheitsmaßnahmen wird dokumentiert und ggfs. kommentiert

  • mögliche Umsetzungsstatus:

    • umgesetzt, teilweise umgesetzt, nicht umgesetzt, entbehrlich

  • Festlegung der Verantwortlichkeit

  • Projektintern, externe Projekte und Dienststellen


Was versteht man unter Safety, Hazard und Mishap?

  • Safety:

    • Das Fehlen von Zuständen, die Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden hervorrufen

  • Hazard (Gefahr/Risiko):

    • Ein realer oder potentieller Zustand, der zu einem ungeplanten Ereignis (oder eine Reihe an Ereignissen) führt, die in Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden, resultieren.

  • Mishap (Missgeschick/Panne)

    • Ereignis (oder eine Reihe an Ereignissen) führt, die in Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden, resultieren.

    • Eingeschlossen sind negative Umweltfolgen von geplanten Ereignissen


Grenzen Sie Safety und Security voneinande ab.

  • Safety:

    • Unfallvermeidung

    • Betriebssicherheit

  • Security:

    • Kriminalprävention

    • Cyber-Sicherheit (Verwendung von Verschlüsselungen etc.)


Definiere Risk, Severity und Probability

  • Risik (Risiko)

    • Kombination von Severity und Probability, das der Mishap eintritt

  • Seberity (Schwere/Härte)

    • Die Schwere einer potentiellen Konsequenz eines Mishap, das folgendes einschließt:

      • Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Eigentum, Umweltschäden oder Geldverlust

  • Probability (Wahrscheinlichkeit):

    • drückt die Wahrscheinlichkeit eines Mishap aus


Was sind die Definitionen von Acceptable Risk, Event Risk, Initial Risk und Target Risk?

  • Acceptable Risk:

    • Risiko, was ohne Hinterfragen eingegangen werden kann/wird

  • Event Risk:

    • Risiko, dass mit einer spezifischen Software/Hardware Konfiguartion assoziiert wird

    • typische Events sind Entwickungs-Verwendungs-Tests oder Feldtests

  • Initial Risk:

    • eine erste Einschätzung eines potentiellen Risikos von einem identifizierten Hazard

      • gibt eine erste feste Grenze für den Hazard an

  • Target Risk

    • das vom Projektmanager geplante Risiko durch Einführen von Maßnahmen und Sicherheitsdesigns


Wie hängen Funktionen und Sicherheitsfunktionen miteinander zusammen?

Parallelschaltung:

Geben Sie den System Safety Process wieder


Nennen Sie typische systematische Methoden um Hazards zu identifizieren.

  • Funktionelle Hazard-Analyse

  • Hazard-Identifikation mittels Hazard-Typen (DIN EN 12100):

    • mechanisch, elektrisch, thermisch, Geräusche/Vibration/Strahlung, Material, etc.

    • Kombanitionen der oben genannten

  • FMEA (Failure Mode an Effects Analysis)


Wie sieht die Risk-Assessment-Matrix aus?


Welche Möglichkeiten zur Risiko-Reduzierung gibt es?

  • Hazard-Eleminierung

    • Hazards durch Design-Auswahl eliminieren

      • Bsp.: Augensichere Laser verwenden

  • Risiko-Reduzierung:

    • reduziere Risiken mittels Design-Änderung

      • Bsp.: Filter für nicht-augensichere Laser

  • Sicherheitsfunktionen:

    • eingearbeitete Features oder Geräte

      • Bsp.: Waffensicherung, Laser-Schlüsselschaltung

  • Warnende Geräte:

    • System mit warnenden Geräten versorgen

      • Bsp.: CO2-Messgerät

  • Warndende Mitteilungen

    • stellen Warnsignale dar

      • Bsp.: Laser-Warnungs-Mitteilung

Join Course
Preview

Author

Philipp H.

Information

Last changed

Report course
© 2023 Buffl GmbH