Welche Zielobjekte (Elemente) werden bei der Vorgehensweise zur Erstellung des IT-SchhKProj erfasst?
Erfassung folgender Zielobjekte (Elemente):
Anwendung/Software
Hardware (Server, Clients, Netzkoppelelemente)
Netze
Gebäude und Räume
Ableitung des Schutzbedarfs der Informationen auf die Zielobjekte (Elemente) des Systems
Unterteilung des Systems in Teilsysteme und Segmente
Was macht man im Hinblick auf die funktionale Struktur bezüglich der Erstellung des IT-SichhKProj?
Gliederung des Systems in Teilfunktionen:
die dem Nutzer zur Verfügung gestellt werden, bzw. die die IT-Sicherheit des Systems betreffen
Ableitung des Schutzbedarfs für diese Teilfunktionen
Ableitung des Schutzbedarfs der Informationen für die Zielobjekte (Elemente) des System
Was gehört zu Modellierung nach IT-Grundschutz?
Auswahl von übergreifenden IT-Grundschutzbausteinen
Auswahl von IT-Grundschutzbausteinen für die erfasste IT-Struktur
Auswahl von bundeswehrspezifischen Bausteinen gemäß MetadatenBw und vorliegendem Schutzbedarf
Erklären Sie die ergänzende Sicherheits- und Risikoanalyse bei der Erstellung des IT-SichhKProj
2 Schritte
1. ergänzende Sicherheistanalyse:
diese ist, entsprechend dem BSI-Standard 100-3, bei hohem und sehr hohem Schutzbedarf von Zielobjekten, beim Fehlen von IT-Sicherheitsmaßnahmen oder bei speziellen Einsatzszenarien durchzuführen
2. Risokoanalyse:
Entscheidung über die Durchführung erfolgt gemäß Vorschirft ZDv A-960/1, Anlage 11-X (Templates zur Durchführung und Erfassung der Risikolanalyse)
Nennen Sie die System Safety Goals
Erläutern Sie die Stuktur der Vorgehensweise zur Erstellung des IT-SichhKProj.
Stuktur- und Schutzbedarfsanalyse
Erfassung der Zielobjekte (Elemente)
funktionale Struktur
Modellierung nach IT-Grundschutz
Basis-Sicherheitscheck
Ergänzende Sicherheits- und Risikoanalyse
Was beinhaltet die Struktur- und Schutzbedarfsanalyse?
Erfassung der im System verarbeiteten Informationen
Feststellung des Schutzbedarfs der Informationen
Welche Aspekte beinhaltet der Basis-Sicherheitscheck im Hinblick auf IT-SichhKProj?
Soll-Ist-Vergleich
Die in der Modellierung ausgewählten Bausteine enthalten die einzelnen IT-Sicherheitsmaßnahmen
Umsetzung aller IT-Sicherheitsmaßnahmen wird dokumentiert und ggfs. kommentiert
mögliche Umsetzungsstatus:
umgesetzt, teilweise umgesetzt, nicht umgesetzt, entbehrlich
Festlegung der Verantwortlichkeit
Projektintern, externe Projekte und Dienststellen
Was versteht man unter Safety, Hazard und Mishap?
Safety:
Das Fehlen von Zuständen, die Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden hervorrufen
Hazard (Gefahr/Risiko):
Ein realer oder potentieller Zustand, der zu einem ungeplanten Ereignis (oder eine Reihe an Ereignissen) führt, die in Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden, resultieren.
Mishap (Missgeschick/Panne)
Ereignis (oder eine Reihe an Ereignissen) führt, die in Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Umweltschäden, resultieren.
Eingeschlossen sind negative Umweltfolgen von geplanten Ereignissen
Grenzen Sie Safety und Security voneinande ab.
Unfallvermeidung
Betriebssicherheit
Security:
Kriminalprävention
Cyber-Sicherheit (Verwendung von Verschlüsselungen etc.)
Definiere Risk, Severity und Probability
Risik (Risiko)
Kombination von Severity und Probability, das der Mishap eintritt
Seberity (Schwere/Härte)
Die Schwere einer potentiellen Konsequenz eines Mishap, das folgendes einschließt:
Tod, Verwundung, Krankheit, Schaden/Verlust von Equipment oder Eigentum, Umweltschäden oder Geldverlust
Probability (Wahrscheinlichkeit):
drückt die Wahrscheinlichkeit eines Mishap aus
Was sind die Definitionen von Acceptable Risk, Event Risk, Initial Risk und Target Risk?
Acceptable Risk:
Risiko, was ohne Hinterfragen eingegangen werden kann/wird
Event Risk:
Risiko, dass mit einer spezifischen Software/Hardware Konfiguartion assoziiert wird
typische Events sind Entwickungs-Verwendungs-Tests oder Feldtests
Initial Risk:
eine erste Einschätzung eines potentiellen Risikos von einem identifizierten Hazard
gibt eine erste feste Grenze für den Hazard an
Target Risk
das vom Projektmanager geplante Risiko durch Einführen von Maßnahmen und Sicherheitsdesigns
Wie hängen Funktionen und Sicherheitsfunktionen miteinander zusammen?
Parallelschaltung:
Geben Sie den System Safety Process wieder
Nennen Sie typische systematische Methoden um Hazards zu identifizieren.
Funktionelle Hazard-Analyse
Hazard-Identifikation mittels Hazard-Typen (DIN EN 12100):
mechanisch, elektrisch, thermisch, Geräusche/Vibration/Strahlung, Material, etc.
Kombanitionen der oben genannten
FMEA (Failure Mode an Effects Analysis)
Wie sieht die Risk-Assessment-Matrix aus?
Welche Möglichkeiten zur Risiko-Reduzierung gibt es?
Hazard-Eleminierung
Hazards durch Design-Auswahl eliminieren
Bsp.: Augensichere Laser verwenden
Risiko-Reduzierung:
reduziere Risiken mittels Design-Änderung
Bsp.: Filter für nicht-augensichere Laser
Sicherheitsfunktionen:
eingearbeitete Features oder Geräte
Bsp.: Waffensicherung, Laser-Schlüsselschaltung
Warnende Geräte:
System mit warnenden Geräten versorgen
Bsp.: CO2-Messgerät
Warndende Mitteilungen
stellen Warnsignale dar
Bsp.: Laser-Warnungs-Mitteilung
Zuletzt geändertvor 8 Tagen