Was sind die Ziele einer Sicherheitsbewertung?
Schwachstellen erkennen und beseititgen
Sicherheitplan aufstellen, der ständig erweitert werden kann
Sicherheit muss kontinuierlich verbessert werden!!!
Was ist eine Basis- Standard- und Kern- Absicherung?
Wie könnten diese in einem Graphen aussehen?
Basis = Grundlegende Erstabsicherung,
Standard = umfassender Schutz aller Systeme und Bereiche, entspricht der vollen IT-Grundschutz vorgehensweise, Zertifizierung möglich
Kern = Schutz besonders gefährdeter Prozesse
Was sind Prinzipien für Security und Privacy nach dem Microsoft Security Lifecycle?
Sicherheit durch Design: Die Sicherheitsaspekte der Software sollten
bereits in der Planungsphase berücksichtigt werden
Sicherheit durch Voreinstellung/Standard: Trotz sorgfältiger Planung
muss von dem Vorhandensein von Sicherheitslücken ausgegangen
werden
Sicherheit im Einsatz: Mitgelieferte Dokumentation und Tools sollten
Administratoren dabei helfen, die Software möglichst optimal
einzurichten
Kommunikation (Software): Die Entwickler sollten offen mit potenziellen
Sicherheitslücken umgehen und den Endanwendern schnell Patches oder
Workarounds zur Verfügung stellen
Datenschutz durch Design: Datenschutzaspekte der Software sollten
Datenschutz durch Voreinstellung: Die Standardeinstellungen der
Software sollten konservativ sein
Datenschutz bei der Bereitstellung: Datenschutzmechanismen sollten
offengelegt werden
Kommunikation (Datenschutz): Datenschutzerklärungen sollten
transparent formuliert werden. Es sollte ein Team für Datenschutzvorfälle
eingerichtet werden
Wie geht man bei einem Bewertungsprozess vor?
1. Bestandsaufnahme
2. Schutzbedarfsfeststellung
3. Risikoanalyse
4. Sicherheitsbewertung
5. Entwicklung eines Sicherheitskonzepts
6. Umsetzung des Konzepts: Härten der Systeme
7. Monitoring und Maintaining
8. Dokumentation
9. (Verifizierung)
Prof. M. Maleshkova
Sicherheitsbezoge
Wie geht man bei der Bestandsaufnahme vor?
Initiierung: Rahmen und Verantwortliche der Sicherheitsüberprüfung festlegen
Bestandsaufnahme: Prozesse, Räume, Leitlinie, Geltungsbereich etc. definieren
Physische Begehung:
—> Ganzes System abbilden, auf Schwachstellen und alle Verbindungen untersuchen, kritische Ereignisse kennzeichnen
—> Schreibtische und Bildschirme müssen frei von kritischen Informationen sein
—> Alarmanalgen, Sensoren prüfen
Geschätsprozesse definieren und zuordnen
Anwendungen definieren
Netzplan erstellen
IT- Systeme definieren
Räume identifizieren
Anforderungsanalyse
An was orientiert sich der Schutzbedarf?
Ausmaß des möglichen Schadens
Welche schutzbedarfskategorien gibt es, Was sagen diese aus?
Normal - zeitlich begrenzt, nicht schlimm
Hoch - beträchtlich
Sehr Hoch - existenziell bedrohlich
Was sit das Vererbungsprinzip?
Welche Arten gibt es?
Schutz wird von übergeordneten Systemen vererbt.
Maximumprinzip: Maximal benötigter Schutz wird vererbt,
Kumulation: Der Schutzbedarf kann höher oder niedriger als der einzelbedarf sein
Verteilungseffekt: Ein hoher Schutzbedarf wird nicht zwangsläufig übertragen, wenn er nicht komplett auf dem IT-System läuft
Welche verbindungen sind besonders schützenswert?
Verbindungen…
In ein öffentliches Netz.
Mit kritischem Inhalt.
Die keinen kritischen Inhalt haben dürfen.
Zuletzt geändertvor 11 Tagen