Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Assessment Technisch-Organisatorische Überprüfung von Infrastrukturen und Services (Vorgehens.

Veröffentlicht von:Arwed Schulz Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Assessment Technisch-Organisatorische Überprüfung von Infrastrukturen und Services (Vorgehens."—  Präsentation transkript:

1 Assessment Technisch-Organisatorische Überprüfung von Infrastrukturen und Services (Vorgehens

2 Vorgehensmodell Kickoff Klassifizieren Business Prozesse Identifizieren Assets Klassifizieren Assets Zeitplan Review Points Incident Vereinbarungen Teilnehmer Schwachstellen und Aufnahme Manuelle Prüfung Toolgestützter Scan Auswertung Reporting Beratung Maßnahmenverfolgung Compliance* Basis Definition Manuelle Prüfung Toolgestützte Prüfung Organisatorische Prüfung Prozessuale Prüfung Report Beratung Maßnahmenverfolgung In-Depth Assessment Pen Test APT Assessment Application Inspektion Personal Assessment Vereinbarung Rahmenbedingungen Report, Beratung Code/Binary Prüfung Maßnahmenverfolgung 1 bis 2 Tage + Vor- und Nachbereitung 1 bis n Tage Abhängig von Asset –und Findinganzahl 3 bis n Tage Abhängig von Asset –und Findinganzahl 5 bis n Wochen Abhängig von Rahmenbedingungen *Siehe auch Seite „Compliance Prüfungen gegen … Phase 1 Phase 2 Phase 3 Phase 4

3 Empfehlung für Neukunden Workshop maximal 1 Tag Ziel Critical Services/Assets werden identifiziert Beschlussfassung über weiteres Vorgehen Schwachstellen-und Aufnahmescan bis hin zur Maßnahmendefinition und Entscheidung über weiteres Vorgehen (maximal 5 bis 7 Tage) Weiteres Vorgehen (Optionen) Maßnahmenverfolgung für kritische und schwere Schwachstellen Compliance Check kritischer Services Prozessqualität und Dokumentation (ISMS) Maßnahmendefinition Penetration Test ausgewählter System oder Systemgruppen Es wird mit einer beschränkten Zielumgebung gestartet. So kann sich der Auftraggeber mit der Leistungsart und der Form der Erbringung vertraut machen.

4 Sonstige Anmerkungen Die jeweilige Vorgehensweise wird im Kickoff grob und im Abschlußbericht detailliert beschrieben. Die technischen Methoden werden jeweils dem Kenntnisstand über die aktuelle Technik angepasst. Im Rahmen von Pen -oder APT-Assessments ist der persönliche Kontakt zum Personal oder anderen Bezugspersonen nicht ausgeschlossen. Im Rahmen von Pen- oder APT-Assessments kann es zum formell unerlaubten Betreten von Unternehmensbereichen ggf. auch in Bezug befindlichen Räumen kommen. Während in Phase 2 oft nur ein Mitarbeiter genügt, kommen in Phase 3 und Phase 4 zwei und mehr Mitarbeiter zum Einsatz. Alle Aktivitäten werden im Vorfeld abgestimmt und durch die berechtigten Personen beim Auftraggeber schriftlich genehmigt. Um Risiken auszuschließen oder zu verdeutlichen wird im Rahmen der Genehmigung auch immer Umfang und Tiefe der jeweiligen Prüfung definiert.

5 Team Unser Prüfer sind Pen-Tester und CISOs mit Erfahrungen aus Unternehmen und Behörden. Die meisten sind nicht nur als Prüfer im Einsatz, sondern auch als Digital Forensic Examiners im Rahmen von staatlichen und nicht-staatlichen Ermittlungen und kennen somit auch die Auswirkungen von nicht geschlossenen Schwachstellen sehr gut. Zudem verfügen einige über anerkannte Qualifikationen wie CISSP, SSCP, CISA, CCFP, GCFE und GCFA.

6 Typische Fehlannahmen Penetrationtest != Schwachstellencheck Umgangssprachlich wird noch häufig von einem Pen Test gesprochen, auch wenn lediglich eine Prüfung auf Schwachstellen erforderlich beziehungsweise gemeint ist. Pentests können beliebig aufwendig sein. Machen Sie erstmal einen Pentest! Sie sind sich sicher, das Sie alles Ihnen Bekannte getan haben, um Ihre Systeme zu schützen und wollen nun wissen, ob es noch Schwachstellen gibt über man tatsächlich einbrechen kann. Eventuell starten Sie mit einem Schwachstellencheck und überprüfen Sie inwiefern Ihre Infrastruktur compliant zu gängigen oder für Ihr Umfeld erforderlichen Anforderungen ist.

7 Compliance Prüfung gegen … ISO 2700x BSI 100-2 DIACAP (US Department of Defense, DoDI 5810.01) HIPAA FDA Cybersecurity Guideline PCI BYOD Verification CoCo DISA (Checklist und STIG) GLBA NSA Hardening Guides IBM Series Conf Audits OWASP best practice Empfehlungen Tenable Empfehlungen Energy Sector Cybersecurity Framework IATA Cyber Security Framework

Herunterladen ppt "Assessment Technisch-Organisatorische Überprüfung von Infrastrukturen und Services (Vorgehens."

Ähnliche Präsentationen

Phasen und ihre Workflows

Phasen und ihre Workflows
Der Weg zu einer Collaboration Strategy

Der Weg zu einer Collaboration Strategy
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Was bei der Modellierung komplexer Systeme bedacht werden sollte

Was bei der Modellierung komplexer Systeme bedacht werden sollte
RUP-Elemente (Schlüsselkonzepte)

RUP-Elemente (Schlüsselkonzepte)
Controlling, Analyse und Verbesserung (Teil 1)

Controlling, Analyse und Verbesserung (Teil 1)
Rational Unified Process (RUP) - Definitionen

Rational Unified Process (RUP) - Definitionen
Software Risk Evaluation Method (SRE)

Software Risk Evaluation Method (SRE)
Kontrollfragen zu Kapitel 1

Kontrollfragen zu Kapitel 1
Anpassung des RUP an ein konkretes Projekt - 1

Anpassung des RUP an ein konkretes Projekt - 1
Prof. Dr. Gerhard Schmidt pres. by H.-J. Steffens Software Engineering WS 2006 / 2007Folie 1 Agile Vorgehensweisen Hintergrund –in den letzten Jahren hat.

Prof. Dr. Gerhard Schmidt pres. by H.-J. Steffens Software Engineering WS 2006 / 2007Folie 1 Agile Vorgehensweisen Hintergrund –in den letzten Jahren hat.
ICTs for SMEs Projekt: ICTs for SMEs Präsentation INTERREG III B Nordsee- Workshop Norderstedt 23.9.2004.

ICTs for SMEs Projekt: ICTs for SMEs Präsentation INTERREG III B Nordsee- Workshop Norderstedt
Die Umsetzung der ISO/IEC 17020

Die Umsetzung der ISO/IEC 17020
Das Pflichtenheft Dipl.- Ing. Dipl.-Informatiker Dieter Klapproth

Das Pflichtenheft Dipl.- Ing. Dipl.-Informatiker Dieter Klapproth
EBAV® (Experience Based Asset Valuation)

EBAV® (Experience Based Asset Valuation)
Vorgehensmodell mit Scrum-Elementen

Vorgehensmodell mit Scrum-Elementen
IT-Projektmanagement SS 2013 Prof. Dr. Herrad Schmidt

IT-Projektmanagement SS 2013 Prof. Dr. Herrad Schmidt
1 Hugo Straumann, CT-SSM 17. Juni 2002 Security Risk Radar Hugo Straumann Methode Pilot Positionierung.

1 Hugo Straumann, CT-SSM 17. Juni 2002 Security Risk Radar Hugo Straumann Methode Pilot Positionierung.
Eidgenössisches Finanzdepartement EFD Eidgenössische Finanzverwaltung EFV Vorhaben E-Rechnung Review-Unterstützung durch ffO EFV.

Eidgenössisches Finanzdepartement EFD Eidgenössische Finanzverwaltung EFV Vorhaben E-Rechnung Review-Unterstützung durch ffO EFV.
Damit das Wissen nicht in Rente geht … Praxisbericht von Constanze Spangenberg IDT Biologika GmbH vorgestellt am 18.11.2008 bei der Regionalkonferenz der.

Damit das Wissen nicht in Rente geht … Praxisbericht von Constanze Spangenberg IDT Biologika GmbH vorgestellt am bei der Regionalkonferenz der.

Ähnliche Präsentationen

Google-Anzeigen