Hi,

auch ich (FISI) stelle einmal meinen Entwurf für den Projektantrag hier rein und hoffe auf einige Feedbacks!

Vielen Dank

:mod:

_________________________________________________________________

Legende:

kursiv = unklar ob zu erwähnen

Projektbezeichnung:

Entwicklung einer Methode zur Definition und Verifikation von Sicherheitsstandards auf Serversystemen.

Kurze Projektbeschreibung:

Es soll eine Lösung gefunden werden, mit der auf den Serversystemen des Unternehmens Sicherheitsstandards festgelegt und überprüft werden können.

Problembeschreibung (Ist-Analyse)

Die Firma XY betreibt über 600 produktive Serversysteme.

Auf den Servern bestehen bisher keine festgelegten IT Sicherheits-Compliance. Dies stellt ein hohes Sicherheitsrisiko dar.

Bislang wurden einzelne produktive Systeme einem Sicherheitsaudit durch externe Firmen unterzogen, mit dem Ziel einen fest definierten Sicherheitsstandard zu schaffen

und zu pflegen.

Zielsetzung des Projekts (Soll Konzept)

Zukünftig sollen bestehende und neue Serversysteme einen gemeinsamen Sicherheitsstandard haben.

Durch einen eigenen im Netzwerk integrierten Sicherheit-Scanner wird zunächst der Systemstatus erfasst.

Anschließend kann ein Sicherheitsstandard, basierend auf diesen Ergebnissen, definiert und auf anderen Servern abgebildet werden.

Zur Überprüfung der Einhaltung des Standards werden regelmäßig Security-Checks durchgeführt, um auch zukünftig einen aktuell Sicherheitsstandard zu gewährleisten.

Projektumgebung:

Das Projekt wird in der IT-Abteilung der WAZ Mediengruppe am Standort Essen durchgeführt.

Die auf Sicherheit getesteten Systeme befinden sich im firmeneigenen Netzwerk.

Projektplanung mit Zeitangaben

1. Planungsphase (2 Stunden)

Gespräch & Analyse

1.1 Durchführung der Ist-Analyse (1 Stunde)

1.2 Erstellung des Soll-Konzepts (1 Stunde)

2.Evaluierungsphase (8 Stunden)

2.1 Recherche geeigneter Softwarelösungen / Hardware (3,5 Stunden)

2.2 Kosten-Nutzen-Analyse / Analyse der Wirtschaftlichkeit (2,5 Stunden)

2.3 Auswahl der Hard- und Softwarelösung (2 Stunden)

3. Realisierungsphase (18 Stunden)

3.1 Installation des gewählten Betriebssystems (& Backup-Lösung?) (3 Stunden)

3.2 Implementierung der gewählten Lösung ( 2,5 Stunden)

3.3 Test und Trouble-Shooting (8 Stunden)

3.4 Auswertung und Vorstellung des 1. Ergebnisses im Betrieb (2 Stunden)

3.5 Definieren eines Sicherheitsstandards (2 Stunden)

3.6 Anpassung des Securityscanners (0,5 Stunden)

3.7 Durchführung des angepassten Securityscans ( keine selbst aufgebrachte Zeit)

4. Abschlussphase (7 Stunden)

4.1 Ausarbeitung der Projektdokumentation (6Stunden)

4.3 Erstellen einer Kundendokumentation (Handbuch)

4.4 Übernahme in den produktiven Einsatz (1Stunde)

4.5 Fazit ?

5. Glossar

6. Anhang

Angaben zur geplanten Projektdokumentation

Deckplatt

Inhaltsverzeichnis

Projektbeschreibung

Projekphasen

Anlagen

´

Geplante Anlagendokumentation zur Projektarbeit:

- Visuelle Dokumentation → Aufbau, Integration, Durchführung

- Shellbefehle (Screenshots)

- Konfigurationsdateien anpassen (Screenshots)

-Firewallregelwerk (Screenshots)

Bearbeitet 25. August 201015 j von armec

Sehe ich das richtig. Du installierst Nessus (o.ä.) - und das war's?

Das ist ein bisschen sehr dünn! Das machen andere als "Dreingabe", wenn sie eine DMZ und/ oder ein VPN installiert haben!

GG

Sehe ich das richtig. Du installierst Nessus (o.ä.) - und das war's?

Das ist ein bisschen sehr dünn! Das machen andere als "Dreingabe", wenn sie eine DMZ und/ oder ein VPN installiert haben!

GG

Hi,

es sollte meiner meinung nach schon deutlich sein, dass ich nicht nur die software installiere, sondern anhand des sicherheitsaudits einen serverkonfigurations bzw sicherheitsstandard entwickl und diesen dauerhaft durch den scanner ueberpruefe.

Oder hab ich nicht deutlich formuliert. Vielleicht muss ich an gewissen stelle nochmal deutlich machen, das es nicht um den scanner geht sondern den sicherheitsstandard. Dachte der erste satz der projektbezichnung macht das klar.

einen [...] sicherheitsstandard entwickl und diesen dauerhaft durch den scanner ueberpruefe.

Habe ich gelesen:

Definieren eines Sicherheitsstandards (2 Stunden)

Das ist nicht viel Zeit (weil es auch nicht länger dauert) und ist immer die Grundlage eines Security-Scans.

GG

Nun gut, vielleicht ist die zeitaufteilung falsch!

Ich nehm muss über deine Anmerkung nachdenken

Bearbeitet 25. August 201015 j von armec

Gibt es sonst noch Meinungen?