armec Geschrieben 25. August 2010 Teilen Geschrieben 25. August 2010 (bearbeitet) Hi, auch ich (FISI) stelle einmal meinen Entwurf für den Projektantrag hier rein und hoffe auf einige Feedbacks! Vielen Dank :mod: _________________________________________________________________ Legende: kursiv = unklar ob zu erwähnen Projektbezeichnung: Entwicklung einer Methode zur Definition und Verifikation von Sicherheitsstandards auf Serversystemen. Kurze Projektbeschreibung: Es soll eine Lösung gefunden werden, mit der auf den Serversystemen des Unternehmens Sicherheitsstandards festgelegt und überprüft werden können. Problembeschreibung (Ist-Analyse) Die Firma XY betreibt über 600 produktive Serversysteme. Auf den Servern bestehen bisher keine festgelegten IT Sicherheits-Compliance. Dies stellt ein hohes Sicherheitsrisiko dar. Bislang wurden einzelne produktive Systeme einem Sicherheitsaudit durch externe Firmen unterzogen, mit dem Ziel einen fest definierten Sicherheitsstandard zu schaffen und zu pflegen. Zielsetzung des Projekts (Soll Konzept) Zukünftig sollen bestehende und neue Serversysteme einen gemeinsamen Sicherheitsstandard haben. Durch einen eigenen im Netzwerk integrierten Sicherheit-Scanner wird zunächst der Systemstatus erfasst. Anschließend kann ein Sicherheitsstandard, basierend auf diesen Ergebnissen, definiert und auf anderen Servern abgebildet werden. Zur Überprüfung der Einhaltung des Standards werden regelmäßig Security-Checks durchgeführt, um auch zukünftig einen aktuell Sicherheitsstandard zu gewährleisten. Projektumgebung: Das Projekt wird in der IT-Abteilung der WAZ Mediengruppe am Standort Essen durchgeführt. Die auf Sicherheit getesteten Systeme befinden sich im firmeneigenen Netzwerk. Projektplanung mit Zeitangaben 1. Planungsphase (2 Stunden) Gespräch & Analyse 1.1 Durchführung der Ist-Analyse (1 Stunde) 1.2 Erstellung des Soll-Konzepts (1 Stunde) 2.Evaluierungsphase (8 Stunden) 2.1 Recherche geeigneter Softwarelösungen / Hardware (3,5 Stunden) 2.2 Kosten-Nutzen-Analyse / Analyse der Wirtschaftlichkeit (2,5 Stunden) 2.3 Auswahl der Hard- und Softwarelösung (2 Stunden) 3. Realisierungsphase (18 Stunden) 3.1 Installation des gewählten Betriebssystems (& Backup-Lösung?) (3 Stunden) 3.2 Implementierung der gewählten Lösung ( 2,5 Stunden) 3.3 Test und Trouble-Shooting (8 Stunden) 3.4 Auswertung und Vorstellung des 1. Ergebnisses im Betrieb (2 Stunden) 3.5 Definieren eines Sicherheitsstandards (2 Stunden) 3.6 Anpassung des Securityscanners (0,5 Stunden) 3.7 Durchführung des angepassten Securityscans ( keine selbst aufgebrachte Zeit) 4. Abschlussphase (7 Stunden) 4.1 Ausarbeitung der Projektdokumentation (6Stunden) 4.3 Erstellen einer Kundendokumentation (Handbuch) 4.4 Übernahme in den produktiven Einsatz (1Stunde) 4.5 Fazit ? 5. Glossar 6. Anhang Angaben zur geplanten Projektdokumentation Deckplatt Inhaltsverzeichnis Projektbeschreibung Projekphasen Anlagen ´ Geplante Anlagendokumentation zur Projektarbeit: - Visuelle Dokumentation → Aufbau, Integration, Durchführung - Shellbefehle (Screenshots) - Konfigurationsdateien anpassen (Screenshots) -Firewallregelwerk (Screenshots) Bearbeitet 25. August 2010 von armec Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
pruefer_gg Geschrieben 25. August 2010 Teilen Geschrieben 25. August 2010 Sehe ich das richtig. Du installierst Nessus (o.ä.) - und das war's? Das ist ein bisschen sehr dünn! Das machen andere als "Dreingabe", wenn sie eine DMZ und/ oder ein VPN installiert haben! GG Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
armec Geschrieben 25. August 2010 Autor Teilen Geschrieben 25. August 2010 Sehe ich das richtig. Du installierst Nessus (o.ä.) - und das war's? Das ist ein bisschen sehr dünn! Das machen andere als "Dreingabe", wenn sie eine DMZ und/ oder ein VPN installiert haben! GG Hi, es sollte meiner meinung nach schon deutlich sein, dass ich nicht nur die software installiere, sondern anhand des sicherheitsaudits einen serverkonfigurations bzw sicherheitsstandard entwickl und diesen dauerhaft durch den scanner ueberpruefe. Oder hab ich nicht deutlich formuliert. Vielleicht muss ich an gewissen stelle nochmal deutlich machen, das es nicht um den scanner geht sondern den sicherheitsstandard. Dachte der erste satz der projektbezichnung macht das klar. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
pruefer_gg Geschrieben 25. August 2010 Teilen Geschrieben 25. August 2010 einen [...] sicherheitsstandard entwickl und diesen dauerhaft durch den scanner ueberpruefe. Habe ich gelesen: Definieren eines Sicherheitsstandards (2 Stunden) Das ist nicht viel Zeit (weil es auch nicht länger dauert) und ist immer die Grundlage eines Security-Scans. GG Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
armec Geschrieben 25. August 2010 Autor Teilen Geschrieben 25. August 2010 (bearbeitet) Nun gut, vielleicht ist die zeitaufteilung falsch! Ich nehm muss über deine Anmerkung nachdenken Bearbeitet 25. August 2010 von armec Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
armec Geschrieben 26. August 2010 Autor Teilen Geschrieben 26. August 2010 Gibt es sonst noch Meinungen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.