Projektantrag: BSI Prüfung einer IT Umgebung

[Bredux]

Morgen FISIs,

wollte euch mal meinen Projektantrag Online stellen, sodass ihr diesen mal bewerten könnt.

1.1 Projekttitel

Prüfung für den sicheren Einsatz der Virtualisierungslösung Hyper-V in der IT-Umgebung der Firma ABC

1.2 Projektbeschreibung

Im Rechenzentrum der Firma ABC werden seit Mitte 2010 Blade Server eingesetzt. Im Rahmen der Migration auf das Serverbetriebssystem Microsoft Windows Server 2008 R2 hat sich die Firma ABC für den Einsatz der Virtualisierungslösung Hyper-V entschieden. Dabei werden die Systeme in der Produktionsumgebung, in einer Testumgebung und in der Internetumgebung eingesetzt. Bei der Planung, Konfiguration und dem Betrieb wurden sichertechnische Aspekte beachtet (gemäß Maßnahme M2.392 Einsatz virtueller IT-Systeme des IT-Grundschutzes). Die Firma ABC ist mit Zertifikat vom 24.06.2010 BSI - zertifiziert (nach ISO 27001). Mittlerweile steht der Entwurf des Bausteines Virtualisierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung. Mein Auftrag ist es, die im Rechenzentrum der Firma ABC eingesetzte Virtualisierung unter Verwendung des Bausteines Virtualisierung und die darin befindlichen Prüffragen, auf sichertechnische Probleme hin zu untersuchen und ggfs. Vorschläge für die Beseitigung von Schwachstellen zu machen.

1.3 Projektumgebung

Hardware:

HP C7000 Enclosure

mit HP Blade BL460cg6

(16GB RAM; 2x XEON Quadcore; 2x 145 GB HDD)

PC-System (Standard)

Software:

Betriebsystem Windows Server 2008 R2 Enterprise

1 Virtuelle Umgebung Windows Server 2008 R2 Enterprise

Windows XP

Nessus 4 zur Schwachstellenanalyse

2.1. Zielsetzung

Das Ziel dieses Projektes ist, eine abgesicherte Virtuelle IT-Umgebung der Firma ABC nach Vorgaben der Maßnahme M2.392 "Einsatz virtueller IT-Systeme" des Bundesamt für Sicherheit in der Informationstechnik.

2.2 Erwartetes Ergebnis

Am Ende des Projektes sollen die Sichertechnischen Maßnahmen des BSI, in der Hyper-V Umgebung der Firma ABC, erfolgreich umgesetzt sein.

Gemäß Maßnahme M2.392 "Einsatz virtueller IT-Systeme" des IT-Grundschutzes und dem Entwurf des Bausteines "Virtualisierung", müssen entsprechende sichertechnische Aspekte erfüllt sein.

3. Dokumentation

1.0 Projektdokumentation

- Ist-Zustand

- Soll-Zustand

- Testphase

- Prüffragen

- Vorschläge

- Kostenbetrachtung

- Glossar

- Quellenangaben

- Fazit

2.0 Anhänge

5. Projektphasen

Phasenbeschreibung Zeitaufwand

Planungsphase 03,00 h

- Analyse der IT-Umgebung 01,00 h

- Analyse der Software "Nessus" 02,00 h

Soll-Analyse 08,00 h

- Analyse des Bausteines zu Maßnahme M2.392 05,00 h

- Entscheidungsfindung zur Vorgehensweise mit Absprache „Leiter IT“ 01,00 h

- Aufstellung Sollkonzept 02,00 h

Testphase 11,00 h

- Abarbeiten des Soll-Konzeptes (Vergleich Soll <--> ist) 08,00 h

- Sammeln von sichertechnischen Problemen 01,00 h

- Sammeln von Vorschlägen zur Beseitigung von sichertechnischen Problemen 02,00 h

Projektabschluss 13,00 h

- Vorstellung der Vorschläge an den „Leiter IT“ 02,00 h

- Informationssammlung für Dokumentation 01,00 h

- Erstellen der Projektdokumentation 08,00 h

- Nachkontrolle Dokumentation 02,00 h

Gesamtzahl 35,00 h

[charmanta]

böse formuliert ... irgendwie machst Du garnix ?

Das Thema an sich ist hochspeziell und dürfte schwierig zu bewerten sein.

Auf jeden Fall "löst" Du kein "komplexes Problem der IT", sondern machst eher eine Bewertung eines Ansatzes ( von wem ? ) auf Basis fremddefinierter Parameter.

Das Thema halte ich für ungeeignet.

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.

Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust