pantrag_fisi Projektantrag: Konzeptionierung einer Lösung zur Erhöhung der IT-Sicherheit

[achimvomdach]

Hallo zusammen,

 

habe ein Projekt zur Anwendungsteuerung und würde das gerne so bei der IHK als Fisi-Abschlussprojekt nehmen wollen.

 

hoffentlich reicht es an Komplexität.

 

hoffe auf Unterstützung

BSI SYS.2.1.A33

Es SOLLTE über Application Whitelisting sichergestellt werden, dass nur erlaubte Programme und Skripte ausgeführt werden können. Die Regeln SOLLTEN so eng wie möglich gefasst werden. Falls Pfade und Hashes nicht explizit angegeben werden können, SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden.

 

 

 

Konzeptionierung einer Lösung zur Erhöhung der IT-Sicherheit des im Land ******* eingesetzten Windows 10 Clients (*****-Client)

 

 

3 Projektbeschreibung

Der ******* IT-Dienstleister (*****) ist der zentrale IT-Dienstleister für die unmittelbare ******verwaltung ******* und steht für effizienten und professionellen IT-Service aus einer Hand.

Zur weiteren Erhöhung der IT-Sicherheit sowie zur Umsetzung der BSI-Anforderungen SYS.2.1.A33 ist es notwendig eine Lösung zu evaluieren, mit welcher der Einsatz von Anwendungen auf dem *******-Client kontrolliert, gesteuert und begrenzt werden kann.

Anwendungen werden derzeit nicht zentral gesteuert und begrenzt. Lediglich eine Einschränkung durch die restriktive Vergabe von administrationsrechten findet statt. Alle nutzerkontextbezogenen Anwendungen können somit installiert werden.

 

 

4 Projektumfeld

IST-Zustand:

-          momentan 6500 Clients im Betrieb, welche die o.g. BSI Maßnahmen

noch nicht umgesetzt haben

-          Betrieb einer zentralen Windows Server Infrastruktur für die Clients

-          Domänenlevel Windows Server 2016

-          Windows 10 Enterprise Client Verträge Enterprise E3

 

 

SOLL-Zustand:

-          Umsetzung BSI Maßnahmen

-          Entwicklung / Aufbau Testumgebung

zur Evaluation der erforderlichen Einstellungen / Rollen / Rechte

 

 

o   Inklusive Abbildung einer typischen Behördenstruktur

o   Einrichtung der erforderlichen Organisationseinheiten und Clients

o   Konfiguration Domaincontroller

 

 

-          Erstellung „Konzept“ zum Gesamtrollout der prototypischen Testumgebung

 

 

 

 

Gliederung:

 

 

Theorie:

o   Analyse der notwendigen Funktionen / Features / Komponenten

o   Dokumentation der Umsetzung (Konzept)

o   Abnahme durch Kunden

-          Praxis:

o   Testumgebung aufsetzen / konfigurieren

o   „Strukturen schaffen“ (Testbehördenstruktur)

o   Einstellungen umsetzen / dokumentieren / testen

 

 

5 Projektphasen mit Zeitplanung

 

 

 

Planungsphase	4 Stunden
Projektbesprechung	1 h
Anforderungsanalyse	1 h
Ist-Analyse	2 h
Konzeptionsphase	8 Stunden
Anforderungskatalog erstellen, Kriterien festlegen	2,5 h
Recherche nach geeigneten Lösungen	2 h
Produktvergleich	2 h
Betrachtung der Wirtschaftlichkeit und Auswahl der wirtschaftlichsten Lösung	1,5 h
Realisierungsphase	13 Stunden
Aufsetzen/ Konfigurieren der Testumgebung	3 h
Installation und Einstellung der Test-OU Behördenstruktur	1 h
Installation/ Konfiguration des Systems	7 h
Testbetrieb, Fehlerbeseitigung	2 h
Abschlussphase	10 Stunden
Soll-Ist-Abgleich	1 h
Abnahme durch Kunden	1 h
Erstellen der Projektdokumentation	8 h
Gesamt	35 Stunden

 

 

 

 

 

Vielen Dank schon mal

[charmanta]

A32 regelt nur den Schutz vor Exploits. Damit suchst Du nur ne Software, keine Lösung ...

Du schreibst sehr viele Worte ... aber man mus recherchieren was Du überhaupt willst

Für die Mitleser:

SYS.2.1.A32 Einsatz zusätzlicher Maßnahmen zum Schutz vor Exploits (H)

Auf den Clients SOLLTEN zusätzliche Maßnahmen zum expliziten Schutz vor Exploits (Angriffe, um Systemlücken auszunutzen) getroffen werden. Wenn notwendige Schutzmaßnahmen nicht mit Bordmitteln umgesetzt werden können, SOLLTEN zusätzliche geeignete Sicherheitsprodukte eingesetzt werden. Sollte es nicht möglich sein, entsprechende Maßnahmen mit Bordmitteln oder einem geeigneten Sicherheitsprodukt umzusetzen, SOLLTEN andere geeignete (in der Regel organisatorische) Sicherheitsmaßnahmen ergriffen werden.

[achimvomdach]

vor 4 Minuten schrieb charmanta:

A32 regelt nur den Schutz vor Exploits. Damit suchst Du nur ne Software, keine Lösung ...

Du schreibst sehr viele Worte ... aber man mus recherchieren was Du überhaupt willst

Für die Mitleser:

SYS.2.1.A32 Einsatz zusätzlicher Maßnahmen zum Schutz vor Exploits (H)

Auf den Clients SOLLTEN zusätzliche Maßnahmen zum expliziten Schutz vor Exploits (Angriffe, um Systemlücken auszunutzen) getroffen werden. Wenn notwendige Schutzmaßnahmen nicht mit Bordmitteln umgesetzt werden können, SOLLTEN zusätzliche geeignete Sicherheitsprodukte eingesetzt werden. Sollte es nicht möglich sein, entsprechende Maßnahmen mit Bordmitteln oder einem geeigneten Sicherheitsprodukt umzusetzen, SOLLTEN andere geeignete (in der Regel organisatorische) Sicherheitsmaßnahmen ergriffen werden.

Scheibenkleister war die SYS.2.1.A33

 

Sorry

 

 

[charmanta]

SYS.2.1.A33 Application Whitelisting (H)

Es SOLLTE über Application Whitelisting sichergestellt werden, dass nur erlaubte Programme und Skripte ausgeführt werden können. Die Regeln SOLLTEN so eng wie möglich gefasst werden. Falls Pfade und Hashes nicht explizit angegeben werden können, SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden.

 

Ist das nun besser ? Finde ich nicht

[Ma Lte]

1. Sehr schwammig, geh davon aus, dass diese Formulierungen spätestens im Fachgespräch gnadenlos zerpflückt werden

2. Wenn Du das Projekt tatsächlich schwerpunktmäßig auf IT-Security aufbauen willst, sei dir absolut sicher, was du tust und was du schreibst. Das ist zwar bei Abschlussprojekten grundsätzlich ein guter Rat, aber hier noch mehr. Wenn du dir da nicht sicher bist, wähle lieber ein anderes Thema, es ist einfach verdammt komplex und weit.

Viel Erfolg.

Bearbeitet 5. Februar 2020 von Ma Lte

[cortez]

vor 8 Stunden schrieb charmanta:

Du schreibst sehr viele Worte ... aber man muss recherchieren was Du überhaupt willst

Das finde ich beschreibt es sehr gut. 

Ich würde dir ein anderes Thema empfehlen, da es hier sehr sehr viele Fallstricke gibt.