Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7
Inhaltsverzeichnis Preface Allgemeines & wichtige Informationen... 3 IT-Sicherheit mit System: Kompakt-Audits... 4 Kompakt-Audits Audit Basis-Sicherheit und Firewalls... 5 Audit Datensicherung... 7 Kompakt-Audits 2/7
Allgemeines und wichtige Informationen Was ist ein Security-Scan, was ein Audit und wo liegt der Unterschied? Ein Security-Scan ist ein aktiver Eindringversuch in geschützte Bereiche der IT-Infrastruktur. Er eignet sich besonders dazu, den aktuellen Zustand von Infrastrukturen zu erfassen, wie er sich einem Angreifer bietet. Security-Scans können nur eine Momentaufnahme liefern. Schon wenige Tage nach Abschluß der Arbeiten kann sich die Struktur und die Komponenten eines untersuchten Systems grundlegend geändert haben. Deshalb können und dürfen Security-Scans nicht die einzigen Sicherheitsmaßnahmen in einem Unternehmen darstellen. Von zentraler Bedeutung für die kontinuierliche Aufrechterhaltung der Sicherheit in einem Netzwerk ist ein funktionierendes Security-Management, das integraler Bestandteil eines strukturierten Systemmanagements sein sollte. Ein Security-Audit untersucht IT-Infrastrukturen und deren Management, indem gemeinsam mit den Administratoren ein Fragenkatalog bearbeitet und so die vorhandenen Sicherheitseinrichtungen und Betriebsabläufe von innen heraus untersucht werden. Ein Audit ist die wirksamste Maßnahme, um die nachhaltige Aufrechterhaltung der IT-Sicherheit zu unterstützen. Durch welche Maßnahmen sollten Kompakt-Audits flankiert werden? Audits helfen dabei, die notwendigen organisatorischen Maßnahmen zur Aufrechterhaltung der IT- Sicherheit aufzubauen und zu überprüfen. Die korrekte Umsetzung der Maßnahmen sollte mit Hilfe von Security-Scans in regelmäßigen Abständen überprüft werden (siehe aktuelles Portfolio Security- Scans ). Fragen Haben Sie Fragen zu unseren Security-Scans? Sie erreichen uns via Mail oder Telefon. Wir helfen gerne weiter. Gültigkeit der Produktunterlagen Alle vorherigen Produktunterlagen über unsere Kompakt-Audits verlieren ihre Gültigkeit. Änderungen und Irrtümer vorbehalten. Die genannten Inhalte und Zeitangaben sind als Richtwerte zu verstehen; Abweichungen sind möglich. Kompakt-Audits 3/7
IT-Sicherheit mit System: Kompakt-Audits Welche Vorteile haben unsere Kompakt-Audits? Sie erhalten durch das Kompakt-Audit ein objektives Bild Ihrer IT-Sicherheit. Sie können durch das Audit testen, ob Ihre IT-Infrastruktur wirklich sicher ist und was besonders wichtig ist - ob sie es auch in Zukunft bleiben wird. Sie können Ihre Bemühungen für die Sicherheit Ihrer IT gegenüber Ihrem Vorstand, der Geschäftsführung oder Wirtschaftsprüfern objektiv dokumentieren und erkennen, wo Handlungsbedarf existiert. Was steht im Audit-Report? Am Ende eines Audits erhält der Kunde einen ausführlichen Audit-Report. Der Report enthält in verständlicher Form alle gestellten Fragen die gegebenen Antworten die Bewertung der Antworten pro Abschnitt eine Zwischenbewertung eine Abschlußbewertung mit Handlungsempfehlungen einen Maßnahmenkatalog sowie alle gemachten Notizen Wie werden unsere Kompakt-Audits durchgeführt? Auditierungen sind Vertrauenssache. Wir haben für unsere Kompakt-Audits eine feste Vorgehensweise entwickelt, die maximale Transparenz und Sicherheit für unsere Kunden garantiert:? Vor jedem Audit wird von uns eine Vertraulichkeits- und Datenschutzerklärung abgegeben. Die Erklärung kann auch nach den Vorgaben des Kunden gestaltet worden.? Vor jedem Audit wird der Kunde umfangreich über die Fragen und die notwendigen Vorbereitungen zu deren Benatwortung informiert.? Der Fragenkatalog wird vor Ort beim Kunden abgearbeitet und der Kunde hat die Möglichkeit während des Audits Fragen zu stellen.? Der Report wird direkt nach Abschluß des Audits erarbeitet und dem Kunden innerhalb weniger Tage zur Verfügung gestellt.? Nach Abschluß des gesamten Projektes werden alle vertraulichen Informationen über den Kunden bei uns gelöscht. Der Kunde erhält Nachricht über die Löschung der Daten.? Alle Daten werden auf verschlüsselten Medien gespeichert, um einen optimalen Datenschutz zu gewährleisten. Kompakt-Audits 4/7
Das Audit Basis-Sicherheit und Firewalls Gegenstand des Audits Gegenstand dieses Audits sind die grundlegenden organisatorischen Maßnahmen, die zur Aufrechterhaltung der IT-Sicherheit in jedem Unternehmen benötigt werden. Mit den Fragen wird zusätzlich das organisatorische, technische und physikalische Umfeld einer Firewallinstallation komplett abgedeckt. Das Audit ist kompakt, damit er schnell und gezielt abgearbeitet werden kann (bei guter Vorbereitung 1 bis 2 Manntage Aufwand). Die Fragen sind an der Praxis orientiert "Aus der Praxis für die Praxis!" Bei der Erstellung des Katalogs wurde sich an den Vorgaben zur Auditierung von IT-Infrastrukturen gemäß des internationalen Standards ISO 17799 orientiert. Die Vorgaben von ISO 17799 wurden an die Möglichkeiten kleiner und mittlerer Unternehmen angepaßt und um die Installation und den Betrieb von Firewalls erweitert. Übersicht Kapitel Inhalt Anzahl Fragen 1. Verträge Vorhandensein und Aufbau der Verträge zwischen Dienstleister und Kunde bei der Integration der Firewall bzw. einer Managed Firewall 2. Geschäftsleitung Kenntnis der Gesetzesgrundlagen Datenschutz und KonTraG 3. Benutzer Existenz und Aufbau der User-Policy, Informationsaustausch zwischen Geschäftsleitung, Administration und Usern in puncto IT-Security, Art und Aufbau der Benutzerverwaltung 4. Netzwerk Dokumentation, Strukturierung und Verwaltung des internen Netzes und der DMZ 5. Firewall Features der Firewall, Support seitens des Herstellers, Administration der Firewall 6. Regelwerk Aufbau und Erstellung der Firewallregeln, Firewallregeln im Detail 7. Arbeiten im Internet IT-Infrastruktur für ausgehende und eingehende Mails, für das Surfen im Netz, für FTP-Up- und Downloads sowie für das DNS 8. Server in der DMZ Aufbau und Konfiguration der öffentlich zugänglichen Server in der DMZ 9. Desaster-Management Vorhandensein, Aufbau und Test des Notfallplanes für den Ausfall der Firewall 10. Physikalische Umgebung Physikalischer Grundschutz, Spannungsschutz, Klima 12 6 18 31 13 42 15 23 7 11 Kompakt-Audits 5/7
Aufwand Der Aufwand für ein Audit hängt vor allem von der Vorarbeit des Kunden und der Qualität der vorhandenen Unterlagen bzw. der Dokumentation ab. Wir rechnen mit einem Aufwand von einem bis zwei Manntagen. Kompakt-Audits 6/7
Das Audit Datensicherung Gegenstand des Audits Im Falle eines Falles ist die Datensicherung der letzte Rettungsanker vor dem Chaos. Deshalb müssen Datensicherungsmaßnahmen sorgfältig geplant, umgesetzt und administriert werden, um eine perfekte Datensicherung zu gewährleisten. Das Audit "Datensicherung" basiert auf einem speziell entwickelten Fragenkatalog, der auf die Datensicherungssysteme zugeschnitten ist, die bei kleinen und mittelständischen Unternehmen zu finden sind. Bei der Erstellung des Katalogs sind Vorgaben des IT-Grundschutzhandbuches und aktuelle Urteile zum Thema Datensicherung eingeflossen. Übersicht Kapitel Inhalt Anzahl Fragen 1. Konzeption Erfassung des Datenbestands, dessen Analyse und das daraus resultierende Datensicherungskonzept 2. Implementierung Aufbau und Features des Backupsystems, Dokumentation und Implementierung des Backupsystems 28 31 3. Administration Verwaltung des Backupsystems 18 4. Benutzer Integration der Benutzer in das Backupsystem 5 5. Sicherungsmedien Verwaltung, Aufbewahrungsorte und Eigenschaften der Sicherungsmedien 18 Aufwand Der Aufwand für ein Audit hängt vor allem von der Vorarbeit des Kunden und der Qualität der vorhandenen Unterlagen bzw. der Dokumentation ab. Wir rechnen mit einem Aufwand von einem Manntag. Kompakt-Audits 7/7