Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Weitere Magazine

Empfehlungen

Info

26 Web-Site www.cert.org betreibt, passend für die unterschiedlichsten Unternehmensgrößen, als lizenzfreie Risikoanalyse Methode entwickelt. OCTAVE ist eine selbstgesteuerte Methode. Das bedeutet, dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicherheitsstrategie übernehmen. Risiken von hoch kritisch erkannten Assets, werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzuführen. Im Gegensatz zu typischen technologielastigen Bewertungsmethoden, die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrachtung stellen, ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz ausgerichtet. Sie ist eine äußerst flexible Methode, die für fast alle Organisationen speziell angepasst werden kann. Aus der Sichtweise des Autors ist einer der bemerkenswertesten Vorteile jedoch, dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kontinuierlich durchgeführt werden kann und somit nachhaltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist. Ein ausgewähltes kleines Team aus allen operationellen Bereichen der Organisation inklusive der IT Abteilung arbeiten zusammen um die Sicherheitsbedürfnisse der Organisation zu identifizieren und versuchen die Gebiete: Operationelles Risiko, eingesetzte Sicher- Abbildung 3. Octave Phasen ABWEHR heitspraxis und Technologie ins Gleichgewicht zu setzten. Getrieben von zwei Grundaspekten – operationelles Risiko und aktuell eingesetzte Sicherheitspraktiken, wird die dahinter liegende Technologie in Zusammenhang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit geprüft (vergl. Abb 2.) OCTAVE ist ein wertegetriebener Bewertungsansatz. Das Analysis Team �� die Organisation wichtig sind. �� diejenigen Werte, die als besonders kritisch beurteilt werden Berücksichtigt die Zusammenhänge zwischen den kritischen Assets, den Bedrohungen und den Verwundbarkeiten �� menhang �� (organisatorisch und auch einen Plan zur Reduzierung der Risiken auf kritische Infrastrukturen) Daraus resultiert ein dreiphasiges Vorgehensmodell für die Erhebung des gesamtorganisatorischen Schutzbedürfnisses. (vergl. Abb. 3) �� Aufbau von Asset-basierenden Bedro- ��– Das Analyse Team stellt informati- 10/2010
onsbezogene Assets und deren Impact auf die Organisation sowie deren derzeitige Schutzmechanismen fest. Darauf aufbauend werden die kritischsten �� dafür bestimmt. Anschließend wird für jedes kri- �� Erkennen von Verwundbarkeiten der Infrastruktur – Hier wird die, hinter den kritischen Assets liegende, Infrastruktur bewertet. Dabei werden kritische Infrastrukturpfade und informationstechnologische Komponentenklassen aufgestellt und einer technischen Überprüfung – dem Penetration Test – �� tung direkt ein. �� – In dieser Phase entscheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll. Basierend auf die �� organisationsweite Schutzstrategie und ein Plan für die Reduzierung der erkannten Risiken, die auf die kritischen Assets und deren Infrastrukturen einwirken können erstellt. Die einzelnen Prozesse, die den drei Phasen hinterlegt sind, stellen sicher, dass von allen Organisati- Abbildung 4. Octave und Risikomanagement OCTAVE onseinheiten und von allen hierarchischen Ebenen – also von den MitarbeiterInnen über operationales und strategisches Management bis hin zum Management der ersten Ebene, alle Sichtweisen und die damit verbundenen Bewertungen der kritisch- �� können. OCTAVE generiert so eine organisationsweite Sicht auf die aktuellen Informationssicherheitsrisiken. �� zen: �� wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann. �� Handlungs-Planes. Überwachen/Beobachten des Handlungsplanes nach Effektivität. Das beinhaltet z.B. das Beobachten der Risiken für jede Änderung. �� ken. Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehört in ein strukturiertes Risikomanage- hakin9.org/de 27
Seite 3 und 4: LIEBE HAKIN9 LESER, Das Hauptthema
Seite 5 und 6: 30 IT-Risikomanagement - Wozu brauc
Seite 7 und 8: Passwörter zu merken. Oftmals werd
Seite 9 und 10: Nun müssen wir noch unser Payload
Seite 11 und 12: Malware-Doppelschlag per JavaScript
Seite 13 und 14: Malware-Doppelschlag per JavaScript
Seite 15: Malware-Doppelschlag per JavaScript
Seite 18 und 19: 18 be dabei nicht an der Schlossfal
Seite 20 und 21: 20 Abbildung 5. Ein EVVA-MCS Schlü
Seite 22 und 23: 22 ter zu finden. Der Anfang der Ü
Seite 24 und 25: 12-11-2010 Die IT-Security Communit
Seite 28 und 29: 28 Abbildung 5. Mapping auf ISO 270
Seite 30 und 31: 30 ABWEHR IT-Risikomanagement - Woz
Seite 32 und 33: 32 ��
Seite 34 und 35: 34 Bewährt haben sich hier etwa dr
Seite 36 und 37: ��
Seite 38 und 39: 38 Für diese Attacke werden wir da
Seite 41 und 42: Interview mit Tobias Glemser „Sic
Seite 44 und 45: 44 INTERVIEW „Erfolgreiche Frauen
Seite 46 und 47: 46 SAP for DFPS Implementierung und
Seite 48 und 49: SEC Consult Recommended Companies M

Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?