Open main menu

Comidio β

Changes

Störfallrecht in der Praxis

1,626 bytes added, 1 year ago
25.10.2021 um 15.00 Uhr: Update Informations-Sicherheit
=25./26.10.2022 in Mainz=
==25.10.2021 2022 um 15.00 Uhr: '''Update Informations-Sicherheit'''==
*Herausforderungen der KAS-51 "Maßnahmen gegen Eingriffe Unbefugter"
*Empfehlungen zur Durchführung von Penetrationstests
[[File:20211026 REINER mR.png|700px]]<br />*2-Faktor Authentifizierung<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]<br /><br /> [[File:20211026 Zero Trust mR.png|700px]]<br />*Zero Trust <br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]<br /><br /> ===Checklisten und Nutzwertanalyse===    '''Checkliste zu Ausfällen'''{|class="wikitable"|+!Nr!Ausfall!Fragen|-|1|Gesamt-Strom-Ausfall(bei Einspeisung)|Vitale Stromkreise definiert?<br />Altenative Einspeisung?<br />Generator?<br />Überbrückungsdauer?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|2|Teil-Strom-Ausfall|Redundanz auf Gelände? z.B. Offener Ring?<br />Altenative Einspeisung?<br />Generator?<br />Überbrückungsdauer?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|3|Gesamt-Internet-Ausfall(bei Einspeisung)|Vitale LAN-Strecken definiert?<br />Altenative LAN-Struktur?<br />Dauer bis Reaktivierung?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|4|Teil-Internet-Ausfall|LAN-Redundanz auf Gelände?Altenative LAN-Struktur?<br />Dauer bis Reaktivierung?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|-|5|Telefon-Ausfall|Festnetz-/ Mobiltelefon-Redundanz;Wer besitzt Firmen-Mobiltelefon?<br />? Mobiltelefon-Gruppengespräche möglich? Falls ja, welche Gruppengröße?|-|6|Teil-Steuerungs-Infrastruktur-Ausfall|Steuerungs-Infrastruktur-Redundanz auf Gelände?Altenative LAN-Struktur?<br />'''(teil-)offene Zuführung außerhalb Gelände?'''|}
#Verschlüsselung sollte der Normalfall werden!
#Nutzen Sie die Angebote des BSI!
 
|3
|Backups
|Prüfen und validieren Sie die Backup-Prozesse(Offline-, OffSite-Kufri und Lafri-Backups).
Backups werden regelmäßig erstellt und an Alternativ-Standorten gelagert.
Regelmäßig werden die Restore-Prozesse getestet.
|-
|13
|Melde-Kommunikation
|„was tun, wenn …“ Anweisungen bei Anomalien und/oder Ausfällen definieren;
Kommunikation über z.B.:
* Anweisungs-Aushänge in jedem Raum (z.B. A4);
* Anweisungs-Einstecker für Mitarbeiter (z.B. A8)
|-
|14
|Melde-Wege
|Meldegründe, Schwellwerte, Rollen
|-
|15
|Multiple Sourcing
|Redundanz durch Diversity, Einsatz mehrerer, paralleler, unabhängiger Softwaresysteme zur Lösung der selben Funktionalität und Prüfung bzw. Übernahme validierter Ergebnisse.
|-
|1416
|Netzwerk
|Vermeiden/beschränken Sie drahtlose Verbindungen.
|-
|1517
|Notfallplan
|Erstellen/Updaten und veröffentlichen Sie den abgestuften Notfallplan, auch durch Aushang in allen Räumen. Ggf. Ansprechpartner mit Mobilfunknummern.
|-
|1618
|Notfalltraining
|Simulieren Sie verschiedene Not-Situationen und trainieren Sie die entsprechenden Notfall-Konzepte.
|-
|1719
|Not-Telephon
|Installieren Sie eine Unabhängige, offline Analog-Nebenstellenanlage mit separaten ggf. speisefreien Endgeräten zwischen den Hauptgebäuden.
|-
|1820|Open Source|Kann proprietäre Software durch Open Source- oder quell-offene Software ersetzt werden?.|-|21
|Pattern-Recognition,
Anomalien
|Definition von üblichen Muster-Prozess-Abläufen; laufender Vergleich mit IST-Prozess-Abläufen; Erkennung von "Auffälligkeiten".
|-
|1922
|Penetration
|Penetration-Test Teams von unabhängigen, konkurrierenden Anbietern (und Mitarbeitern) sollen parallel und quasi-regelmäßig Einbruchsversuche vornehmen und dokumentieren.
|-
|2023
|PreOp-Testing
|Ziel für später: "No surprises!"
|-
|2124
|Rechte-Konzept
|Führen Sie ein zentrales Authentisierungs- und Rechte-Konzept ein.
|-
|2225
|Remote Support Zugriffe
|Prüfen und Dokumentieren Sie alle Remote Support Zugriffe.
|-
|2326
|Risiko-Analyse
|Führen Sie regelmäßig TOM-Risiko-Analysen durch (Technik, Organisation, Menschen).
Priorisieren Sie Daten, Anwendungen und Prozesse entsprechend der Risiko-Analyse.
Analysieren Sie Ihre IT-Ressourcen bezüglich Verfügbarkeit, Zuverlässigkeit, Loyalität und Qualifikation (6 |-|27|Sechs-Augen -Prinzip).|Speziell IT-Administrations-Funktionen sollten nur im Vier- oder besser: im Sechs-Augen-Prinzip erfolgen und vollständig dokumentiert we
|-
|2428
|Separierung
|Alle Endgeräte sowie Netz- und Speichergeräte werden bewertet und in entsprechenden, separaten Netzwerkbereichen betrieben.
Operations-Support-System (OSS) und Betriebs-Support-System (BSS) und Administration-Support-System (ASS) sind kontrollierbar zu vernetzen.
|-
|2529
|Supply-Chain Problematik
|IT-Dienstleister auf "IT-Security" prüfen; Abhängigkeiten minimieren, Risiken evaluieren, Notfallpläne mit Dienstleistern abstimmen.
|-
|2630
|Training
|Üben Sie regelmäßig Notfälle und Notfallpläne mit "relevanten" Mitarbeitern.
|-
|2731
|Updates
|Funktions- und insbesondere Security-Updates sind notwendig. Prüfen und validieren Sie die Update-Prozesse.
Hierbei besteht die Möglichkeit, verschlüsselte Informationen zu Externen zu übertragen (-> Hash).
|-
|2832
|Vertretungsregelung
|Prüfen und Updaten des Vertretungskonzepts.
|-
|2933
|Zugriffsregelung
|Berechtigungen sollen nur auf einer Need-to-know Basis erfolgen.
|-
|30
|
|
|}
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Störfallrecht Ressourcen-Wikis)]]
<br /><br />
 
 
 
[[File:20211026 Nutzwertanalyse mR.png|700px]]<br />
*Nutzwertanalyse
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
 
[[File:20211026 REINER mR.png|700px]]<br />
*2-Faktor Authentifizierung
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
 
[[File:20211026 Zero Trust mR.png|700px]]<br />
*Zero Trust
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Ressourcen-Wikis)]]
<br /><br />
Retrieved from "https://wiki.trutzbox.de/view/Special:MobileDiff/5495...5506"