de it fr

661 ICT-Sicherheitsanalysen durchführen

Modul
ICT-Sicherheitsanalysen durchführen
Kompetenz
Führt in regelmässigen Abständen Analysen der durch die ICT Systeme unterstütz-ten Geschäftsprozesse durch, um damit Schwachstellen und Risiken festzustellen. Plant anhand der Ergebnisse wirtschaftlich angemessene risikominimierende Mas-snahmen.
Handlungsziele
1 Nimmt auf, welche ICT Systeme welche Business-Prozesse unterstützen (Aufgaben, Funktionen).
  Handlungsnotwendige Kenntnisse:
1 Kennt die Business Continuity Normen (z.B. BS 25999, ISO 22399).
2 Kennt die Vorgehensweise für die Vorbereitung, Durchführung und Auswertung von strukturierten Interviews.
3 Kennt Darstellungstechniken zur Definition der Unterstützung der Businessprozesse durch die ICT Systeme (z.B. Prozessarchitektur).
 
2 Definiert in Zusammenarbeit mit den Business-Prozessverantwortlichen die Anforderungen hinsichtlich der Verfügbarkeit und der Ausfalldauer der ICT Systeme.
  Handlungsnotwendige Kenntnisse:
1 Kennt Faktoren, welche bei der Bestimmung der Anforderungen an die Ausfalldauer und die Verfügbarkeiten der ICT Systeme zu berücksichtigen sind (z.B. Zeit zur Wiederherstellung, Anforderungen eines Disaster Recoverys).
2 Kennt die Auswirkungen von verschiedenen Ausfallszenarien auf die Einhaltung der Verfügbarkeiten und der maximalen Ausfalldauer.
 
3 Identifiziert Schwachstellen der ICT Systeme in Bezug auf die Sicherstellung der Aufgaben und Funktionen, welche diese ICT Systeme bei der Abwick-lung des Business bzw. der Business-Prozesse übernehmen.
  Handlungsnotwendige Kenntnisse:
1 Kennt Methoden und Instrumente, welche Hersteller und NGOs zur Aufdeckung von Schwachstellen zur Verfügung stellen und kann diese anwenden (z.B. Vulnerabilty-Scanner, Knowledge-Base).
 
4 Erstellt eine Analyse, welche das Risiko- resp. Gefahrenpotential der Schwachstellen auf die Geschäftstätigkeit und die Existenz des Unternehmens definiert.
  Handlungsnotwendige Kenntnisse:
1 Kennt Methoden und Techniken zur Durchführung von Analysen, welche das Risiko und Gefahrenpotential von Schwachstellen der ICT Systeme in Bezug auf die Business Prozesse quantifizieren lassen (z.B. nach ISO 27005).
2 Kennt die Elemente eines Risikokatalogs und kann erläutern, in welcher Abhängigkeit diese zueinander stehen und zu einer abschliessenden Definition eines Risikos beitragen.
 
5 Legt abgestimmt auf die Analyse Massnahmen zur Eliminierung der Schwachstellen der ICT Systeme fest und trägt damit zur Sicherstellung der Geschäftstätigkeit und zur Existenzsicherung des Unternehmens bei.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Kategorien von Massnahmen zur Gewährleistung der definierten Verfügbarkeit und zur Sicherstellung einer minimalen Ausfalldauer (z.B. Infrastruktur, Organisation, Personal, Hard-/Software).
 
6 Definiert abgestimmt auf die Analyse Massnahmen, welche die Weiterführung der Geschäftstätigkeit beim Ausfall von ICT Systemen bzw. ihrer Unterstützung durch die Geschäftsprozesse sicherstellen.
  Handlungsnotwendige Kenntnisse:
1 Kennt Kategorien von organisatorischen Massnahmen zur Sicherstellung unterbrechungsfreier Geschäftsabläufe (z.B. Verantwortlichkeiten).
2 Kennt Kategorien von technischen Massnahmen zur Sicherstellung unterbrechungsfreier Geschäftsabläufe (z.B. ICT Disaster Recovery).
3 Kennt die Rahmenbedingungen und Anforderungen, welche bei der Erstellung eines Notfallplans zu berücksichtigen sind (z.B. Systemabhängigkeiten, Verhältnismässigkeit, Prozessabdeckung).
 
7 Erstellt ein Konzept zur regelmässigen Überprüfung der Wirksamkeit der getroffenen Massnahmen und zur Aktualisierung der Analyse.
  Handlungsnotwendige Kenntnisse:
1 Kennt Möglichkeiten zur Überprüfung der Wirksamkeit von technischen Notfallkonzepten (z.B. Standby-Systeme).
2 Kennt Faktoren, die bei der Auswertung von regelmässigen Notfallübungen zu berücksichtigen sind (z.B. Arbeitsteilung / Prozessschritte).
 
8 Setzt die getroffenen Massnahmen in Zusammenarbeit mit den Business-Prozessverantwortlichen anhand von Normen und Best-Practice Konzepten um.
  Handlungsnotwendige Kenntnisse:
1 Kennt Bestimmungen und Vorgaben, welche bei der Umsetzung von Massnahmen zur Überprüfung von Notfallkonzepten einzuhalten sind (z.B. BSI Grundschutzkataloge, InfoSurance).
 
Kompetenzfeld
Security/Risk Management
Objekt
Etablierte Systeme und Technologien; hoher Anteil an Standardlösungen in techni-schen Umgebungen von mittlerer Komplexität (z.B. hinsichtlich Anzahl eingesetzter Technologien, Verteilung der Systeme).
Niveau
6
Voraussetzung
keine
Anzahl Lektionen
40
Anerkennung
Eidg. Diplom Informatiker/in
Publiziert: 17.01.2020 16:10:54
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück