de it fr

680 Sicherheit der ICT-Infrastruktur prüfen

Modul
Sicherheit der ICT-Infrastruktur prüfen
Kompetenz
Überprüft auf der Basis eines vorgegebenen Auftrags die Sicherheit von Systemen, Netzwerken und Applikationen einer Organisation mit geeigneten Methoden und Werkzeugen, bereitet die Testergebnisse aussagekräftig auf und empfiehlt Massnahmen für die Behandlung von erkannten Schwachstellen.
Handlungsziele
1 Klärt und definiert mit dem Auftraggeber die Zielsetzung, den Umfang und die Rahmenbedingungen für eine Sicherheitsüberprüfung der ICT-Infrastruktur oder Teilen davon.
  Handlungsnotwendige Kenntnisse:
1 Kennt relevante Standards für Sicherheitsüberprüfungen (z. B. OSSTMM, BSI Leitfaden für Penetrationstests, PTES, OWASP Testmethodik für Webapplikationen, NIST Technical Guide to Information Security Testing and Assessment, CIS Controls, ISO/IEC 2700x).
2 Kennt die ICT-Infrastruktur und Systemlandschaft des Auftraggebers und kann Möglichkeiten zur Abgrenzung des Umfangs bei Sicherheitsüberprüfungen erläutern (z. B. umfassend, begrenzt, fokussiert).
3 Kennt relevante organisatorische und technische Rahmenbedingungen für Sicherheitsüberprüfungen (z. B. Identifikation aller betroffenen Systeme und Mitarbeitenden, Durchführungszeitraum, haftungsrechtliche Risiken bei Ausfällen und Schäden, Zugang zu Netzen und Infrastruktur).
4 Kennt relevante ethische Aspekte bei Sicherheitsüberprüfungen (z. B. Einsatz von Social-Engineering-Techniken, Ausnutzung erkannter Schwachstellen).
 
2 Wählt unter Berücksichtigung der Zielsetzung und des Kosten-Nutzen Verhältnisses geeignete Methoden für die Sicherheitstests aus.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Möglichkeiten und Grenzen von Schwachstellenscans (Vulnerability Scan) und Exploiting.
2 Kennt die Möglichkeiten und Grenzen von Penetrationtests und kann deren Merkmale bezüglich Perspektive (Black-Box, White-Box, Grey-Box), Zielsystem, Vorgehensweise (offen, verdeckt) Ausgangspunkt (von innen, von aussen) und Aggressivität erläutern.
3 Kennt die Möglichkeiten und Grenzen von technischen Audits und Reviews (z. B. Sicherheitsaudit, Prozessaudit, Complianceaudit) und kann den Auditgegenstand als Unterscheidungsmerkmal erläutern.
4 Kennt die Möglichkeiten und Grenzen von Social Engineering Techniken.
5 Kennt das Modell und die Zielsetzung von Red und Blue Teaming im Kontext von Sicherheitstests.
 
3 Überprüft die rechtliche und vertragliche Konformität der geplanten Sicherheitstests und leitet bei Bedarf Korrekturmassnahmen ein.
  Handlungsnotwendige Kenntnisse:
1 Kennt die relevanten strafrechtlichen Aspekte im Kontext von Sicherheitstests (z. B. Unbefugte Datenbeschaffung, Unbefugtes Eindringen in ein Datenverarbeitungssystem, Datenbeschädigung, Betrügerischer Missbrauch einer Datenverarbeitungsanlage) und die Wichtigkeit der vertraglichen Einwilligung durch den Auftraggeber.
2 Kennt die gesetzlichen Vorgaben des Datenschutzes und Lizenzrechts im Kontext von Sicherheitstests (z. B. Umgang mit personenbezogenen Daten, unerlaubte Änderungen von Programmcode) und kann Möglichkeiten zur Gewährleistung der Vorgaben erläutern.
3 Kennt die relevanten zivilrechtlichen Risiken im Kontext von Sicherheitstests (z. B. Ausfälle und Beschädigung von Systemen, Datenverlust oder -beschädigung) und kann Möglichkeiten zur Vermeidung von Schäden, Folgekosten und Schadenersatzansprüchen erläutern.
4 Kennt die wesentlichen Inhalte eines Dienstleistungsvertrags für Sicherheitstests (z. B. Ziel, Art und Technik der Tests, Geheimhaltung, Sorgfaltspflicht, Datenschutz, Schadenersatzanspruch und Haftungsausschluss, Benachrichtigung von Betroffenen) und kann deren Zweck erläutern.
 
4 Wählt unter Berücksichtigung der Zielsetzungen und der Testmethodik geeignete Techniken und Werkzeuge für die Sicherheitstests und -audits aus.
  Handlungsnotwendige Kenntnisse:
1 Kennt Techniken zur manuellen Überprüfung der Sicherheit (z. B. Dokumentenstudium, Befragungen und Interviews, Open Source Intelligence OSINT, manuelles Hacking und manuelle Überprüfung von Exploits, physische Überprüfung von Zugangskontrollen).
2 Kennt geeignete Werkzeuge zur computergestützten Überprüfung der Sicherheit und kann deren Einsatzzweck erläutern (z. B. Stresstests, Schwachstellen Scanning, Exploitation, Entschlüsselung, Sniffing, Spoofing, Reverse Engineering).
 
5 Führt die Sicherheitstests durch und protokolliert das Vorgehen und die Testergebnisse fortlaufend und lückenlos.
  Handlungsnotwendige Kenntnisse:
1 Kennt die wesentlichen Inhalte eines nachvollziehbaren Testprotokolls bei (z. B. Identifikation, Zeitstempel und Timeline, Aktivität, Motivation, Werkzeuge und Parameter, Resultate, Belege).
2 Kennt Möglichkeiten für die Speicherung von Belegen aus Sicherheitstests (z. B. Mitschnitt des Netzwerkverkehrs, Screenshots, Fotos, Log- und Protokolldateien von Werkzeugen).
 
6 Analysiert und bewertet die Testergebnisse und verfasst einen Prüfbericht mit Massnahmen zur Behandlung der Schwachstellen.
  Handlungsnotwendige Kenntnisse:
1 Kennt unterschiedliche Ursachen für Schwachstellen (z. B. fehlende oder nicht umgesetzte Sicherheitsrichtlinien, Mängel in der Sicherheitsarchitektur oder Konfiguration, Mängel im Incident oder Patchmanagement).
2 Kennt gängige Modelle zur Bewertung der Kritikalität von Schwachstellen (z. B. Common Vulnerability Scoring System CVSS, OWASP Risk Rating Methodology, Klassifizierungsschema für Schwachstellen nach BSI).
3 Kennt die wesentlichen Inhalte eines strukturierten Massnahmenkatalogs (z. B. Massnahme, Bewertung, Priorität, Zuständigkeiten, Ressourcen- und Kostenschätzung, Überprüfung).
4 Kennt die wesentlichen Inhalte eines Prüfberichts (z. B. Summary, Kontext, Untersuchungsgegenstand, Methoden, Ergebnisse, Erkenntnisse, Massnahmenkatalog, Empfehlung mit Begründung).
 
Kompetenzfeld
Security/Risk Management
Objekt
Auftrag für die Überprüfung der Sicherheit der ICT-Infrastruktur einer Organisation mit Systemen, Netzwerken und Applikationen.
Niveau
5
Voraussetzung
LAN ausmessen und prüfen (130)
Anzahl Lektionen
40
Anerkennung
Eidg. Fachausweis
Publiziert: 17.01.2020 16:09:55
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück