TK Informatik eidg. 2015

Realisierung

Kontrolle

Stufe 0 Situationsanalyse

Stufe 1 Ermittlung der Schutzbedürftigkeit

Stufe 2 Bedrohungsanalyse

Stufe 3 Risikoanalyse

Stufe 4 Erstellung des Sicherheitskonzepts ( Massnahmenplan )

Stufe 5 Realisierung

Stufe 6 Kontorolle

• Gesundheitsdaten
• Rassenzugehörigkeit
• Religion
• Politische oder Gewerkschaftliche Ansichten oder Tätigkeiten
• Massnahmen der sozialen Hilfe
• administrative oder strafechtliche Verfolgungen und Sanktionen
• Grundsätzlich können, je nach Kontext, alle Daten besonders Schützenswert sein

WIE das System die Anforderungen erfüllen muss. 

• Usability
• gerüstet für die nächsten 10 Jahren 
• keine neue Hardware notwendig
• Sicherheit ist gewährleistet, kein Eingriff in das System von unerlaubten Stellen
• Updates am laufenden System

WAS für Anforderungen an das System gestellt werden.

• vorhandene Datenbanken müssen integriert werden können
• vorhandene Schnittstellen müssen weiter genutzt werden ( zwischen Abteilungen/Filialen und Drittsoftware )
• Sozialleistungen werden durch die Software selbst errechnet
• ersichtlich welches Material/Werkzeug jeder Mitarbeiter hat ( Inventar ) 
• Skill jedes Mitarbeiters sichtbar
• Export in Excel möglich

Request for Information

Informationen von Anbieten abholen infolge Wissensmangel

Request for Proposal

Nachfrage nach eine Offerte, als folge eines Pflichtenhefts

1. Software programmieren aufgrund des Pflichtenheftes
2. Beschaffung der Systemkomponenten
3. Installation des Systems
4. Anpassung der Prozesse
5. Customizing ( Kundenwünsche erfüllen )
6. Migration / Integration 
7. Tests
8. Ausbildungs und Betriebskonzept
9. Wartungskonzept
10. Supportorganisation aufbauen
11. Notfallszenarien konzipieren

Als Resultat erhalten Sie ein lauffähiges System

1. Durchführung der Schulung
2. Neues System einführen
3. Notfallszenarien erproben

Als Resultat erhalten Sie das installierte und betriebsbereite System

• Wie wird gearbeitet? - Arbeitszeiten
• Risikoabschätzung; was passiert wenn das System abstürzt
• Evt. unterbruchlosen Betrieb für verbleibende MA durchführen
• Sicherstelleung zentraler Systeme
• Ermittlund der Datenmenge ( Dauer Stunden o. Tage ? )

• Kompatibilitätsprobleme
• Zugriffsverweigerung
• Datenverluste vom Tagesgeschäft
• Hardware funktioniert nicht mehr
• Peripheriegeräte funktionieren nicht mehr
• Files können nicht mehr betrachtet oder geladen werden

Ein System wird fix auf Tag X resp Zeit X migriert. 

VT: 

• Nur ein System vorhanden / in Betrieb
• Das System muss nicht updatet werden

NT: 

• Bei Problemen kann nicht mehr gearbeitet werden, das alte System ist nicht mehr vorhanden

Sanfte Migration beschreibt den Vorgang parallel auszuführen, man hat also noch Zugriff auf das vorhandene System. 

VT: 

• 2 Systeme in Betrieb, ist relativ sicher für den Betrieb

NT: 

• Tagesfortschritte müssen vom alten System ins neue System transferiert werden

Kundenanforderungen an einen Dienstleister werden in sogenannten SLA ( Service- Level- Agreement ) festgehalten. 

• Servicebeschreibung; Arbeitsschritte, Verantwortlichkeiten, Schnittstellen
• Serviceparameter; Reaktionszeiten, geographische Rahmen
• Servicegrenzen; Volumenbegrenzung ( Tickets )
• Preisgestaltung; Fixpreise, Schätzwerte, Regie
• Mitwirkungspflichten; Welche Leistungen muss der Kunde erbringen 
• Gültigkeitszeitraum
• Gerichtsstand

Ein Scheinbar nützliches Programm hat ein anderes sozusagen im Bauch. 

Passwörter und andere heikle Daten werden ausgespäht, verändert, gelöscht oder versendet.

Stehlen Netzwerk und Rechenleistung. 

Ausnützung von Sicherheitslücken, selbstständige Verbreitung in Netzwerken

Selbsständige verbreitung, richten überall Schäden an duplizieren sich

Geschädigt werden: Dateine, Programme, OS

1. Abhängigkeit von einem IT-Dienstleister
2. Risiken während des Geschäftskontaktes mit dem Dienstleister durch Konkurs/Übernahme
3. Know-How Verlust innerhalb der Unternehmung
4. Komplexe rechtliche Aspekte ( Service Level Agreements )

Verantworlichkeit
Aufbewahrungsort
Welche Daten werden wann gesicher
SLA
Aufbewahungszeit
Speichermedium

Alle Daten werden Komplett übernommen
(Um verlorene Daten wieder herzustellen, wird ein Vollbackumedium benötigt)

Volldatensicherungen werden Wöchentlich gemacht
 

Es werden nur die NEUEN Daten gespeichert.

Nein, ist zu klein

Datensicherung

Er stellt den Server für die Webseite zur Verfügung.

Vorstudie

Grob-Konzept

Feinkonzept

Design

Entwicklung

Einführung

Funktionalität

Schnittstellen

Angaben zum Anbieter

Dokumentation

Datenkorrektheit, sind die Daten korrekt?

Unversehrtheit

M: zielen auf Verfügbarkteit ab

Nur berechtigte haben Zugriff, die weitergabe an unberechtigte Nutzer muss verhindert werden. 

M: Firewall, Virenschutz, Verschlüsselung der Datenübertragung, regelmässig über Gefahren informieren, Rollen & Rechte

Daten/Systeme müssen den berichtigten Nutzern stets zur Verfügung stehen

M: Alarmanlagen, regelmässige & automatisierte Datensicherung, USV ( Unterbruchlose Stromversorgung )

Verbindlichkeit (Identität)

Stammen die empfangenen Daten auch wirklich vom Absender als der er sich ausgibt?

- Höhere Gewalt

- Technisches Versagen

- Vorsätzliche Handlungen

- Menschliches Fehlverhalten

- Organisatorische Mängel

Information and Communication technology

Alarmanlage
Virenschutz installieren
Verschlüsselungssoftware
Regelmässige Datensicherung