SaschaVolk 1 Report post Posted March 7 Hallo Wir müßen einen PC bei einer großen Firma hinstellen , der als Config PC benutzt wird für eine Medienwand. Die Firma möchte jetzt ein Sicherheitskonzept haben für dieses Laptop. Ich habe mal bei BSI geschaut. Die Konzepte sind dann doch etwas zu mächtig was die anbieten. Hat sowas schon mal jemand gemacht und hätte da vielleicht eine Vorlage ?? Quote Share this post Link to post Share on other sites
Dr.Melzer 161 Report post Posted March 7 vor 4 Stunden schrieb SaschaVolk: Wir müßen einen PC bei einer großen Firma hinstellen , der als Config PC benutzt wird für eine Medienwand. Die Firma möchte jetzt ein Sicherheitskonzept haben für dieses Laptop. Ich habe mal bei BSI geschaut. Die Konzepte sind dann doch etwas zu mächtig was die anbieten. Hat sowas schon mal jemand gemacht und hätte da vielleicht eine Vorlage ?? Wer ist wir und was hast du/habt Ihr euch schon dazu überlegt? Quote Share this post Link to post Share on other sites
magheinz 79 Report post Posted March 8 Da sollte die Firma aber ein paar Vorgaben machen. Die müssen doch erst mal das geforderte Sicherheitsniveau vorgeben. Das geht dann bei der Hardware los: redundantes Netzteil, RAID, abschließbares Gehäuse, USV, etc und hört bei so sachen wie Passwörtern etc auf. Zwischendrinn ist dann sowas wie unnötige Dienste beenden, Verschlüsselung etc. Quote Share this post Link to post Share on other sites
Nobbyaushb 450 Report post Posted March 8 Ich habe was von Notebook gelesen - wie ist es mit dem Diebstahschutz? Soll der nur was anzeigen, bekommt das Teil Internetzugang, kann der ins interne LAN? Usw.... Und ich bin bei meinem Vorredner - das muss der Kunde liefern. Quote Share this post Link to post Share on other sites
lefg 230 Report post Posted March 8 (edited) Moin Ob der Auftragggeber sich Gedanken über ein Sicherheitskonzept machen möchte und könnte? Defür hat er doch den Auftragnehmer. Natürluich reine Annahme: - als Diebstahlschutz,ein Stahlkabel mit Schloss, Kensington-Schloss oä - zum Virenschutz den Defender oder was schöneres zum Verkauf :) einen Schutz gegen verseuchte Sticks und Cards. - Zugriffsschutz Benutzerrname und Passwort Ein Stahlkabel mit Schloss schützt aber nicht die Festplatte vor dem Ausbau, dem einfachen Entnehmen. Für W7 gab es beim BSI eine Liste der deaktivierbaren Dienste. Ich hatte den Serverdienst deaktiviet. Ob das Laptop über einen Bewegungssensor verfügt. Edited March 8 by lefg Quote Share this post Link to post Share on other sites
SaschaVolk 1 Report post Posted March 8 (edited) Angaben haben die keine gemacht. Es soll ersichtlich sein das eine Firewall aktiviert ist mit den Ports die offen sind, und ein Virenscanner installiert . Mir geht es mehr um die Gliederung von so einem Konzept. Wie sowas aussehen soll. Ich habe sowas noch nie gemacht. Edited March 8 by SaschaVolk Quote Share this post Link to post Share on other sites
magheinz 79 Report post Posted March 8 vor 1 Stunde schrieb lefg: Moin Ob der Auftragggeber sich Gedanken über ein Sicherheitskonzept machen möchte und könnte? Defür hat er doch den Auftragnehmer. Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen. 1 Quote Share this post Link to post Share on other sites
lefg 230 Report post Posted March 8 vor 1 Stunde schrieb magheinz: Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen. Also die Frage an den AG nach dem Niveau und was es den kosten dürfe? Ob dieser sich höchstes Niveau wünscht kostenlos? Und welche Niveaus es wohl gäbe? Und was die beinhalten? Schau'n wir mal. Quote Share this post Link to post Share on other sites
Dukel 246 Report post Posted March 8 1 hour ago, lefg said: Also die Frage an den AG nach dem Niveau und was es den kosten dürfe? Ob dieser sich höchstes Niveau wünscht kostenlos? Und welche Niveaus es wohl gäbe? Und was die beinhalten? Der AG kann definieren, vor welchen Bedrohungen der Rechner geschützt werden soll. Zugriff aufs interne Netz, Diebstahl, ... Aus diesen Anforderungen ergeben sich die Maßnahmen (Kensington Lock, Verschlüsslung, eigenes VLan). Quote Share this post Link to post Share on other sites
Pitti259 13 Report post Posted March 8 Von der Stange wird es so ein Konzept nicht geben. magheinz hat es schon richtig geschrieben, der spätere Betreiber dieses Notebooks muss die Sicherheitsanforderungen benennen. Wie immer zählen hier die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität. Dann werden die möglichen Gefährdungen mit ihren Auswirkungen und Eintrittswahrscheinlichkeit ermittelt. Nennt sich Risikoanalyse. Auf die erkannten Risiken werden Maßnahmen angewandt, um die Risiken abzuwenden. Dies wird runter geschrieben und schon hat man ein einfaches Sicherheitskonzept. Eine gewisse Basis-Sicherheit, Virenscanner, deaktivierte "böse" Dienste, Heimtelefonieren etc. sollte aber grundsätzlich unabhängig vom Sicherheitsniveau des AG schon bestehen. Quote Share this post Link to post Share on other sites
v-rtc 57 Report post Posted March 8 Danke an alle, da lernen sogar noch andere davon. Quote Share this post Link to post Share on other sites
magheinz 79 Report post Posted March 8 Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz... 1 Quote Share this post Link to post Share on other sites
Pitti259 13 Report post Posted March 8 vor einer Stunde schrieb magheinz: Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz... Nicht ganz, habe ein bisschen 27001 native reingemischt... Aber Danke für das "wunderbar". Quote Share this post Link to post Share on other sites
v-rtc 57 Report post Posted March 8 @Pitti259 hast Du das Vorgehen aus dem BSI und ISO pamfles Dir erlesen können? Oder gibt es da noch andere gute Werke? Quote Share this post Link to post Share on other sites
Pitti259 13 Report post Posted March 8 vor 15 Minuten schrieb RolfW: @Pitti259 hast Du das Vorgehen aus dem BSI und ISO pamfles Dir erlesen können? Oder gibt es da noch andere gute Werke? Oh mei, nach 14 Jahren als Auditor kann ich schwer sagen wo ich mir das erlesen habe. Aber wenn es um den Grundschutz geht, dann ist der kostenfreie Online-Kurs auf den BSI-Seiten wohl recht zielführend. Auch der BSI-Standard 200-2 wäre für IT-fachlich versierte Sicherheitseinstieger einigermaßen verständlich. Für die ISO 27001 in der internationalen Variante gibt es recht viel Literatur. Die Norm selbst ist schwere Kost, die empfiehlt sich erst für bereits Geschädigte. Quote Share this post Link to post Share on other sites
