Methodik und Standards

Anwendungsbereich

Gegenstand des geforderten Eingriffs ist die dem Kunden gestellte technologische Einrichtung bzw.:

  • Informatiksystem
  • Interne und externe Infrastruktur
  • Netzwerk
  • Hardware- / Software-Vorrichtung
  • Web-Anwendung im Einsatz beim Kunden

Methodik

Die Cyber Security Division von INSIDE verfügt über eine Gruppe von Experten auf dem Gebiet, die mit einer Reihe von international anerkannten Zertifizierungen ausgezeichnet sind.

Genauer gesagt, führt er/sie die professionelle Tätigkeit in strengster Übereinstimmung mit den folgenden Referenznormen aus:

  • ISO/IEC 19011:2003 - Guidelines for qualità and/or environmental management
  • ISO/IEC 20000-1:2005 - Service management - Part 1: Specification
  • ISO/IEC 27002:2005 - Code of practice for information security management
  • ISO/IEC27004:2009 - Information security management - Measurement
  • ISO/IEC 27005:2008 - Information security risk management
  • BS25999-2:2007 - Business continuity management - Specification
  • COBIT v4.1 - Control Objectives for Information and related Technologies
  • OSSTMM v3 - Open Source Security Testing Methodology Manual
  • OWASP Testing Guide v3 - Open Web application Security Project Testing Guide
  • CC v3.1 - Common Criteria
  • CEM v3.1 - Common Methodology for Information Technology Security Evaluation
  • ITIL v3 - Information Technology Infrastructure Library
  • PCI-DSS v2.0 - Payment Card Industry Data Security Standard
  • Basilea2 - International Convergence of Capital Measurement and Capital Standards
  • SOX of 2002 - Public Company Accounting Reform and Investor Protection Act
  • Gesetzesverordnung 231/2001 - Verwaltungsrechtliche Verantwortlichkeit der juristischen Personen, Unternehmen und Verbände, auch ohne Rechtspersönlichkeit
  • Gesetzesverordnung 196/2003 - Datenschutzkodex
  • Gesetzesverordnung 262/2005 - Schutz der Ersparnisse und Regelung der Finanzmärkte
  • Gesetzesverordnung 81/2008 - Schutz der Gesundheit und Sicherheit am Arbeitsplatz

Methodologische Bezugnahmen

OSSTMM

Die OSSTMM (Open Source Security Testing Methodology Manual) ist eine Zertifizierung von ISECOM (Institute for Security and Open Methodologies), der internationalen Forschungs- und Kollaborationsgemeinschaft für die Sicherheit, die im Januar 2001 gegründet wurde.

Hierbei handelt es sich um einen methodologischen Ansatz des Peer-Review im Bereich der Computer-Sicherheitssysteme, der die Ausführung von Sicherheitstests und Analysen hinsichtlich der Infrastrukturen und IT-Assets vorsieht, die in überprüfte Ereignisse umgesetzt werden. Diese Ereignisse liefern nützliche Informationen, die die Betriebssicherheit, im Hinblick auf die Messbarkeit, verbessern können.

Die Verwendung der OSSTMM-Standards ermöglicht, in Übereinstimmung mit der einschlägigen Richtlinie, beachtliche und wiederholbare Ergebnisse zu erzielen, und zu verstehen, welche Gegenmaßnahmen ergriffen werden müssen, inwieweit das zu analysierende System möglichen Angriffen ausgesetzt ist, und auf welche Weise das Höchstmaß an Sicherheit erreicht werden kann.


OWASP

Das OWASP Testing Guide ist ein Bezugssystem für die Prüfung der Sicherheit von Anwendungen und Netzwerkinfrastrukturen, das von OWASP (Open Web Application Security Project), der gemeinnützigen Stiftung entwickelt wurde, die ihre Aktivitäten auf die Realisierung von Ressourcen, Artikeln und Materialien in Bezug auf die mit der IT-Sicherheit verbundenen Problematiken ausrichtet.

OWASP hat eine Liste von Sicherheitsrisiken, die als besonders kritisch bezeichnet werden, erstellt:

  • SQL Injection
  • Broken Authentication and Session Management
  • Cross Site Scripting
  • Insicure Direct Object Reference
  • Security Misconfiguration
  • Sensitive Date Exposure
  • Missing Function Level access Control
  • Cross Site Request Forgery
  • Using Components with Known Vulnerabilities
  • Unvalidated Redirects and Forwards