Beschreibung
TEX_15046 - IT-Sicherheitsexperte (f/m)Einsendeschluß: 21.02.2017
Anzahl d. Personen: 2
Branche:
Einsatzort: Bayern
Zeitraum: 01.03.2017 - 31.10.2017
Anmerkungen:
Auslastung: 1064h im o.g. Zeitraum
Profilvorgabe: Deutsch
Preisvorgabe: EUR/Std.
Projektbeschreibung/Aufgaben/Rolle:
Projekt:
Die Aufrechterhaltung bzw. Erhöhung eines angemessenen Niveaus der Informationssicherheit zum Schutz der Informationen/Daten ist erklärtes Ziel des Kunden. Dazu wurde im Rahmen eines Projektes ein sog. Information-Security-Management-System (ISMS) eingeführt das auf den folgenden Grundlagen beruht:
- IT-Verfahren und IT-Basisdienste, die den Anforderungen eines für den Kunden angemessenen IT-Sicherheitsniveaus entsprechen,
- aktuelle IT-Sicherheitsdokumentationen (Konzepte, Richtlinien und Regelwerke),
- eine funktionsfähige ganzheitliche IT-Sicherheitsorganisation, die auf der Basis definierter Prozesse ein angemessenes IT Sicherheitsniveau sicherstellt und lfd. den vielfältigen Gefährdungen, denen die IT ausgesetzt ist, entgegenwirken, für Belange der IT-Sicherheit ausreichend sensibilisierte Mitarbeiter/Innen.
Im Zusammenhang mit der Pflege von verfahrensspezifischen IT-Sicherheitskonzepten (vSiKo) nach Kunden-Standard und der Herstellung sicherer Software-Releases, ist sowohl ein hohes Maß an fachlichem, als auch methodischem Wissen erforderlich.
Eine in 2014 durchgeführte Voranalyse ergab, dass die zunehmende Präsenz des Kunden im Internet nicht nur durch Infrastrukturmaßnahmen sondern auch durch entsprechende Maßnahmen bereits bei der Softwareentwicklung geschützt werden muss. Software sicher zu entwickeln ist eine komplexe Herausforderung. Umso wichtiger ist daher eine strukturierte Herangehensweise, welche die notwendigen Aktivitäten sowie die Bewertungskriterien definiert und damit eine nachhaltige Berücksichtigung von Softwaresicherheit im Rahmen der Softwareentwicklung gewährleistet.
Das ausgesprochene Ziel der IT-Maßnahme ist es, die IT-Sicherheit bei Anwendungen signifikant zu verbessern und eine Sammlung von Handlungsanweisungen/Programmcodereferenzen mit sicherheitsrelevantem Bezug im Softwareentwicklungsprozess zu integrieren und diese bereitzustellen.
Es besteht also Bedarf an Unterstützung bei der Analyse und Entwicklung von Maßnahmen um Angriffsszenarien auf Anwendungen bereits bei der Softwareentwicklung zu begegnen. Maßnahmen könnten z. B. Codierungsrichtlinien, automatische Codeanalyse, sicherheitsbezogene Testfälle, Sicherstellung der Auditierbarkeit und Ergänzungen des Entwicklungsprozesses umfassen.
Konkret sind u.A. folgende Aktivitäten in diesem Umfeld geplant:
- Durchführung einer Markterkundung für ein geeignetes und unterstützendes Tool zur Securitytestautomatisierung
- Maßnahmen zur Durchführung von Bedrohungsanalysen bzw. Erstellung eines Katalog von Angriffsszenarien im Agilen Umfeld
- Erstellung von Handlungsanweisungen zum Entwurf von Sicherer Software, sowie Test
- Analyse der bestehenden Prozesse mit dem Ziel der Einbindung der erarbeiteten Maßnahmen in diese Prozesse
- Erstellung eines Bausteins eigenentwickelte Software zur Modellierung in verfahrensspezifischen IT – Sicherheitskonzepten der Fachverfahren
Hierfür wird ein IT-Sicherheitsberater benötigt.
Aufgaben:
- Planung und Durchführung technischer IT-Sicherheitsüberprüfungen
- Bewertung von Berechtigungskonzepten
- Durchführung von Code-Audits
Skills/Hinweise:
Neben konzeptionellen und analytischen Kompetenzen sind tiefergehendes technisches Know-how in Sicherheitsarchitekturen, sichere Programmierung (Secure Design Pattern, Secure Design Principles), Bedrohungsanalysen und Kenntnisse über Sicherheitsanforderungen nach OWASP erforderlich. Erfahrungen im Aufgabenumfeld sollten vorhanden sein.
Spezialwissen:
- Planung und Durchführung technischer IT-Sicherheitsüberprüfungen und Schwachstellenanalysen nach nationalen und internationalen Standards
- Planung und Durchführung interner und externer Penetrationstests
- technische und organisatorische Einzelanalyse besonders geschäftskritischer Prozessbereiche bzw. von Hochverfügbarkeitssystemen bezüglich Bedrohungsszenarien der IT-Sicherheit
- Prüfung und Bewertung von Berechtigungskonzepten in komplexen IT-Infrastrukturen
- Durchführung von Code-Audits
Vertiefte Kenntnisse:
- Qualitätssicherungsanforderungen für geschäftskritische IT-Projekte/Verfahren im Hinblick auf IT-Sicherheit
- potentieller Sicherheitsrisiken von Onlineapplikationen, Webinfrastrukturen, Netz- und TK-Infrastrukturen
- Anforderungen bezüglich der Erstellung und Prüfung technischer IT-Sicherheitseinrichtungen
- Erstellung individueller Software zu Test und Demonstrationszwecken
Bei Interesse senden Sie uns bitte Ihr aktuelles Profil (bitte im Word-Format) unter Angabe Ihrer Verfügbarkeit sowie Ihres gewünschten Std.- / bzw. Tagessatzes.
Bitte beachten Sie, dass wir weiterführende Informationen zu dieser Ausschreibung wie bspw. Details zum Standort, dem Endkunden oder Tages- / Stundensätzen nur an bei uns registrierte Berater / Geschäftspartner herausgeben können.
Wenn Sie sich bei uns registrieren möchten, senden Sie uns bitte Ihr Profil (bitte im Word-Format)