Beschreibung
Aufgabe:Für jede Applikation bzw. jedes IT-System muss ein Sicherheitskonzept erstellt werden, dass die vorgenannten Anforderungen vollumfänglich abdeckt. Mit jedem Release muss das Sicherheitskonzept aktualisiert werden.
Ferner müssen im Rahmen so genannter IT Security Self Assessments IT-System bezogene Compliance Überprüfungen durchgeführt und sich daraus ergebende Umsetzungsmaßnahmen geplant und bewertet werden.
Folgende Aufgaben sind selbständig durchzuführen:
• Erstellung und Implementierung der Sicherheitskonzepte für das neue Identifikationsprodukt auf Basis der fachlichen Anforderungen und unter Berücksichtigung der IT-Security-Konzern-Kontrollstandards
o Identifikation und Beschreibung von Risiken
o Beschreibung und Festlegung von Mitigationsmaßnahmen
o Konkretisierung der abstrakten Maßnahmenbeschreibungen aus Sicherheitskonzepten, Normen und Governance-Standards zu umsetzbaren Aufgabenpaketen. Hierbei sind Kosten und Nutzen abzuwägen und die Umsetzbarkeit mit Produktverantwortlichen sowie Entwicklungs-, Betriebs- und Wartungsdienstleistern abzustimmen
o Steuerung der Maßnahmenumsetzung bei Entwicklungs-, Betriebs- und Wartungsdienstleistern
o Überprüfung/QS der Maßnahmenumsetzung bei Dienstleistern
• Schwachstellenanalyse von Produkten und Prozessen
• Durchführung von Tests/Scans zu Sicherheitsschwachstellen statisch und dynamisch (Source Code Analysen und Penetration-Tests)
• Auditierung der Sicherheit bei Entwicklungs-, Betriebs- und Wartungsdienstleistern
• Konzeption, Umsetzung und Kontrolle von sicherheitsbezogenen Prozessen wie Patchmagement und Berechtigungsmanagement
Ergebnisobjekte erwartet:
? IT-Sicherheitskonzept bzw. Aktualisierung bestehender IT-Sicherheitskonzepte
? Auditprotokolle
? Liste mit Sicherheitsschwachstellen aus statischen und dynamischen Schwachstellentests
? Prozessbeschreibungen für sicherheitsbezogenen Prozessen
? Arbeitspaketbeschreibungen und -planung für Umsetzung von Sicherheitsmaßnahmen
Anforderung:
Die nachfolgenden Erfahrungen sind als Mindestanforderung zu verstehen.
Dabei werden fundierte - über mindestens die letzten 3 Jahre praxiserprobte Kenntnisse vorausgesetzt.
Bitte nachweisbare, fundierte Erfahrungen in
? Erfahrung mit folgenden Branchenstandards und deren Umsetzung
? ISO/IEC 27001 (zertifiziert!)
? OWASP Top 10
? OWASP Mobile Top 10
? BSI Grundstandard
? Erfahrung bei der Analyse, Bewertung und Umsetzung von IT-Sicherheitsrichtlinien bzw. IT-Sicherheitskonzepten von
? Webapplikationen (Internet und Intranet)
- Gängige Browser (z. B. iE, Chrome, Firefox)
- Gängige Integrationsplattformen (z.B. SAG)
- Gängige Server Technologien (z.B. Apache Tomcat)
- Gängige Service-Bus (z.B. Talend ESB)
? Fat-Client Architekturen
? Thin-Client Architekturen
? ERP/CRM-Systeme
? Datenbanken
? Back-End Systemen
? Datenintegrationsplattformen („Datastores“)
? Erfahrung bei der Erstellung und Umsetzung von Sicherheitskonzepten
? Erfahrung bei der Durchführung von technischen Sicherheitsprüfungen und der Interpretation von Prüfberichten
? Erfahrung zu Organisation, Technik und Recht des Datenschutzes
? Erfahrung im „Storylining“ für Dokumente / Präsentationen
? Verhandlungssicheres Deutsch
? Erfahrung in der Arbeit in IT-Projekten
Bezogen auf die erwarteten Ergebnisobjekte (Reihenfolge definiert Wichtigkeit)
Breites Wissen über den Stand der Technik bzgl. Security Methoden und Technologien in den Bereichen Applikation, Architektur, Mobile Apps, Netzwerk, Logging, Firewall, Verschlüsselung, PKI, IDS, IPS
Fundiertes Fachwissen in den Bereichen ISO 2700x / BSI Grundschutz und der Auditierung gemäß dieser Normen
Vertiefte Erfahrungen in der praktischen Umsetzung von Sicherheitsmaßnahmen
Gute Fähigkeiten in der Projektsteuerung
Von Vorteil: Erfahrung mit Signaturlösungen und Zertifizierungsstelle für digitale Zertifikate und den zugehörigen ETSI Normen
Erfahrung mit Checkmarx, Acunetix, burpsuite und anderen Werkzeugen des Schwachstellen-Scans
Umgebung/Sonstiges:
Einsatzorte: Bonn, Frankfurt und Köln
Umfang: 5 Tage pro Woche
Verlängerungsoption besteht!
Projektreisen: nur in Ausnahmen
Beginn: 23.04.2018
Dauer: 31.12.2018
Branche: Logistik/Transport