(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Personenbezogene, vertrauliche oder geheime Daten sind vor der Übernahme von produktiven <strong>IT</strong>-Systemen<br />
in die Testsysteme so zu verfälschen, dass ein Rückschluss auf die Original-Daten nicht mehr möglich ist,<br />
sofern auf diese Daten Personen Zugriff erhalten, die diese nicht unbedingt <strong>für</strong> die Erfüllung ihrer<br />
vertragsgegenständlichen Arbeiten benötigen.<br />
Das Kopieren oder die Nutzung von Informationen aus laufenden <strong>IT</strong>-Systemen ist nur nach vorheriger<br />
Genehmigung durch den Informationseigentümer zulässig. Die kopierten Daten unterliegen den gleichen<br />
<strong>IT</strong>-Sicherheitsanforderungen wie die Original-Daten.<br />
Benutzte Informationen aus laufenden <strong>IT</strong>-Systemen sind nach Durchführung des Tests nicht<br />
wiederherstellbar zu löschen.<br />
Zugriffsberechtigungen, die <strong>für</strong> laufende <strong>IT</strong>-Systeme gelten, müssen auch <strong>für</strong> Testanwendungen beachtet<br />
werden.<br />
Sicherheitsupdates von Software-Herstellern sind zeitnah einzuspielen.<br />
Die Sicherheit von Anwendungen darf durch den Einsatz von Administrationswerkzeugen <strong>und</strong> –protokollen<br />
nicht gefährdet werden.<br />
Vor der Installation neuer Softwareversionen oder Patches ist durch Tests sicherzustellen, dass weder der<br />
Betrieb noch die Sicherheit durch die Änderungen gefährdet sind.<br />
Bei Änderungen sind die betroffenen Beschreibungen der Benutzerverfahren <strong>und</strong> der<br />
Betriebsdokumentation anzupassen.<br />
Wenn Änderungen an gekauften Softwarepaketen durchgeführt werden, sind die Auswirkungen auf<br />
bestehende Regelungen <strong>und</strong> Sicherheitsmaßnahmen zu klären. Änderungen dürfen nur erfolgen, wenn dies<br />
lizenzrechtlich <strong>und</strong> aufgr<strong>und</strong> der Wartungsverträge zulässig ist.<br />
10. Management des kontinuierlichen Geschäftsbetriebs<br />
10.1. Aspekte zur Aufrechterhaltung des Geschäftsbetriebs<br />
Unvorhergesehene oder unerwartete Ereignisse, die einen Ausfall von <strong>IT</strong>-Systemen über eine nicht<br />
tolerierbare Zeit <strong>und</strong> einen Schaden <strong>für</strong> Geschäftsprozesse zur Folge haben, werden im Folgenden<br />
einheitlich als <strong>IT</strong>-Notfall bezeichnet.<br />
10.1.1. Prozess <strong>für</strong> das Management des kontinuierlichen Geschäftsbetriebs<br />
Zur Aufrechterhaltung des kontinuierlichen <strong>IT</strong>-Geschäftsbetriebs hat der <strong>Systembetreiber</strong> organisatorische<br />
Maßnahmen/Prozesse <strong>für</strong> das Management aufzubauen, um kritische <strong>IT</strong>-Geschäftsprozesse zu<br />
identifizieren <strong>und</strong> zu bewerten.<br />
10.1.2. Aufrechterhaltung des Geschäftsbetriebs <strong>und</strong> Auswirkungsanalyse<br />
Eine Organisationseinheit oder das Gesamtunternehmen darf durch den Eintritt eines unerwarteten <strong>IT</strong>-<br />
Ereignisses (z. B. Ausfall) nicht handlungs- oder geschäftsunfähig werden.<br />
Um dieses zu erreichen, sind zum einen vorsorgliche Maßnahmen erforderlich, damit ein unerwartetes <strong>IT</strong>-<br />
Ereignis keinen Notfall zur Folge hat. Zum anderen sind Maßnahmen zu bestimmen, die bei Eintritt des <strong>IT</strong>-<br />
Notfalls durchzuführen sind.<br />
Die <strong>IT</strong>-Notfallvorsorge muss sich an den Anforderungen der Geschäftsprozesse, die beim Ausfall von <strong>IT</strong><br />
entstehen, orientieren. Mit Hilfe von Risikoanalysen sind mögliche Schadensfälle bezüglich der<br />
Eintrittswahrscheinlichkeit <strong>und</strong> der Schadenshöhe zu bewerten. Bei der Bewertung von Notfallschäden ist<br />
die Anzahl der betroffenen Anwender zu berücksichtigen sowie die geschäftliche Bedeutung der <strong>IT</strong> <strong>für</strong><br />
Geschäftsprozesse.<br />
10.1.3. Verfassen <strong>und</strong> Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs<br />
Das notwendige Niveau der Dienstleistung <strong>und</strong> die maximal zu akzeptierenden Ausfallzeiten von<br />
geschäftskritischen informationsverarbeitenden <strong>IT</strong>-Systemen sind zu definieren <strong>und</strong> zu dokumentieren.<br />
Seite 10 von 14