(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Weitere Magazine

Empfehlungen

Info

IT-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Status: Freigegeben 3. Geltungsbereich Die Handlungsleitlinien gelten für die AUDI AG und sind im gesamten Audi Konzern anzuwenden und durch konkrete IT-Regelungen im Einzelfall auszugestalten. 4. Einstufung und Kontrolle der Werte Betriebsnotwendige IT-Systeme (siehe Anhang, Ziff. 3) sind in einem Verzeichnis zu erfassen. Die Systemverantwortung ist einer Organisationseinheit, einem Gremium oder Beauftragten zuzuordnen. Als betriebsnotwendig sind IT-Systeme einzustufen, deren Funktionsstörung den Fortbestand des Unternehmens ernsthaft gefährden könnte oder deren Wiederherstellung bzw. Wiederbeschaffung einen hohen Zeitaufwand und/oder hohe Kosten erfordern würde. Ferner sind Originale von wichtigen Urkunden (z. B. Kaufverträge, Versicherungspolicen, Lizenzen) in diese Kategorie einzustufen. Dieses Verzeichnis der erfassten IT-Systeme hat mindestens die folgenden Angaben zu enthalten: Beschreibung der IT-Systeme einschließlich ihrer Schnittstellen zu anderen IT-Systemen, Verantwortliche Stelle oder Person, Bedeutung der IT-Systeme für die Geschäftsprozesse, Einsatzort (physisch), Einsatzbereich (fachlich), Klassifizierung der Daten und ggf. Hinweise auf besondere Schutzerfordernisse und -maßnahmen, Vorhandensein personenbezogener Daten. 5. Personelle Sicherheit Nach der Bearbeitung von IT-Sicherheitsvorfällen, IT-Sicherheitsschwachstellen oder ITsicherheitsrelevanten Funktionsstörungen sind Erkenntnisse über mögliche Auswirkungen auf andere Geschäftsprozesse oder Sicherheitsmaßnahmen an den Vorgesetzten und an die IT-Sicherheitsorganisation (siehe Anhang, Ziff. 4) zu melden. Sind diese Vorfälle gravierend oder treten sie öfter auf, so sind sie im Rahmen der Qualitätssicherung kontinuierlich zu prüfen, um ihre Entstehung in Zukunft möglichst zu verhindern und den Umgang mit diesen Ereignissen zu verbessern. 6. Physische und umgebungsbezogene Sicherheit Betriebsnotwendige IT-Systeme sind vor Stromausfall oder –schwankungen zu schützen (z. B. durch unterbrechungsfreie Stromversorgung, durch Notstromaggregat). Unmittelbar nach der Installation einer Daten- und Stromnetzkomponente sind vorhandene systemspezifische Schutzmechanismen (z. B. Passwortschutz) zu aktivieren, um unzulässige Manipulationen zu verhindern oder zumindest möglichst frühzeitig erkennen zu können. Der Betreiber hat u. a. durch Wartung der Geräte sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit und Integrität von Daten gewährleistet ist. Vor der Entsorgung oder Wiederverwendung von Geräten sind alle darauf enthaltenen Informationen nachhaltig zu löschen. Seite 4 von 14
IT-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Status: Freigegeben 7. Management der Kommunikation und des Betriebs 7.1. Betriebsverfahren und –verantwortlichkeiten 7.1.1. Dokumentierte Betriebsverfahren Anweisungen, die für den Betrieb eines IT-Systems zu berücksichtigen sind, sind vom Betreiber zu erstellen und aktuell zu halten, z. B. in Form von Betriebshandbüchern. Bei Veröffentlichungen ist darauf zu achten, dass keine sicherheitsrelevanten Fakten (z. B. Firewallkonfiguration) an unberechtigte Dritte bekannt gemacht werden. Die Dokumentation ist gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 5) zu archivieren. 7.1.2. Kontrolle von Veränderungen Änderungen an produktiven IT-Systemen müssen über ein definiertes Verfahren geplant, getestet, genehmigt und dokumentiert werden, bevor sie im produktiven Betrieb umgesetzt werden. Änderungsabsichten (change requests) sind schriftlich zu dokumentieren und von der verantwortlichen Stelle (z. B. Änderungen an Anwendungssytemen durch den Informationseigentümer, Änderungen an der Infrastruktur durch den Betreiber) zu genehmigen. Die Auswirkungen der geplanten Änderungen sind an einem Testsystem zu untersuchen. Das Testsystem ist in Abwägung des potentiellen Risikos mit dem dafür erforderlichen Aufwand aufzubauen. Im Notfall kann vom Betreiber ein beschleunigtes Verfahren im IT-Notfallplan (siehe Kapitel 10) definiert werden. Dabei ist sicherzustellen, dass durch die Änderungen keine Sicherheitsmaßnahmen unterlaufen werden. Das Sicherheitsniveau muss während und nach der Änderung erhalten bleiben. Wenn Risiken nicht ausgeschlossen werden können, hat die Planung auch eine Rückfalllösung vorzusehen und Kriterien vorzugeben, wann diese zum Tragen kommen soll. Änderungen am IT-System sind zu protokollieren. Bei einer fehlgeschlagenen Änderung ist das IT-System möglichst in den ursprünglichen Zustand zu versetzen. Vor einer neuen Durchführung ist die Ursache festzustellen. Sofern Änderungen an produktiven Daten nicht über das Anwendungssystem gemacht werden können, sind auch diese Änderungen zu protokollieren. Alle von den Änderungen betroffenen Personen sind rechtzeitig zu informieren. 7.1.3. Verfahren für das Management von Vorfällen Um bei IT-Sicherheitsvorfällen rasch und effektiv reagieren zu können, ist es notwendig, dass der Systembetreiber Verfahren, d. h. Anweisungen, Maßnahmen, eingesetzte Mittel etc., zur Behandlung von Vorfällen erarbeitet, umsetzt und aktuell hält. 7.1.4. Pflichtentrennung Ausführende (z. B. Programmierung, Entwicklung) und kontrollierende (z. B. Audit, Abnahme) Tätigkeiten sind personell voneinander zu trennen. Zudem sind Tätigkeiten dann zu trennen, wenn ohne eine Trennung ein erhöhtes Risiko einer willentlichen oder unwissentlichen Fehlhandhabung zu Lasten des Konzerns besteht (Vier-Augen-Prinzip). Vor der Einführung von Software sind die Verantwortlichkeiten zu regeln (z. B. für die Erstellung von Pflichtenheften, die Produktvorauswahl, das Testen, das Freigeben, die Installation und den Betrieb). 7.1.5. Trennung von Entwicklungs- und Betriebsanlagen Entwicklungs-, Testsoftware und Software im laufenden Betrieb müssen auf unterschiedlichen IT- Systemen und/oder Netzbereichen laufen. Seite 5 von 14
Seite 1 und 2: Informationstechnik (IT)-Sicherheit
Seite 3: IT-Sicherheitshandlungsleitlinien f
Seite 7 und 8: IT-Sicherheitshandlungsleitlinien f

(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?