(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Um Fehlbedienungen zu verhindern, sind Entwicklungs-, Test- <strong>und</strong> Produktivsysteme z. B. durch<br />
unterschiedliche Benutzerkennungen oder Anmeldeverfahren zu sichern.<br />
Entwicklungs-/Testpersonal darf nur einen zur Durchführung der erforderlichen Arbeit eingeschränkten<br />
oder zeitlich begrenzten Zugriff auf Produktivumgebungen erhalten.<br />
7.1.6. Externe Verwaltung von Geräten<br />
Vor einer Betreuung <strong>und</strong> Verwaltung von <strong>IT</strong>-Systemen durch Fremdpersonal ist folgendes zu prüfen <strong>und</strong><br />
durchzuführen:<br />
Genehmigungen der <strong>für</strong> Anwendung/Prozess zuständigen Personen sind einzuholen.<br />
Verantwortlichkeiten <strong>und</strong> Verfahren <strong>für</strong> die Meldung <strong>und</strong> Behandlung von <strong>IT</strong>-Sicherheitsvorfällen<br />
sind festzulegen.<br />
<strong>IT</strong>-Notfallpläne sind neu zu bewerten <strong>und</strong> anzupassen (siehe Kapitel 10.1.5).<br />
7.2. Systemplanung <strong>und</strong> -abnahme<br />
Systemplaner sowie Betreiber von <strong>IT</strong>-Systemen/-Netzen haben bereits bei der Planung der Kapazitäten die<br />
Anforderungen des späteren Betriebes zu berücksichtigen.<br />
Die Sicherheitsanforderungen an ein <strong>IT</strong>-System sind mit den Benutzern/Benutzervertretern während der<br />
Planung zu definieren <strong>und</strong> zu dokumentieren.<br />
Der <strong>Systembetreiber</strong> hat unter Berücksichtigung des geltenden <strong>IT</strong>-Sicherheitsregelwerkes zusammen mit<br />
den Benutzern/Benutzervertretern die zu erreichende <strong>IT</strong>-Sicherheit des <strong>IT</strong>-Systems zu planen. Dabei ist ein<br />
Sollzustand des <strong>IT</strong>-Systems festzulegen. Der Istzustand ist nach Realisierung des <strong>IT</strong>-Systems zu prüfen <strong>und</strong><br />
freizugeben.<br />
Die Systemplanung (Fachkonzeption, Systemdesign, Systemrealisierung) <strong>und</strong> -abnahme<br />
(Systemeinführung) ist mittels des Systementwicklungsprozesses (SEP) durchzuführen.<br />
7.3. Schutz vor bösartiger Software<br />
Kommunikationsgeräte, die von Schadsoftware befallen sind, sind unter Berücksichtigung möglicher<br />
Auswirkungen (z. B. Produktionsstillstand) vom internen Netzwerk zu trennen.<br />
Von den zuständigen Stellen (siehe Anhang, Ziff. 6) freigegebene Virensoftware ist auf jedem<br />
Kommunikationsgerät zu installieren. Die entsprechenden Virensignaturen sind regelmäßig zu<br />
aktualisieren.<br />
Die durch die zuständigen Stellen (siehe Anhang, Ziff. 7) freigegebenen Sicherheitspatche müssen zeitnah<br />
installiert werden.<br />
Vom <strong>Systembetreiber</strong> sind geeignete Netzübergangskomponenten (z. B. Intrusion Prevention System)<br />
einzusetzen, um das Firmennetz vor Schadsoftware <strong>und</strong> einer Verbreitung derselben im Netzwerk zu<br />
schützen.<br />
7.4. Haushaltsorganisation<br />
7.4.1. Back-up von Informationen<br />
Alle Verantwortlichen <strong>für</strong> <strong>IT</strong>-Systeme, Applikationen oder Datenbanken haben sicherzustellen, dass eine<br />
ausreichende Sicherung der Daten durch die zuständigen Stellen erfolgt.<br />
Sicherungsverfahren sind zu planen, zu überwachen <strong>und</strong> zu dokumentieren.<br />
Sicherungsdatenträger unterliegen den gleichen Sicherheitsanforderungen wie die Original-Daten (z. B.<br />
Schutz gegen Diebstahl <strong>und</strong> unbefugten Zugriff). Sie sind getrennt vom <strong>IT</strong>-System aufzubewahren, um bei<br />
einer Beschädigung oder Zerstörung des <strong>IT</strong>-Systems <strong>und</strong> seiner unmittelbaren Umgebung unversehrt zu<br />
bleiben.<br />
Seite 6 von 14