(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Weitere Magazine

Empfehlungen

Info

IT-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Status: Freigegeben Um Fehlbedienungen zu verhindern, sind Entwicklungs-, Test- und Produktivsysteme z. B. durch unterschiedliche Benutzerkennungen oder Anmeldeverfahren zu sichern. Entwicklungs-/Testpersonal darf nur einen zur Durchführung der erforderlichen Arbeit eingeschränkten oder zeitlich begrenzten Zugriff auf Produktivumgebungen erhalten. 7.1.6. Externe Verwaltung von Geräten Vor einer Betreuung und Verwaltung von IT-Systemen durch Fremdpersonal ist folgendes zu prüfen und durchzuführen: Genehmigungen der für Anwendung/Prozess zuständigen Personen sind einzuholen. Verantwortlichkeiten und Verfahren für die Meldung und Behandlung von IT-Sicherheitsvorfällen sind festzulegen. IT-Notfallpläne sind neu zu bewerten und anzupassen (siehe Kapitel 10.1.5). 7.2. Systemplanung und -abnahme Systemplaner sowie Betreiber von IT-Systemen/-Netzen haben bereits bei der Planung der Kapazitäten die Anforderungen des späteren Betriebes zu berücksichtigen. Die Sicherheitsanforderungen an ein IT-System sind mit den Benutzern/Benutzervertretern während der Planung zu definieren und zu dokumentieren. Der Systembetreiber hat unter Berücksichtigung des geltenden IT-Sicherheitsregelwerkes zusammen mit den Benutzern/Benutzervertretern die zu erreichende IT-Sicherheit des IT-Systems zu planen. Dabei ist ein Sollzustand des IT-Systems festzulegen. Der Istzustand ist nach Realisierung des IT-Systems zu prüfen und freizugeben. Die Systemplanung (Fachkonzeption, Systemdesign, Systemrealisierung) und -abnahme (Systemeinführung) ist mittels des Systementwicklungsprozesses (SEP) durchzuführen. 7.3. Schutz vor bösartiger Software Kommunikationsgeräte, die von Schadsoftware befallen sind, sind unter Berücksichtigung möglicher Auswirkungen (z. B. Produktionsstillstand) vom internen Netzwerk zu trennen. Von den zuständigen Stellen (siehe Anhang, Ziff. 6) freigegebene Virensoftware ist auf jedem Kommunikationsgerät zu installieren. Die entsprechenden Virensignaturen sind regelmäßig zu aktualisieren. Die durch die zuständigen Stellen (siehe Anhang, Ziff. 7) freigegebenen Sicherheitspatche müssen zeitnah installiert werden. Vom Systembetreiber sind geeignete Netzübergangskomponenten (z. B. Intrusion Prevention System) einzusetzen, um das Firmennetz vor Schadsoftware und einer Verbreitung derselben im Netzwerk zu schützen. 7.4. Haushaltsorganisation 7.4.1. Back-up von Informationen Alle Verantwortlichen für IT-Systeme, Applikationen oder Datenbanken haben sicherzustellen, dass eine ausreichende Sicherung der Daten durch die zuständigen Stellen erfolgt. Sicherungsverfahren sind zu planen, zu überwachen und zu dokumentieren. Sicherungsdatenträger unterliegen den gleichen Sicherheitsanforderungen wie die Original-Daten (z. B. Schutz gegen Diebstahl und unbefugten Zugriff). Sie sind getrennt vom IT-System aufzubewahren, um bei einer Beschädigung oder Zerstörung des IT-Systems und seiner unmittelbaren Umgebung unversehrt zu bleiben. Seite 6 von 14
IT-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Status: Freigegeben Vor Ablauf der technologieabhängigen Lebensdauer des jeweiligen Datenträgers sind die Daten auf neue Datenträger zu überspielen. Es ist dabei sicherzustellen, dass die erforderliche Hardware und Software zum Lesen und Beschreiben der Datenträger über die gesamte Aufbewahrungsdauer der Daten vorhanden ist. Bei der Archivierung von Daten sind firmeninterne und gesetzliche Aufbewahrungsfristen einzuhalten. Die Lesbarkeit von archivierten Datenträgern ist in angemessenen Zeitabständen zu überprüfen. 7.4.2. Bedienerprotokolle Die Tätigkeiten der Systembetreiber an IT-Systemen mit vertraulichen und/oder geheimen Informationen sind zu protokollieren. Die Protokolle haben mindestens Folgendes zu enthalten: eine eindeutige Identifikation der protokollierten Person (z. B. Name oder Kennung), Beginn und Beendigung der Tätigkeit am IT-System, aufgetretene Systemfehler, durchgeführte Maßnahmen. Protokollauswertungen haben regelmäßig im Rahmen von Audits und bei Verdacht auf IT- Sicherheitsvorfälle zu erfolgen. 7.4.3. Fehlerprotokoll Von Benutzern gemeldete Fehler und Fehlfunktionen sind zu protokollieren. Die vom Betreiber veranlassten Maßnahmen zur Fehlerbehebung müssen technisch korrekt und von berechtigtem Personal durchgeführt werden. 7.5. Netzwerkmanagement Der sichere Betrieb von IT-System/-Netzen ist vom jeweiligen Betreiber zu gewährleisten. Das Sicherheitsniveau der Kommunikations- und der Netzwerkressourcen ist der Gefährdung und der Sensibilität der zu übertragenden Daten anzupassen. 7.6. Sicherheit von Systemdokumentation Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen. 7.7. Austausch von Informationen und Software Der Systembetreiber ist für die Zuverlässigkeit von Kommunikationsdiensten (z. B. E-Mail, ftp) verantwortlich. Bei den E-Maildiensten ist folgendes zu beachten: Bei der Vergabe von E-Mail Adressen ist auf Eindeutigkeit zu achten. Gruppen-E-Mail Adressen dürfen nur für den E-Mail-Empfang verwendet werden. Postfächer sind gegen Zugriffe Unbefugter zu schützen. Für nicht zustellbare E-Mail Nachrichten erfolgt eine automatische Rückmeldung. Öffentlich zugängliche IT-Systeme sind für alle (z. B. Mitarbeiter, Kunden, Geschäftspartner, Medien) frei zugänglich und zur Nutzung verfügbar. Informationen, die in das öffentlich zugängliche IT-System eingegeben und dort verarbeitet werden, sind vollständig, korrekt und zügig zu verarbeiten. Sie sind während des Bearbeitungsprozesses und bei der Speicherung zu schützen. Öffentlich zugängliche IT-Systeme dürfen nur über sichere Netzübergangskomponenten Zugang zu internen Netzen haben. Seite 7 von 14
Seite 1 und 2: Informationstechnik (IT)-Sicherheit
Seite 3 und 4: IT-Sicherheitshandlungsleitlinien f
Seite 5: IT-Sicherheitshandlungsleitlinien f

(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?