(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Vor Ablauf der technologieabhängigen Lebensdauer des jeweiligen Datenträgers sind die Daten auf neue<br />
Datenträger zu überspielen. Es ist dabei sicherzustellen, dass die erforderliche Hardware <strong>und</strong> Software zum<br />
Lesen <strong>und</strong> Beschreiben der Datenträger über die gesamte Aufbewahrungsdauer der Daten vorhanden ist.<br />
Bei der Archivierung von Daten sind firmeninterne <strong>und</strong> gesetzliche Aufbewahrungsfristen einzuhalten. Die<br />
Lesbarkeit von archivierten Datenträgern ist in angemessenen Zeitabständen zu überprüfen.<br />
7.4.2. Bedienerprotokolle<br />
Die Tätigkeiten der <strong>Systembetreiber</strong> an <strong>IT</strong>-Systemen mit vertraulichen <strong>und</strong>/oder geheimen Informationen<br />
sind zu protokollieren.<br />
Die Protokolle haben mindestens Folgendes zu enthalten:<br />
eine eindeutige Identifikation der protokollierten Person (z. B. Name oder Kennung),<br />
Beginn <strong>und</strong> Beendigung der Tätigkeit am <strong>IT</strong>-System,<br />
aufgetretene Systemfehler,<br />
durchgeführte Maßnahmen.<br />
Protokollauswertungen haben regelmäßig im Rahmen von <strong>Audi</strong>ts <strong>und</strong> bei Verdacht auf <strong>IT</strong>-<br />
Sicherheitsvorfälle zu erfolgen.<br />
7.4.3. Fehlerprotokoll<br />
Von Benutzern gemeldete Fehler <strong>und</strong> Fehlfunktionen sind zu protokollieren.<br />
Die vom Betreiber veranlassten Maßnahmen zur Fehlerbehebung müssen technisch korrekt <strong>und</strong> von<br />
berechtigtem Personal durchgeführt werden.<br />
7.5. Netzwerkmanagement<br />
Der sichere Betrieb von <strong>IT</strong>-System/-Netzen ist vom jeweiligen Betreiber zu gewährleisten.<br />
Das Sicherheitsniveau der Kommunikations- <strong>und</strong> der Netzwerkressourcen ist der Gefährdung <strong>und</strong> der<br />
Sensibilität der zu übertragenden Daten anzupassen.<br />
7.6. Sicherheit von Systemdokumentation<br />
Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese<br />
Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen.<br />
7.7. Austausch von Informationen <strong>und</strong> Software<br />
Der <strong>Systembetreiber</strong> ist <strong>für</strong> die Zuverlässigkeit von Kommunikationsdiensten (z. B. E-Mail, ftp)<br />
verantwortlich. Bei den E-Maildiensten ist folgendes zu beachten:<br />
Bei der Vergabe von E-Mail Adressen ist auf Eindeutigkeit zu achten.<br />
Gruppen-E-Mail Adressen dürfen nur <strong>für</strong> den E-Mail-Empfang verwendet werden.<br />
Postfächer sind gegen Zugriffe Unbefugter zu schützen.<br />
Für nicht zustellbare E-Mail Nachrichten erfolgt eine automatische Rückmeldung.<br />
Öffentlich zugängliche <strong>IT</strong>-Systeme sind <strong>für</strong> alle (z. B. Mitarbeiter, K<strong>und</strong>en, Geschäftspartner, Medien) frei<br />
zugänglich <strong>und</strong> zur Nutzung verfügbar.<br />
Informationen, die in das öffentlich zugängliche <strong>IT</strong>-System eingegeben <strong>und</strong> dort verarbeitet werden, sind<br />
vollständig, korrekt <strong>und</strong> zügig zu verarbeiten. Sie sind während des Bearbeitungsprozesses <strong>und</strong> bei der<br />
Speicherung zu schützen.<br />
Öffentlich zugängliche <strong>IT</strong>-Systeme dürfen nur über sichere Netzübergangskomponenten Zugang zu<br />
internen Netzen haben.<br />
Seite 7 von 14