(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Weitere Magazine

Empfehlungen

Info

IT-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Status: Freigegeben 8. Zugangskontrolle 8.1. Geschäftsanforderungen an die Zugangskontrolle Der Zugriff auf nicht öffentliche Informationen darf nur authentisiert und autorisiert erfolgen. Der Informationseigentümer hat sicherzustellen, dass die Zugriffsrechte der Anwender und -gruppen auf die Ihnen zugewiesenen Ressourcen für jedes IT-System geregelt sind. Nicht benötigte Daten, Dienste und Benutzerkennungen sind durch den Systembetreiber zu löschen bzw. gezielt zu sperren. Administratorkennungen dürfen nur zu administrativen Aufgaben genutzt werden. Routinetätigkeiten, die kein Administrationsrecht erfordern, sind mit Benutzerkennungen mit eingeschränkten Rechten durchzuführen. 8.2. Verwaltung der Zugriffsrechte der Benutzer Die Beantragung einer Zugangs-/Zugriffsberechtigung für ein internes IT-System erfolgt entsprechend gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 8). Es ist vom Systembetreiber sicherzustellen, dass dieselbe Kennung nicht an verschiedene Benutzer vergeben wird. Für Gruppen von Benutzern mit ähnlichen Aufgaben sind Rollen zu definieren und in Systemen umzusetzen, soweit dies technisch möglich ist. Diesen Rollen sind standardmäßig Kategorien von Zugriffsrechten zuzuordnen. Ein Benutzer erhält die Rechte, die seiner Rolle zugeordnet sind. Der Systembetreiber hat eine Übersicht über die zugelassenen Benutzer, Benutzergruppen und Rechteprofile zu führen. Es sind Verfahren für die Vergabe und die Rücksetzung von Passwörtern festzulegen und zu veröffentlichen. Einem Ausprobieren von Benutzerkennungen und Passwörtern ist durch geeignete Maßnahmen zu begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch und/oder eine Sperrung nach einer definierten Anzahl von Fehlversuchen). Die Dokumentation der zugelassenen Benutzer und Rechteprofile ist regelmäßig darauf zu überprüfen, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht. 8.3. Netzzugriffskontrolle Nur authentisierte und autorisierte Benutzer dürfen Zugang zum internen Konzernnetzwerk erhalten. Der Systemzugang für externe Verbindungen ist mindestens mittels "Wissen und Besitz" zu schützen (z. B. SecurID-Karte: dort ist „Wissen“ die Kenntnis der PIN-Nummer und „Besitz“ das Haben der Karte selber). Zum Schutz vor unberechtigten und ungewollten Verbindungen sind Rückrufverfahren und –maßnahmen einzusetzen (z. B. die Verwendung von Rückruf-Modems). Die Anbindung eines externen Geschäftspartners darf erst nach unterschriebener Geschäfts- und Geheimhaltungsvereinbarung erfolgen. Nicht benötigte Dienste sind von den zuständigen Stellen abzuschalten. Seite 8 von 14
IT-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Status: Freigegeben 8.4. Kontrolle des Betriebssystemzugriffs Das Netzwerk ist auf nicht autorisierte Endgeräte zu prüfen. IT-Systeme, die den Zugang Unbefugter ungehindert zulassen, dürfen nicht eingesetzt werden, sondern sind durch geeignete IT-Systeme zu ersetzen, durch geeignete Maßnahmen zu schützen oder durch entsprechende Zusatzsoftware oder –hardware nachzurüsten. Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende Vorgaben zu erfüllen: Bei falscher Eingabe bei der Anmeldung darf das IT-System nicht anzeigen, welcher Teil der Daten fehlerhaft war. Erfolglose Versuche sind aufzuzeichnen. Die für das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das IT-System die Anmeldung abzubrechen. Allen Benutzern ist eine eindeutige Benutzerkennung für ihren persönlichen und alleinigen Gebrauch zuzuweisen, damit Aktivitäten auf die verantwortliche Einzelperson zurückgeführt werden können. Die Benutzerkennungen dürfen, soweit technisch möglich, keinerlei Auskunft über die Zugriffsrechte des Benutzers geben. Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe „IT- Sicherheitshandlungsleitlinien für Mitarbeiterinnen und Mitarbeiter“) durch entsprechende Systemumsetzungen zu unterstützen. Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren oder durch geeignete Maßnahmen zu schützen. 8.5. Zugriffskontrolle für Anwendungen Vom Administrator ist sicherzustellen, dass der Anwender innerhalb der Anwendung nur Zugriff auf die für ihn freigegebenen Informationen erhält. 8.6. Überwachung des Systemzugriffs und der Systembenutzung IT-Sicherheitsvorfälle sind zu dokumentieren. Bei der Passwortvergabe/-änderung ist zu überprüfen, ob Passwörter gemäß den Passwortregeln gebildet werden. 8.7. Mobile Computing Mobiles Arbeiten im Netz außerhalb des Konzernnetzwerkes mit einem tragbaren Computer erfordert eine sichere Remote Anbindung. Die Identifikation und Authentisierung erfolgt mittels „Wissen und Besitz“. Die Datenübertragung ist mit einer sicheren Verschlüsselung zu schützen. 9. Systementwicklung und –wartung Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt werden. Neue oder geänderte Programme für Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach Freigabe durch Informationseigentümer und Systembetreiber eingesetzt werden. Die Versions- /Korrekturstände der eingesetzten Software sind zu dokumentieren und gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 10) zu archivieren. Beim Zugriff auf Testdaten ist der Grundsatz „Kenntnis, nur wenn nötig“ zu beachten. Der Test von Software ist nur in der dafür vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen, dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird. Seite 9 von 14
Seite 1 und 2: Informationstechnik (IT)-Sicherheit
Seite 3 und 4: IT-Sicherheitshandlungsleitlinien f
Seite 7: IT-Sicherheitshandlungsleitlinien f

(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?