(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
8. Zugangskontrolle<br />
8.1. Geschäftsanforderungen an die Zugangskontrolle<br />
Der Zugriff auf nicht öffentliche Informationen darf nur authentisiert <strong>und</strong> autorisiert erfolgen.<br />
Der Informationseigentümer hat sicherzustellen, dass die Zugriffsrechte der Anwender <strong>und</strong> -gruppen auf<br />
die Ihnen zugewiesenen Ressourcen <strong>für</strong> jedes <strong>IT</strong>-System geregelt sind.<br />
Nicht benötigte Daten, Dienste <strong>und</strong> Benutzerkennungen sind durch den <strong>Systembetreiber</strong> zu löschen bzw.<br />
gezielt zu sperren.<br />
Administratorkennungen dürfen nur zu administrativen Aufgaben genutzt werden. Routinetätigkeiten, die<br />
kein Administrationsrecht erfordern, sind mit Benutzerkennungen mit eingeschränkten Rechten<br />
durchzuführen.<br />
8.2. Verwaltung der Zugriffsrechte der Benutzer<br />
Die Beantragung einer Zugangs-/Zugriffsberechtigung <strong>für</strong> ein internes <strong>IT</strong>-System erfolgt entsprechend<br />
gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 8).<br />
Es ist vom <strong>Systembetreiber</strong> sicherzustellen, dass dieselbe Kennung nicht an verschiedene Benutzer<br />
vergeben wird.<br />
Für Gruppen von Benutzern mit ähnlichen Aufgaben sind Rollen zu definieren <strong>und</strong> in Systemen<br />
umzusetzen, soweit dies technisch möglich ist. Diesen Rollen sind standardmäßig Kategorien von<br />
Zugriffsrechten zuzuordnen.<br />
Ein Benutzer erhält die Rechte, die seiner Rolle zugeordnet sind.<br />
Der <strong>Systembetreiber</strong> hat eine Übersicht über die zugelassenen Benutzer, Benutzergruppen <strong>und</strong><br />
Rechteprofile zu führen.<br />
Es sind Verfahren <strong>für</strong> die Vergabe <strong>und</strong> die Rücksetzung von Passwörtern festzulegen <strong>und</strong> zu<br />
veröffentlichen.<br />
Einem Ausprobieren von Benutzerkennungen <strong>und</strong> Passwörtern ist durch geeignete Maßnahmen zu<br />
begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch <strong>und</strong>/oder eine Sperrung nach einer<br />
definierten Anzahl von Fehlversuchen).<br />
Die Dokumentation der zugelassenen Benutzer <strong>und</strong> Rechteprofile ist regelmäßig darauf zu überprüfen, ob<br />
sie den tatsächlichen Stand der Rechtevergabe widerspiegelt <strong>und</strong> ob die Rechtevergabe noch den<br />
Sicherheitsanforderungen <strong>und</strong> den aktuellen Aufgaben der Benutzer entspricht.<br />
8.3. Netzzugriffskontrolle<br />
Nur authentisierte <strong>und</strong> autorisierte Benutzer dürfen Zugang zum internen Konzernnetzwerk erhalten.<br />
Der Systemzugang <strong>für</strong> externe Verbindungen ist mindestens mittels "Wissen <strong>und</strong> Besitz" zu schützen (z. B.<br />
SecurID-Karte: dort ist „Wissen“ die Kenntnis der PIN-Nummer <strong>und</strong> „Besitz“ das Haben der Karte selber).<br />
Zum Schutz vor unberechtigten <strong>und</strong> ungewollten Verbindungen sind Rückrufverfahren <strong>und</strong> –maßnahmen<br />
einzusetzen (z. B. die Verwendung von Rückruf-Modems).<br />
Die Anbindung eines externen Geschäftspartners darf erst nach unterschriebener Geschäfts- <strong>und</strong><br />
Geheimhaltungsvereinbarung erfolgen.<br />
Nicht benötigte Dienste sind von den zuständigen Stellen abzuschalten.<br />
Seite 8 von 14