(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
8.4. Kontrolle des Betriebssystemzugriffs<br />
Das Netzwerk ist auf nicht autorisierte Endgeräte zu prüfen.<br />
<strong>IT</strong>-Systeme, die den Zugang Unbefugter ungehindert zulassen, dürfen nicht eingesetzt werden, sondern<br />
sind durch geeignete <strong>IT</strong>-Systeme zu ersetzen, durch geeignete Maßnahmen zu schützen oder durch<br />
entsprechende Zusatzsoftware oder –hardware nachzurüsten.<br />
Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende<br />
Vorgaben zu erfüllen:<br />
Bei falscher Eingabe bei der Anmeldung darf das <strong>IT</strong>-System nicht anzeigen, welcher Teil der Daten<br />
fehlerhaft war.<br />
Erfolglose Versuche sind aufzuzeichnen.<br />
Die <strong>für</strong> das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das<br />
<strong>IT</strong>-System die Anmeldung abzubrechen.<br />
Allen Benutzern ist eine eindeutige Benutzerkennung <strong>für</strong> ihren persönlichen <strong>und</strong> alleinigen Gebrauch<br />
zuzuweisen, damit Aktivitäten auf die verantwortliche Einzelperson zurückgeführt werden können.<br />
Die Benutzerkennungen dürfen, soweit technisch möglich, keinerlei Auskunft über die Zugriffsrechte des<br />
Benutzers geben.<br />
Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe „<strong>IT</strong>-<br />
<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> Mitarbeiterinnen <strong>und</strong> Mitarbeiter“) durch entsprechende<br />
Systemumsetzungen zu unterstützen.<br />
Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren<br />
oder durch geeignete Maßnahmen zu schützen.<br />
8.5. Zugriffskontrolle <strong>für</strong> Anwendungen<br />
Vom Administrator ist sicherzustellen, dass der Anwender innerhalb der Anwendung nur Zugriff auf die <strong>für</strong><br />
ihn freigegebenen Informationen erhält.<br />
8.6. Überwachung des Systemzugriffs <strong>und</strong> der Systembenutzung<br />
<strong>IT</strong>-Sicherheitsvorfälle sind zu dokumentieren.<br />
Bei der Passwortvergabe/-änderung ist zu überprüfen, ob Passwörter gemäß den Passwortregeln gebildet<br />
werden.<br />
8.7. Mobile Computing<br />
Mobiles Arbeiten im Netz außerhalb des Konzernnetzwerkes mit einem tragbaren Computer erfordert eine<br />
sichere Remote Anbindung. Die Identifikation <strong>und</strong> Authentisierung erfolgt mittels „Wissen <strong>und</strong> Besitz“. Die<br />
Datenübertragung ist mit einer sicheren Verschlüsselung zu schützen.<br />
9. Systementwicklung <strong>und</strong> –wartung<br />
Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt<br />
werden.<br />
Neue oder geänderte Programme <strong>für</strong> Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach<br />
Freigabe durch Informationseigentümer <strong>und</strong> <strong>Systembetreiber</strong> eingesetzt werden. Die Versions-<br />
/Korrekturstände der eingesetzten Software sind zu dokumentieren <strong>und</strong> gemäß gesellschaftsspezifischer<br />
Regelungen (siehe Anhang, Ziff. 10) zu archivieren.<br />
Beim Zugriff auf Testdaten ist der Gr<strong>und</strong>satz „Kenntnis, nur wenn nötig“ zu beachten.<br />
Der Test von Software ist nur in der da<strong>für</strong> vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen,<br />
dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird.<br />
Seite 9 von 14