Bericht Prsi

Weitere Magazine

Empfehlungen

Info

Empfehlung Von zentraler Bedeutung für die Erfüllung der Aufgaben der Informatik des Landes Vorarlberg erachtet der Landes-Rechnungshof die Überwachung der ausgelagerten Dienstleistungen. Der Landes- Rechnungshof empfiehlt daher, um dieser Aufgabe gerecht zu werden, Instrumente zur Überwachung der erbrachten Leistungen im Bereich Systembetreuung, bestehend aus dem Betriebs- und Benutzerservice, der Client-Server Administration und des Netzwerkbetriebes sowie im Bereich der Softwarewartung auszuarbeiten und anzuwenden. Vorgaben CobiT 5.2. Sicherstellen der Systemsicherheit (AU5) Im Amt der Vorarlberger Landesregierung wurden von der Abteilung PrsI – Informatik einzelne Maßnahmen für die IT-Sicherheit gesetzt; ein umfassendes Sicherheitskonzept sollte möglichst rasch erstellt werden; die Sicherheit der IT-Systeme sollte regelmäßig überprüft werden. Dieser Prozess dient der Sicherstellung der Systemsicherheit der EDV- Anlagen eines Unternehmens. Dies ist notwendig um elektronisch gespeicherte Informationen gegen unberechtigten Zugriff, also Gebrauch, Aufdeckung, Änderung, Beschädigung oder Verlust zu schützen. Die Systemsicherheit wird auf zwei Ebenen abgedeckt, die logische Ebene (Zugriffsschutz, Sicherheitseinstellungen im Betriebssystem und Applikationen) und die physische Ebene (Zutrittsschutz zu Rechnerräumlichkeiten, Verteilerkästen uä.). Innerhalb der logischen Ebene existieren drei wesentliche Bereiche, nämlich Zugriffsschutz auf Betriebssystemebene, auf Applikationsebene und Netzwerksicherheit. Neben den Einstellungen in den Systemen ist es notwendig organisatorische Maßnahmen wie Sicherheitsrichtlinien und –belehrungen durchzuführen. Wesentliche Aspekte im Zusammenhang mit der Systemsicherheit sind: - Genehmigung - Authentisierung - Zugriff - Benutzerprofile und Identifikation - Schlüsselungsmanagement - Problemmeldewesen, <strong>Bericht</strong>erstattung und Folgeaktivitäten - Vertrauenswürdiger Pfad - Verhütung und Entdeckung von Viren - Firewalls Um die Sicherheit der EDV-Systeme einer Organisation in angemessenen Ausmaß zu gewährleisten ist es notwendig, Sicherheitsmechanismen einerseits auf logischer und physischer Ebene zu implementieren und andererseits entsprechende organisatorische Maßnahmen zu treffen. Seite 34
Vorgaben CobiT Die Sicherheit auf logischer Ebene umfasst den Zugriffsschutz auf Netzwerk-, Betriebssystem- und Anwendungsebene, Sicherheit auf physikalischer Ebene betrifft die Zutrittsbeschränkung zu Rechnerräumlichkeiten und anderen Orten, an welchen sich EDV-technische Geräte befinden. Bewertung Handhabung von Sicherheitsmaßnahmen Identifikation, Authentisierung und Zugriff Die Folge von mangelnder IT-Sicherheit kann der ungefugte Zugriff auf elektronisch gespeicherte Daten, der Missbrauch von IT-Ressourcen sowie deren Zerstörung und damit eine Beeinträchtigung der Amtsgeschäfte sein. Da die Sicherheit der EDV-Systeme wesentlichen Einfluss auf die vertrauliche und sichere Verarbeitung der Daten des gesamten Amtes der Vorarlberger Landesregierung hat, wurde dieser Subprozess vom Landes- Rechnungshof einer näheren Untersuchung unterzogen. Die Prüfungshandlungen beschränkten sich auf eine konzeptionelle Prüfung der Sicherheit der Betriebssysteme und des Netzwerks sowie eine oberflächliche Prüfung der Systemeinstellungen. Insbesondere erfolgte keine Prüfung der Applikationen. Organisatorische Sicherheit umfasst die Entwicklung einer IT- Sicherheitsstrategie, die mit einer allfällig vorhandenen allgemeinen Organisations-Sicherheitsstrategie abgestimmt werden muss und in einem IT-Sicherheitskonzept mündet. Ein derartiges Sicherheitskonzept sollte Regelungen den Zugriff auf IT-Ressourcen, den Umgang mit Daten, Vorkehrungen bei Verstößen etc. umfassen und allen Mitarbeitern möglicherweise im Rahmen von entsprechenden Schulungen kommuniziert werden. Derzeit existierten nur Ansätze eines umfassenden IT-Sicherheitsplanes innerhalb der Abteilung PrsI - Informatik oder des Amtes der Vorarlberger Landesregierung. Ein ausgearbeitetes Sicherheitskonzept existiert nur für das Vorarlberger Integriertes Personalabrechnungs- und Personalmanagementsystem (VIPAS). In der SISP II für die Jahre 2000 - 2005 ist die Ausarbeitung eines Sicherheitskonzeptes vorgesehen. Es existieren vereinzelt IT-Sicherheitskonzepte für Anwendungen und Systeme. Richtlinien für Benutzer wurden neu erstellt, aber noch nicht offiziell freigegeben. Auf Betriebssystemebene werden die entsprechenden mitgelieferten Authentisierungsmechanismen eingesetzt um Benutzern den Zugriff auf Netzwerkressourcen sowie auf bestimmte Applikationen (insbesondere Voranschlag – Buchhaltung - Kostenrechnung, Vorarlberger Integriertes Personalabrechnungs- und Personalmanagementsystem und Vorarlberger Integriertes Kommunikations- und -informationssystem) zu gewähren. Diese Anwendungen sind zusätzlich durch eigene Authentisierungsmechanismen gesichert. Seite 35
Seite 1 und 2: Prüfbericht über die Abteilung Pr
Seite 3 und 4: I N H A L T S V E R Z E I C H N I S
Seite 5 und 6: Zusammenfassung der Ergebnisse Die
Seite 7 und 8: Die Umsetzung eines derartigen umfa
Seite 9 und 10: 2. Vorgehensweise Der EDV-Prozess u
Seite 11 und 12: Vorgaben CobiT - Personalwesen (PO7
Seite 13 und 14: Bewertung In Ergänzung zur SISP II
Seite 15 und 16: Vorgaben CobiT Die Unternehmensleit
Seite 17 und 18: Bewertung Die Aus- und Weiterbildun
Seite 19 und 20: Bewertung Da die Abteilungen und Di
Seite 21 und 22: Vorgaben CobiT Das Management sollt
Seite 23 und 24: Bewertung Das Amt der Vorarlberger
Seite 25 und 26: Vorgaben CobiT Bewertung - Identifi
Seite 27 und 28: Schnittstellen Fachbereich „Betri
Seite 29 und 30: Verträge Nach Ablauf der oben erw
Seite 31 und 32: Kontinuität der Dienstleistungen S
Seite 33: Überwachung Dies stellt die Basis
Seite 37 und 38: Sicherheitsüberwachung Eine Sicher
Seite 39 und 40: Vorgaben CobiT Da der Helpdesk eine
Seite 41 und 42: Trendanalyse und Berichterstattung
Seite 43 und 44: Situation Des weiteren existiert ei
Seite 45 und 46: Jährliche Projekt- und Maßnahmenp
Seite 47 und 48: Projektarbeitsrichtlinie Projektant
Seite 49 und 50: 2. Die jährliche Projekt- und Maß

Bericht Prsi

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?