Sicherheitsleitlinie - Betriebs- und Kommunikationsmanagement
 

Dokumentierte Verfahren

Alle Datenverarbeitungsarbeitsschritte müssen dokumentiert werden. Dies gilt für geplante Batch-Verarbeitungen, Stoppen und Starten der Systeme und Prozeduren zur Datensicherung (Backup).

Neben den normalen Arbeitsanweisungen, sollte auch Folgendes enthalten sein:

  • Arbeitsanweisungen für den Fehlerfall

  • Startbedingungen

  • was ist mit Ausdrücken zu tun (Listen, Printouts,...)

  • ...

Die Arbeitsanweisungen werden vom Verantwortlichen für Datenverarbeitung gewartet und in speziellen Räumen leicht zugänglich aufbewahrt. Es versteht sich von selbst, dass die betroffenen Mitarbeiter diese Arbeitsanweisungen kennen und befolgen müssen.

Der folgende Abschnitt ist optional, jedoch wichtig für alle Organisationen, die Server verwenden. In allen anderen Fällen sollen mindestens die Backup-Arbeitsanweisungen dokumentiert werden.

Wenden Sie die Sicherheitsmaßnahmen an für:

Organisatorische Maßnahmen im direkten Zusammenhang:

Trennung von Entwicklungs-, Test- und Produktiveinrichtungen

Es ist dringend anzuraten, Entwicklungs- und Test-Rechner von Produktions-Rechnern zu trennen.

Dies, um die Gefahr einer fälschlichen Veränderung von Produktionsdaten zu minimieren.

Von der Verwendung von Produktionsdaten in einer Testumgebung (meist wesentlich weniger geschützt) ist dringend abzuraten. Besonders dann, wenn man sensible Daten verarbeitet (in puncto Vertraulichkeit), Herstellungsgeheimnisse, oder personenbezogene Daten.

Wenden Sie die Sicherheitsmaßnahmen an für:

  • Server, auf denen Anwendungen laufen (Buchhaltung, Customer Relationship Management, Lagerhaltung, ...) falls die Organisation Test- oder Entwicklungstätigkeiten macht.

Organisatorische Maßnahmen im direkten Zusammenhang:

Verwaltung von Betriebsmitteln durch Externe

Im Fall der Verwaltung von Betriebsmitteln durch Externe, sollten im Vorfeld alle kritischen Punkte untersucht und alle speziellen Sicherheitsmaßnahmen im Dienstvertrag aufgeführt werden.

Man spricht von "outsourcing" oder "facilities management".

Wenden Sie die Sicherheitsmaßnahmen an für:

  • Computer und Server, die von Externen verwaltet werden. Im Fall einer Fernwartung müssen spezifische Punkte in der Leitlinie   Zugangskontrolle (siehe Verbindungen von außen festgelegt werden.

Schutz gegen Schadprogramme

Eine Infektion durch Viren oder andere Schadprogramme ist eines der größten Risiken für Benutzer von EDV-Geräten . Diese können mithilfe von Wechseldatenträgern wie etwa CDs, Disketten, USB-Sticks oder per E-Mail oder beim Besuchen von schädlichen Webseiten in die Organisation gelangen.

Computer und Server der Organisation müssen mit Antivirenprogrammen ausgestattet sein. Der EDV-Verantwortliche muss dafür sorgen, dass sie auf jeder Maschine installiert und auch stets aktualisiert werden. Computer und Server sind gleichermaßen betroffen, (siehe Sicherheitsmaßnahmen Für Fileserver und Sicherheitsmaßnahmen für Mail-Server ).

Die Benutzer müssen auch eine Reihe von Maßnahmen berücksichtigen, um die Kompromission der Sicherheit zu verhindern. Es ist verboten:

  • das korrekte Arbeiten der Antivirenprogramme zu stören (Ausschalten, Umkonfigurieren, Updates verhindern, usw.);

  • Programme zu installieren, für die es keine Zulassung durch das IT-Management gibt (KMU: siehe: Benutzung unerlaubter Programme

  • Programme zu starten oder Dateien zu öffnen,die per E-Mail geschickt wurden, ohne jedoch erwartet oder angekündigt worden zu sein, selbst wenn der Absender bekannt ist. (KMU: siehe Social Engineering / unangebrachte Kommunikation und Behandlung von Schadprogrammen). Diese Mails sollten sofort zerstört werden, oder ein Rat sollte beim EDV-Verantwortlichen eingeholt werden.

Die Programme welche der Überprüfung von E-Mails dienen, können nicht nur Schadprogramme entfernen, sondern auch verschiedene potenziell gefährliche Anhänge löschen (Programme, Scripts, Makros).

Wenden Sie die Sicherheitsmaßnahmen an für:

Verhaltensregeln

Organisatorische Maßnahmen im direkten Zusammenhang:

Technische Maßnahmen

Backup von Informationen

Es wird dringend empfohlen,   Sicherheitskopien der Daten, spezieller Programme und spezieller Konfigurationen zu machen. Tatsächlich kann ein Schadensfall (Feuer oder Überschwemmung) oder, was viel häufiger vorkommt, ein Schaden an einer Festplatte leicht all diese Informationen zerstören. (KMU: siehe Feuer und Funktionsunfähigkeit von Datenverarbeitungs- oder Kommunikationsgeräten und Sachschäden während des Transports).

Im Schadensfall kann das Material im Allgemeinen oft leicht ersetzt werden; im Gegensatz ist es oft unmöglich verloren gegangene Daten wiederherzustellen, was für eine Organisation das Ende bedeuten kann.

Backups von wichtigen oder vitalen Informationen (Klassifikation) müssen in dem Klassifikationsniveau der Daten entsprechenden Intervallen gemacht werden.

Je nach Typ der Daten müssen Backups in drei Intervall-Zyklen gemacht werden. Ein tägliches Backup auf einem wöchentlich wiederverwendetem Speichermedium (z.B. überschreibt das Montags-Backup das Backup vom vorigen Montag). Ein wöchentliches Backup mit Zyklen von 4 bis 5 Wochen. Ein monatliches Backup mit einem jährlichen Zyklus. Das wöchentliche Backup wird eigentlich einmal im Monat in ein monatliches Backup umgewandelt (das letzte Wochenbackup des Monats). Die Jahres-Backups werden endgültig archiviert, für den Fall, dass sie aus juristischen Gründen benötigt werden.

Monatliche und wöchentliche Sicherheitskopien müssen in einem spezifischen Lokal aufbewahrt werden, das puncto Sicherheit dem Sicherheitsperimeter in nichts nachsteht, wenn möglich in einem anderen Gebäude.

Die nicht mehr benötigten Datenträger müssen sicher gelöscht, aber besser zerstört werden. Dies bezieht sich auf alle Typen von Datenträgern, Papier oder andere (KMU: siehe Entsorgung von Datenträgern und Wiederverwendung von Datenträgern und Entfernen von Eigentum (Diestahl)).

Backups können auch im Fall von menschlichen Fehlern sehr nützlich sein (KMU: siehe menschliche Fehler), um das System in seinem vorherigen, stabilen Zustand wieder hochzufahren. Ein Prozess zur Wiederherstellung der Daten ist in diesem Fall notwendig  und sollte auch getestet werden. Jährliche Tests dieser Prozeduren sollen durchgeführt werden.

Schutz der Datenträger während des Transports

Beim Transport oder Verschicken von Datenträgern, welche Daten der Organisation enthalten, ist es wichtig, das Klassifikationsniveau der Daten sowie folgende Sicherheitsmaßnahmen zu berücksichtigen (KMU: siehe Sachschäden während des Transports:

  • eine spezifische Verpackung benutzen (erzwungene Öffnung hinterlässt Spuren)

  • Verwenden Sie eine Aktentasche mit Code-Schloss

  • Die Lieferung von einem Mitarbeiter der Organisation durchführen lassen

  • Daten verschlüsseln

Wenden Sie die Sicherheitsmaßnahmen an für:

  • Transport von Sicherheitskopien
  • Kommunikation via E-Mail

  • Kommunikation über das Internet (FTP,...)

Organisatorische Maßnahmen

Technische Maßnahmen

E-Mails

E-Mails werden über das Internet verschickt und können unter keinem Umstand als sichere Kommunikation angesehen werden. E-Mails können auch irrtümlicherweise an einen falschen Adressaten geschickt werden, von einem Dritten gelesen oder sogar verändert werden. Jede Handlung, welche die Verantwortung der Organisation bindet, sollte über einen anderen Kommunikationsweg bestätigt werden (Telefon, Brief, Fax, usw.). Dies kann einen Adressats-Fehler oder eine Änderung am Inhalt der Nachricht verhindern. (Siehe: E-Mail-Leitfaden).

Schicken Sie keine vertraulichen Inhalte per Mail. Falls doch, verwenden sie mit dem Empfänger vereinbarte kryptografische Methoden.

Der Mail-Server der Organisation ist für den dienstlichen Einsatz vorgesehen. Ein moderater persönlicher Gebrauch kann toleriert werden. Der Benutzer ist persönlich für eine missbräuchliche Verwendung haftbar. Aus gesetzlichen Gründen kann es sein, dass ein Teil oder alle Mails der Mitarbeiter archiviert werden. (KMU: siehe Missbrauch von organisationsinternen Ressourcen)