Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler

Transkript

1 Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler Dokumenthistorie: Version Name Org.-Einheit Datum Bemerkung 1.0 Fröhlich, Hafner Audi I/GO, VW K-GOT

2 Inhaltsverzeichnis: 1. Zweck Kontext Geltungsbereich Einstufung und Kontrolle der Werte Management der Kommunikation und des Betriebs Zugangskontrolle Systementwicklung und wartung Sicherheitsanforderungen an IT-Systeme Sicherheit in IT-Systemen Kryptographische Maßnahmen Politik für den Einsatz kryptographischer Maßnahmen Verschlüsselung Digitale Signaturen Schlüsselmanagement Sicherheit von Systemdateien Sicherheit bei Entwicklungs- und Supportprozessen Einhaltung der Verpflichtungen Verantwortlichkeit...7 Anhang:...8 Seite 2 von 8

3 1. Zweck Die für die Nutzung von Informationen und Kommunikationsgeräten (z. B. Personalcomputer, Workstations einschließlich mobiler Rechner wie Notebooks, PDAs) zu beachtenden IT- Sicherheitsregelungen für Systementwickler (Entwickler von IT-Systemen (siehe Anhang, Ziff. 1)) sind in diesen IT-Sicherheitshandlungsleitlinien zusammengefasst. Diese dienen dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie der Wahrung der Rechte und Interessen des Unternehmens und aller natürlichen und juristischen Personen, die mit unserer Konzerngesellschaft in geschäftlicher Beziehung stehen bzw. für diese arbeiten. Die Basis für dieses Dokument stellt die IT-Sicherheitspolitik dar. Die Grundsätze der IT-Sicherheitspolitik werden für die Zielgruppe Systementwickler konkretisiert. Die Struktur dieses Dokumentes basiert auf dem internationalen Standard ISO/IEC Dieses Dokument steht über das Intranet zur Verfügung (siehe Anhang, Ziff. 2). Die Bekanntgabe von Informationen hinsichtlich Änderungen bzw. Aktualisierungen erfolgen ausschließlich über das Intranet (siehe Anhang, Ziff. 2). 2. Kontext Folgende Übersicht zeigt die Einordnung der IT-Sicherheitshandlungsleitlinien in das IT- Sicherheitsregelwerk: IT-Sicherheitspolitik Definition der grundlegenden Ziele, Strategien und Verantwortlichkeiten zur Gewährleistung der IT-Sicherheit IT-Sicherheitshandlungsleitlinien Ausgestaltung der Politik in organisatorische Anweisungen für einzelne Benutzergruppen IT-Sicherheitsregelungen Spezifikation der organisatorischen Standards im technischen Umfeld und Beschreibung von technischen Funktionen und Prozessen Für alle Nur für eingeschränkten Nutzerkreis IT-Sicherheitsregelwerk Seite 3 von 8

4 3. Geltungsbereich Die Handlungsleitlinien gelten für die AUDI AG und sind im gesamten Audi Konzern anzuwenden und durch konkrete IT-Regelungen im Einzelfall auszugestalten. 4. Einstufung und Kontrolle der Werte Die Verantwortung für Informationen hat der jeweilige Informationseigentümer. Dies gilt auch dann, wenn die Informationen über IT-Systeme bereitgestellt werden. 5. Management der Kommunikation und des Betriebs Die Sicherheitsanforderungen an ein IT-System sind mit den Benutzern/Benutzervertretern während der Planung zu definieren und zu dokumentieren. Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen. 6. Zugangskontrolle Einem Ausprobieren von Benutzerkennungen und Passwörtern ist durch geeignete Maßnahmen zu begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch und/oder eine Sperrung nach einer definierten Anzahl von Fehlversuchen). Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende Vorgaben zu erfüllen: Bei falscher Eingabe bei der Anmeldung darf das IT-System nicht anzeigen, welcher Teil der Daten fehlerhaft war. Erfolglose Versuche sind aufzuzeichnen. Die für das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das IT-System die Anmeldung abzubrechen. Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe IT- Sicherheitshandlungsleitlinien für Mitarbeiterinnen und Mitarbeiter ) durch entsprechende Systemumsetzungen zu unterstützen. Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren oder durch geeignete Maßnahmen zu schützen. 7. Systementwicklung und wartung 7.1. Sicherheitsanforderungen an IT-Systeme Vor Entwicklung und Einsatz von IT-Systemen sind die IT-Sicherheitsmaßnahmen zu identifizieren und zu vereinbaren. Dies gilt für die Infrastruktur, Standardanwendungen und für selbst entwickelte Anwendungen. IT-Sicherheitsanforderungen und -maßnahmen müssen gesetzliche Vorschriften, den Wert der betroffenen Informationen sowie den potentiellen Schaden für das Unternehmen, der durch einen Mangel an oder das Nichtvorhandensein von Sicherheit entstehen kann, berücksichtigen. Die Analyse von IT-Sicherheitsanforderungen und die Identifizierung von Maßnahmen zur Erfüllung dieser Anforderungen muss im Bedarfsfall durch ein Risikomanagement begleitet werden. Folgende grundsätzliche IT-Sicherheitsanforderungen sind abhängig von der Klassifizierung der Daten bei der Systementwicklung zu gewährleisten: Datenintegrität, d. h. Einrichtung von Verfahren, die sicherstellen, dass alle Daten exakt und vollständig verarbeitet und gespeichert werden. Seite 4 von 8

5 Systemintegrität, d.h. Einrichtung von Verfahren, die sicherstellen, dass die Systemverarbeitung vollständig, exakt und autorisiert durchgeführt wird. Verfügbarkeit, d. h. Einrichtung von Verfahren, die sicherstellen, dass die Daten und Systeme innerhalb eines vereinbarten Zeitraums bereitstehen. Vertraulichkeit, d. h. Einrichtung von Verfahren, die sicherstellen, dass nur berechtigte Personen auf schützenswerte Informationen bei der Verwendung, Übertragung, Speicherung oder Löschung Zugriff haben. Zugriffskontrolle, d. h. Einrichtung von Verfahren, die sicherstellen, dass der Zugriff auf schützenswerte Unternehmensinformationen auf die Personen beschränkt wird, die diese zur Erfüllung ihrer vertragsgegenständlichen Arbeiten benötigen. Authentisierung, d. h. Einrichtung von Verfahren, die sicherstellen, dass alle IT-Systeme nur von Berechtigten genutzt werden können. Autorisierung, d. h. Einrichtung von Zugangskontrollverfahren, die sicherstellen, dass alle IT- Systeme bzw. IT-Anwender nur die Daten und Dienste nutzen können, die ihnen explizit zugewiesen wurden. Unabstreitbarkeit, d. h. Einrichtung von Verfahren, die sicherstellen, dass die Authentisierung und Integrität der enthaltenen Informationen später verifiziert werden kann Sicherheit in IT-Systemen In IT-Systemen sind Schutzmaßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit (gegen Verlust, Änderung oder Missbrauch von Daten) vorzusehen. Dies sind Maßnahmen wie: Validierung der Eingabedaten Kontrolle der internen Verarbeitung z. B. bei der Verfolgung von Datenbanktransaktionen Nachrichtenauthentisierung Validierung der Ausgabedaten Beim Einsatz von Audit-/Aktivitätsprotokollen sind die notwendigen Genehmigungsverfahren einzuhalten (siehe Anhang, Ziff. 3). Für die Verarbeitung vertraulicher oder geheimer Daten durch IT-Systeme ist der Einsatz spezieller Sicherheitsmaßnahmen (z. B. Verschlüsselung, Signaturen) notwendig. Die Festlegung und Entscheidung für den Einsatz solcher Maßnahmen ist auf Grundlage von Risikoanalysen bezüglich der IT- Sicherheitsanforderungen des Geschäftsprozesses zu treffen. Die Sicherheit von IT-Systemen ist durch die Umsetzung der Maßnahmen, die der Systementwicklungsprozess (SEP) fordert, zu gewährleisten. Bezüglich der Beratung bei der Einführung von IT-Systemen gelten die Regelungen und Betriebsvereinbarungen der jeweiligen Konzerngesellschaft (siehe Anhang, Ziff. 4) Kryptographische Maßnahmen Politik für den Einsatz kryptographischer Maßnahmen Grundsatzentscheidungen über Strategie, Einsatz und Handhabung kryptographischer Maßnahmen sind durch die zuständigen Stellen (siehe Anhang, Ziff. 5) zu treffen Verschlüsselung Die Regelungen für das Schlüsselmanagement, um eine vertrauliche, integere und authentische Erzeugung, Verteilung und Installation von geeigneten Schlüsseln zu gewährleisten, sind durch die dafür zuständigen Stellen (siehe Anhang, Ziff. 6) festzulegen. Zum Schutz vertraulicher oder geheimer Daten sind von den zuständigen Stellen freigegebene Verschlüsselungsprodukte (siehe Anhang, Ziff. 7) einzusetzen. Im Falle der Freigabe und des Einsatzes anwendungsspezifischer Verschlüsselungssoftware müssen auch geeignete Tools zur Umschlüsselung bereitgestellt werden. Seite 5 von 8

6 Digitale Signaturen Zum Schutz der Authentizität und Integrität bei der Verteilung von geheimen Daten ist mindestens die fortgeschrittene elektronische Signatur einzusetzen. Eine elektronische Signatur ist eine Kontrollinformation (Mechanismus), die an eine Nachricht oder Datei angehängt wird und mit der folgende Eigenschaften verbunden sind: Anhand einer elektronischen Signatur ist eindeutig feststellbar, wer diese erzeugt hat. Durch die Signatur bestätigt der Unterzeichner sein Einverständnis mit dem Inhalt und der Versendung der Daten. Es ist authentisch überprüfbar, ob die Daten, welche mit der elektronischen Signatur übertragen worden sind, identisch sind mit den Daten, die tatsächlich signiert wurden. Die nationalen Gesetze zur rechtlichen Anerkennung der elektronischen Signatur sind zu beachten (siehe Anhang, Ziff. 8). Zertifikate haben eine zeitlich begrenzte Gültigkeit. Vor Ablauf der Gültigkeit eines Signaturzertifikats (Schlüsselverwendung content commitment bzw. non repudiation ) müssen damit signierte Daten mit einem länger gültigen Schlüssel übersigniert werden Schlüsselmanagement Die Schlüssel sind gegen Modifikation und Zerstörung zu schützen. Sofern Schlüssel Unbefugten bekannt geworden sind, sind sie auszutauschen. Der Kreis der Personen, die Zugriff auf die Schlüssel haben, ist möglichst klein zu halten und ist in einem Verzeichnis festzuhalten. Es ist sicherzustellen, dass benutzte Schlüssel mindestens so lange aufbewahrt werden, wie die mit ihrer Hilfe verschlüsselten oder signierten Dateien archiviert werden, soweit dies nicht durch ein zentrales Schlüsselmanagement (z. B. PKI) gewährleistet wird Sicherheit von Systemdateien Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt werden. Neue oder geänderte Programme für Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach Freigabe durch Informationseigentümer und Systembetreiber eingesetzt werden. Die Versions- /Korrekturstände der eingesetzten Software sind zu dokumentieren und gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 10) zu archivieren. Beim Zugriff auf Testdaten ist der Grundsatz Kenntnis, nur wenn nötig zu beachten. Der Test von Software ist nur in der dafür vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen, dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird. Personenbezogene, vertrauliche oder geheime Daten sind vor der Übernahme von produktiven IT-Systemen in die Testsysteme so zu verfälschen, dass ein Rückschluss auf die Original-Daten nicht mehr möglich ist, sofern auf diese Daten Personen Zugriff erhalten, die diese nicht unbedingt für die Erfüllung ihrer vertragsgegenständlichen Arbeiten benötigen. Das Kopieren oder die Nutzung von Informationen aus laufenden IT-Systemen ist nur nach vorheriger Genehmigung durch den Informationseigentümer zulässig. Die kopierten Daten unterliegen den gleichen IT-Sicherheitsanforderungen wie die Original-Daten. Benutzte Informationen aus laufenden IT-Systemen sind nach Durchführung des Tests nicht wiederherstellbar zu löschen. Zugriffsberechtigungen, die für laufende IT-Systeme gelten, müssen auch für Testanwendungen beachtet werden. Seite 6 von 8

7 7.5. Sicherheit bei Entwicklungs- und Supportprozessen Alle Abläufe und Vorgänge, die IT-Systeme berühren, sind so zu gestalten, dass das jeweils angestrebte IT- Sicherheitsniveau ganzheitlich erreicht und beibehalten wird. Formale Änderungskontrollverfahren (Change Management) sind durchzuführen. Sie müssen sicherstellen, dass Sicherheit und Überwachungsverfahren der IT-Systeme nicht durch Änderungen kompromittiert werden. Wenn Änderungen an gekauften Softwarepaketen durchgeführt werden, sind die Auswirkun-gen auf bestehende Regelungen und Sicherheitsmaßnahmen zu klären. Änderungen dürfen nur erfolgen, wenn dies lizenzrechtlich und aufgrund der Wartungsverträge zulässig ist. 8. Einhaltung der Verpflichtungen Beim Einsatz von Verschlüsselung und/oder von elektronischen Signaturen (siehe Anhang, Ziff. 8) insbesondere über Ländergrenzen hinweg sind die länderspezifischen Regelungen für den Import/Export/Zugriff von bzw. auf Hardware/Software/Informationen zu beachten. Bei Fragen zu den länderspezifischen Regelungen sind die zuständigen Stellen (siehe Anhang, Ziff. 11) zu kontaktieren. 9. Verantwortlichkeit Diese Handlungsleitlinien sind von allen Systementwicklern anzuwenden und einzuhalten. Verstöße gegen die Handlungsleitlinien werden individuell nach geltenden betrieblichen und gesetzlichen Vorschriften und Vereinbarungen geprüft und entsprechend geahndet. Abweichungen von diesen Handlungsleitlinien, die das Sicherheitsniveau senken, sind nur in Abstimmung mit den zuständigen Stellen (siehe Anhang, Ziff. 12) und nur zeitlich begrenzt zulässig. Seite 7 von 8

8 Anhang: Gültigkeit: Diese Regelungen sind bei der Entwicklung von neuen IT-Systemen mit der Veröffentlichung sofort bindend. Ziffer 1. Ein IT-System ist ein Gesamtsystem bestehend aus sämtlichen HW/SW-Komponenten inklusive deren Kommunikationsbeziehungen untereinander. 2. Die jeweils aktuellen Informationen werden im Audi mynet veröffentlicht. 3. Personenbezogene Protokollierung, die eine Verhaltenskontrolle ermöglicht, ist im Betriebsratsausschuss EDV-Systeme zu genehmigen. 4. IT-Systeme, die mitbestimmungspflichtige Tatbestände beinhalten, sind in den BR-EDV-Ausschüssen zu beraten. 5. Verantwortlichkeit: IT-Sicherheitsteam. 6. Verantwortlichkeit: I/FP Die freigegebenen Verschlüsselungsprodukte finden Sie im mynet unter Services/IT&O/Produkte & Leistungen/Architektur, Methoden & Standards/IT-Standards Die verbindliche Vorgabe im Konzern. 8. Nationale Gesetze zur Anerkennung der elektronischen Signatur: In der Bundesrepublik Deutschland gilt das Signaturgesetz SigG. Hier sind die nationalen gesetzlichen Rahmenbedingungen für den Einsatz elektronischer Signaturen beschrieben. Das an die EU-Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom [ECRL99] angepasste Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften [SigG01] ist am in Kraft getreten und löst das Signaturgesetz von 1997 ab. Das Gesetz soll Rahmenbedingungen schaffen, bei deren Einhaltung eine qualifizierte elektronische Signatur als mindestens gleichwertig sicher zu einer eigenhändigen Unterschrift angesehen werden kann. Es enthält Festlegungen darüber, wann qualifizierte elektronische Signaturen nach dem Signaturgesetz der handschriftlichen Unterschrift gleichgestellt sind. Im Ergebnis wird digitalen Signaturen nach dem Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt. 9. Verantwortlichkeit: Systemadministratoren und Mitarbeiter mit administrativen Rechten. 10. Die Versions-/Korrekturstände sind in Abhängigkeit von gesetzlichen Anforderungen und Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) während der Lebenszeit des Systems und danach 10 Jahre zu archivieren. 11. Verantwortlichkeit: Zentraler Rechtsservice. 12. Verantwortlichkeit: Informations- und Datenschutz. Seite 8 von 8