Cyber-Security für kleine und mittlere Unternehmen (KMU)

Transkript

1 VdS-Richtlinien für die Informationssicherheit Cyber-Security für kleine und mittlere Unternehmen (KMU) Anforderungen ENTWURF 1

2 VdS 3473 : (Entwurf 0.9.0) Inhalt 1 Allgemeines Motivation Geltungsbereich Anwendungshinweise Gültigkeit Normative Verweise Glossar Organisation der Informationssicherheit Verantwortlichkeiten Zuweisung und Dokumentation Funktionstrennungen Ressourcen Delegieren von Aufgaben Topmanagement Informationssicherheitsbeauftragter (ISB) Informationssicherheitsteam (IST) IT-Verantwortlicher Administratoren Vorgesetzte mit Personalverantwortung Personal Projektverantwortliche Lieferanten und sonstige Auftragnehmer Leitlinie zur Informationssicherheit (IS-Leitlinie) Voraussetzungen Beschluss und Veröffentlichung Überprüfung und Aktualisierung Richtlinien zur Informationssicherheit (IS-Richtlinien) Voraussetzungen Allgemeine Anforderungen Inhalte Regelungen für Nutzer Regelungen für Dienstleister Weitere Regelungen Personal Voraussetzungen Vor der Einstellung Einstellung und Einarbeitung Beendigung oder Wechsel der Anstellung Wissen Voraussetzungen Aktualität des Wissens Sensibilisierung, Aus- und Weiterbildung Identifizieren kritischer IT-Ressourcen Voraussetzungen Kritische Prozesse Kritische Informationen Kritische IT-Systeme, mobile Datenträger und Verbindungen Kritische Individualsoftware IT-Systeme Voraussetzungen Inventarisierung Lebenszyklus

3 Inbetriebnahme und Änderung Ausmusterung und Weiterverwendung Basisschutz Updates Beschränkung des Netzwerkverkehrs Protokollierung Externe Schnittstellen und Laufwerke Schadsoftware Starten von fremden Medien Authentifizierung Zugriffsbeschränkungen Zusätzliche Maßnahmen für kritische IT-Systeme Risikoanalyse und -behandlung Notbetriebsniveau Robustheit Änderungsmanagement Dokumentation Datensicherung Überwachung Ersatzsysteme und -verfahren Kritische Individualsoftware Zusätzliche Maßnahmen für mobile IT-Systeme IS-Richtlinie Schutz der Informationen Verlust Netzwerke und Verbindungen Voraussetzungen Dokumentation Aktive Netzwerkkomponenten Netzwerkanschlüsse Segmentierung Netzübergänge Verbindungen Fernzugriff Netzwerkkopplung Zusätzliche Maßnahmen für kritische Verbindungen Mobile Datenträger Voraussetzungen Basisschutz Zusätzliche Maßnahmen für kritische mobile Datenträger Risikoanalyse und -behandlung Schutz der gespeicherten Informationen Verlust Umgebung Voraussetzungen Basisschutz Server, aktive Netzwerkkomponenten und Netzwerkverteilstellen Datenleitungen Zusätzliche Maßnahmen für kritische IT-Systeme IT-Outsourcing und Cloud Computing Voraussetzungen Vor der Nutzung Basisschutz Zusätzliche Maßnahmen für kritische IT-Ressourcen Zugänge und Zugriffsrechte

4 VdS 3473 : (Entwurf 0.9.0) 15.1 Voraussetzungen Verwaltung Zusätzliche Maßnahmen für kritische IT-Systeme und Daten Datensicherung und Archivierung Voraussetzungen Datenspeicherung Archivierung Technische und organisatorische Verfahren Tests Weiterentwicklung Basisschutz Server Aktive Netzwerkkomponenten Mobile IT-Systeme Zusätzliche Maßnahmen für kritische IT-Systeme Risikoanalyse Technische und organisatorische Verfahren Tests Ausfälle Voraussetzungen IS-Richtlinie Reaktion Zusätzliche Maßnahmen für kritische IT-Systeme Wiederanlaufpläne Abhängigkeiten Sicherheitsvorfälle Voraussetzungen Erkennen von Sicherheitsvorfällen IS-Richtlinie Reaktion A Anhang A 1 Verfahren A 2 Risikoanalyse und -behandlung A 2.1 Risikoanalyse A 2.2 Risikobehandlung A 2.3 Wiederholung und Anpassung

5 1 Allgemeines 1.1 Motivation Für den Erfolg eines Unternehmens sind nicht nur wettbewerbsfähige Produkte und Dienstleistungen notwendig. Die Nutzung moderner IT zur Bewältigung von betriebswirtschaftlichen, logistischen und technischen Geschäftsprozessen sowie der Anschluss an das Internet sind heute ebenso unabdingbare Erfordernisse, um im weltweiten Wettbewerb bestehen zu können. Digitalisierung und Vernetzung bergen jedoch auch neue Gefahren, die Unternehmen in ihrem Risikomanagement berücksichtigen müssen. Eine gut organisierte Informationssicherheit vermindert die Anzahl der Schwachstellen, verringert die verbleibenden Risiken und begrenzt dadurch potentielle Schäden für das Unternehmen. Für die Abwehr klassischer Gefahren stehen etablierte Schutz-Standards, insbesondere die Richtlinien der VdS Schadenverhütung GmbH, zur Verfügung. Nun hat die VdS mit den vorliegenden Richtlinien ein auf kleine und mittlere Unternehmen (KMU) zugeschnittenes Verfahren für die Etablierung und Aufrechterhaltung einer angemessenen Informationssicherheit entwickelt. 1.2 Geltungsbereich Diese Richtlinien legen Mindestanforderungen an die Informationssicherheit fest und können für kleine und mittlere Unternehmen (KMU), den gehobenen Mittelstand, Verwaltungen, Verbände und sonstige Organisationen angewendet werden. 1.3 Anwendungshinweise Die vorliegenden Richtlinien sind Grundlage für eine Zertifizierung durch die VdS. Die Umsetzung der geforderten Maßnahmen bedingt Fachwissen und Erfahrung auf dem Gebiet der Informationssicherheit. Sind diese Kenntnisse nicht in ausreichendem Maß vorhanden, empfiehlt sich die Inanspruchnahme qualifizierter Dienstleister gemäß VdS Aus Gründen der leichteren Lesbarkeit wird in diesen Richtlinien auf eine geschlechtsspezifische Differenzierung, wie z. B. Teilnehmer/Innen, verzichtet. Es wird durchgängig die männliche Form benutzt. Im Sinne des Gleichbehandlungsgesetzes sind diese Bezeichnungen als nicht geschlechtsspezifisch zu betrachten und gelten gleichermaßen für beide Geschlechter. 1.4 Gültigkeit Die vorliegende Entwurfsfassung kann von interessierten Kreisen im Rahmen des öffentlichen VdS-Konsultationsverfahrens kommentiert werden. Der Entwurf und Hinweise zum Konsultationsverfahren sind unter zu finden. Weitere Entwürfe und die endgültigen Richtlinien können von dem vorliegenden Entwurf abweichen. 2 Normative Verweise Diese Richtlinien enthalten datierte und undatierte Verweise auf andere Regelwerke. Die Verweise erfolgen in den entsprechenden Abschnitten, die Titel werden im Folgenden 5

6 VdS 3473 : (Entwurf 0.9.0) aufgeführt. Änderungen oder Ergänzungen datierter Regelwerke gelten nur, wenn sie durch Änderung dieser Richtlinien bekannt gegeben werden. Von undatierten Regelwerken gilt die jeweils zuletzt veröffentlichte Fassung. BSI BSI BSI DIN EN Reihe DIN EN Reihe DIN EN ISO 9001 DIN EN ISO DIN ISO/IEC DIN ISO/IEC ISO ISO/IEC VdS 2007 IT-Grundschutz Vorgehensweise Risikoanalyse auf der Basis von IT-Grundschutz Notfallmanagement Informationstechnik Anwendungsneutrale Kommunikationskabelanlagen Informationstechnik Installation von Kommunikationsverkabelung Qualitätsmanagementsysteme Anforderungen Aufrechterhaltung der Betriebsfähigkeit Anforderungen Informationssicherheits-Managementsysteme Anforderungen Leitfaden für das Informationssicherheits-Management Risk Management Principles and guidelines Information technology Security techniques Information security risk management Anlagen der Informationstechnologie (IT-Anlagen) - Merkblatt zur Schadenverhütung 3 Glossar Administrativer Zugang: Zugang, der einen Nutzer dazu befähigt, ein IT-System zu verwalten, d.h. der einem Nutzer umfangreiche Rechte in einem IT-System einräumt. Administrator: Ein Administrator ist zuständig für Einrichtung, Betrieb, Überwachung und Wartung eines IT-Systems oder Netzwerks. Aktive Netzwerkkomponente: Netzwerkkomponente, die über eine eigene Logik verfügt, wie z. B. Hubs, Switches, Repeater, Bridges, Medienkonverter, Gateways, Firewalls usw.. Aktive Netzwerkkomponenten benötigen in aller Regel eine Stromversorgung. Aktive Netzwerkkomponenten sind IT-Systeme. Aufgabe: Dauerhaft wirksame Aufforderung an Handlungsträger, festgelegte Handlungen wahrzunehmen. Authentifizierungsmerkmal: Merkmal, mit dessen Hilfe die anfragende Instanz ihre Identität nachweisen kann. Authentifizierungsmerkmale können Wissen (z. B. Passwort oder PIN), Besitz (z. B. Chipkarte oder Token) oder biometrische Merkmale (z. B. Fingerabdruck oder Iris) sein. Bedrohung: Potentielle Möglichkeit, dass ein Schaden entsteht. Business Continuity Management (BCM): Ganzheitlicher Managementprozess für die systematische Vorbereitung auf das Bewältigen von Schadenereignissen mit dem Ziel, 6

7 zentrale Geschäftsprozesse auch beim Eintreten von Notfällen, Krisen oder Katastrophen weiter zu betreiben, bzw. schnellstmöglich wieder in Gang zu setzen. Cloud Computing: Technologie, die es erlaubt über ein Netz auf einen geteilten Pool von konfigurierbaren IT-Ressourcen zuzugreifen. Daten: Gebilde aus Zeichen, die aufgrund bekannter Abmachungen Informationen darstellen. Datenleitung: Physisches Medium, über das Daten ausgetauscht werden können. Funktion: Bündel von Aufgaben, durch die ein Teil des Unternehmungsziels erreicht werden soll. Gefahr: Mögliche Schadwirkung auf ein zu schützendes Objekt. Gefährdung: Bedrohung plus Schwachstelle. Information: Sinn und Bedeutung, die der Empfänger nach seinen Möglichkeiten und Fähigkeiten aus erhaltenen Daten interpretiert. Informationssicherheit: Schutz von Informationen hinsichtlich gegebener Sicherheitsanforderungen (beispielsweise Vertraulichkeit, Verfügbarkeit oder Integrität). Informationssicherheitsbeauftragter (ISB): Person, die die Aufgaben gem. Abschnitt 4.3 wahrnimmt. Informationssicherheitsprozess: Organisatorische Verankerung von Aktivitäten zur Etablierung, Erhaltung und Weiterentwicklung der Informationssicherheit. Informationssicherheitsteam (IST): Gremium, das die Aufgaben gem. Abschnitt 4.4 wahrnimmt. Integrität: Korrektheit (Unversehrtheit) von Informationen bzw. die korrekte Funktionsweise der Datenverarbeitung. IS-Richtlinie: Richtlinie zur Informationssicherheit; siehe 6. IT-Infrastruktur: Alle langlebigen Einrichtungen materieller und institutioneller Art für den Betrieb von Anwendungssoftware. IT-Ressource: Betriebsmittel für die elektronische Informationsverarbeitung. Hierzu zählen IT-Systeme, Personal, Datenträger, Verbindungen sowie Daten und Informationen. IT-Verantwortlicher: Leiter der IT-Abteilung bzw. das für die Informationstechnik zuständige Management. IT-Outsourcing: Auslagerung von IT-Aufgaben an rechtlich unabhängige Anbieter. IT-System: Technische Anlagen, die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind z. B. Server, Clients, Drucker, Mobiltelefone, Smartphones, Telefonanlagen, Laptops, Tabletts und aktive Netzwerkkomponenten. Katastrophaler Schaden: Schaden, auf den eines der folgenden Kriterien zutrifft: 1. Auswirkung auf zentrale Geschäftsprozesse: 7

8 VdS 3473 : (Entwurf 0.9.0) Zentrale Geschäftsprozesse werden zum Erliegen gebracht und die Rückkehr zum Regelbetrieb ist (innerhalb eines akzeptablen Zeitraums) nicht möglich. 2. Auswirkung auf zentrale Werte des Unternehmens: Zentrale Unternehmenswerte gehen verloren oder werden zerstört und ihre Wiederherstellung ist (mit den Mitteln des Unternehmens) nicht mehr möglich. 3. Auswirkungen auf Leib und Leben von Personen: Es werden Menschen schwer verletzt oder kommen ums Leben. 4. Auswirkungen auf die Rechtskonformität: Gesetze, Verträge oder Normen werden gebrochen und die daraus resultierende Haftung ist für das Unternehmen oder für die Verantwortlichen ruinös. 5. Schadenshöhe: Der Schaden kann mit den Mitteln des Unternehmens nicht wieder behoben werden. Kritisches IT-System: IT-System, das die Bedingungen gem. Abschnitt 9.4 erfüllt. Kritischer mobiler Datenträger: Mobiler Datenträger, der die Bedingungen gem. Abschnitt 9.4 erfüllt. Kritische Verbindung: Verbindung, die die Bedingungen gem. Abschnitt 9.4 erfüllt. Leitlinie: Dokument des Topmanagements, das ein Ziel des Unternehmens und seine Priorität definiert sowie Verantwortlichkeiten zu seiner Erreichung festlegt. Mitarbeiter: Natürliche Person, die in einem Vertragsverhältnis mit dem Unternehmen steht und eine oder mehrere Positionen im Unternehmen wahrnimmt. Mobiler Datenträger: Datenträger, dessen Einsatzzweck durch Mobilität gekennzeichnet ist. Typische mobile Datenträger sind z. B. Speichersticks und karten sowie externe Festplatten, aber auch Speichermedien wie CD-ROMs, DVDs und Disketten. Mobiles IT-System: IT-System, dessen Einsatzzweck durch Mobilität gekennzeichnet ist. Typische mobile IT-Systeme sind z. B. Notebooks, Smartphones, Tabletts oder Digitalkameras. Netzwerkkomponente: Technische Anlagen, die der Weiterleitung von Daten dienen. Es werden aktive und passive Netzwerkkomponenten unterschieden. Netzübergang: Schnittstelle zwischen zwei unterschiedlichen Netzwerken. Dabei können sich die Netzwerke durch die physikalischen Übertragungsmedien, durch die verwendeten Protokolle oder durch eine unterschiedliche administrative Hoheit voneinander unterscheiden. Notbetriebsniveau: Definition, welche Funktionen von einem IT-System mindestens erbracht werden müssen, damit ein Notbetrieb aufrechterhalten werden kann. Notfall: Situation, in der Prozesse oder Ressourcen eines Unternehmens nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind so hoch, dass sie nicht akzeptabel sind. Die Behandlung eines Notfalls kann nicht im allgemeinen Tagesgeschäft abgewickelt werden. Passive Netzwerkkomponente: Netzwerkkomponente ohne eigene Logik z. B. Kabel, Patchfeld, Dose, Stecker usw.. Passive Netzwerkkomponenten benötigen in aller Regel keine Stromversorgung. 8

9 Personal: Interne und externe Mitarbeiter. physischer Zugriff: Umstand, der es ermöglicht, physisch mit einem IT-System oder einem Netzwerk zu interagieren. Position: Platz, den ein Mitarbeiter in der Hierarchie eines Unternehmens einnimmt. Projektverantwortlicher: Person, die für die ordnungsgemäße Durchführung eines Projekts des Unternehmens verantwortlich ist. Prozess: System von Tätigkeiten, das Eingaben mit Hilfe von Mitteln in Ergebnisse umwandelt. Prozess mit hohem Schadenspotential: Prozess, bei dessen Fehlfunktion oder kurzzeitigem Ausfall ein katastrophaler Schaden entstehen kann. Prozessverantwortlicher: Person, die inhaltlich für einen oder mehrere Geschäftsprozesse verantwortlich ist. Sie besitzt den Überblick über die für ihre Geschäftsprozesse benötigten Ressourcen und über die an sie gestellten Anforderungen. Ressource: Betriebsmittel, das dem Unternehmen gehört oder ihm zur Verfügung steht. Risiko: Eine nach Eintrittswahrscheinlichkeit und Schadenshöhe bewertete Gefährdung. Rolle: Bündel von Verhaltenserwartungen und Verantwortlichkeiten, die an eine Position gerichtet werden. Schnittstelle: Teil eines IT-Systems, das der Kommunikation dient. Dies sind nicht nur Ethernet- oder Wireless-LAN-Adapter sondern z. B. auch andere Komponenten wie ISDN-Karten, Modems, USB-Ports, NFC- und Infrarot-Schnittstellen, SD-Slots oder Tastaturen. Schwachstelle: Umstand der es ermöglicht, dass eine Bedrohung mit einem zu schützendes Objekt räumlich und/oder zeitlich zusammentreffen kann. Server: Zentrale Netzwerkrechner, über die funktionale und infrastrukturelle Netzdienste realisiert werden. Sicherheitsvorfall: Unerwünschtes Ereignis, das Auswirkungen auf die Informationssicherheit hat und in der Folge große Schäden nach sich ziehen kann. Was genau als ein Sicherheitsvorfall eingestuft wird, muss von jedem Unternehmen selbst definiert werden. Störung: Situation, in der Prozesse oder Ressourcen eines Unternehmens nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind als gering einzustufen. Die Beseitigung einer Störung kann im allgemeinen Tagesgeschäft abgewickelt werden. Systemsoftware: Firmware, Betriebssystem und systemnahe Software. Systemsoftware verwaltet die internen und externen Hardwarekomponenten eines IT-Systems. Topmanagement: Oberste Führungsebene, wie z. B. Vorstände, Geschäftsführer oder Behördenleiter. Verbindung: Kanal, über den Daten ausgetauscht werden können. Verfahren: Festgelegte Art und Weise, wie ein Prozess (oder auch eine einzelne Tätigkeit innerhalb eines Prozesses) auszuführen ist. 9

10 VdS 3473 : (Entwurf 0.9.0) Verfügbarkeit: Wahrscheinlichkeit, dass ein System bestimmte Anforderungen zu bzw. innerhalb eines vereinbarten Zeitrahmens erfüllt. Die Verfügbarkeit von Informationen ist vorhanden, wenn diese stets wie vorgesehen genutzt werden können. Vertraulichkeit: Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Die Vertraulichkeit von Informationen ist gegeben, wenn nur der dafür bestimmte Empfängerkreis diese lesen bzw. interpretieren kann. Zentraler Geschäftsprozess: Geschäftsprozess, der mit entscheidend für die Aufgabenerfüllung des Unternehmens ist. Dies kann z. B. ein Prozess für die Wertschöpfung oder für den Erhalt bzw. die Verbesserung der Wettbewerbsfähigkeit sein. Zugang: Einrichtung, die es erlaubt, mit der nichtöffentlichen IT-Infrastruktur des Unternehmens zu kommunizieren. Zugriff: Datenaustausch zwischen einer zugreifender Instanz und einem IT-System. 4 Organisation der Informationssicherheit Informationssicherheit ist dynamisch und für jedes Unternehmen individuell. Um mit möglichst geringem Aufwand das vom Unternehmen angestrebte Sicherheitsniveau zu definieren, umzusetzen und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen, MUSS ein entsprechender Prozess (Informationssicherheitsprozess) im Unternehmen etabliert werden. Dieser Abschnitt beschreibt die dafür notwendigen Positionen und ihre Aufgaben. Er ist fundamental für alle weiteren Abschnitte dieser Richtlinien und MUSS zuerst umgesetzt werden. 4.1 Verantwortlichkeiten Verantwortlichkeiten für den Informationssicherheitsprozess MÜSSEN eindeutig und widerspruchsfrei zugewiesen werden Zuweisung und Dokumentation Es MUSS für jede Verantwortlichkeit im Informationssicherheitsprozess dokumentiert werden: 1. welche Ziele erreicht werden sollen 2. für welche Ressourcen die Verantwortlichkeit besteht 3. welche Aufgaben erfüllt werden müssen, damit die Ziele erreicht werden 4. welche Berechtigungen an die Verantwortlichkeit gebunden sein müssen, um diese wahrnehmen zu können 5. welche Ressourcen für die Wahrnehmung der Verantwortlichkeit zur Verfügung stehen 6. wie und durch welche Position(en) die Erfüllung der Verantwortlichkeit überprüft wird 7. wie und wann Probleme eskaliert werden 8. welche Positionen die Verantwortlichkeit wahrnehmen Funktionstrennungen Bei Entwurf und Verteilung der Verantwortlichkeiten im Informationssicherheitsprozess MUSS das Prinzip der Funktionstrennung umgesetzt sein. Widersprüchliche 10

11 Verantwortlichkeiten DÜRFEN NICHT von ein und derselben Person oder Unternehmenseinheit wahrgenommen werden. Ist eine Funktionstrennung nicht oder nur mit einem unverhältnismäßig hohen Aufwand durchführbar, MÜSSEN andere Maßnahmen wie Überwachung von Tätigkeiten, Kontrollen oder Leitungsaufsicht umgesetzt werden. Ist eine Funktionstrennung nicht durchführbar, MUSS dies in der Dokumentation der Funktionsverteilung besonders hervorgehoben und begründet werden. Um Zuständigkeitslücken oder Überschneidungen von Verantwortlichkeiten im Informationssicherheitsprozess zu vermeiden, MÜSSEN die entsprechenden Regelungen mindestens jährlich vom Informationssicherheitsbeauftragten (ISB) überprüft werden Ressourcen Um Verantwortlichkeiten im Informationssicherheitsprozess wahrzunehmen, MUSS das entsprechende Personal im erforderlichen Umfang von anderen Tätigkeiten freigestellt werden Delegieren von Aufgaben Verantwortliche für Informationssicherheit DÜRFEN Aufgaben an andere Personen delegieren. Die Verantwortung bleibt jedoch bei ihnen, sodass sie die Erfüllung und das Ergebnis der delegierten Aufgaben überprüfen müssen. 4.2 Topmanagement Das Topmanagement MUSS die Ziele und den Stellenwert der Informationssicherheit für das Unternehmen definieren und dies in einer Leitlinie für Informationssicherheit (IS- Leitlinie) dokumentieren (siehe 5). Das Topmanagement MUSS sich zur Wahrnehmung folgender Verantwortlichkeiten verpflichten: 1. Übernahme der Gesamtverantwortung für die Informationssicherheit 2. Übernahme der Verantwortlichkeit für den Informationssicherheitsprozess 3. Inkraftsetzung von Richtlinien für die Informationssicherheit (IS-Richtlinien) 4. Vermittlung des Stellenwerts der Informationssicherheit im Unternehmen 5. Bereitstellung der notwendigen technischen, finanziellen und personellen Ressourcen für die Informationssicherheit 6. Einbettung der Informationssicherheit in die Strukturen, Hierarchien und Arbeitsabläufe des Unternehmens 4.3 Informationssicherheitsbeauftragter (ISB) Das Topmanagement MUSS die Verantwortlichkeiten eines Informationssicherheitsbeauftragten (ISB) einem Mitarbeiter zuweisen. Dieser MUSS folgende Verantwortlichkeiten wahrnehmen: 1. initiieren, planen, umsetzen und steuern des Informationssicherheitsprozesses 2. erarbeiten konkreter Verbesserungsvorschläge 11

12 VdS 3473 : (Entwurf 0.9.0) 3. unterstützen des Topmanagements bei der Erarbeitung der IS-Leitlinie (siehe 5) und aller IS-Richtlinien (siehe 6) 4. unterstützen des Topmanagements bei der jährlichen Überprüfung und Anpassung der IS-Leitlinie 5. jährliche Überprüfung und Anpassung aller IS-Richtlinien 6. untersuchen von sicherheitsrelevanten Ereignissen 7. einleiten und steuern von Sensibilisierungs- und Schulungsmaßnahmen 8. unterstützen des Topmanagements in zentralen Fragen der Informationssicherheit 9. Ansprechpartner bei allen Projekten sein, die Auswirkungen auf die Informationsverarbeitung haben, sowie bei der Einführung neuer Anwendungssoftware und IT-Systeme, um sicherzustellen, dass sicherheitsrelevante Aspekte ausreichend beachtet werden 10. jährliches Reporting an das Informationssicherheitsteam (IST) über den aktuellen Stand der Informationssicherheit im Unternehmen, insbesondere über Risiken und Sicherheitsvorfälle 11. wahrnehmen der Rolle des zentralen Ansprechpartners für Informationssicherheit 4.4 Informationssicherheitsteam (IST) Das Topmanagement MUSS ein Informationssicherheitsteam (IST) bestellen. In diesem MÜSSEN folgende Unternehmenseinheiten bzw. Positionen persönlich oder durch einen Repräsentanten vertreten sein: 1. Topmanagement 2. ISB 3. IT-Verantwortlicher 4. Personal 5. Datenschutzbeauftragter (sofern vorhanden) Das Team MUSS den ISB bei folgenden Tätigkeiten unterstützen: 1. erstellen der IS-Leitlinie und aller IS-Richtlinien 2. jährliche Überprüfung der IS-Leitlinie und aller IS-Richtlinien 3. unternehmensweite Koordinierung und Lenkung der Informationssicherheitsmaßnahmen 4. erkennen neuer Gefährdungen 4.5 IT-Verantwortlicher Die Aufgaben eines IT-Verantwortlichen MÜSSEN vom Topmanagement Mitarbeiter(n) zugewiesen werden. IT-Verantwortliche MÜSSEN folgende Aufgaben wahrnehmen: 1. Sorge tragen, dass IS-Richtlinien in ihrem Verantwortungsbereich durch entsprechende technische und organisatorische Maßnahmen umgesetzt werden 12

13 2. abstimmen aller Maßnahmen mit dem ISB, die aus ihrer Sicht zur Verbesserung und Erhaltung der Informationssicherheit in ihrem Verantwortungsbereich ergriffen werden müssen sowie deren Koordination, Planung und Umsetzung 4.6 Administratoren Die Verantwortlichkeiten eines Administrators MÜSSEN Mitarbeiter(n) zugewiesen werden. Administratoren MÜSSEN folgende Verantwortlichkeiten wahrnehmen: 1. implementieren technischer Maßnahmen zur Umsetzung des Informationssicherheitsprozesses in Abstimmung mit den IT-Verantwortlichen 2. erstellen von Vorschlägen für die Verbesserung der Informationssicherheit 4.7 Vorgesetzte mit Personalverantwortung Vorgesetzte mit Personalverantwortung MÜSSEN sicherstellen, dass die getroffenen technischen und organisatorischen Maßnahmen zur Informationssicherheit in Bezug auf das ihnen unterstellten Personal umgesetzt werden. 4.8 Personal Das Personal MUSS die folgenden Aufgaben wahrnehmen: 1. einhalten und umsetzen aller sie oder ihre Tätigkeit betreffenden Maßnahmen und Regelungen zur Informationssicherheit 2. melden von Störungen, Sicherheitsvorfällen und Notfällen 4.9 Projektverantwortliche Alle Projektverantwortlichen MÜSSEN den ISB bei allen Projekten, die Auswirkungen auf die Informationsverarbeitung haben konsultieren, um sicherzustellen, dass sicherheitsrelevante Aspekte ausreichend beachtet werden Lieferanten und sonstige Auftragnehmer Das Unternehmen MUSS alle Lieferanten und sonstige Auftragnehmer verpflichten, die sie oder ihre Tätigkeit betreffenden Maßnahmen und Regelungen zur Informationssicherheit einzuhalten bzw. umzusetzen. 5 Leitlinie zur Informationssicherheit (IS-Leitlinie) Die Leitlinie zur Informationssicherheit (IS-Leitlinie) ist das zentrale Dokument für den gesamten Informationssicherheitsprozess, da in ihr die zu erreichenden Ziele durch das Topmanagement vorgegeben und Verantwortlichkeiten sowie Befugnisse definiert werden. 5.1 Voraussetzungen Für die Umsetzung dieses Abschnitts MUSS das Kapitel Organisation der Informationssicherheit (siehe 4) implementiert sein. 13

14 VdS 3473 : (Entwurf 0.9.0) 5.2 Beschluss und Veröffentlichung Das Topmanagement MUSS die IS-Leitlinie beschließen und bekannt geben. Sie MUSS 1. die Ziele und den Stellenwert der Informationssicherheit im Unternehmen definieren 2. sämtliche Positionen zusammen mit deren Aufgaben und Befugnissen für den Informationssicherheitsprozess definieren sowie 3. einen Hinweis auf Konsequenzen im Falle einer Nichtbeachtung beinhalten Die IS-Leitlinie MUSS in der jeweils aktuellen Form dem betroffenen Personal zur Verfügung stehen. 5.3 Überprüfung und Aktualisierung Das Topmanagement MUSS die IS-Leitlinie jährlich auf Aktualität prüfen und gegebenenfalls eine Aktualisierung veranlassen. 6 Richtlinien zur Informationssicherheit (IS-Richtlinien) Als Unterstützung und Konkretisierung der IS-Leitlinie MÜSSEN weitere Vorgaben für die Informationssicherheit verabschiedet und in einzelnen Dokumenten, den IS-Richtlinien, gesammelt werden. 6.1 Voraussetzungen Für die Umsetzung dieses Abschnitts MUSS der Abschnitt Leitlinie zur Informationssicherheit (siehe 5) implementiert sein. 6.2 Allgemeine Anforderungen Jede IS-Richtlinie MUSS vom ISB unter aktiver Mitarbeit des IST erstellt und vom Topmanagement in Kraft gesetzt werden. Die IS-Richtlinien MÜSSEN nach jeder Aktualisierung den Zielgruppen zeitnah bekannt gegeben werden. Die Bekanntgabe MUSS in einer für die Zielgruppe zugänglichen und verständlichen Form geschehen, beispielsweise im Zuge einer Schulung. IS-Richtlinien MÜSSEN im Unternehmen umgesetzt oder vom Topmanagement aufgehoben werden. Bei der Erstellung und Anpassung von IS-Richtlinien SOLLTEN alle gesetzlichen, behördlichen und vertraglichen Anforderungen ermittelt und entsprechend umgesetzt werden. 6.3 Inhalte Jede IS-Richtlinie MUSS folgende Anforderungen erfüllen: 1. sie MUSS enthalten, für wen sie verbindlich ist 14

15 2. sie MUSS begründen, warum sie erstellt wurde und festlegen, was mit ihr erreicht werden soll 3. sie DARF NICHT gegen die IS-Leitlinie oder andere Richtlinien verstoßen 4. sie MUSS auf die Konsequenzen bei ihrer Nichtbeachtung hinweisen 6.4 Regelungen für Nutzer Es MÜSSEN Regelungen für die Nutzer der IT-Infrastruktur getroffen werden. Die Regelungen MÜSSEN in IS-Richtlinien getroffen werden und für alle Nutzer (inkl. aller Führungsebenen) sowie für die gesamte IT-Infrastruktur ohne Ausnahme verbindlich sein. Folgende Regelungen MÜSSEN getroffen werden: 1. Generelle Nutzungsbedingungen a. Das unrechtmäßige Abrufen oder Verbreiten von Inhalten, die urheberrechtlich geschützt sind, MUSS untersagt werden. b. Das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten MUSS untersagt werden. 2. Privatnutzung: a. Es MUSS klar definiert sein, ob die private Nutzung der IT-Infrastruktur erlaubt ist. b. Wenn die private Nutzung der IT-Infrastruktur erlaubt ist, so MUSS sie im Sinne des Unternehmens ausgestaltet werden 3. Grundlegende Verhaltensregeln: a. Es MUSS untersagt werden, nicht freigegebene Hard- und Software in der IT- Infrastruktur zu installieren, zu nutzen oder zu betreiben. b. Es MUSS untersagt werden, eigene Netzübergänge zu installieren; es DÜRFEN ausschließlich die vom Unternehmen bereitgestellten Netzübergänge genutzt werden. c. Es MUSS untersagt werden, die in der IT-Infrastruktur installierten Sicherheitseinrichtungen zu deinstallieren, zu deaktivieren, mutwillig zu umgehen oder in ihrer Konfiguration zu verändern. d. Es MUSS untersagt werden, Zugangskennungen weiterzugeben. e. Es MUSS untersagt sein, Informationen eigenmächtig zu verschlüsseln oder vor lesendem Zugriff zu schützen; hierfür MÜSSEN die vom Unternehmen explizit freigegebenen technischen Verfahren genutzt werden. 4. Informationsfluss bei Abwesenheit: a. Es MUSS geregelt werden, ob neu eintreffende Nachrichten für einen abwesenden Nutzer an andere weitergeleitet werden. b. Es MUSS geregelt werden, ob Anrufe für einen Abwesenden weitergeleitet werden. c. Es MUSS geregelt werden, ob und wann auf den Datenbestand eines Abwesenden zugegriffen werden darf. 5. Missbrauchskontrolle: a. Es MÜSSEN Mechanismen zur Missbrauchskontrolle definiert und den Nutzern mitgeteilt werden; die Mechanismen MÜSSEN eine angemessene Überwachung der IT-Infrastruktur ermöglichen. 15

16 VdS 3473 : (Entwurf 0.9.0) 6. Ausnahmen: a. Ausnahmen von den obigen Regelungen DÜRFEN zugelassen werden. b. Ausnahmen MÜSSEN vom ISB im Vorfeld genehmigt werden. c. Ausnahmen MÜSSEN mit Beweggrund und Zweck begründet werden. d. Ausnahmen MÜSSEN dokumentiert werden. 6.5 Regelungen für Dienstleister Es MÜSSEN Regelungen für alle Dienstleister getroffen werden, die auf nichtöffentliche Bereiche der IT-Infrastruktur des Unternehmens zugreifen. Diese MÜSSEN in IS-Richtlinien definiert werden und für alle betroffenen Dienstleister sowie für die gesamte IT-Infrastruktur des Unternehmens ohne Ausnahme verbindlich sein. Folgende Regelungen MÜSSEN getroffen werden: 1. Generelle Nutzungsbedingungen: a. Das unrechtmäßige Abrufen oder Verbreiten von Inhalten, die urheberrechtlich geschützt sind, MUSS untersagt werden. b. Das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten MUSS untersagt werden. 2. Privatnutzung: a. Die Privatnutzung der IT-Infrastruktur MUSS untersagt werden. 3. Grundlegende Verhaltensregeln: a. Es MUSS untersagt werden, eigene Netzübergänge zu installieren; es DÜRFEN ausschließlich die vom Unternehmen bereitgestellten Netzübergänge genutzt werden. b. Alle Änderungen an Sicherheitseinrichtungen MÜSSEN im Vorfeld vom ISB freigegeben werden. c. Es MUSS untersagt werden, Zugangskennungen weiterzugeben. d. Es MUSS untersagt sein, Informationen eigenmächtig zu verschlüsseln oder vor lesendem Zugriff zu schützen; hierfür MÜSSEN die vom Unternehmen explizit freigegebenen technischen Verfahren genutzt werden. 4. Zugriff des Dienstleisters auf die IT-Infrastruktur: a. Jeder Zugriff MUSS im Vorfeld mit dem ISB abgestimmt werden und darf ausschließlich über die dafür bereitgestellten Zugänge erfolgen. b. Wenn IT-Systeme des Dienstleisters auf die IT-Infrastruktur zugreifen, MÜSSEN diese über grundlegende Sicherheitsmaßnahmen abgesichert sein; hierfür MUSS das Unternehmen Mindestanforderungen definieren. 5. Einbringen und Verwalten von IT-Systemen durch den Dienstleister: a. Bevor ein IT-System in die IT-Infrastruktur des Unternehmens integriert wird, MUSS es von einem Administrator freigegeben werden. 6. Umgang mit den Daten des Unternehmens: a. Grundsätzlich MÜSSEN die Daten des Unternehmens in seiner IT-Infrastruktur verbleiben und dürfen nicht auf fremde IT-Systeme oder Datenträger übertragen werden. 16

17 b. Der Einsatz von mobilen Datenträgern MUSS durch einen Administrator im Vorfeld genehmigt werden. c. Jeder mobile Datenträger MUSS zeitnah vor seiner Verwendung in der IT-Infrastruktur auf Schadsoftware getestet werden. d. Mobile Datenträger auf denen Daten des Unternehmens gespeichert sind, MÜSSEN grundsätzlich vertraulich behandelt werden; diese Datenträger DÜRFEN NICHT weitergegeben oder für andere Personen zugänglich aufbewahrt werden. 7. Missbrauchskontrolle: a. Es MÜSSEN Mechanismen zur Missbrauchskontrolle definiert und den Dienstleistern mitgeteilt werden; die Mechanismen MÜSSEN eine angemessene Überwachung der IT-Infrastruktur ermöglichen. 8. Ausnahmen: a. Ausnahmen von den obigen Regelungen DÜRFEN zugelassen werden. b. Ausnahmen MÜSSEN vom ISB im Vorfeld genehmigt werden. c. Ausnahmen MÜSSEN mit Zweck und Beweggrund begründet werden. d. Ausnahmen MÜSSEN dokumentiert werden. 6.6 Weitere Regelungen Im Rahmen dieser VdS-Richtlinien MÜSSEN weitere themenspezifische IS-Richtlinien erarbeitet werden: 1. Zusätzliche Maßnahmen für mobile IT-Systeme (siehe 10.6) 2. Ausfälle(siehe 17) 3. Sicherheitsvorfälle (siehe 18) Der Bedarf für weitere IS-Richtlinien MUSS vom ISB ermittelt werden. 7 Personal Das Unternehmen MUSS sein Personal als einen zentralen Sicherheitsfaktor für die Informationssicherheit wahrnehmen und durch verschiedene Maßnahmen sicherstellen, dass es seine Aufgaben kennt und umsetzt. 7.1 Voraussetzungen Für die Umsetzung dieses Abschnitts MUSS der Abschnitt Leitlinie zur Informationssicherheit (siehe 5) implementiert sein. 7.2 Vor der Einstellung Vor einer Einstellung MUSS der Hintergrund aller Bewerber in der finalen Auswahl mit geeigneten Maßnahmen geprüft werden. Die jeweiligen Maßnahmen MÜSSEN in einem angemessenen Verhältnis zu den Geschäftsanforderungen und der zu besetzenden Position stehen. Wenn eine für die Informationssicherheit des Unternehmens relevante Position besetzt wird, MUSS das Unternehmen sicherstellen, dass der Bewerber über die notwendige 17

18 VdS 3473 : (Entwurf 0.9.0) Kompetenz für die vorgesehenen Aufgaben und über die erforderliche Vertrauenswürdigkeit verfügt. 7.3 Einstellung und Einarbeitung Es MUSS ein Verfahren (siehe A 1) implementiert werden, das im Zuge der Einstellung bzw. des Einarbeitens von neuem Personal folgende Punkte sicherstellt: 1. es wird eine Vertraulichkeitserklärung unterzeichnet, die auch jene Pflichten in Bezug auf Informationssicherheit definiert, die nach Beendigung oder Veränderung des Arbeitsverhältnisses andauern 2. das neue Personal wird in die IS-Leitlinie, in sämtliche für es verbindliche IS- Richtlinien und sonstige verbindliche Regelungen zur Informationssicherheit eingewiesen 3. das neue Personal wird im Umgang mit den für sie relevanten Sicherheitsmechanismen geschult 4. es erhält die benötigten Zugänge und Zugriffsrechte (siehe 15) und wird in deren Nutzung geschult 7.4 Beendigung oder Wechsel der Anstellung Es MUSS ein Verfahren (siehe A 1) implementiert werden, das bei Beendigung oder Wechsel einer Anstellung folgende Punkte sicherstellt: 1. soweit erforderlich, werden Personal und Kunden über Änderungen im Personalund betrieblichen Bereich informiert 2. die Zugänge und Zugriffsrechte (siehe 15) des Mitarbeiters werden umgehend überprüft und angepasst 8 Wissen Viele Gefährdungen entstehen aus Unkenntnis oder mangelndem Problembewusstsein oder werden zumindest durch diese Faktoren verstärkt. Deshalb MUSS das Unternehmen sicherstellen, dass es über aktuelles Wissen in Bezug auf Informationssicherheit verfügt, das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. 8.1 Voraussetzungen Für die Umsetzung dieses Abschnitts MUSS der Abschnitt Leitlinie zur Informationssicherheit (siehe 5) implementiert sein. 8.2 Aktualität des Wissens Es MUSS ein Verfahren (siehe A 1) implementiert werden, mit dem alle relevanten Stellen des Unternehmens sowie ggf. relevante externe Stellen in geeigneter Weise über geänderte rechtliche und technische Bedingungen im Bereich der Informationssicherheit informiert werden. Das Verfahren MUSS folgende Anforderungen erfüllen: 1. es MÜSSEN Informationen über die aktuellen technischen und rechtlichen Entwicklungen im Bereich der Informationssicherheit, insbesondere über neue 18

19 Gefährdungen und mögliche Gegenmaßnahmen, aus verlässlichen Quellen regelmäßig bezogen werden 2. die Informationen MÜSSEN im Hinblick auf die Bedeutung für die Informationssicherheit zeitnah ausgewertet werden, um geänderte Gefahrenlagen zu erkennen 3. die jeweils Verantwortlichen MÜSSEN über die relevanten Entwicklungen zeitnah informiert werden Es SOLLTEN Kontakte und Verbindungen zu Interessengruppen und Sicherheitsforen gepflegt werden, damit die Verantwortlichen auf dem aktuellen Wissensstand sind und auf Fachinformationen und -beratung zugreifen können. 8.3 Sensibilisierung, Aus- und Weiterbildung Es MUSS ein Schulungs- und Sensibilisierungsprogramm definiert, dokumentiert und umgesetzt werden, mit dem das betroffene Personal über Gefährdungen und Sicherheitsmaßnahmen mindestens jährlich aufgeklärt und geschult wird. Das Programm MUSS die Teilnehmer über deren Verantwortung für die Informationssicherheit des Unternehmens und entsprechendes Verhalten informieren. Darüber hinaus MÜSSEN folgende Inhalte behandelt werden: 1. Konsequenzen bei Zuwiderhandlung gegen verbindliche Vorgaben 2. Die IS-Leitlinie und sämtliche für die Teilnehmer relevante IS-Richtlinien 3. Neue Gefährdungen und die Reaktion des Unternehmens darauf. Das Programm MUSS zielgruppenorientiert arbeiten und so eine individuelle Schulung und Sensibilisierung der Teilnehmer gewährleisten. Schulungs- und Sensibilisierungsmaßnahmen SOLLTEN mit einem Wissenstest abschließen, um das Verständnis des Personals zu ermitteln. 9 Identifizieren kritischer IT-Ressourcen Besonders zu schützende IT-Ressourcen MÜSSEN mindestens jährlich durch den ISB identifiziert werden. Das Unternehmen SOLLTE deshalb im Rahmen eines BCM (siehe 17) jährlich eine Business Impact Analyse auf Basis eines anerkannten Standards wie BSI oder ISO oder eine Schutzbedarfsanalyse gemäß BSI durchführen. Wenn eine andere Vorgehensweise gewählt wird, so MUSS hierfür ein Verfahren (siehe A 1) implementiert werden, das die Anforderungen der folgenden Abschnitte erfüllt. 9.1 Voraussetzungen Für die Umsetzung dieses Abschnitts MUSS der Abschnitt Leitlinie zur Informationssicherheit (siehe 5) implementiert sein. 9.2 Kritische Prozesse Das Unternehmen MUSS seine zentralen Geschäftsprozesse und seine Prozesse mit hohem Schadenspotential identifizieren und dokumentieren. Für jeden dieser Prozesse MUSS folgendes dokumentiert werden: 19

20 VdS 3473 : (Entwurf 0.9.0) 1. eine kurze Beschreibung 2. eine Begründung, warum der Prozess ein zentraler Prozess bzw. ein Prozess mit hohem Schadenspotential ist 3. wer für den Prozess verantwortlich ist (Prozessverantwortlicher) 4. wie lange ein Ausfall des Prozesses toleriert werden kann (Maximal tolerierbare Ausfallzeit MTA) Die Aufstellung der Prozesse und deren Dokumentation MUSS vom Topmanagement freigegeben werden. 9.3 Kritische Informationen Das Unternehmen MUSS jene Informationen ermitteln, die besonders geschützt werden müssen. Besonders zu schützen sind alle Informationen, bei denen folgende Faktoren zu katastrophalen Schäden führen können: 1. unberechtigte Einsicht, Kenntnisnahme oder Weitergabe (Kriterium Vertraulichkeit ) 2. Verfälschung (Kriterium Integrität ) 3. dauerhafter Verlust (Kriterium Langzeitverfügbarkeit ) 4. selbst kurzzeitige Nichtverfügbarkeit (Kriterium Unmittelbare Verfügbarkeit ) Um die kritischen Informationen zu ermitteln MÜSSEN die zentralen Geschäftsprozesse und die Prozesse mit hohem Schadenspotential (siehe 9.2) untersucht und sowohl Art als auch Umfang der Informationen berücksichtigt werden. 9.4 Kritische IT-Systeme, mobile Datenträger und Verbindungen Das Unternehmen MUSS seine kritischen IT-Systeme, mobile Datenträger und Verbindungen identifizieren. IT-Systeme, mobile Datenträger und Verbindungen sind kritisch, wenn sie kritische Informationen (siehe 9.3) verarbeiten, speichern oder übertragen. Für jedes kritische IT-System, für jeden kritischen mobilen Datenträger und für jede kritische Verbindung MUSS die MTA bestimmt werden. Die MTA MUSS kürzer sein als die kürzeste MTA aller kritischen Prozesse (siehe 9.2), die von dem IT-System, dem mobilen Datenträger oder der Verbindung abhängig sind. Um die kritischen IT-Systeme, mobilen Datenträger und Verbindungen zu ermitteln KANN ein Top-Down-Ansatz (prozessorientierte Sicht), ein Bottom-Up-Ansatz (systemorientierte Sicht) oder eine Mischung aus beiden Ansätzen verwendet werden. Bei einem Top- Down-Ansatz wird ermittelt, wo die kritischen Informationen (siehe 9.3) verarbeitet, gespeichert und übertragen werden. Bei einem Bottom-Up-Ansatz hingegen werden die IT-Systeme, mobilen Datenträger und Verbindungen des Unternehmens untersucht, ob sie kritische Informationen (siehe 9.3) verarbeiten, speichern und übertragen. Eine Mischung aus beiden Ansätzen bietet die Möglichkeit kritische IT-Systeme, Datenträger und Verbindungen zuverlässiger zu identifizieren. Nach der Identifizierung der kritischen IT-Systeme, mobilen Datenträger und Verbindungen MUSS ermittelt werden, welche Teile der IT-Infrastruktur für deren Betrieb unbedingt benötigt werden. Auch diese Teile der IT-Infrastruktur sind als kritisch anzusehen. 20

21 9.5 Kritische Individualsoftware Kritische Individualsoftware ist Software, die für den Betrieb von kritischen IT-Systemen (siehe 9.4) zwingend benötigt wird und individuell für das Unternehmen erstellt oder angepasst wurde. 10 IT-Systeme 10.1 Voraussetzungen Für die Umsetzung dieses Abschnitts MUSS der Abschnitt Leitlinie zur Informationssicherheit (siehe 5) implementiert sein Inventarisierung Es MUSS eine Inventarisierung vorhanden sein, in der alle IT-Systeme des Unternehmens verzeichnet sind. Die Inventarisierung MUSS durch entsprechende Verfahren (siehe und ) vollständig und aktuell gehalten werden. In ihr MÜSSEN folgende Informationen für jedes IT-System dokumentiert werden: 1. eindeutiges Identifizierungsmerkmal 2. Informationen, die eine schnelle Lokalisierung erlauben 3. Einsatzzweck 4. Besonderheiten der Installation/Konfiguration 10.3 Lebenszyklus Inbetriebnahme und Änderung Es MUSS ein Verfahren (siehe A 1) für die Inbetriebnahme und Änderung der IT- Systeme implementiert werden, das folgende Anforderungen erfüllt: 1. es MUSS ermittelt werden, ob das IT-System kritisch ist (siehe 9) 2. die Inventarisierung der IT-Systeme (siehe 10.2) und die Dokumentation der Netzwerke (siehe 11.2) MÜSSEN aktualisiert werden 3. der Basisschutz (siehe 10.4) MUSS umgesetzt werden 4. bei Inbetriebnahme MUSS sichergestellt werden, dass voreingestellte Authentifizierungsmerkmale (z.b. Standard-Passwörter) geändert oder die dazugehörigen Zugänge deaktiviert werden 5. bei Inbetriebnahme MÜSSEN die Arbeitsschritte vom jeweils Verantwortlichen schriftlich bestätigt werden Ausmusterung und Weiterverwendung Es MUSS ein Verfahren (siehe A 1) für das Ausmustern und Wiederverwenden der IT- Systemen implementiert werden, das folgende Anforderungen erfüllt: 1. die Inventarisierung der IT-Systeme (siehe 10.2) und die Dokumentation der Netzwerke (siehe 11.2) MÜSSEN aktualisiert werden 21

22 VdS 3473 : (Entwurf 0.9.0) 2. das IT-System MUSS auf gespeicherte Informationen untersucht werden 3. es MUSS überprüft werden, ob und wie diese Informationen gesichert bzw. archiviert werden müssen 4. es MUSS sicher gestellt werden, dass die auf dem IT-System gespeicherten Informationen archiviert sind, wenn sie dauerhaft verfügbar sein müssen (siehe 9.3) 5. alle Informationen MÜSSEN vor unrechtmäßigem Zugriff geschützt werden, indem sie z. B. zuverlässig gelöscht, überschrieben, aus dem IT-System entfernt werden oder indem das IT-System insgesamt zerstört wird 6. sämtliche Arbeitsschritte MÜSSEN vom jeweils Verantwortlichen schriftlich bestätigt werden 10.4 Basisschutz Die Maßnahmen der folgenden Abschnitte MÜSSEN, sofern eine entsprechende Funktionalität gegeben ist, für alle IT-Systeme implementiert werden. Wenn bei IT-Systemen Schutzmaßnahmen nicht umgesetzt werden, obwohl eine entsprechende Funktionalität vorhanden ist, MUSS dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe A 2) begegnet werden Updates Vom Hersteller verfügbare Sicherheitsupdates für die System- und Anwendungssoftware MÜSSEN bei jedem IT-System nach einem implementierten Verfahren (siehe A 1) getestet und bei Eignung freigegeben werden. Freigegebene Updates MÜSSEN umgehend installiert werden Beschränkung des Netzwerkverkehrs Der Netzwerkverkehr von und zu IT-Systemen MUSS auf das für die Funktionsfähigkeit notwendige Minimum beschränkt werden, wenn eines der folgenden Kriterien zutrifft: 1. es existieren Schwachstellen, die nicht behoben werden (z. B. wenn keine Sicherheitsupdates installiert werden können, Passwörter nicht geändert werden können oder unsichere technische Verfahren eingesetzt werden) 2. es handelt sich um besonders exponierte IT-Systeme (z. B. um IT-Systeme, die aus dem Internet erreichbar oder die in öffentlich zugänglichen Räumen platziert sind) Protokollierung Jedes IT-System MUSS das An- und Abmelden von Nutzern, Fehler und Informationssicherheitsereignisse protokollieren. Protokolldaten SOLLTEN zentral gespeichert werden. Protokolldaten MÜSSEN mindestens 6 Monate lang aufbewahrt werden, sofern keine gesetzlichen Löschpflichten entgegenstehen. Die Uhren aller IT-Systeme MÜSSEN auf eine gemeinsame Zeit synchronisiert sein, um Auswertungen von Logeinträgen zu ermöglichen. 22

23 Externe Schnittstellen und Laufwerke Externe Schnittstellen und Laufwerke, die nicht für Geschäftsprozesse benötigt werden, MÜSSEN ausgebaut, stillgelegt, deaktiviert oder durch Zugriffsbeschränkungen für Nutzer unzugänglich gemacht werden Schadsoftware Alle IT-Systeme MÜSSEN über einen Schutz vor Schadsoftware verfügen. Jedes IT-System MUSS mit Hilfe geeigneter Software mindestens täglich vollständig auf Anwesenheit von Schadsoftware untersucht werden. Darüber hinaus SOLLTEN alle IT-Systeme über einen Echtzeitschutz verfügen, der alle Dateien auf die zugegriffen wird auf Schadsoftware untersucht. Bei IT-Systemen mit einem Echtzeitschutz KANN die vollständige Untersuchung auf Schadsoftware auf einen mindestens wöchentlichen Rhythmus reduziert werden. Der Zugriff auf erkannte Schadsoftware MUSS verhindert und erkannte Schadsoftware an eine zentrale Stelle gemeldet werden. Die Software zum Schutz gegen Schadsoftware MUSS automatisch täglich nach den neuesten Suchmustern der Hersteller suchen und diese verwenden Starten von fremden Medien Es MUSS sichergestellt werden, dass IT-Systeme nur von autorisierten Medien gestartet werden können. Dies KANN z. B. über BIOS-Passwörter oder über einen physikalischen Schutz der IT- Systeme umgesetzt werden Authentifizierung Der Zugriff auf alle nichtöffentliche Bereiche der IT-Systeme MUSS durch geeignete Anmeldeverfahren abgesichert werden, die eine Authentifizierung verlangen. Die Anmeldeverfahren MÜSSEN folgende Anforderungen erfüllen: 1. Das systematische Ausprobieren von Anmeldeinformationen MUSS verhindert werden. 2. Erfolgreiche und erfolglose Anmeldeversuche MÜSSEN protokolliert werden. 3. Interaktive Sitzungen MÜSSEN beendet oder gesperrt werden, wenn der Nutzer innerhalb einer vorgegebenen Zeitspanne keine Eingaben tätigt. 4. Erfolgt die Anmeldung über ein Netzwerk, so MUSS die Vertraulichkeit und Integrität der Anmeldeinformationen (z. B. mit Hilfe von Authentifizierungsprotokollen) sichergestellt werden. Damit die Anmeldeverfahren zuverlässig arbeiten können, MÜSSEN folgende Punkte sichergestellt werden: 5. Zugänge MÜSSEN strukturiert verwaltet werden (siehe 15). 6. es MÜSSEN zuverlässige Authentifizierungsmechanismen verwendet werden 7. es DÜRFEN KEINE trivialen Authentifizierungsmerkmale (z.b. einfach zu erratende Passwörter) verwendet werden 23

24 VdS 3473 : (Entwurf 0.9.0) Zugriffsbeschränkungen Mit Hilfe geeigneter Zugriffsbeschränkungen MUSS sichergestellt werden, dass Nutzer keine administrativen Arbeiten durchführen können. Darüber hinaus SOLLTEN durch geeignete Zugriffsbeschränkungen folgende Anforderungen erfüllt werden: 1. Nutzer SOLLTEN nur auf Informationen zugreifen können, die sie zur Erfüllung ihrer Aufgaben benötigen. 2. Nutzer SOLLTEN nur auf Informationen schreibend zugreifen können, wenn dies für die Erfüllung ihrer Aufgaben notwendig ist Zusätzliche Maßnahmen für kritische IT-Systeme Folgende Maßnahmen MÜSSEN in Ergänzung des Abschnitts 10.4 für alle kritischen IT- Systeme umgesetzt werden Risikoanalyse und -behandlung Für kritische IT-Systeme MUSS eine Risikoanalyse und behandlung etabliert werden (siehe A 2) Notbetriebsniveau Für jedes kritische IT-System SOLLTE ein Notbetriebsniveau definiert werden Robustheit Auf kritischen IT-Systemen DÜRFEN KEINE Entwicklungen oder Tests durchgeführt werden. Auf kritischen IT-Systemen MÜSSEN alle Netzwerkdienste, die nicht zur Aufgabenerfüllung benötigt werden, deinstalliert, abgeschaltet oder durch geeignete Filtermechanismen unzugänglich gemacht werden. Auf kritischen IT-Systemen SOLLTE alle Anwendungssoftware deinstalliert werden, die nicht zur Aufgabenerfüllung benötigt wird. Sämtliche Zugriffsrechte und Privilegien der Anwendungssoftware auf kritischen IT- Systemen SOLLTEN auf ein Mindestmaß reduziert werden Änderungsmanagement Änderungen, die auf kritischen IT-Systemen umgesetzt werden sollen, MÜSSEN zuvor in einer Testumgebung getestet und freigegeben worden sein. Für kritische IT-Systeme MUSS ein Mechanismus vorhanden sein, der sicherstellt, dass bei einer Fehlfunktion oder einem Ausfall des IT-Systems aufgrund einer Änderung sein ursprünglicher Zustand innerhalb der MTA wieder hergestellt werden kann Dokumentation Für jedes kritische IT-System MUSS eine Dokumentation vorhanden sein. 24