Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

Ähnliche Dokumente
Zusammenarbeit mit Partnern

ICT-Sicherheitsleitlinie vom 11. August 2015

Stand: Februar IT-Sicherheitsrichtlinie Externe Dienstleister

Nutzungsbedingungen V-Server

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Richtlinien. Technik-Verantwortliche

Checkliste für Ihre Informationssicherheit

Achtung: Dieser Antrag muss für jeden einzelnen Nutzer ausgefüllt werden!

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

Die Senatorin für Bildung und Wissenschaft 15. Juli V o r l a g e Nr. L 115/18

Datenverluste und Datendiebstahl mit Endpoint Protector 4 verhindern

Betriebsnorm Virenschutz im KAV auf Windows-Systemen

DE 098/2008. IT- Sicherheitsleitlinie

InfoZoom Desktop Protected Installationsanleitung

IT Best Practice Rules

DOKUMENTATION NETZWERK

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Umgang mit mobilen IT Geräten

Behörde / öffentliche Stelle

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Übersicht Kompakt-Audits Vom

Status Quo der IT-Security im Maschinenbau

Servicebeschreibung Serverhousing physischer Kundensysteme in den zentralen Serverräumen des ZIM

Sicherheitshinweise für IT-Benutzer. - Beispiel -

PLATO-Systemanforderungen

Informationssicherheit - Checkliste für einen schnellen Überblick über die Schwachstellen im eigenen Unternehmen

Abnahmeprotokoll Modul 123: Serverdienste in Betrieb nehmen IET-GIBB Jessica Dominguez Stevanovic, 2G

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Erklärung zum Zertifizierungsbetrieb der DBTG-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

it-sa Sicherheit SAP HANA Konstantin Gork IBS Schreiber GmbH

Erklärung zum Zertifizierungsbetrieb der FH Lübeck CA in der DFN-PKI. - Sicherheitsniveau: Global -

1. Schritt: Benutzerkontensteuerung aktivieren

OctoGate. Einsatz der OctoGate Firewall als Zugangssystem für Gäste

Abrechnungszentrum Emmendingen An der B3 Haus Nr Emmendingen

Rolle der Körperschaften und Aktivitäten der KBV

Interne Audits VA Diese VA regelt den strukturierten Ablauf der Internen Audits.

Technisch organisatorische Maßnahmen zur Umsetzung der Sicherheits und Schutzanforderungen des BDSG bei Papershift

Die DSGVO in der IT-Praxis: Welche technischen und organisatorischen Maßnahmen sind wichtig für KMU?

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Ein Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016!

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

Informationsblatt zum Umgang mit mobilen Geräten

Fachverband Versicherungsmakler Datenschutzgrundverordnung DSGVO Technische Anforderungen an die Verwaltungsprogramme der Makler

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitshinweise für Administratoren. - Beispiel -

TAINY GMOD GMOD-V2. Anleitung zum Update durch Flashen der Software

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Online IT Check Frech Michael

Locky & Co Prävention aktueller Gefahren

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Inhalt. 1 Einleitung (Introduction) 3 2 Voraussetzungen für diesen Service 3 3 Leistungsbeschreibung (Service Description) 4 4 Service Transition 5

Warum braucht es neue Betriebssysteme? Security Event NetSpider GmbH / GoEast GmbH

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

Verfahrensverzeichnis

Softwareproduktinformation

HowTo - steadyprint - Softwareverteilung von steadyprint per Active Directory (AD) - German

Makros in Office-Paketen deaktivieren

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Grundlagen des Datenschutzes und der IT-Sicherheit

Personalabrechnung Windows 7 und Dakota 6.0

Access Rights Management. Only much Smarter. ANFORDERUNGEN DES BSI UMSETZEN

Collax -Archivierung

IT-LÖSUNGEN AUS DER CLOUD. Flexibel, planbar & sicher.

Nr Verfassungs-, Verwaltungs- und Verfahrensrecht Datenschutzrecht Datenschutz im öffentlichen Bereich

IT-Sicherheit für KMUs

RICHTLINIEN UND ANTRAG FÜR DIE EINRICHTUNG UND BETRIEB EINES VIRTUELLEN RECHNERS (VM) IM VMWARE- CLUSTER DES RECHENZENTRUMS

Freie Universität Berlin. FUDIS-Shibboleth-Antrag

IT-Grundschutzhandbuch 1998

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Rund um Sorglos. Information Communication Technology Ebner e.u. für Home Office oder Small Office. [Datum einfügen]

Collax Active Directory

elpromonitor Software - Systemvoraussetzungen

Collax Archive Howto

ESTOS XMPP Proxy

ESTOS XMPP Proxy

Windows Server 2016 Essentials Basis-Server für kleine Unternehmen

Datensicherheit. Datenschutz-Forum Schweiz. Dr. Esther Hefti, CLCC 5 Datenschutzbeauftragte / Archivierungsverantwortliche der Credit Suisse Juni 2005

MEDLINQ-Küche Checkliste Installation

G DATA TechPaper. Update auf Version 14.1 der G DATA Unternehmenslösungen

Infoveranstaltung IT-Sicherheit für KMU: Angriffe auf und Schutzmaßnahmen für mobile Endgeräte

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

AMACOS. Installationshandbuch. Client und Server. Solunex AG Niederholzstrasse 17 CH-8951 Fahrweid. Tel.: +41 (0)

HANA CLOUD CONNECTOR

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Avira Professional / Server Security. Date

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit

COMPACT. microplan ASP IT-Sourcing. Ihre EDV-Infrastruktur aus der Steckdose. Kurz und knapp und schnell gelesen!

Jobkonfiguration bei den Uploadtypen Lokal, UNC, FTP und SSH

untermstrich SYNC Handbuch

Transkript:

Nur für den internen Dienstgebrauch Freie Universität Berlin FU Directory and Identity Service FUDIS der ZEDAT Fragenkatalog des Sicherheits-Audit Fassung: März 2009 Version 1.1

Fragenkatalog des Sicherheits-Audits Vorbemerkung Inhalt Vorbemerkung... 3 1 Systemsteckbrief... 4 2 Grundlegende Fragestellungen (Selbstauskunft)... 5 3 Audit... 11 3.1 Maßnahmen des Schutzbedarfs normal... 12 3.2 Maßnahmen des Schutzbedarfs hoch... 15 3.3 Maßnahmen des Schutzbedarfs sehr hoch... 16 Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 2 von 16

Fragenkatalog des Sicherheits-Audits 0 Vorbemerkung Vorbemerkung Dieses Dokument beinhaltet alle Prüffragen, die bei der Durchführung des Sicherheits-Audits gestellt werden. Die Fragen sind in zwei Gruppen aufgeteilt. Die erste Gruppe, Kapitel 2 Grundlegende Fragestellungen (Selbstauskunft), soll vom Antragsteller vor Beginn des eigentlichen Audits ausgefüllt und eas zugesandt werden. Der zweite Teil, Kapitel 3 Audit, beinhaltet alle Fragen, die während des Audit von den Auditoren gestellt werden. Mit Hilfe dieser Fragen wird der Grad der Umsetzung der aufgeführten Maßnahmen überprüft. Der Antragsteller bekommt den vollständigen Fragenkatalog zugesandt. In Kenntnis des gesamten Prüfumfangs wird er somit in die Lage versetzt, den Umsetzungsgrad der aufgeführten Maßnahmen im Vorfeld zu überprüfen. Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 3 von 16

Fragenkatalog des Sicherheits-Audits 1 Systemsteckbrief 1 Systemsteckbrief Systemname(n) IP-Adressen Betriebssystem(e) Anwendung(en) Verantwortlichkeit(en) Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 4 von 16

Fragenkatalog des Sicherheits-Audits 2 Grundlegende Fragestellungen (Selbstauskunft) 2 Grundlegende Fragestellungen (Selbstauskunft) Nr. Infrastruktur und Technik System / Dokumentation / Ansprechpartner 1. Allgemeine Infrastruktur 1.1. Wo sind die Systeme physikalisch aufgestellt? 1.2. Wie ist der Zugang zu den Räumlichkeiten geregelt? 1.3. Wie sieht die Netzstruktur der FU- DIS nutzenden Systeme aus, existieren dedizierte Netze? 1.4. Existiert eine Außenanbindung (Internet)? 1.5. Falls eine Außenanbindung existiert, wird Fernwartung genutzt? 1.6. Sind lokale oder Netz basierte Firewalls vorhanden? 1.7. Sind Intrusion Detection vorhanden? 1.8. Sind Intrusion Prevention Systeme vorhanden? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 5 von 16

Fragenkatalog des Sicherheits-Audits 2 Grundlegende Fragestellungen (Selbstauskunft) Nr. Infrastruktur und Technik System / Dokumentation / Ansprechpartner 2. Hardware und Betriebssystem der Server 2.1. Wie viele FUDIS nutzende Server existieren, welche Betriebssysteme werden eingesetzt? 2.2. Wurden an den Servern Härtungen bezüglich des Betriebssystems oder der Applikationen vorgenommen? Wenn ja, auf welcher Basis wurden diese Härtungen durchgeführt? 2.3. Wird Zusatzsoftware wie Viren-, Trojanerschutz etc. eingesetzt? 3. Anwendungen 3.1. Werden LDAP-Server-Dienste eingesetzt? 3.2. Werden LDAP-Client-Dienste eingesetzt? 3.3. Falls LDAP eingesetzt wird, welche LDAP-Versionen werden eingesetzt? 3.4. Falls LDAP eingesetzt wird, welche Funktionen haben die LDAP- Instanzen? 3.5. Falls LDAP eingesetzt wird, sind mehrere LDAP-Instanzen vorhanden? 3.6. Welche Übertragungsprotokolle werden benutzt? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 6 von 16

Fragenkatalog des Sicherheits-Audits 2 Grundlegende Fragestellungen (Selbstauskunft) Nr. Infrastruktur und Technik System / Dokumentation / Ansprechpartner 3.7. Welche Form der Datenschnittstelle wird benutzt? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 7 von 16

Fragenkatalog des Sicherheits-Audits 2 Grundlegende Fragestellungen (Selbstauskunft) Nr. Infrastruktur und Technik System / Dokumentation / Ansprechpartner 4. Security spezifische Installationen, Konfigurationen oder Richtlinien 4.1. Findet verschlüsselte Kommunikation zwischen allen FUDIS nutzenden Systemen statt, wenn ja wie? 4.2. Existieren Frontend- oder Backup- Systeme und wird der Datenverkehr zwischen diesen Systemen durch eine Firewall geschützt? 4.3. Werden die FUDIS nutzenden Applikationen mit Root oder administrativen Rechten betrieben? 4.4. Benötigt eine der genutzten Applikationen Schreibrechte auf den betreffenden FUDIS-LDAP-Server? 4.5. Welche Personendaten (Attribute) werden von FUDIS nutzenden Systemen benötigt? 5. Betrieb, Update und Patch Management 5.1. Existiert ein geregelter Prozess für das Update- und Patchmanagement der FUDIS nutzenden Systeme? 5.2. Ist der Update- und Patchprozess technisch für die Systeme umgesetzt? 5.3. Ist der Update- und Patchprozess technisch für die Applikationen umgesetzt? 5.4. Falls von FUDIS bezogene Daten gespeichert werden, wie werden diese Daten vor unbefugtem Zugriff gesichert? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 8 von 16

Fragenkatalog des Sicherheits-Audits 2 Grundlegende Fragestellungen (Selbstauskunft) Nr. Infrastruktur und Technik System / Dokumentation / Ansprechpartner 5.5. Falls von FUDIS bezogene Daten gespeichert werden, existiert eine Regelung wie diese Daten per Backup gesichert werden? 6. Logging und Monitoring 6.1. Existiert ein Monitoring für die FUDIS nutzenden Systeme? 6.2. Falls Logging-Funktionen des Systems oder der Applikationen benutzt werden, wie werden welche Daten wohin geschrieben? 7. Organisatorisches 7.1. Sind die Verantwortlichkeiten bezüglich Systemverantwortung, Applikationsverantwortung, Betrieb, Updateprozess etc. der FUDIS nutzenden Systeme geregelt? 7.2. Sind Urlaubs- oder Krankheitsvertretungen für die Wartung und Pflege der FUDIS nutzenden Systeme oder Applikationen geregelt? 7.3. Existiert eine verbindliche Regelung welche Anwender FUDIS-Daten abfragen und nutzen dürfen; sind Vertreterregelungen vorhanden? 7.4. Fand eine Schulung der verantwortlichen Administratoren vor der Installation der Systeme und Applikationen statt? 8. Dokumentation 8.1. Existiert ein vollständiges Konzept für die Anbindung an FUDIS? 8.2. Falls Daten von FUDIS empfangen werden, existiert ein vollständiges Konzept für die Art und Nutzung dieser Daten? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 9 von 16

Fragenkatalog des Sicherheits-Audits 2 Grundlegende Fragestellungen (Selbstauskunft) Nr. Infrastruktur und Technik System / Dokumentation / Ansprechpartner 8.3. Existiert eine vollständige Dokumentation der Installation? 8.4. Sind die Konfigurationen dokumentiert? Werden Veränderungen an den Konfigurationen dokumentiert? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 10 von 16

Fragenkatalog des Sicherheits-Audits 3 Audit 3 Audit Die in diesem Abschnitt aufgeführten Fragen zum Umsetzungsgrad der Maßnahmen werden von den Auditoren bei der Durchführung des Audits gestellt. Die Fragen sind unterteilt in die drei Gruppen normal, hoch und sehr hoch, entsprechend den Schutzklassen der FUDIS-Produkte. Bei Wahl eines FUDIS-Produkts der Schutzklasse normal sind lediglich die Fragen der ersten Gruppe relevant. Bei einem FU- DIS-Produkt der Schutzklasse hoch müssen zusätzlich die Fragen der zweiten Gruppe beantwortet werden. Die dritte und letzte Fragengruppe betrifft nur FUDIS- Produkte der Schutzklasse sehr hoch. Sie müssen dann zusätzlich zu den anderen Fragengruppen bearbeitet werden. Auditiertes System: Audit-Termin(e): Datum Beginn Ende Ort Gesprächsteilnehmer: Name Bereich Funktion Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 11 von 16

Fragenkatalog des Sicherheits-Audits 3 Audit 3.1 Maßnahmen des Schutzbedarfs normal Nr. Maßnahme Umsetzungsgrad Ansprechpartner 1. Ist ein räumlicher Zugangsschutz zu den FUDIS nutzenden Serversystemen vorhanden? Ja Nein Teilweise Entbehrlich 2. Werden die Daten mobiler Computer bei lokaler Speicherung von FUDIS-Daten gesichert? 3. Wird der Softwareeinsatz der FUDIS-Daten verarbeitenden Systeme kontrolliert? 4. Ist Virenschutz, Schutz vor Schadsoftware, auf FUDIS-Daten verarbeitenden Servern und Clients vorhanden? 5. Ist das Abmelden und Ausschalten bei FUDIS- Clients technisch und organisatorisch umgesetzt? 6. Wird die Verarbeitung bzw. Nutzung von FUDIS- Daten auf personenbezogene Benutzerkennungen beschränkt? 7. Ist der Gebrauch von Passwörtern gemäß dem IT-Sicherheitsrichtlinie für FUDIS nutzende Zugängen umgesetzt? 8. Sind die Zugriffsrechte auf FUDIS nutzenden Transaktionen restriktiv vergeben? 9. Ist der Einsatz von Diebstahl-Sicherungen bei FUDIS nutzenden Client-Systemen umgesetzt? 10. Sind die Zugänge des Netzes der FUDIS nutzenden Systeme gegen unberechtigte Nutzung geschützt? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 12 von 16

Fragenkatalog des Sicherheits-Audits 3 Audit Nr. Maßnahme Umsetzungsgrad Ansprechpartner 11. Werden die vorhanden Administratorkennungen nur für administrative Tätigkeiten benutzt? Ja Nein Teilweise Entbehrlich 12. Werden bei Ausscheiden von Mitarbeitern die dazugehörigen Berechtigungen entzogen? 13. Wird die Vergabe von Zugriffsrechten auf FUDIS nutzende Transaktionen / Systeme restriktiv behandelt? (Autorisierung) 14. Werden FUDIS nutzende Transaktionen protokolliert? 15. Existiert eine generelle Protokollierung auf den Servern? 16. Sind die Administratoren über die Sensitivität der FUDIS-Daten informiert? 17. Werden die entsprechenden administrativen Transaktionen schriftlich protokolliert? 18. Findet im FUDIS-Daten verarbeitenden Netz Netzmonitoring statt? 19. Sind im FUDIS-Daten verarbeitenden Netz nicht benötigte Netzwerkzugänge deaktiviert? 20. Findet Kommunikation zwischen Systemen mit ausschließlich gleichem Sicherheitsniveau statt? 21. Werden Datenträger mit FUDIS-Daten (personenbezogen) sicher entsorgt? 22. Ist das Physische Löschen und Entsorgen von Datenträgern geregelt? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 13 von 16

Fragenkatalog des Sicherheits-Audits 3 Audit Nr. Maßnahme Umsetzungsgrad Ansprechpartner 23. Informieren sich die Administratoren regelmäßig über Schwachstellen? Ja Nein Teilweise Entbehrlich 24. Werden die Administratoren regelmäßig geschult? 25. Finden regelmäßige Kontrollen der IT-Sicherheitsmaßnahmen statt? 26. Existiert eine Regelung der Verantwortung für Notfälle? 27. Existieren gesonderte Notfall-Pläne für ausgewählte Schadensereignisse? 28. Existiert ein Alarmierungsplan? 29. Existiert eine Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen? 30. Existiert eine geregelte Außerbetriebnahme der Server? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 14 von 16

Fragenkatalog des Sicherheits-Audits 3 Audit 3.2 Maßnahmen des Schutzbedarfs hoch Nr. Maßnahme Umsetzungsgrad Ansprechpartner 1. Wird verschlüsselte Kommunikation genutzt? Ja Nein Teilweise Entbehrlich 2. Sind Vertraulichkeitserklärungen unterschrieben und vorhanden? 3. Existieren Vorgaben zum Management der Schnittstellen? 4. Existiert eine geeignete physikalische Segmentierung der Netzwerke? 5. Existiert eine geeignete logische Segmentierung der Netzwerke? 6. Existiert eine Trennung in Frontend und Backend Systeme? 7. Wurde das relevante Betriebssystem minimal installiert? 8. Existieren verbindliche Regelungen für die Behandlung von Sicherheitsvorfällen? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 15 von 16

Fragenkatalog des Sicherheits-Audits 3 Audit 3.3 Maßnahmen des Schutzbedarfs sehr hoch Nr. Maßnahme Umsetzungsgrad Ansprechpartner 1. Werden verschlüsselte Dateisysteme genutzt? Ja Nein Teilweise Entbehrlich 2. Existiert ein Zutrittsschutz zu den Terminals? 3. Wurde die Bedienoberfläche der Clientsoftware angepasst? 4. Werden Integritätschecks auf den FUDIS nutzenden Systemen durchgeführt? 5. Wird auf den relevanten Systemen nur ein Dienst pro Server genutzt? Zentraleinrichtung für Datenverarbeitung Fax +49 30 838 5672 16 von 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback