Benutzer-Werkzeuge
Webseiten-Werkzeuge
Seitenleiste
10000:10
Inhaltsverzeichnis
10 IT-Systeme
| VdS 10000 | |
|---|---|
| T1 | Die Informationsverarbeitung einer Organisation geschieht zum größten Teil elektronisch. Es ist deshalb notwendig, IT-Systeme strukturiert zu verwalten und abzusichern. |
10.1 Inventarisierung
| VdS 10000 | |
|---|---|
| G1 | Es MUSS eine Inventarisierung vorhanden sein, in der alle IT-Systeme der Organisation verzeichnet sind. |
| G2 | Die Inventarisierung MUSS durch entsprechende Verfahren (siehe Abschnitte 10.2.1 und 10.2.2) vollständig und aktuell gehalten werden. |
| G3 | In ihr MÜSSEN folgende Informationen für jedes IT-System verzeichnet sein: |
| G3.1 | 1. eindeutiges Identifizierungsmerkmal |
| G3.2 | 2. Informationen, die eine schnelle Lokalisierung erlauben |
| G3.3 | 3. Einsatzzweck |
| E1 | Darüber hinaus SOLLTEN für jedes IT-System weitere Informationen erhoben und aktuell gehalten werden, wie z. B. Namen, Versionen und Lizenzinformationen der installierten System- und Anwendungssoftware, Seriennummern von Hardwarekomponenten sowie Informationen über Garantien und Serviceverträge. |
| E2 | Besonderheiten der Installation und Konfiguration SOLLTEN in einer Dokumentation verzeichnet sein. |
10.2 Lebenszyklus
| VdS 10000 | |
|---|---|
| T1 | IT-Systeme bilden eine abgeschlossene Funktionseinheit aus Hard- und Software (siehe Abschnitt 10.3). Sie unterliegen einem Lebenszyklus, der sich üblicherweise von der Inbetriebnahme bis zu deren Ausmusterung erstreckt. |
10.2.1 Inbetriebnahme und Änderung
| VdS 10000 | |
|---|---|
| G1 | Es MUSS ein Verfahren (siehe Anhang A 1) für die Inbetriebnahme und Änderung der IT-Systeme implementiert werden, das folgende Punkte sicherstellt: |
| G1.1 | 1. Es wird ermittelt, ob das IT-System kritisch ist (siehe Abschnitt 9.3). |
| G1.2 | 2. Der Basisschutz (siehe Abschnitt 10.3) wird umgesetzt. |
| G1.3 | 3. Die Inventarisierung der IT-Systeme (siehe Abschnitt 10.1) und der Netzwerkplan (siehe Abschnitt 11.1) werden aktualisiert. |
| G1.4 | 4. Bei Inbetriebnahme werden die Arbeitsschritte dokumentiert. |
10.2.2 Ausmusterung und Wiederverwendung
| VdS 10000 | |
|---|---|
| G1 | Es MUSS ein Verfahren (siehe Anhang A 1) für das Ausmustern und Wiederverwenden der IT-Systeme implementiert werden, das folgende Punkte sicherstellt: |
| G1.1 | 1. Die auf dem IT-System gespeicherten Informationen werden bei Bedarf gesichert bzw. archiviert. |
| G1.2 | 2. Alle Informationen werden vor unrechtmäßigem Zugriff geschützt, indem sie z. B. zuverlässig gelöscht, überschrieben, aus dem IT-System entfernt werden oder indem das IT-System insgesamt zerstört wird. |
| G1.3 | 3. Die Inventarisierung der IT-Systeme (siehe Abschnitt 10.1) und der Netzwerkplan (siehe Abschnitt 11.1) werden aktualisiert. |
| G1.4 | 4. Bei Ausmusterung werden die Arbeitsschritte dokumentiert. |
10.3 Basisschutz
| VdS 10000 | |
|---|---|
| B1 | Die Maßnahmen der folgenden Abschnitte MÜSSEN, sofern eine entsprechende Funktionalität gegeben ist, für alle IT-Systeme implementiert werden. |
| E1 | Wenn eine entsprechende Funktionalität nicht gegeben ist, SOLLTE dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden. |
| B2 | Wenn Maßnahmen nicht umgesetzt werden, obwohl eine entsprechende Funktionalität vorhanden ist, MUSS dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden. |
10.3.1 Software
| VdS 10000 | |
|---|---|
| B1 | System- und Anwendungssoftware MUSS aus vertrauenswürdigen Quellen bezogen werden. |
| E1 | Es SOLLTE ausschließlich System- und Anwendungssoftware eingesetzt werden, die Sicherheitsupdates des Herstellers erhält. |
| E2 | Es SOLLTE nur Software auf IT-Systemen installiert werden, die zur Aufgabenerfüllung benötigt wird; nicht benötigte Software SOLLTE deinstalliert werden. |
| E3 | Sämtliche Zugriffsrechte und Privilegien der Anwendungssoftware SOLLTEN auf ein Mindestmaß reduziert werden. |
| B2 | Vom Hersteller zur Verfügung gestellte Sicherheitsupdates für die System- und Anwendungssoftware MÜSSEN nach einem implementierten Verfahren (siehe Anhang A 1) getestet, bei Eignung freigegeben und nach ihrer Freigabe umgehend installiert werden. |
10.3.2 Beschränkung des Netzwerkverkehrs
| VdS 10000 | |
|---|---|
| B1 | Der Netzwerkverkehr von und zu IT-Systemen MUSS auf das für die Funktionsfähigkeit notwendige Minimum beschränkt werden, wenn eines der folgenden Kriterien zutrifft: |
| B1.1 | 1. Es existieren über das Netzwerk ausnutzbare Schwachstellen, die nicht behoben werden (z. B. wenn keine Sicherheitsupdates installiert werden können, Passwörter nicht geändert werden können oder unsichere technische Verfahren eingesetzt werden). |
| B1.2 | 2. Es handelt sich um besonders exponierte IT-Systeme (z. B. um IT-Systeme, die aus dem Internet erreichbar, oder die in öffentlich zugänglichen Räumen platziert sind oder die in weniger vertrauenswürdigen Umgebungen eingesetzt werden). |
| E1 | Zusätzlich SOLLTE der Netzwerkverkehr von und zu IT-Systemen, für die die Organisation keinen administrativen Zugang besitzt, auf das für die Funktionsfähigkeit notwendige Minimum beschränkt werden. |
| E2 | Die Beschränkung des Netzwerkverkehrs KANN bspw. durch eine geeignete Segmentierung des Netzwerks (siehe Abschnitt 11.4.2), lokale Filtermechanismen oder durch das Deaktivieren nicht benötigter Dienste erfolgen. |
10.3.3 Protokollierung
| VdS 10000 | |
|---|---|
| B1 | Jedes IT-System MUSS erfolgreiche und erfolglose Anmeldeversuche, Fehler und Informationssicherheitsereignisse protokollieren. |
| E1 | Protokolldaten SOLLTEN zentral gespeichert werden. |
| B2 | Protokolldaten MÜSSEN 6 Monate lang aufbewahrt werden, sofern keine gesetzlichen Lösch- oder Aufbewahrungspflichten entgegenstehen. |
| B3 | Die Uhren aller IT-Systeme MÜSSEN auf eine gemeinsame Zeit synchronisiert sein, um Auswertungen von Logeinträgen zu ermöglichen. |
10.3.4 Externe Schnittstellen und Laufwerke
| VdS 10000 | |
|---|---|
| E1 | Externe Schnittstellen und Laufwerke, die nicht für die Aufgabenerfüllung benötigt werden, SOLLTEN ausgebaut, stillgelegt, deaktiviert oder anderweitig für Nutzer unzugänglich gemacht werden. |
10.3.5 Schadsoftware
| VdS 10000 | |
|---|---|
| B1 | Alle IT-Systeme MÜSSEN über einen Schutz vor Schadsoftware verfügen. |
| B2 | Jedes IT-System MUSS mit Hilfe geeigneter Software täglich vollständig auf Anwesenheit von Schadsoftware untersucht werden. |
| E1 | Darüber hinaus SOLLTEN alle IT-Systeme über einen Echtzeitschutz verfügen, der alle Dateien bei Zugriff auf Schadsoftware prüft. |
| E2 | Bei IT-Systemen mit einem Echtzeitschutz KANN die vollständige Untersuchung auf Schadsoftware auf einen wöchentlichen Rhythmus reduziert werden. |
| B3 | Das Ausführen erkannter Schadsoftware MUSS verhindert werden. |
| B4 | Die Software zum Schutz gegen Schadsoftware MUSS automatisch in kurzen zeitlichen Abständen (z. B. stündlich oder täglich) nach den neuesten Suchmustern der Hersteller suchen und diese verwenden. |
10.3.6 Starten von fremden Medien
| VdS 10000 | |
|---|---|
| B1 | Es MUSS sichergestellt werden, dass IT-Systeme nur von autorisierten Medien gestartet werden können. |
| E1 | Dies KANN z. B. über BIOS-Passwörter oder über einen Zutrittsschutz umgesetzt werden. |
10.3.7 Authentifizierung
| VdS 10000 | |
|---|---|
| B1 | Der Zugang zu allen nichtöffentlichen Bereichen der IT-Systeme MUSS durch geeignete Anmeldeverfahren abgesichert werden, die eine Authentifizierung verlangen. |
| B2 | Die Anmeldeverfahren MÜSSEN folgende Punkte sicherstellen: |
| B2.1 | 1. Das systematische Ausprobieren von Anmeldeinformationen wird erschwert. |
| B2.2 | 2. Interaktive Sitzungen werden beendet oder gesperrt, wenn der Nutzer innerhalb einer vorgegebenen Zeitspanne keine Eingaben tätigt. |
| B2.3 | 3. Erfolgt die Anmeldung über ein Netzwerk, so wird die Vertraulichkeit und Integrität der Anmeldeinformationen (z. B. mit Hilfe entsprechender Authentifizierungsprotokolle) sichergestellt. |
| B3 | Damit die Anmeldeverfahren zuverlässig arbeiten können, MÜSSEN folgende Punkte sichergestellt werden: |
| B3.1 | 1. Zugänge werden strukturiert verwaltet (siehe Kapitel 15). |
| B3.2 | 2. Es werden zuverlässige Authentifizierungsmechanismen verwendet. |
| B3.3 | 3. Es werden keine trivialen Authentifizierungsmerkmale (z. B. Standard-Passwörter oder einfach zu erratende Passwörter) verwendet. |
| E1 | Es SOLLTE Mehr-Faktor-Authentifizierung eingesetzt werden, um die Gefahr eines unberechtigten Zugangs zu verringern, insbesondere wenn Nutzer umfangreiche Zugriffsrechte besitzen. |
10.3.8 Zugänge und Zugriffe
| VdS 10000 | |
|---|---|
| B1 | Es MUSS sichergestellt werden, dass Nutzer keine administrativen Arbeiten durchführen können. |
| E1 | Dies KANN mit Hilfe getrennter Zugänge und geeigneter Zugriffsrechte umgesetzt werden. |
| E2 | Darüber hinaus SOLLTEN folgende Anforderungen erfüllt werden: |
| E2.1 | 1. Nutzer können nur auf Informationen lesend zugreifen, wenn dies für die Erfüllung ihrer Aufgaben notwendig ist („Need-to-Know“). |
| E2.2 | 2. Nutzer können nur auf Informationen schreibend zugreifen, wenn dies für die Erfüllung ihrer Aufgaben notwendig ist („Least-Privileges“). |
10.4 Zusätzliche Maßnahmen für mobile IT-Systeme
| VdS 10000 | |
|---|---|
| T1 | Mobile IT-Systeme sind in besonderer Weise Gefährdungen durch Diebstahl, unautorisierten Zutritt oder unsichere Netze ausgesetzt, die zusätzliche Maßnahmen erforderlich machen. |
| G1 | Folgende Maßnahmen MÜSSEN für alle mobilen IT-Systeme umgesetzt werden. |
10.4.1 IS-Richtlinie
| VdS 10000 | |
|---|---|
| G1 | In Ergänzung zu Abschnitt 6.3 MÜSSEN in einer IS-Richtlinie Regelungen für den Umgang mit mobilen IT-Systemen getroffen werden: |
| G1.1 | 1. Es wird festgelegt, welche Informationen auf den mobilen IT-Systemen erhoben, verarbeitet, gespeichert und übertragen werden dürfen. |
| G1.2 | 2. Die Verantwortung für die Datensicherung wird definiert. |
| G1.3 | 3. Die Nutzer werden über die spezifischen Risiken mobiler IT-Systeme (z. B. Gefahren durch Ausspähung bei der Nutzung in der Öffentlichkeit, Verlust oder Diebstahl) informiert und zur Ergreifung entsprechender Gegenmaßnahmen verpflichtet. |
| G1.4 | 4. Es wird untersagt, mobile IT-Systeme an unberechtigte Dritte weiterzugeben. |
| G1.5 | 5. Es wird definiert, ob und welche Software auf den mobilen IT-Systemen von den Nutzern installiert werden darf. |
| G1.6 | 6. Es wird definiert, ob und unter welchen Bedingungen ein Administrator das mobile IT-System orten darf. |
| G1.7 | 7. Es wird definiert, ob und unter welchen Bedingungen ein Administrator die auf einem mobilen IT-System gespeicherten Informationen aus der Ferne löschen darf. |
10.4.2 Schutz der Informationen
| VdS 10000 | |
|---|---|
| G1 | Die auf dem mobilen IT-System gespeicherten Informationen der Organisation MÜSSEN vor dem Verlust ihrer Vertraulichkeit und Integrität geschützt werden. |
| E1 | Der Schutz der Vertraulichkeit KANN z. B. durch eine Verschlüsselung der Datenträger erreicht werden. |
10.4.3 Verlust
| VdS 10000 | |
|---|---|
| G1 | Es MÜSSEN Verfahren (siehe Anhang A 1) implementiert werden, die festlegen, wie Nutzer und Administratoren bei Verlust eines mobilen IT-Systems vorzugehen haben. |
| G2 | Die Verfahren MÜSSEN insbesondere festlegen, wie und an wen der Verlust zu melden ist und welche Sofortreaktion erfolgt. |
| G3 | Die Verfahren MÜSSEN sicherstellen, dass die auf dem Gerät hinterlegten Zugänge der Organisation nach der Verlustmeldung nicht unberechtigt genutzt werden können (z. B. indem die entsprechenden Authentifizierungsmerkmale umgehend zurückgesetzt oder indem Anrufweiterleitungen modifiziert sowie Sprachnachrichten gelöscht werden). |
| G4 | Der Verlust eines mobilen IT-Systems MUSS als Sicherheitsvorfall (siehe Kapitel 18) behandelt werden. |
10.5 Zusätzliche Maßnahmen für kritische IT-Systeme
| VdS 10000 | |
|---|---|
| Z1 | Folgende Maßnahmen MÜSSEN zusätzlich für alle kritischen IT-Systeme umgesetzt werden. |
| Z2 | Wenn Maßnahmen nicht umgesetzt werden, MUSS dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden. |
10.5.1 Risikoanalyse und -behandlung
| VdS 10000 | |
|---|---|
| Z1 | Für kritische IT-Systeme MUSS eine Risikoanalyse und –behandlung etabliert werden (siehe Anhang A 2). |
10.5.2 Notbetriebsniveau
| VdS 10000 | |
|---|---|
| E1 | Für jedes kritische IT-System SOLLTE ein Notbetriebsniveau definiert werden. |
10.5.3 Robustheit
| VdS 10000 | |
|---|---|
| Z1 | Auf kritischen IT-Systemen DÜRFEN KEINE Entwicklungen oder Tests durchgeführt werden. |
| Z2 | Auf kritischen IT-Systemen MÜSSEN alle Netzwerkdienste, die nicht zur Aufgabenerfüllung benötigt werden, deinstalliert, abgeschaltet oder durch geeignete Filtermechanismen unzugänglich gemacht werden. |
10.5.4 Externe Schnittstellen und Laufwerke
| VdS 10000 | |
|---|---|
| Z1 | Externe Schnittstellen und Laufwerke, die nicht für die Aufgabenerfüllung benötigt werden, MÜSSEN ausgebaut, stillgelegt, deaktiviert oder anderweitig für Nutzer unzugänglich gemacht werden. |
10.5.5 Änderungsmanagement
| VdS 10000 | |
|---|---|
| Z1 | Änderungen, die auf kritischen IT-Systemen umgesetzt werden sollen, MÜSSEN zuvor in einer Testumgebung getestet und freigegeben worden sein. |
| Z2 | Für kritische IT-Systeme MUSS ein Mechanismus vorhanden sein, der sicherstellt, dass bei einer Fehlfunktion oder einem Ausfall des IT-Systems aufgrund einer Änderung sein ursprünglicher Zustand innerhalb seiner MTA wiederhergestellt werden kann, sofern keine Ersatzsysteme oder –verfahren verfügbar sind (siehe Abschnitt 10.5.9). |
10.5.6 Dokumentation
| VdS 10000 | |
|---|---|
| Z1 | Für jedes kritische IT-System MUSS eine Dokumentation vorhanden sein. |
| Z2 | Anhand der Dokumentation MUSS es fachlich versierten Personen möglich sein, folgende Punkte nachzuvollziehen: |
| Z2.1 | 1. wer für das IT-System verantwortlich ist |
| Z2.2 | 2. wie und mit welchen Zugängen und Authentifizierungsmerkmalen der administrative Zugang zum IT-System möglich ist |
| Z2.3 | 3. welche grundlegenden Designentscheidungen bei der Installation getroffen wurden |
| Z2.4 | 4. welche Änderungen vorgenommen wurden |
| Z2.5 | 5. wann sie vorgenommen wurden |
| Z2.6 | 6. wer sie vorgenommen hat |
| Z2.7 | 7. warum sie vorgenommen wurden |
10.5.7 Datensicherung
| VdS 10000 | |
|---|---|
| Z1 | Alle kritischen IT-Systeme MÜSSEN über eine Datensicherung (siehe Abschnitt 16.6) verfügen. |
10.5.8 Überwachung
| VdS 10000 | |
|---|---|
| Z1 | Es MUSS überwacht werden, ob sich kritische IT-Systeme im Regelbetrieb befinden. |
| Z2 | Dabei MUSS sichergestellt werden, dass der Ausfall eines kritischen IT-Systems erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. |
| E1 | Darüber hinaus SOLLTEN die Ressourcen kritischer IT-Systeme überwacht werden, um Engpässe zu erkennen, bevor sie akut werden. |
10.5.9 Ersatzsysteme und -verfahren
| VdS 10000 | |
|---|---|
| Z1 | Wenn ein kritisches IT-System innerhalb seiner MTA nicht wiederhergestellt werden kann, MUSS die Organisation über ein Ersatzsystem oder –verfahren verfügen, das es ermöglicht, die vom kritischen IT-System abhängigen zentralen Prozesse und Prozesse mit hohem Schadenspotential weiter zu betreiben. |
| E1 | Das Ersatzsystem oder –verfahren SOLLTE das Notbetriebsniveau (siehe Abschnitt 10.5.2) des kritischen IT-Systems sicherstellen. |
10.5.10 Kritische Individualsoftware
10000/10.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)
